文科星

（德希尼布化學工程（天津）有限公司上海分公司，上海200021）

0 引言

隨著《國家安全監(jiān)管總局關于加強化工安全儀表系統(tǒng)管理的指導意見》（安監(jiān)總管三〔2014〕116號）的發(fā)布，各化工企業(yè)對生產過程中安全問題的重視程度得到了極大的提高。安全儀表系統(tǒng)（SIS，Safety Instrumented System）能在生產過程中可能出現安全事故時瞬間準確動作，將生產過程導入預定的安全狀態(tài)，減少事故帶來的危害。因此，安全儀表系統(tǒng)的組建是保障生產安全的關鍵。安全儀表功能（SIF，Safety Instrumented Functions）是組建安全儀表系統(tǒng)的基礎。安全儀表功能的目標是什么，以及如何評估和驗證安全儀表功能，是各化工企業(yè)及工程公司在落實安監(jiān)局的要求時遇到的主要問題。

本文對某年產12萬t氯氣的鹽酸回收裝置中安全儀表功能（SIF）的工程經驗進行分析，為未來新建的石油化工項目執(zhí)行該條文提供了借鑒。

1 安全儀表功能的目標

安全儀表功能的目標來自于工藝危害分析（Process Hazard Analysis，PHA）的結果。工藝危害分析是工藝安全管理的核心要素，是有組織地、系統(tǒng)性地對工藝裝置或設施進行危害辨識，為消除和減少工藝過程中的危害、減輕事故后果提供了必要的決策依據。

國家安全生產監(jiān)督管理總局頒布了AQ/T 3049—2013《危險與可操作性分析（HAZOP分析）應用導則》和AQ/T 3054—2015《保護層分析（LOPA）方法應用導則》，用于指導使用這兩種方法來進來工藝危害分析的具體應用步驟。

危險與可操作性分析法（Hazard and Operability Analysis，HAZOP）是工藝危害分析中的一種定性分析方法，能夠辨識出主要的、風險等級高的工藝危害。

保護層分析（Layer of Protection Analysis，LOPA）是一種半定量的風險分析和評估方法，是建立在定性危害分析的基礎上，通過對初始事件頻率、后果嚴重程度和獨立保護層失效概率的數量級大小來近似表征場景的風險的一種工藝危害分析的方法。

IEC 61511《過程工業(yè)安全儀表系統(tǒng)的功能安全》中的洋蔥模型形象地概括了過程工業(yè)中獨立保護層的結構，如圖1所示。安全儀表系統(tǒng)（SIS）由多個SIL等級不同的SIF組成，即安全儀表功能（SIF）處于該結構中安全儀表系統(tǒng)（SIS）層級。

LOPA分析的結果報告中包含了對安全儀表功能（SIF）的平均失效概率（PFDavg）的具體要求。工程實踐中，大多數石油化工裝置的安全儀表系統(tǒng)工作于低要求操作模式。根據IEC 61511中低要求模式下平均失效概率與SIL級別的對應關系，如表1所示，安全儀表等級（Safety Integral Level，SIL）也就能確定了。

圖1 獨立保護層“洋蔥模型”

表1 SIL等級與PFDavg的對應關系

安全儀表功能的目標就是需要通過設計、選型該回路中的檢測元件、控制元件和執(zhí)行元件，使該回路SIF計算的PFDavg值小于LOPA分析結果提出來的要求。

2 安全儀表功能的評估和驗證

安全儀表功能的評估和驗證主要包含平均失效概率PFDavg的計算、結構約束（Architecture Constraints）的驗證和系統(tǒng)完整性（System Capability）的評估。

2.1 PFDavg的計算

組成安全儀表功能的安全儀表回路包括傳感器（Sensor）、安全邏輯控制器（Safety PLC）和最終執(zhí)行元件（Final Element）。SIF回路的PFDavg值即為這三個部分的PFDavg之和，目前主要的計算方法有：根據IEC 61508的簡化方程式法、根據IEC 61078的可靠性框圖分析法（RBD）、根據IEC 61025的事故樹分析法（FTA）、根據IEC 61165的馬爾科夫模型（Markov）計算法。工程實踐中，IEC 61508的簡化方程式法應用比較普遍，表2中列出了最常見的三種結構下的計算公式。

PFDavg計算過程中，驗證各元件的安全數據是計算的基礎。安全儀表數據包含被檢測到的安全故障率SD（Safe Detected）、未被檢測到的安全故障率SU（Safe Undetected）、被檢測到的危險故障率DD（Dangerous Detected）、未被檢測到的危險故障率DU（Dangerous Undetected）、診斷覆蓋率DC（Diagnostic Coverage）、安全失效分數SFF（Safe Failure Fraction），其中SFF=（SU+SD+DD）/（SU+SD+DD+DU），它主要有以下幾種來源：

表2 PFDavg簡化計算公式

（1）通用數據庫，主要有來自DNV的海上設備可靠性數據庫ORENDA、來自CCPS的過程設備可靠性數據庫PERD、來自EXIDA的安全設備可靠性數據庫SERH以及來自SINTEF的安全儀表系統(tǒng)可靠性數據庫PDS。

（2）第三方機構根據IEC 61508出具的SIL證書或FMEDA報告。

（3）生產廠家的聲明。廠家出具的數據可能會過于激進，在工程實踐中，需將該數據與通用數據庫中的同類型數據進行對比，若廠家數據優(yōu)于通用數據庫的數據，則使用通用數據庫的數據進行計算；無法對比時，應考慮5～10倍的安全系數。

