工程設計中SIS執行及SIL驗證

伊飛

(中海油石化工程有限公司，山東 青島 266100)

近年來，為防止和減少危險化學品事故發生，涉及到“兩重點一重大”等新建或在役裝置、罐區等均需配置全生命周期的安全儀表系統(SIS)并評估SIL等級，原國家安全生產監督管理總局《關于加強化工安全儀表系統管理的指導意見》(安監總管三[2014]116號)指出：設計安全儀表系統之前要明確安全儀表系統過程安全要求、設計意圖和依據[1-2]。根據所有安全儀表功能(SIF)的功能性和完整性要求，編制SIS安全要求技術文件。工程設計公司在傳統的工程設計中，需要完善SIS設計，通過安全要求規格書(SRS)等技術文件，詳細描述系統的SIL等級，為裝置在全生命周期內系統SIL評估及驗證提供依據。

工程設計公司應具備對于在役裝置、罐區SIL評估及評估后的整改的能力。對過程工業裝置進行SIL評估后，既要保證安全聯鎖系統的安全可靠，避免觸發聯鎖時的 “拒動作”，又要降低觸發聯鎖時的“誤動作”，從而減少因誤停車引發的經濟損失。對于已經經過SIL評估及認證的裝置或SIF回路，在SIL驗證過程中，分析目前的裝置的SIL等級是否合適，避免“過保護”“欠保護”[3-4]。

1 SIS的工程設計

1.1 SIS工程設計階段及主要內容

工程設計公司在工程執行階段，對于SIS的設計包含：SIS/SIF設計、集成、安裝、調試以及確認。IEC 61511：2016Functionalsafety-safetyinstrumentedsystemsfortheprocessindustrysector—Part1：Framework,definitions,system,hardwareandsoftwarerequirements[5]規定參與SIF回路的儀表、控制系統需要具有符合IEC 61508：2010認證要求的SIL證書。實際SIS設計工程中，設計者會選用相應的SIS結構來表決實現硬件的故障裕度(HFT)，以達到回路的SIL要求。SIF的響應時間也應滿足過程安全時間(PST)的要求。在SIS的安裝、測試階段后，應保存完成的過程記錄文件，并形成確認報告。工程執行階段SIS設計流程如圖1所示。

圖1 工程執行階段SIS設計流程示意

1.2 安全要求規格書

SRS是SIS設計最基礎的文件，在編制SRS時，需要工藝、安全等專業提供詳細、可靠的設計資料，包含：過程和危險信息(PHA報告)、風險分析(HAZOP分析)、影響SIS設計的法規及標準規范要求、SIL定級報告等。SRS應包含兩類要求：

1)功能要求。需要描述每個SIF回路的功能。安全功能的表達至少包括下面的內容：對于每個辨識出的危險事件，定義工藝安全狀態，例如，需要閥門打開還是關閉；測量參數(溫度、壓力、流量、液位等)類型、量程范圍及其關斷設定值，例如：HH和LL設定值；邏輯控制器的輸出及其動作，例如：關停機泵、打開放空閥、關閉關斷閥等；輸入輸出之間的功能關系，包括邏輯、數學函數、時序控制以及任何所需的“許可”操作；失電關停還是得電關停的選擇；手動停車的考慮；當SIS的電源或氣源斷掉時應有的響應動作；將工藝對象置于安全狀態的響應時間要求；對通過自動診斷檢測出的失效所需的響應動作；人機界面的要求；旁路操作要求；復位功能要求。

2)完整性要求。風險降低和可靠性要求。安全完整性的表達至少包括下面的內容：每個SIF所需的SIL等級；為達到所需的SIL等級，對自動診斷的要求；為達到并保持所需的SIL等級，對維護以及測試的要求；如果誤關斷可能導致危險的后果，對相應可靠性的要求。

2 SIS的SIL驗證

根據ISA-TR84.002：2015Safetyintegritylevel(SIL)verificationofsafetyinstrumentedfunctions[6]的規定，SIL驗證分為以下7個部分：了解計算中的假定條件；了解功能要求(SIF構成)；確定SIL要求；明確可用性要求；計算SIF回路的平均失效率(PFDavg)；計算平均無故障時間(MTTF)或誤停車率(STR)；調整SIF設計滿足安全完整性和可用性要求。

