安全外表体系(Safety Instrumented System,简称SIS)是否能够和根本进程操控体系(Basic Process Control System ,简称BPCS)同享现场设备?这必定能够节约经费,因为一般一台大型超低温阀门造价就高达50万美元。问题是怎么使SIS和BPCS能够同享阀门或许其他组件,一起还能契合规范要求。
相关规范
SIS需求依照IEC61511规范规划,以契合相关国家法规(ISA 84.00.01是IEC61511规范对应的美国规范)的要求。此规范中陈说道,能够在安全体系和根本进程操控体系之间同享设备,但关于何时答应或许不答应同享设备做出了一些具体要求。不过,这些要求却常常被误读和忽视。终究的意图是为了防止单点毛病(single point of failure),即单一设备的毛病会使进程失控,并对安全体系宣布恳求,一起导致关断体系失效,使其无法做出正确呼应。
要想成功地同享现场设备,有必要要对受操控的工艺有一个深化的了解——不只是是对安全设备或许电子设备的了解,还需求对受控的化学工艺进程的了解。你有必要了解工艺以及各种设备的运用办法,知道什么状况会导致设备发生毛病,以及毛病之后会带来什么成果。
同享设备有必要考虑IEC61511规范中阶段8.2.1的相关内容:
“为了清晰安全完整性的要求,需求对体系宣布恳求的原因以及维护体系怎么对这些恳求作出呼应进行描绘。”
这一点并非规范要求,可是在BPCS和SIS之间同享设备的时分有必要对此做细心考虑,以保证全体危险维持在可承受程度内。除此之外,阶段11.2.10及其注释也给出了许多主张:
“除非通过细心剖析后断定全体危险在可承受程度内,用来完成部分安全外表功用的设备不应该用于根本进程操控意图,因为假如此设备发生毛病,就会导致根本进程操控功用失效,然后导致宣布对安全外表功用的恳求。”
“注释:当部分SIS也用于操控意图,那么通用设备的危险毛病就会导致宣布对SIS功用的恳求,随之就会引进新的危险。额定的危险取决于同享组件的危险失功率,因为假如同享组件失效,就会当即宣布一个恳求,而SIS此刻现已无法做出呼应。根据这个原因,在这种状况发生时,有必要进行额定剖析,以保证同享组件的危险失功率满足低。在与BPCS同享组件时,传感器和阀门一般是需求考虑的。”
假如一台设备的毛病会导致BPCS循环宣布对SIS的恳求,而一起会导致SIF失效并处于危险状况,那么就不应该将此台设备用于安全外表功用(SIF)。此条款旨在防止单点毛病的发生。
11.2.10注释中说到单点毛病并非不能够承受,只需这种毛病的频率满足低即可。这就要求进行具体的定量剖析——这是一个吃力的进程,很难做好,而且常常被忽视。可是,大多数状况下,剖析的成果是不答应同享设备。
FMEA进程
假如要同享设备,就要求对被同享的设备进行失效形式和作用剖析(failure modes and effects analysis ,简称FMEA)。这意味着对任何被同享的设备——变送器、阀门乃至整个操控循环——有必要清晰每一个被同享设备失效的每一种或许,以及是否这些或许会导致单点毛病。尽管没有清晰要求,可是咱们强烈主张对这些剖析进行正式的存案和核对。
FMEA进程首先要列出在给定循环或许功用中将会被同享的每一个组件的名单。每一个组件的失效形式都要列出,每一种失效形式将会带来的成果都有必要描绘。假如一个原发毛病导致安全功用失效,那就会形成单点毛病。有必要通过从头规划来消除单点毛病,或许通过定量剖析证明毛病的频率满足低。
太多同享
