王秉義，張惠良，左信

（1.中油錦西石化分公司，遼寧葫蘆島125001；2.北京安穩(wěn)優(yōu)科技有限公司，北京102200；3.中國石油（北京）大學，北京102249）

安全儀表系統(tǒng)（SIS）是裝置安全生產(chǎn)的重要保護層，其與DCS在可靠性與可用性要求方面具有不同的特點［1－2］。DCS要求在可靠的前提下力求最大的可用度，以使操作員能對工藝過程進行靈活干預，從而保持生產(chǎn)過程平穩(wěn)；SIS系統(tǒng)則要求在一定的可用條件下，尋求最大的可靠度，其時刻監(jiān)視過程參數(shù)的變化，一旦超限，即采取系列動作以避免事故的發(fā)生，或遏制事故的發(fā)展。換言之，SIS的執(zhí)行機構(gòu)平時并不動作，只在有要求時，執(zhí)行機構(gòu)才執(zhí)行安全要求規(guī)格書（SRS）所規(guī)定的動作。但配置SIS系統(tǒng)是一把雙刃劍，合理的系統(tǒng)配置（安全功能）是安全生產(chǎn)的一道有效保護墻，但不恰當?shù)呐渲脛t會因高頻度的誤動作而引起頻繁停車，從而造成巨大的經(jīng)濟損失。根據(jù)殼牌公司對安曼的一個LNG廠SIS系統(tǒng)配置調(diào)查，SIS安全功能的過度配置占67%左右，如圖1所示［3］。

由此可見，不合理的SIS系統(tǒng)聯(lián)鎖配置不但增加了SIS系統(tǒng)的成本，而且也因誤動作而造成巨大經(jīng)濟損失，提高了系統(tǒng)投資與維護成本。

圖1 安曼某LNGT SIS系統(tǒng)SIF配置情況

1 SIS安全聯(lián)鎖投用率偏低的原因分析

目前SIS系統(tǒng)自動投用率普遍較低，通過對公司生產(chǎn)裝置所配備的SIS投用情況分析，可歸納為以下四方面因素：

a）裝置聯(lián)鎖保護誤停車率高。導致誤停車的主要原因：

1）生產(chǎn)裝置普遍缺乏適時的風險評估。尤其是設計僅考慮裝置局部安全風險，沒有考慮對上下游裝置運行影響進行整體評估。對生產(chǎn)裝置進行風險評估，是核定SIS所需安全完整性等級（SIL）的基礎，應該綜合全局考慮。對風險的容忍程度與企業(yè)技術及管理水平、社會經(jīng)濟發(fā)展水平、社會環(huán)保安全意識等密切相關。隨著社會經(jīng)濟的發(fā)展，以及人們環(huán)保意識的提高，對安全要求越來越高。隨著企業(yè)生產(chǎn)技術水平與管理水平的不斷提高，對生產(chǎn)工藝的調(diào)整，使得對安全儀表功能（SIF）的SIL提出新的要求。然而，在役SIS自投用以來（或隨成套工藝包配置），其SIF的SIL一直未做調(diào)整，其SIF配置、聯(lián)鎖動作參數(shù)設置等方面難以保障當前裝置平穩(wěn)、安全生產(chǎn)的實際需要。

2）SIS普遍缺少SIF的SIL核算（安全風險、財產(chǎn)風險及環(huán)境風險）。目前，SIF的設計一般依據(jù)經(jīng)驗選擇。首先，SIS一般缺乏儀表部件失效數(shù)據(jù)，如傳感器和執(zhí)行機構(gòu)（電磁閥、截斷閥等），由于資金等原因沒有選用具有SIL等級能力認證的儀表與執(zhí)行機構(gòu)；其次，雖在關鍵裝置上配備了SIS系統(tǒng)，但缺少對儀表可靠性數(shù)據(jù)的統(tǒng)計收集（經(jīng)使用驗證的儀表用于SIS最具說服力，但缺少統(tǒng)計數(shù)據(jù)說明，僅憑感覺將缺乏可信度）；其三，依據(jù)GB／T21109［4］對SIF的SIL等級進行核算普遍缺失，雖然生產(chǎn)裝置配置了SIS系統(tǒng)，但并不能保證其具有相應的安全防護能力。

