SY/T 7351-2016标准规范下载简介
SY/T 7351-2016 油气田工程安全仪表系统设计规范单电子模块(如SPD、安全栅等)。 典型的B类元件是基于微处理器的设备,或具有复杂自定 义逻辑的设备,如变送器、智能流量计(如质量、超声流量计 等)、电动执行机构、燃烧控制器、逻辑控制器等。
3.2.6系统失效是由某种特殊原因而非自然老化引起的
3.2.8安全完整性等级评估方法应根据工艺过程复杂
4系统组成与紧急停车功能
DB15T 353.12-2020 建筑消防设施检验规程 第12部分:消防应急照明及疏散指示系统.pdf4.1.3本条适用于多个站场组成的油气田SCADA系统中(名
4.I.3本条适用于多个站场组成的油气田SCADA系统中(各 站场或其中部分站场设置SIS系统),这些站场一般有相互连接 的上下游管线,工艺过程互关联,在一个站场出现重大事敌 时,为预防次生灾害,一般需要计划关停其他站场。如某一中 间站场发生管线破裂,站场内压力变送器会检测到压力低低, 自动触发安全逻辑关断相应紧急切断阀,这时在远端的调控中 心也会收到该站场压力低低的报警,操作员可通过SCADA系 统远程关停上下游站场,避免次生灾害的发生。在这个例子里, 站场内压力低低是停车原因,导致站场内相关的切断阀关闭是 停车结果,原因直接导致结果是个完整的紧急停车过程,整个 停车过程在本地完成。而上下游站场的远程关停是个按计划关 停的过程,这些站场并没有发生足以导致停车的事故,他们都 是安全的,此时的关停是按计划进行的,所以不属于紧急停车。 计划关停可最少地关闭甚至不关闭紧急切断阀,仅动作必须的 工艺阀门即可,转动设备也可以缓慢关停,甚至是不关,比如 对压缩机等旋转设备,可以通过关闭出口阀,打开回流阀,使 压缩机处于低负荷或无负荷状态下运行。这样有利于流程再启 动,减少停车时间和损失。 4.1.4在安全仪表系统出现无法工作的故障时,可以通过断电、 直接远控或就地控制等手段使最终执行元件回到安全位置。如 对失电安全回路而言,仅在机柜处断开机柜供电就可以将回路
4.1.4在安全仪表系统出现无法工作的故障时,可以通过断
直接远控或就地控制等手段使最终执行元件回到安全位置。如 对失电安全回路而言,仅在机柜处断开机柜供电就可以将回路 导入安全状态,此时拉下供电空开就是最简易的备用手段。而 对得点安全的回路而言,断电无法使其回到安全状态,这需要 现场手动操作。抵达现场困难的,还需增加备用或临时供电措
施,辅助得电安全回路回到安全位置。 4.1.5本条第2款:重复报警是指在报警确认后,如相隔设定 的时间后报警条件仍未消失,则系统会再次发出报警直至报 警被确认且报警条件消失。重复报警可以有效避免操作员遗漏 或忘记重要的报警。超驰状态的重复报警时间间隔一般不超过 2h,井需产生报警报告。 本条第3款:操作超驰和自动维护超驰限定时间一般不超 过1h,维护超驰一般不超过8h。 4.1.6可编程逻辑控制器可实现系统自诊断和回路诊断测试, 可编程逻辑控制器能对控制器自身和I/O卡件进行自诊断,在 出现故障时报警。在电气连续的回路,如失电安全回路、变送 器回路等,SIS系统使用常规模板即可诊断回路的开路及仪表的 超限状态;在电气不连续的回路,如得电安全回路,则需要在 仪表端设置终端电阻,并选用具有短路和断路诊断功能的卡件, 实现回路的开路和短路故障检测。检测到这些故障后系统应 立即报警提醒操作员处理,同时可执行自动维护超驰操作,短 时间隔离故障,减少不必要的停车。执行自动维护超驰操作需 注意: 1需是有人值守站场。 2需在BPCS上报警。 3自动维护超驰操作需有时间限制,延时时间一般不超过 1h,超出设定延时时间后,如故障不恢复或未检测到手动维护 超驰,应自动撤消,此时可能导致系统停车
4.2.1.附属元件主要是指硬手操盘、模拟显示屏等辅助操作设 备,线路上的继电器、隔离栅、防浪涌器、电阻,供电设备等。 其中硬手操盘是由一系列按钮、开关、信号报警器及信号灯等 组成,与控制器和或执行元件硬线连接,可独立于基本过程控 制系统,完成最基本的紧急停车、火气消防操作与报警指示。
.1有时安全仪表系统也被称作紧急停车系统。 .2停车级别一般分为4级,见表1。
