安全要求规格书(SRS)是包含所有安全仪表功能和与之相关的安全完整性等级要求的规范性
文件。GB/T 20438.1-2017/IEC61508-1:2010电气/电子/可编程电子安全相关系统的功能安全第1部分:一般要求》”中提出了这一概念,但在中国国内化工工程设计行业,,对该文件的要求:近几年才逐渐得到关注。在GB/T50770-2013《石油化工安全仪表系统设计规范》2的修订稿中,对SRS的要求成为修订的主要内容之一,可以预见,国内化工工程项目可能很快就会普遍要求编制SRS。本文以某大型一体化在建石化项目为例,探讨 SRS的若干问题。1SRS初版的编制阶段
在文献[1]第7章“整体安全生命周期的要求”中,要求编制E/E/PE系统安全要求规范,且在E/E/PE系统设计和开发之前完成。“E/E/PE系统”是指电气(Electrical)、电子(Electronic)和可编程电子(Programmable Electronic)部分组成的系统,实际上就是指安全仪表系统(SIS)。在文献的第3章中,文献[1]的要求被明确转述为“安全仪表系统安全要求规格书”应在“安全仪表系统设计和工程”之前完成。但在这两个规范中,均未定义SRS是应该在初步设计阶段完成还是在详细设计阶段完成。
收稿日期:2024-11-12,修回日期:2025-01-02。作者简介:杨洪(1978一),男,2008年毕业于南京工业大学控制理论与控制工程专业,获硕士学位,曾就职于德希尼布工程咨询有限公司和沃利帕森工程技术有限公司,现就职于中石油吉林化工工程有限公司上海分公司,从事工程设计工作。
应急管理部发布的《关于印发(危险化学品生产建设项目安全风险防控指南(试行)>的通知》(应急(2022J52号文)3中明确要求:“应在初步设计阶段,根据过程危险分析提出的风险降低要求,确定安全仪表功能(SIF)的功能性要求及需要的安全完整性等级(SIL),并编制SIL定级评估报告和SIS安全要求技术文件"。在SH/T32252024《石油化工安全仪表系统安全完整性等级设计规范》第4.2节中要求:“基础工程设计阶段包括编制SIS的SRS技术要求”。在团体标准T/CAMETA001011-2022化工安全仪表系统管理规范》第6.2节中要求:“关键技术要求,应包括 SIS硬件、软件的关键技术规格或要求和SIS运行维护关键要求,并应体现在安全要求规格书中”;在第6.2.3条中也要求“应审查与初版安全要求规格书的符合性、完整性”。
由此可见,应在初步设计阶段就编制SRS的初版,其根本原因是考虑到SRS的初版是SIL预验证的输人文件和SIS的费用估算的依据。
在文献[5]的第6.2.2条中要求:“SIL定级完成,可在基础设计阶段进行SIL预验证,避免详细设计阶段、采购阶段调整变化较大”。SRS定义了每个SIF回路的操作模式,即低要求模式、高要求模式或连续模式。在低要求模式下,SF功能每年被执行的次数少于1次,SIF回路失效率表达为“要求时危险失效平均概率(PFD)”;在高要求模式或连续模式下,SIF功能每年被执行的次数大于1次,且SIF回路失效率表达为“每小时危险故障概率(PFH)”。对SIL预验证来说,显然是截然不同的。
此外,SRS还定义了每个SIF回路的S等级、联锁逻辑关系和SIF回路的检验测试间隔,这
三者都是SIL预验证的必需输入条件。假设在初步设计阶段不编制初版SRS,则无法实施SIL预验证。在后续详细设计阶段,如发现SL验证无法通过,就可能被迫对P&ID、HAZOP 和LOPA报告、联锁控制方案等进行较大修改,这显然不利于详细设计阶段项目的执行。
不同SIL等级的SIS,其成本和售价不同,初步设计的一个主要目的是估算项目费用。假设某项目的 SIS 点数不太多,且各 SIF 回路所要求的最高SIL,等级不超过 SIL2,那么在估算费用时,供货商就可能会报价较为廉价的,仅有SIL2认证的低端SIS。考虑到SIS成本较高,在初步设计阶段编制初版SRS,初步执行SH验证并确定项目各制耢韵最斋SⅡ 缦对初歩设计阶段更精估算SIS采购费用是很有帮助的。