图1所示为一个具有较多数量同享元件的比如。碳氢化合物和水的分界面通过液位变送器LT-101进行监控,进程丈量成果发送给操控体系中的操控器功用模块LIC-101,操控体系调整液位操控阀门LV-101,将罐体中的水位操控在设定点邻近。功用模块LSLL-101在本例中用来监控低液位,完成安全功用。或许的失效形式和它们的成果见表1。这个比如现已简化过,只留两个同享组件。实践上,DCS输入板卡、DCSCPU、DCS输出板卡和液位阀门都是同享组件,它们都应该进行失效剖析。
图1 同享的“终究”成果是液位约束功用模块LSLL-101本应该能够供应安全功用,可是因为液位变送器或许操控阀的毛病导致发生单点毛病。
很显着这种结构不会被采用,可是假如安全功用独立或许至少被部分独立,成果会怎么样呢?图2中添加了一台独立的液位变送器LT-102,它为自己的逻辑解算器供应液位丈量信号,而逻辑解算器会对低液位状况做出呼应,堵截电磁阀电源,从操控阀LV-101取得通风,使其封闭。这种状况下,仅有的同享组件便是操控阀,失效形式剖析见表2。
图2 添加了一台独立的液位变送器LT-102之后,其自身的逻辑解算器会对低液位状况做出呼应,堵截电磁阀电源,从操控阀LV-101取得通风,使其封闭。可是,同享的操控阀仍旧能够发生单点毛病。
状况仍旧如此,只是同享操控阀门也不能供应满足的维护。
图3所示为具有额定独立截止阀的状况,这种状况下的剖析很简单:因为没有同享组件,因而也不存在单点毛病。
图3 此图添加了一个独立的截止阀XV-101。没有同享组件,因而也不存在单点毛病。
合理同享
有的状况下答应同享一些组件,例如氢化裂解器或许重油加氢器。在这些进程单元中,装备有一台给料泵,给料压力从100 psig(磅/平方英寸(表压))左右的低给料体系压力到1000~2000 psig的高反应器压力。图4所示是一套关断体系,用来检测因为泵失效所导致的正向流量为0。一旦发生此状况,关断体系会关断截止阀,防止流体由高压反应器体系通过给料泵倒流回低压给料体系,防止发生泄压的潜在或许。在给料泵失效时,流量操控器会对低流量状况做出呼应,翻开操控阀,企图添加流量,因为当时测得的流量(实践是0)现已比给料流量设定点低了。因而,流量操控阀门上装备了一个由关断体系操控的电磁阀,假如正向流量为0,关断体系就会堵截电磁阀,以封闭操控阀。
图4 此图显现了一个答应同享流量操控阀的比如,因为它并不会既宣布恳求又导致维护功用失效,所以它并不会导致单点毛病。
这种状况下,能够答应同享操控阀,因为它并不会既宣布恳求又导致维护功用失效,也便是它并不会导致单点毛病。流量操控器的失效并不会导致流体反向活动,会导致流体反向活动的仅有或许便是给料泵失效,但在此例中即便阀门卡在了恣意一个方位(不管翻开或许封闭),它都不会导致流体的反向活动,只需给料泵能继续作业。关断操作与危险状况发生的原因并不相关,所以安全意图和关断意图同享同一个阀门是答应的。一般为了供应冗余性,都会运用一个独立的关断阀,以防呈现电磁阀断电后流量操控阀仍无法封闭的状况,不管是因为电磁阀损坏仍是操控阀被卡住的原因。
本文的评论并未包含那些答应单点毛病存在的状况。因为这种状况要求对或许的毛病频率做精密的数学剖析,而这种剖析的花费很或许要高于置办一台独立的设备。
总的来说,IEC61511规范答应在SIS和BPCS之间同享现场设备,可是有必定要求,有必要严格履行,以防止运用不安全的办法同享设备。其间一个要求便是对同享组件进行适当杂乱的剖析,而这种剖析常常被误读或许没有被正确履行。终究有必要对一切同享组件进行通过存案和承认的FMEA剖析。
事例一:分水器
