SIS和BPCS存在部分共用是否可行？

2023/12/19 16:14:46 人評論次瀏覽分類：DCS 文章地址：http://prosperiteweb.com/tech/5265.html

安監(jiān)總管三(2014)116號(hào)文《國家安全監(jiān)管總局關(guān)于加強(qiáng)化工安全儀表系統(tǒng)管理的指導(dǎo)意見》發(fā)布以來，安全儀表系統(tǒng)(SIS)得到越來越多的重視。根據(jù)116號(hào)文的要求，從2018年1月1日起，所有新建涉及“兩重點(diǎn)一重大”的化工裝置和危險(xiǎn)化學(xué)品儲(chǔ)存設(shè)施要設(shè)計(jì)符合要求的安全儀表系統(tǒng)。其他新建化工裝置、危險(xiǎn)化學(xué)品儲(chǔ)存設(shè)施的SIS，從2020年1月1日起，應(yīng)執(zhí)行功能安全相關(guān)標(biāo)準(zhǔn)要求，設(shè)計(jì)符合要求的SIS。
當(dāng)SIS和基本過程控制系統(tǒng)(BPCS)存在某些環(huán)節(jié)共用時(shí)，是否算符合要求的SIS是經(jīng)常討論的問題，本文將從標(biāo)準(zhǔn)要求和工程實(shí)踐兩個(gè)方面對上述問題進(jìn)行分析探討。

1、獨(dú)立保護(hù)層
石油化工裝置內(nèi)特定場景的風(fēng)險(xiǎn)可以通過不同措施加以降低，較常用的措施如圖1所示。風(fēng)險(xiǎn)降低措施包括獨(dú)立保護(hù)層和非獨(dú)立保護(hù)層，風(fēng)險(xiǎn)降低措施的選擇根據(jù)法律、法規(guī)、標(biāo)準(zhǔn)及規(guī)范的要求、HAZOP分析和保護(hù)層分析(LOPA)以及工藝設(shè)計(jì)等方面綜合考慮確定。獨(dú)立保護(hù)層在降低風(fēng)險(xiǎn)過程中起著重要的作用，并且會(huì)直接影響到需求的安全儀表功能(SIF)的SIL等級(jí)。

圖1 不同保護(hù)措施帶來的風(fēng)險(xiǎn)降低

文獻(xiàn)中對獨(dú)立保護(hù)層的定義為：一種設(shè)備、系統(tǒng)或行動(dòng)，能夠有效防止場景向不期望后果發(fā)展，與場景的初始事件或其他保護(hù)層無關(guān)。獨(dú)立性表示保護(hù)層的執(zhí)行能力不受初始事件或其他保護(hù)層失效的影響。獨(dú)立保護(hù)層的有效性和獨(dú)立性應(yīng)具有可審查性。從定義可以看出獨(dú)立保護(hù)層需要滿足三個(gè)基本要素：有效性、獨(dú)立性和可審查性。

如果在LOPA分析過程中對于同一場景，SIS和BPCS分別以獨(dú)立保護(hù)層的形式進(jìn)行了風(fēng)險(xiǎn)削減降低，那么為了滿足獨(dú)立保護(hù)層的獨(dú)立性，SIS和BPCS應(yīng)完全獨(dú)立設(shè)置，包括測量儀表、最終執(zhí)行元件和邏輯控制器。SIS和BPCS共用會(huì)改變LOPA分析中的相關(guān)保護(hù)措施的風(fēng)險(xiǎn)削減取值，應(yīng)重新進(jìn)行分析，由此會(huì)改變SIS需要承擔(dān)的風(fēng)險(xiǎn)降低需求，相當(dāng)于SIS承擔(dān)了原本由SIS和BPCS共同承擔(dān)的風(fēng)險(xiǎn)降低需求。

2、標(biāo)準(zhǔn)相關(guān)要求
2.1 基本原則
本文按文獻(xiàn)的相關(guān)要求對SIS和BPCS是否可以共用進(jìn)行分析。

三個(gè)標(biāo)準(zhǔn)針對SIS和BPCS是否可以共用的基本原則是一致的，都明確要求SIS和BPCS應(yīng)獨(dú)立，這也是獨(dú)立保護(hù)層的基本要求。如文獻(xiàn)中要求：SIS應(yīng)獨(dú)立于BPCS；SIS不應(yīng)介入或取代BPCS的工作；BPCS不應(yīng)介入SIS的運(yùn)行或者邏輯運(yùn)算；BPCS不應(yīng)執(zhí)行SIL1及以上的安全功能。