4.3.2停车级别一般分为4级,见表1。
4.3紧急停车(ESD)功能
4.3紧急停车(ESD)功能
表 1 ESD停车级别
ESD是紧急停车(ESD)、过程停车(PSD)和单元停车 USD功能的统称,这些功能根据重要性和影响范围由高到 低排序即为停车级别。停车级别会随站场、工艺条件和火气等 安全设施的设置不同而不同,如有的站场可能只有ESD一0或 ESD一1、有的站场可能没有USD等。 4.3.3串级停车逻辑指由一个停车结果触发另一停车,如由 个紧急切断阀的关闭到位作为停车原因,去触发上游紧急切断 阀的关断。 4.3.4相关的非SIS设备一般指与被关断设备流程上有关联的 调节阀、开关阀、转动设备等,这些设备一般由BPCS控制。 如在一座油罐出口设置一台紧急切断阀和一台调节阀,分别由 SIS和BPCS控制。在紧急切断阀关断时,调节阀也应联锁关 闭在故障解除、复位后,紧急切断阀会迅速全开,由于调节 阀此时还是关闭状态,可在BPCS控制下慢慢开启,避免停车
4.3.3串级停车逻辑指由一个停车结果触发另一停车,如 个紧急切断阀的关闭到位作为停车原因,去触发上游紧急 阀的关断。
4.3.4相关的非SIS设备一般指与被关断设备流程上
调节阀、开关阀、转动设备等,这些设备一般由BPCS控制。 如在一座油罐出口设置一台紧急切断阀和一台调节阀,分别由 SIS和BPCS控制。在紧急切断阀关断时,调节阀也应联锁关 团;在故障解除、复位后,紧急切断阀会迅速全开,由于调节 阀此时还是关闭状态,可在BPCS控制下慢慢开启,避免停车
所以电缆连接故障可不计入PFD。非励磁回路电缆连接故障是 整个回路最大故障源且不好估算PFD,因此本规范要求电缆 采用余连接、逻辑单元余、检测元件和输入元件的控制执 行部分几余且采用1002结构,这样设计时可忽略电缆的连接 故障。 本条第3款:回路诊断要求回路的电气连接应连续,在回 路断开处,如正常情况下打开的开关或触点,应有不影响回路 功能的连接措施,常见的是增加终端电阻。 本条第4款:主要是指对电动阀等终端执行元件需要采用 UPS供电。 4.3.6除停产检修外,紧急停车按钮和最终执行元件,如紧急 关断/放空阀等,不应被超驰或旁路。其他检测元件宜设置维护 超驰开关,方便检测元件的维修和测试。 4.3.8逻辑动作,如停车执行后,逻辑不应自动重启,应先复 应,复位方式有如下三种: 1自动逻辑复位:非主流程上的单元级停车,如容器液位 低低停车,在液位恢复后,可自动逻辑复位。 2手动逻辑复位:除自动逻辑复位外,必须先在HMI和 或硬手操盘上手动复位,安全逻辑才能重后启。 3就地手动复位:紧急放空阀、重要流程上的切断阀、转 动设备、现场锁定手动按钮(如ESD按钮)应就地手动复位
5.1.1如果安全仪表系统和基本过程控制系统合建,SIL1回路
5.1.1如果安全仪表系统和基本过程控制系统合建,SIL1回路
5.I.I如果安全仪表系统和基本过程控制系统合建,SLT回路 的检测元件可使用一台仪表及一条信号传输线路:如果两套系 统独立设置,也可以使用一台仪表,如果仪表可输出两个信号, 应通过分别的信号传输线路进入两套系统,如果仪表只能输 出一个信号,信号应先接入安全仪表控制系统后,再分享给基 本过程控制系统,
5.2.2目前多数仪表无法提供失效概率数据,可根据经验使用 原则,在有证据证明其在实际使用中有足够的安全完整性时, 就可以选用,但应满足本条规定的穴余要求。另外由于SIL认 证仪表满足相应认证等级的安全失效分数,在选用具有SIL认 证的仪表时,可不按本条的穴余要求执行,如在SIL3回路中, 选择单台具有SIL3认证的仪表一样可以满足回路的安全完整 性要求。
5.3.2智能仪表较普通仪表可以提供更多诊断功能,可通过附
5.3.2智能仪表较普通仪表可以提供更多诊断功能,可通过附 加的通信协议,如HART协议,定期对智能仪表进行在线检测, 提高仪表的可用性和可维护性。
典型的执行元件有控制阀门、电磁阀、电机、继电器等, 电机极少能独立或穴余设置,继电器和电磁阀一般作为控制附 件,如对机泵电路进行控制,第6.1节和第6.2节对这三类元件 不做讨论。控制阀门是对工艺介质进行控制的主要设备,可独 立或穴余设置,第6.1节和第6.2节仅对控制阀进行规范。