这个事端发生于20世纪90年代中东的一处离岸出产平台上。分水器将液态碳氢化合物和水分离开来,并将水通过油腻的排水管道存储在一个罐内。如图2所示,液位变送器LT-101监控水/碳氢化合物的分界面,并通过操控器LIC-101和流量操控阀LV-101操控水流到排水管道。安全体系运用独立的液位变送器LV-102、安全PLC和电磁阀,在堵截电源后,这些设备会从操控阀引进气体,使其封闭。
体系现已运行了一段时刻,进程条件没有改变。这种工况是常见的污物沉积环境,可是阀门却从未通过部分行程测验,而工厂操作人员并不知道,阀门其完成已卡住了。
当进程条件发生改变时,排水量削减,分水器中的液位开端下降,液位操控循环告诉流量操控阀削减流量。因为阀门卡住,流量并未下降,分水器中的液位继续下降。当液位抵达液位下限时,安全体系做出呼应,使电磁阀断电,可是卡住的操控阀门无法做出呼应。
分水器液位继续下降,直到液态碳氢化合物流入排水管,碳氢化合物终究触及点着源,排水管发生了爆破,出产被逼中止,需求进行价值昂扬的修理。总丢失超越一百万美金,干脆没有人员伤亡。
正如本文另一个比如相同,发生了单点毛病——此例中的操控阀显着不契合11.2.10条款的要求。正确的规划应该是为SIS和BPCS分配独立的关断阀。在这种易发生阻塞的环境中,应该进行部分行程测验,不然即便为进程操控和安全功用指派了独立的阀门,成果也是白费。
事例二:低通流量的火焰加热器
美国东北部一家精粹厂中的进程加热器具有如图5所示的安全关断体系。其在可燃气体管道上配有XV-21和XV-22两个关断阀,运用独立的安全PLC进行操控。假如流到加热器中的进程流体的流量下降较大,安全体系就会封闭与焚烧炉相连的可燃气管道。加热器现已稳定地无毛病作业很长时刻了,可是安全循环和进程操控都依赖于同一个流量变送器FT-101。而且,这台流量变送器被装置在进程流体管道下方,而不是上方,潮气在导压管中积累。在冬天,阅历绵长的冰冻期,没有人发现变送器的绝热护套现已掉落,导致导压管中的潮气凝结成冰,阻断了变送器的信号传递。
图5 SIS和BPCS同享变送器FT-101,而这台变送器失效,并导致SIS和BPCS一起失效,终究引起了火灾。
那段时刻,工厂对作业方法进行了更改,操控体系要求削减供应加热器的进程流体。流量循环操控器F%&&&&&%-101开端封闭流量操控阀FV-101,流量因而下降,可是流量变送器结冰了,无法对此做出呼应,然后导致流量操控循环输出收紧,流量操控阀门彻底关断。因为流量低于了下限,安全循环本应做出呼应,可是它的流量输入也来自于同一个结冰的变送器,所以安全体系也无法做出呼应,所以加热器中的管道被过度加热而决裂,石脑油和氢气走漏至加热器的焚烧室中。加热器彻底报废了,其他设备也有损坏,出产被逼中止,总丢失超越一千万美金。走运的是,没有人员伤亡。
问题的关键在于操控循环和关断循环运用了同一个流量变送器,构成了单点毛病,也便是在发生不安全条件的搭档安排安全体系对此做出呼应。很显着这不契合IEC61511规范中11.2.10条款的要求。有必要进行合理规划,为操控器装备一个独立的变送器,而且为关断体系装备独立的变送器以防止单点毛病。
国内闻名的学术专家和企业代表就上述内容结合我国实践宣布了各自的观念:
依照IEC61508的安全规范, 进程操控体系与安全体系应彼此独立, 包含现场传感器、终究履行器、逻辑操控器。在曩昔的实践项目中,关于一些安全等级为SIL1的安全外表功用,进程操控体系与安全体系会同享现场传感器和终究履行器, 节约项意图出资。
跟着智能技能的开展, 确诊现已扩展到曩昔无法检测的现场设备,大大下降了现场设备自身的毛病而呈现的安全事端的或许性。进程操控体系与安全体系的无缝集成,使得进程操控体系能够十分快捷地同享安全体系现场设备的参数和状况信息。当然, 同享现场设备要进行相应的安全评价,有相应的危险下降办法,而且安全规范对现场设备进行办理。
