本帖最后由 将来时 于 2020-1-14 17:32 编辑
在LOPA分析时对BPCS作为独立保护层进行讨论,一种观点是BPCS的控制回路最多可选二个,前提是传感器和最终执行元件独立,这样至少可以消减100倍风险,很容易达到风险控制目标。另一种观点是BPCS作为独立保护层最多不超过1个,即BPCS最多只能消减10倍风险因子,这样保护层选择受到限制。不同的选择,LOPA分析结论很可能完全不同,后者分析结果可能需更多的SIF回路,而前者没有规范和标准的支持,如缺少实际有效保护层引起事故而无法辩驳,LOPA分析有效性存在疑问。本文主要对BPCS在一个事故场景中可以消减多少风险因子进行了探讨,以期望给LOPA分析的工程师提供参考。 BPCS(基本过程控制系统),是在生产过程中执行常规正常生产功能(如PID控制,积分控制等)的控制系统。基本过程控制系统与执行过程优化等复杂“高级”过程控制系统相对应。据统计,工业中95%以上的控制系统都是基本过程控制系统。由此可看出,基本过程控制系统执行基本生产控制功能,以达到生产过程的正常操作要求。所以在一定条件下BPCS控制回路可以作为一个安全保护措施, CCPS CPQRA(2000a),LOPA分析被作为了种简化的定量风险分析方法(半定量)。这种简化包括场景要素数值的假设(初始事件频率、触发事件(使能因子),独立保护层数量和失效频率数值)和简化的计算方法。但是这些简化采用了保守的方式(即保护层数量和保护层失效频率选择要保守),因此,如果完全采用定量风险分析(事件树,故障树),其事故场景的风险分析结果将低于LOPA的结果。 IEC61511标准中,《流程工业安全仪表系统》-第一部分描述“BPCS作为保护层,其风险削减因子【BPCS】应低于10”,这意味着,BPCS所有消减功能的失效概率应大于1E-1.通俗的讲,就是BPCS在一个事故场景中只能作为一个独立保护层消减风险。
本文将从标准规范(IEC61511流程工业安全仪表系统和LOPA应用导则AQT3054-2015)和实例BPCS控制回路各组件可能的PFD(危险失效概率)几个方面进行讨论,希望以此视角引发大家的思考,避免LOPA分析方法使用错误,或缺少分析依据,导致分析结果不准确。引用标准规范时,清楚标准规范的前提条件,不盲目高估计保护层作用。
一、IEC61511-1(2016)
以下是IEC61511-1 2016关于BPCS作为保护层的相关描述:
9.3.2BPCS保护层要求的风险降低因子应小于10。(BPCS保护层只能降低10倍风险)
注意:可以考虑另一个情况,BPCS也可能保护层需求的初件事件。(即BPCS失效,可能引起事故场景)
9.3.3如果要求BPCS保护层的消减风险因子大于10,则BPCS的设计和管理应符合EC61511系列的要求。
如果不打算BPCS符合IEC 61511系列。然后当BPCS是事故场景保护层需求的初始事件时,对于导致危险事件的同一事件场景,不得要求超过一个BPCS保护层;或当BPCS不是保护层需求的初始事件时,对于导致危险事件的同一事件场景,不应要求两个以上的BPCS保护层。(不是BPCS故障引发的事故场景,则可以使用二个BPCS保护层)。(当9.3.4适用时,每个BPCS保护层应独立于初始事件并相互分离,请注意查看9.3.5) 注:确定的BPCS保护层可以由一个BPCS作为事故场景的初始事件(见8.2.2)和第二个独立的BPCS保护层(见9.3.2和9.3.3)组成,或者当初始事件与BPCS故障无关时,最多由两个独立的BPCS保护层组成。
8.2.2作为初始事件的BPCS的平均危险故障频率不应小于1E-5(即PFD>1E-1)。
