如何编写SIS系统联锁测试规程

2024/11/16 13:57:38 人评论 次浏览 分类:DCS  文章地址://www.e-cumulus.com/tech/5840.html

安全仪表系统(SIS)的测试是保证其功能完整性的最重要的手段,如何测试联锁首先得编写SIS系统联锁测试规程(方法),和我们生产操作规程一样,是联锁测试工作的指导性文件,是非常关键和重要的。没SIS系统联锁测试规程的测试就是无源之水无本之木。在测试过程中,能发现SIS系统联锁逻辑编程或者施工接线错误,这些错误如带到生产中,会带来巨大的安全风险。以前,联锁编程错误屡见不鲜,之所以在联锁测试中未被发现,其根原因就是未编写完善的SIS系统联锁测试指导性文件或者联锁测试人员能力不足,主要依靠SIS厂家编程人员,而SIS编程人员对工艺理解不足,导致联锁编程错误。联锁投用前的测试必须是企业人员自主开展,而非SIS厂家人员。SIS厂家人员参与的是FAT和SAT阶段,三者有本质区别,在各种检查中,这几个报告均需要。

◆GB/T21109.1-2022在升版的过程中,看到了这个重大问题,并明确写入规范,严肃测试规程。


GB/T21109.1-2022原文:

16.2.10 操作和维护规程可能需要修订,有必要时应在修订后进行:

-功能安全审核;
-SIS 测试;
-来自正常或异常操作和维护事件的经验。
16.2.11 应为每个SIF编制书面的检验测试规程,以揭露未被诊断检测到的危险失效。这些书面的测试规程应描述需要执行的每个步骤并应包括:
-每个传感器和最终元件的正确操作;
-正确的逻辑动作;
-正确的报警和指示。
注:下列方法可用来确定需被测试的未检测到的失效:
-故障树检查;
-失效模式和影响分析;
-以可靠性为中心的维护。
16.3 检验测试及检查
16.3.1 检验测试
16.3.1.1 应使用书面的规程进行定期的检验测试以揭露未检测到的故障,这些故障阻碍SIS按照SRS运行。
注1:特别要注意识别可能导致共因失效的失效原因。
注2:功能测试规程还可强调对于避免引入共因失效的需求。

◆GB/T41295.4-2022要求对在线检测的联锁测试规程进行复审


GB/T41295.4-2022原文:

9.4在线测试

9.4.1 在线测试可保证工艺的连续性,但需要考虑到可能产生导致过程误停车的风险。
9.4.2 为尽可能地避免误停车,在测试开始前宜对测试规程进行一次复审,复审人员包括来自设备、电气和操作维护的技术人员。这个团队考虑审核以下内容:
-讨论功能安全系统中操作员的重要性情况;
-对功能安全系统的功能描述进行复审;
-对功能安全系统的功能测试规程进行复审;
-讨论是否在线测试会影响其他系统,如基本过程控制系统,报警或其他安全功能;
-讨论工作范围,具体到待考虑的参数是什么,压力、温度或是液位等;
-讨论当产生每个报警时,为什么需要告知操作人员;
-讨论当旁路系统时,哪些设备将不再起作用;
-与操作人员复审在测试时那些特别需要注意的事项;
-当输入处于旁路测试时,讨论当安全功能发生非计划停车时宜采取什么动作。

众多规范对联锁测试规程如此重视,可见其重要性。SIS系统联锁测试规程也是众多检查过程的必查项,在各种安全检查和企业分级评价中作为重要检查内容。那么SIS系统联锁测试规程该如何去编写呢,下面列分享一个案例,仅供参考。



