謝騰騰 閔祥紅

摘 要：為了對安全儀表系統(tǒng)安全儀表功能的安全完整性等級進行驗證，介紹了基于可靠性框圖模型的硬件失效評估技術(shù)在安全儀表系統(tǒng)安全完整性等級驗證。通過對可靠性框圖模型的研究，將不同硬件結(jié)構(gòu)的公式用Excel編制出對應的方程計算出各個子系統(tǒng)的PFDavg，各子系統(tǒng)PFDavg相加得出安全儀表功能的PFDavg。最后，結(jié)合具體安全儀表功能實例，介紹了典型安全儀表功能安全完整等級驗證的要素。

關(guān)鍵詞：安全儀表系統(tǒng);安全完整性等級;可靠性框圖;安全儀表功能

DOI：10.16640/j.cnki.37-1222/t.2019.08.154

0 緒論

原安監(jiān)總管三〔2014〕116號第（十二）條和第（十三）條要求，設(shè)計符合要求的安全儀表系統(tǒng)。根據(jù)上述兩條要求，對涉及“兩重點一重大”的化工裝置和危險化學品儲存設(shè)施的工程項目，SIS設(shè)計不可避免。因安全儀表系統(tǒng)保護的是“兩重點一重大”的化工裝置和危險化學品儲存設(shè)施，如果設(shè)計文件不符相關(guān)法令和規(guī)范，一旦出現(xiàn)事故則后果可能會很嚴重并且責任極大，甚至會被追究責任[1]。

安全完整性等級（SIL， Safety Integrity Levels）是衡量安全儀表系統(tǒng)各個安全儀表功能（SIF， Safety Instrumented Function）的能力。因此，安全儀表系統(tǒng)的硬件完整性是安全儀表系統(tǒng)各安全儀表功能的設(shè)計和驗證的重要一步。

1 SIL驗證要求

SIL驗證根據(jù)IEC 61508和IEC 61511的要求來執(zhí)行，主要包括：確保設(shè)計的各子系統(tǒng)PFDavg滿足要求、對SIF的硬件結(jié)構(gòu)要求，HFT要求、對SIF系統(tǒng)能力要求、系統(tǒng)誤停車率要求等，本文只考慮低要求操作模式[1，2]。

PFDavg數(shù)據(jù)來源通常來源為最終用戶的現(xiàn)場經(jīng)驗數(shù)據(jù)、證書認證數(shù)據(jù)、第三方評估（由認證機構(gòu)頒發(fā)認證證書）、工業(yè)數(shù)據(jù)庫或文獻（手冊）數(shù)據(jù)和設(shè)備供貨商自我評價的數(shù)據(jù)，一般選取保守的可靠性數(shù)據(jù)，安全儀表功能進行了PFDavg的計算，驗證是否滿足SIL等級的要求，同時確定測試周期。本文用可靠性框圖方法，進行SIF的PFDavg驗證。[3]

2 PFDavg驗證

圖1中的可靠性框圖表示了一個完整的安全儀表功能，安全儀表功能由三個傳感器（A，B，C）三選二，兩個邏輯控制器（D，E）二選一，兩個最終執(zhí)行元件（F，G）二選一組成。一個安全儀表功能由傳感器子系統(tǒng)、邏輯控制器子系統(tǒng)和執(zhí)行單元子系統(tǒng)三部分處于串聯(lián)關(guān)系。

SIS的SIF在要求時的平均失效概率（PFDavg）是通過最小分割后，將各子系統(tǒng)進行邏輯組合，然后將所有子系統(tǒng)平均要求失效概率疊加確定。因為一般情況下失效概率遠小于0.1，則有以下表示：

PFDavg=ΣPFDavgSi+ΣPFDavgAi+ΣPFDavgLi+ΣPFDavgPSi ? ? ? ? ? ? ? ? ?（1）

式1中各表達式的含義如下：

PFDavg：指定SIF的PFDavg;PFDavgS：該SIF中傳感器的PFDavg;PFDavgA：該SIF中最終執(zhí)行元件的PFDavg;PFDavgL：該SIF中邏輯控制器的PFDavg;PFDavgPS：該SIF中電源、氣源的PFDavg;i——該SIF中每個組件的數(shù)量。

2.1 基礎(chǔ)假設(shè)

在進行可靠性框圖硬件失效計算時，需要滿足以下基礎(chǔ)假設(shè)：

a）在低要求操作模式時系統(tǒng)出現(xiàn)隨機失效的平均概率應低于10-1。

b）在系統(tǒng)設(shè)計生命周期內(nèi)各個子系統(tǒng)失效率為常量。

c）傳感器子系統(tǒng)包括傳感器、其它元器件（如變送器等）、接線，但不包括檢測信號處理和組合的元器件（例如，雙傳感器通道的表決等）。

d）邏輯子系統(tǒng)包括：組合輸入信號的元件和將最終信號傳輸出到執(zhí)行單元子系統(tǒng)的所有其它部件。

e）執(zhí)行單元子系統(tǒng)包括：收到來自邏輯子系統(tǒng)的輸出信號后的所有部件和連接線和最終執(zhí)行元器件。

f）執(zhí)行硬件失效概率計算時，相關(guān)可靠性數(shù)據(jù)是子系統(tǒng)的單通道失效率（例如，使用2oo3傳感器，失效率則是指單個傳感器的失效率，需要單獨計算2oo3的影響）。