（4）先驗數據，在類似工廠的相似工況下使用的儀表數據可作為安全數據的一種來源。

冗余結構中共因失效因子β值的選取取決于冗余通道上所使用的技術的多樣性，在工程實踐中常用如下經驗數據：

（1）同一品牌及同一測量原理的元件組成的冗余結構，β值取值范圍建議為0.05～0.15；

（2）不同品牌的同一測量原理的元件組成的冗余結構，β值取值范圍建議為0.01～0.04；

（3）不同測量原理的元件組成的冗余結構，β值取值范圍建議為0.001～0.01。

2.2 結構約束

安全儀表功能的目標包含了SIL等級的要求，IEC 61508中針對不同的SIL等級有HFT的要求，在SIF驗證的階段需要根據SIF回路情況對各組成部分的冗余情況進行總結，從而對結構約束進行驗證。

根據IEC 61508的結構約束對硬件故障裕度（Hard Fault Tolerance，HFT）的要求，如表3所示，SFF會影響SIF回路中各傳感器和最終執(zhí)行元件的冗余類型。硬件故障裕度N，意味著N+1個故障將導致安全功能的喪失。A型子系統(tǒng)是指所有組成部件的失效模式都能被很好地定義的系統(tǒng)，常見的包括各種現場開關信號、閥門上的信號，比如液位開關、電磁閥等。B型子系統(tǒng)是指至少有一個組成部件的失效模式沒有被很好地定義，常見的包括SIS系統(tǒng)硬件、各種現場變送器等。通過SIL認證的各種現場變送器等B型子系統(tǒng)的SFF在90%～99%，符合SIL2的要求，冗余配置可以達到SIL3。通過SIL認證的A型子系統(tǒng)SFF一般都在90%～99%，能滿足SIL3要求。

2.3 系統(tǒng)完整性

IEC 61508中提出了系統(tǒng)完整性（Systematic Capability，SC）的概念，主要是考慮系統(tǒng)失效方面的風險控制，它的等級代表了一種評價產品的設計技術和生產技術在質量方面的度量。用于SIF回路中的元件都必須是SC等級高于回路SIL等級的，比如SIL3的回路中使用2oo3結構的變送器達到了平均失效率PFDavg的要求，但如果變送器的SC等級是SC2，這個回路的設計還是不能滿足SIL3的要求。在IEC 61511中有一種可替代的方案，最終用戶可以基于“先驗使用”的經驗對產品的SIL級別進行判定。

表3 不同SIL等級對HFT的要求

2.4 改進措施

SIF回路的平均失效概率PFDavg計算結果可能會達不到LOPA的要求，常用的降低PFDavg的措施有如下幾種：

（1）降低測試時間T：測試時間T一般是根據工廠停車檢修的頻率來設置。當回路PFDavg達不到要求時，可以根據該回路所在工藝段的具體操作情況調整該回路的測試時間。

（2）提高冗余：由PFDavg的計算公式可以看出將元件的冗余改變時，PFDavg值能得到極大的改善。

（3）增加閥門的部分行程測試PST（Partial Stroke Test）：閥門是執(zhí)行元件中最常用的，閥門功能失效最可能的情況是在需要動作時卡住了。因此，在閥門上增加部分行程測試（一般指10%～20%的行程）的功能能提高發(fā)現閥門卡住引起的功能失效的概率。部分行程測試的周期一般為回路測試周期的10%，如回路測試周期為一年，部分行程測試周期為一個月。部分行程測試對工藝操作會造成短暫的波動，這種波動大多數情況下是可以接受的。

（4）其他診斷措施：有冗余結構的情況或在同一管路、同一設備上有同樣的測量儀表時，可以增加偏差報警，如兩個測量儀表之間的偏差超過10%時產生一個需要操作員干預的報警信號，提早發(fā)現儀表的功能失效。

在各種改進措施都不能達到LOPA要求時，應考慮是否需要增加額外的獨立保護層。

3 安全儀表功能的維護和管理

安全儀表功能在投用時需要進行測試驗證，投用后也需要根據PFDavg計算中的測試周期進行定期驗證測試。測試的主要任務包括驗證現場儀表，驗證邏輯和操作程序，記錄測試驗證的結果。

現場儀表的測試驗證可以依據SIF回路中各元件的安全手冊，安全手冊中提供了該元件的測試方法以及根據該測試方法元件的診斷恢復系數。大多數的測試方法都需要離線，因此SIF回路的測試驗證工作都是在工廠大修期間進行的。

驗證邏輯和操作程序是驗證安全儀表功能的可用性，確保在需要時SIF按預想的方式工作。

記錄測試驗證的結果，一方面是安全儀表功能的要求，保留測試的樣本；另一方面可以作為安監(jiān)局審查的資料。

4 結語

本文根據國內、國際規(guī)范詳細介紹了安全儀表功能的評估和驗證技術，并結合工程實踐，給出了具體的操作方法和改進建議，為未來新建的石油化工項目中安全儀表系統(tǒng)設計和管理提供了借鑒。

[1]Functional Safety of Electrical/Electronic/Programmable Electronic Safety-Related Systems:IEC 61508[S].

[2]Functional Safety-Safety Instrumented Systems for the Process Industry Sector:IEC 61511[S].

[3]危險與可操作性分析（HAZOP分析）應用導則：AQ/T 3049—2013[S].

[4]保護層分析（LOPA）方法應用導則：AQ/T 3054—2015[S].

[5]余濤.石化裝置風險評估與儀表安全功能評估技術研究[D].北京：北京化工大學，2012.

[6]高嗣晟.安全儀表功能回路設計及SIL驗算[J].石油化工自動化，2017（4）：8-13.