王志勇，賈付澤

(中海油惠州作業(yè)公司，廣東 深圳 518067)

?

安全儀表系統(tǒng)中傳感器的選擇探討

王志勇，賈付澤

(中海油惠州作業(yè)公司，廣東 深圳 518067)

安全儀表系統(tǒng)(SIS)能否保障裝置的安全運行并降低事故發(fā)生的風險顯得至關(guān)重要.結(jié)合海上采油平臺的特性說明SIS中安全完整性等級(SIL)的選擇方法，并針對IEC 61511的要求，簡要討論了在安全儀表回路中采用基于IEC 61508認證的傳感器和基于使用經(jīng)驗的傳感器時的選擇方法、步驟、配置要求、使用限制、回路的PFD的計算確認等，以滿足整個回路SIL的要求。

安全儀表系統(tǒng)傳感器要求時失效概率風險

Abstracts： Whether safety instrument system can guarantee safe operation of installation and reduce incident occurrence risk is of great importance. Combining with characteristics of oil extraction platform， selection method for safety integrity level of SIS is explained. Based on requirement of IEC 61511， selection method， steps， configuration requirement， application limitation， confirmation of loop PFD calculation and so on of IEC61508 certificated and experience based sensors in SIS loop are discussed briefly to meet SIL requirement for whole loop.

在石油化工行業(yè)和海上采油平臺，設置專門的儀表和控制系統(tǒng)，實時監(jiān)控裝置的各個參數(shù)，在檢測到參數(shù)范圍偏離設定值時，生產(chǎn)過程控制系統(tǒng)(DCS)控制調(diào)節(jié)閥動作，使偏離的參數(shù)返回正常值；如果系統(tǒng)干擾太大或者生產(chǎn)過程控制系統(tǒng)失效，參數(shù)超過預先設定值——這些值通常被認為是正常生產(chǎn)的極限值，則立即按照預先的設計，關(guān)停工藝生產(chǎn)，啟動應急消防設備，預防災難性事故的發(fā)生、擴大和蔓延，在此過程中，應急關(guān)停系統(tǒng)(ESD)在一定程度上是災難性事故控制的最后一道防護欄。緊急關(guān)停系統(tǒng)的名稱在各個不同的發(fā)展時期和不同的行業(yè)也有所不同，在海上石油行業(yè)，在20世紀80年代末到90年代初被稱作主控盤和就地控制盤，在20世紀90年代中期被稱作緊急關(guān)停系統(tǒng)，21世紀初被稱作故障安全關(guān)停系統(tǒng)(FSSS)，現(xiàn)在則被稱作安全儀表系統(tǒng)(SIS)。緊急關(guān)停系統(tǒng)名稱的變化也體現(xiàn)和反映了業(yè)界對緊急關(guān)停系統(tǒng)的認識和理解以及安全儀表系統(tǒng)理論的發(fā)展過程。緊急關(guān)停系統(tǒng)發(fā)展各階段系統(tǒng)類型及特點見表1所列。

1　安全儀表系統(tǒng)的構(gòu)成

2010年，國際電工委員會發(fā)表了過程工業(yè)領(lǐng)域安全儀表系統(tǒng)的功能安全IEC 61511作為過程工業(yè)設計、應用、操作的最新標準，以取代1998年版本。在安全儀表系統(tǒng)中，多個安全儀表功能組成SIS。每套安全儀表功能由邏輯解算器、最終控制元件和傳感器組成，這和DCS大體相似。

邏輯解算器和PID控制器類似，邏輯解算器編程以完成特定的功能，在現(xiàn)場傳感器檢測到參數(shù)超出預先的設定時將工藝恢復到安全狀態(tài)以避免危險；最終控制元件，通常是關(guān)斷閥和放空閥，完成邏輯解算器的動作；傳感器(在DCS中也稱作變送器)，提供給邏輯解算器工藝過程參數(shù)以確定安全儀表功能是否應啟動并將工藝生產(chǎn)中斷，恢復工藝過程到安全狀態(tài)，這也是本文討論的重點。

表1　緊急關(guān)停系統(tǒng)類型及特點

2　選擇安全儀表系統(tǒng)的傳感器

1) 確定工藝過程所需要的危險降低因子。

2) 確定要求的安全完整性等級SIL(safety integrity level)和要求時失效概率(PFD)范圍。

3) 確定傳感器是IEC 61508 認證的或者是有使用經(jīng)驗的傳感器。

4) 評估傳感器的故障率，安全失效分數(shù)SFF(safe failure fraction)，系統(tǒng)容量(systematic capability)和隨機能力(random capability)以確保符合要求的SIL。

5) 選擇平均維修時間、任務時間(mission time)，驗證測試間隔，并計算傳感器PFD。

6) 確保整個安全儀表功能的PFD數(shù)據(jù)在步驟2的PFD的范圍內(nèi)。

7) 安裝傳感器和安全儀表功能的其他部件。

2.1確定危險降低因子

在選擇安全儀表功能合適的傳感器之前，先需要確定設施需要達到的危險降低因子，這時候先需要進行工藝過程危險分析PHA(process hazard analysis)，如危險和可操作性分析，以確定一個風險發(fā)生的可能性。例如在進行風險分析時，認為1個閥門不能正確關(guān)閉的風險是每年發(fā)生1次，但是設施可接受的故障率不超過每5000年1次，因而需要將此類風險從1.0次/年降低到2×10-4次/年，這意味著風險降低因子是5000。