6.1.1操控元件是指接收系统控制命令的元件,电磁阀是控制 阀的典型操控元件。在BPCS和SIS系统共用的1台气动开关 阀,应设置2只电磁阀,一只由SIS系统控制,另一只由BPCS 制,示例如图1所示:如BPCS和SIS系统共用的一台气动 调节阀,应设置1只电磁阀和1台电气阀门定位器,电磁阀由 SIS系统控制用于关断,电气阀门定位器由BPCS控制用于调 节,示例如图2所示,
图1BPCS与SIS共用开关阀示例
图2BPCS与SIS共用调节阀示例
6.2控制阀的穴余设置
6.2.2目前多数控制阀无法提供失效概率数据,可根据经验使用 原则,在有证据证明其在实际使用中有足够的安全完整性时,就 可以选用,但应满足本条规定的允余要求。另外由于SIL认证阀 门满足相应认证等级的安全失效分数,在选用具有SIL认证的阀 们时,可不按本条的亢余要求执行,如在SIL3回路中,选择单 台具有SIL3认证的阀门一样可以满足回路的安全完整性要求。
6.3.1此类元件常见有气动阀门、气液联动阀门、电液联动阀 门、自力式阀门、电磁阀、继电器等,失去动力常见由气源、 液压、电源故障造成。 6.3.2行程反馈一般是限位开关发出的开关到位信号或行程变 送器发出的连续行程信号,反馈信号接入BPCS,可将大量不影 响关断的逻辑判断移到BPCS中执行,从而简化SIS设计。 行程报警是指系统在发出执行元件动作信号后,经过一定 时间的延时(延时时间应足以使执行元件移动到期望位置),仍
未能到达期望位置,此时应报警。如一台紧急切断阀,20s可由 全开位置移动到全关位置,延时时间可设30s。在发出切断命令 后,经30s延时,仍不能得到阀门全关反馈,可认为此阀门关 行程故障或切断故障。产生故障的原因可能是阀门卡堵或反馈 线路故障。 6.3.3阀门的手轮或操作手柄在运行期间操作后,如忘记复位 或解除,可能导致阀门失去安全功能,无法关断或完全关断。 但有些阀门必须带手轮或操作手柄,如自力液压式切断阀:有 些需要在无动力源时操作,如气液联动阀门,这些阀门的手动 操作装置应锁定,避免非授权操作。 6.3.4根据《Refineryvalvesandaccessoriesforcontrolandsafety instrumentedsystems》APIRP553:2012中第4.6.1.3条的要求: “Solenoid valves should be rated for continuous duty with Class Hhightemperature encapsulated coils and be satisfactoryfor both NEMA4andNEMA7installations.”,电磁阀需选用H级绝缘线 圈。 6.3.6部分行程测试是在不干扰工艺流程正常工作的条件下, 通过硬件设备将阀门由原位置可靠移动部分行程,从而实现阀 门在线测试的一种方法,测试完毕后阀门应能自动返回原位置。 现场的紧急切断阀门正常情况下长期处于常开位置,统计发现阀 门最常见的故障是易卡在静正位置上。对于这种故障,无需通 过完全开关阀门来测试,只需要部分关闭阀门,一般是10%~ 15%,工艺允许情况下可达20%,就能测试出阀门是否卡堵,大 多数阀门的隐蔽故障都可以用这种方式检测。在线进行部分行 程测试,在提高PFD的同时,还能做到生产不中断。部分行程 测试可以天大减少完全行程测试的频率,但不能代替完全行程 测试(主要检测阀座与阀门的密封)。 部分行程测试需要有专门的硬件及相关附件完成,常见的 是智能阀门定位器或机械限位装置,可以确保在测试期间不会 完全关闭阀门。
未能到达期望位置,此时应报警。如一台紧急切断阀,20s可由 全开位置移动到全关位置,延时时间可设30s。在发出切断命令 后,经30s延时,仍不能得到阀门全关反馈,可认为此阀门关 行程故障或切断故障。产生故障的原因可能是阀门卡堵或反馈 线路故障。
或解除,可能导致阀门失去安全功能,无法关断或完全 但有些阀门必须带手轮或操作手柄,如自力液压式切断阀 些需要在无动力源时操作,如气液联动阀门,这些阀门的 操作装置应锁定,避免非授权操作。
