首先我们要明白要通过SIL验证,必须满足哪些条件?
根据IEC 6150811要求,评估子系统的SIL通过验证以下三个条件必不可少:
(1)低要求操作模式下,在安全仪表功能(SIF)被要求时完成其设计功能的平均失效概率(PFDawg)必须满足SIL要求。
(2)硬件故障裕度(HFT)必须满足IEC 61508中对该SIL的最小HFT要求。
(3)系统失效避免及控制要求、软件要求满足条件。根据IEC 61508,该因素主要与设备的使用、维护、管理有关。
为了能够满足上述三个条件并通过SIL验证,就必须从SIL定级前的准备、SIL定级过程、SIL验证各阶段中做好准备,有针对性的寻找解决方案。特别由于SIL验证一般在项目设计的中后期,此时很多设备订货可能正处于进行中,如果不加以分析,只是盲目的根据验证结果增加仪表,结果可能由于SIL验证的瓶颈并不一定来自硬件架构,那么由此带来的仪表投资增加就不一定合理,而且还会引起其它相关专业采购及设计变更;还有为了改善仪表的λ值,盲目的更换仪表类型,这样表面看来会更好,但是可能不适用特定的工况。所以在SIL验证阶段中,结合SIL验证报告中给出的合理化建议,分析原因并有针对性的加以研究解决尤为重要。
一、SIL定级前
1. 尽量采用成熟的设计方案。比如很多国外公司以及国内大型企业在工艺设计时就进行了Pre-HAZOP和Pre-SIL,这样不至于后期SIL验证不通过时对工艺系统再进行大面积修改,又造成不必要的损失。
2. 合理的HAZOP分析。当前国内外进行SIL定级采用最多的方法就是LOPA,而LOPA是紧紧依托于HAZOP分析的,因此HAZOP会议中应尽量对各场景做比较完整和合理化的分析,尽可能多的寻找已存在的安全保护措施,为后期的LOPA分析-SIL定级寻找独立保护层(IPL)做准备。
3. 合规的并带有SIL认证的仪表。为满足后期实际SIL验证的需要,在安全回路设计时所采用的仪表检测元件、变送器、联锁阀门及执行机构通常要求至少SIL 2的认证,订货时就要求厂家提供SIL的认证报告;对于安全仪表系统(SIS),应充分考虑设计装置的历史成熟经验,一般设计为SIL3等级。
二、合理的SIL定级
在定级前必须就项目采用的风险矩阵基本原则及安全要求规格书(SRS)中的基本数据与业主达成共识,否则定级会议时可能产生分歧。
(1)后果及严重性等级评估。来源于HAZOP报告,请注意该数据的量化对于SIL定级至关重要,业主往往单方面希望提高SIL的等级来提高装置的安全性,但是EPC要控制投资,有实际国外项目案例表明,最大的分歧在于对资产损失的评估,业主有时不顾HAZOP报告中的后果严重性等级评估结果,在SIL定级会议中单方面夸大财产损失并提高后果严重性等级的量化值,这样会直接提升该SIF回路最终需要达到的风险降低因数(RRF)的分值,从而提高SIL等级,导致后期验证很难通过,最后只能通过SIL重新定级来解决。因此在HAZOP及SIL活动期间,对后果严重性等级的评估,各要做到尽可能有依有据,科学合理,不能任凭单方面盲目夸大。
(2)场景事故发生的频率的评估及确定。场景事故发生的频率决定了对事故后果的严重性降低的倍数,最终也会影响SIF回路需要达到的RRF值和SIL等级。
(3)独立保护层的使用。一般引用HAZOP报告中已有的安全保护措施,对其独立性和有效性进行识别。另可根据需要,寻找之前HAZOP报告中可能遗漏的IPL。根据GB/T 32857-2016-6.1.2,允许SIL定级会议LOPA分析时补充IPL。一个独立的IPL能够至少降低10倍基础RRF分值,导致SIL的等级可能直接降一个级别,甚至多个IPL能够将SIL的等级直接降为没有SIL需求。
因此IPL的寻找和使用至关重要,SIL定级会议一旦结束,后期进入SIL验证阶段时,由设计方再次寻找的新的IPL被认可,以此来降低目标SIL并使验证通过的流程将会变得更加复杂,所以SIL定级会议前足够的准备是必须的。
三、SIL验证不能通过原因及解决方案
经过上述措施后,在SIL验证阶段仍可能存在部分SIF不能通过的情况。
1.目标RRF分值与实际计算RRF分值非常接近,基本在一个数量级时。
此时应尽量避免做过多的设计修改以及投资变动,解决的优先级别建议如下:
1)初始验算时,通常使用验证软件数据库中自带的通用数据,但该数据往往没有真实订货数据好。因此当取得订货产品SIL证书后,用实际数据验证就可以显著提升SFF (安全失效分数)值,进行再次验算并通过。
2)安全栅、继电器、电磁阀、部分行程测试(以下简称PST)等对整个回路的制约:
炼油化工装置中,本安设计为防爆技术的首选,完整安全回路典型接线如下:
检测元件子系统(检测元件-变送器-输入安全栅)-逻辑控制单元-最终执行元件子系统(输出安全栅-电磁阀联锁阀门)
