伊飞

(中海油石化工程有限公司，山东 青岛 266100)

近年来，为防止和减少危险化学品事故发生，涉及到“两重点一重大”等新建或在役装置、罐区等均需配置全生命周期的安全仪表系统(SIS)并评估SIL等级，原国家安全生产监督管理总局《关于加强化工安全仪表系统管理的指导意见》(安监总管三[2014]116号)指出：设计安全仪表系统之前要明确安全仪表系统过程安全要求、设计意图和依据[1-2]。根据所有安全仪表功能(SIF)的功能性和完整性要求，编制SIS安全要求技术文件。工程设计公司在传统的工程设计中，需要完善SIS设计，通过安全要求规格书(SRS)等技术文件，详细描述系统的SIL等级，为装置在全生命周期内系统SIL评估及验证提供依据。

工程设计公司应具备对于在役装置、罐区SIL评估及评估后的整改的能力。对过程工业装置进行SIL评估后，既要保证安全联锁系统的安全可靠，避免触发联锁时的 “拒动作”，又要降低触发联锁时的“误动作”，从而减少因误停车引发的经济损失。对于已经经过SIL评估及认证的装置或SIF回路，在SIL验证过程中，分析目前的装置的SIL等级是否合适，避免“过保护”“欠保护”[3-4]。

1 SIS的工程设计

1.1 SIS工程设计阶段及主要内容

工程设计公司在工程执行阶段，对于SIS的设计包含：SIS/SIF设计、集成、安装、调试以及确认。IEC 61511：2016Functionalsafety-safetyinstrumentedsystemsfortheprocessindustrysector—Part1：Framework,definitions,system,hardwareandsoftwarerequirements[5]规定参与SIF回路的仪表、控制系统需要具有符合IEC 61508：2010认证要求的SIL证书。实际SIS设计工程中，设计者会选用相应的SIS结构来表决实现硬件的故障裕度(HFT)，以达到回路的SIL要求。SIF的响应时间也应满足过程安全时间(PST)的要求。在SIS的安装、测试阶段后，应保存完成的过程记录文件，并形成确认报告。工程执行阶段SIS设计流程如图1所示。

图1 工程执行阶段SIS设计流程示意

1.2 安全要求规格书

SRS是SIS设计最基础的文件，在编制SRS时，需要工艺、安全等专业提供详细、可靠的设计资料，包含：过程和危险信息(PHA报告)、风险分析(HAZOP分析)、影响SIS设计的法规及标准规范要求、SIL定级报告等。SRS应包含两类要求：

1)功能要求。需要描述每个SIF回路的功能。安全功能的表达至少包括下面的内容：对于每个辨识出的危险事件，定义工艺安全状态，例如，需要阀门打开还是关闭；测量参数(温度、压力、流量、液位等)类型、量程范围及其关断设定值，例如：HH和LL设定值；逻辑控制器的输出及其动作，例如：关停机泵、打开放空阀、关闭关断阀等；输入输出之间的功能关系，包括逻辑、数学函数、时序控制以及任何所需的“许可”操作；失电关停还是得电关停的选择；手动停车的考虑；当SIS的电源或气源断掉时应有的响应动作；将工艺对象置于安全状态的响应时间要求；对通过自动诊断检测出的失效所需的响应动作；人机界面的要求；旁路操作要求；复位功能要求。

2)完整性要求。风险降低和可靠性要求。安全完整性的表达至少包括下面的内容：每个SIF所需的SIL等级；为达到所需的SIL等级，对自动诊断的要求；为达到并保持所需的SIL等级，对维护以及测试的要求；如果误关断可能导致危险的后果，对相应可靠性的要求。

2 SIS的SIL验证

根据ISA-TR84.002：2015Safetyintegritylevel(SIL)verificationofsafetyinstrumentedfunctions[6]的规定，SIL验证分为以下7个部分：了解计算中的假定条件；了解功能要求(SIF构成)；确定SIL要求；明确可用性要求；计算SIF回路的平均失效率(PFDavg)；计算平均无故障时间(MTTF)或误停车率(STR)；调整SIF设计满足安全完整性和可用性要求。

上述前4个部分根据风险分析报告、SIL定级报告、工艺P&ID及日常操作、维护等来确定；第5,6部分的计算结果会影响第7部分对于SIL验证的评估及结论。一个子系统及各SIF回路结构约束部分包括传感器、执行元件、逻辑控制器及连接各部分的必要元器件要达到SILn，系统能力要达到SCn，同时SIF回路的PFDavg要满足在SILn内，还要兼顾系统的可用性，减少STR。

2.1 PFDavg和STR计算

PFDavg的计算如式(1)所示[7]：

PFDavg=f(λ,TI,MTTR,β,MooN,DC)

(1)

式中：λ——失效率；MooN——表决形式；DC——诊断覆盖率；TI——检验时间的时间间隔；MTTR——平均恢复时间；β——公共原因失效。

失效模式分为安全失效与危险失效，即λ可分为安全失效率(λS)、危险失效率(λD)，其中λS=λSD+λSU,λD=λDD+λDU，其中，λSD——安全可检测失效率；λSU——安全不可检测失效率；λDD——危险可检测失效率；λDU——危险不可检测失效率。DC为通过自动在线诊断检测出的失效占总失效的比率，可分为危险失效诊断率(DCd=λDD/λD)、安全失效诊断率(DCs=λSD/λS)。β指2个或多个通道以相同的方式失效，导致相同的错误结果，λCC=βλ，对于硬件失效β值一般取0.005～0.110[8]，λCC为公共原因失效率。

