薛利俊

(林德工程(杭州)有限公司，浙江 杭州 310012)

近年來(lái)，化工裝置安全事故使監(jiān)管部門(mén)和生產(chǎn)企業(yè)對(duì)裝置的安全性越來(lái)越重視，安全已成為行業(yè)內(nèi)企業(yè)運(yùn)營(yíng)的基本共識(shí)，設(shè)計(jì)符合要求的安全儀表系統(tǒng)(safety instrumented system,SIS)已逐步成為國(guó)家法規(guī)的強(qiáng)制要求[1-4]。目前，對(duì)于安全儀表系統(tǒng)的設(shè)計(jì)還停留在對(duì)有安全認(rèn)證的儀表進(jìn)行簡(jiǎn)單組合，如何定量分析和評(píng)估安全儀表系統(tǒng)的設(shè)計(jì)能否滿(mǎn)足工藝安全的需要仍是難題。本文結(jié)合IEC 61508和IEC 61511，從硬件結(jié)構(gòu)強(qiáng)制要求和需求失效率兩個(gè)方面，實(shí)現(xiàn)對(duì)安全儀表系統(tǒng)的安全等級(jí)定量計(jì)算；結(jié)合實(shí)際案例，詳細(xì)探討如何根據(jù)產(chǎn)品證書(shū)中統(tǒng)計(jì)的失效數(shù)據(jù)計(jì)算安全失效率和需求失效率，進(jìn)而計(jì)算出安全儀表系統(tǒng)的安全等級(jí)。

1 安全等級(jí)計(jì)算的數(shù)據(jù)來(lái)源

首先，安全儀表系統(tǒng)設(shè)計(jì)時(shí)需考慮兩個(gè)先決條件[5-7]，即平均故障恢復(fù)時(shí)間(mean time to restoration，MTTR)和測(cè)試間隔時(shí)間(T1)。這兩個(gè)條件應(yīng)在生命周期第三階段產(chǎn)生的安全需求規(guī)格書(shū)中明確提出。所有需求失效率(probability of failure on demand，PFD)計(jì)算公式都基于這兩個(gè)參數(shù)，不同項(xiàng)目對(duì)這兩個(gè)參數(shù)有不一樣的要求。一般情況下，按照以下默認(rèn)數(shù)據(jù)考慮：MTTR≤ 72 h，T1=3年。整個(gè)回路的測(cè)試間隔時(shí)間T1應(yīng)該保持一致。在特殊情況下，尤其是在安全完整性等級(jí)(safety integrity level，SIL)計(jì)算要求用更短的測(cè)試間隔來(lái)改善安全等級(jí)時(shí)，可以考慮采用更短的測(cè)試間隔，但必須與項(xiàng)目后期運(yùn)維的責(zé)任方達(dá)成一致。

另外，在安全聯(lián)鎖回路儀表選型時(shí)，每個(gè)儀表供應(yīng)商必須提供帶有SIL計(jì)算所需關(guān)鍵數(shù)據(jù)的證書(shū)，包括不可檢測(cè)的危險(xiǎn)失效率(λDU)、可檢測(cè)的危險(xiǎn)失效率(λDD)、不可檢測(cè)的安全失效率(λSU)、可檢測(cè)的安全失效率(λSD)，或者直接提供某個(gè)測(cè)試時(shí)間間隔下的PFD值。一般在產(chǎn)品SIL證書(shū)中應(yīng)包含這些數(shù)據(jù)。如果供應(yīng)商無(wú)法提供SIL證書(shū)，可以要求廠家提供具有法律約束力的自聲明，根據(jù)聲明采用估算來(lái)完成計(jì)算。計(jì)算時(shí)應(yīng)作保守估算，但不用按最差情況估算。

2 安全等級(jí)確定

每個(gè)回路需要檢查以下兩項(xiàng)內(nèi)容。

①硬件結(jié)構(gòu)強(qiáng)制要求：根據(jù)IEC 61511-1,確定硬件故障冗余度(hardware failure tolerance，HFT)能夠滿(mǎn)足的SIL要求。

②根據(jù)IEC 61508-6，計(jì)算PFD能夠滿(mǎn)足的SIL等級(jí)要求。

最終SIL取兩者中最低值。

2.1 結(jié)構(gòu)強(qiáng)制要求

對(duì)于安全儀表系統(tǒng)，檢測(cè)器、邏輯控制器和執(zhí)行元件應(yīng)滿(mǎn)足最小HFT要求。IEC 61508-2中[8]，定義了兩種不同類(lèi)型的子系統(tǒng)。

①類(lèi)型A：失效狀態(tài)可以預(yù)見(jiàn)，“簡(jiǎn)單的系統(tǒng)”，如Pt100、閥門(mén)等。

②類(lèi)型B：失效狀態(tài)不可以預(yù)見(jiàn)，“復(fù)雜的系統(tǒng)”，如智能變送器。

應(yīng)計(jì)算安全儀表系統(tǒng)中每個(gè)子系統(tǒng)的安全失效率(safe failure fraction，SFF)。SFF的計(jì)算可以采用以下公式。