.4根据《Refineryvalvesandaccessoriesforcontrolandsafet trumentedsystems》APIRP553:2012中第4.6.1.3条的要求 olenoid valves should berated for continuous duty withClass hightemperature encapsulated coils and be satisfactory for both EMA4andNEMA7installations.”,电磁阀需选用H级绝缘线
通过硬件设备将阀门由原位置可靠移动部分行程,从而实现阀 门在线测试的一种方法,测试完毕后阀门应能自动返回原位置。 现场的紧急切断阀门正常情况下长期处于常开位置,统计发现阀 门最常见的故障是易卡在静止位置上。对于这种故障,无需通 过完全开关阀门来测试,只需要部分关闭阀门,一般是10%~ 15%,工艺允许情况下可达20%,就能测试出阀门是否卡堵,大 多数阀门的隐蔽故障都可以用这种方式检测。在线进行部分行 程测试,在提高PFD的同时,还能做到生产不中断。部分行程 测试可以天大减少完全行程测试的频率,但不能代替完全行程 测试(主要检测阀座与阀门的密封)。 部分行程测试需要有专门的硬件及相关附件完成,常见的 是智能阀门定位器或机械限位装置,可以确保在测试期间不会 完全关闭阀门。
7.1.1其他逻辑器件一般指由SIL认证继电器搭建的简单逻辑 处理单元。可以单独使用PLC或继电器组成逻辑控制单元,也 可以混合构成。在安全回路少于10点时,可采用继电器和按钮 构成安全仪表系统。
8.1.1此规定主要是为了便于集中显示与操作,服务器、操作 员站、硬手操盘、模拟显示屏、打印机等均可以共用
8.2.2SIS和FGS系统的最终执行元件,如紧急切断阀、紧急 放空阀、雨淋阀等的开关控制,应由SIS/FGSPLC根据因果表 逻辑判断完成,不应在BPCS画面上设置最终执行元件的手动 操作开关/按钮。 另外,如果确实需手动操作只有两个途径:一是在工程师 站上强制:二是通过对输入参数维护超驰,断开逻辑。采取这 些措施会使系统处于维护(不安全)状态,工程师应尽快处理 问题,尽早取消强制或超驰,使系统返回安全状态
8.4.1辅助操作设备需由最简单的机械电子器件组成,在人机 界面出现故障后可作为最基本的报警和控制手段,辅助操作设 备包括硬手操盘和(或)模拟显示盘(屏)。
8.5.1安全仪表系统出现报警时,除应立即在屏幕上显示和记 录外,还应实时在报警打印机上打印,可作为计算机系统存储 出现故障时的硬备份,为事后事故分析保留第一手资料。所以 本规范推荐安全仪表系统设置报警打印机,由于安全仪表系统
报警打印负荷不大,可与BPCS报警打印机合用。
8.6.3直供即在供电回路中不再串接配电盘或其他用
直供即在供电回路中不再串接配电盘或其他用电设备
3直供即在供电回路中不再串接配电盘或其他用电设备, 电气配电盘直接引电缆到SIS控制柜。 推荐按图3所示供电。
不推荐按图4所示供电。
3.6.4双电源可以是两路独立的UPS电源,也可以是1路UPS 电源和1路非UPS电源。采用双电源供电时,安全仪表系统 没置的双电源模块应具备两路非同期工频交流电源同时工作的 条件。 放Z
9.2.4多台变送器可以是在同一检测点处设置的分别进SIS和 BPCS的仪表,或者是同一SIF回路NooM的仪表,如为3选2 设置的3块变送器。偏差值报警限可设5%(可根据具体应用调 整),在同一检测点上任意2块变送器间偏差超过偏差限设定值 时,应进行偏差报警。
9.4.1油气田及管道的工艺参数的变化都较缓慢,由停车引起 的次级停车时间间隔也较长,因此除压缩机防喘振等特殊应用 外,SOE的分辨率不要求太高,但不应大于100ms。