SIS系统联锁测试规程


1 总则

1.0.1 为规范安全仪表系统联锁测试方法,制定本规程。
1.0.2 本规程适用于安全仪表系统及SIF回路功能检测。
1.0.3 安全仪表系统的联锁检测应根据设计文件及有关标准检测。
1.0.4 安全仪表系统检测应保留原始测量数据及相关参与人员和确认人员签字,并归档保存。
1.0.5 进行安全仪表系统SIF回路检测时,不得影响生产过程的安全保护。
1.0.6 安全仪表系统SIF回路检测除符合本规程外,还应符合国家及行业现行有关技术标准规定。

2 术语和缩略语

2.1 术语
2.1.1《保护层分析(LOPA)方法应用导则》AQ/T3054-2015、《功能安全应用指南 第2部分:设计和实现》 GB/T41295.3-2022、《过程工业领域安全仪表系统的功能安全》GB/T21109.1-2022规定的相关术语适合于本规程。

缩略语和简称

ALARP As Low As Reasonably Practicable(在合理可行的前提下尽可能低)
ANSI American National Standards Institute(美国国家标准学会)
BPCS Basic Process Control System(基本过程控制系统)
COF  Common Cause Failure(共因失效)
DC Diagnostic Coverage(诊断覆盖率)
EUC Equipment Under Control(受控设备)
HAZOP Hazard and 0perability Study(危险与可操作性分析)
HFT Hardware Fault Tolerance(硬件故障裕度)
IEC International Electrotechnical Commission(国际电工委员会)
IPL Independent Protection Layer独立保护层
ISA Instrumentation,systems and Automation Society(仪表、系统和自动化学会)
LOPA Layer of Protection Analysis(保护层分析)
MTTR Mean Time to Failure(平均失效时间)
PFD Mean Time to Restoration(平均修复时间)
PFDavg Average Probability of Failure on Demand(要求时的平均失效概率)
PLC Programmable Logic Controller(可编程逻辑控制器)
SFF Safety Failure Fraction(安全失效分数)
SIF Safety Instrumented Function(安全仪表功能)
SIL Safety Integrity Level(安全完整性等级)
SIS Safety lnstrumented System(安全仪表系统)
SLC Safety Life Cycle(安全生命周期)
STR Spurious Trip Rate(误停车率)
Ti TestInterval(检验测试周期)

3 基本规定

4 安全仪表系统的检测周期
参阅技术文章《怎样确定SIS系统检验测试周期(TI)》和文章《SIS检验测试及检验测试间隔的要求》。
5 系统机柜附件检查


6 电源和接地检查

6.1 接地检查
a、测量仪表及安全仪表系统应实施工作接地,信号回路的接地应采用单点接地方式;单屏应在机柜间工作单端接地,总屏应双端接地,机柜间接保护接地。
b、检查接地导线是否符合要求:室内安装的单台仪表的接地导线:1mm2~2.5mm2;现场仪表或接线箱的接地连接导线:2.5mm2~4.0mm2;机柜内汇流排或汇流导轨之间的连接导线:4.0mm2~6.0mm2;机柜到接地汇总板或汇总板之间的接地干线:10mm2~25mm2;接地装置引出线:25mm2~70mm2;接地系统的标识颜色应为黄、绿相间两色或绿色。
c、检查各接地点牢固可靠,仪表盘、柜、盘内配线,同一个接线端子上的连接芯线不应超过两芯。
d、测量接地电阻(钳形表或者万用表均可)测量接地电阻,仪表及控制系统的接地电阻为工频接地电阻,不应大于4Ω,仪表及控制系统的接地连接电阳不应大于 1Ω为合格。
注意:只有接地电阻检查合格才允许给上电检查