總失效：

λ=λS+λD

(1)

危險(xiǎn)失效：

λD=λDD+λDU

(2)

安全失效：

λS=λSD+λSU

(3)

安全失效率：

(4)

每個(gè)子系統(tǒng)可以達(dá)到的SIL，取決于該儀表的SFF和HFT，參見(jiàn)表1和表2。

表1 SIL對(duì)照表Tab.1 SIL reference

表2 SIL等級(jí)對(duì)應(yīng)的最小HFT要求Tab.2 Minimum HFT to achieve a certain SIL

檢測(cè)器、執(zhí)行元件和非可編程控制器的最小硬件故障冗余度要求如下。

根據(jù)IEC 61511-1[9]，對(duì)于檢測(cè)器和執(zhí)行元件，如果制造商可以申明裝置已在實(shí)際應(yīng)用中驗(yàn)證過(guò)，并可以滿(mǎn)足一些進(jìn)一步的要求，HFT要求可以減1。在計(jì)算過(guò)程中，裝置的冗余度增加可以提高HFT，進(jìn)而提高SIL。

整個(gè)回路的SIL，對(duì)于子系統(tǒng)A和B沒(méi)有差別，應(yīng)該取回路中輸入、邏輯控制器和輸出單元中的最低SIL，不需要進(jìn)一步區(qū)分系統(tǒng)類(lèi)型A和B。

2.2 需求失效率PFD計(jì)算

對(duì)于低需求操作模式的回路，在IEC 61508中，不同SIL對(duì)應(yīng)的PFD值如表3所示。

表3 不同SIL對(duì)應(yīng)的PFD值Tab.3 PFD values corresponding to different SIL

整個(gè)回路可以認(rèn)為是子系統(tǒng)的串聯(lián)。每個(gè)子系統(tǒng)可能包含進(jìn)一步的子系統(tǒng)?；芈返腜FD等于各個(gè)子系統(tǒng)PFD的和。串聯(lián)子系統(tǒng)示意圖如圖 1所示。

圖1 串聯(lián)子系統(tǒng)示意圖
Fig.1 Serial connection of subsystems

檢測(cè)器和執(zhí)行元件的投票結(jié)構(gòu)如圖2所示。

圖 2 投票結(jié)構(gòu)圖Fig.2 Voting structure

一般情況下，執(zhí)行元件系統(tǒng)PFD值不應(yīng)超過(guò)回路總許可PFD值的60%，檢測(cè)元件系統(tǒng)不應(yīng)超過(guò)35%，邏輯控制系統(tǒng)不應(yīng)超過(guò)5%。若安全回路中各子系統(tǒng)供貨范圍分屬不同承包商，各子系統(tǒng)分包商應(yīng)提供子系統(tǒng)的PFD計(jì)算值，并提交給總集成商，用于計(jì)算整個(gè)回路的PFD值。計(jì)算PFD值時(shí)，需根據(jù)不同的投票結(jié)構(gòu)選擇相應(yīng)的計(jì)算公式。

IEC 61508-6的附件B.2.2提供了普通子系統(tǒng)PFD值的數(shù)學(xué)計(jì)算公式。限于篇幅限制，此處僅列出常用結(jié)構(gòu)公式，其他結(jié)構(gòu)公式可在IEC 61508-6的附件B中查到。

①1oo1。

PFDsubsys=λDtCE

(5)

②2oo2。

PFDsubsys=2λDtCE

(6)

③1oo2。

PFDsubsys=2[(1-βD)λDD+(1-β)λDU]2×

tCE×tGE+βD×λDD×MTTR+β×

(7)

④2oo3。

PFDsubsys=6[(1-βD)λDD+(1-β)λDU]2×tCE×tGE×βDλDD×MTTR+β×λDU×

(8)

3 實(shí)例分析

當(dāng)溫度低于低低聯(lián)鎖值時(shí),應(yīng)立刻切斷閥門(mén)保護(hù)下游管道和設(shè)備。以這一安全聯(lián)鎖功能為例，計(jì)算該回路所能滿(mǎn)足的SIL等級(jí)。首先要獲得回路中所有儀表的SIL計(jì)算所需數(shù)據(jù)，實(shí)現(xiàn)該安全聯(lián)鎖功能?；芈分邪ㄣK電阻溫度計(jì)、溫度變送器、安全認(rèn)證AI卡件、安全認(rèn)證CPU、安全認(rèn)證DO卡件、電磁閥以及調(diào)節(jié)閥。