2.2確定SIL等級和設備的PFD

國際標準IEC 61511 提供了一個將風險降低因子轉(zhuǎn)化為安全儀表功能要求的安全完整性等級表，見表2所列。

例如，如果風險降低因子要求在10～100，那么需要設計安全儀表功能的安全完整性等級是1；如果風險降低因子在1×103～1×104，則需要SIL3的安全儀表功能。表2提供了PFD的數(shù)值范圍，PFD代表了在需要將工藝過程恢復到安全狀態(tài)下時，設備故障的可能性。

表2　安全完整性等級： 要求時的失效概率

安全儀表功能的PFD是其中各部件包括邏輯解算器，最終控制元件和傳感器的PFD的總和。因此，設計一個滿足要求SIL的安全儀表功能，需要確定安全儀表功能中每個部件的PFD并選擇符合要求的設備，并計算其總的PFD之和以使整體的PFD在表2所確定的范圍內(nèi)。

在上例，風險降低因子是5000，這意味要設計的系統(tǒng)SIL是3，按照表2，目標PFD的范圍是10-4～10-3，所有SIF組件的PFD總計不超過10-3。

2.3選擇傳感器

按照IEC 61511的要求，傳感器的選擇，可以是設計和制造遵從IEC 61508的標準傳感器；或者傳感器有良好的使用記錄，可以證明在類似的應用場合使用過，具備比較齊全的故障率數(shù)據(jù)。需要注意的是，傳感器的制造商對傳感器本身的電路部分和敏感元件的可靠性負責；用戶在選擇傳感器時，仍需對傳感器的使用和安裝負責。例如由于介質(zhì)結(jié)晶、凝固，可能會堵塞壓力傳感器的引壓管線；由于安裝不當，液體引壓管線中可能會存有氣泡導致測量不準等；由于材質(zhì)選擇不當，導致溫度不合適、滲氫致材料變脆、腐蝕等，這些都可能導致安全儀表功能回路的故障率上升。

2.4故障數(shù)據(jù)分析

對一個合格地應用于安全儀表系統(tǒng)的傳感器，需要有失效數(shù)據(jù)以便確定回路的PFD是否滿足要求。這些失效數(shù)據(jù)包括傳感器的失效頻數(shù)FITs和安全失效因數(shù)SFF。FITs的單位是失效次數(shù)/109h，等價于平均每10億小時運行發(fā)生1次失效，計算SFF需要用到4種形式的FITs： 檢測到的安全失效率λSD；未檢測到的安全失效率λSU；檢測到的危險失效率λDD；未檢測到的危險失效率λDU。

設備的安全失效因數(shù)描述了設備的安全或可檢測到的故障的比率，計算式如下：

SFF=(λSD+λSU+λDD)/(λSD+λSU+λDD+λDU)

(1)

SFF用來評估一個傳感器對于一個指定的SIS是否足夠安全，通常SFF以百分數(shù)的形式給出，SFF為85%意味著85%的故障是安全的或可被檢測到的。

一個經(jīng)過認證的符合IEC 61508的傳感器，制造商會提供上面的數(shù)據(jù)以供用戶選擇和計算PFD。這些數(shù)據(jù)可能在測試報告上或者認證證書上。表3給出了一個產(chǎn)品功能安全數(shù)據(jù)表的樣例。

表3　功能安全數(shù)據(jù)表樣例

對于在安全儀表功能回路中使用經(jīng)過IEC 61508認證的儀表，IEC 61508認證時會給儀表1個重要的數(shù)據(jù)-系統(tǒng)性能，系統(tǒng)性能表示了儀表適用安全儀表系統(tǒng)的最高等級，但是該儀表是否適合，還需要與回路中的其他儀表一起計算后確定，有時同一個檢測點可能需要采用多個傳感器，采用“MooN”(表示N選M)的方式，增加投資以滿足要求的PFD。

安全儀表的冗余和隨機性能表明了安全儀表可以使用的最高的SIL以及應用于相應的SIL時冗余數(shù)量的要求。安全儀表的隨機性能在它的IEC 61508的符合性證書中標明出來。

對一個用在特定的SIL上的傳感器的隨機性能，IEC 61508中給出了一個限制表，見表4所列，找到IEC 61508認證證書上的SFF數(shù)據(jù)，對應于步驟2.2確定的SIL的數(shù)據(jù)，在頂部欄上給出了相應的硬件容錯要求。

表4　Type B設備結(jié)構(gòu)限制

IEC 61508-2對Type A設備和Type B設備作出了明確的定義。如果一個設備的所有部件的失效模式均有定義，失效的后果可以完全確定，并且有充分可靠的數(shù)據(jù)表明檢測到的故障率和未檢測到的危險故障率數(shù)據(jù)可靠，那么這個設備可以看作是A類設備，否則為B類設備。

