薛 明

(洛陽三隆安裝有限公司 ， 河南 洛陽 471012)

?

淺議石化裝置SIS系統(tǒng)安全等級(jí)的提高

薛 明

(洛陽三隆安裝有限公司 ， 河南 洛陽 471012)

安全完整性等級(jí)(SIL)是衡量安全儀表系統(tǒng)(SIS)安全防護(hù)能力的重要指標(biāo)，本文介紹了SIL評(píng)估的相關(guān)概念以及提高SIL等級(jí)措施的一些方法，結(jié)合石化裝置SIS系統(tǒng)更新項(xiàng)目實(shí)際工程提出了提高系統(tǒng)安全性的一些方法。

安全儀表系統(tǒng) ； 安全完整性等級(jí) ； 危險(xiǎn)故障率 ； 結(jié)構(gòu)約束

0 引言

在石油化工裝置的建設(shè)過程中，從安全儀表系統(tǒng)的設(shè)計(jì)源頭展開風(fēng)險(xiǎn)控制，對(duì)石油化工裝置的功能安全水平進(jìn)行評(píng)估。SIL等級(jí)是全世界廣泛認(rèn)可的安全完整性定義方法，目前國內(nèi)大型石油化工項(xiàng)目在項(xiàng)目執(zhí)行期間或項(xiàng)目建成后都要求對(duì)其中的重要單元或裝置進(jìn)行SIL評(píng)估，因此在項(xiàng)目設(shè)計(jì)初期就應(yīng)全方位考慮，為裝置的SIL評(píng)估打好基礎(chǔ)。以下結(jié)合某石化裝置SIS系統(tǒng)更新項(xiàng)目如何提高SIL等級(jí)提出一些方法以供參考。

1 相關(guān)概念

1.1 整體安全生命周期

安全生命周期(Safety Lifecycle)是指在安全相關(guān)系統(tǒng)實(shí)現(xiàn)過程中所必需的生命活動(dòng)。這些活動(dòng)發(fā)生在從一項(xiàng)工程的概念階段開始，直至所有的E/E/PE(電氣/電子/可編程設(shè)備)安全相關(guān)系統(tǒng)、其他技術(shù)安全相關(guān)系統(tǒng)，以及外部風(fēng)險(xiǎn)降低設(shè)施停止使用為止的一段時(shí)間內(nèi)。

系統(tǒng)的安全性不僅僅是由系統(tǒng)的設(shè)計(jì)和實(shí)現(xiàn)決定的，同時(shí)還取決于系統(tǒng)的安裝、運(yùn)行和維護(hù)等活動(dòng)。因此，整體安全生命周期不僅覆蓋安全相關(guān)系統(tǒng)的設(shè)計(jì)，還包括安全相關(guān)系統(tǒng)的規(guī)劃、設(shè)計(jì)、安裝、調(diào)試、運(yùn)行、維護(hù)和停用等主要階段。整體安全生命周期的基本思想是與功能安全相關(guān)的所有活動(dòng)都按照一個(gè)有計(jì)劃的、系統(tǒng)的方法進(jìn)行管理。

1.2 功能安全

IEC 61508(國際電工委員發(fā)布的名為《電氣/電子/可編程電子安全系統(tǒng)的功能安全》標(biāo)準(zhǔn))定義為：“功能安全是與受控設(shè)備或受控設(shè)備的控制系統(tǒng)(或過程)有關(guān)的整體安全的組成部分，它決定于E/E/PE安全相關(guān)系統(tǒng)、其他技術(shù)安全相關(guān)系統(tǒng)和外部風(fēng)險(xiǎn)降低設(shè)施功能的正確執(zhí)行?！笨梢姽δ馨踩窃O(shè)備安全的一部分，其主要是從E/E/PE相關(guān)的控制系統(tǒng)考慮，著重避免由于受控設(shè)備及其相關(guān)系統(tǒng)在故障或者失效的情況下導(dǎo)致的風(fēng)險(xiǎn)[1]。

