安全儀表系統(tǒng)的SIL 驗(yàn)證方法及工程應(yīng)用

席永勝

（華陸工程科技有限責(zé)任公司，西安710065）

1 引言

隨著石油化工裝置數(shù)量不斷增加，規(guī)模不斷擴(kuò)大，安全生產(chǎn)事故越來(lái)越嚴(yán)重地威脅著人民的生命財(cái)產(chǎn)安全、企業(yè)的生產(chǎn)經(jīng)營(yíng)以及周邊的生態(tài)環(huán)境。根據(jù)原安監(jiān)總局《關(guān)于進(jìn)一步加強(qiáng)危險(xiǎn)化學(xué)品建設(shè)項(xiàng)目安全設(shè)計(jì)管理的通知》（安監(jiān)總管三〔2013〕第76 號(hào)）和《國(guó)家安全監(jiān)督管理總局關(guān)于加強(qiáng)化工安全儀表系統(tǒng)管理的指導(dǎo)意見(jiàn)》（安監(jiān)總管三〔2014〕116 號(hào)）要求，建設(shè)項(xiàng)目應(yīng)根據(jù)工藝過(guò)程危險(xiǎn)和風(fēng)險(xiǎn)分析結(jié)果科學(xué)確定安全儀表功能。

2 安全完整無(wú)缺性等級(jí)（SIL）驗(yàn)證

為有效降低石油化工裝置的危險(xiǎn)性，安全儀表系統(tǒng)得到廣泛使用，安全儀表系的設(shè)計(jì)、安裝調(diào)試、安全確認(rèn)、運(yùn)行維護(hù)等變得至關(guān)重要。根據(jù)IEC 61508 Functional safety of electrical/electronic/programmable electronic safety-related systems 和IEC 61511 Functional safety -safety instrumented systems for the process industry sector 的安全儀表系統(tǒng)（SIS）全生命周期管理，安全儀表系統(tǒng)的驗(yàn)證為其生命周期中的一個(gè)必要環(huán)節(jié)，安全儀表功能（SIF）回路能否達(dá)到相應(yīng)SIL 等級(jí)，必須根據(jù)實(shí)際采購(gòu)的設(shè)備數(shù)據(jù)、用戶的檢修周期、維修時(shí)間等進(jìn)行驗(yàn)證。然而在工程項(xiàng)目實(shí)施中，對(duì)安全儀表系統(tǒng)并沒(méi)有進(jìn)行安全完整性等級(jí)驗(yàn)證的環(huán)節(jié)，導(dǎo)致部分安全儀表回路并不能滿足相應(yīng)的SIL 等級(jí)要求，也就失去了對(duì)危險(xiǎn)場(chǎng)景的保護(hù)能力。本文首先給出SIL 驗(yàn)證的基本要求，接著給出一般SIF 回路SIL 驗(yàn)證的過(guò)程及數(shù)據(jù)選用，最后使用一個(gè)工程實(shí)例進(jìn)行過(guò)程演示，給出了一些驗(yàn)證未通過(guò)的SIF 回路的整改措施。

2.1 基本要求

根據(jù)IEC 61508 和IEC 61511 要求，安全儀表系統(tǒng)SIF 回路的SIL 等級(jí)由回路結(jié)構(gòu)約束、系統(tǒng)性能力（SC）和要求時(shí)危險(xiǎn)失效平均概率（PFDavg）三者共同決定，只有三者同時(shí)滿足要求SIL 回路才具備執(zhí)行相應(yīng)SIF 功能的能力[1-2]。

2.1.1 結(jié)構(gòu)約束

設(shè)備執(zhí)行安全功能時(shí)，最大允許安全完整性等級(jí)取決于設(shè)備安全失效分?jǐn)?shù)（SFF）以及硬件故障裕度（HFT），SFF 計(jì)算如式（1）：

式中，λS為安全失效概率；λD為危險(xiǎn)失效概率；λDD為檢測(cè)出的危險(xiǎn)失效概率。

HFT 是指出現(xiàn)故障或者錯(cuò)誤的情況下能夠繼續(xù)執(zhí)行要求功能的能力。硬件使用時(shí)采用的表決結(jié)構(gòu)不同，則其HFT不同，1oo1D、2oo2 的HFT 為0；1oo2、1oo2D、2oo3 的HFT 為1；1oo3 的HFT 為2。HFT 表示硬件的降級(jí)使用能力。