连该项目中,初步设计阶段并未编制初SRS,也未进行SIL预验证。到详细设计阶段,S国SRS并进行SHL验证时,发现有废气处有燃烧炉在紧急情况下,需同时切断十儿根废响无气管线组成的十几个 SIL3的 SIF 回路,还有杰SHL2的SIF 回路等的验算无法通过。最终过多次会议沟通,业主运维部门勉强同意子缩检验测试间隔,问题才得以解决。值得注意的是并不是每个无法通过验算的SIF回路,业主都同意缩短检验测试间隔,具体方案取决于工艺产的实际情况是否允许。因此,在初步设计阶期不编制 SRS和不执行 SH 预验证,可能会大幅增加项目执行的风险及随之而来的额外成本。
T/CIS71001-2021《化工安全仪表系统安全要求规格书编制导则》第5.2.11条要求“列出SIS联锁设定值”。在考虑联锁值的设定时,工艺专业的目标是被控变量的工艺安全联锁限值不会被突破,即当联锁发生后,被控变量最终不会大于或者小于某个安全限值。
对简单的无工艺过程时间滞后的被控对象而言,如储罐液位,当液位不断上升且触发SIS联锁值后,SIF回路开始响应:音叉液位开关将联锁信号上传给SIS,然后SIS发出指令去关闭该储罐所有进料管线上的SIS切断阀,当这些切断阀最终全部关闭后,储罐液位立刻停止上升。此时,储罐内液位不应超过工艺允许的SIS联锁后的最高储罐液位。对较复杂的有工艺过程时间滞后的被控对象而言,如反应器内的反应温度,当反应器内温度上升且触发 SIS联锁后,SIF回路开始响应:温度变送器将信号上传给SIS,然后SIS发出指令关闭反应器进料阀。当反应器进料阀关闭后,由于阀门关闭前进入反应器内的物料并未完成反应,因此反应还会继续进行,而温度也会继续上升,直至由于缺乏新的物料进入反应器使得反应渐渐停止,温度才会慢慢下降。在该过程中,反应器内的最高温度出现在阀门全部关闭后一段时间,该温度不应超过工艺允许的最高反应温度。
在确定联锁值的过程中,工艺专业必须考虑两个问题;其一是整个 SIF 回路的响应时间,包括传感器的测量延时、SIS的响应时间和最终执行元件的动作时间,如实际搭建的SIF回路的响应时开整得更加保守:以更早地触发SIS联锁,使得过长,则工艺专业可能需要考虑将联锁设定值更加保守,深交盘不至于突破工艺允许的安全联锁限值,是SIF回路的测量部分系统精度,包括传感器的精度和SIS的精度、如测量部分系统精度较差园工艺专业必须在设计联锁值时,需考虑测美最不利的情况,选择更加保守的联锁值,以便早地触发SIS联锁。
由于工艺联锁值对SF回路功能的实现至关重要,该项目要求在SRS中写明SIF回路的联值,且要求工艺专业签署SRS中的这一页。
文献[6]中的第5.2.9条规定“确定每个 STF的响应时间要求”。SIF回路的响应时间与工艺取锁值的选定密切相关,甚至会影响仪表和阀门的设计选型。
以该项目中某工艺物料储罐为例,工艺专业设计了储罐高高液位音叉联锁,工艺专业希望SIS联锁后,关各进料管线SIS切断阀,储罐液位最终不超过90%,因此将高高液位SIS联锁值定为88%。但仪表专业对阀门选型后发现,由于**的1根进料管线尺寸较大,因此该管线上的SIS切断阀尺寸也较大,关闭动作较慢,约需20s,加上传感器的测量延时(1s)和SIS的响应延时1s,整个SIF回路的响应时间加上余量约需要24s。工艺专业核算后发现,在SF响应结束后,即进料管线SIS切断阀关闭到位后,液位可能已上升至91%原要求无法得到满足。
但是,工艺专业并不希望降低联锁液位值提前触发联锁,因为这会减少生产的操作空间,所以要求仪表专业缩短SIF回路的响应时间。对仪表专业来说,音叉的动作延时和SIS的响应时间都没有缩短的可能性。**可以缩短的是阀门的关闭时间,通过改变原有气路设计,增加了快速排气阀,将阀门关闭时间缩短到15s。同时,经核算,快速排气的工况下阀杆所承受的扭矩不会导致阀杆扭伤,属于可接受范围。由此,通过改变阀门的设计选型,工艺专业的要求得以实现。
