安全完整性(SIL)等级有利于电气执行器驱动装置的设计——流程设备设计师和使用者应在设备设计和配置时注意哪些问题?怎样才能满足安全规定的要求?本文将为您解答这些难题。
流程设备调节装置的驱动涉及到具有安全保护功能的元器件,例如蝶阀的驱动装置。这些驱动装置必须保证能够可靠地打开和关闭。与这种装置配套使用的安全保护系统一般由传感器、上一级的安全保护控制系统和执行器组成。流程工业领域中使用的管道阀门的执行器通常由驱动装置和执行装置组成(参见图1)。
以锅炉的压力监控为例,当锅炉的压力超过规定的最大压力时起着安全保护作用的蝶阀立即打开。锅炉内有一个传感器会连续对锅炉内的压力进行监测。当锅炉内的压力超过设定的极限值时传感器向上一级安全保护系统发出信号。在收到传感器发来的信号后安全保护系统传达给蝶阀,蝶阀马上开启,从而保证锅炉的安全。
图1 由传感器、安全控制器和执行器组成的安全保护系统结构示意图
生产过程或者设备可能遇到的危险性越大,对安全保护功能的可靠性要求就越高,从而对安全保护系统所使用的元器件可靠性要求也就越高。在对现代化软件控制下的系统失效风险进行评估时,根据DIN EN 61508标准中有关功能安全的规定。功能性安全保护的目的是:把危险的失效概率以及危险失效给人员和环境带来的危害都降低到可以接受的程度。
SIL(安全完整性等级)是评判功能性安全的尺度。DIN EN 61508标准定义了SIL1~SIL 4这4种不同等级的安全要求;SIL 4是最高等级的安全要求;SIL 1是最低等级的安全要求。对于每一级都规定了允许的失效率最大值(简称为PFD)。
SIL认证的仪器设备
为了保证到达一定等级的SIL功能安全要求,所使用的元器件都必须经过精心挑选。此时需要按照生产厂家规定的安全特性参数来确定您所需要的仪器设备,供流程设备设计时使用。若SIL认证是由独立的认证机构完成的,则流程设备规划设计师和使用操作者生产出来的产品能够按照国际标准进行评判,以满足统一的检验要求。
德国仪器设备制造商Auma Reister所生产的产品是由TüV Nord和Exida公司认证的。他们提供的执行器可以在SIL 2等级的应用场合和SIL 3等级的冗余系统中使用。
必须达到SIL 3的要求吗?
流程设备必须达到SIL 3级的安全完整性等级吗?DIN EN 61508标准对风险分析有所规定,在它们的帮助下可以测定真正所需的SIL安全完整性等级。根据风险图(参见图2)确定存在风险的工艺过程。根据分析得到的风险大小和发生的可能性确定出存在风险的工艺是否需要采用安全保护措施,以及采用哪一等级的安全完整性等级认证。这样可以有针对性地采取降低风险的安全保护措施。这样能够节约安全保护方面的投资,因为SIL安全认证元器件的价格通常都高于标准元器件。安全认证的元器件都必须经过了一系列复杂的检验,以便证明各个元器件的安全可靠性以及功能可靠性。另一方面,在安全技术系统中使用需要认证的元器件,这些元器件具有更高的可靠性,提高了故障诊断的性能。这些是把风险降低到规定的范围,满足安全完整性等级要求所必须的。因此,尽早把仪器设备生产厂家纳入到安全完整性系统设计中是非常必要的。
当风险分析得出必须达到某一等级的安全完整性时,下一步就是选择合适的元器件来实现相应的安全完整性等级要求。当用户选择的元器件恰好能够满足SIL安全完整性等级的要求时,很有可能满足降低风险的要求,但实际生产中并不一定都这样顺利。
图2 根据风险分析可以判定所需的安全完整性等级
考虑整个系统