IEC 61508 中將設(shè)備分為A 類和B 類，硬件安全完整性等級(jí)認(rèn)證有兩種方法，即路線1H 和2H。路線1H 中A 類和B 類設(shè)備執(zhí)行安全功能時(shí)的最大允許完整性等級(jí)如表1 所示。

表1 A、B 類設(shè)備執(zhí)行安全功能時(shí)的最大允許完整性等級(jí)

IEC 61508 更傾向于使用路線2H，規(guī)定設(shè)備執(zhí)行安全功能時(shí)SIL1 和SIL2 的HFT 為0，SIL3 的HFT 為1。

結(jié)構(gòu)約束是對(duì)用于實(shí)現(xiàn)安全儀表功能的硬件限制，使用安全失效分?jǐn)?shù)和硬件故障裕度確定每個(gè)子系統(tǒng)可以降低的風(fēng)險(xiǎn)，結(jié)構(gòu)約束可防止PFDavg 計(jì)算中的不良故障數(shù)據(jù)、不切實(shí)際的驗(yàn)證測(cè)試間隔和參數(shù)估計(jì)，是對(duì)系統(tǒng)表決結(jié)構(gòu)的一種強(qiáng)制要求。設(shè)備分類及采用的路線在其安全認(rèn)證證書上可查到。

2.1.2 系統(tǒng)性能力（SC）

系統(tǒng)性失效是在開(kāi)發(fā)和運(yùn)行過(guò)程中的錯(cuò)誤造成的，一般是硬件或軟件設(shè)計(jì)階段的規(guī)范錯(cuò)誤、設(shè)計(jì)失誤、制造錯(cuò)誤等導(dǎo)致的。系統(tǒng)性能力用以表達(dá)設(shè)備應(yīng)對(duì)系統(tǒng)性失效的能力等級(jí)，分為SC1～SC4。系統(tǒng)性失效只有在特定的條件下才會(huì)發(fā)生，不滿足統(tǒng)計(jì)學(xué)規(guī)律。當(dāng)多個(gè)設(shè)備進(jìn)行表決時(shí)，組件的系統(tǒng)性能力取決于SC 能力小的設(shè)備，若兩個(gè)設(shè)備的SC 能力一致且他們之間相互獨(dú)立，不會(huì)發(fā)生系統(tǒng)性失效，則他們的組合系統(tǒng)性能力可以提高一個(gè)等級(jí)，而且只能提高一個(gè)等級(jí)，不能再通過(guò)增加設(shè)備數(shù)量繼續(xù)提高組件的系統(tǒng)性能力。

2.1.3 要求時(shí)危險(xiǎn)失效平均概率（PFDavg）

SIL 等級(jí)是用來(lái)規(guī)定分配給SIS 的SIF 完整性要求的離散等級(jí)，SIF 的SIL 等級(jí)用PFDavg表示，PFDavg是指電氣、電子、可編程電子安全相關(guān)系統(tǒng)在受控設(shè)備或受控設(shè)備控制系統(tǒng)發(fā)出要求時(shí)執(zhí)行規(guī)定安全功能的平均不可用性。IEC 61511 將SIF 功能的操作模式分為低要求模式、高要求模式和連續(xù)模式，通常石油化工裝置的SIS 動(dòng)作頻率不大于每年一次，安全完整性等級(jí)不高于SIL3，因此工作于低要求模式，本文的計(jì)算及驗(yàn)證均按照低要求模式進(jìn)行討論。SIF 回路失效概率的常用計(jì)算方法有故障樹、可靠性圖、簡(jiǎn)化方程、馬爾科夫等。故障樹分析法是安全系統(tǒng)工程的主要分析方法之一，也是ISA-TR 84.00.02-3 推薦使用的分析方法，由于在計(jì)算硬件故障失效概率時(shí)能夠?qū)?fù)雜系統(tǒng)進(jìn)行分解，直觀地描述系統(tǒng)各環(huán)節(jié)之間的邏輯關(guān)系，使得模型易于理解，因此，本文將采用故障樹分析方法，給出要求時(shí)危險(xiǎn)失效平均概率的計(jì)算公式。具體推導(dǎo)過(guò)程可參考文獻(xiàn)[3]。

