介绍
这些规定明确了建立石化罐区是保障石化罐区安全的有效措施。 然而,由于罐区SIS的设计和选型不当、冗余结构设置不合理、缺乏明确的检验和测试周期以及针对性维护策略薄弱,SIS无法实现其高可靠性和高可用性。 针对这些问题,今天的文章重点介绍了石化罐区的设计、选型和SIL验证,并以中石化的风险评估管理评价平台PHAMS为例进行SIL验证,并通过验证结果,对不符合目标SIL的SIF进行敏感性分析, 提出改进优化方案,进而提出罐区SIS设计要求,为新建和改造罐区SIS设计管理要求提供参考。
安全仪表系统
根据 IEC 61511 中的定义SIS 是一种仪器系统,由传感器、逻辑控制器和执行器组成,能够执行一个或多个 SIF。单个 SIS 由多个环路组成,任何 SIF 环路由传感器子系统、逻辑控制器子系统和执行器子系统组成。
安全仪表系统的SIL验证
SIS 的 SIL 验证工作的重点是检查 SIF 回路是否满足 SIL 分级报告中定义的目标 SIL 水平。 SIS的SIL验证工作主要有以下几点:
1)根据各SIF电路的配置,以及检查和测试等相关因素,检查每个SIF电路的平均故障概率(PFD**g)。
2)评估每个SIF环路的硬件结构约束。
3)计算了SIF电路的故障停车率,并分析了其对系统可用性的影响。
4)对不满足SIF目标SIL要求的环路进行灵敏度分析,提出改进优化方案。
5)确定每个电路的检查和测试周期(TI)。安全仪表系统中每个SIF回路的SIL级别由PFD**G和硬件结构约束的组合控制。
SIS中每个SIF的PFD**G计算是将SIF分解为传感器、逻辑控制器、执行器等子系统,然后加上每个子系统的PFD**G,根据表1确定结果满足的相应SIL等级。
硬件结构约束的安全完整性由仪器类型(逻辑控制器、传感器、最终元件)、安全故障评分 (SFF) 和硬件故障容限 (HFT) 决定。 式中SFF的计算方法如式(2)所示:
表 2 和表 3 分别显示了 IEC 61508 中规定的 A 类和 B 类安全相关子系统的结构约束判断标准。 一般传感器和电磁阀是 A 类安全相关子系统逻辑控制器是 B 类安全相关子系统。
罐区安全仪表系统设计
石化罐区SIS设计要严格按照危险性和可操作性(HAZOP)分析结果和SIL分类报告进行操作,既要满足原国家生产监督管理总局发布的第40号令和第116号令的要求,又要满足GB T 50770-2013《石油化工安全仪表系统设计规范》对仪表选型和配置的规定。一般来说,罐区仪表的设置应考虑经济合理、技术成熟、维护校准方便或售后服务优良等方面,并结合介质的特点和项目投资。 对于罐区各SIF回路子系统的冗余配置,首先需要通过HAZOP分析结果确定各罐组SIF回路的SIL等级,并根据SIL等级确定储罐仪表的配置。
下面以丙烯球罐为例,设计罐区SIS。
丙烯属于A类液体,涉及“两大关键”,因此,丙烯球罐罐区应设置独立的SIS。 丙烯储罐采用球形全压储罐。 根据丙烯罐区HAZOP分析结果和SIL分类报告,丙烯球罐连续进料导致液位过高,造成丙烯罐超压损坏和泄漏,满罐溢出,造成丙烯泄漏和点火源**。 需要在 SIS 中设置 SIF 环路:高液位联锁关闭进料阀,SIF 电路的 SIL 等级为 SIL2。根据SIL分级结果和GB T50770-2013规定,确定丙烯球罐仪表的设置,如图1所示。
常规丙烯球罐内共设置LZT-01、LZT-02、LZS-033个液位计,信号进入SIS参与“2OO3”液位高联锁,关闭罐根进料阀XZV-01。 下面介绍一下SIS各子系统的选型和设计。
传感器子系统
罐区液位测量具有测量范围宽、测量精度要求高等特点。 目前,在罐区液位测量中,主要采用伺服液位计、雷达液位计、磁致伸缩液位计、液位开关等方案。 由于压力球罐对开口数量有要求,应尽量减少开口,因此,丙烯球罐的LZT-01采用伺服液位计,LZT-02采用雷达液位变送器,LZS-03采用外置超声波液位开关。
1)伺服液位计。伺服液位计是根据浮力平衡原理,由高精度传感器、伺服电机系统、测量磁鼓、测量浮子和钢丝组成,通过测量浮子浮力增减引起的钢丝张力变化,控制器发出命令, 伺服电机带动测量磁鼓以一定步幅旋转,然后带动浮子连续跟踪液位的变化,计数器记录伺服电机的旋转步长,自动计算测量浮子的位移,即液位的变化。丙烯球罐的伺服液位计应附有仪器的校准腔根据防爆区域划分图,防爆等级为EXD IICT4级;220V(AC)外接电源型;丙烯球罐位于高矿区,信号和电源需要配备电涌保护器;伺服液位计应配备罐边指示表,作为液位测量现场的监测仪器安全要求:配备波导管并设置检修截止全通径球阀;伺服液位计符合SIL2级要求。
2)雷达液位变送器。雷达液位变送器适用于恶劣工况下重油、轻油、碳氢化合物液体和储罐的连续液位测量。 丙烯球罐的雷达液位变送器天线形式应为平面天线或导波型根据防爆区域划分图,防爆等级为EXD IICT4级;24V(DC)或220V(AC)外接电源类型;丙烯球罐位于高矿区,信号和电源需要配备电涌保护器;雷达液位变送器应配备罐侧指示表,作为液位测量现场的监测仪器安全要求:配备波导管并设置检修截止全通径球阀;雷达液位变送器符合SIL2要求。
