安全儀表功能回路設（shè）計及SIL驗算

作者：高嗣晟中國石油集團東北煉化工程有限公司（sī）葫蘆島設計院

近些年石化（huà）行業頻發重（chóng）大安全事故，安監局發布的相關安全文件中（zhōng）均提到（dào）安全儀表係統（SIS）。《中國（guó）石化安（ān）全儀表係統安全完整性等級評估管理（lǐ）規定（試行）》（中國（guó）石化安［2013］259號文）1.3條要求（qiú）：“各單（dān）位應（yīng）將建設項目安全完整（zhěng）性等級（SIL）評估納（nà）入建設項（xiàng）目設計管理，將在役裝置SIL評估納入日常安全生產管理”；3.2條要求：“各（gè）單位（wèi）或設計（jì）單位應對建設項目以及在役裝置（zhì）所涉及（jí）的安全（quán）儀表（biǎo）功能（SIF）確定相應的SIL，安全儀（yí）表功能滿足目標（biāo）SIL要求”^［¹^］。在SIS設計過程中， SIF回路中SIL的定級和驗算是設計的重點和難點。

1 SIL定級

目（mù）前SIF回路的SIL的（de）確定（dìng），主要依靠危險與（yǔ）可操作性分析（HAZOP）結合保（bǎo）護層分析（xī）（LOPA）的方法來實現。

HAZOP分析是在安全專業人員主導下，工藝、自控、設備專業人員以及操作人員共同構成的分析小組進行的一種（zhǒng）分析方法。HAZOP分析是采用標準化“引（yǐn）導詞”對裝（zhuāng）置過程係統的中間變量設定“偏離（lí）”，沿“偏離”在係統中反向查找非（fēi）正常“原因”，沿“偏離”在係統中正向查（chá）找不利“後果”，確定後果嚴重性等級^［²^］。HAZOP具體（tǐ）分析方法詳見AQ/T3049—2013《危險與可操作性分（fèn）析（HAZOP分析）應用導則》^［³^］。

當HAZOP分析確定（dìng）後果嚴重性等（děng）級為（wéi）高風險或很高風險（xiǎn）時，需進一步進（jìn）行LOPA分析，計算目前偏差導致的後果發生的頻率，判斷現有保護措施是否足夠，建議措施是（shì）否能夠有效地降（jiàng）低事故發生頻（pín）率等（děng）。可（kě）通過（guò）增加SIF回路（lù）保護（hù）層，降低事（shì）故發生概率，從而得出SIF回路的SIL。LOPA具體分析方法詳（xiáng）見AQ/T 3054—2015《保護層分析（LOPA）方法應用導則》^［⁴^］。

根據文獻^［⁴^］中表E.2，引發偏差的初始事件，如（rú）控製回路失效、冷卻水失效、控製閥誤（wù）動作、常規人員操作失誤、雷擊等，偏差導致的事故發生概（gài）率f1i≤1×10^－1，假設

安全儀表功能回路設計（jì）及SIL驗算

，年頻率等級（jí）為1～10^－1。

在（zài）涉（shè）及“重點監管工藝、重點監管化學（xué）品、重大危險源”或可能引發高後果的工（gōng）藝，大多已配置基本過程控製係統（BPCS）、過程報警及操作員（yuán）幹預、安全閥、爆破片、防火堤等獨立保護層中的一個或多個，根據文獻［4］中表（biǎo）E.3，各獨立保護層失效概率PFD≤1×10^－1；引入（rù）點火概率、人員暴露、人員（yuán）傷害、毒性影響等（děng）修正係數P，P=n×10^－1，n=1～10，偏差導致的事故發生（shēng）概率fci=f1i×PFD×P≤n×10－3，年（nián）頻率（lǜ）等（děng）級範圍為10^－2～10^－3。

為了（le）方便分析，假定偏差導致的後果嚴重性為最嚴（yán）重等級的5級，事（shì）故發生年頻率（lǜ）等（děng）級（jí）為n×10^－3，根據表1 LOPA風險評估矩陣可得知，事故風險（xiǎn）為高風險，需采取（qǔ）進一步的保（bǎo）護措施。