基于有使用經(jīng)驗的傳感器，則需要使用維修記錄的數(shù)據(jù)，從而得到失效率數(shù)據(jù)。在一些重要關(guān)鍵的場合，也可以安裝超出SIL要求的傳感器的數(shù)量，這能增加系統(tǒng)的可用性，降低誤跳閘的概率。例如在SIL3@HFT=1中，如果2個傳感器中的1個故障，工藝過程將關(guān)閉。但是，如果系統(tǒng)安裝了額外的傳感器，其中的1個故障不會引起工藝過程關(guān)停，故障的傳感器可以更換或者維修。

2.5計算傳感器的PFD

IEC 61508-6提供了計算PFD的方法。要計算PFD，需要用到平均恢復時間MTTR， 一般取8h，檢驗測試時間間隔T1。先計算通道等效平均停止工作時間tCE，對于“1oo1”結(jié)構(gòu)的傳感器，IEC 61508-6給出的具體計算公式為

tCE=λDU/λD×(T1/2+MTTR)+

λDD/λD×MTTR

(2)

PFD=(λDD+λDU)×tCE

(3)

對于“1oo2”， “1oo2D”， “2oo3”結(jié)構(gòu)的子系統(tǒng)，IEC 61508也給出了詳細的計算公式，在此不一一列出。

有一點需要注意的是： 檢驗測試時檢測出所有的潛在故障只是一種理想狀態(tài)，必然有未檢測出的危險故障存在。在此種情況下，潛在的故障持續(xù)到系統(tǒng)發(fā)出真實的請求時才會被發(fā)現(xiàn)，這將會影響系統(tǒng)的PFD，對PFD的影響和系統(tǒng)請求的間隔有關(guān)，IEC 61508-6對此也給出了詳細的計算公式。

2.6確保安全儀表功能的PFD在要求的范圍內(nèi)

根據(jù)安全手冊或者歷史維修記錄的數(shù)據(jù)，在為安全儀表功能選擇傳感器后，采用同樣的方式選擇其他設備，將安全儀表功能中各組件的PFD相加，確?？偟腜FD不超出規(guī)定的范圍。如果超出PFD的范圍，則必須重新選擇傳感器，或者增加額外的傳感器或選擇縮短檢測測試的時間降低PFD。

2.7安裝、驗證和維護傳感器

在安裝傳感器時，遵循制造商的儀表安全手冊的指導，規(guī)范要求制造商為所有的認證設備提供安全手冊，該手冊提供了設備投入使用，達到相應的安全要求所需要的信息。組件安裝完成后，對回路進行一次有效性測試。有效性測試應該模擬安全儀表功能在安全事故中完成的功能，并確認工藝過程能達到的安全狀態(tài)，因而也確認了符合性。

IEC 61511要求安全儀表功能得到正確的維護，確保每個組件功能正常。維護的頻率和內(nèi)容由要求的PFD確定。

3　結(jié)束語

SIS的設計是一個復雜的過程，應該嚴格按照標準執(zhí)行以確保設施安全運行。在安全運行和災難性事故之間，SIS通常是最后一道屏障。故障率、驗證性測試和維護頻率是達到設定的安全等級的關(guān)鍵性因子。

因此，必須仔細選擇儀表并加以評估以確認安全功能達到和超過要求的SIL，在選擇合適的傳感器時，必須要考慮很多因素，如是否采用符合IEC 61508標準、有經(jīng)過認證的系統(tǒng)性能的產(chǎn)品或者按照IEC 61511，采用基于使用經(jīng)驗的傳感器。

[1]IEC. IEC 61508—2010 Functional Safety of Electrical/Electronic/Programmable Electronic Safety-related Systems[S]. Geneva： IEC， 2010.

[2]IEC. IEC 61511-1—2003 Functional safety — Safety Instrumented Systems for the Process Industry Sector[S]. Geneva： IEC， 2003.

[3]華镕.按IEC 61511標準選擇安全儀表系統(tǒng)的傳感器[J].安全控制技術(shù)，2008(06)： 21-25.

[4]包蕾.淺析平均要求失效率PFDAVG計算[J].中國石油和化工，2010(12)： 62-64.

[5]潘浩，劉青松.交疊分段擬合在熱傳感器線性化中的應用[J].化工自動化及儀表，2015，42(03)： 253-258，354.

[6]杜俊賢，王連桂.彈性體結(jié)構(gòu)光纖光柵應變傳感器的設計與性能研究[J].化工自動化及儀表，2015，42(05)： 516-518，598.

Discussion on Selection of Sensor for Safety Instrumented System

Wang Zhiyong， Jia Fuze

(CNOOC China Limited Huizhou Operating Company， Shenzhen， 518067， China)

safety instrumented system；sensor；PFD；risk

王志勇(1973—)，湖北天門人，畢業(yè)于中國石油大學(華東)電力系統(tǒng)及自動化專業(yè)，1993年始工作于勝利油田石油化工總廠，現(xiàn)就職于中海油深圳分公司惠州作業(yè)公司。

TP273

B

1007-7324(2016)04-0013-04

稿件收到日期： 2016-03-15，修改稿收到日期： 2016-04-05。