淺議石化裝置SIS系統安全等級的提高

薛 明

(洛陽三隆安裝有限公司 ， 河南 洛陽 471012)

?

淺議石化裝置SIS系統安全等級的提高

薛 明

(洛陽三隆安裝有限公司 ， 河南 洛陽 471012)

安全完整性等級(SIL)是衡量安全儀表系統(SIS)安全防護能力的重要指標，本文介紹了SIL評估的相關概念以及提高SIL等級措施的一些方法，結合石化裝置SIS系統更新項目實際工程提出了提高系統安全性的一些方法。

安全儀表系統 ； 安全完整性等級 ； 危險故障率 ； 結構約束

0 引言

在石油化工裝置的建設過程中，從安全儀表系統的設計源頭展開風險控制，對石油化工裝置的功能安全水平進行評估。SIL等級是全世界廣泛認可的安全完整性定義方法，目前國內大型石油化工項目在項目執行期間或項目建成后都要求對其中的重要單元或裝置進行SIL評估，因此在項目設計初期就應全方位考慮，為裝置的SIL評估打好基礎。以下結合某石化裝置SIS系統更新項目如何提高SIL等級提出一些方法以供參考。

1 相關概念

1.1 整體安全生命周期

安全生命周期(Safety Lifecycle)是指在安全相關系統實現過程中所必需的生命活動。這些活動發生在從一項工程的概念階段開始，直至所有的E/E/PE(電氣/電子/可編程設備)安全相關系統、其他技術安全相關系統，以及外部風險降低設施停止使用為止的一段時間內。

系統的安全性不僅僅是由系統的設計和實現決定的，同時還取決于系統的安裝、運行和維護等活動。因此，整體安全生命周期不僅覆蓋安全相關系統的設計，還包括安全相關系統的規劃、設計、安裝、調試、運行、維護和停用等主要階段。整體安全生命周期的基本思想是與功能安全相關的所有活動都按照一個有計劃的、系統的方法進行管理。

1.2 功能安全

IEC 61508(國際電工委員發布的名為《電氣/電子/可編程電子安全系統的功能安全》標準)定義為：“功能安全是與受控設備或受控設備的控制系統(或過程)有關的整體安全的組成部分，它決定于E/E/PE安全相關系統、其他技術安全相關系統和外部風險降低設施功能的正確執行。”可見功能安全是設備安全的一部分，其主要是從E/E/PE相關的控制系統考慮，著重避免由于受控設備及其相關系統在故障或者失效的情況下導致的風險[1]。

1.3 SIS

安全儀表系統SIS(Safety Instrument System)是指能實現一個或多個安全功能的系統。安全儀表系統是一種可編程控制系統，它對生產裝置或設備可能發生的危險采取緊急措施，并對繼續惡化的狀態進行及時響應，使其進入一個預定義的安全停車工況，從而使危險和損失降到最低程度，保證生產、設備、環境和人員安全[2]。根據IEC 61508標準，一套完整的安全儀表系統由傳感變送器、邏輯運算器和最終執行元件構成。安全儀表系統的設計與開發過程必須遵循IEC 61508，并應通過獨立機構(如德國TüV)的功能安全評估和認證才能在工業現場中應用。

1.4 故障安全

故障安全是指當SIS的元件、設備、環節、能源發生故障或者失效時，系統設計應當使工藝過程能夠趨向安全運行或者安全狀態。能否實現“故障安全”取決于整個SIS設計，包括現場儀表和執行器，都應設計成絕對安全的形式：對于現場觸點應開路報警，正常操作條件下閉合；對于執行器，一般情況下應設計成安全聯鎖動作時，切斷閥在安全的即失氣的狀態。對于故障安全應該具體情況具體分析，要確定最有可能發生的故障狀態，并不是一律“常閉接點，正常帶電”。

1.5 可靠性與可用性

為了達到裝置的安全度等級，系統需具有高的可靠性，而高可靠性必然使設備停車次數增多，降低系統的可用性。在石化裝置生產中，由于生產的連續化程度極高，設備停車可能造成重大的經濟損失，這就要求系統既有高可靠性，又有高可用性。