3）部分成套設備配套的儀表，其質(zhì)量未能滿足SIS對儀表SIL等級能力的要求，可靠性差、使用壽命短，造成部分SIF不能投用。如實現(xiàn)大型加熱爐的進風控制，爐內(nèi)溫度、風機及風門聯(lián)鎖的執(zhí)行機構(gòu)，其配置的閥桿的光潔度和硬度不如調(diào)節(jié)閥桿，并且在正常生產(chǎn)階段，該閥長期處于靜止狀態(tài)，出現(xiàn)生銹或漏氣現(xiàn)象。

4）受儀表安裝、維護質(zhì)量的影響，如堵、漏、凍凝，以及材料質(zhì)量問題，導致誤停車或在要求動作時無法動作。

5）SIS中對安全聯(lián)鎖和一般工藝聯(lián)鎖沒有區(qū)分，使得SIF結(jié)構(gòu)復雜，難以滿足SIL要求。

6）對SIF缺乏誤停車率指標核算。由于不合理的配置，雖然其SIL等級滿足設計要求，但其誤停車率偏高，導致SIS系統(tǒng)無法在實際中投用。

b）大型轉(zhuǎn)動設備自保聯(lián)鎖，部分條件不能滿足投用條件，而無法投用SIF功能。其原因有：

1）原有老機組聯(lián)鎖邏輯不適應當前的安全規(guī)范要求，儀表配置比較低，其可靠性和穩(wěn)定性差。

2）機組的聯(lián)鎖邏輯和設定值欠妥，生產(chǎn)廠家單純考慮機組設備本身，沒有綜合考慮其停機對裝置的影響，邏輯條件過于苛刻和嚴格。設計應整體考慮。比如將軸系儀表、軸振動、位移、軸瓦溫度、電機定子、轉(zhuǎn)子溫度等全部作為聯(lián)鎖停機條件，并將潤滑油溫度不低于30℃作為機組的啟動條件，但在東北地區(qū)很難滿足這一條件，尤其在冬天。

3）配套儀表出廠時的安裝、配置存在不足，且后續(xù)難以修改。如大機組軸瓦溫度傳感器基本上都是安裝于機殼內(nèi)的埋入式鉑電阻，其引線極易斷。若引線開路，其輸出超過報警值，將引起聯(lián)鎖誤動作停機。壓縮機的振動探頭、位移傳感器探頭安裝也存在類似問題。

4）機組的部分工藝條件難以達到聯(lián)鎖條件，如汽輪機出口壓力，其與蒸汽管網(wǎng)相連，單一機組不能改變其出口壓力參數(shù)，致使相應的SIF無法投用。

5）儀表的安裝與維護質(zhì)量影響SIF的投用。如軸瓦測溫熱電阻的安裝工藝、軸振動與位移探頭的安裝間隙、接線等不合適，都將引起測量偏差，而引發(fā)聯(lián)鎖誤動作。

c）SIS的維護周期與質(zhì)量不能滿足SIF的可靠性要求。電子器件的可靠使用壽命一般為10～12年，隨著使用年限的加長，儀表的失效率將增加。另外，由于設備改造，SIS也需進行擴容。為保證SIF的SIL等級要求，需對SIS進行定期維護和檢修（SIS系統(tǒng)部件檢修時間間隔直接影響SIF的SIL等級水平）［4－6］。在生產(chǎn)裝置正常運行過程中，可通過“旁路”臨時切除聯(lián)鎖條件（在切除時應有一套規(guī)范和措施以保證SIF的安全），并定期對傳感器與執(zhí)行機構(gòu)進行必要的維修、檢定與維護。目前，一次儀表與執(zhí)行機構(gòu)，尤其是執(zhí)行機構(gòu)在正常生產(chǎn)運行期間沒有機會檢修（沒有旁路設置），因缺少及時的維護，SIF回路的可靠性難以保證。

d）SIS報警缺乏層次，故障報警較多，易引起操作員麻痹，導致誤操作。如多機組SIS系統(tǒng)，在備用機組停機、油系統(tǒng)或出入口閥門處于關停狀態(tài)時，由于備用機組處于非正常運行位置，SIS系統(tǒng)就會出現(xiàn)報警。這些報警沒有層次與級別區(qū)分，致使報警過多，容易導致操作人員對關鍵報警信息的疏忽。

