武華團，皮 宇

(中石化廣州工程有限公司，廣東 廣州 510620)

近年來隨著國家對生產(chǎn)安全越來越重視，危險與可操作性分析(HAZOP)以及SIL的安全分析逐漸在各個項目中開展，SIL定級結(jié)果的驗證是SIS生命周期的一個重要環(huán)節(jié)，一般是通過收集各種儀表失效率數(shù)據(jù)，利用專門的軟件工具 (例如：Exida的SILverTM)，通過程序驗算得以驗證。SIL驗證的結(jié)果將用于指導設(shè)計方進行設(shè)計完善，必要時對后期業(yè)主方的操作維護提供建議，從而實現(xiàn)SIS全生命周期的過程安全。

1 通過SIL驗證的必要條件

根據(jù)IEC 61508[1-2]，評估(子系統(tǒng)的) SIL，順利通過驗證以下三個條件必不可少：

(1)低要求操作模式下(根據(jù)GB/T 50770-2013《石油化工安全儀表系統(tǒng)設(shè)計規(guī)范》[4]條文說明4.1.3規(guī)定：“通常石油化工工廠和裝置的安全儀表系統(tǒng)工作于低要求操作模式”，故本文僅考慮低要求操作模式下的SIL驗證),在安全儀表功能(SIF)被要求時完成其設(shè)計功能的平均失效概率(PFDawg)必須滿足SIL要求。

(2)硬件結(jié)構(gòu)約束必須滿足要求。即硬件故障裕度(HFT)必須滿足IEC 61508 中對該SIL的最小HFT要求。

(3)系統(tǒng)失效避免及控制要求、軟件要求滿足條件。根據(jù)IEC 61508，該因素主要與設(shè)備的使用、維護、管理有關(guān)，本文不加贅述。

為了能夠滿足上述三個條件并通過SIL 驗證，就必須從SIL定級前的準備，SIL定級過程到最后的SIL驗證各階段中做好準備，有針對性的尋找解決方案。特別由于SIL驗證一般在項目設(shè)計的中后期，此時很多設(shè)備訂貨可能正處于進行中，如果不加以分析，只是盲目的根據(jù)驗證結(jié)果增加儀表，結(jié)果可能由于SIL驗證的瓶頸并不一定來自硬件架構(gòu)，那么由此帶來的儀表投資增加就不一定合理，而且還會引起其它相關(guān)專業(yè)采購及設(shè)計變更；還有為了改善儀表的λ值，盲目的更換儀表類型，這樣表面看來會更好，但是可能不適用特定的工況。所以在SIL驗證階段中，結(jié)合SIL驗證報告中給出的合理化建議，分析原因并有針對性的加以研究解決尤為重要。

2 SIL定級前

2.1 選擇成熟的設(shè)計方案

由于HAZOP和SIL活動主要參考的設(shè)計文件為P&ID流程以及邏輯因果表等，因此應(yīng)當在對應(yīng)的活動正式開始前，提交較為完善的上述資料給活動分析小組，或采用成熟的工藝包(很多國外項目在FEED階段就進行了Pre-HAZOP以及Pre-SIL的活動)，避免后期對先前設(shè)計做大面積的修改。

2.2 HAZOP分析應(yīng)盡量完整合理

筆者參與的某國外煤油/柴油加氫裝置，針對殼牌標準安全風險矩陣后果嚴重性等級為3及以上的場景SIL定級采用了保護層分析(LOPA), 而LOPA分析的信息輸入即來自之前HAZOP報告中對潛在的風險和已有的安全保護措施的辨識。參考GB/T 32857-2016[5]表A.1也可以看出，LOPA分析中的信息輸入基礎(chǔ)均來自于HAZOP分析，因此HAZOP會議中應(yīng)盡量對各場景做比較完整和合理化的分析，盡可能多的尋找已存在的安全保護措施，為后期的SIL定級LOPA分析尋找獨立保護層(IPL)做準備。

2.3 設(shè)計合理的并帶SIL認證的儀表

為滿足后期實際SIL驗證的需要，在安全回路設(shè)計時所采用的儀表檢測元件、變送器、聯(lián)鎖閥門及執(zhí)行機構(gòu)通常要求至少SIL2的認證，訂貨時就要求廠家提供SIL的認證報告；對于安全儀表系統(tǒng)(SIS)，應(yīng)充分考慮設(shè)計裝置的歷史成熟經(jīng)驗，一般設(shè)計為SIL3等級。

3 合理的SIL定級

在定級前必須就項目采用的風險矩陣基本原則及安全要求規(guī)格書(SRS)中的基本數(shù)據(jù)與業(yè)主達成共識，否則定級會議時可能產(chǎn)生分歧。