6.2 电源性冗余性

检查24VDC二极管及其冗余状况,检查按2.1方式正常工作,24VDC指示继电器工作及报警状态是否正常。
检查步骤
a、安全仪表系统的所有工作电源开关全部断开,注意断电顺序应从下到上。
b、主电源上电,测量安全仪表系统双路供电交流电源及24VDC直流电源上口PSU1、PSU2的供电空开处交流电压是否正常,满足电压范围为(220±22)V。
c、对安全仪表系统UPS1电源测试,对安全仪表系统UPS1来电源开关送电,观察安全仪表系统自身电源的电源指示灯及卡件是否工作正常;对安全仪表系统UPS1来电源24VDC直流电源PSU1供电,观察PSU1电源指示灯是否指示正常,风扇是否工作正常。
d、用万用表测试PSU1输出电压是否正常,输出范围是否满足(24±1)V,对安全仪表系统逐级上电,注意:上电顺序为由上到下(SIS系统)。观察安全仪表系统的继电器端子板、继电器、安全栅等指示灯是否正常。
f、检查PSU1单直流电源带上所有SIS负荷后的压降,用万用表测量UPS1直流电源输出电压,看是否还能满足(24±1)V,如压降过大,低于23V,则应在线调试直流电源输出,使PSU1带上所有负荷时输出电压满足(24±1)V。
g、检查直流电源冗余模块PSU2输出侧电压,用万用表测量PSU2冗余模块输出电压应为0VDC,验证冗余模块功能完好,不存在串压问题。
h、对安全仪表系统停电,注意停电顺序为从下到上,最后停UPS1对SIS自身及UPS1直流电源。
i、相同的方法测试UPS2单路电源对安全仪表系统的供电,重复步骤 c~h。
j、检查完成UPS2路电源后,对UPS1路进行上电,观察安全仪表系统是否工作正常。
k、做好上电记录。
注意事项:
a、送电时要逐一进行送电,如不正常,马上停电检查,确认原因,消除故障后重新送电。
b、上电后要做电源切换试验。一路电源正常系统可以工作。

7 后备电池检查

后备电池的作用是一旦系统停电时,电池能够存储控制器里的程序以及数据,一块性能良好的电池支持控制器里的数据6个月。
在下列情形之一这应该及时更换电池:
a、检查后备电池的检测,其测量电压应为3.6VDC,如果电压低于此值,则应更换。
b、电池的正常实用寿命为5年,如此间系统曾经停电,则系统过了三年后应该更换。

8 系统TMR_MP检查

8.1 CPU冗余性检测
按照控制器 TMR MP 的 3、2、1 工作方式检查,同时按照附件表单格式记录名MP 的工作状态。

工作方式/安装的控制器/冗余/工作状态
三控制器方式/MP-A,MP-B,MP-C/HFT=2/OK
双控制器方式/MP-B,MP-C/HFT=1/OK
双控制器方式/MP-A,MP-C/HFT=1/OK
双控制器方式/MP-A,MP-B/HFT=1/OK
单控制器方式/MP-A/HFT=0/OK
单控制器方式/MP-B/HFT=0/OK
单控制器方式/MP-C/HFT=0/OK


8.2 系统通道冗余性检测

8.2.1 单卡性能检测
对系统通道I/O回路进行检测,对I/O卡件通道实现100%测试,继电器应100%的动作。I/O 通道的检查测试通常在输入端子排加信号,其相应的通道应该动作正常。如回路测试已由甲方执行,可采用卡件通道单独测试的方式。以下是
a、DI卡件检查:其电源正端和ETP端子的负端电压应大于18VDC,否则进行线路检查。
b、DO卡件检查:ETP端子电压应大于18VDC,否则进行线路检查。对于SDO卡件,同时检查相应空余端子短接电阻情况。
c、AI卡件检查:于两线制而言,ETP电压应大于18VDC。通道精度应该符合要求。AI卡件信号发生器为电流信号发生器或者可变电阻。输入功能块的读数应位于819~4095之间,即电流应在4mA和20mA之间,否则进行线路检查。
d、AO卡件检查:ETP电压应在1VDC~5VDC之间。对于SAO,同时检查空余端子的短接情况。从测试程序中,逐点进行强制,强制值分别为819~4095(对应为 4~20mA),误差范围在0.5%内,属于正常。
e、PI卡件检查:在PI卡对应的端子排处,拆除接线,加上脉冲信号20~20000Hz,在测试程序中的相应点观察显示数值,进行比较,误差在0.5%内属于正常;如误差偏大,检查线路接触是否良好。同时应检查空余端子的短接检查。

