工程設(shè)計中SIS執(zhí)行及SIL驗證

伊飛

(中海油石化工程有限公司，山東 青島 266100)

近年來，為防止和減少危險化學(xué)品事故發(fā)生，涉及到“兩重點(diǎn)一重大”等新建或在役裝置、罐區(qū)等均需配置全生命周期的安全儀表系統(tǒng)(SIS)并評估SIL等級，原國家安全生產(chǎn)監(jiān)督管理總局《關(guān)于加強(qiáng)化工安全儀表系統(tǒng)管理的指導(dǎo)意見》(安監(jiān)總管三[2014]116號)指出：設(shè)計安全儀表系統(tǒng)之前要明確安全儀表系統(tǒng)過程安全要求、設(shè)計意圖和依據(jù)[1-2]。根據(jù)所有安全儀表功能(SIF)的功能性和完整性要求，編制SIS安全要求技術(shù)文件。工程設(shè)計公司在傳統(tǒng)的工程設(shè)計中，需要完善SIS設(shè)計，通過安全要求規(guī)格書(SRS)等技術(shù)文件，詳細(xì)描述系統(tǒng)的SIL等級，為裝置在全生命周期內(nèi)系統(tǒng)SIL評估及驗證提供依據(jù)。

工程設(shè)計公司應(yīng)具備對于在役裝置、罐區(qū)SIL評估及評估后的整改的能力。對過程工業(yè)裝置進(jìn)行SIL評估后，既要保證安全聯(lián)鎖系統(tǒng)的安全可靠，避免觸發(fā)聯(lián)鎖時的 “拒動作”，又要降低觸發(fā)聯(lián)鎖時的“誤動作”，從而減少因誤停車引發(fā)的經(jīng)濟(jì)損失。對于已經(jīng)經(jīng)過SIL評估及認(rèn)證的裝置或SIF回路，在SIL驗證過程中，分析目前的裝置的SIL等級是否合適，避免“過保護(hù)”“欠保護(hù)”[3-4]。

1 SIS的工程設(shè)計

1.1 SIS工程設(shè)計階段及主要內(nèi)容

工程設(shè)計公司在工程執(zhí)行階段，對于SIS的設(shè)計包含：SIS/SIF設(shè)計、集成、安裝、調(diào)試以及確認(rèn)。IEC 61511：2016Functionalsafety-safetyinstrumentedsystemsfortheprocessindustrysector—Part1：Framework,definitions,system,hardwareandsoftwarerequirements[5]規(guī)定參與SIF回路的儀表、控制系統(tǒng)需要具有符合IEC 61508：2010認(rèn)證要求的SIL證書。實(shí)際SIS設(shè)計工程中，設(shè)計者會選用相應(yīng)的SIS結(jié)構(gòu)來表決實(shí)現(xiàn)硬件的故障裕度(HFT)，以達(dá)到回路的SIL要求。SIF的響應(yīng)時間也應(yīng)滿足過程安全時間(PST)的要求。在SIS的安裝、測試階段后，應(yīng)保存完成的過程記錄文件，并形成確認(rèn)報告。工程執(zhí)行階段SIS設(shè)計流程如圖1所示。

圖1 工程執(zhí)行階段SIS設(shè)計流程示意

1.2 安全要求規(guī)格書

SRS是SIS設(shè)計最基礎(chǔ)的文件，在編制SRS時，需要工藝、安全等專業(yè)提供詳細(xì)、可靠的設(shè)計資料，包含：過程和危險信息(PHA報告)、風(fēng)險分析(HAZOP分析)、影響SIS設(shè)計的法規(guī)及標(biāo)準(zhǔn)規(guī)范要求、SIL定級報告等。SRS應(yīng)包含兩類要求：

1)功能要求。需要描述每個SIF回路的功能。安全功能的表達(dá)至少包括下面的內(nèi)容：對于每個辨識出的危險事件，定義工藝安全狀態(tài)，例如，需要閥門打開還是關(guān)閉；測量參數(shù)(溫度、壓力、流量、液位等)類型、量程范圍及其關(guān)斷設(shè)定值，例如：HH和LL設(shè)定值；邏輯控制器的輸出及其動作，例如：關(guān)停機(jī)泵、打開放空閥、關(guān)閉關(guān)斷閥等；輸入輸出之間的功能關(guān)系，包括邏輯、數(shù)學(xué)函數(shù)、時序控制以及任何所需的“許可”操作；失電關(guān)停還是得電關(guān)停的選擇；手動停車的考慮；當(dāng)SIS的電源或氣源斷掉時應(yīng)有的響應(yīng)動作；將工藝對象置于安全狀態(tài)的響應(yīng)時間要求；對通過自動診斷檢測出的失效所需的響應(yīng)動作；人機(jī)界面的要求；旁路操作要求；復(fù)位功能要求。

2)完整性要求。風(fēng)險降低和可靠性要求。安全完整性的表達(dá)至少包括下面的內(nèi)容：每個SIF所需的SIL等級；為達(dá)到所需的SIL等級，對自動診斷的要求；為達(dá)到并保持所需的SIL等級，對維護(hù)以及測試的要求；如果誤關(guān)斷可能導(dǎo)致危險的后果，對相應(yīng)可靠性的要求。