极个别的情况,当检测元件比较特殊时,检测元件不能匹配具有SIL认证型号的安全栅,根据IEC61508对硬件的约束条件,即使改变架构为1oo3或2oo3也不能过多改变检测元件子系统的PFDavg值,安全栅成为瓶颈,这时可以考虑设计为隔爆类型,取消安全栅。
最终执行元件的阀体可靠性非常好,有些可以达到SIL3,但是安全栅或电磁阀有时受限于项目要求的类型不能达到SIL3,如果新增一台阀门,可能会造成投资及空间浪费,这时可以考虑仅仅增加冗余电磁阀,也有国外项目选用隔爆的电磁阀,直接取消安全栅以减少SIF回路的中间环节;同时为提高阀门整体的安全失效分数(SFF),可以通过增加PST功能,并可根据目标RRF分值适当调整PST的频率,从而提高最终执行元件子系统的综合SFF来通过验算。
3)修改检测元件子系统或者最终执行元件子系统的检验测试时间(PTI)。
检验测试也称功能测试,指的是人工完成的周期性的离线测试,测试后系统能恢复至或接近于"全新状态"。测试的目的主要是进一步发现安全仪表中的危险失效,通过较为彻底的检修提高其可靠性,使SIF回路恢复至设计要求的SIL等级。通常PTI等于或近似等于工厂的计划停工时间,但是为了满足SIL要求,在具有必要的离线检验措施,例如通过设计合理的维护旁路开关(MOS)和各类自动旁路降级架构等,适当减小检测元件子系统或者最终执行元件子系统的PTI并获得业主的认可,有利于提高单台设备的SFF值和SIF回路能达到的RRF分值,从而满足目标要求。
4)修改仪表厂家或型号,提高单台设备的SFF值,将不能提供SIL认证参数的厂家或产品换为同类型能提供SIL证书的厂家或产品。
5)改变检测元件表决的架构,增加容错和HFT值。因为一般检测元件都比最终执行元件投资小,安装变更小。
6)增加最终执行元件的SFF值,且尽量避免增加投资大的阀体等设备。一般 最终执行元件均属于A类元件,参考IEC 61508-2-2010,当SIF回路要求为SIL 2时,如果不冗余配置,应尽量增大单台执行元件的SFF值保证在60%以上;当要求为SIL3时,如果不冗余配置,执行元件要具有SIL3认证且SFF值要达到90%以上。
当SIF的最终动作包含电机联锁时,设计就尽量选用SIL3或SIL 4认证的继电器。
2.目标RRF分值与实际计算分值相差较远,甚至不在一个数量级时。
按照国外工程公司经验,验算通不过的基本为SIL2以及以上的回路,针对目标RRF值大于200的SIF,当上述方法明显无效时,多数情况下可以通过改变仪表的架构,修改执行机构为1oo2的冗余配置,问题基本都能够解决。
更合理的解决方案是想办法降低SIF回路的目标RRF分值,也就是直接将SIL等级降级,从根源上能解决一切验证不通过的难题。所以在SIL定级时,如果没有考虑足够多的IPL,此时还需要继续请工艺一起来分析工艺变更的可能性,最好是通过工艺的途径来解决。由陶氏洋葱结构可以看出,解决的优先级别应该从洋葱层的核心入手:
1)工艺本质安全设计是避免风险发生的根源,请考虑是否可能修改工艺设计,本质上消除HAZOP分析中危险场景的风险源。
2)与工艺协商, DCS中是否可能增加有效的控制回路作为IPL,详见GB/T32857-2016《保护层分析(LOPA)应用指南》对该类IPL的详细要求,通常该类IPL只能找1个。
3)核实和增加工艺变量报警,这个最容易实现,而且几乎不增加什么投资,但是报警要和操作工的响应配合使用,且要留给操作工足够的处理时间。注意多个报警只能算一个IPL。
4)寻找其他带有SIL等级的SIS联锁作为IPL。根据GB/T 32857-2016所述,用作IPL的联锁SIL等级越高时,对RRF降低的贡献越大,很可能将被分析的SIF回路降为没有SIL等级的要求。
5)请工艺检查安全阀、爆破片的设计是否可作为事故场景有效的IPL。
还有最极端的一种可能,无论你使用怎样的设计变更行为,包括考虑工艺的保护层,均不能通过验算,甚至该工艺有史以来从来没有出现过如此高的SIL等级,这时候必须要从根上寻找原因,可能是HAZOP活动或SIL定级活动中对后果严重性评估过高,最终只能通过SIL重新定级来解决。
从上面分析可以看出,对于一个成熟的工艺,出现SIL验证不能通过的情况,有些时候是非常难于解决的,无论仪表如何修改,都无法通过验证,最终还是回到SIL定级的根源来解决问题,所以在HAZOP阶段就应该花费大量的精力,通过合理的设计,增加针对消除危险源的措施,形成尽可能多的有效的IPL,保证本质安全,而不是将风险的解决全部交给仪表或操作工的管理行为。
国外项目的验证非常严格,最终全部使用订货的真实数据进行验算,具有一定的代表意义,也可供同行参考。
备注:来源网络,侵删。
热门跟贴