8.3 冗余性能测试

安全仪表系统卡件冗余一般有两种方式,双卡同时运行和单卡运行,双卡同时运行代表有黑马、霍尼韦尔等系统,单卡运行有Tricon、HiaGuard 等系统,均能满足要求,测试方法有别。
8.3.1 单卡运行冗余性测试
a、在备用卡槽中插入同型号同版本的卡件,观察安全仪表系统卡件切换功能是否完好,切换完成后,插入卡件应处于运行状态,原运行卡件处于备用状态。拔出原运行卡件,系统应处于正常运行状态;可继续插入原运行卡件SIS系统自动切换到后插入卡件,抽出备用卡件,SIS系统仍正常运行为功能完好。
b、对所有SIS的AI、AO、DI、DO卡件全部测试一遍,全部功能正常为合格。
c、对于双卡运行的SIS系统,拔出其中一个,SIS系统应能正常运行,插入拔出卡件后再拔出另一个,SIS系统仍能继续运行,然后插入拔出卡件,正常运行为合格。

8.4 网络冗余性测试

查外,还应按照单网卡及单路由器工作方式检查其冗余性能。

9 安全仪表系统性能检查

9.1 系统性能评估:控制器的负荷检测(系统的扫描时间)、系统内存的分配、强制信号检查、程序下装程序版本等。

9.2 通讯负荷的检测:主要是检测系统到PC-控制器,ESD系统-DCS系统,PC-PC之间的通讯站用网络资源的测试。其没有具体的数字体现,我们会在测试时尽量大的使各网络终端间的数据量增大,以实现实应用中的可能最大量,来测试网络的的通讯质量,用专用软件以及windows自带的task manager工具检测是否有中断现象等。


9.3 检查逻辑控制器的响应时间应包括输入、输出扫描处理时间与中央处理单元运算时间,宜为100ms~300ms;逻辑控制器的中央处理单元负荷不应超过50%;逻辑控制器的内部通信负荷不应超过50%;采用以太网的通信负荷不应超过20%。


9.4 检查安全仪表系统内部是否有报警,强制等。


10 各SIF回路功能安全完整性测试

10.1 测试前的准备
10.1.1 联锁测试前,由生产主管召集工艺操作、设备管理、仪控人员、电气人员进行联合测试;
10.1.2 联锁测试应由生产主管统一指挥,各专业相互配合;
10.1.3 仪控人员应准备好联锁测试的信号发生器、标准打压设备及《联锁回路台账》、《联锁逻辑图》、《联锁保护系统台账》、《联锁保护系统密码台账》、《联锁设定值清单》等仪器设备和资料,电气专业准备万用表等检测设备。工艺专业准备好《联锁保护系统联动试验确认单》、《联锁逻辑说明》等资料;
10.1.4 在联锁测试前,仪控人员应核对安全仪表系统组态逻辑和经过审批的《联锁逻辑图》,确保安全仪表系统内逻辑和设计的一致性;
10.1.5 电气专业对大型电机切换到试验状态;
10.1.6 工艺专业应确认现场设备的安全状态,电机启停及阀门的开启或切断对工艺及安全无风险;
10.1.7 联锁测试前,工艺主管指挥各专业就位,并保证畅通的联络方式,如专用对讲频道等设备的调试;