2 SIS的SIL驗證

根據(jù)ISA-TR84.002：2015Safetyintegritylevel(SIL)verificationofsafetyinstrumentedfunctions[6]的規(guī)定，SIL驗證分為以下7個部分：了解計算中的假定條件；了解功能要求(SIF構(gòu)成)；確定SIL要求；明確可用性要求；計算SIF回路的平均失效率(PFDavg)；計算平均無故障時間(MTTF)或誤停車率(STR)；調(diào)整SIF設(shè)計滿足安全完整性和可用性要求。

上述前4個部分根據(jù)風(fēng)險分析報告、SIL定級報告、工藝P&ID及日常操作、維護(hù)等來確定；第5,6部分的計算結(jié)果會影響第7部分對于SIL驗證的評估及結(jié)論。一個子系統(tǒng)及各SIF回路結(jié)構(gòu)約束部分包括傳感器、執(zhí)行元件、邏輯控制器及連接各部分的必要元器件要達(dá)到SILn，系統(tǒng)能力要達(dá)到SCn，同時SIF回路的PFDavg要滿足在SILn內(nèi)，還要兼顧系統(tǒng)的可用性，減少STR。

2.1 PFDavg和STR計算

PFDavg的計算如式(1)所示[7]：

PFDavg=f(λ,TI,MTTR,β,MooN,DC)

(1)

式中：λ——失效率；MooN——表決形式；DC——診斷覆蓋率；TI——檢驗時間的時間間隔；MTTR——平均恢復(fù)時間；β——公共原因失效。

失效模式分為安全失效與危險失效，即λ可分為安全失效率(λS)、危險失效率(λD)，其中λS=λSD+λSU,λD=λDD+λDU，其中，λSD——安全可檢測失效率；λSU——安全不可檢測失效率；λDD——危險可檢測失效率；λDU——危險不可檢測失效率。DC為通過自動在線診斷檢測出的失效占總失效的比率，可分為危險失效診斷率(DCd=λDD/λD)、安全失效診斷率(DCs=λSD/λS)。β指2個或多個通道以相同的方式失效，導(dǎo)致相同的錯誤結(jié)果，λCC=βλ，對于硬件失效β值一般取0.005～0.110[8]，λCC為公共原因失效率。

計算PFDavg常用的計算方法有事件樹分析(ETA)、故障樹分析(FTA)、可靠性框圖(RBD)、失效模式與影響分析(FMEA)、馬爾科夫分析(Markov)等[9]。ISA報告中PFDavg和STR的不同安全聯(lián)鎖配置下的簡化公式見表1所列，其中，STR簡化公式中指的是安全系統(tǒng)不帶診斷功能的設(shè)備。

表1 ISA報告中PFDavg和STR的不同安全聯(lián)鎖配置下的簡化公式

2.2 SIF回路硬件安全完整性

IEC 61508中對SIF回路元器件的安全完整性分析，有路徑1與路徑2兩種方式。路徑1通過計算安全失效分?jǐn)?shù)(SFF)來確定回路元件的SIL等級；路徑2是基于可靠數(shù)據(jù)(以往經(jīng)驗數(shù)據(jù))，修正數(shù)據(jù)后排除不確定的數(shù)據(jù)，然后計算PFDavg，失效率應(yīng)控制在[0, 90%]的置信度區(qū)間[10]。以下以路徑1為例，驗證回路元件的SIL等級。

SFF是安全失效率和可檢測出的危險失效率的總和，除以總硬件隨機(jī)失效率，如式(2)所示：

(2)

根據(jù)元件自身結(jié)構(gòu)特點(diǎn)及系統(tǒng)的復(fù)雜性，可分為A型子系統(tǒng)和B型子系統(tǒng)。A型子系統(tǒng)結(jié)構(gòu)簡單，其失效模式能夠完整地定義、失效行為能夠完全確定、能夠獲取足夠的失效率數(shù)據(jù)。B型子系統(tǒng)結(jié)構(gòu)復(fù)雜，一個或多個失效模式不能夠完整地定義、失效行為不能夠完全確定，或者不能夠獲取足夠的失效率數(shù)據(jù)。

在同等條件下，限定B型子系統(tǒng)比A型子系統(tǒng)的SIL低一個等級，基本上為HFT加1，SIL允許增加一個等級。不同安全失效分?jǐn)?shù)下，A，B型子系統(tǒng)達(dá)到相應(yīng)SIL等級下硬件配置要求見表2所列。

表2 不同安全失效分?jǐn)?shù)下A，B型子系統(tǒng)達(dá)到相應(yīng)SIL等級下硬件配置要求

3 SIL驗證

以某原油常減壓裝置加熱爐進(jìn)料安全聯(lián)鎖控制回路為例，驗證在滿足SIL等級要求下，測量元件的配置是否合理。當(dāng)燃料氣進(jìn)氣管線壓力高高報警、爐膛溫度高高報警時，需要聯(lián)鎖關(guān)閉燃料氣管線進(jìn)口閥門，要求回路為SIL2等級的安全聯(lián)鎖，在SIL低需求條件下，假定燃料氣進(jìn)口閥門、爐膛內(nèi)溫度檢測元件都為SIL2等級，計算SIF回路壓力變送器的PFDavg，并比較在壓力變送器不同的配置情況下，SIF回路的安全性與可用性。加熱爐進(jìn)料聯(lián)鎖邏輯控制PID流程及壓力變送器配置如圖2所示。