1.3 SIS

安全儀表系統(tǒng)SIS(Safety Instrument System)是指能實(shí)現(xiàn)一個(gè)或多個(gè)安全功能的系統(tǒng)。安全儀表系統(tǒng)是一種可編程控制系統(tǒng)，它對(duì)生產(chǎn)裝置或設(shè)備可能發(fā)生的危險(xiǎn)采取緊急措施，并對(duì)繼續(xù)惡化的狀態(tài)進(jìn)行及時(shí)響應(yīng)，使其進(jìn)入一個(gè)預(yù)定義的安全停車工況，從而使危險(xiǎn)和損失降到最低程度，保證生產(chǎn)、設(shè)備、環(huán)境和人員安全[2]。根據(jù)IEC 61508標(biāo)準(zhǔn)，一套完整的安全儀表系統(tǒng)由傳感變送器、邏輯運(yùn)算器和最終執(zhí)行元件構(gòu)成。安全儀表系統(tǒng)的設(shè)計(jì)與開發(fā)過程必須遵循IEC 61508，并應(yīng)通過獨(dú)立機(jī)構(gòu)(如德國TüV)的功能安全評(píng)估和認(rèn)證才能在工業(yè)現(xiàn)場(chǎng)中應(yīng)用。

1.4 故障安全

故障安全是指當(dāng)SIS的元件、設(shè)備、環(huán)節(jié)、能源發(fā)生故障或者失效時(shí)，系統(tǒng)設(shè)計(jì)應(yīng)當(dāng)使工藝過程能夠趨向安全運(yùn)行或者安全狀態(tài)。能否實(shí)現(xiàn)“故障安全”取決于整個(gè)SIS設(shè)計(jì)，包括現(xiàn)場(chǎng)儀表和執(zhí)行器，都應(yīng)設(shè)計(jì)成絕對(duì)安全的形式：對(duì)于現(xiàn)場(chǎng)觸點(diǎn)應(yīng)開路報(bào)警，正常操作條件下閉合；對(duì)于執(zhí)行器，一般情況下應(yīng)設(shè)計(jì)成安全聯(lián)鎖動(dòng)作時(shí)，切斷閥在安全的即失氣的狀態(tài)。對(duì)于故障安全應(yīng)該具體情況具體分析，要確定最有可能發(fā)生的故障狀態(tài)，并不是一律“常閉接點(diǎn)，正常帶電”。

1.5 可靠性與可用性

為了達(dá)到裝置的安全度等級(jí)，系統(tǒng)需具有高的可靠性，而高可靠性必然使設(shè)備停車次數(shù)增多，降低系統(tǒng)的可用性。在石化裝置生產(chǎn)中，由于生產(chǎn)的連續(xù)化程度極高，設(shè)備停車可能造成重大的經(jīng)濟(jì)損失，這就要求系統(tǒng)既有高可靠性，又有高可用性。

可靠性R(Reliability)：安全聯(lián)鎖系統(tǒng)在故障危險(xiǎn)模式下，對(duì)隨機(jī)硬件或軟件故障的安全度、可靠性用概率表示時(shí)稱為可靠度。

可用性A(Availability)：系統(tǒng)可使用工作時(shí)間的概率，用百分?jǐn)?shù)計(jì)算A=MTBF/(MTBF+MDT)，要使系統(tǒng)可用度增加，就要增加平均無故障工作時(shí)間(MTBF)，或減少平均停車時(shí)間(MDT)。表1給出了各種冗余結(jié)構(gòu)的可靠性與可用性對(duì)比，在此不再通過計(jì)算驗(yàn)證。

表1 各種結(jié)構(gòu)可靠性與可用性對(duì)比

1.6 SIL

SIS的等級(jí)用SIL(Safety Integrity Level)來表示，SIL4是安全完整性的最高等級(jí)，SIL1為最低等級(jí)。SIL是針對(duì)SIF(Safety Instrumentation Function)而言的，即單個(gè)儀表不具備SIL。一般SIF由傳感器單元(Sensor)，邏輯運(yùn)算單元(Logic Solver)，最終執(zhí)行元件單元(Final Element)和電源(Power Supply)構(gòu)成。如果要求某一安全儀表功能的SIL等級(jí)為3，并不是簡(jiǎn)單地把幾個(gè)PFD為3級(jí)子系統(tǒng)串接起來就可以了，而是必須要進(jìn)行計(jì)算與分析，全系統(tǒng)綜合考慮才能實(shí)現(xiàn)。