可靠性R(Reliability)：安全聯鎖系統在故障危險模式下，對隨機硬件或軟件故障的安全度、可靠性用概率表示時稱為可靠度。

可用性A(Availability)：系統可使用工作時間的概率，用百分數計算A=MTBF/(MTBF+MDT)，要使系統可用度增加，就要增加平均無故障工作時間(MTBF)，或減少平均停車時間(MDT)。表1給出了各種冗余結構的可靠性與可用性對比，在此不再通過計算驗證。

表1 各種結構可靠性與可用性對比

1.6 SIL

SIS的等級用SIL(Safety Integrity Level)來表示，SIL4是安全完整性的最高等級，SIL1為最低等級。SIL是針對SIF(Safety Instrumentation Function)而言的，即單個儀表不具備SIL。一般SIF由傳感器單元(Sensor)，邏輯運算單元(Logic Solver)，最終執行元件單元(Final Element)和電源(Power Supply)構成。如果要求某一安全儀表功能的SIL等級為3，并不是簡單地把幾個PFD為3級子系統串接起來就可以了，而是必須要進行計算與分析，全系統綜合考慮才能實現。

1.7 PFD

平均危險失效率(Probability of Failure on Demand，PFD)用于SIL評估。一個SIF的總PFD為4部分PFD之和：

PFD(AVG)=PFD(S)+PFD(L)+PFD(FE)+PFD(PS)

GB 50770-2013《石油化工安全儀表系統設計規范》指出，通常石油化工和煤化工裝置的SIS工作于低要求操作模式，應采用低要求操作模式下檢驗測試時間跨度上的平均危險故障率來計算和驗證安全儀表系統的SIL[3]。其對應關系見表2。

表2 在低要求操作模式下分配給1個回路的PFD(AVG)

1.8 結構約束

結構約束是除PFD(AVG)之外，在某個特定應用中使用某個設備的附加約束。根據設備類型及其SFF(安全失效分數)和設備所在子系統的HFT(硬件故障裕度，又稱硬件容錯能力)來確定設備子系統能夠用于哪個級別的SIL水平的安全儀表系統。IEC 61508提供了一張表，分別為設備類型A(所有故障模式都被定義過，所有故障行為都被定義過，而且有充足的故障數據的元件，如普通傳感器)和B(故障類型沒有被完整的定義，也沒有足夠的故障數據的元件，如智能傳感器、邏輯運算器等)的子系統定義了結構約束，如表3所示。

表3 IEC61508中對A類及B類設備的結構約束

HFT和系統或者元件的結構有關。常見的系統或者元件冗余設計結構有1oo1、2oo2、1oo2、2oo3、1oo3、2oo4。這種MooN結構指的是需要總共N個通道中的M個獨立通道來實現安全功能。而HFT的定義是，假如硬件容錯能力是X，那么當出現X+1個危險故障時，將會導致安全功能的喪失。所以在MooN結構中，硬件容錯能力HFT=N-M。

HFT與冗余結構容易混淆。例如1oo3、2oo3、3oo3的設備冗余數都是3，而它們的HFT卻分別是2、1、0。有時冗余的設備是為了提高過程的可用性，而不是為了提高可靠性。如果某個B類設備具有92%的安全失效分數，硬件故障裕度為0，根據表3可得到它滿足SIL2的要求。但在實際工程中，結構約束是以另一種方式使用的，已知的是目標SIL水平，設備類型及其安全失效分數，要確定的是硬件故障裕度。例如，某A類設備的SFF為50%，安全儀表功能的目標SIL水平為2，那么根據表3，硬件裕度為1，所以該設備的子系統需要為1oo2或2oo3之類的冗余結構。