可在HAZOP分析的節（jiē）點增加SIS獨立保護層，引入SIL1（PFD=1×10－2）的SIF回路時，後果發生的概率fci=n×10－3×1×10－2=n×10－5，年頻率等級為10^－4～10^－5，此時根據表1可知，5級（jí）後果的風險（xiǎn）等級為中風險；當引入SIL2（PFD=1×10^－3）的SIF回路時，後果發生的（de）概率fci=n×10－3×1×10－3=n×10－6，年頻率等級範圍為10^－5～10^－6，5級後果的風險是中風險；當引入SIL3（PFD=1×10－4）的SIF回路時，後果發生（shēng）的（de）概率（lǜ）fci=n×10－3×1×10－4=n×10－7，年頻率等級範圍為10^－6～10^－7，5級後果的風（fēng）險是低風

險。

安全儀表功能回路設計及SIL驗算

上述SIL分析中選取了最嚴重的風險等級、最高的初始時間發生（shēng）概率、最高的獨立保護層失效概率，可以看（kàn）出SIL1的保護層即可將風險降（jiàng）為中風險，中風險是可選擇性的采取行動；當采用SIL3保護層時可將（jiāng）風險降為（wéi）低風險（xiǎn），低風險不需要采取行動。若風險（xiǎn）等級小於5級或其他獨立保護（hù）層（céng）的失效概率小於1×10^－1時，采用SIL2保護層時可將風險降為低（dī）風險，低風險不需要采取行動。因此，SIS中，大部分SIF回路的SIL可定在（zài）1級（jí）；少數SIF回路的SIL可定在2級；極少數SIF回路的SIL定為3級（jí）。

2 IEC 61508 中SIL驗算方法

IEC 61508^［5^］中（zhōng）的SIL驗算方法適用於已取得SIL認證（zhèng）的儀表、控製邏輯器、執行元件等，常用的品牌型號產品認證參數見表（biǎo）2所列，其中（zhōng），λsd為被檢測到的安全故障率；λsu為未被（bèi）檢測到的安全故障率；λdd為被檢測到的危險故障率（lǜ）；λdu為未被檢測到的危險故障率；λs為安全（quán）失效故障率；λd為危險失效（xiào）故障率（故障率的單位為Fit，1 Fit=1×10^－9）；DC為診斷覆蓋率；SFF為安全失效分數。計算公式如下所示^［⁶^］：

安全儀表功能回路設計及SIL驗算

式（1）中λsd，λsu，λdd，λdu可從儀表設備SIL認（rèn）證證書中獲取。根據GB/T 50770—2013《石油化工安全儀表（biǎo）係統設計規範》^［⁷^］中4.1.3條規定：“通常石油化工工（gōng）廠和裝置的安全儀表係統（tǒng）工作於低（dī）要求操作模（mó）式”，故下文中的參數（shù）均是低要求操作模式下的認證參數。

通過式（1）的計算可得出安全失效（xiào）分數，而表3和表4列出了（le）硬件的SIL，其中A類儀表有浪湧保護器（qì）、液位開（kāi）關、安全柵、電磁閥、閥體、執行（háng）機（jī）構、閥門定位器等，B類有安全型控製邏輯器、現場（chǎng）變送器等。

結合表2，表3和表4可以看出，通過SIL認證的溫度變送器、壓力變送器、流量計、液位計等B類子係統SFF多在90%～99%，符合SIL2的要求，可以通過冗餘（yú）配置達（dá）到SIL3。而A類子係統SFF在90%～99%已滿足SIL3要求。

SIS投入運行後需進行周期性的離線維護，某些故障或失效隻能通過（guò）離線（xiàn）的人工測試才能發現，例如變送器的膜盒損壞（huài）、引壓管的堵塞、測（cè）量精度（dù）、閥門（mén）的腐蝕內漏、閥芯的卡死等（děng）［810］。大多數SIS設備（bèi）的檢驗測試在裝置（zhì）的停車大修期間進行。在低操作要求模式下，檢測平均時間間隔T1有3 d,6 d,1 a，一般選（xuǎn）用T1=1 a，平均恢複時間MTTR=8 h。

安全儀表功能（néng）回路設計及SIL驗算

安全儀表（biǎo）功能回路設（shè）計及SIL驗算

工程設計中，常見的（de）儀表組合有（yǒu）“1oo1”,“1oo2”,“2oo3”，通過下列步驟（zhòu）分別計算組合後的PFDavg。

1）計算通道等效停止時間tCE：

安全儀表功能回（huí）路設計及SIL驗算

式中：βD——具有共同原因已（yǐ）被檢測到的（de）失效分數；β——具有共同原因沒有被檢測到的失效分（fèn）數，β=2βD。

β的值可（kě）根據（jù）GB/T 20438.6—2006^［6^］/IEC 61508： 2000中的表（biǎo）D.1評分（fèn）獲得（dé），β取值有1%，2%，5%，10%；對應的βD分別為0.5%，1%，2.5%，5%。將（jiāng）上述數據分別代入式（5）中驗算，結果相（xiàng）差無幾，且β評分方（fāng）法繁瑣，為了方便工程計算，現場儀表可統一將β取值為10%，βD取值為5%。

