張兆祥，李濤

(華陸工程科技有限責(zé)任公司，西安 710065)

?

安全完整性等級驗證計算在化工裝置中的應(yīng)用研究

張兆祥，李濤

(華陸工程科技有限責(zé)任公司，西安 710065)

安全完整性等級(SIL)驗證計算是安全儀表系統(tǒng)設(shè)計中重要的組成部分。介紹了SIL及驗證計算方法，結(jié)合工程實例對典型的安全回路進(jìn)行SIL驗證計算，將計算結(jié)果和安全評估的SIL進(jìn)行比較，確定回路安全儀表功能滿足相應(yīng)的SIL要求；通過對比IEC 61508-6與ISA-TR84.00.02-2兩個標(biāo)準(zhǔn)的計算結(jié)果以及不同檢測周期對兩個標(biāo)準(zhǔn)計算結(jié)果的影響，闡述了兩個標(biāo)準(zhǔn)的計算特點以及檢測周期的選擇對驗證計算的意義。

安全完整性等級 平均失效概率 驗證計算 檢測周期 安全儀表系統(tǒng)

安全完整性等級SIL(safety integrity level)是用來表示安全儀表系統(tǒng)安全完整性要求的離散等級，通過平均失效概率(PFDAVG)量化進(jìn)行分級，平均失效概率越低，SIL越高，見表1所列。根據(jù)IEC 61508[1-2]及IEC 61511[3-4]的規(guī)定，通過定性或定量分析方法進(jìn)行評估和確定，常用的方法包括危害與可操作性分析(HAZOP)、過程安全保護(hù)層分析(LOPA)、風(fēng)險矩陣法等。但在確定SIL后，對回路安全儀表功能是否滿足SIL要求而進(jìn)行的驗證計算涉及較少，筆者從SIL驗證的過程出發(fā)，結(jié)合實例分析，進(jìn)行SIL驗證計算，以期為SIL驗證計算提供借鑒。

1 SIL驗證

按照文獻(xiàn)[1]及文獻(xiàn)[3]的要求，在安全儀表系統(tǒng)的安全生命周期內(nèi)，即從項目設(shè)計階段開始到所有的安全儀表功能不再適用為止，都應(yīng)確保安全儀表系統(tǒng)能滿足SIL要求。安全儀表系統(tǒng)在設(shè)計安裝完成后需要對其進(jìn)行功能安全評估，以明確其安全功能所達(dá)到的SIL，即使在裝置運行多年后，進(jìn)行技術(shù)改造時也應(yīng)對裝置的SIL進(jìn)行功能安全評估，如不能達(dá)到確定的SIL，則應(yīng)對安全儀表系統(tǒng)進(jìn)行改造，所以對于新建和改造項目SIL的驗證計算非常重要。

1.1 安全完整性等級

SIL反映了安全儀表系統(tǒng)執(zhí)行安全功能時，在規(guī)定的時間內(nèi)、在所有規(guī)定的條件下滿足執(zhí)行要求的安全儀表功能的平均概率，SIL級別越高，正確執(zhí)行所要求的安全儀表功能的概率也越高。IEC 61511將安全儀表功能的操作模式分為“低要求操作模式”和“連續(xù)操作模式”(或“高要求操作模式”)。

1) “低要求操作模式”是指響應(yīng)過程條件或其他要求而采取一個規(guī)定動作(如關(guān)閉閥門)，在“低要求操作模式”時，安全儀表功能的SIL用PFDAVG衡量，見表1所列，通?；ぱb置的安全儀表系統(tǒng)工作于“低要求操作模式”，本文后續(xù)的論述均按“低要求操作模式”進(jìn)行驗證計算。

表1 “低要求操作模式”時平均失效概率

2) “連續(xù)操作模式”是指在安全儀表功能的危險失效時間中，如果不采取預(yù)防動作，即使沒有進(jìn)一步的失效，潛在危險也會發(fā)生。在“連續(xù)操作模式”時，安全儀表功能的SIL用每小時危險失效頻率衡量。