2 SIF回路可用性分析

綜合以上對目前SIS低投用率的情況分析，主要問題有：

a）缺少適時的SIF的SIL等級需求評估。當前SIS的SIF配置一般都是依據(jù)經(jīng)驗配備，但同一套裝置在不同的企業(yè)中，其附加的安全防護能力并不相同（如泄壓閥、空間距離、遠程監(jiān)控能力等）。由于缺少對SIF的SIL要求的明確定級，加上大部分SIS不只用于安全聯(lián)鎖目的，而且考慮方便設備重啟等問題，將一般工藝聯(lián)鎖也配置其中。因此，聯(lián)鎖結(jié)構(gòu)比較復雜，難以明確了解實際安全聯(lián)鎖的SIL等級是否滿足要求。

b）缺少SIF的SIL等級和誤停車率核算。目前配置SIS時，主要關心其控制器的SIL能力：傳感器和執(zhí)行機構(gòu)的失效率對SIL等級的影響更大（一般在70%以上），而傳感器和執(zhí)行機構(gòu)往往又缺少有效的數(shù)據(jù)支持，使得SIF的SIL等級未能滿足裝置安全防護能力要求，起不到應有的安全保護作用；或者雖然其SIL等級滿足裝置安全要求，但其誤停車率過高，影響SIS的實際投用；或雖投用，但會因頻繁的誤停車而造成巨大的經(jīng)濟損失。

c）對SIF的功能安全管理缺少有效的監(jiān)控。SIS對裝置的安全防護能力由系統(tǒng)的隨機性失效（SIL等級核算驗證）和系統(tǒng)性失效共同決定。目前對SIF的隨機性失效的驗證比較普遍［7］。隨著GB／T21109安全儀表功能安全標準的推廣與采用，對系統(tǒng)性失效的考核與控制將進一步加強。系統(tǒng)性失效主要由制造缺陷或不足（如上述的振動探頭故障、聯(lián)鎖邏輯不妥、聯(lián)鎖參數(shù)設置不合理、報警重要性層次不分明等）引起。由于系統(tǒng)性失效難以量化處理，只能運用嚴格的SIF的功能安全管理規(guī)范加以避免和減少（另文闡述）。由此可見，在SIS系統(tǒng)SIF分析中，必須同時考核SIF的SIL等級和誤停車性能指標，才能保證SIS系統(tǒng)的有效投用。

針對SIS存在的主要問題，筆者以圖2～3所示SIF為例，探討采用馬爾可夫模型進行SIF可用性分析，考核驗證SIF的SIL和誤停車率指標（MTTFS和PFSavg）。依據(jù)分析結(jié)果，提出合理化建議，以提高SIS系統(tǒng)的投用率，保障對生產(chǎn)裝置的防護能力。

圖2 SIF物理結(jié)構(gòu)

圖3 SIF邏輯結(jié)構(gòu)

該SIF設計為失電使能（停電時，執(zhí)行機構(gòu)置于安全狀態(tài)，即事故安全型），且各傳感器檢測回路和執(zhí)行機構(gòu)回路具有在線診斷能力。由于系統(tǒng)具有旁路設置和冗余配置，當在線檢測出故障后，可在線維護與更換，檢修時間平均為8h。SIS的整體測試間隔與設備大修周期同步，為3年。該SIF的SIL等級需求為SIL2，其各組成部分的失效數(shù)據(jù)見表1所列。

表1 SIF各構(gòu)成部件的失效數(shù)據(jù)

馬爾可夫模型具有動態(tài)分析失效概率的能力［8－10］，上述SIF馬爾可夫模型如圖4所示，其中狀態(tài)1為初始完好狀態(tài)；狀態(tài)2為安全失效（誤停車）狀態(tài)；狀態(tài)3為危險失效狀態(tài)（對安全要求的動作沒有響應）；其余狀態(tài)4～19為存在一路檢測傳感器或執(zhí)行機構(gòu)失效，且SIF還能執(zhí)行相應安全功能的中間狀態(tài)。處于中間狀態(tài)時，若出現(xiàn)進一步的故障，將使SIF系統(tǒng)進入安全失效或危險失效狀態(tài)。由于失效率都很小，為簡化運算，建模時不考慮級聯(lián)失效（如一路溫度傳感器失效后又出現(xiàn)一路壓力傳感器失效，但SIF還能執(zhí)行其要求的功能的情況）對計算精度的影響。

圖4 SIF馬爾可夫模型

馬爾可夫狀態(tài)轉(zhuǎn)移率為

式中：λ——失效率；上標首字母S，D——安全失效和危險失效；上標第二字母D，U——可檢測和不可檢測；下標S1，S2，S3，S4，A1，A2，L，PS——流量傳感器、壓力傳感器、溫度傳感器、液位傳感器、電磁閥、截斷閥、邏輯控制器和電源。根據(jù)上述狀態(tài)轉(zhuǎn)移率，得到馬爾可夫轉(zhuǎn)移矩陣為