5）計算“2oo3”時的PFDavg：

PFDavg=6［（1-βD）λdd+（1-β）λdu］2tCEtGE+

βDλddMTTR+βλduT12+MTTR（6）

將表2內的認證參數代入式（shì）（2）～式（6），可得出分別在“1oo1”，“1oo2”，“2oo3”情況下的PFDavg，並將該值填入表2中。

6）分別計算SIF回路（lù）中的傳感器、邏輯係統、執行元件（jiàn）等的PFDavg後（hòu），計算SIF回路係統的平均失效概率PFDsys：∑PFDsys=∑PFDS+∑PFDL+∑PFDFE（7）

式中：∑PFDS——傳感器子係統平均失效概率；∑PFDL——邏輯子係統平均失效概（gài）率；∑PFDFE——執行元件子係統平均（jun1）失效概率。

因SIS的設計為故障安全型，電源的失效會將裝置帶到安全位置，故係統平均失（shī）效概率不考慮電源失效。

3 ISA TR 84.00.02 標準中SIL的驗算方法

文（wén）獻[11]中SIL的計（jì）算方法相對（duì）簡單，未經SIL認證（zhèng）的普通儀表采用IEC 61508計算時，λsd，λsu，λdd，λdu無數據可查，此時可通過文獻[11]進行（háng）SIL驗算，步驟如下所示：

1）計算危險失效故障率λd： λd=1/MTTFd（8）式中： MTTFd——平均危險失效前時間,實際驗算過程中精確的數值可（kě）從供貨商處獲取（qǔ）儀表平均故障時間MTBF， MTTFd=MTBF-MTTR，因MTTR時間很短（duǎn）為8 h，則MTTFd≈MTBF^［12^］。在MTTFd無數據可循的情況下，可參考文獻[11]中part 1 表5.1中5個（gè）工廠經驗值，詳細數據見表5所列。

表5常規儀表（biǎo）平均危險失效前時（shí）間a

因λdu=λd×（1-DC），可假（jiǎ）設未經過SIL認證的常規儀表診斷覆蓋率DC=0，則λdu=λd。

安全儀表功能回路設計及SIL驗算

5）根據式（7）計算SIF回路的PFDavg。

4應用實（shí）例

假設P&ID中某節點需設置SIF回路（lù），當采用差壓變送器測量（liàng）儲罐液位時，液位高高或壓力高高時聯鎖停進料切斷閥，如圖1所示，該（gāi）SIF回路（lù）經（jīng）HAZOP，LOPA分析後得（dé）出SIF回路（lù）的SIL=2。

安全儀表功能回路設計及（jí）SIL驗算

1）當現場（chǎng）采用未經SIL認證的普通（tōng）傳感器（qì）和執行元件“1oo1”時，SIF回路的PFDavg見表（biǎo）6所列，∑PFDsys=2.700 5×10^－2，SIF回路SIL=1，不滿足SIL2的要求。

安全儀表功能回路設計及SIL驗算

從表（biǎo）6可以看出，SIF回路的PFDavg中現場變送器和（hé）執行元件占了大部（bù）分的比例，安全柵、繼電器、安全型控製邏輯器占（zhàn）比例較少，需降低現場（chǎng）變送器和執行元件子係統的PFDavg。

現場變送器采用“1oo2”，設置（zhì）雙（shuāng）壓力變（biàn）送（sòng）器和液位變送器，如（rú）圖2所示。執行（háng）元件采用“1oo2”，設置雙切斷閥，此時SIF回路的∑PFDsys=4.45×10^－4＜1×10^－2，滿足SIL2的要求。文獻[11]中指明，該（gāi）規範中的計算步驟適用於SIL1和SIL2的SIF回路驗證，除非完全（quán）掌握（wò）簡化公式的計算方法（fǎ）和限製條件才可以進行（háng）SIL3的SIF回路驗（yàn）證。

