如何实现SIS与BPCS的真正独立?


SIS与BPCS之间的独立性始终是一个备受关注的话题,虽然标准要求两者相互独立,但在实际设计和实施中,如何确立这一独立性的具体标准却并非易事。本文将探讨SIS与BPCS之间的关系,通过具体案例分析两者在实际应用中的独立性要求,讨论如何在确保功能安全的前提下,合理共享现场仪表与设施。

SIS与BPCS在设计中应该相互独立,但是这并不意味着SIS和BPCS完全隔离在不同的时空,没有任何交集。

设计中只要做到BPCS的失效(包含其他的SIS保护层以内的初始事件)或指令不影响SIS的功能安全,不降低安全仪表功能的目标安全完整性等级,就可以认为BPCS和SIS相互独立。

毕竟相互独立的要求是为了追求更好的安全性,不能为了独立而独立。

01

BPCS和SIS独立设置的相关标准规范

(1)IEC61511-1:2016 GB/T 21109.1-2022

11.2.9 SIS设计应全面考虑SIS和BPCS之间,以及SIS和其他保护层之间的独立性和相关性。

11.2.10 一个设备用于BPCS时,不应同时用于SIS,因为这个设备失效导致引发对SIF的要求和该SIF的危险失效。除非分析后可以确认整体风险是可接受的。

注:当SIS的一部分用于控制并且共用设备的一次危险失效可能引起对SIS所执行的功能提出一次要求时,则会引入新的风险。

附加的风险与共用设备的危险失效率有关,这是因为当共用设备发生故障时,立即就会产生一个要求,而SIS对此要求无力做出响应。因此在这些情况下需要进行额外的分析以保证共用设备的危险失效率足够低。

以传感器和阀门为例,经常需要考虑与BPCS的共用情况。

(2)GB/T 50770(新版草案)

5.0.8 安全仪表系统应独立于基本过程控制系统,并应独立完成安全仪表功能。

5.0.9 当安全仪表系统与基本过程控制系统或其他控制系统有共用设备时,安全仪表系统应具有优先权,基本过程控制系统或其他控制系统的失效或指令不应影响安全仪表系统的功能安全,不应降低安全仪表功能的目标安全完整性等级。

从上面标准引文可以看出,SIS和BPCS应该相互独立设置。但是问题来了,SIS和BPCS隔离到什么程度,才可以叫做相互独立?毕竟两者隔离的再远,SIS和BPCS也在同一个工厂之中,按照某些专家严格的判断标准,这也不能叫做相互独立。

笔者认为,所谓的相互独立判断标准应该是:BPCS的失效(包含其他的SIS保护层以内的初始事件)或指令不应影响SIS的功能安全,不应降低安全仪表功能的目标安全完整性等级。设计能够达到这个要求,就可以认为BPCS和SIS相互独立。

02

常见具体案例

(1)能否使用信号分配器将现场仪表信号分别送到SIS和BPCS?

在安全仪表功能回路中,安全仪表信号通过信号分配器送到BPCS是允许的,前提是通过信号分配器送到BPCS的仪表信号在BPCS发生故障时,不能影响安全仪表信号送到SIS。显然,经过合理的设计,信号分配器可以做到BPCS发生故障时,不影响安全仪表信号送到SIS。因此,使用号分配器将现场仪表信号分别送到SIS和BPCS是可以的。

有一种观点认为使用了信号分配器就意味着BPCS与SIS共用了现场仪表,不具备独立性。笔者认为现场仪表和信号分配器是SIS保护功能回路一部分,仅供SIS使用,而信号分配器将信号送到BPCS。在这种情况下,BPCS的内容不包括现场仪表。

(2)节流型流量计能否使用不同取源短管接装不同仪表,信号分别分别送到SIS和BPCS?

可以。前提仍然是BPCS发生故障时,不影响流量计信号送到SIS。

新版GB/T 50770草案的条文说明指出:安全仪表系统与基本过程控制系统可共用检测元件的流量仪表包括孔板、文丘里、楔形流量计和涡街流量计等。对于孔板、文丘里、楔形流量计,安全仪表系统测量仪表的取源点、引压管线应独立于基本过程控制系统设置;对于涡街流量计,安全仪表系统测量仪表的传感器应独立于基本过程控制系统设置。安全仪表系统与基本过程控制系统的液位测量仪表可共用设备上的连通管,但应设置各自独立的根部阀。

(3)BPCS能否发信号到SIS去控制开关阀或者电机?

可以,但是不推荐。

在实际工程设计中,有的开关阀的开关信号或者电机的启停信号只有一个,如果开关阀和电机在事故情况下需要急停,这些信号只能来自SIS。如此一来,BPCS发信号控制开关阀或者电机只能先发信号到SIS,通过SIS输出信号控制受控设备。

根据GB/T 50770 5.0.9节规定,这种情况可以接受。该条文如下:当安全仪表系统与基本过程控制系统或其他控制系统有共用设备时,安全仪表系统应具有优先权,基本过程控制系统或其他控制系统的失效或指令不应影响安全仪表系统的功能安全,不应降低安全仪表功能的目标安全完整性等级。

但是在具体设计中,笔者建议尽量避免这种情况。上面的设计增加了BPCS到SIS的信号,同时使SIS保护逻辑变得复杂,增加出错可能性。如果开关阀需要执行SIS保护功能,可以设计一个SIS专用电磁阀(气动)或者关闭信号(电动),用于事故情况下SIS拥有最高的优先级控制开关阀动作。而BPCS通过另外的电磁阀或者信号控制阀门。

电机也是一样,建议在电机控制回路中设置SIS急停信号,用于事故情况下SIS拥有最高的优先级停止电机。而BPCS通过另外的启停信号控制电机。

(4)BPCS和SIS能否共用UPS电源?