1.2 SIL驗證計算方法

SIL驗證計算的主流方法有可靠性框圖、故障樹分析和馬爾可夫模型三種[5]。

1.2.1 可靠性框圖

可靠性框圖表示系統(tǒng)內(nèi)部元件的傳遞過程，可以直觀地表示元件的邏輯關(guān)系，如圖1所示。

圖1 傳感器“2oo3”表決結(jié)構(gòu)的可靠性框圖示意

可靠性框圖是IEC 61508-6和ISA-TR 84.00.02-2都推薦采用的SIL驗證計算方法，區(qū)別在于計算公式不同，筆者擬采用可靠性框圖進(jìn)行實例分析。

1) IEC 61508-6附錄中定義的安全儀表系統(tǒng)平均失效概率及4種表決結(jié)構(gòu)的平均失效概率的計算公式分別介紹如下：

a) 安全儀表系統(tǒng)平均失效概率的計算公式：

PFDSYS=PFDS+PFDL+PFDFE

(1)

式中：PFDSYS——安全儀表系統(tǒng)要求的平均失效概率；PFDS——傳感器子系統(tǒng)要求的平均失效概率；PFDL——邏輯子系統(tǒng)要求的平均失效概率；PFDFE——最終元件子系統(tǒng)要求的平均失效概率。

b) “1oo1”的計算公式：

PFDAVG=(λDU+λDD)

(2)

式中：T1——驗證測試周期，h；MTTR——平均修復(fù)時間，h；λD——子系統(tǒng)中通道的危險失效率；λDU——未檢測到危險失效率；λDD——檢測到的危險失效率。

c) “1oo2”的計算公式：

(3)

式中：β——公共故障系數(shù)；βD——已檢測到的失效百分比；tCE——表決結(jié)構(gòu)中通道的等效平均停止工作時間，h；tGE——表決結(jié)構(gòu)中表決組的等效平均停止工作時間，h。

d) “2oo2”的計算公式：

PFDAVG=2λDtCE

(4)

e) “2oo3”的計算公式：

PFDAVG=6((1-βD)λDD+(1-β)λDU)2tCEtGE+

(5)

2) ISA-TR 84.00.02-2定義的安全儀表系統(tǒng)平均失效概率及4種表決結(jié)構(gòu)的平均失效概率的簡化計算公式介紹如下[6]：

a) 安全儀表系統(tǒng)平均失效概率的計算公式：

PFDSIS=∑PFDSi+∑PFDAi+

∑PFDLi+∑PFDPSi

(6)

式中：PFDA——安全回路最終元件的平均失效概率；PFDPS——安全回路電源的平均失效概率；i——安全回路中組成元件的數(shù)量。

如安全儀表系統(tǒng)設(shè)計為故障失電，系統(tǒng)故障后處于安全狀態(tài)，則電源的平均失效概率PFDAVG不影響SIL驗證計算，此時式(6)等同于式(1)。實際驗證計算中，通常不涉及共同原因失效以及系統(tǒng)性失效，如果修復(fù)時間較短，可以忽略在修復(fù)期間存在的多重失效。

b) “1oo1”的計算公式：

(7)

c) “1oo2”的計算公式如下：

(8)

d) “2oo2”的計算公式：

PFDAVG=λDUT1

(9)

e) “2oo3”的計算公式：

(10)

通過對比，可以看出ISA-TR 84.00.02-2定義的計算公式更為簡潔、方便。

1.2.2 故障樹分析

故障樹分析是ISA-TR 84.00.02-3推薦采用的SIL驗證計算方法，通過對頂部事件進(jìn)行追根溯源的層次分析從而得到系統(tǒng)的失效概率，模型易于理解，可對復(fù)雜系統(tǒng)進(jìn)行分解，生成的部分可以進(jìn)行進(jìn)一步故障樹分析。

