石化装置中安全仪表功能的评估和验证

2018-06-28文科星

机电信息 2018年18期

文科星

（德希尼布化学工程（天津）有限公司上海分公司，上海200021）

0 引言

随着《国家安全监管总局关于加强化工安全仪表系统管理的指导意见》（安监总管三〔2014〕116号）的发布，各化工企业对生产过程中安全问题的重视程度得到了极大的提高。安全仪表系统（SIS，Safety Instrumented System）能在生产过程中可能出现安全事故时瞬间准确动作，将生产过程导入预定的安全状态，减少事故带来的危害。因此，安全仪表系统的组建是保障生产安全的关键。安全仪表功能（SIF，Safety Instrumented Functions）是组建安全仪表系统的基础。安全仪表功能的目标是什么，以及如何评估和验证安全仪表功能，是各化工企业及工程公司在落实安监局的要求时遇到的主要问题。

本文对某年产12万t氯气的盐酸回收装置中安全仪表功能（SIF）的工程经验进行分析，为未来新建的石油化工项目执行该条文提供了借鉴。

1 安全仪表功能的目标

安全仪表功能的目标来自于工艺危害分析（Process Hazard Analysis，PHA）的结果。工艺危害分析是工艺安全管理的核心要素，是有组织地、系统性地对工艺装置或设施进行危害辨识，为消除和减少工艺过程中的危害、减轻事故后果提供了必要的决策依据。

国家安全生产监督管理总局颁布了AQ/T 3049—2013《危险与可操作性分析（HAZOP分析）应用导则》和AQ/T 3054—2015《保护层分析（LOPA）方法应用导则》，用于指导使用这两种方法来进来工艺危害分析的具体应用步骤。

危险与可操作性分析法（Hazard and Operability Analysis，HAZOP）是工艺危害分析中的一种定性分析方法，能够辨识出主要的、风险等级高的工艺危害。

保护层分析（Layer of Protection Analysis，LOPA）是一种半定量的风险分析和评估方法，是建立在定性危害分析的基础上，通过对初始事件频率、后果严重程度和独立保护层失效概率的数量级大小来近似表征场景的风险的一种工艺危害分析的方法。

IEC 61511《过程工业安全仪表系统的功能安全》中的洋葱模型形象地概括了过程工业中独立保护层的结构，如图1所示。安全仪表系统（SIS）由多个SIL等级不同的SIF组成，即安全仪表功能（SIF）处于该结构中安全仪表系统（SIS）层级。

LOPA分析的结果报告中包含了对安全仪表功能（SIF）的平均失效概率（PFDavg）的具体要求。工程实践中，大多数石油化工装置的安全仪表系统工作于低要求操作模式。根据IEC 61511中低要求模式下平均失效概率与SIL级别的对应关系，如表1所示，安全仪表等级（Safety Integral Level，SIL）也就能确定了。

图1 独立保护层“洋葱模型”

表1 SIL等级与PFDavg的对应关系

安全仪表功能的目标就是需要通过设计、选型该回路中的检测元件、控制元件和执行元件，使该回路SIF计算的PFDavg值小于LOPA分析结果提出来的要求。

2 安全仪表功能的评估和验证

安全仪表功能的评估和验证主要包含平均失效概率PFDavg的计算、结构约束（Architecture Constraints）的验证和系统完整性（System Capability）的评估。

2.1 PFDavg的计算

组成安全仪表功能的安全仪表回路包括传感器（Sensor）、安全逻辑控制器（Safety PLC）和最终执行元件（Final Element）。SIF回路的PFDavg值即为这三个部分的PFDavg之和，目前主要的计算方法有：根据IEC 61508的简化方程式法、根据IEC 61078的可靠性框图分析法（RBD）、根据IEC 61025的事故树分析法（FTA）、根据IEC 61165的马尔科夫模型（Markov）计算法。工程实践中，IEC 61508的简化方程式法应用比较普遍，表2中列出了最常见的三种结构下的计算公式。

PFDavg计算过程中，验证各元件的安全数据是计算的基础。安全仪表数据包含被检测到的安全故障率SD（Safe Detected）、未被检测到的安全故障率SU（Safe Undetected）、被检测到的危险故障率DD（Dangerous Detected）、未被检测到的危险故障率DU（Dangerous Undetected）、诊断覆盖率DC（Diagnostic Coverage）、安全失效分数SFF（Safe Failure Fraction），其中SFF=（SU+SD+DD）/（SU+SD+DD+DU），它主要有以下几种来源：