(1)后果及嚴重性等級評估。來源于HAZOP報告，請注意該數(shù)據(jù)的量化對于SIL定級至關(guān)重要，業(yè)主往往單方面希望提高SIL的等級來提高裝置的安全性，但是EPC要控制投資，有實際國外項目案例表明，最大的分歧在于對資產(chǎn)損失的評估，業(yè)主有時不顧HAZOP報告中的后果嚴重性等級評估結(jié)果，在SIL定級會議中單方面夸大財產(chǎn)損失并提高后果嚴重性等級的量化值，這樣會直接提升該SIF回路最終需要達到的風險降低因數(shù)(RRF)的分值，從而提高SIL等級，導致后期驗證很難通過，最后只能通過SIL重新定級來解決。因此在HAZOP及SIL活動期間，對后果嚴重性等級的評估，各方要做到盡可能有依有據(jù)，科學合理，不能任憑單方面盲目夸大。

(2)場景事故發(fā)生的頻率的評估及確定。場景事故發(fā)生的頻率決定了對事故后果的嚴重性降低的倍數(shù)，最終也會影響SIF回路需要達到的RRF值和SIL等級。

(3)獨立保護層的使用，一般引用HAZOP報告中已有的安全保護措施，對其獨立性和有效性進行識別。另可根據(jù)需要，尋找之前HAZOP報告中可能遺漏的IPL。根據(jù)GB/T 32857-2016-6.1.2，允許SIL定級會議LOPA分析時補充IPL。一個獨立的IPL能夠至少降低10倍基礎(chǔ)RRF分值，導致SIL的等級可能直接降一個級別，甚至多個IPL能夠?qū)IL的等級直接降為沒有SIL需求。

因此IPL的尋找和使用至關(guān)重要，SIL定級會議一旦結(jié)束，后期進入SIL驗證階段時，由設(shè)計單方再次尋找的新的IPL被認可，以此來降低目標SIL并使驗證通過的流程將會變得更加復雜，所以SIL定級會議前足夠的準備是必須的。

4 SIL驗證不能通過的原因及解決方案

經(jīng)過上述措施后，在SIL驗證階段仍可能存在部分SIF不能通過的情況。

4.1 目標RRF分值與實際計算RRF分值非常接近，基本在一個數(shù)量級時

此時應(yīng)盡量避免做過多的設(shè)計修改以及投資變動，解決的優(yōu)先級別建議如下：

1)初始驗算時，通常使用驗證軟件數(shù)據(jù)庫中自帶的通用數(shù)據(jù)，但該數(shù)據(jù)往往沒有真實訂貨數(shù)據(jù)好。因此當取得訂貨產(chǎn)品SIL證書后，用實際數(shù)據(jù)驗證就可以顯著提升SFF(安全失效分數(shù))值，進行再次驗算并通過。

2)安全柵、繼電器、電磁閥、部分行程測試(以下簡稱PST)等對整個回路的制約：

煉油化工裝置中，本安設(shè)計為防爆技術(shù)的首選，完整安全回路典型接線如下：

檢測元件子系統(tǒng)(檢測元件-變送器-輸入安全柵)-邏輯控制單元-最終執(zhí)行元件子系統(tǒng)(輸出安全柵-電磁閥-聯(lián)鎖閥門)

極個別的情況，當檢測元件比較特殊時，檢測元件不能匹配具有SIL認證型號的安全柵，根據(jù)IEC61508對硬件的約束條件，即使改變架構(gòu)為1oo3或2oo3也不能過多改變檢測元件子系統(tǒng)的PFDawg值，安全柵成為瓶頸，這時可以考慮設(shè)計為隔爆類型，取消安全柵。

最終執(zhí)行元件的閥體可靠性非常好，有些可以達到SIL3，但是安全柵或電磁閥有時受限于項目要求的類型不能達到SIL3，如果新增一臺閥門，可能會造成投資及空間浪費，這時可以考慮僅僅增加冗余電磁閥，也有國外項目選用隔爆的電磁閥，直接取消安全柵以減少SIF回路的中間環(huán)節(jié)；同時為提高閥門整體的安全失效分數(shù)(SFF)，可以通過增加PST功能，并可根據(jù)目標RRF分值適當調(diào)整PST的頻率，從而提高最終執(zhí)行元件子系統(tǒng)的綜合SFF來通過驗算。