安（ān）全儀表功能回路設計及SIL驗算

2）當SIF回路的現場傳感器及執行元件均采用取得SIL認證的儀表（biǎo）時，SIF回路PFDavg見（jiàn）表7所列。

當變送（sòng）器、不帶PVST功能的電磁閥、氣動切斷球閥采用SIL2認證的產品，與SIL3認（rèn）證的SM係統、安全柵、繼（jì）電器構成的“1oo1”SIF回路∑PFDsys=1.503×10－3，SIF回路SIL=2；當采用冗餘的SIL2認（rèn）證的變送器、電磁閥、氣動切斷球閥、安全（quán）柵、繼電器，與SM係統構成的“1oo2”SIF回路∑PFDsys=8.22×10^－5，SIF回路滿足SIL3的要（yào）求。

安全儀表功能回路設計及SIL驗算（suàn）

當電磁閥帶（dài）PVST功能時，其“1oo1”時PFDavg查表2為1.503×10^－5，代入到表（biǎo）7中，采用SIL2認證的變送器、氣動切（qiē）斷球閥，與SIL3認證的SM係統、安全柵、繼電器、帶PVST功能的電磁閥構成的“1oo1”SIF回路∑PFDsys=6.980 3×10^－4，SIF回路滿足SIL3的要求。

3）當檢（jiǎn）測器子（zǐ）係統采用未經安全完整性（xìng）等級認證的普通儀表“1oo2”，執行元件子係統采用經過安全完整性（xìng）等級認證的不帶PVST功能電（diàn）磁閥、氣動（dòng）切斷球閥“1oo1”，如圖3所示。∑PFDsys=1.029×10^－3，滿足SIL2的要求。

安（ān）全儀表（biǎo）功能回路設（shè）計及SIL驗算

5結論

SIF回路的（de）SIL驗算需大量的（de）數據支撐，準確數據獲取不易，對於工程設計而言，可（kě）粗略的得（dé）出如下結論，方便快速驗算：

1）對一（yī）個SIF回路的PFDavg進行分解，傳感（gǎn）器子係統約占35%，安全（quán）型控製邏輯器約占15%，執行（háng）元件子係統約占50%。

SIL2認證的儀表“1oo1”結構PFDavg在10^－4左右，“1oo2”結構PFDavg在10^－6左右，“2oo3”結構PFDavg在10^－5左右（yòu），如沒有具體數據可參考上述數（shù）量級進行粗略計算。

2）用於緊（jǐn）急停車功能的安全型控製邏輯器、安全柵、浪湧保護（hù）器、繼電器宜選SIL3認證的產品；對於裝置規模較小、聯鎖簡單、事故後果（guǒ）可控的中小型生產企業若LOPA分析所有SIF回路SIL均為（wéi）1時，可選用SIL2認證的安全型控製器、安全柵等（děng）。

3）采用質量可靠（kào）（MTBF≥50 a）、應（yīng）用廣泛、未取得SIL認證的傳感器、執行元件子係（xì）統構（gòu）成的“1oo1” SIF回路，在傳感器子（zǐ）係統和執行元件（jiàn）子（zǐ）係統中儀表數量較少的情況下，基本可（kě）滿足SIL1的要求。

采用經SIL認證的儀表、或未經SIL認證的普通儀表組成（chéng）“1oo2”，“2oo3” SIF回路、或經過SIL認證的執行元件與未經過SIL認證（zhèng）的“1oo2”，“2oo3”傳感器子係統混合型的方式來降低回路的PFDavg以滿足SIL2的要求。采用經SIL認（rèn）證的傳感器子係（xì）統與帶PVST功能的執行元（yuán）件配（pèi）套使用可達到（dào）SIL3的要求。

4）當傳感器子係統（tǒng）采用“1oo2”，“2oo3”的（de）方（fāng）式時，儀表的取源部件不應共用，以免因取源部件的堵塞導致SIF回（huí）路（lù）的失效。

5） GB/T 50770—2013《石（shí）油化工安全（quán）儀表係統設計規範》中，SIL1的回路中測量儀表、控製（zhì）閥可與BPCS共用；SIL2的回路中測量儀表、控製閥宜與BPCS分開（kāi）；SIL3回路中的測量儀表、控製閥應（yīng）與BPCS分開^［⁷^］。

從LOPA分析來看，BPCS與SIS是兩個獨（dú）立的保（bǎo）護（hù）層，如SIF回路中的測量儀表、控製閥與BPCS共用，測量儀表或控製閥的失效可（kě）能導致BPCS和SIS的同時失效，破壞SIS保護層的獨立性。

因此（cǐ），在設計過程中SIS中SIF回路的檢測儀表、控製（zhì）閥不建（jiàn）議與BPCS共用，不推薦采用調節（jiē）閥配電磁閥（fá）的方式進行控製、聯鎖。

注：本文轉載自自控中心站微信公眾號，如有侵權請聯係刪除。