上述前4個部分根據風險分析報告、SIL定級報告、工藝P&ID及日常操作、維護等來確定；第5,6部分的計算結果會影響第7部分對于SIL驗證的評估及結論。一個子系統及各SIF回路結構約束部分包括傳感器、執行元件、邏輯控制器及連接各部分的必要元器件要達到SILn，系統能力要達到SCn，同時SIF回路的PFDavg要滿足在SILn內，還要兼顧系統的可用性，減少STR。

2.1 PFDavg和STR計算

PFDavg的計算如式(1)所示[7]：

PFDavg=f(λ,TI,MTTR,β,MooN,DC)

(1)

式中：λ——失效率；MooN——表決形式；DC——診斷覆蓋率；TI——檢驗時間的時間間隔；MTTR——平均恢復時間；β——公共原因失效。

失效模式分為安全失效與危險失效，即λ可分為安全失效率(λS)、危險失效率(λD)，其中λS=λSD+λSU,λD=λDD+λDU，其中，λSD——安全可檢測失效率；λSU——安全不可檢測失效率；λDD——危險可檢測失效率；λDU——危險不可檢測失效率。DC為通過自動在線診斷檢測出的失效占總失效的比率，可分為危險失效診斷率(DCd=λDD/λD)、安全失效診斷率(DCs=λSD/λS)。β指2個或多個通道以相同的方式失效，導致相同的錯誤結果，λCC=βλ，對于硬件失效β值一般取0.005～0.110[8]，λCC為公共原因失效率。

計算PFDavg常用的計算方法有事件樹分析(ETA)、故障樹分析(FTA)、可靠性框圖(RBD)、失效模式與影響分析(FMEA)、馬爾科夫分析(Markov)等[9]。ISA報告中PFDavg和STR的不同安全聯鎖配置下的簡化公式見表1所列，其中，STR簡化公式中指的是安全系統不帶診斷功能的設備。

表1 ISA報告中PFDavg和STR的不同安全聯鎖配置下的簡化公式

2.2 SIF回路硬件安全完整性

IEC 61508中對SIF回路元器件的安全完整性分析，有路徑1與路徑2兩種方式。路徑1通過計算安全失效分數(SFF)來確定回路元件的SIL等級；路徑2是基于可靠數據(以往經驗數據)，修正數據后排除不確定的數據，然后計算PFDavg，失效率應控制在[0, 90%]的置信度區間[10]。以下以路徑1為例，驗證回路元件的SIL等級。

SFF是安全失效率和可檢測出的危險失效率的總和，除以總硬件隨機失效率，如式(2)所示：

(2)

根據元件自身結構特點及系統的復雜性，可分為A型子系統和B型子系統。A型子系統結構簡單，其失效模式能夠完整地定義、失效行為能夠完全確定、能夠獲取足夠的失效率數據。B型子系統結構復雜，一個或多個失效模式不能夠完整地定義、失效行為不能夠完全確定，或者不能夠獲取足夠的失效率數據。

在同等條件下，限定B型子系統比A型子系統的SIL低一個等級，基本上為HFT加1，SIL允許增加一個等級。不同安全失效分數下，A，B型子系統達到相應SIL等級下硬件配置要求見表2所列。

表2 不同安全失效分數下A，B型子系統達到相應SIL等級下硬件配置要求

3 SIL驗證

以某原油常減壓裝置加熱爐進料安全聯鎖控制回路為例，驗證在滿足SIL等級要求下，測量元件的配置是否合理。當燃料氣進氣管線壓力高高報警、爐膛溫度高高報警時，需要聯鎖關閉燃料氣管線進口閥門，要求回路為SIL2等級的安全聯鎖，在SIL低需求條件下，假定燃料氣進口閥門、爐膛內溫度檢測元件都為SIL2等級，計算SIF回路壓力變送器的PFDavg，并比較在壓力變送器不同的配置情況下，SIF回路的安全性與可用性。加熱爐進料聯鎖邏輯控制PID流程及壓力變送器配置如圖2所示。