2.2 標(biāo)準(zhǔn)的具體要求
三個(gè)標(biāo)準(zhǔn)在具體要求上是不一致的，如針對測量儀表和控制閥的SIL1場景文獻(xiàn)中要求是：SIS和BPCS可共用；文獻(xiàn)中要求是：BPCS作為獨(dú)立保護(hù)層的前提條件是BPCS和SIS應(yīng)獨(dú)立；文獻(xiàn)中要求是：在滿足前提條件下，SIS和BPCS可共用。

根據(jù)文獻(xiàn)對SIS和BPCS是否可以共用的要求見表1所列。

表1 不同SIL級(jí)別對SIS和BPCS是否可以共用的要求

從表1中可以看出,文獻(xiàn)對于SIS和BPCS是否允許共用的前提條件只限定在SIL級(jí)別，沒有給出其他的前提條件。目前，文獻(xiàn)正在修訂，筆者認(rèn)為

表1中的規(guī)定應(yīng)該會(huì)做相應(yīng)的修訂，以保持和SIS及獨(dú)立保護(hù)層的理念相協(xié)調(diào)。

按照文獻(xiàn)的要求，當(dāng)一個(gè)設(shè)備作為SIS的一部分時(shí)，則不應(yīng)同時(shí)用于BPCS，這樣要求的目的是可以避免該設(shè)備失效時(shí)，導(dǎo)致BPCS和SIS同時(shí)失效。當(dāng)SIS和BPCS有共用設(shè)備，并且共用設(shè)備的危險(xiǎn)失效可能要求SIS執(zhí)行安全功能時(shí)，就會(huì)引入新的風(fēng)險(xiǎn)，風(fēng)險(xiǎn)的大小與共用設(shè)備的危險(xiǎn)失效率相關(guān)。因共用設(shè)備故障時(shí)會(huì)要求SIS執(zhí)行安全功能，而SIS對此無法作出響應(yīng)，即不能成功執(zhí)行對應(yīng)的安全功能，又無法實(shí)現(xiàn)風(fēng)險(xiǎn)降低的目的。因?yàn)轱L(fēng)險(xiǎn)大小和事故發(fā)生的頻率有關(guān)，只有當(dāng)共用設(shè)備的失效概率足夠低，并經(jīng)分析后確認(rèn)其風(fēng)險(xiǎn)可接受，此時(shí)可認(rèn)為SIS和BPCS可以共用設(shè)備。對于SIS和BPCS是否可以共用設(shè)備，需要進(jìn)行分析以保證共用設(shè)備的危險(xiǎn)失效率足夠低，確認(rèn)其失效后的風(fēng)險(xiǎn)可接受。SIS和BPCS使用共用傳感器或者共用控制閥的前提條件是相關(guān)設(shè)備的失效率足夠低且SIS能在要求的時(shí)間內(nèi)把過程置于安全狀態(tài)。實(shí)際的情況是，即使對于SIL1的應(yīng)用場景，也很難做到這一點(diǎn)。

3、實(shí)際工程中的執(zhí)行原則
3.1 基本原則
SIS和BPCS應(yīng)獨(dú)立，包括測量儀表、最終執(zhí)行元件和邏輯控制器，SIS和BPCS的獨(dú)立性示意如圖2所示。如受某些條件所限，確需共用時(shí)應(yīng)滿足

3.2中的前提條件，當(dāng)不能滿足時(shí)，SIS和BPCS應(yīng)獨(dú)立或重新進(jìn)行風(fēng)險(xiǎn)評估分析，優(yōu)化工藝流程和保護(hù)措施，尋求合理、客觀的解決方案。