计算PFDavg常用的计算方法有事件树分析(ETA)、故障树分析(FTA)、可靠性框图(RBD)、失效模式与影响分析(FMEA)、马尔科夫分析(Markov)等[9]。ISA报告中PFDavg和STR的不同安全联锁配置下的简化公式见表1所列，其中，STR简化公式中指的是安全系统不带诊断功能的设备。

表1 ISA报告中PFDavg和STR的不同安全联锁配置下的简化公式

2.2 SIF回路硬件安全完整性

IEC 61508中对SIF回路元器件的安全完整性分析，有路径1与路径2两种方式。路径1通过计算安全失效分数(SFF)来确定回路元件的SIL等级；路径2是基于可靠数据(以往经验数据)，修正数据后排除不确定的数据，然后计算PFDavg，失效率应控制在[0, 90%]的置信度区间[10]。以下以路径1为例，验证回路元件的SIL等级。

SFF是安全失效率和可检测出的危险失效率的总和，除以总硬件随机失效率，如式(2)所示：

(2)

根据元件自身结构特点及系统的复杂性，可分为A型子系统和B型子系统。A型子系统结构简单，其失效模式能够完整地定义、失效行为能够完全确定、能够获取足够的失效率数据。B型子系统结构复杂，一个或多个失效模式不能够完整地定义、失效行为不能够完全确定，或者不能够获取足够的失效率数据。

在同等条件下，限定B型子系统比A型子系统的SIL低一个等级，基本上为HFT加1，SIL允许增加一个等级。不同安全失效分数下，A，B型子系统达到相应SIL等级下硬件配置要求见表2所列。

表2 不同安全失效分数下A，B型子系统达到相应SIL等级下硬件配置要求

3 SIL验证

以某原油常减压装置加热炉进料安全联锁控制回路为例，验证在满足SIL等级要求下，测量元件的配置是否合理。当燃料气进气管线压力高高报警、炉膛温度高高报警时，需要联锁关闭燃料气管线进口阀门，要求回路为SIL2等级的安全联锁，在SIL低需求条件下，假定燃料气进口阀门、炉膛内温度检测元件都为SIL2等级，计算SIF回路压力变送器的PFDavg，并比较在压力变送器不同的配置情况下，SIF回路的安全性与可用性。加热炉进料联锁逻辑控制PID流程及压力变送器配置如图2所示。

图2 加热炉进料联锁逻辑控制PID流程及压力变送器配置示意

3.1 SIL2压力变送器的单台仪表(1oo1)

燃料气进气管线压力高高超限安全联锁SIF回路中，设置1台SIL2的压力变送器(B型)作为安全联锁触发的条件，加热炉进料联锁逻辑控制逻辑(1oo1)如图3所示，其PID控制见图2中a；SIL2压力变送器(B型)相关安全参数见表3所列，其中，FIT表示1个失效的时间(10-9h)，TS为检验时间，TI为修复时间，TR为联锁触发停车到重启开车的时间。

表3 SIL2压力变送器(B型)相关安全参数

图3 加热炉进料联锁逻辑控制逻辑(1oo1)示意

根据ISA-TR84.002：2015Safetyintergritylevel(SIL)verificationofsafetyinstrumentedfunctions[6]中的简化公式计算得到(变送器1oo1)：PFDavg=4.2×10-4；STR=8.4×10-8。

3.2 压力变送器的安全联锁(1oo2)

燃料气进气管线压力高高超限安全联锁SIF回路中，设置2台SIL1的压力变送器“1oo2”(B型，HFT=1)作为安全联锁触发的条件，加热炉进料联锁控制逻辑(1oo2)如图4所示，其PID控制见图2中b；SIL1压力变送器(B型)相关安全参数见表4所列。

表4 SIL1压力变送器(B型)相关安全参数

图4 加热炉进料联锁控制逻辑(1oo2)示意

根据ISA-TR84.002：2015[6]简化公式计算得：PFDavg=6.975×10-6；STR=1.68×10-7。

3.3 压力变送器的安全联锁(2oo3)

燃料气进气管线压力高高超限安全联锁SIF回路中，设置3台SIL1的压力变送器“2oo3”(HFT=1)作为安全联锁触发的条件，加热炉进料联锁控制逻辑(2oo3)如图5所示，其PID控制见图2中c。

根据ISA-TR84.002：2015[6]中的简化公式计算得到：PFDavg=2.092 5×10-5；STR=5.568×10-10。

3.4 计算结果分析

同一SIL等级下不同配置的压力变送器SIF回路计算结果见表5所列。根据表5数据得出以下结论：“1oo2”的配置安全性能最好，但STR最高，表示其实际操作中的可用性不强；“2oo3”的STR最低，表示在实际中其可用性十分可靠，更有利日常生产运营，其安全性能也合适；“1oo1”的配置安全性能最低，STR介于其他两种配置之间。因此，在满足SIF回路SIL2的前提下，变送器“2oo3”的配置是最优的选择，其兼顾安全性与实用性。

在SIL低需求模式下，即使单台具备SIL2的压力变送器，跟单台SIL1压力变送器通过一定的HFT来满足SIF回路为SIL2的配置模式相比，安全性、STR要差一些。因此，留有一定的HFT在某些要求较高的安全模式下是有必要性的。

在实际的SIS工程设计或验证中，具备SIL2的压力变送器已成为常规的配置，在某些联锁回路中，变送器部分的配置通过增加HFT可到达SIL3，或要求压力变送器具备自检测的功能，通过提升SIF回路中部分回路的安全等级，来排除因误停车的可能性，增加SIF回路的实用性。

4 结束语

在工程设计中，SIF回路的的配置应该在满足安全联锁与工艺联锁的前提下，两者兼顾，给出最优的选择。“欠保护”、“过保护”都是不可取的。工程设计公司应出具完备成熟的安全要求规格书，评估装置或设备的安全性能，同时也是作为安全验证能够追溯的重要依据。