1.2.3 馬爾可夫模型

馬爾可夫模型是ISA-TR 84.00.02-4推薦采用的SIL驗證計算方法，定義系統(tǒng)中全部互斥的成功/失效狀態(tài)，系統(tǒng)在某個時間點只能處于某一個狀態(tài)，系統(tǒng)由一種狀態(tài)以某種概率轉(zhuǎn)移到另一種狀態(tài)，此狀態(tài)的下一步轉(zhuǎn)移完全獨立，狀態(tài)用帶編號的圓圈來表示，狀態(tài)之間的轉(zhuǎn)換用箭頭轉(zhuǎn)移弧來表示，并標(biāo)注相應(yīng)的失效率和維修率，用來描述系統(tǒng)隨時間變化的行為。然而，構(gòu)造大型的馬爾可夫模型非常費時、費力，求解也非常困難，不如可靠性框圖直觀，在驗證計算過程中使用較少。

1.3 SIL驗證計算流程

安全完整性等級驗證計算流程如圖2所示，安全儀表系統(tǒng)中相關(guān)元件包括變送器、邏輯控制器、繼電器、電磁閥等都需取得TüV Rheinland認(rèn)證、Exida認(rèn)證或其他安全認(rèn)證機構(gòu)的認(rèn)證，并在認(rèn)證

證書上標(biāo)明計算安全完整性等級所需要的參數(shù)。

圖2 安全完整性等級驗證計算流程示意

2 實例分析

某煉化二期項目丁辛醇裝置采用英國DAVY的工藝包，經(jīng)HAZOP分析審查后，確定了安全儀表回路需要達(dá)到的安全完整性等級。文中以該裝置中典型安全回路為例進(jìn)行驗證計算，通過采用IEC 61508-6和ISA-TR 84.00.02-2分別計算安全回路各子系統(tǒng)(傳感器/邏輯解算器/最終元件)及整個回路的平均失效概率，驗證安全儀表回路的安全完整性等級能否滿足要求，并對計算結(jié)果進(jìn)行分析。

2.1 罐區(qū)儲罐安全回路

液位是儲罐的1個重要的工藝參數(shù)，如液位過高，儲罐內(nèi)壓力上升，可能帶液至低壓火炬總管，造成比較嚴(yán)重的后果，經(jīng)HAZOP分析后將液位安全回路定義為SIL1；安全儀表系統(tǒng)設(shè)置1臺雷達(dá)液位計(LAHH-50105)檢測液位，液位過高時緊急切斷給料閥(XV-50103)，輸入回路和輸出回路均為“1oo1”表決結(jié)構(gòu)，如圖3所示。經(jīng)查詢各元件安全認(rèn)證證書，相關(guān)安全參數(shù)見表2所列。

圖3 儲罐安全儀表回路示意

表2 平均失效概率計算(儲罐安全回路)

表2內(nèi)輸入元件(LAHH-50105)的PFDAVG1，PFDAVG2分別采用“1oo1”式(7)，式(2)計算得出；邏輯控制器及輸出元件(XV-50103)的PFDAVG1，PFDAVG2為廠商提供；再分別經(jīng)式(6)，式(1)計算，可得出儲罐安全回路失效概率PFDSIS分別為3.776×10-3和3.872×10-3，對比表1，完全滿足SIL1的要求。

2.2 粗辛醇收集槽安全回路

粗辛醇收集槽液位過高，可能帶液至K-301氫氣壓縮機，對氫氣壓縮機的安全運行造成極為不利的影響，損失較大，經(jīng)HAZOP分析后將液位安全回路定義為SIL1，安全儀表系統(tǒng)設(shè)置3臺雙法蘭差壓變送器(LAHH-30602/30603/30605)檢測液位，液