9.3.5当9.3.4适用时,每个BPCS保护层应独立于初始事件并相互分离,以确保每个BPCS保护层所要求的风险降低不受损害。 注1:分离和独立性评估可考虑实现风险降低所需的内容,如中央处理器(CPU)、输入/输出模块、继电器、现场设备、应用程序编程、网络、程序数据库、工程工具、人机界面旁路工具和其他设备) 注2:热备份控制器不被视为独立于主控制器,因为它会出现常见故障(例如,热备份控制器具有主控制器和备份控制器共用的组件,如背板、固件、诊断程序,传输机制和未检测到的危险故障)
IEC61511中关于BPCS可以作为二个独立保护层时,要求每个BPCS保护层应独立于初始事件并相互分离,以确保每个BPCS保护层所要求的风险降低不受损害。即处理器CPU,执行元件,传感器等BPCS控制回路的组件都是独立分散的,没有共用的部分。
二、LOPA应用导则(AQT3054-2015)保护层分析(LOPA)方法应用导则(AQT3054-2015) 关于BPCS作为独立保护层的描述如下:
同一BPCS 多个功能回路作为 IPL 的评估方法
1在同一场景中,当同一 BPCS 具有多个功能回路时,其 IPL 的评估可使用方法 A 或方法 B。
1.1方法 A 假设一个单独 BPCS 回路失效,则其它所有共享相同逻辑控制器的 BPCS 回路都失效。对单一的 BPCS,只允许有一个 IPL,且应独立于 IE(初始事件) 或任何使能事件。
1.2方法 B 假设一个 BPCS 回路失效,最有可能是传感器或最终控制元件失效,而 BPCS 逻辑控制器仍能正常运行。BPCS 逻辑控制器的 PFD 比 BPCS 回路其它部件的PFD 至少低两个数量级。方法 B允许同一BPCS 有一个以上的 IPL。如图所示,两个 BPCS 回路使用相同的逻辑控制器。假设这两个回路满足作为同一场景下 IPL 的其它要求,方法 A 只允许其中一个回路作为 IPL,方法 B 允许两个回路都作为同一场景下的 IPL。
同一场景下,同一 BPCS 多个功能回路同时作为 IPL 的数据和人员要求
3.1对数据与数据分析的要求如下:
a)方法 B 假设 BPCS 逻辑控制器的 PFD 比BPCS 回路其它部件的 PFD 至少低两个数量级,应具有支持这个假设的数据,并对数据进行分析。这些数据包括:
1)BPCS 逻辑控制器、输入/输出卡、传感器、最终执行元件、人员响应等历史性能数据;
2)系统制造商提供的数据;
3)检查、维护和功能性测试数据;
4)仪表图、管道和仪表流程图(P&ID) 、回路图、标准规范等资料;
5)访问 BPCS,进行程序更改、旁路报警等安全访问 BPCS 的信息。
b)对这些数据的分析应包括:
1)计算设备或系统BPCS 回路组件的有效失效率;
2)各种组件,特别是BPCS 逻辑控制器 PFD 数据的比较;
3)逻辑输入/输出卡及相关回路的独立性评估;
4)安全访问控制充分性评估;
5)使用多重 BPCS 回路作为同一场景下的多个 IPL 的合适性评估。
D.3.2对分析人员的要求如下:
a)分析人员应能够:
1)判断是否有足够和完整的数据,这些数据是否能满足足够精度的计算;
2)了解仪表的设计和BPCS 系统是否满足独立性要求;
3)理解建议的 IPL 对工艺或系统的影响。
b)分析小组或人员应具有相关专业知识,如:
1)对 BPCS 逻辑控制器具有足够低的 PFD 的独立第三方认证;
2)对历史性能数据和维修记录的分析,建立设计标准使多个 BPCS 回路满足 IPL 的要求;
3)设计并执行多个BPCS 回路系统使之满足独立性与可靠性要求等。
c)如果分析小组或人员不能满足以上要求,那么在判断 BPCS 回路作为 IPL 时,宜使用方法 A 进行分析。
三、BPCS各组件PFD计算实例
LOPA应用导则中关于逻辑运算器PFD比 BPCS 回路其它部件的 PFD 至少低两个数量级组,则可使用方法 B, 允许两个回路都作为同一场景下的 IPL。同时要求分析人员应能具备相关的专业知识,如SIL验证能力等;本文将采用PDS手册的通用数据验算BPCS控制回路的各个部件PFD值,分析逻辑运算器和其它部件的PFD值,是否达到LOPA应用导则的要求?