圖2 加熱爐進料聯鎖邏輯控制PID流程及壓力變送器配置示意

3.1 SIL2壓力變送器的單臺儀表(1oo1)

燃料氣進氣管線壓力高高超限安全聯鎖SIF回路中，設置1臺SIL2的壓力變送器(B型)作為安全聯鎖觸發的條件，加熱爐進料聯鎖邏輯控制邏輯(1oo1)如圖3所示，其PID控制見圖2中a；SIL2壓力變送器(B型)相關安全參數見表3所列，其中，FIT表示1個失效的時間(10-9h)，TS為檢驗時間，TI為修復時間，TR為聯鎖觸發停車到重啟開車的時間。

表3 SIL2壓力變送器(B型)相關安全參數

圖3 加熱爐進料聯鎖邏輯控制邏輯(1oo1)示意

根據ISA-TR84.002：2015Safetyintergritylevel(SIL)verificationofsafetyinstrumentedfunctions[6]中的簡化公式計算得到(變送器1oo1)：PFDavg=4.2×10-4；STR=8.4×10-8。

3.2 壓力變送器的安全聯鎖(1oo2)

燃料氣進氣管線壓力高高超限安全聯鎖SIF回路中，設置2臺SIL1的壓力變送器“1oo2”(B型，HFT=1)作為安全聯鎖觸發的條件，加熱爐進料聯鎖控制邏輯(1oo2)如圖4所示，其PID控制見圖2中b；SIL1壓力變送器(B型)相關安全參數見表4所列。

表4 SIL1壓力變送器(B型)相關安全參數

圖4 加熱爐進料聯鎖控制邏輯(1oo2)示意

根據ISA-TR84.002：2015[6]簡化公式計算得：PFDavg=6.975×10-6；STR=1.68×10-7。

3.3 壓力變送器的安全聯鎖(2oo3)

燃料氣進氣管線壓力高高超限安全聯鎖SIF回路中，設置3臺SIL1的壓力變送器“2oo3”(HFT=1)作為安全聯鎖觸發的條件，加熱爐進料聯鎖控制邏輯(2oo3)如圖5所示，其PID控制見圖2中c。

根據ISA-TR84.002：2015[6]中的簡化公式計算得到：PFDavg=2.092 5×10-5；STR=5.568×10-10。

3.4 計算結果分析

同一SIL等級下不同配置的壓力變送器SIF回路計算結果見表5所列。根據表5數據得出以下結論：“1oo2”的配置安全性能最好，但STR最高，表示其實際操作中的可用性不強；“2oo3”的STR最低，表示在實際中其可用性十分可靠，更有利日常生產運營，其安全性能也合適；“1oo1”的配置安全性能最低，STR介于其他兩種配置之間。因此，在滿足SIF回路SIL2的前提下，變送器“2oo3”的配置是最優的選擇，其兼顧安全性與實用性。

在SIL低需求模式下，即使單臺具備SIL2的壓力變送器，跟單臺SIL1壓力變送器通過一定的HFT來滿足SIF回路為SIL2的配置模式相比，安全性、STR要差一些。因此，留有一定的HFT在某些要求較高的安全模式下是有必要性的。

在實際的SIS工程設計或驗證中，具備SIL2的壓力變送器已成為常規的配置，在某些聯鎖回路中，變送器部分的配置通過增加HFT可到達SIL3，或要求壓力變送器具備自檢測的功能，通過提升SIF回路中部分回路的安全等級，來排除因誤停車的可能性，增加SIF回路的實用性。

4 結束語

在工程設計中，SIF回路的的配置應該在滿足安全聯鎖與工藝聯鎖的前提下，兩者兼顧，給出最優的選擇。“欠保護”、“過保護”都是不可取的。工程設計公司應出具完備成熟的安全要求規格書，評估裝置或設備的安全性能，同時也是作為安全驗證能夠追溯的重要依據。