可以。

严格说来,UPS并非BPCS的一部分,它只是为仪表控制系统提供可靠电源的设备。BPCS故障最多只能使得UPS给BPCS的配电开关跳闸,不会影响SIS的供电。

根据GB/T 50770条文说明:5.0.16 石油化工生产装置的安全仪表系统供电属于一级负荷中特别重要的负荷,应采用不间断电源(UPS)供电,宜采用双 UPS供电方案, 两个供电回路相互独立。安全仪表系统可与基本过程控制系统等共用UPS电源,电源断路器应独立设置。安全仪表系统的机柜风扇、照明等辅助设施的供电宜采用非UPS电源。

某些专家把“安全仪表系统应独立于基本过程控制系统”这个总体原则做了过度解读,认为“相互独立”就是不能有任何公用部分。有些专家在安全审查中提出来,设计要给SIS配置专用的UPS,SIS电源不能和DCS共用。这个提法偏离了标准,并不准确。SIS和BPCS当然要相互独立,但是独立的内在含义是“BPCS的故障(初始事件)不能影响SIS安全保护功能,不应降低安全仪表功能的目标安全完整性等级”,而不能看到“独立”二字,就望文生义地认为SIS和BPCS不能有任何交集。毕竟SIS和BPCS的控制保护对象是同一个生产装置,他们之间存在着千丝万缕的关系。

(5)BPCS和SIS信号电缆路径是否要分开?BPCS设备和SIS设备能否安装在一个机柜室?BPCS阀门能否和SIS阀门共用气源电源?BPCS仪表能否和SIS仪表共用伴热管线?

回答与上一个问题相同。电缆路径、机柜室、气源、电源和伴热管线并非BPCS专用,只是提供给BPSC和SIS的设施,不应该认为BPCS和SIS共用这些基础设施,就认为二者不相互独立了。需要评估的是SIS计入基础设施的失效率后,其可靠性仍然满足要求。

(6)BPCS和SIS之间能否进行通信和信号交换?

当然可以。

GB/T 50770新版草案9.1节一般规定中允许SIS和BPCS通信,一般采用冗余RS485串行通信。SIS可向BPCS发送数据,BPCS可以向SIS发送旁路信号和复位信号。BPCS与SIS之间其他指令信号交换应采用硬接线形式。

(7)调节阀能否作为SIS的切断阀执行紧急切断功能?

GB/T 50770新版草案中有下面规定:

7.2.1 SIL1级安全仪表功能控制阀宜与基本过程控制系统分开。当与基本过程控制系统共用控制阀时,应确保安全仪表系统的动作优先并独立完整。

7.2.2 SIL2级安全仪表功能控制阀应与基本过程控制系统分开。

7.3.2 控制阀的安全性冗余设置:SIL1级安全仪表功能可采用单一控制阀,SIL2级安全仪表功能,宜采用冗余控制阀,SIL3级安全仪表功能,应采用冗余控制阀。

综合上面的规定,可以得出下列结论:

SIL1级安全仪表功能在一定条件下可以使用BPCS的调节阀作为切断执行机构,同时应确保安全仪表系统的动作优先并独立完整;

SIL2级安全仪表功能不能使用调节阀作为紧急切断用途,但是标准只是推荐使用冗余控制阀,一定条件下可以设计单一的紧急切断阀;

SIL3级安全仪表功能不能使用调节阀作为紧急切断用途,而且应采用冗余控制阀;

从成本控制角度来看,应该避免分配SIL3等级安全仪表功能到SIS保护回路,尤其是紧急切断阀门位于大口径高压力管道上面时;

无论什么样的配置,安全仪表功能都应该满足SIL等级验算要求。

03

降低事故风险和安全运行是流程工业追求的重要目标。在流程工业中,一般采用不同层次不同措施实现工艺流程的“必要风险降低”,最终达到“可接受风险”的目标。这些层次和措施应该是相互独立的,一般称之为独立保护层。下图为流程工业保护层模型,也称为“洋葱模型”。

安全仪表系统是重要的石化工厂保护措施,一般包括紧急停车系统(ESD)、燃烧管理系统(BMS)、火灾和气体保护系统(FGS)、高完整性压力保护系统(HIPPS)等内容。这些子系统分别位于防护层和减灾层,用于降低工艺流程的事故风险和减轻或者抑制危险事件后果。在本文中安全仪表系统特指紧急停车系统或者其他位于保护层的可编程电子电气装置,其作用是降低危险事件发生概率,保持或者达到安全状态。

安全仪表系统由传感器、逻辑控制器和最终控制元件组成,当流程条件或者状态偏离正常范围时,将生产流程置于安全状态。按照独立保护层模型要求,SIS与基本过程控制系统(BPCS)应该隔离,SIS作为独立保护层实现流程保护功能。

按照《GB/T 32857-2016 保护层分析(LOPA)应用指南》定义,独立保护层(Independent protection layer)是指一种设备、系统或行动,有效地防止场景向不期望的后果发展,它与场景的初始事件或其他保护层的行动无关。独立性表示保护层的执行能力不受到初始事件或其他保护层失效的影响。独立保护层的有效性和独立性可以被审查。

文中若有错误欢迎批评指正,欢迎评论区留言,分享经验,共同学习!↓↓↓

说点什么