位過高時切斷去粗辛醇收集槽的循環(huán)管線流量調(diào)節(jié)閥(FZSOV-30803)，輸入回路為“2oo3”表決結(jié)構(gòu)，輸出回路均為“1oo1”表決結(jié)構(gòu)，如圖4所示。經(jīng)查詢各元件安全認(rèn)證證書，相關(guān)安全參數(shù)見表3所列。

圖4 粗辛醇收集槽安全儀表回路示意

表3 平均失效概率計算(粗辛醇收集槽安全回路)

表3內(nèi)輸入元件(LAHH-30602/30603/30605)的平均失效概率PFDAVG1，PFDAVG2分別采用“2oo3”并由式(10)，式(5)計算得出；輸出元件(FZSOV-30803)的平均失效概率PFDAVG1，PFDAVG2分別采用“1oo1”并由式(7)，式(2)計算；再分別經(jīng)式(6)，式(1)計算，得出粗辛醇收集槽安全回路失效概率PFDSIS分別為9.21×10-4和9.367×10-4，對比表1，也完全滿足SIL1的要求。

2.3 計算結(jié)果分析

筆者分別采用IEC 61508-6和ISA-TR 84.00.02-2公式計算安全回路的平均失效概率，計算結(jié)果偏差不大，對于“1oo1”表決結(jié)構(gòu)，子系統(tǒng)平均失效概率計算結(jié)果基本吻合；對于“2oo3”表決結(jié)構(gòu)，輸入元件平均失效概率計算結(jié)果相差較大，按照ISA-TR 84.00.02-2計算的平均失效概率更低。

文中選取“1oo1”，“2oo3”兩個典型的表決結(jié)構(gòu)進(jìn)行實例分析，通過公式及計算結(jié)果不難發(fā)現(xiàn)“2oo3”表決結(jié)構(gòu)比“1oo1”的平均失效概率更低，通

過“2oo3”表決結(jié)構(gòu)可以大幅度地降低各子系統(tǒng)的平均失效概率，從而使安全回路的安全完整性等級得以提高，特別是對于回路安全完整性等級要求很高(如SIL3)，而單臺儀表無法到達(dá)SIL3的要求，可以通過“1oo2”，“1oo3”，“2oo3”等表決結(jié)構(gòu)來實現(xiàn)。

從以上公式中不難看出，確定檢測周期T1事關(guān)重大，它直接影響平均失效概率的計算，同時需要兼顧多方面的因素，檢測周期越長，對儀表的要求越高；檢測周期越短，對工藝過程帶來的風(fēng)險越大。筆者將檢測周期調(diào)整為3a進(jìn)行對比，計算結(jié)果見表4，表5所列，儲罐安全回路平均失效概率PFDSIS，PFDSYS分別為1.217×10-2和1.219×10-2，粗辛醇收集槽安全回路平均失效概率PFDSIS，PFDSYS分別為3.349×10-3和3.391×10-3。對比發(fā)現(xiàn)，安全回路的計算平均失效概率相差較大，在安全完整性等級評估要求較低時易滿足要求，若完整性等級評估要求較高(如SIL3)，則檢測周期影響較大，因而檢測周期的確定應(yīng)引起足夠的重視。

表4 檢測周期調(diào)整為3a的平均失效概率(儲罐液位安全回路)

表5 檢測周期調(diào)整為3a的平均失效概率(粗辛醇收集槽安全回路)

3 結(jié)束語

通過安全完整性等級驗證計算，確保了安全儀表系統(tǒng)的安全完整性，根據(jù)驗算結(jié)果合理地配置安全儀表系統(tǒng)，有效地防止和降低各類風(fēng)險的發(fā)生，使安全儀表系統(tǒng)的設(shè)計和執(zhí)行達(dá)到最優(yōu)化，對于裝置的長期平穩(wěn)安全運行意義重大。由于手工進(jìn)行SIL驗證計算效率低下，且易出現(xiàn)誤差，特別是對于復(fù)雜的安全回路，因而采用專門的SIL計算軟件是比較可行的方法。目前SIL驗證計算軟件主要有Exida公司的exSILentia軟件；加拿大ACM自動化有限公司的SilCore軟件，HIMA的SILence軟件等[9]，可減輕驗證計算的工作量，便于在設(shè)計過程中進(jìn)行驗證調(diào)整。

[1] IEC. IEC 61508—2010：Functional Safety of Electrical， Electronic， Programmable Electronic Safety-related Systems [S]. Geneva：IEC，2010.