圖2 加熱爐進(jìn)料聯(lián)鎖邏輯控制PID流程及壓力變送器配置示意

3.1 SIL2壓力變送器的單臺儀表(1oo1)

燃料氣進(jìn)氣管線壓力高高超限安全聯(lián)鎖SIF回路中，設(shè)置1臺SIL2的壓力變送器(B型)作為安全聯(lián)鎖觸發(fā)的條件，加熱爐進(jìn)料聯(lián)鎖邏輯控制邏輯(1oo1)如圖3所示，其PID控制見圖2中a；SIL2壓力變送器(B型)相關(guān)安全參數(shù)見表3所列，其中，F(xiàn)IT表示1個失效的時間(10-9h)，TS為檢驗時間，TI為修復(fù)時間，TR為聯(lián)鎖觸發(fā)停車到重啟開車的時間。

表3 SIL2壓力變送器(B型)相關(guān)安全參數(shù)

圖3 加熱爐進(jìn)料聯(lián)鎖邏輯控制邏輯(1oo1)示意

根據(jù)ISA-TR84.002：2015Safetyintergritylevel(SIL)verificationofsafetyinstrumentedfunctions[6]中的簡化公式計算得到(變送器1oo1)：PFDavg=4.2×10-4；STR=8.4×10-8。

3.2 壓力變送器的安全聯(lián)鎖(1oo2)

燃料氣進(jìn)氣管線壓力高高超限安全聯(lián)鎖SIF回路中，設(shè)置2臺SIL1的壓力變送器“1oo2”(B型，HFT=1)作為安全聯(lián)鎖觸發(fā)的條件，加熱爐進(jìn)料聯(lián)鎖控制邏輯(1oo2)如圖4所示，其PID控制見圖2中b；SIL1壓力變送器(B型)相關(guān)安全參數(shù)見表4所列。

表4 SIL1壓力變送器(B型)相關(guān)安全參數(shù)

圖4 加熱爐進(jìn)料聯(lián)鎖控制邏輯(1oo2)示意

根據(jù)ISA-TR84.002：2015[6]簡化公式計算得：PFDavg=6.975×10-6；STR=1.68×10-7。

3.3 壓力變送器的安全聯(lián)鎖(2oo3)

燃料氣進(jìn)氣管線壓力高高超限安全聯(lián)鎖SIF回路中，設(shè)置3臺SIL1的壓力變送器“2oo3”(HFT=1)作為安全聯(lián)鎖觸發(fā)的條件，加熱爐進(jìn)料聯(lián)鎖控制邏輯(2oo3)如圖5所示，其PID控制見圖2中c。

根據(jù)ISA-TR84.002：2015[6]中的簡化公式計算得到：PFDavg=2.092 5×10-5；STR=5.568×10-10。

3.4 計算結(jié)果分析

同一SIL等級下不同配置的壓力變送器SIF回路計算結(jié)果見表5所列。根據(jù)表5數(shù)據(jù)得出以下結(jié)論：“1oo2”的配置安全性能最好，但STR最高，表示其實(shí)際操作中的可用性不強(qiáng)；“2oo3”的STR最低，表示在實(shí)際中其可用性十分可靠，更有利日常生產(chǎn)運(yùn)營，其安全性能也合適；“1oo1”的配置安全性能最低，STR介于其他兩種配置之間。因此，在滿足SIF回路SIL2的前提下，變送器“2oo3”的配置是最優(yōu)的選擇，其兼顧安全性與實(shí)用性。

在SIL低需求模式下，即使單臺具備SIL2的壓力變送器，跟單臺SIL1壓力變送器通過一定的HFT來滿足SIF回路為SIL2的配置模式相比，安全性、STR要差一些。因此，留有一定的HFT在某些要求較高的安全模式下是有必要性的。

在實(shí)際的SIS工程設(shè)計或驗證中，具備SIL2的壓力變送器已成為常規(guī)的配置，在某些聯(lián)鎖回路中，變送器部分的配置通過增加HFT可到達(dá)SIL3，或要求壓力變送器具備自檢測的功能，通過提升SIF回路中部分回路的安全等級，來排除因誤停車的可能性，增加SIF回路的實(shí)用性。

4 結(jié)束語

在工程設(shè)計中，SIF回路的的配置應(yīng)該在滿足安全聯(lián)鎖與工藝聯(lián)鎖的前提下，兩者兼顧，給出最優(yōu)的選擇?！扒繁Ｗo(hù)”、“過保護(hù)”都是不可取的。工程設(shè)計公司應(yīng)出具完備成熟的安全要求規(guī)格書，評估裝置或設(shè)備的安全性能，同時也是作為安全驗證能夠追溯的重要依據(jù)。