SIF 回路滿足其SIL 等級(jí)則要求SIF 回路的PFDavg滿足相應(yīng)的取值區(qū)間。SIF 回路的要求時(shí)平均失效概率PFDSYS為：

式中，MTTR 為平均恢復(fù)時(shí)間；E 為診斷覆蓋率；TI 為設(shè)備周期性檢驗(yàn)時(shí)間間隔；LT 為有效使用壽命；C 為比較程序的診斷覆蓋率；λD為危險(xiǎn)失效概率；λDU為未檢測(cè)出的危險(xiǎn)失效概率；λDC為共因危險(xiǎn)失效概率；λDUC為未檢測(cè)出的共因危險(xiǎn)失效概率；λDUN為未檢測(cè)出的非共因危險(xiǎn)失效概率。

失效概率一般來(lái)源于SIL 證書、工業(yè)失效數(shù)據(jù)庫(kù)、工廠實(shí)際數(shù)據(jù)[4-5]。SIF 回路中只有影響回路功能的關(guān)鍵元件需要進(jìn)行計(jì)算，一些輔助元件如SIS 系統(tǒng)的通信卡件、閥門的定位器、閥門回訊等次要元件不做要求，電源模塊也不參與計(jì)算過(guò)程。

2.2 驗(yàn)證過(guò)程

系統(tǒng)安全完整性等級(jí)的驗(yàn)證可歸納為以下：

1）結(jié)構(gòu)約束：判斷硬件認(rèn)證的方法是路線1H 還是2H，然后根據(jù)2.1.1 節(jié)內(nèi)容判斷硬件表決結(jié)構(gòu)是否滿足要求。

2）系統(tǒng)性能力：經(jīng)過(guò)安全功能認(rèn)證的設(shè)備，系統(tǒng)性能力一般都滿足SC2 及以上，因此都滿足SIL2 的SIF 回路；對(duì)于SIL3 回路則必須使用兩個(gè)SC2 的異型設(shè)備或兩個(gè)SC3 的同型設(shè)備進(jìn)行1oo2 表決結(jié)構(gòu)配置。

3）PFDavg：如果硬件表決結(jié)構(gòu)同時(shí)滿足以上兩點(diǎn)，則選擇相應(yīng)公式計(jì)算SIF 回路的失效概率。

4）如果以上同時(shí)滿足則回路驗(yàn)算通過(guò)，否則需要調(diào)整硬件表決結(jié)構(gòu)、更改相關(guān)參數(shù)或者采用可靠性更高的硬件設(shè)備，重新進(jìn)行驗(yàn)證。

3 工程實(shí)例

某汽提塔底部采用低壓蒸汽進(jìn)行加熱，塔頂采出物超壓時(shí)聯(lián)鎖關(guān)閉再沸器蒸汽進(jìn)料，如圖1 所示。根據(jù)HAZOP 及LOPA 分析要求該場(chǎng)景分配SIL3 的安全儀表功能。工程實(shí)施中塔頂壓力采用2oo3 表決結(jié)構(gòu)的同型壓力變送器，在沸器入口蒸汽采用1oo2 表決結(jié)構(gòu)的同型切斷閥。

圖1 某汽提塔采出壓力高高聯(lián)鎖

3.1 傳感器子單元(羅斯蒙特3051S)

查閱認(rèn)證證書：

系統(tǒng)性能力SC3；B 類設(shè)備；認(rèn)證方式為路線1H；HFT=1；λDD=274；λDU=40；SFF=90%。

在以下條件下：

E=85%；MTTR=8 h；LT=10a；TI=1a；β=5%；表 決 結(jié) 構(gòu)：2oo3；同型表決。

1）設(shè)備認(rèn)證采用為1H，SFF=90%，HTF=1，結(jié)構(gòu)約束滿足SIL3 要求；

2）傳感器單元采用2oo3 表決結(jié)構(gòu)，HTF=1，變送器系統(tǒng)性能力SC3，滿足SIL3 要求；

3）PFDavg計(jì)算：

代入公式(6)得傳感器子單元在要求時(shí)的平均失效概率：PFDS=6.26×10-5。

3.2 邏輯子單元(deltaV SIS)