MTTFS求解方法［8］為將轉(zhuǎn)移矩陣P中對應吸收狀態(tài)（FS和FD）的行和列去掉，形成新矩陣Q，并在狀態(tài)轉(zhuǎn)移率公式中，將危險失效率置零，求出截陣QS，并依據(jù)下式求矩陣N。

N提供了系統(tǒng)由起始狀態(tài)開始，經(jīng)歷了每一個成功狀態(tài)（暫態(tài)）后的總時間增量。N矩陣中，第一行表示起始于完好狀態(tài)1的總時間增量。假設馬爾可夫模型的時間步長選為1h，則MTTFS為矩陣N第一行元素的和。

利用建立的馬爾可夫模型（運用ISOgraph Reliability Workbench 10.2軟件平臺）和狀態(tài)轉(zhuǎn)移矩陣P進一步求解PFDavg、平均誤停車失效概率PSFavg和MTTFS。分析計算結(jié)果見表2和圖5～6所示。

表2 SIF的SIL等級及誤停車概率分析結(jié)果

圖5 SIF誤停車概率隨時間變化趨勢

圖6 SIF的SIL指標隨時間變化趨勢

由分析可見，此SIF的MTTFS為1.15a。雖然該SIF不論在維護檢修時間間隔為1a還是3a時，其SIL等級都能滿足設計要求（SIL2），但3a的檢修時間間隔是不能接受的，因其過大的誤停車概率將引起SIS的頻繁誤停車，造成巨大的經(jīng)濟損失，而使系統(tǒng)無法實際投用。因此，對于一般企業(yè)規(guī)劃的3a大修時間間隔，必須重新分析考核，在滿足SIF的SIL等級要求的前提下，達到相應的MTTFS和PFSavg指標要求，才能有效發(fā)揮SIS在企業(yè)安全生產(chǎn)中的安全防護作用。

3 結(jié)束語

造成SIS系統(tǒng)投用率低的原因是多方面的，但其可用性差是重要原因之一。在設計SIS或在役SIS安全性能評估中，需關注以下三個方面：

a）適時的風險評估，核定SIF的SIL等級要求，并根據(jù)檢修時間間隔和誤停車對生產(chǎn)的影響，核定SIF的PFSavg和MTTFS指標要求。

b）區(qū)分SIF聯(lián)鎖回路和一般工藝聯(lián)鎖，區(qū)分報警層次級別。

c）定期核查SIF回路的SIL等級和PFSavg與MTTFS指標，在保證SIF具有足夠安全防護能力的同時，具有足夠的可用性，以提高SIS系統(tǒng)的投用率，防止系統(tǒng)頻繁誤動作，從而有效提高SIS的防護能力。

［1］ 王秉儀，張惠良，左信.在役DCS運行性能評估與可靠性分析［J］.石油化工自動化，2009，45（05）：22－25.

［2］ 秦猛.DCS的可靠性分析［J］.石油化工自動化，2008，44（01）：91－94.

［3］ 張建國.安全儀表系統(tǒng)在過程工業(yè)中的應用［M］.北京：中國電力出版社，2010.

［4］ 王春喜，梅格，包偉華，等.GB／T21109過程工業(yè)領域安全儀表系統(tǒng)的功能安全［S］.北京：中國標準化委員會，2007.

［5］ 周華，左信，鄭加平.安全儀表系統(tǒng)可靠性影響參數(shù)的敏感性分析［J］.化工自動化及儀表，2010，37（03）：66－68.

［6］ 王琴梅，左信.安全儀表系統(tǒng)整改時間的確定［J］.化工自動化及儀表，2010，37（01）：45－48.

［7］ 陳高翔.安全儀表系統(tǒng)硬件失效概率的評估方法［C］／／第八屆工業(yè)儀表與自動化學術會議.［2011－11－15］.http：／／www.cnki.com.cn.

［8］ 于改革，陳學東，朱建新，等.基于馬爾可夫模型的“二取二”結(jié)構(gòu)誤跳車分析［J］.石油化工自動化，2010，46（05）：24－28.

［9］ SMITH J D.Reliability，Maintainability and Risk－Practical Methods for Engineers［M］.6th ed.Butterworth－Heinemann，2001.

［10］ ISA.ISA－TR84.00.02—2002Safety Instrumented Functions（SIF）—Safety Integrity Level（SIL）Evaluation Techniques［S］.The Instrumentation，System，and Automation Society，2002.