2 SIL評估

2.1 SIF元件參數收集

SIF所有的元件包括變送器、安全柵、邏輯控制器、繼電器、電磁閥、閥門等，認證機構(如TüV)頒發的證書上都有計算SIL所需要的參數。

2.2 驗證SIF元件冗余結構

根據表3可以驗證SIF元件冗余結構是否滿足SIL等級要求。例如一個SIF要求SIL2等級，現場傳感器(B類)SFF為74%，那么其HFT為1，也就是說現場傳感器需要布置為1oo2或2oo3的冗余結構，但若實際現場傳感器為1oo1結構，則PFDS會拉低PFDAVG ，使SIF很難達到SIL2級別。

2.3 SIL的PFD計算

IEC 61508給出了SIS系統在不同冗余結構下的PFD量化公式。以一個計算整個系統安全完整性為實例：

SIS系統為故障安全型設計，不需要考慮電源的PFDPS；傳感器的PFDS=0.005，邏輯控制器的PFDL=0.000 5，輸出閥門的PFDFE=0.05，將他們連接成一套系統后，系統PFD(AVG)=0.005+0.000 5+0.05=0.055 5，只能滿足SIL1級。

3 提高SIL等級措施

一個SIL3 等級的SIF基本配置如圖1所示。

圖1 SIL3等級安全儀表回路配置

圖1中，現場傳感器、PLC、執行器都采用冗余配置，以降低整個SIS拒動作的概率。根據IEC 61508的分析計算，圖中安全回路危險故障率的權重概率分別為：現場傳感器占35%、PLC占15%、執行器占50%。因此提高安全儀表回路中任何一個節點的PFD，都會對影響整個回路的SIL等級。這三部分權重配置應遵循以下要求：

3.1 現場傳感器配置

現場傳感器在危險故障率中所占的比例為35%，傳感器應盡可能采用模擬量信號，同時盡可能采用“三取二”判斷方式；若選用開關型儀表，則盡可能采用“二取一”判斷方式。通過這些配置，可以提高來自現場信號判斷的可靠性。

3.2 PLC配置

PLC在危險故障率中所占的比例為15% ，是三部分權重中最低的，因為PLC的硬件和軟件的配置通常均可達到SIL的等級要求，而且其應用非常成熟，因此在使用過程中出現危險故障的可能性也較低。通常PLC與DCS完全獨立，其硬件要求主處理器CPU、輸入/輸出卡件、電源卡、通信卡、通信總線和UPS電源均為冗余設置，同時具備SIL3的國際認證。

3.3 執行器配置

執行器在危險故障率中所占的比例為50%，它顯然是最容易產生危險故障的環節。以下列出4種能夠最大限度降低危險故障可能性的執行器配置方式。

3.3.1 串聯切斷閥的方式

閥門2可以是調節閥，為“二取一”判斷，即任何一個電磁閥失電非勵磁時，切斷閥即失氣關閉，切斷物料，如圖2所示。

圖2 串聯切斷閥

3.3.2 串聯電磁閥的方式

這種方式安全性好，為“二取一”判斷，即任何一個電磁閥失電非勵磁時，切斷閥即失氣關閉，保證切斷閥能聯鎖動作切斷物料，如圖3所示 。

圖3 串聯電磁閥

3.3.3 并聯電磁閥方式

這種方式可用性好，為“二取二”判斷，即只有電磁閥1和2同時失電非勵磁時，切斷閥才會失氣關閉，避免因電磁閥失效引發聯鎖誤動作，如圖4所示。

圖4 并聯電磁閥

3.3.4 串聯切斷閥與串聯電磁閥方式(閥門2可以是調節閥)

這種方式為“四取二”判斷，即任何一個電磁閥失電非勵磁時，切斷閥即失氣關閉，確保切斷物料，這種方式最具安全性和可用性，但配置費用較高，如圖5所示 。

圖5 串聯切斷閥與串聯電磁閥

3.4 提高可靠性與可用性

①提高系統的可靠性，選擇系統可靠度R指標高的三重化系統，同時選取質量過硬的外部連接器件，如安全柵、信號分配器等；現場的輸入/輸出過程點信號采用帶電常閉接點，減少回路連接的中間環節，信號直接接到安全聯鎖系統的端子板，模擬信號直接接到安全柵；對關鍵回路設置停車通道。 ②提高系統的可用性，選擇系統平均無故障工作時間(MTBF)指標高的三重化系統，同時對系統的輸入/輸出三重化卡件采用冗余配置，以防止單塊卡件故障造成裝置誤停車。