查閱認(rèn)證證書：

B 類設(shè)備；認(rèn)證方式為路線1H；系統(tǒng)性能力SC3；硬件故障裕度HFT=1。

失效數(shù)據(jù)見(jiàn)表2。

表2 B 類設(shè)備失效數(shù)據(jù)

在以下條件下：

表決結(jié)構(gòu)：1oo2D；同型表決；MTTR=85 h；LT=15 a；TI=1 a；

E=90%；C=99.9%；β=2%；

1）設(shè)備認(rèn)證采用1H，SFF=98.27%，HTF=1，表決結(jié)構(gòu)約束滿足SIL3 要求；

2）邏輯子單元采用1oo2D 表決結(jié)構(gòu)，HTF=1，邏輯子單元系統(tǒng)性能力SC3，滿足SIL3 要求；

3）PFDavg計(jì)算：

帶入公式(5) 得邏輯子單元在要求時(shí)的平均失效概率：

PFDL=9.048×10-6。

3.3 執(zhí)行元件子單元

查閱認(rèn)證證書：

A 類設(shè)備；認(rèn)證方式為路線2H；系統(tǒng)性能力SC3。

失效數(shù)據(jù)見(jiàn)表3。

在以下條件下：

表決結(jié)構(gòu)：1oo2；HFT=1；同型表決；MTTR=8 h；LT=10 a；

TI=1 a；E=90%；β=5%。

1）設(shè)備認(rèn)證采用為2H，HTF=1，表決結(jié)構(gòu)約束滿足SIL3要求；

2）執(zhí)行元件子單元采用1oo2 表決結(jié)構(gòu)，HTF=1，執(zhí)行元件子單元系統(tǒng)性能力SC3，滿足SIL3 要求；

3）PFDavg計(jì)算：

代入公式(4) 得執(zhí)行元件子單元在要求時(shí)的平均失效概率：PFDFD=5.12×10-4。

由式 (2) 得該SIF 回路被要求時(shí)的平均故障率：PFDSYS=PFDS+PFDL+PFDEF=5.84×10-4，介于10-4～10-3，滿足SIL3要求。表明該SIF 回路的整體可靠性滿足危險(xiǎn)場(chǎng)景對(duì)SIS 的要求，危險(xiǎn)造成的損失控制在業(yè)主可接受范圍內(nèi)，驗(yàn)證通過(guò)。

4 驗(yàn)證未通過(guò)SIF 回路的整改措施

1）不滿足結(jié)構(gòu)約束要求時(shí)調(diào)整表決結(jié)構(gòu)（增加HFT）或采用SFF 更高的產(chǎn)品；

2）不滿足系統(tǒng)性能力要求時(shí)調(diào)整表決結(jié)構(gòu)（提高SC）或者采用SC 更高的產(chǎn)品；

3）SIF 回路不滿足PFDavg計(jì)算時(shí)可合理評(píng)估共因失效值、縮短檢測(cè)測(cè)試周期、提高元件平均修復(fù)時(shí)間、優(yōu)化回路的表決結(jié)構(gòu)或選用故障性能更優(yōu)的產(chǎn)品。

5 結(jié)論

本文給出通過(guò)結(jié)構(gòu)約束、系統(tǒng)性能力和要求時(shí)危險(xiǎn)失效平均概率驗(yàn)證安全儀表系統(tǒng)SIF 回路安全完整性等級(jí)的過(guò)程和方法，討論了三者對(duì)安全完整性等級(jí)驗(yàn)證的影響，并對(duì)驗(yàn)證未通過(guò)的SIF 回路給出了建議的整改措施。工程實(shí)例驗(yàn)證了方法的可行性和有效性。對(duì)石油化工裝置安全儀表系統(tǒng)的設(shè)計(jì)和驗(yàn)證具有參考意義。