过程控制系统、安全系统什么时候可以共享现场设备?
SIS和BPCS有时可以共享组件,但必须经过仔细的分析。
安全仪表系统(SIS)和基本过程控制系统(BPCS)可以共享现场设备吗?这当然可以省钱;考虑到LNG工厂的一个大型低温阀门很容易就会花费50万美元。但是SIS和BPCS如何共享阀门或其他部件,并且仍然符合标准呢?本文将研究相关的标准,并说明如何做到这一点,以及不应该做到这一点。
适用的标准
为了符合国家法规的要求(ISA 84.00.01是IEC 61511的美国版本),SISs通常设计为符合IEC 61511。该标准规定了允许在安全和基本过程控制系统之间共享设备,但也对何时允许共享设备和不允许共享设备设置了某些要求。这些要求经常被误解和忽视。最终目标是避免单点故障,在这种情况下,单个设备的故障可能导致过程失控,对安全系统产生需求,但同时也通过阻止其正确响应而破坏关闭系统。
为了成功地共享现场设备,了解被控制的过程是至关重要的——不仅仅是安全设备或电子设备,还有被控制的化学过程。人们必须了解过程和设备的使用方式,并了解它们是如何失败的,以及如果它们失败了会发生什么。
请看IEC 61511第8.2.1段关于共享设备的说明:
“在确定安全完整性要求时,需要考虑产生要求的系统和旨在响应这些要求的保护系统之间共同原因的影响。”
这不是一个规范的要求,但说明在BPCS和SIS之间共享组件之前需要仔细考虑,以确保总体风险在允许的范围内。此外,第11.2.10段及其所附说明提供了更多的意见:
“用于执行部分安全仪表功能的设备不得用于基本过程控制目的,如果该设备的故障导致基本过程控制功能的故障,从而导致对安全仪表功能的需求,除非已经进行了分析以确认总体风险是可接受的。”
“注意:当SIS的一部分也用于控制目的时,普通设备的危险故障将导致SIS执行功能的需求,那么就引入了新的风险。额外的风险取决于共享组件的危险故障率,因为如果共享组件失败,将立即创建SIS可能无法响应的需求。因此,在这些情况下需要进行额外的分析,以确保共享设备的危险故障率足够低。传感器和阀门就是经常考虑与BPCS共享设备的例子。”
这意味着如果设备的故障将导致BPCS循环对SIS提出要求并同时导致SIF失效到危险状态,那么就不应该使用具有安全检测功能的设备(SIF,本质上是用于安全目的的控制循环)。这个子句是防止单点故障需求的起源。
11.2.10说明说,只要这种故障的频率低到可以接受的程度,单点故障是允许的。这需要详细的定量分析——这是一个费力的过程,许多人做得不好,经常忽视。然而,在大多数情况下,数学分析将揭示共享是不可能的。
FMEA流程
共享将需要共享设备的FMEA(故障模式和影响分析)。这意味着对于任何共享设备(发射机、阀门甚至整个控制环),必须确定每个共享组件可能发生故障的所有不同方式,以及任何故障模式是否构成单点故障。虽然标准没有明确要求,但我们强烈建议该研究被正式记录和验证。
FMEA流程首先列出要为给定循环或函数共享的每个项目的列表。应列出每一项的所有失效模式,并且必须描述每种失效模式的失效影响。如果主要故障使保障失效,那么这就构成了单点故障。然后必须通过重新设计或定量分析来消除单点故障,以证明故障频率低到可以执行。
太多的分享
图1显示了一个具有大量共享的示例。工艺为水敲鼓;碳氢化合物和水之间的界面由液位变送器LT-101监测,它向控制系统中的控制器功能块LIC-101提供过程测量,该控制系统调节液位控制阀LV-101,使鼓中的水位保持在设定值。功能块LSLL-101,低级限制,在本例中提供安全函数。可能的失效模式及其后果如下表:
这个示例经过简化,只突出显示了两个共享组件。在现实中,DCS输入卡、DCS CPU、DCS输出卡和电平阀都是共享的,应该包括在故障分析中。
这种安排显然不能使用,但如果安全功能被分离出来,至少部分分离出来,会发生什么呢?在图2中,添加了一个单独的电平变送器LT-102。这为其自身的逻辑求解器提供了一个液位测量信号,该逻辑求解器通过切断电磁阀来释放控制阀LV-101的空气,从而使其关闭,从而对低水平条件作出响应。在这种情况下,唯一的共享组件是控制阀。失效模式分析如下表所示:
同样,共用的只是控制阀提供的保护不够。
图3显示了附加单独的关闭阀的情况。本例中的分析很简单:不存在单点故障,因为没有共享组件。
分享是有效的
例如,在允许共用某些组分的情况下,考虑加氢裂化器或重油加氢处理器。在这些工艺装置中,将有一个进料泵,从一个低的进料系统压力,可能是100 psig,到一个非常高的反应堆压力,1000到2000 psig。如图4所示,有一个停机系统,用于检测由于泵故障而导致的正向流量损失。