g）一個表決組中所有通道具有相同的失效率和診斷覆蓋率。

h）子系統(tǒng)中一個通道的硬件總失效率是該通道的危險失效率和安全失效率的總和，并且假設(shè)危險失效概率與安全失效概率相等。

i）各安全功能都可以被檢驗測試和修復（即：各組件未檢測到的失效可由檢驗測試檢測到）。不考慮不理想的檢驗測試的影響。

j）檢驗測試的間隔要遠大于平均修理時間（MRT），至少大一個數(shù)量級。

k）對于每個子系統(tǒng)都有自身的檢驗測試間隔以及平均修理時間（MRT）。

l）預計的要求間隔至少比檢驗測試時間間隔大一個數(shù)量級。

m）對于1oo2、1oo2D、1oo3、2oo3表決組合，診斷覆蓋率規(guī)定的失效要求在平均恢復時間內(nèi)被全部檢測和修復，平均恢復時間影響硬件安全完整性。

n）對于1oo1、2oo2、1oo3表決組合，安全儀表系統(tǒng)在檢測到危險故障后，將進入安全狀態(tài)。為此，診斷測試間隔加上達到安全狀態(tài)所需時間的總和少于過程安全時間。

o）當電源失效不能對斷電跳閘型安全儀表系統(tǒng)提供電力時，系統(tǒng)自動轉(zhuǎn)到安全狀態(tài)，此時電源不會安全儀表系統(tǒng)要求的平均失效概率產(chǎn)生影響;如果系統(tǒng)需要通電跳閘（得電安全型），或者電源的失效模式能引起安全儀表系統(tǒng)處于不安全工作狀態(tài)，應對電源做評估。

2.2 典型結(jié)構(gòu)

3 工程設(shè)計及驗證

3.1 工程設(shè)計

SIS系統(tǒng)邏輯設(shè)計原則為故障安全型，若不能遵守這一原則，系統(tǒng)的安全失效概率將大于零，SIL驗算是需要考慮非故障安全設(shè)計的影響。為了方便操作和維護，SIS系統(tǒng)的每個輸入高限條件增加旁路邏輯，在操作站旁路時間可調(diào)、剩余時間可見和達到設(shè)定時間時將報警。默認每個高高觸發(fā)的原因都需要啟動旁路。SIS系統(tǒng)所有的閥門在操作站設(shè)置軟手動復位按鈕。

根據(jù)設(shè)計原則，結(jié)合工藝流程圖和工藝邏輯描述，繪制邏輯圖，如圖2所示。依低液位觸發(fā)關(guān)斷開關(guān)閥為例，液氨儲罐T12101A液位（LZHH-1210101A1、LZHH-1210102A1、LZHH-1210105A1）高高三取二，關(guān)閉開關(guān)閥XZV-1210101A1、XZV-1210101A2，設(shè)置復位按鈕和急停按鈕。項目通過SIL定級確定該SIF的安全完整性等級為SIL2，設(shè)備請購時規(guī)定設(shè)備選用采用通過SIL驗證的設(shè)備[4]。

3.2 驗證

根據(jù)第2章的公式，結(jié)合圖1，對下列數(shù)據(jù)進行驗證，得表1 SIL驗證表，得出總PFDavg=1.2E-03，滿足要求SIL2要求。

3.3 其它要求

3.3.1 硬件故障裕度

硬件故障裕度（HFT）是衡量子系統(tǒng)冗余程度的指標。換言之，HFT是衡量系統(tǒng)能夠承受多少子系統(tǒng)內(nèi)關(guān)鍵元件故障而仍然能夠執(zhí)行所需要的安全功能。例如，1oo1系統(tǒng)的HFT是0，即只要一個元件故障，系統(tǒng)就失效了;而1oo2系統(tǒng)的HFT就是1，即系統(tǒng)可以承受一個元件失效。根據(jù)IEC61511-2016，低要求模式下安全儀表系統(tǒng)每一個安全儀表功能應滿足最小硬件故障裕度的要求，最小硬件故障裕度見表1。采用FVL和LVL的可編程設(shè)備，應有的診斷覆蓋率不能低于60%。用非FVL和LVL的設(shè)備，可以根據(jù)具體情況降低系統(tǒng)故障裕度。

3.3.2 系統(tǒng)能力

（1）硬件的系統(tǒng)能力;（2）軟件的系統(tǒng)能力。

3.3.3 安全儀表系統(tǒng)誤動率

安全儀表系統(tǒng)誤動率STR（Spurious Trip Rate，STR）的反應出安全儀表功能故障帶來的直接經(jīng)濟損失。誤動率高可能對企業(yè)帶來的經(jīng)濟損失就越大，每個企業(yè)都需要根據(jù)自身情況可接受的風險矩陣，這取決于很多因素。如：公司的保險政策、財務(wù)狀況、開停車的成本等。誤動率由企業(yè)提出，當企業(yè)沒要求時此部分可以不計算。

4 結(jié)論

SIL驗證是安全儀表系統(tǒng)安全生命管理的重要組成部分，本文介紹了SIL驗證方法，對于PFDavg的驗證采用了基于可靠性框圖的方法。本文結(jié)合具體安全儀表功能，通過安全儀表的工程設(shè)計，分別對安全儀表的安全完整等級的PFDavg、硬件故障裕度、系統(tǒng)能力要求、誤動率等進行驗證，為今后的SIL驗證工作提供參考。

參考文獻：

[1]IEC 61511-1-3 Functional Safety Safety Instrumented Systems for the Process Industry Sector [S].2016.

[2]IEC 61508-1-6 Functional Safety of Electrical/Electronic/Programmable Electronic Safetyrelated systems [S].2010.

[3]Reliability block diagrams： IEC 61078-2016[S].2016.

[4]CN-GB/T50770-2013.石油化工安全儀表系統(tǒng)設(shè)計規(guī)范[S].2013.