儀表SIL計(jì)算所需參數(shù)如表4所示。

表4 儀表SIL計(jì)算所需參數(shù)Tab.4 Parameters for SIL calculation of instrument

根據(jù)3.1節(jié)所述方法，首先評(píng)估回路中不同投票結(jié)構(gòu)各子系統(tǒng)單獨(dú)的SIL，HFT的提高可以提高子系統(tǒng)單獨(dú)的SIL。所以溫變和RTD在HFT為0時(shí)可以滿(mǎn)足SIL2，采用2oo3結(jié)構(gòu)就可以滿(mǎn)足SIL3的要求?；芈稴IL計(jì)算如表5所示。表5中最后一列列出了各子系統(tǒng)單獨(dú)能夠滿(mǎn)足的SIL。另外，還需根據(jù)第4節(jié)所述方法，計(jì)算各子系統(tǒng)的PFD值，根據(jù)不同的投票結(jié)構(gòu),選擇不同的公式進(jìn)行計(jì)算。表5中PFD值即為根據(jù)不同公式計(jì)算出的各系統(tǒng)PFD值。

表5 回路SIL計(jì)算Tab.5 Loop SIL calculation

根據(jù)第2節(jié)所述，取回路中每個(gè)儀表單獨(dú)SIL等級(jí)的最低值作為整個(gè)回路在硬件結(jié)構(gòu)上能夠?qū)崿F(xiàn)的SIL等級(jí)，然后再計(jì)算整個(gè)回路總PFD值為9.64E-04。根據(jù)表3，確定可以滿(mǎn)足SIL3安全等級(jí)要求，并取兩者中的低值作為整個(gè)回路最終能夠滿(mǎn)足的SIL，即為SIL2。這樣即可確定該回路可以滿(mǎn)足SIL2安全等級(jí)要求。如果計(jì)算結(jié)果不能滿(mǎn)足工藝安全對(duì)回路的SIL等級(jí)要求，可以通過(guò)改變子系統(tǒng)硬件結(jié)構(gòu)，如增加冗余度、更換SIL更高的儀表、縮短測(cè)試時(shí)間間隔等方式，來(lái)提高回路可以實(shí)現(xiàn)的SIL。

4 結(jié)束語(yǔ)

針對(duì)化工裝置安全儀表系統(tǒng)安全等級(jí)計(jì)算，詳細(xì)闡述了計(jì)算所需參數(shù)及其含義，以及參數(shù)的來(lái)源。一般情況下，應(yīng)用于安全儀表系統(tǒng)的所有儀表都可以提供SIL認(rèn)證及安全等級(jí)計(jì)算所需數(shù)據(jù)。安全等級(jí)計(jì)算應(yīng)從硬件結(jié)構(gòu)和回路總需求失效率兩方面進(jìn)行。對(duì)于不同的投票結(jié)構(gòu)，應(yīng)選擇相應(yīng)的計(jì)算公式，文中列舉了常用結(jié)構(gòu)的計(jì)算公式。最終，回路能夠?qū)崿F(xiàn)的SIL應(yīng)取這兩方面計(jì)算結(jié)果的最低值，類(lèi)似于木桶的短板原理。通過(guò)實(shí)例，計(jì)算了一個(gè)可以滿(mǎn)足SIL2需求的安全聯(lián)鎖回路。

參考文獻(xiàn):

[1] 國(guó)家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局.電氣/電子/可編輯電子安全相關(guān)系統(tǒng)的功能安全:GB/T 20438[S].北京：中國(guó)標(biāo)準(zhǔn)出版社,2006.

[2] 國(guó)家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局.過(guò)程工業(yè)領(lǐng)域安全儀表系統(tǒng)的功能安全:GB/T 21109[S].北京：中國(guó)標(biāo)準(zhǔn)出版社,2007.

[3] 張建國(guó).SIS在過(guò)程工業(yè)應(yīng)用中的典型問(wèn)題探討[J].石油化工自動(dòng)化,2010(1):3-6.

[4] 李榮強(qiáng).安全儀表系統(tǒng)安全完整性等級(jí)評(píng)估技術(shù)研究[D].北京：中國(guó)石油大學(xué)，2011.

[5] 龔義文.安全儀表系統(tǒng)在化工裝置中的應(yīng)用[J].自動(dòng)化儀表，2010,31(12)：50-54.

[6] 張建國(guó).安全儀表系統(tǒng)在過(guò)程工業(yè)中的應(yīng)用[M].北京：中國(guó)電力出版社,2010:25-58.

[7] 舒逸聃，趙勁松.安全儀表系統(tǒng)安全完整性等級(jí)驗(yàn)證研究進(jìn)展[J].計(jì)算機(jī)與應(yīng)用化學(xué)，2011,28(12)：1585-1588.

[8] IEC 61508.Functional safety of electrical/electronic/ programmable safety-related systems[S].2010.

[9] IEC 61511.Functional safety-Safety instrumented systems for the process industry sector[S].2003.