圖2 SIS和BPCS獨(dú)立性示意

實(shí)際工程中可執(zhí)行的原則如下：
①針對新建裝置，SIS和BPCS應(yīng)獨(dú)立。
②針對在役裝置，原則上SIS和BPCS應(yīng)獨(dú)立。當(dāng)受客觀條件所限不具備改造可能性或者改造過程中會(huì)帶來新的風(fēng)險(xiǎn)，在滿足3.2中共用的前提條件時(shí)，SIS和BPCS可共用。如果不能滿足3.2中的條件，應(yīng)重新進(jìn)行風(fēng)險(xiǎn)評估分析，優(yōu)化工藝流程和保護(hù)措施，尋求合理、客觀的解決方案。
③SIS和BPCS有單一配置的共用設(shè)備，如果BPCS作為初始事件或作為獨(dú)立保護(hù)層，則共用設(shè)備所在SIF回路的SIL等級(jí)一般限制在不超過SIL1，即SIL2及以上等級(jí)的回路不宜共用。這樣考慮的原因是，SIS和BPCS共用可能會(huì)提高SIF回路的SIL等級(jí)需求，如對于原本要求SIL2等級(jí)的回路，提高要求后，可能會(huì)變?yōu)闉镾IL3(例如4.1場景的延伸)，按標(biāo)準(zhǔn)要求SIL3等級(jí)的回路通常需要設(shè)置冗余架構(gòu)，即HFT≥1，此時(shí)已經(jīng)不能由單一測量儀表或執(zhí)行元件實(shí)現(xiàn)。
④SIS和BPCS有安全性冗余配置的共用設(shè)備，如“1oo2”配置或“2oo3”配置，SIL2是否允許SIS和BPCS共用，應(yīng)按照具體應(yīng)用場景及所采用設(shè)備的具體情況進(jìn)行風(fēng)險(xiǎn)分析和SIL驗(yàn)算，根據(jù)分析結(jié)論及驗(yàn)算結(jié)果評估確定。

3.2 共用的前提條件
3.2.1 BPCS作為初始事件或者獨(dú)立保護(hù)層
如果SIS和BPCS共用設(shè)備，BPCS為獨(dú)立保護(hù)層，共用設(shè)備應(yīng)同時(shí)承擔(dān)原來由BPCS和SIS各自作為獨(dú)立保護(hù)層承擔(dān)的風(fēng)險(xiǎn)消減，即共用設(shè)備需要承擔(dān)BPCS和SIS消減風(fēng)險(xiǎn)任務(wù)的總和；BPCS為初始事件，共用設(shè)備應(yīng)該具備BPCS和SIS消減風(fēng)險(xiǎn)能力的總和。

因此，共用設(shè)備的危險(xiǎn)失效率必須足夠低，其安全完整性的要求可能改變，比如從SIL1變成SIL2，并且應(yīng)符合安全生命周期的所有相關(guān)要求。
安全生命周期的要求包括：SIS指令優(yōu)先、BPCS指令不能干擾和降低SIS指令功能、相關(guān)儀表和系統(tǒng)失效率滿足要求、要按照文獻(xiàn)[2]和文獻(xiàn)[3]的規(guī)定執(zhí)行，包括記錄、檔案管理、維護(hù)管理、檢維修周期、需要進(jìn)行SIL驗(yàn)證確認(rèn)滿足要求的SIL等級(jí)、各個(gè)獨(dú)立保護(hù)層總失效頻率能滿足風(fēng)險(xiǎn)降低的需求等。

3.2.2 BPCS不作為初始事件和獨(dú)立保護(hù)層
如果SIS和BPCS共用設(shè)備，BPCS不作為初始事件和獨(dú)立保護(hù)層，應(yīng)符合安全生命周期的所有相關(guān)要求，必須充分考慮BPCS操作維護(hù)等對SIS的影響。

3.2.3 共用設(shè)備元件對操作模式的改變
SIS為靜態(tài)系統(tǒng)，BPCS為動(dòng)態(tài)系統(tǒng)，當(dāng)二者存在共用設(shè)備元件時(shí)，共用設(shè)備元件的工作模式就是動(dòng)態(tài)連續(xù)模式。因此，SIS和BPCS共用設(shè)備元件會(huì)引起操作模式的改變，由低要求模式變?yōu)檫B續(xù)模式，相關(guān)設(shè)備元件的操作習(xí)慣、維護(hù)規(guī)程和策略均應(yīng)做相應(yīng)改變。SIS為靜態(tài)系統(tǒng)是比喻，SIS在生產(chǎn)正常時(shí)處于監(jiān)控待命狀態(tài)，一旦生產(chǎn)裝置或設(shè)施出現(xiàn)可能導(dǎo)致安全事故的情況時(shí)，能夠瞬間準(zhǔn)確動(dòng)作，使生產(chǎn)過程安全停止運(yùn)行或自動(dòng)導(dǎo)入預(yù)定的安全狀態(tài)。