文献[6]中第5.2.11条要求“列出SIS过程测量形式、量程范围、精确度等级”。SIF回路中测量部分的系统精度,对联锁设定值、SIF回路的响应时间、测量仪表的选型、执行机构选型,甚至SIS的组态,均可能产生较大影响。
以该项目中1个冷冻水罐的温度控制为例,该冷冻水罐有两类水混合后汇入,一类为各处返回冷冻水罐的多股20℃冷冻水回水,另一类是1股7℃的冷冻水供水。当罐内水温过低时,为防止对下游用水单元产生不利影响,SIS低低联锁切断进入水罐的7℃冷冻水供水,以防止罐内混合后的冷冻水温度继续降低。
工艺专业对该联锁值的初始设计是“14℃低低联锁”。由于该项目要求变送器传输给SIS的信号应进入资产管理系统(AMS)集中管理,因此温度变送器传输给SIS的AI信号是4~20mA+HART。SIS硬件组态时,未选配HART多路复用器,而是选择了带HART解析功能的低精度A卡。综合考虑温度传感器、温度变送器和SISAI卡的测量误差,最终整个测量部分的系统精度被确定为“士(2℃+2%FS)”,以变送器标定量程0~100℃为例,测量误差为士4℃。这就意味着当冷冻水罐温度测量值在SIS上显示为14℃时:实际温度可能仅为10℃,也可能为18℃。因此工艺专业不得不重新考虑和调整该联锁设定值。
在该SIF回路中,回路响应时间同样成为一个问题。由于该温度仪表选配了锥形钢棒整体钻孔的温度保护套管,供货商反馈响应时间为120s,业主SIS专家组认定,传感器和套管部分的响应时间为52.17s。再考虑到SIS的1s延时,开关球阀的切断时间为10s,最终整个SIF回路的响应时间加2s余量为65.17s。而工艺专业对该SF回路响应时间的要求是小于18s,相去甚远。
因此,仪表专业不得不取消温度套管,直接使用铠装热电阻测量罐内冷冻水温度,将温度测量的延时缩短到15s以内。由于取消了温度套管为了在更换故障热电阻的时候不排空冷冻水罐不影响工艺正常生产,所以将原本设计为侧插的温度管嘴改为了顶插方式。由于测温元件的末端,必须低于罐内最低液位,以保证在最低液位时仍能实现对罐内液体温度的测量,因此铠装热电阻设计的较长,为保护铠装热电阻,静设备内部又额外设计了保护管。
由此可见,测量的系统精度对联锁设定值、响应时间、测量仪表的选型、SIS的硬件组态,甚至静设备的设计,都可能产生较大影响。
文献[6]中第5.2.7条规定“确定检验测试间隔的相关要求”。在SIF回路的SI验证计算中,检验测试间隔是关键参数。在EC615081:2010 Functional safety of electrical/electronicprogrammable electronic safety-related systemspart :General requirements ( see functionalsafety and 1EC61508)的简化计算公式PFD.AbuT/2中,为无法检测到的危险失效率,T为检验测试间隔。由此可见,检验测试间隔如果过长,将使得PFD变大,严重影响通过S验证计算的可能性。整个装置的检验测试间隔由工艺专业根据实际生产需求确定,但对部分回路,在生产允许的前提下,允许缩短检验测试周期以满足SIL验证的需要。值得注意的是,同1个SF回路,其各环节的检验测试间隔可以各不相同,最典型的例子是SIF回路里的开关阀,需定期进行部分行程测试(PST)。通常情况下,S回路的PFD主要集中在执行机构特别是阀门处,当某个SF路的SIL等级计算无法通过时,首先应该考虑缩短SIS开关阀的检验测试间隔,包括执行PST功能,或在同1根管线上冗余设置2台SIS切断阀,联锁逻辑为“1002”,以降低整个 S 回路的 PFD。
该项目业主要求的检验测试间隔为5a,即每5a才能停车1次进行大检修,并执行所有SIF回路的完整的检验测试。前文所述,在详细设计阶段,发现部分已冗余设置了双SIS切断阀的SIL3回路和SL2回路无法通过检验测试间隔5a的SIL验证,将检验测试间隔缩短为3a,从而使得这些SF回路得以通过SIL验证。当然,业主同意的前提是从生产运维的角度审视,这些SF回路确实存在提前局部停车进行全面检验测试的时间窗口,如在某些情况下,部分管线可以允许短时间的完全切断;或者对冷备用设备相关的SIS联锁保护,在该设备未投运的情况下,可以找到时间窗口对SIS联锁保护的SIF回路进行全面检验测试。