3)修改檢測元件子系統(tǒng)或者最終執(zhí)行元件子系統(tǒng)的檢驗測試時間(PTI)。

檢驗測試也稱功能測試，指的是人工完成的周期性的離線測試，測試后系統(tǒng)能恢復至或接近于"全新狀態(tài)"。測試的目的主要是進一步發(fā)現(xiàn)安全儀表中的危險失效，通過較為徹底的檢修提高其可靠性，使SIF回路恢復至設(shè)計要求的SIL等級。通常PTI等于或近似等于工廠的計劃停工時間，但是為了滿足SIL要求，在具有必要的離線檢驗措施，例如通過設(shè)計合理的維護旁路開關(guān)(MOS)和各類自動旁路降級架構(gòu)等，適當減小檢測元件子系統(tǒng)或者最終執(zhí)行元件子系統(tǒng)的PTI并獲得業(yè)主的認可，有利于提高單臺設(shè)備的SFF值和SIF回路能達到的RRF分值，從而滿足目標要求。

4)修改儀表廠家或型號，提高單臺設(shè)備的SFF值，將不能提供SIL認證參數(shù)的廠家或產(chǎn)品換為同類型能提供SIL證書的廠家或產(chǎn)品。

5)改變檢測元件表決的架構(gòu)，增加容錯和HFT值。因為一般檢測元件都比最終執(zhí)行元件投資小，安裝變更小。

6)增加最終執(zhí)行元件的SFF值，且盡量避免增加投資大的閥體等設(shè)備。一般最終執(zhí)行元件均屬于A類元件，參考IEC 61508-2-2010[2]，當SIF回路要求為SIL2時，如果不冗余配置，應(yīng)盡量增大單臺執(zhí)行元件的SFF值保證在60%以上；當要求為SIL3 時，如果不冗余配置，執(zhí)行元件要具有SIL3認證且SFF值要達到90%以上。

當SIF的最終動作包含電機聯(lián)鎖時，設(shè)計就盡量選用SIL3 或SIL4認證的繼電器。

4.2 目標RRF分值與實際計算分值相差較遠，甚至不在一個數(shù)量級時

按照國外工程公司經(jīng)驗，驗算通不過的基本為SIL2以及以上的回路，針對目標RRF值大于200的SIF，當上述方法明顯無效時，多數(shù)情況下可以通過改變儀表的架構(gòu)，修改執(zhí)行機構(gòu)為1oo2的冗余配置，問題基本都能夠解決。

更合理的解決方案是想辦法降低SIF回路的目標RRF分值，如上第3節(jié)所述，直接將SIL等級降級，從根源上能解決一切驗證不通過的難題。所以在SIL定級時，如果沒有考慮足夠多的IPL，此時還需要繼續(xù)請工藝一起來分析工藝變更的可能性，最好是通過工藝的途徑來解決。由陶氏洋蔥結(jié)構(gòu)可以看出，解決的優(yōu)先級別應(yīng)該從洋蔥層的核心入手：

1)工藝本質(zhì)安全設(shè)計是避免風險發(fā)生的根源，請考慮是否可能修改工藝設(shè)計，本質(zhì)上消除HAZOP分析中危險場景的風險源。

2)與工藝協(xié)商，DCS中是否可能增加有效的控制回路作為IPL，詳見GB/T32857-2016《保護層分析(LOPA)應(yīng)用指南》對該類IPL的詳細要求，通常該類IPL只能找1個。

3)核實和增加工藝變量報警，這個最容易實現(xiàn)，而且?guī)缀醪辉黾邮裁赐顿Y，但是報警要和操作工的響應(yīng)配合使用，且要留給操作工足夠的處理時間。注意多個報警只能算一個IPL。

4)尋找其他帶有SIL等級的SIS聯(lián)鎖作為IPL。根據(jù)GB/T 32857-2016所述，用作IPL的聯(lián)鎖SIL等級越高時，對RRF降低的貢獻越大，很可能將被分析的SIF回路降為沒有SIL等級的要求。

5)請工藝檢查安全閥、爆破片的設(shè)計是否可作為事故場景有效的IPL。

還有最極端的一種可能，無論你使用怎樣的設(shè)計變更行為，包括考慮工藝的保護層，均不能通過驗算，甚至該工藝有史以來從來沒有出現(xiàn)過如此高的SIL等級，這時候必須要從根上尋找原因，如上第3節(jié)所述，可能是HAZOP活動或SIL定級活動中對后果嚴重性評估過高，最終只能通過SIL重新定級來解決。

5 結(jié)束語

從上面分析可以看出，對于一個成熟的工藝，出現(xiàn)SIL驗證不能通過的情況，有些時候是非常難于解決的，無論儀表如何修改，都無法通過驗證，最終還是回到SIL定級的根源來解決問題，所以在HAZOP階段就應(yīng)該花費大量的精力，通過合理的設(shè)計，增加針對消除危險源的措施，形成盡可能多的有效的IPL，保證本質(zhì)安全，而不是將風險的解決全部交給儀表或操作工的管理行為。

國外項目的驗證非常嚴格，最終全部使用訂貨的真實數(shù)據(jù)進行驗算，具有一定的代表意義，供同行參考。