在石油化工生产过程中,SIS(Safety Instrumented System)联锁逻辑是确保工艺过程安全的重要手段之一。SIS联锁逻辑中,常见一取一、二取二、二取一、三取二等不同的配置方案。最近工艺提出了一个新的说法:四取四。那么到底如何配置呢?本文件针对SIF联锁聊聊这个话题。
1、SIS联锁逻辑几取几的规定及其影响因素是什么?
在一般情况下,选择方案是根据工艺过程的特点、安全要求、可用性要求及合规性要求来确定的。常见的测量仪表几取几方案包括:
①一取一:只要输入信号满足触发条件,就会触发联锁。仪表有故障将可能触发联锁。
②二取二:两个输入信号同时满足触发条件才会触发联锁。只有一台仪表有故障不会触发联锁。因此二取二安全性相对低一些,可用性相对较高。
③二取一:两个输入信号中任一个信号满足触发条件,就会触发联锁。只有一台仪表有故障时,另一台正常运行的仪表尚可继续执行安全仪表功能(表决结构有降级),所以一台仪表的故障不会引起联锁的拒动,但是一台仪表的故障可能引起联锁误动作。因此二取一安全性相对较高,可用性相对较低。
④三取二:三个输入信号中的任意两个满足触发条件,才会触发联锁。一台仪表的故障即不会引起联锁误动作,也不会引起联锁的拒动。只有一台仪表有故障时,另两台正常运行的仪表尚可继续执行安全仪表功能(表决结构有降级)。因此,三取二同时具有较高的安全性和可用性,兼顾了安全性和可用性。
⑤除了以上常见的方案,还有一些特殊的方案,如:四取四、六取三等。四取四方案要求四个输入信号同时满足触发条件才会触发联锁。一台仪表故障、两台仪表同时故障、三台仪表同时故障,都不会引起联锁误动作。因此,四取四具有很高的可用性,安全性则很低。实际工程中通常不会采用这种方案。
注1:仪表故障时,输出信号可能达到了联锁触发条件,也可能没有达到联锁触发条件,取决于故障类型以及仪表的组态设置等情况。
注:2:上述“故障”的定义--由于某个内部状态,无能力按要求执行。[来源:GB/T21109.1-2022,3.2.19]。
注3:对于一些智能型仪表具有故障自诊断功能,当自诊断发现特定的故障时,可以通过设定输出预定信号,可能会对上述联锁表决产生影响。检测到故障时的系统行为可参考值GB/T 20438.2-2017的7.4.8的要求。
几取几方案需要考虑以下几个因素:
①工艺过程的特点
不同的工艺过程具有不同的特点,例如复杂程度、风险等级等。选择方案应根据工艺过程的特点来确定,以确保系统的安全性。
②安全性
不同的工艺过程对安全性的要求不同,几取几方案应根据安全要求来确定。对于对安全性要求高的工艺过程,可能需要高安全性的配置方案。
③可用性
选择方案的确定还需要考虑实际的可用性。如果具备了高安全性,但是可用性很差,也是不具备工程实际价值的。工程中应综合考虑安全性和可用性。
④合规性
比如安全仪表联锁回路的SIL等级、仪表可靠性能、硬件故障裕度HFT、系统能力SC等合规性要求,本文拓展知识摘录举例说明了硬件故障裕度HFT的要求,其他合规性要求见相关标准规范文件的要求。
综上所述,SIS联锁逻辑几取几的配置方案是根据工艺过程的特点、安全性要求、可用性、合规性要求来确定的。选择合适的方案需要确保系统的安全性,同时一定程度的兼顾可用性。
2、SIS联锁逻辑几取几配置方案的确定方法是什么?