1.7 PFD

平均危險(xiǎn)失效率(Probability of Failure on Demand，PFD)用于SIL評(píng)估。一個(gè)SIF的總PFD為4部分PFD之和：

PFD(AVG)=PFD(S)+PFD(L)+PFD(FE)+PFD(PS)

GB 50770-2013《石油化工安全儀表系統(tǒng)設(shè)計(jì)規(guī)范》指出，通常石油化工和煤化工裝置的SIS工作于低要求操作模式，應(yīng)采用低要求操作模式下檢驗(yàn)測(cè)試時(shí)間跨度上的平均危險(xiǎn)故障率來計(jì)算和驗(yàn)證安全儀表系統(tǒng)的SIL[3]。其對(duì)應(yīng)關(guān)系見表2。

表2 在低要求操作模式下分配給1個(gè)回路的PFD(AVG)

1.8 結(jié)構(gòu)約束

結(jié)構(gòu)約束是除PFD(AVG)之外，在某個(gè)特定應(yīng)用中使用某個(gè)設(shè)備的附加約束。根據(jù)設(shè)備類型及其SFF(安全失效分?jǐn)?shù))和設(shè)備所在子系統(tǒng)的HFT(硬件故障裕度，又稱硬件容錯(cuò)能力)來確定設(shè)備子系統(tǒng)能夠用于哪個(gè)級(jí)別的SIL水平的安全儀表系統(tǒng)。IEC 61508提供了一張表，分別為設(shè)備類型A(所有故障模式都被定義過，所有故障行為都被定義過，而且有充足的故障數(shù)據(jù)的元件，如普通傳感器)和B(故障類型沒有被完整的定義，也沒有足夠的故障數(shù)據(jù)的元件，如智能傳感器、邏輯運(yùn)算器等)的子系統(tǒng)定義了結(jié)構(gòu)約束，如表3所示。

表3 IEC61508中對(duì)A類及B類設(shè)備的結(jié)構(gòu)約束

HFT和系統(tǒng)或者元件的結(jié)構(gòu)有關(guān)。常見的系統(tǒng)或者元件冗余設(shè)計(jì)結(jié)構(gòu)有1oo1、2oo2、1oo2、2oo3、1oo3、2oo4。這種MooN結(jié)構(gòu)指的是需要總共N個(gè)通道中的M個(gè)獨(dú)立通道來實(shí)現(xiàn)安全功能。而HFT的定義是，假如硬件容錯(cuò)能力是X，那么當(dāng)出現(xiàn)X+1個(gè)危險(xiǎn)故障時(shí)，將會(huì)導(dǎo)致安全功能的喪失。所以在MooN結(jié)構(gòu)中，硬件容錯(cuò)能力HFT=N-M。

HFT與冗余結(jié)構(gòu)容易混淆。例如1oo3、2oo3、3oo3的設(shè)備冗余數(shù)都是3，而它們的HFT卻分別是2、1、0。有時(shí)冗余的設(shè)備是為了提高過程的可用性，而不是為了提高可靠性。如果某個(gè)B類設(shè)備具有92%的安全失效分?jǐn)?shù)，硬件故障裕度為0，根據(jù)表3可得到它滿足SIL2的要求。但在實(shí)際工程中，結(jié)構(gòu)約束是以另一種方式使用的，已知的是目標(biāo)SIL水平，設(shè)備類型及其安全失效分?jǐn)?shù)，要確定的是硬件故障裕度。例如，某A類設(shè)備的SFF為50%，安全儀表功能的目標(biāo)SIL水平為2，那么根據(jù)表3，硬件裕度為1，所以該設(shè)備的子系統(tǒng)需要為1oo2或2oo3之類的冗余結(jié)構(gòu)。