[2] 中國機械工業(yè)聯(lián)合會. GB/T 20438—2006 電氣、電子、可編程電子安全相關(guān)系統(tǒng)的功能安全[S].北京：中國標(biāo)準(zhǔn)出版社，2006.

[3] IEC. IEC 61511—2003：Functional Safety：Safety Instrumented Systems for the Process Industry Sector [S]. Geneva：IEC， 2003.

[4] 中國機械工業(yè)聯(lián)合會.GB/T 21109—2007過程工業(yè)領(lǐng)域安全儀表系統(tǒng)的功能安全[S].北京：中國標(biāo)準(zhǔn)出版社，2007.

[5] 趙亮.80萬噸/年甲醇項目安全完整性等級(SIL)回路計算實例分析[J].自動化博覽，2011(03)：64-67.

[6] ISA. ISA-TR 84.00.02—2002 Safety Instrumented Functions (SIF)-Safety Integrity Level (SIL) Evaluation Techniques [S]. North Carolina：ISA， 2002.

[7] 王偉.安全儀表系統(tǒng)的安全性與可用性研究[J].自動化與儀表，2015(06)：73-76.

[8] 嚴(yán)春明.SIL評估技術(shù)在甲醇裝置中的應(yīng)用[J].石油化工自動化，2014，50(03)：5-8.

[9] 吳寧寧.安全儀表系統(tǒng)的Markov建模方法研究[J].計算機與應(yīng)用化學(xué)，2009，26(06)：821-824.

[10] 莊力健，朱建新，方向榮，等.典型石化裝置加熱爐聯(lián)鎖系統(tǒng)安全完整性評估與現(xiàn)狀[J].化工自動化及儀表，2015，42(01)：31-35.

[11] 黃會偉，袁印實，史玉穎.風(fēng)險圖表法安全完整性等級評價方法[J].化工自動化及儀表，2014，41(02)：115-119.

[12] 朱春麗，洪毅，丁偉暉.海洋石油平臺安全儀表系統(tǒng)安全完整性等級評估[J].化工自動化及儀表，2014，41(04)：410-413.

Application Research of Safety Integrity Level Verification Calculation in Chemical Plant

Zhang Zhaoxiang, Li Tao

(Hualu Engineering & Technology Co. Ltd., Xi’an, 710065, China)

s：Safety integrity level (SIL) verification calculation is an important part in safety instrumented system design. SIL and its calculation methods are introduced. SIL verification calculation for typical safety loop is carried out with actual engineering case. Calculation result is compared with the result of safety evaluation SIL . Corresponding required SIL can be met with loop safety instrument function. By comparing calculation result of IEC 61508-6 and ISA-TR84.00.02-2, as well as influence to calculation result in different proof test intervals, characteristics of above two standards and significance of verified calculation in proof est interval selection are expounded.

safety integrity level; average probability of failure; verification calculation; proof test interval; safety instrumented system

張兆祥(1982—)，男，2008年畢業(yè)于華北電力大學(xué)控制理論與控制工程專業(yè)，現(xiàn)就職于華陸工程科技有限責(zé)任公司電控室，從事化工自控專業(yè)工程設(shè)計工作，任工程師。

TP202

B

1007-7324(2016)05-0028-05

稿件收到日期：2016-06-25，修改稿收到日期：2016-07-15。