9.6.3本条第1款:预设安全位置应根据工艺要求确定,一般 有故障关(FC)、故障开(FO)、故障保位(FL)和故障到特定 输出值几种设置。安全仪表系统不宜采用故障保位(FL)。 本条第2款:预设的处理措施一般是停车,使执行元件回 到安全位置。在检测元件出现可检测到的故障时,经评估也可 执行自动维护超驰操作。 本条第3款:未完成报警是指操作命令发出后,在一定时 间内未接收到期望的反馈而产生的错误报警。如阀门开关动作, 假设该阀最长开阀时间是20s,开阀时间预设为30s(一般预设 直略长于最长开阀时间):在开阀命令发出后,若在30s内接收 到阀开到位信号,则认为开阀正常:否则认为是阀门卡堵,未 完成开阀操作,应发出开阀故障报警。 本条第4款:无理值钳位:对系统内有量程限制的值可设 置无理值钳位,即超出正常值后,数据库存储值就钳位在预设 的数值上,不再增大或减小,以防止计算和存储错误。如某测 量值量程为0~100,钳位值设为量程的土10%,则钳位行为见 表2。
11.1系统集成设计
11.1.3本条第4款:通信设置包括安全仪表系统与其他系统间 的通信协议、通信内容和数据量,应定义并列出所有对安全仪 表系统的读出或写入内容及方式。 本条第5款:硬件设置主要包括硬件描述、硬件结构性约 束符合性、备用量计算、负荷计算、功耗计算、散热量计算、 系统结构、机柜布置、I/O分配原则、典型回路图、通信接口、 接线及线号规则、信号隔离及防干扰措施、供电及接地等。 本条第6款:软件设计主要包括软件描述、组态编程环境 位号规则、数据库结构及余量计算、系统响应指标及计算、任 务分组原则、诊断及故障处理原则、通信协议概述、通信内容 及通信量计算、典型SIF回路功能框图、逻辑图示例及图例、 画面层次图及典型画面示例、典型控制面板及图标符号、典型 动作及动画、报警报告种类及示例、SOE设置、时间同步、例 外处理、特殊应用程序、存储备份方案、灾难恢复方案等。
11.2集成、组态、调试和试车
11.2.3本条第6款:是指包括实际输入、输出设备及逻辑控制 器在内的全回路调试及测试,不是通过模拟输入及观察输出指 示完成的仿真调试。 11.2.5基线(Baseline)是个计算机术语,指的是在系统/软件 开发过程中对稳定的版本进行管理,通过不同版本之间的比对 可以更好地发现问题并做历史追溯,其主要方法是对系统“快 照”进行保存。在本规范中主要强调是对SIS系统投产后运行
环境软硬件的管理,对调试好后的系统进行软件环境和硬件配 置的档案保存,同时运行过程中定期形成新的基线文件,通过 比较不同基线文件的区别,可以发现漏洞和系统性能下降,如 不期望的后门、多余的线程、硬件资源占用增加等,可以有针 对性进行维护,保障信息和系统安全。基线文件包括运行环境、 运行程序及进程清单、安装的应用程序、软硬件版本、负荷及 资源消耗、通信及接口、用户及密码、系统完整备份。 11.2.6不合格项应及时处理,在试车前不应存在涉及SIL1以 上回路的不合格项:S1回路的不合格项也应充分评估,保证 不影响功能安全且可在线修复:在试车过程中发现的影响功能 安全的不合格项,应重新开始专项调试并解决:正式投运前不 应存在与安全系统相关的不合格项
附录A安全仪表系统SIL评估过程
A.2 SIL 定级
DBJ/T15-163-2019 广东省装配式建筑评价标准A.3.5PED验证宜采用以下
通过计算每个安全仪表功能回路PFD值进行验证的一种 方法。可从工业产品可靠性数据库获得安全仪表功能回路中设 备、仪器仪表的失效率,根据以下公式计算安全仪表功能回路 的PFD值:
PFD sIF=PFD,+PFD,+PFD
方框表示组件的各种失效模式,而连线则反映了这些失效间的 串并联关系。当且仅当从可靠性框图的左端点到右端点存在一 条以上的通路时,系统能够正常工作。使用RBD计算PFD时, 并联结构需要计算所有支路上失效同时发生的概率,而串联结 构则要计算串联各部分中任意一部分发生的概率。 A.3.6在验证计算中,设备选择不同,相关失效数据就不同, 会影响到PFDv计算结果以及结构约束的确定;结构约束不同, 子系统PFD计算公式是不同的:对手要求模式而言,检验测试 周期直接影响到PFD计算结果:对于允余结构,要尽量减小共 因失效,要根据具体设计情况考虑共因失效的影响:诊断可以 有效提高安全仪表设备的安全可靠性,因此要用好设备的内部 和外部诊断功能,提高诊断覆盖率。
附录B油气田典型站场安全仪表功能
典型站场安全仪表功能及推荐的SIL
表4气田典型站场安全仪表功能及推荐的SIL等级
GB/T 26332.8-2022 光学和光子学 光学薄膜 第8部分:激光光学薄膜基本要求.pdf油库典型安全仪表功能及推荐的SII