2 SIL評(píng)估

2.1 SIF元件參數(shù)收集

SIF所有的元件包括變送器、安全柵、邏輯控制器、繼電器、電磁閥、閥門等，認(rèn)證機(jī)構(gòu)(如TüV)頒發(fā)的證書上都有計(jì)算SIL所需要的參數(shù)。

2.2 驗(yàn)證SIF元件冗余結(jié)構(gòu)

根據(jù)表3可以驗(yàn)證SIF元件冗余結(jié)構(gòu)是否滿足SIL等級(jí)要求。例如一個(gè)SIF要求SIL2等級(jí)，現(xiàn)場(chǎng)傳感器(B類)SFF為74%，那么其HFT為1，也就是說現(xiàn)場(chǎng)傳感器需要布置為1oo2或2oo3的冗余結(jié)構(gòu)，但若實(shí)際現(xiàn)場(chǎng)傳感器為1oo1結(jié)構(gòu)，則PFDS會(huì)拉低PFDAVG ，使SIF很難達(dá)到SIL2級(jí)別。

2.3 SIL的PFD計(jì)算

IEC 61508給出了SIS系統(tǒng)在不同冗余結(jié)構(gòu)下的PFD量化公式。以一個(gè)計(jì)算整個(gè)系統(tǒng)安全完整性為實(shí)例：

SIS系統(tǒng)為故障安全型設(shè)計(jì)，不需要考慮電源的PFDPS；傳感器的PFDS=0.005，邏輯控制器的PFDL=0.000 5，輸出閥門的PFDFE=0.05，將他們連接成一套系統(tǒng)后，系統(tǒng)PFD(AVG)=0.005+0.000 5+0.05=0.055 5，只能滿足SIL1級(jí)。

3 提高SIL等級(jí)措施

一個(gè)SIL3 等級(jí)的SIF基本配置如圖1所示。

圖1 SIL3等級(jí)安全儀表回路配置

圖1中，現(xiàn)場(chǎng)傳感器、PLC、執(zhí)行器都采用冗余配置，以降低整個(gè)SIS拒動(dòng)作的概率。根據(jù)IEC 61508的分析計(jì)算，圖中安全回路危險(xiǎn)故障率的權(quán)重概率分別為：現(xiàn)場(chǎng)傳感器占35%、PLC占15%、執(zhí)行器占50%。因此提高安全儀表回路中任何一個(gè)節(jié)點(diǎn)的PFD，都會(huì)對(duì)影響整個(gè)回路的SIL等級(jí)。這三部分權(quán)重配置應(yīng)遵循以下要求：

3.1 現(xiàn)場(chǎng)傳感器配置

現(xiàn)場(chǎng)傳感器在危險(xiǎn)故障率中所占的比例為35%，傳感器應(yīng)盡可能采用模擬量信號(hào)，同時(shí)盡可能采用“三取二”判斷方式；若選用開關(guān)型儀表，則盡可能采用“二取一”判斷方式。通過這些配置，可以提高來自現(xiàn)場(chǎng)信號(hào)判斷的可靠性。

3.2 PLC配置

PLC在危險(xiǎn)故障率中所占的比例為15% ，是三部分權(quán)重中最低的，因?yàn)镻LC的硬件和軟件的配置通常均可達(dá)到SIL的等級(jí)要求，而且其應(yīng)用非常成熟，因此在使用過程中出現(xiàn)危險(xiǎn)故障的可能性也較低。通常PLC與DCS完全獨(dú)立，其硬件要求主處理器CPU、輸入/輸出卡件、電源卡、通信卡、通信總線和UPS電源均為冗余設(shè)置，同時(shí)具備SIL3的國際認(rèn)證。

3.3 執(zhí)行器配置

執(zhí)行器在危險(xiǎn)故障率中所占的比例為50%，它顯然是最容易產(chǎn)生危險(xiǎn)故障的環(huán)節(jié)。以下列出4種能夠最大限度降低危險(xiǎn)故障可能性的執(zhí)行器配置方式。