4 提高石化裝置SIS安全等級的方法

4.1 SIS與DCS之間通訊

以某石化裝置為例，提出在SIS系統更新時的一些提高裝置安全等級的方法。

①GB 50770-2013中指出：除旁路信號和復位信號外，基本過程控制系統不應采用通信方式向安全儀表系統發送指令。當前裝置DCS往SIS發送的指令除聯鎖旁路信號外，還包括18個停電機命令、38臺閥門的開/關命令，建議這些信號由DCS的DO卡件向SIS的DI卡件發送。②DCS往SIS發送的聯鎖旁路指令，應該在SIS 的上位畫面增加這些旁路開關軟按鈕，功能上實現在DCS與SIS通訊中斷時，可由SIS上位畫面直接操作旁路開關。當然最好的方式還是改變操作習慣，把在DCS畫面上使用這些旁路按鈕轉移到從SIS上位畫面上使用這些旁路按鈕。

4.2 現場傳感器

當前裝置的聯鎖邏輯絕大部分為“一取一”，即現場傳感器為非冗余的單一測量儀表方式。建議重要回路采用冗余測量儀表，冗余方式改為“三取二”邏輯結構，并且選用基于不同工作原理及測量技術的現場傳感器，兼顧高可靠性和高可用性。

4.3 執行器

①當前裝置的聯鎖邏輯執行器為單一切斷閥設置，并且切斷閥平時作為調節閥來使用。建議在每個重要回路中增加一臺切斷閥，配置方式為“串聯切斷閥”或“串聯切斷閥與串聯電磁閥方式”。②切斷閥所帶的電磁閥應使用經過TüV認證的24VDC長期勵磁型低功耗電磁閥。

4.4 邏輯程序

當前裝置的程序邏輯上包含一些順序控制，不屬于核心自保聯鎖邏輯，即不作為保護裝置安全來使用。建議在有條件的時候把這部分順序控制邏輯移除SIS系統，只保留與裝置安全相關的邏輯，減少系統控制器的負荷，增強系統穩定度。

4.5 其它

①根據IEC 61508安全生命周期模型，在各階段的各個活動中遞交所有相關文檔。這些文檔應規定能夠有效執行整體安全生命周期各階段所必需的信息，規定能夠有效執行功能安全管理、驗證以及功能安全評估等活動所必需的信息，以及有關的報告和記錄。②SIL等級評估涉及流程、需要具備的條件以及不合格時應采取的措施和建議、可靠性數據的采用等多個方面的內容，建議在裝置開展HAZOP分析的基礎上找經過TüV驗證的SIL驗證軟件和安全評估人員來進行SIL評估，從而更加清晰地了解裝置安全聯鎖系統的狀況，做出更加科學的改進和管理，排除安全隱患。

5 結語

不論是新建石化裝置還是裝置SIS系統更新，必須了解SIL評估的內容和不同階段需要注意的事項，這樣就可以在設計過程中對SIS的硬件配置、接線等每個環節都考慮周全，避免由于在小細節上出現差錯而導致整個裝置SIL等級的降低，使裝置更加安全高效地運行。

[1] IEC.IEC 61508-2010 Functional of electrical/electronic/programmable electronic safety-related systems[S].Geneva：IEC,2010.

[2] 國家技術監督局.GB/T 20438-2006 電氣/電子/可編程電子安全相關系統的功能安全[S].北京:中國標準出版社,2006.

[3] 中華人民共和國住房和城鄉建設部.GB/T 50770-2013 石油化工安全儀表系統設計規范[S].北京:中國計劃出版社,2013.

歡 迎 訂 閱 歡 迎 投 稿

電話：0371-67712879 E-mail：hnhgbjb@126.com

2017-03-28

薛 明(1983-)，男，工程師，從事生產過程自動化控制工作，電話：13603884033，0379-66992123。

TQ056.22

B

1003-3467(2017)06-0037-05