安全完整性等级指的是整体的功能安全。因此要认真考虑每一种元器件的安全特性参数。例如,传感器的最大失效率值、上一级的安全保护控制系统、安全控制和调节元器件的驱动装置以及仪器仪表的安全特性参数都必须加以考虑。这样计算出来的安全保护功能的总失效率与允许的SIL安全完整性等级规定的总失效率相比才能得出正确的结论。另外,硬件容错(HFT)和安全失效分数(SFF)也都是必须考虑的。
这样考虑每个单元计算出来的整个系统的安全完整性等级数值有可能比这个系统中安全特性值最差元器件的特性值还低。有些系统执行安全保护功能需要电力驱动,这时还要考虑供电电压的问题。例如电力驱动的安全保护装置,需要考虑突然断电时的安全保障,这时需要利用USP不间断电源来保证供电。
执行机构的驱动装置与阀门的控制装置构成了安全保护的执行器和执行机构。这类产品的生产厂家提供给的PFD失效率常常是针对某种特定介质的。而执行机构的失效率可能会因介质不同而与生产厂家给出的失效率有所区别。这些在设计整个系统时都必须考虑。
避免系统性错误
还有一些保证设备在意外情况下能够安全、可靠运行的因素需要考虑。一项健康环境安全(HSE)调查表明:在安全保护系统使用寿命期间内,65%的故障在出现之前都有“苗头”;实际操作中的突发故障或者错误只占总数的15%左右。这一结果对于流程工艺设备的规划设计和操作使用来讲都有着决定性的意义。在安全保护系统的整个使用寿命周期范围内需要尽可能查清和排除可能出现故障的源头。这样能够避免系统性的错误。
在实践中,满足了技术规范也常常会出现错误。只有当最大驱动扭矩和电机驱动方式,包括安全保护系统所要执行的安全保护功能等都设计正确时,安全保护驱动装置才能正确地完成安保任务。当新的安全保护驱动装置切断电力供应之后发现电机过热,其原因可能是新更换的电机与原来使用的电机的技术参数不同。这样的错误可能在正常的使用过程中带来灾难性的后果,因此,在涉及到安全保护要求很高的应用中应非常仔细地选择所使用的仪器设备。
为了保证安全保护系统在其整个使用寿命期间内都能正常的工作,在设备调整试车时也需要采取一些特殊措施。例如阀门的部分行程测试和定期的验证测试。智能化的故障自动诊断功能能够明显地提高流程设备的安全可靠性和可用性,例如Auma公司研发生产的AC. 2安全保护装置驱动控制系统的自动故障诊断功能。
图3 冗余系统
构建冗余结构
安全保护系统的结构也具有重要的意义。根据安全保护系统所执行的标准和安全完整性等级要求的不同,应在安全保护系统内构筑相应的冗余系统。根据具体的安全保护要求,采用不同的系统配置。例如在“二保一型”的配置方式中,利用两个仪器设备来保证一项安全保护功能。
正确的仪器设备安装配置应如何配置主要取决于实际生产需要的安全保护功能。例如在要求可靠断开的系统中,2个执行器应并联安装配置;若要求可靠接通时需要2个执行器串联安装配置(参见图3)。
在实现安全保护功能时常常会提出这样一个问题:“流程设备控制系统能不能做得更加安全可靠,从而省略单独的安全保护系统?例如:调节管道介质流量的蝶阀已经有了电气驱动的开关,这一蝶阀是否能够在紧急情况下切断管道的连通?”
单独的系统更可靠
从技术上来讲,双重功能和单一功能都是可以实现的,但都必须把使用条件考虑进去。例如经常开启和关闭的驱动装置或者管道阀门,经常承受强烈振动或者在高温环境下工作的驱动装置,频繁使用气动的管道阀门磨损量较大,每个月只工作一两次的安全保护机构磨损量小。在流程设备中,频繁气动的设备单元需要其发挥安全保护作用时出现意外风险的可能性相对较大。
因此,在实践中倾向于采用单独的安全保护系统,尽管单独的系统成本费用更高,但安全可靠性更高。Namur协会也建议采用单独的安全保护系统。但由于安全保护系统平时不工作因此需要辅助地进行部分行程测试或者定期的验证测试,以保证安全保护系统的驱动装置随时可以投入工作,保证整个系统的可用性。
跟帖
查看更多跟帖 已显示全部跟帖