3.3.1 串聯(lián)切斷閥的方式

閥門2可以是調(diào)節(jié)閥，為“二取一”判斷，即任何一個(gè)電磁閥失電非勵(lì)磁時(shí)，切斷閥即失氣關(guān)閉，切斷物料，如圖2所示。

圖2 串聯(lián)切斷閥

3.3.2 串聯(lián)電磁閥的方式

這種方式安全性好，為“二取一”判斷，即任何一個(gè)電磁閥失電非勵(lì)磁時(shí)，切斷閥即失氣關(guān)閉，保證切斷閥能聯(lián)鎖動(dòng)作切斷物料，如圖3所示 。

圖3 串聯(lián)電磁閥

3.3.3 并聯(lián)電磁閥方式

這種方式可用性好，為“二取二”判斷，即只有電磁閥1和2同時(shí)失電非勵(lì)磁時(shí)，切斷閥才會(huì)失氣關(guān)閉，避免因電磁閥失效引發(fā)聯(lián)鎖誤動(dòng)作，如圖4所示。

圖4 并聯(lián)電磁閥

3.3.4 串聯(lián)切斷閥與串聯(lián)電磁閥方式(閥門2可以是調(diào)節(jié)閥)

這種方式為“四取二”判斷，即任何一個(gè)電磁閥失電非勵(lì)磁時(shí)，切斷閥即失氣關(guān)閉，確保切斷物料，這種方式最具安全性和可用性，但配置費(fèi)用較高，如圖5所示 。

圖5 串聯(lián)切斷閥與串聯(lián)電磁閥

3.4 提高可靠性與可用性

①提高系統(tǒng)的可靠性，選擇系統(tǒng)可靠度R指標(biāo)高的三重化系統(tǒng)，同時(shí)選取質(zhì)量過硬的外部連接器件，如安全柵、信號(hào)分配器等；現(xiàn)場(chǎng)的輸入/輸出過程點(diǎn)信號(hào)采用帶電常閉接點(diǎn)，減少回路連接的中間環(huán)節(jié)，信號(hào)直接接到安全聯(lián)鎖系統(tǒng)的端子板，模擬信號(hào)直接接到安全柵；對(duì)關(guān)鍵回路設(shè)置停車通道。 ②提高系統(tǒng)的可用性，選擇系統(tǒng)平均無故障工作時(shí)間(MTBF)指標(biāo)高的三重化系統(tǒng)，同時(shí)對(duì)系統(tǒng)的輸入/輸出三重化卡件采用冗余配置，以防止單塊卡件故障造成裝置誤停車。

4 提高石化裝置SIS安全等級(jí)的方法

4.1 SIS與DCS之間通訊

以某石化裝置為例，提出在SIS系統(tǒng)更新時(shí)的一些提高裝置安全等級(jí)的方法。

①GB 50770-2013中指出：除旁路信號(hào)和復(fù)位信號(hào)外，基本過程控制系統(tǒng)不應(yīng)采用通信方式向安全儀表系統(tǒng)發(fā)送指令。當(dāng)前裝置DCS往SIS發(fā)送的指令除聯(lián)鎖旁路信號(hào)外，還包括18個(gè)停電機(jī)命令、38臺(tái)閥門的開/關(guān)命令，建議這些信號(hào)由DCS的DO卡件向SIS的DI卡件發(fā)送。②DCS往SIS發(fā)送的聯(lián)鎖旁路指令，應(yīng)該在SIS 的上位畫面增加這些旁路開關(guān)軟按鈕，功能上實(shí)現(xiàn)在DCS與SIS通訊中斷時(shí)，可由SIS上位畫面直接操作旁路開關(guān)。當(dāng)然最好的方式還是改變操作習(xí)慣，把在DCS畫面上使用這些旁路按鈕轉(zhuǎn)移到從SIS上位畫面上使用這些旁路按鈕。