10.2 测试方法

10.2.1 测量元件的测试应从现场发送信号,避免由于传输信号的衰减或老检测信号和安全仪表系统中量程组态不一致造成的测量偏差;
10.2.2 压力传感器应拆除现场压力或差压仪表,对测量元件打压试验,通过数值的变化触发联锁的启动,在联锁触发前,现场打压人员和仪控安全仪表系统工程师站人员密切联系,核实压力仪表传输信号的准确性、联锁启动数值的正确性;
10.2.3 电阻式温度仪表可用电阻箱进行试验,首先查阅安全仪表系统中温度联锁值对应的电阻值,通过改变电阻的方式检测回路的准确性;热电偶可用毫伏信号发生器检测;
10.2.4 液位仪表和流量仪表根据现场仪表的种类,尽可能地模拟仪表参数的变化,如无法通过外加信号引起仪表信号的变化,如双法兰液位计、涡街流量计、质量流量计等,需要先通过HART设备检查仪表的测量量程和安全仪表系统内量程和单位一致性,量程一致时可用信号发生器现场模拟;
10.2.5 如有现场切断阀的联锁,切断阀应人工确认其动作正确性及动作时间;配有2oo2双电磁阀的切断阀,应首先断开一个电磁阀的开关,检测切断阀功能的完好性,然后更换另一路电磁阀,联锁回路需检测两次;配有2oo3电磁阀的切断阀,应依次断开一个电磁阀,试验三次,三次切断阀均动作正常为合格;
10.2.6 电机的启停尽可能的触发现场实际动作,如大型高压电机,电气人员打实验状态,并确认其动作的正确性;
10.2.7 辅操台的紧急停车按钮、旁路按钮及复位按钮均应由操作人员操作,仪控及电气人员不应参与操作;
10.2.8 联锁测试应包含旁路、复位功能的测试,仪控人员发送信号,在测试联锁触发值准确后,联锁复位后测试旁路开关,工艺人员把检测信号打到“旁路”状态,仪控人员发送模拟信号,超越联锁值后应不能触发联锁,然后再打到“投用”状态,触发联锁为合格;
10.2.9 复位按钮不需单独测试,联锁测试时可一次测试完成;

10.3 联锁测试记录

10.3.1 每个联锁回路的测试,仪控人员要确认仪表开路报警记录、联锁值触发记录、执行机构命令发出记录、执行机构信号反馈记录、旁路及复位作记录等等在SOE中记录的完整性;
10.3.2 联锁测试完成后,仪控人员应检测安全仪表系统所有状态的完好性确保检测时断开的开关处于闭合状态,系统中的旁路及强制等全部释放。

11 各SIF回路测试规程

11.1 SIF01加氨反应釜R001混度TIS001、TIS002、TIS003温度高高三取二,联锁关闭进料阀XV001,打开冷却水阀XV002
a、联锁测试总指挥及各岗位人员就位、测试工具及通讯设备完备;
b、联锁测试前,温度仪表TIS001、TIS002、TIS003已经按照JJG 229-2010《工业铂铜热电阻规范》完成校验,且其性能满足要求,现场检查安装符合SH/T3058《石油化工安装工程质量验收统一标准》,温度仪表能准确测量反应釜内介质温度。
c、判断切断阀所配电磁阀是单电磁阀、双电磁阀并联或者双电磁阀串联。
电磁阀配置结构不同,联锁测试方式不同。
当电磁阀为单电磁阀时,不做特殊处理。当电磁阀为双电磁阀并联时,如图所示:



首先测试电磁阀的完好性,步骤如下:

1、对电磁阀1的供电端子断开,电磁阀1处于失电状态。对电磁阀2在安全仪表系统软件中实施变量“强制”,当强制为1时,进料阀xV001为打开,冷却水阀XV002关闭,当强制为0时,进料阀XV001为关闭,冷却水阀XV002打开。现场人员观察阀门状态或者通过SIS系统HMI可判断电磁阀2的完好状态。
2、恢复电磁阀1的供电,对电磁阀2的供电端子断开,电磁阀2处于失电状态。对电磁阀1在安全仪表系统软件中实施变量“强制”,当强制为1时,进料阀XV001为打开,冷却水阀XV002关闭,当强制为0时,进料阀XV001为关闭,冷却水阀XV002打开。现场人员观察阀门状态或者通过SIS系统HMI可判断电磁阀2的完好状态。
3、如果步骤1、2动作均正常,则测试结论为双电磁阀功能均完好。
当电磁阀为双电磁阀串联时,如图所示:



首先测试电磁阀的完好性,步骤如下:
1、安全仪表系统软件中对电磁阀1“强制”为1,电磁阀1处于带电状态。对电磁阀2的在安全仪表系统供电开关处断开,进料阀XV001为关闭,冷却水阀XV002为打开;恢复电磁阀2的供电,联锁复位后,进料阀XV001为打开,冷却水阀XV002关闭。现场人员观察阀门状态或者通过SIS系统HMI可判断电磁阀2的完好状态。
2、安全仪表系统软件中对电磁阀2“强制”为1,电磁阀1处于带电状态。对电磁阀1的在安全仪表系统供电开关处断开,进料阀XV001为关闭,冷却水阀XV002为打开;恢复电磁阀1的供电,联锁复位后,进料阀XV001为打开,冷却水阀XV002关闭。现场人员观察阀门状态或者通过SIS系统HMI可判断电磁阀1的完好状态。
3、如果步骤1、2动作均正常,则测试结论为双电磁阀功能均完好。
d、现场仪控专业联锁测试人员对加氢反应釜R001温度TIS001、TIS002、TIS003解开信号线,链接温度信号发生器。首先对TIS001温度从低到高顺序依次发送信号,同时用对讲机和SIS系统工程师站及操作站人员核对发送数据和系统显示数据是否一致,例如:现场操作人员用信号发生器发送温度为50℃,SIS系统操作站和工程师站均显示50℃则证明组态通道及量程均正确。逐步升高温度,当温度达到报警值时,核对SIS系统工程师站及操作站是否报警,确定报警值是否正确;继续提高温度,到达联锁值时,在SIS系统工程师站及操作站观察联锁值状态是否“翻转”。依次对TIS002、TIS003开展相同的工作,证明其组态通道及报警值、联锁值组态的正确性。
e、由于步骤d已经检测单点通道组态、报警值及联锁值的正确性,步骤c主要检测2oo3逻辑的正确性。

11.2 测试联锁正确性按如下步骤进行

1、对加氢反应釜R001温度TIS001、TIS002、TIS003从低到高逐步提高温度值,TIS001、TIS002、TIS003温度均打“旁路”;当温度升高值联锁值时,联锁不启动。
2、把TIS001的旁路切换到投用状态,此时联锁依然不启动;接着把TIS002的旁路切换到投用状态,此时联锁启动;(证明TIS003联锁旁路逻辑正确及2oo3部分功能完整性)
3、把TIS002旁路,此时TIS003处于旁路状态,对SIF回路进行位,进料阀XV001为打开,冷却水阀XV002为关闭。(证明复位功能完好)
4、把TIS003的旁路切换到投用状态,此时联锁启动;(证明TIS003联锁旁路逻辑正确及2oo3部分功能完整性)
5、把TIS001旁路,此时TIS001及TIS002处于旁路状态,对SIF回路进行复位,进料阀X001为打开,冷却水阀XV002为关闭。(证明复位功能完好)
6、把TIS001的旁路切换到投用状态,此时联锁启动;(证明TIS002联锁旁路逻辑正确及2oo3部分功能完整性)
SIF01功能检测完成,做好记录。测试过程中任何关于联锁的修改,均需要对全部逻辑重新检测。

11.3系统维护工具


作者:何龙

相关阅读
SIS系统并没你想象的那么安全
SIS的联锁和DCS的联锁动作的区别
关于SIS系统中SIF回路设置细节的考虑

共有访客发表了评论 网友评论

  客户姓名:
邮箱或QQ:
验证码: 看不清楚?