表2 PFDavg简化计算公式

（1）通用数据库，主要有来自DNV的海上设备可靠性数据库ORENDA、来自CCPS的过程设备可靠性数据库PERD、来自EXIDA的安全设备可靠性数据库SERH以及来自SINTEF的安全仪表系统可靠性数据库PDS。

（2）第三方机构根据IEC 61508出具的SIL证书或FMEDA报告。

（3）生产厂家的声明。厂家出具的数据可能会过于激进，在工程实践中，需将该数据与通用数据库中的同类型数据进行对比，若厂家数据优于通用数据库的数据，则使用通用数据库的数据进行计算；无法对比时，应考虑5～10倍的安全系数。

（4）先验数据，在类似工厂的相似工况下使用的仪表数据可作为安全数据的一种来源。

冗余结构中共因失效因子β值的选取取决于冗余通道上所使用的技术的多样性，在工程实践中常用如下经验数据：

（1）同一品牌及同一测量原理的元件组成的冗余结构，β值取值范围建议为0.05～0.15；

（2）不同品牌的同一测量原理的元件组成的冗余结构，β值取值范围建议为0.01～0.04；

（3）不同测量原理的元件组成的冗余结构，β值取值范围建议为0.001～0.01。

2.2 结构约束

安全仪表功能的目标包含了SIL等级的要求，IEC 61508中针对不同的SIL等级有HFT的要求，在SIF验证的阶段需要根据SIF回路情况对各组成部分的冗余情况进行总结，从而对结构约束进行验证。

根据IEC 61508的结构约束对硬件故障裕度（Hard Fault Tolerance，HFT）的要求，如表3所示，SFF会影响SIF回路中各传感器和最终执行元件的冗余类型。硬件故障裕度N，意味着N+1个故障将导致安全功能的丧失。A型子系统是指所有组成部件的失效模式都能被很好地定义的系统，常见的包括各种现场开关信号、阀门上的信号，比如液位开关、电磁阀等。B型子系统是指至少有一个组成部件的失效模式没有被很好地定义，常见的包括SIS系统硬件、各种现场变送器等。通过SIL认证的各种现场变送器等B型子系统的SFF在90%～99%，符合SIL2的要求，冗余配置可以达到SIL3。通过SIL认证的A型子系统SFF一般都在90%～99%，能满足SIL3要求。

2.3 系统完整性

IEC 61508中提出了系统完整性（Systematic Capability，SC）的概念，主要是考虑系统失效方面的风险控制，它的等级代表了一种评价产品的设计技术和生产技术在质量方面的度量。用于SIF回路中的元件都必须是SC等级高于回路SIL等级的，比如SIL3的回路中使用2oo3结构的变送器达到了平均失效率PFDavg的要求，但如果变送器的SC等级是SC2，这个回路的设计还是不能满足SIL3的要求。在IEC 61511中有一种可替代的方案，最终用户可以基于“先验使用”的经验对产品的SIL级别进行判定。

表3 不同SIL等级对HFT的要求

2.4 改进措施

SIF回路的平均失效概率PFDavg计算结果可能会达不到LOPA的要求，常用的降低PFDavg的措施有如下几种：

（1）降低测试时间T：测试时间T一般是根据工厂停车检修的频率来设置。当回路PFDavg达不到要求时，可以根据该回路所在工艺段的具体操作情况调整该回路的测试时间。

（2）提高冗余：由PFDavg的计算公式可以看出将元件的冗余改变时，PFDavg值能得到极大的改善。

（3）增加阀门的部分行程测试PST（Partial Stroke Test）：阀门是执行元件中最常用的，阀门功能失效最可能的情况是在需要动作时卡住了。因此，在阀门上增加部分行程测试（一般指10%～20%的行程）的功能能提高发现阀门卡住引起的功能失效的概率。部分行程测试的周期一般为回路测试周期的10%，如回路测试周期为一年，部分行程测试周期为一个月。部分行程测试对工艺操作会造成短暂的波动，这种波动大多数情况下是可以接受的。

（4）其他诊断措施：有冗余结构的情况或在同一管路、同一设备上有同样的测量仪表时，可以增加偏差报警，如两个测量仪表之间的偏差超过10%时产生一个需要操作员干预的报警信号，提早发现仪表的功能失效。

在各种改进措施都不能达到LOPA要求时，应考虑是否需要增加额外的独立保护层。