4.2 現(xiàn)場(chǎng)傳感器

當(dāng)前裝置的聯(lián)鎖邏輯絕大部分為“一取一”，即現(xiàn)場(chǎng)傳感器為非冗余的單一測(cè)量儀表方式。建議重要回路采用冗余測(cè)量儀表，冗余方式改為“三取二”邏輯結(jié)構(gòu)，并且選用基于不同工作原理及測(cè)量技術(shù)的現(xiàn)場(chǎng)傳感器，兼顧高可靠性和高可用性。

4.3 執(zhí)行器

①當(dāng)前裝置的聯(lián)鎖邏輯執(zhí)行器為單一切斷閥設(shè)置，并且切斷閥平時(shí)作為調(diào)節(jié)閥來使用。建議在每個(gè)重要回路中增加一臺(tái)切斷閥，配置方式為“串聯(lián)切斷閥”或“串聯(lián)切斷閥與串聯(lián)電磁閥方式”。②切斷閥所帶的電磁閥應(yīng)使用經(jīng)過TüV認(rèn)證的24VDC長期勵(lì)磁型低功耗電磁閥。

4.4 邏輯程序

當(dāng)前裝置的程序邏輯上包含一些順序控制，不屬于核心自保聯(lián)鎖邏輯，即不作為保護(hù)裝置安全來使用。建議在有條件的時(shí)候把這部分順序控制邏輯移除SIS系統(tǒng)，只保留與裝置安全相關(guān)的邏輯，減少系統(tǒng)控制器的負(fù)荷，增強(qiáng)系統(tǒng)穩(wěn)定度。

4.5 其它

①根據(jù)IEC 61508安全生命周期模型，在各階段的各個(gè)活動(dòng)中遞交所有相關(guān)文檔。這些文檔應(yīng)規(guī)定能夠有效執(zhí)行整體安全生命周期各階段所必需的信息，規(guī)定能夠有效執(zhí)行功能安全管理、驗(yàn)證以及功能安全評(píng)估等活動(dòng)所必需的信息，以及有關(guān)的報(bào)告和記錄。②SIL等級(jí)評(píng)估涉及流程、需要具備的條件以及不合格時(shí)應(yīng)采取的措施和建議、可靠性數(shù)據(jù)的采用等多個(gè)方面的內(nèi)容，建議在裝置開展HAZOP分析的基礎(chǔ)上找經(jīng)過TüV驗(yàn)證的SIL驗(yàn)證軟件和安全評(píng)估人員來進(jìn)行SIL評(píng)估，從而更加清晰地了解裝置安全聯(lián)鎖系統(tǒng)的狀況，做出更加科學(xué)的改進(jìn)和管理，排除安全隱患。

5 結(jié)語

不論是新建石化裝置還是裝置SIS系統(tǒng)更新，必須了解SIL評(píng)估的內(nèi)容和不同階段需要注意的事項(xiàng)，這樣就可以在設(shè)計(jì)過程中對(duì)SIS的硬件配置、接線等每個(gè)環(huán)節(jié)都考慮周全，避免由于在小細(xì)節(jié)上出現(xiàn)差錯(cuò)而導(dǎo)致整個(gè)裝置SIL等級(jí)的降低，使裝置更加安全高效地運(yùn)行。

[1] IEC.IEC 61508-2010 Functional of electrical/electronic/programmable electronic safety-related systems[S].Geneva：IEC,2010.

[2] 國家技術(shù)監(jiān)督局.GB/T 20438-2006 電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全[S].北京:中國標(biāo)準(zhǔn)出版社,2006.

[3] 中華人民共和國住房和城鄉(xiāng)建設(shè)部.GB/T 50770-2013 石油化工安全儀表系統(tǒng)設(shè)計(jì)規(guī)范[S].北京:中國計(jì)劃出版社,2013.

歡 迎 訂 閱 歡 迎 投 稿

電話：0371-67712879 E-mail：hnhgbjb@126.com

2017-03-28

薛 明(1983-)，男，工程師，從事生產(chǎn)過程自動(dòng)化控制工作，電話：13603884033，0379-66992123。

TQ056.22

B

1003-3467(2017)06-0037-05