從以上三個(gè)方面的分析可知，SIS和BPCS共用設(shè)備元件對安全功能回路的PFDavg(PFH)，HFT，SC的要求都有影響。只有滿足共用設(shè)備元件的危險(xiǎn)失效概率足夠低、符合安全生命周期的所有要求、充分考慮了BPCS操作維護(hù)等對SIS的影響以及按連續(xù)模式編制相關(guān)維護(hù)規(guī)程及策略等前提條件后才能共用。

4、工程應(yīng)用
4.1 低低液位聯(lián)鎖保護(hù)
加氫裝置熱高壓分離器(V103)設(shè)有低低液位聯(lián)鎖保護(hù)。液位低低時(shí)，聯(lián)鎖關(guān)閉V103底部出料切斷閥XZV101，流程圖示例如圖1所示。為便于說明，本案例進(jìn)行了簡化，例如獨(dú)立保護(hù)層中的“報(bào)警和人員響應(yīng)”假設(shè)有獨(dú)立的操作閥門；假設(shè)SIS和BPCS獨(dú)立，包括測量儀表、最終元件和邏輯控制器。SIF(低低液位聯(lián)鎖防止高壓竄低壓)的LOPA分析見表2所列。

表2 低低液位聯(lián)鎖保護(hù)LOPA分析

如果SIS和BPCS共用控制閥，為BPCS故障初始原因和SIS存在共因失效，當(dāng)共用的控制閥故障，會(huì)同時(shí)造成BPCS和SIS的失效，存在同時(shí)失去BPCS和SIS各自承擔(dān)的削減風(fēng)險(xiǎn)能力的可能性。因此，如果共用控制閥，上述LOPA需要重新分析，為便于討論這里將分析進(jìn)行了簡化，如3.2.1 所述，共用設(shè)備需要承擔(dān)BPCS和SIS消減風(fēng)險(xiǎn)任務(wù)的總和，即SIS需求的風(fēng)險(xiǎn)減低會(huì)由10-1變成10-2，相當(dāng)于SIL級(jí)別要求由SIL1變?yōu)镾IL2或者SIL1的上限值10-2，所以SIS和BPCS共用設(shè)備對PFDavg(PFH)，HFT，SC的要求都有影響。

通常來說，SIS和BPCS共用時(shí)，共用環(huán)節(jié)可能需要由更高級(jí)別的儀表實(shí)現(xiàn)，如本例中，獨(dú)立時(shí)可以采用SIL1的控制閥，共用后，可能需要采用SIL2的控制閥。

由于共用的控制閥參與BPCS控制，SIF從低要求模式變?yōu)檫B續(xù)模式，其操作和維護(hù)模式及策略都應(yīng)相應(yīng)的改變。

4.2 雙電磁閥配置
工程實(shí)踐中，共用控制閥是討論較多的問題，方案一般采用2臺(tái)電磁閥，1臺(tái)由SIS控制，1臺(tái)由BPCS控制，這樣的配置是否算SIS和BPCS獨(dú)立，是否算符合要求的安全儀表系統(tǒng)，是否滿足標(biāo)準(zhǔn)要求。答案是明確的，上述雙電磁閥配置不算SIS和BPCS獨(dú)立，不滿足獨(dú)立保護(hù)層的獨(dú)立性要求。即使采用了雙電磁閥配置，控制閥的執(zhí)行機(jī)構(gòu)、閥體等環(huán)節(jié)是共用的，仍然存在共因失效，所以不能算作SIS和BPCS獨(dú)立。事實(shí)上，相對于電磁閥，執(zhí)行機(jī)構(gòu)和控制閥閥體等環(huán)節(jié)的失效概率更大，特別是要求具有嚴(yán)密關(guān)斷(TSO)的控制閥，嚴(yán)密關(guān)斷要求對于閥門整體失效率影響是較大的。

4.3 “一入兩出”式信號(hào)分配器
針對測量儀表采用同一個(gè)儀表，由“一入兩出”式信號(hào)分配器輸出2個(gè)信號(hào)，1路送至SIS，1路送至BPCS，是否算作SIS和BPCS獨(dú)立也是工程實(shí)踐中經(jīng)常遇到的問題。同樣，答案也是明確的，采用“一入二出”信號(hào)分配器不算SIS和BPCS獨(dú)立，單一測量儀表仍然是共因失效環(huán)節(jié)，而且是共因失效概率較大的環(huán)節(jié)。

