在役裝置安全儀表功能回路SIL評估及應用

陳志飛

(中國石化長城能源化工(寧夏)有限公司，寧夏 銀川 750041)

安全儀表系統(SIS)是廣泛應用于過程工業危險裝置中的保護系統，事實上很多化工企業雖配置了相應的SIS，解決了安全功能問題，但安全功能是否能可靠執行不得而知，反觀之前則更側重于SIS的有無問題，很少涉及安全完整性等級(SIL)評估問題。實際上SIL等級作為SIS中的重要組成部分，在IEC61508[1]和IEC61511[2]或者對應中國標準中都有詳細規定,特別對在役的“兩重點一重大”生產裝置或設施[3]開展安全儀表功能(SIF)回路SIL等級評估有著重大的安全意義。

1 SIL相關概念

1.1 SIL等級劃分

SIL等級一般分為SIL1～SIL4，其中SIL4等級最高，過程工業SIF回路一般不會超過SIL3。SIL等級針對SIF回路而言包括： 傳感器、邏輯控制器和執行機構三個部分，采用平均失效概率(PFDavg)衡量，PFDavg與SIL對應等級見文獻[4]所列，計算如式(1)所示：

PFDavg=∑PFDS+∑PFDL+∑PFDFE

(1)

式中：PFDS——傳感器平均失效概率；PFDL——邏輯控制器平均失效概率；PFDFE——執行機構平均失效概率。

1.2 硬件結構約束

硬件結構約束的安全完整性由儀表類型、安全失效分數(SFF)和硬件故障裕度(HFT)共同決定。在SIL等級評估中考慮到系統性失效對安全完整性的影響，以及隨機失效率數據的準確性等因素，有必要從結構配置上做出最低約束和限制。

A類設備是指結構簡單的設備如繼電器、壓力開關、閥門、安全柵等；B類設備指結構復雜，或者采用處理器技術的設備如DCS，PLC，智能變送器等[5]。文獻[6]中A類安全相關子系統結構約束要求見表1所列，B類安全相關子系統結構約束要求見表2所列。

表1 A類安全相關子系統結構約束要求

表2 B類安全相關子系統結構約束要求

2 SIL評估內容

SIL評估是根據功能安全標準IEC61508和IEC61511進行。主要分為SIL定級和SIL驗證。

SIL定級是辨識SIF并確定SIF回路的SIL等級，主要采用保護層分析(LOPA)、風險圖等分析方法，以下著重介紹LOPA分析方法。

(2)

SIL驗證從回路PFDavg和硬件結構約束兩個方面驗證是否滿足目標要求，結果取兩者的最小值。結構約束根據表1和表2確定，PFDavg建模計算主要有可靠性分析、馬爾可夫模型法等，以下著重講解可靠性分析原理。

可靠性分析是更具有魯棒性的可能性建模辦法，相對馬爾可夫模型法而言更加簡單[8]，分析方法如圖1所示，垂直排列的代表并行路徑(與邏輯)，水平排列的代表串行路徑(或邏輯)。

圖1 可靠性分析方法示意

3 SIL評估技術在水煤漿氣化裝置上的應用

3.1 工藝簡介

某公司氣化裝置采用GE水煤漿技術，包括煤運、煤漿制備、氣化、灰水處理和變換等工藝過程，氣化裝置主要將來自空分裝置的氧氣和煤漿制備裝置送來的煤漿在氣化爐內進行部分氧化反應生成粗合成氣，粗合成氣洗滌除塵后進行變換，其有效成分為CO和H2，一部分合成氣經變換部分后送往低溫甲醇洗工段，另一部分合成氣經未變換部分送往 CO 深冷分離工段。

3.2 SIL定級

在開展SIL定級之前應先確定風險矩陣，本次評估采用中國石化標準風險矩陣圖[9]，從健康與安全影響、財產損失影響、非財產性與社會影響、環境影響4個維度來確定SIL等級。

SIL定級由工藝、設備和儀表等各專業共同參與討論分析，與HAZOP較為類似，現以氧煤比高高導致氣化爐氧含量過高，引發氣化爐爆炸，造成人員傷亡，設備毀壞的后果為例，結合風險矩陣，確定相應后果等級見表3所列。

