中沙(天津)石化有限公司天津市300271
引言
在危险性较大的过程工业领域,如石油/天然气开采储运、石油化工、造纸、发电等,生产事故常常伴随着人身伤害、设备损坏和环境污染等损失。为了有效控制生产风险,安全相关系统(Safety-RelatedSystems)被广泛应用于石油、化工、电力等领域的生产过程之中。
然而,由于安全相关系统的硬件、软件等原因,许多安全系统本身就存在着安全性问题。针对这一问题,1984~2000年,国际电工委员会(IEC)陆续起草和发布了功能安全基础标准IEC61508(电气/电子/可编程电子安全系统(E/E/PES)的功能安全),明确提出了安全相关系统的功能安全(functionalsafety)概念,用于衡量当生产过程在出现危险状态时,安全相关系统执行其安全功能的能力、执行绩效,回答了功能安全的主要影响因素以及如何提高执行安全功能的能力等问题。
2014年11月13日,国家安监总局发布“安监总管三〔2014〕116号”文件,明确对“两重点一重大”的化工装置和危险化学品储存设施提出“加强安全仪表系统管理”指导要求。
一、功能安全及相关概念
1、安全功能:针对特定的危险事件,为达到或保持过程的安全状态,由安全仪表系统、其他技术安全相关系统或外部风险降低设施实现的功能[3]。
2、安全相关系统是指这样的系统:
1)能实现要求的安全功能,以达到或保持EUC的安全状态。
2)自身或与其他安全相关系统、外部风险降低措施一起,能够达到要求的安全功能所需的安全完整性。
3、功能安全:与EUC(EquipmentUnderControl,被控设备)和EUC控制系统有关的、整体安全的一部分,取决于电气、电子、可编程电子安全相关系统,其他技术安全相关系统和外部风险降低措施机制的正确执行[3]。
4、安全完整性:安全仪表系统在规定的时间内、在所规定条件下满足执行要求的仪表安全功能的平均概率。
二、功能安全管理的范围
功能安全管理的技术理念贯穿于电气/电子/可编程电子安全系统的设计和开发的生命周期全过程。虽然IEC61508标准名称上只限定电气、电子、可编程电子(以下简称E/E/PE)安全相关系统;但是从它所包含的原理上看,该标准适用于所有采用了安全控制技术的系统,可广泛应用于机械制造、流程工业、运输、医药等广大领域。
三、功能安全管理的思想方法
功能安全管理采取基于风险的方法,按照ALARP准则,针对不同的风险有针对性地采取不同的措施。
1、ALARP准则
从系统安全管理的角度来看,石油化工等企业在生产过程中,发生事故的可能性是不可能完全避免的,无法实现绝对的安全。另一方面,风险控制是需要花费人力物力,在经济上体现为风险控制成本。在风险控制技术水平一定的条件下,风险的不断降低往往伴随着风险控制成本的不断升高。因此在实际的安全生产管理中,风险管理者需要在风险接受与风险控制成本之间进行平衡。
利用ALARP(Aslowasreasonablypracticable)准则指导安全管理,不仅可以有效控制风险,消除高风险点,确保被控对象的残余风险都应处于不可接受范围之外,还能节约安全管理的成本,避免低效率的投入。
2、风险管理
对一个受控对象,可能存在多种降低风险的方法,在实践中,人们往往根据被控对象的自身特点,采取多种风险降低措施,一起来保护被控对象的安全。其中过程风险,是过程生产过程中固有的风险,是没有采取风险降低措施时被控对象所面临的风险。允许风险,是人们所允许的最大可接受风险值。对于高风险的被控对象而言,如果过程风险大于允许风险,就必须进行风险降低。过程风险与允许风险之间的差值,就是必要的风险降低所采取的风险降低措施所要实现的安全功能。
3、SIL
功能安全讨论的是安全相关系统本身的绩效,或者说是其执行安全功能的能力,常用安全系统完成所要求的安全功能的概率值进行衡量。
安全完整性等级SIL:用来规定分配给安全仪表系统的安全仪表功能的安全完整性要求的离散等级(4个等级中的一个)。SIL4是安全完整性的最高等级,SIL1是安全完整性的最低等级,相邻等级之间的危险失效率上下限相差10倍。
四、功能安全管理的实施
1、安全相关系统的SIL定级
安全相关系统的SIL定级就是用来分配安全相关系统的安全功能及其完整性等级,一般按照以下步骤来进行:首先要进行危害辨识,确定系统的风险源,即存在哪些风险根源和易出现问题的环节;然后进行风险评估,即针对每个风险评估其发生后果和发生可能性,从而确定风险的大小;再进行风险可接受值判定,即根据法律、法规、合同,技术和系统期望,安全系统所付出成本等多方面综合考虑得出可接受的风险值,从而确定哪些风险应该降低及应降低多少;最后根据上述要求选择风险降低的方法和措施,针对这些方法和措施制定安全技术规格书和其他相关文件,得出安全所需要的功能是什么和该功能能够被正确实现的概率有多大。
2、安全系统的SIL验证
安全系统的验证就是验证安全系统的安全功能和安全完整性等级,审查系统是否达到了安全技术规格书的要求。
3、SIL的约束要求与计算
1)故障分类
FMEA(FailureModeEffectAnalysis)首先把仪表故障分类,共分4种模式:
显性安全故障λsd(如雷达液位计高频模块故障)
隐性安全故障λsu(如电流输出短路)
显性危险故障λdd(如压力传感器损坏)
隐性危险故障λdu(如电流输出“冻结”)
然后评估故障的发生概率,见下表,再根据4个概率计算出PFD和SFF。
2)硬件故障裕度(HFT)
硬件故障裕度指部件或子系统在出现一个或几个硬件故障的情况下,功能单元继续执行所要求的仪表安全功能的能力。硬件故障裕度是对冗余程度的一种描述。
3)SIF回路的PFD值计算
安全仪表功能的平均失效概率(PFD)是各元件相加,安全仪表回路PFD值为:
PFDSIF=PFDInitiator+PFDLogicSolver+PFDFailureElement
4)共同原因故障(CCF)
仪表回路故障又可分为硬件随机故障、系统故障两类。
5)安全失效分数(SFF)
安全失效分数(SafeFailureFraction)计算公式如下:
SFF=(λsu+λsd+λdd)/(λsu+λsd+λdd+λdu)
4、常见的几种提高安全功能SIL的方式
选择整体失效率低的仪表、故障安全性设计、降低共因失效、增加硬件裕度、采用诊断技术、缩短检修周期、缩短维修时间。
五、结束语
随着我国对仪表功能安全的重视,IEC61508在国内已经得到越来越多的人重视,随着功能安全管理技术的进一步推广应用,它必将在提升工业安全性能、降低用户成本等方面发挥更大的作用。
参考文献
[1]IEC61508:Functionsafetyelectrical,electronic,programmableelectronicsafety-relatedsystems,2010.
[2]IEC61511:Functionsafety:safetyInstrumentedSystemsfortheprocessindustrysector,2003.
[3]GB/T20438:电气/电子/可编程电子安全相关系统的功能安全,2006.
[4]GB/T21109:过程工业领域安全仪表系统的功能安全,2007.