PDS手册(安全仪表系统可靠性数据)提供了与最新可用数据源一致的数据以及一些新设备的数据。是作为“安全仪表系统完整性管理” 研究项目的一部分进行的。备注:PDS手册由用户发起的研究项目,挪威研究理事会和 PDS论坛参与者赞助。
验证软件采用杭州豪鹏科技自主研发的SIL验证软件,该验证软件经过测试,与权威第三方认证公司(如tuv、exida、BV等)的证书数据计算结果完全一致,是国内领先的SIL验证软件,并且是tuv特灵顿培训的示例软件。国内有非常多的第三方公司使用该软件开展SIL验证工作。
1、PDS手册通用数据
以下数据来自于PDS手册:
第一部分传感器数据,PDS认为70%为可信数据。
第二部分逻辑运算器数据,PDS认为70%的可用数据不足,引用平均值数据(可信度不高)。
第三部分是最终执行元件数据,采用70%可信数据。
2、假设控制回路其它参一场景下,同一回路都作为同一场景下的 IPL计算传感器、逻辑运算器、最数
操作模式:低要求操作模式;
运行时间(Lt):10年;
系统启动时间(Tsd):24小时;
系统恢复时间(MTTR):24小时
功能测试周期(TI):12个月
功能测试覆盖率(CTI):95%
系统重启时间24小时
因BPCS控制回路很少用到冗余,本实例采用1oo1表决结构,暂不考虑共因失效。
3、计算传感器、逻辑运算器、最终执行元件PFD值
3.1传感器选择“液位变送器”,du(危险不可检测)的 70%可信值为1200fit,计算PFD平均值为7.6E-3,豪鹏科技SIL验证软件计算结果如下图所示:
说明:MTTFS为平均误动作率,因本例中没有安全失效(SU\SD)的数据,无法计算出相应数据。 SIL(结构约束)因没有SFF失效分数,无法计算
3.2逻辑运算器工业PLC系统的PFD平均值为 3.07E-2
说明:因本例只是通过危险失效率(DU)简单计算PFD,故采用SIL验证软件的“简单模式”的计算。
3.2.1 逻辑运算器可编程安全系统PFD平均值为5.72E-3
3.2.2逻辑运算器硬接线安全系统的PFD为6.38E-04
上图为硬接线安全系统PFD的曲线
硬接线安全系统PFD值已经达到SIL3,理论上可以满足LOPA应用导则的要求。
3.3最终执行元件选择“控制阀(不包括先导阀) (仅限关闭服务)”,du(危险不可检测)的 70%可信值为5500fit,计算PFD平均值为3.42E-2(SIL-1)
4、验算结果统计分析
1、控制回路如采用工业PLC系统:可以发现工业用PLC系统的PFD值很大,与最终执行元件的PFD值相近,如采用工业PLC系统则无法满足LOPA应用导则中的逻辑运算器PFD小于其它部件2个数量级的要求。
2、采用可编程安全系统 可编程安全系统的PFD值明显小于工业PLC系统,但是仍没有达到LOPA应用导则所要求的低于其它部件PFD二个数量级。
3、硬接线安全系统
如果采用硬连线安全系统,那么逻辑运算器的PFD可以低于其它组件的二个数量级。对照LOPA应用导则的第一个要求已经满足,但是LOPA应用导则又对方法B进行了解释,低于二个数量级后,应具有支持这个假设的数据,并对数据进行分析,逻辑运算器还需要有第三方的认证。
四、小结:
BPCS在同一场景中使用二个回路消减风险,IEC61511中的要求是传感器、逻辑运算器、最终执行元件完全独立,并且初始事件不是BPCS控制回路故障。LOPA应用导则方法B,逻辑运算器的PFD(危险失效平均值)低于其它组件二个数量级,并且数据经第三方认证,分析人员达到相关专业知识的情况下则可以使用二次。
本文通过PDS手册的通用失效数据库实例计算了BPCS各部件的PFD值,从计算结果分析,可以发现逻辑运算器的PFD(危险失效平均值)低于其它组件二个数量级的要求较难满足。所以笔者建议在LOPA分析时,一般情况下应保守的方式把BPCS作为了一个独立保护层消减风险,如BPCS失效作为初始事件时,则BPCS不能再作为独立保护层。
另外:当需要BPCS作为二个保护层消减风险,建议逻辑运算器采用第三方认证(如tuv、exida、BV等)的设备,要求PFD达到SIL3并且实行SIS系统的运维管理,即符合LOPA应用导则关于方法B的前置要求。
| 
发表于 2020-1-14 17:26:57
显示全部楼层
IP卡
狗仔卡
提升卡
置顶卡
喧嚣卡
变色卡
千斤顶
显身卡