需要注意的是部分特殊 SI回路的检验测试间隔,如该项目有较多罐顶氨封供氨气管线上的安全孔板,这部分安全孔板限制了进入罐顶的氨气,使得罐顶压力不会超过储罐的耐压上限。对这些安全孔板,业主要求每年检验测试1次。由于频繁测试,而罐顶氮封管线又未作冗余设计,因此业主运维只能考虑在储罐罐顶受热排气的时间窗口,关闭安全孔板前后手阀,拆下安全孔板进行检验测试。
此外,由于分析仪表的故障率较高,因此SIF回路里分析仪表的检验测试周期通常都较短。以该项目为废气燃烧炉所配的经TUVSIL3认证的DURAG火检探头为例,安全手册注明“探头投运的初始阶段,检验测试间隔应为4周,然后视使用情况渐渐增加到6个月”。同样的,在燃烧炉出口烟道上设置的氧化锆探头由于没有SI证书,但经业主同意,采用“2o03”配置了SIL3回路,所以其检验测试间隔最终被定为2688h。
上述STF 回路里的分析仪表的检验鹮试向?较短,仅为数月,在现场对分析仪进行检验测时,需要将该分析仪从SIS联锁逻辑里旁路,味着对这些分析仪进行“2003”或“1662”配置是常必要的。当检测某个分析仪时,需在 SIS工程站上或通过现场硬件选择开关将该分析仪旁路此时 SIS 的联锁逻辑由“2003”降级为“1062”,不因为对单台分析仪的检验测试,造成不必要的停车。检验测试完毕后再将该分析仪的联锁复位则联锁逻辑又恢复到“2oo3”
由此可见,检验测试间隔的确会对P&ID和SIS的设计都产生重大影响。
SRS是SIS工程的设计依据和基础文件,是SIS安全生命周期中的重要环节。SRS的初版在基础设计阶段完成,在详细设计阶段,应在工艺专业的配合下及时完善SRS。随着详细设计的深入,仪表阀门选型的确定,应及时完成SIL验证指发布SRS的最终版本。SRS中的一些关键数据如联锁值、测量部分系统精度、SIF回路响应时间和检验测试间隔等,对工艺P&.ID设计、仪表和阀门设计选型、SIS的设计组态和最终用户的日常维护,都会产生重大影响。因此,需充分考虑工程和运维的实际需求,在工艺专业的密切配合下,审慎地设置、修改和完善这些关键的 SRS数据。
[1] 冯晓升,熊文泽,潘钢,等.电气/电子/可编程电子安全相关系统的功能安全第1部分:一般要求:GB/T20438.1-2017[S].北京:中国质检出版社,2017.
[2]黄步余,叶向东,范宗海,石油化工安全仪表系统设计规范:GB/T 50770-2013[S].中国计划出版社,2013.
[3]中华人民共和国应急管理部,关于印发(危险化学品生产建设项目安全风险防控指南(试行)》的通知[EB/OL]http: www, mem. gov. cn/gk/zfxxgkpt/fdzdgknr/202206/t20220622-416511. shtml
[4]程泱,唐彬,王琳,石油化工安全仪表系统安全完整性等级设计规范:SH/T3225-2024[S].北京:中国石化出版社,2024.
[5]王少勇,林洪俊,左信,等,化工安全仪表系统管理规范:T/CAMETA 001011-2022[S].北京:中国标准出版社,2022.
[6]黄步余,徐志杰,李文悦,等,化工安全仪表系统安全要求规格书编制导则:T/CIS71001-2021[S].北京:中国标准出版社,2021.
[7]程泱,唐彬,王琳,等,安全仪表功能(SIF)安全完整性等级(SIL)验证导则:T/CCSAS045-2023[S].北京:中国标准出版社,2023.
[8]IEC, Functional safety-- Safety instrumented systems forthe process industry sector: IEC61511:2016[S]. Geneva:IEC,2016.
文章来源:《石油化工自动化》
杨洪
(中石油吉林化工工程有限公司上海分公司,上海201101)