表3 氧煤比高高報警風險等級

接下來采用LOPA分析計算未增加SIS時的風險概率，根據分析，引起氧煤比高高報警初始事件有四個，包括： 空分來的氧氣壓力高，氧氣流量控制閥FV1307誤操作開度過大，高壓煤漿管線堵塞和高壓煤漿泵不打量等。現以初始事件FV1307閥誤操作開度過大為例，假設人員暴露概率為0.5,LOPA事件樹如圖2所示。

圖2 LOPA事件樹示意

根據公式(2)可計算出：

根據中石化風險矩陣可知，在現有的措施下，事件發生頻率為(10-3～10-2)/a，可能性為5，具體風險等級確定見表4所列。

表4 未減緩前的風險等級和目標等級

根據文獻[4]可知，該SIF回路的SIL等級為SIL3，其他維度等級計算結果見表5所列，按就高原則最終定級為SIL3。

表5 氧煤比高高報警SIL等級

根據上述方法，氣化單元SIF回路共有36個，其中SIL3級有1個，SIL2級有8個，SIL1級有8個，SIL0級有19個。

3.3 SIL驗算

根據SIL定級結果，共有17個SIF回路達到SIL1及以上，SIL 驗算主要內容包括：

1)確定回路所包括的儀表設備、設備類型，規格及廠家等參數，各類失效率數據λ。

2)建立可靠性框圖及計算PFDavg。

3)對達不到目標等級的回路進行敏感性分析，提出合理化建議方案。

以氧煤比高高報警為例，詳細闡述SIL驗算過程，各部件SIL認證參數見表6所列。

表6 各部件SIL認證參數

關于PFDavg的計算方法，ISA TR84.00.02與IEC 61508的規定稍有不同，但計算結果大致相同[10]，以下采用ISA TR84.00.02的計算方法。

“1oo1”計算公式如式(3)所示：

(3)

“1oo2”計算公式如式(4)所示：

(4)

“2oo3”計算公式如式(5)所示：

(5)

式中：TI——測試周期；MTTR——平均修復時間；β——公共故障系數；λDD——可檢測到的危險故障；λDU——未檢測到的危險的故障。

該驗算取：β=0.06，MTTR=24 h，TI=4 a，該計算采用的可靠性分析方法如圖3所示。

圖3 可靠性分析方法示意

具體計算過程如下：

氧氣流量回路PFDavg=68×10-9×16×
8 760+3×376×10-9×68×10-9×24×
4×8 760+0.06×68×10-9×2×
8 760=9.6×10-3

煤漿流量回路PFDavg=206×10-9×16×
8 760+3×1 279×10-9×206×10-9×
24×4×8 760+0.06×206×10-9×
2×8 760=2.9×10-2

PFDS=9.6×10-3×2.9×10-2=
2.784×10-4

PFDL=1.934×10-4

PFDFE=3.430×10-7

∑PFDavg=PFDS+PFDL+

PFDFE=4.721×10-4

驗證結果見表7所列。

表7 驗證結果

經驗證17個SIF回路滿足均驗算要求。

4 SIL評估技術應用拓展

SIL評估作為SIS全生命周期管理的一部分，越來越受設計院和最終用戶的重視，其應用和指導意義在儀表管理中也得到充分體現，主要有以下方面：

1)防止過度保護、欠保護設計，節約投資。如氣化裝置SIF回路共有36個，因前期未開展SIL評估，SIF回路全部設計進SIS，本次評估在SIL1及以上的回路其實只有17個，SIL1以下回路19個，按照相關標準SIL1以下完全可以在DCS實現，相比SIS的配置要求，采用DCS設計同等條件下至少可節約33.3%的投資。

2)指導開展儀表及控制系統預防性維護，設備選型等。從PFDavg計算公式看影響計算結果有TI，β，λDU等因素。因此改變測試周期，采用不同檢測原理的儀表，采用自診斷率高的儀表或者經SIL認證的，失效率也會得到有效管控。

3)聯鎖改造的評估。從裝置設計初期看，基于各種因素都不可避免會采用單點聯鎖，容易造成裝置停車，所以在安全等級不高但要求可靠性高的場所會考慮2oo2或者2oo3的方式[11]，但是否可行，此時就可以通過SIL評估來科學指導和判斷。

5 結束語

國內功能安全評估尚處于起步階段，可靠性數據缺乏，在SIL評估中完全依賴SIL證書數據會影響評估結果，因此對在役裝置要著重完善現場可靠性數據收集和功能規格書(SRS)等，科學合理利用評估結果來指導儀表及控制系統管理，確保裝置安全可靠運行。