5、客觀理解共用
事實(shí)上，SIS和BPCS不可能做到絕對的獨(dú)立，比如：儀表空氣供氣管線及設(shè)備、伴熱管線及系統(tǒng)、沖洗系統(tǒng)、系統(tǒng)總輸入電源、節(jié)流裝置、均壓環(huán)等環(huán)節(jié)，都存在不同程度的共用，從客觀上理解這些共用的環(huán)節(jié)，有一個(gè)共同的特點(diǎn)，就是在工程設(shè)計(jì)合理并符合相關(guān)工程技術(shù)標(biāo)準(zhǔn)的前提下，這些環(huán)節(jié)都滿足文獻(xiàn)[3]對于共用環(huán)節(jié)失效率足夠低的要求，如節(jié)流裝置屬于簡單元件，在一定的前提下(比如非易凝結(jié)工況)，可以認(rèn)為失效率足夠低。

因此不能因?yàn)榇嬖谶@些共用環(huán)節(jié)，就放低對SIS和BPCS獨(dú)立性的要求，針對測量儀表、最終元件和邏輯控制器需要嚴(yán)格遵循標(biāo)準(zhǔn)要求。

6、國外工程公司案例
結(jié)合國外某知名公司的企業(yè)標(biāo)準(zhǔn)舉例說明國外工程公司對SIS和BPCS共用問題的要求。該公司企業(yè)標(biāo)準(zhǔn)要求如下：
除了下述a)和b)列出的情況外，要求SIL1及以上安全功能中使用的所有元件均應(yīng)獨(dú)立于BPCS，即SIS應(yīng)獨(dú)立于BPCS。
①最終元件。如果SIS和BPCS共用控制閥，應(yīng)同時(shí)滿足以下兩個(gè)條件：
a)控制閥故障不是初始事件或者獨(dú)立保護(hù)層的一部分。
b)控制閥無TSO要求。
如果不能同時(shí)滿足上述條件，則控制閥不應(yīng)參與SIL驗(yàn)算，不應(yīng)作為SIF的執(zhí)行元件，也不應(yīng)將控制閥視為容錯(cuò)要求的一部分。

②測量儀表。以下三個(gè)條件都滿足時(shí)才允許SIS和BPCS共用測量儀表：
a)要求為SIL1或者SIL2(不允許用于SIL3)。
b)同時(shí)采用了安全性冗余和可用性冗余(比如“2oo3”配置)。
c)“三取中”的信號(hào)作為BPCS的控制信號(hào)。

同時(shí)還應(yīng)滿足的要求包括：共用的測量儀表由SIS供電，而不是由BPCS供電；不同測量儀表之間應(yīng)采用在線對比診斷技術(shù)。
信號(hào)共享方案推薦采用SIS輸出信號(hào)硬接線至BPCS輸入卡件或者采用通信信號(hào)，通常用于SIS和BPCS為同一廠家產(chǎn)品，不推薦在信號(hào)輸入SIS前設(shè)置信號(hào)分配器。

7、結(jié)束語
執(zhí)行功能安全相關(guān)標(biāo)準(zhǔn)要求，設(shè)計(jì)符合要求的安全儀表系統(tǒng)是安監(jiān)局116號(hào)文及相關(guān)法律、法規(guī)、標(biāo)準(zhǔn)及規(guī)范的基本要求，必須嚴(yán)格執(zhí)行。獨(dú)立保護(hù)層的基本概念和屬性決定了實(shí)現(xiàn)SIL1及SIL1等級(jí)以上安全功能回路的SIS應(yīng)和BPCS獨(dú)立，新建項(xiàng)目中應(yīng)嚴(yán)格執(zhí)行，在役裝置同樣建議執(zhí)行，當(dāng)有客觀困難使其不可能實(shí)現(xiàn)時(shí)，應(yīng)針對具體的情況進(jìn)行具體分析；如確需共用時(shí)，應(yīng)滿足3.2提出的共用的前提條件和要求，當(dāng)不能滿足時(shí)，應(yīng)重新進(jìn)行風(fēng)險(xiǎn)評估分析，優(yōu)化工藝流程和保護(hù)措施，尋求合理、客觀的解決方案。

作者：范詠峰(中科合成油工程有限公司)，王愛平(中科合成油工程有限公司)，曾德智(中國化學(xué)賽鼎寧波工程有限公司)

上一篇：聊聊SIS系統(tǒng)的前世今生

下一篇：SIS系統(tǒng)中設(shè)備失效數(shù)據(jù)從何而來？