然后,关闭系统将关闭一个关闭阀,以防止高压反应堆系统通过进料泵回流到低压进料系统,从而可能导致压力释放。当泵发生故障时,泵排泄处的流量控制器将通过打开控制阀来响应低流量条件,以尝试增加流量,因为测量流量(零)低于进料流量设定值。因此,在流量控制阀上设有由停机系统控制的电磁阀。如果失去正向流量,关闭系统将切断电磁阀的电源,关闭控制阀。
在这种情况下,共享控制阀是允许的,因为它不会构成产生需求和导致保护功能危险失效的单点故障。流量控制器故障不能导致逆流。导致逆流的唯一原因是泵故障。如果阀门卡在任何位置——就位、开启或关闭——如果泵继续工作,就不会引起逆流。关闭动作与危险情况的原因无关,因此为了安全目的和关闭目的而共用阀门是允许的。如果电磁阀断电时流量控制阀不能关闭,通常会提供一个单独的关闭阀,以提供冗余,无论是由于电磁阀故障还是控制阀卡死。
我们还没有讨论允许单点故障的情况。这需要对可能发生故障的频率进行详细的数学分析,这种分析可能比购买单独的设备更昂贵。
总之,IEC 61511允许在SIS和BPCS之间共享现场设备,但它有一些要求,如果正确实施,将防止以不安全的方式共享。这些需求之一是对共享组件进行相当复杂的分析,这经常被误解或做得不正确。最后,应执行所有共享组件的文件化和验证的FMEA。
Marszal是Kenexis咨询公司的总裁。霍金斯是艾默生过程管理公司的全球炼油业务顾问。
案例研究
燃烧加热器低通流量
美国东北部一家炼油厂的工艺加热器具有如图5所示的安全关闭系统。燃气管路有XV-21和XV-22两个截止阀,由安全PLC独立逻辑控制。如果流向加热器的工艺流体减少太多,安全系统就会关闭流向燃烧器的燃气。加热器长期稳定运行,没有出现任何问题。但安全回路和过程控制都依赖于相同的流量变送器FT-101。此外,流量变送器安装在工艺流体线的下方,而不是上方,并且水分在脉冲线中凝结。冬天有一段漫长的寒冷期。没有人注意到绝缘袋从发射机上掉了下来,导致脉冲线中凝结的水分冻结成固体,将发射机的信号锁定在原地。
在此期间发生了操作变化,工厂控制系统要求减少流向加热器的工艺流体。流量回路控制器FIC-101开始关闭过程流体流量控制阀FV-101。流量下降,但流量变送器被锁定在原地,没有响应。这导致流量控制回路输出上紧,驱动流量控制阀完全关闭。当流量下降到下限以下时,安全回路应该已经响应,但其流量输入来自与流量控制回路相同的锁定流量变送器。安全系统没有反应,加热器的管道过热破裂,石脑油和氢气泄漏到加热器的火箱中。加热器全损,其他设备损坏,生产被关闭。总花费超过1000万美元。幸运的是,没有人员伤亡。
这里的故障是控制回路和停机回路共用的流量变送器构成了单点故障,同时造成不安全情况,并使安全系统无法响应。这明显违反了IEC 61511中11.2.10的规定。正确的设计需要为控制器和关闭系统分别安装一个发射机,以避免单点故障。
水敲鼓
该事故发生在20世纪90年代中东的一个海上生产平台上。除水鼓将液态碳氢化合物和水分离,通过油水下水道将水送到储存罐。如图2所示,液位变送器LT 101监测水/烃界面,并使用控制器LIC-101和流量控制阀LV-101控制下水道的水流。安全系统使用了一个独立的液位变送器LT-102,它自己的安全PLC和一个电磁阀,当断电时,该电磁阀将从控制阀中释放执行空气并使其关闭。
该系统已经运行了一段时间,工艺条件没有变化。这是一个已知的结垢沉积作业,但该阀门从未进行过部分冲程测试,而且,在工厂操作人员不知情的情况下,该阀门卡住了。
然后改变工艺条件,减少出水。除渣鼓中的液位开始下降,液位控制回路向流量控制阀发出降低流量的信号。由于阀门被卡住,流量并没有减少,鼓中的水位继续下降。当达到下限时,安全系统反应,电磁阀断电,但卡住的控制阀没有反应。
桶的水位继续下降,直到液态碳氢化合物进入下水道。碳氢化合物最终找到了引燃源,下水道爆炸,生产停止,需要昂贵的维修。总损失超过100万美元,幸运的是没有人员伤亡。
在另一个示例中,有一个单点故障—在本例中是控制阀,明显违反了11.2.10。这里正确的设计是SIS与BPCS分离的专用关闭阀。值得注意的是,即使使用单独的阀门进行过程控制和安全功能,在这种已知的污垢应用中,也应考虑部分行程测试。
您是否具有本内容中提到的主题的经验和专业知识?你应该考虑为我们的CFE媒体编辑团队做出贡献,并获得你和你的公司应得的认可。点击在这里开始这个过程。