①安全评估
进行全面的安全评估,分析工艺过程的风险等级、可能的故障模式和影响,以及对安全性的要求。根据评估结果,确定适合的几取几方案。
②功能需求分析
明确SIS联锁逻辑的功能需求,包括输入信号的类型和数量,触发条件,输出信号的类型和逻辑关系等。根据功能需求,选择合适的几取几方案。
③设计标准和指南
参考相关的设计标准和指南,如GB/T21109系列(IEC 61511 series IDT)、GB/T20438系列(IEC 61508 series IDT)和ISA 84等,了解其中对几取几方案的规定和建议。这些标准和指南提供了一些通用的原则和方法,可作为选择方案的参考。比如合规性要求,本文拓展知识摘录举例说明了硬件故障裕度HFT的要求,其他合规性要求见相关标准规范文件的要求。
④经验和专业知识
借鉴过往的经验和专业知识,特别是针对类似工艺过程的案例。了解在类似情况下采用的几取几方案,以及其效果和可行性。
⑤可行性分析
对候选的几取几方案进行可行性分析,考虑实施的技术可行性、成本效益、可靠性和维护难度等因素。根据分析结果,选择最适合的方案。
需要强调的是,选择方案是一个综合考虑的过程,需要结合实际情况和需求进行灵活的判断。在确定选择方案时,最好借助专业工程师的意见和经验,以确保选择的方案能够满足安全性和可用性的要求。
3、SIS联锁逻辑在石油化工行业的应用案例
以下举例仅从主要的通用原则考虑,实际工程中考虑因素可能会更多。
【案例1】SIS测量仪表配置举例,工艺要求一取一,SIL定级为SIL2,按照功能安全标准,结合选择仪表的情况,为满足SIL2,当测量仪表需要HFT=1【依据GB/T20438.2—2017中7.4.4.2(路线1H)】。仪表为SC3的测量仪表。这样,确定采用二取一配置。经SIL验算,二取一配置满足失效率的验证。综合以上,采用二取一的配置。如果业主想提高可用性,可以将二取一修改为三取二配置。
【案例2】SIS测量仪表配置举例,工艺要求三取二,SIL定级为SIL2,按照功能安全标准,结合选择仪表的情况,为满足SIL2,当测量仪表需要HFT=1【依据GB/T20438.2—2017中7.4.4.2(路线1H)】。仪表为SC3的测量仪表。这样,确定采用三取二配置。经SIL验算,三取二配置满足失效率的验证。综合以上,采用三取二的配置。
拓展知识
◆HFT的确定原则
GB/T 21109.1-2022 《过程工业领域安全仪表系统的功能安全第1部分:框架、定义、系统、硬件和应用编程要求》
11.4.3 SIS或SIS子系统的HFT应符合:
—11.4.5~11.4.9;
—GB/T20438.2—2017中7.4.4.2(路线1H);
—GB/T20438.2—2017中7.4.4.3(路线2H)。
注:IEC61511中建立的路线源自GB/T20438.2—2017中的路线2H。
11.4.4 确定实现的HFT时,如果某些故障发生的可能性相较于安全完整性要求来说非常低,那么可以排除这些故障。这样的故障排除都应进行论证和记录。
注:关于故障排除的进一步信息可参见ISO13849-1:2006和ISO13849-2:2012。
11.4.5 执行某个具有特定SIL的SIF的SIS(或SIS子系统)的最小HFT应符合表6,以及11.4.6和11.4.7(如果适用)。
注:表6中的HFT要求表示最小的系统或SIS子系统冗余度。取决于具体应用、设备失效率和检验测试间隔,根据11.9要求,可能需要额外的冗余来满足SIF的SIL对应的失效量。
11.4.6 对于未使用FVL或LVL可编程设备的SIS或SIS子系统,若表6规定的最小HFT导致额外故障并导致整体过程安全降级,则HFT可以减小。这种情况应开展论证并形成文档。论证时应有证据证明计划的架构符合预期目的并且满足安全完整性要求。
注:故障裕度是实现要求置信度(实现健壮的架构)的首选解决方案。当应用本条时,论证的目的是证明提议的替代架构提供了等效的或更好的解决方案。这可能取决于应用或使用的技术;如备用设置(例如,解析冗余,用其他传感器输出量的物理计算结果代替某个失效的传感器输出量);使用同类技术的更可靠产品(如果有);改用更可靠的技术;通过使用多样性技术减小共因失效的影响;提高设计余量;限制环境条件(例如:针对电子组件);通过收集更多的现场反馈或专家判断减小可靠度的不确定性。
11.4.7 应用11.4.6时,如果得出某个故障裕度等于0的结果,11.4.6中要求的论证应提供证据证明相关的危险失效模式可被排除(根据11.4.4要求,包括对系统性失效的可能性的考虑)。
11.4.8 FVL和LVL可编程设备的诊断覆盖率不应小于60%。
11.4.9 失效量计算中使用的可靠性数据应由不小于70%的统计置信区间上限确定。
◆GB/T 20438.2-2017 电气/电子/可编程电子安全相关系统的功能安全 第2部分:电气/电子/可编程电子安全相关系统的要求
7.4.4.2 路线1H
注:这里只摘录了7.4.4.2中的表2和表3,其他具体要求见GB/T 20438.2-2017,7.4.4 硬件安全完整性架构约束。
7.4.4.3 路线2H(略)
关于SIS联锁逻辑几取几你怎么看?欢迎大家在评论区发表你的高见,分享经验并共同探讨!
相关阅读
◆SIS的联锁和DCS的联锁动作的区别
◆一文弄懂自锁、互锁和联锁的概念及应用