3)超声波液位开关。外置式超声波液位开关,用于丙烯球罐,可减少压力球罐的开度。 外部超声波液位开关的传感器(探头)产生高频超声波脉冲,该脉冲穿过球形罐壁,穿过球形罐壁和丙烯液体,也被反射回来。 通过检测和计算这种反射特性,可以检测球罐中丙烯液位的高度。 安装超声波液位开关时,应保证传感器的测量方向在球内,无零件等障碍物,应避免罐壁焊缝。 丙烯球罐的防爆液位开关为EXD IICT4;选择 24V (DC) 外部电源类型信号和电源需要电涌保护符合 SIL2 要求。
逻辑控制器子系统
SIS 控制器是经过安全认证的设备,符合 IEC 61508、61511 的要求,是一个独立的控制单元。 该系统的SIL等级为SIL3。
执行器子系统
丙烯球罐根阀XZV01安装在丙烯球罐的进出口管道上,当罐区发生火灾、管道泄漏等事故或丙烯球罐液位超过高高液位时,可快速联锁切断进料, 从而避免罐区扩建事故或物料外溢的发生。XZV-01为TSO紧急切断球阀,用于双向流动,应选用二通密封阀内件泄漏等级为 V 级 (TSO);Exd IICT4;IP65防护等级;带易熔塞,熔点250,易熔塞熔化,阀门关闭;带防火罩,防火罩应符合UL1709标准,在1093下能抵抗碳氢化合物火灾30min;火灾危险区域外应设置现场手动关闭阀门按钮或开关,以便在发生危险情况时进行现场手动操作;阀门整体符合SIL2等级要求。
油罐区SIL验证
SIF环路的功能描述和目标SIL如表4所示。 利用中石化PHAMS风险评估平台对SIF电路进行了验证。
一般石化企业每4年检修一次,因此传感器子系统的检测测试时间间隔为48个月,逻辑控制器子系统的检测测试时间间隔为48个月,执行器子系统的检测测试时间间隔为48个月亚克力球罐SIF01环形组件MTTR 8H;传感器使用寿命为 10 A,逻辑控制器为 15 A,执行器寿命为 10 A。 SIF01环路子系统各组件的故障率数据选取PHAMS平台中相应组件对应的一般故障率数据,PFD**G计算方法选用可靠性框图。 SIL验证结果如表5所示。
通过验证结果可以看出,目前设计的SIF01环路的PFD**G和SIL约束结构约束不符合目标SIL2级要求,下面对SIF01进行灵敏度分析,并提出合理化建议,使SIF01环路满足SIL2级要求。 SIF01各子系统的验证结果分析见表6。
从以上结果可以看出,阀门的PFD**G在PFDSYS中占比最高,约为988%,这是系统中最薄弱的环节。 为了提高电路的SIL等级,可以优先降低阀门的PFD**G:例如,如果成本允许,可以使用阀门的“1oo2”冗余配置缩短阀门的检验和试验时间;此外,还可以通过集成功能安全认证和部分行程测试(PST)功能,显著降低阀门的PFD**g。
假设丙烯球罐处于设计初期,在成本和工艺操作条件允许的情况下,加1个阀门XZV-02和XZV-01进行“1OO2”联锁。 将阀门冗余结构改为“1oo2”进行验证,其他可靠性数据不变,改进方案1的验证结果见表7,各子系统的验证结果见表8。
从验证结果可以看出,整个SIF电路的PFD**G和SIL约束结构约束满足SIL2级要求,验证通过。 因此,增加阀门的冗余配置可以大大提高系统的可靠性。
同时,从验证结果分析可以看出,传感器子系统部分对整个电路的可靠性影响不大,对常用液位“2OO3”冗余结构配置进行过度设计,将液位高高联锁改为LZT-02和LZS-03,采用“1OO2”冗余配置进行验证。 验证结果如表9和表10所示。
从验证结果可以看出,传感器的一些冗余配置退化后的SIF回路仍然满足目标SIL,原设计水平“2OO3”联锁设计过度,可以取消LZT01参与SIS联锁,但在实际生产过程中也要考虑可用性, 而“2OO3”还是比较贴切的。
假设丙烯球罐处于在役装置改造阶段,如果阀门计划采用冗余配置,但不能满足阀门和管道的安装空间要求,不能接受成本投入,则阀门由电磁阀、执行机构和阀门组成, 一般来说,电磁阀的可靠性较低,常见的故障是线圈烧毁,造成假关机。因此,在整个系统中,电磁阀可能是最关键的仪表设备,可以使用具有“1oo2”冗余配置的电磁阀来提高阀门的可靠性。 电磁阀的冗余配置可以将原执行器的SIL限制结构约束从SIL1提高到SIL2。 改进方案2的验证结果见表11,各子系统的验证结果分析见表12。
从验证结果可以看出,虽然采用双电磁阀“1oo2”的冗余结构配置,将整个电路的SiL约束提高到SIL2,但计算得到的PFD**G仍未达到目标SIL2要求。 然后,利用PHAMS平台进行重新配置和计算,可以逐渐降低致动器的Ti3,使致动器的Ti3缩短到至少24个月,使SIF达到目标SIL。 验证结果如表13所示,各子系统的验证结果分析如表14所示。
为了保证SIS系统的安全性和可靠性,有必要在设计阶段合理化SIF电路各子系统的冗余结构,避免过度设计同时,在安装、调试、运行和维护中应严格执行IEC 61511功能安全管理的相关规定,并做好各阶段的功能安全评估。