中國石油管道局工程有限公司國際事業(yè)部，河北 廊坊

1.引言

2019 年12 月9 日，國家石油天然氣管網(wǎng)集團(tuán)有限公司(簡(jiǎn)稱國家管網(wǎng)公司)在北京正式成立，預(yù)計(jì)國內(nèi)油氣管網(wǎng)建設(shè)將再次掀起建設(shè)高峰。目前我國累計(jì)建設(shè)的油氣長(zhǎng)輸管道里程已經(jīng)達(dá)13.6 萬公里，油氣管道總里程在2020 年將超過15 萬公里。隨著我國油氣管道里程的不斷增長(zhǎng)，油氣管道的安全運(yùn)行也越來越受到國家的重視，目前，油氣管道建設(shè)上普遍采用安全儀表系統(tǒng)實(shí)現(xiàn)安全保護(hù)功能或安全控制功能，安全儀表系統(tǒng)的設(shè)計(jì)也已經(jīng)實(shí)現(xiàn)規(guī)范化，其中，安全完整性等級(jí)(SIL)是安全儀表系統(tǒng)的一個(gè)重要指標(biāo)[1]。

中國于2007 年依據(jù)IEC 61508 和IEC 61511 發(fā)布了GB/T 20438-2006《電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全》和GB/T 21109-2007《過程工業(yè)領(lǐng)域安全儀表系統(tǒng)的功能安全》，是國內(nèi)安全儀表系統(tǒng)SIL 評(píng)估工作的依據(jù)[2]。近年來，石油化工行業(yè)通常要求對(duì)工藝儀表流程圖進(jìn)行HAZOP (危險(xiǎn)與可操作性分析Hazard and Operability Study)定性分析和LOPA (保護(hù)層分析Layer of Protection Analysis)半定量分析，從而確定重大風(fēng)險(xiǎn)的SIL 等級(jí)，然后選擇設(shè)備，選擇子系統(tǒng)的冗余結(jié)構(gòu)，驗(yàn)證SIL 等級(jí)是否符合要求，完成儀表 SIL 等級(jí)設(shè)計(jì)[3]。

同時(shí)，國內(nèi)標(biāo)準(zhǔn)GB/T50770-2013《石油化工安全儀表系統(tǒng)設(shè)計(jì)規(guī)范》，GB/T32202-2015《油氣管道安全儀表系統(tǒng)的功能安全評(píng)估規(guī)范》，GB/T32203-2015《油氣管道安全儀表系統(tǒng)的功能安全驗(yàn)收規(guī)范》，對(duì)于安全儀表系統(tǒng)的設(shè)計(jì)、評(píng)價(jià)有著非常重要的指導(dǎo)作用[4]，這些標(biāo)準(zhǔn)對(duì)安全儀表系統(tǒng)不同SIL 等級(jí)的子元件冗余設(shè)置做了對(duì)應(yīng)要求，并在油氣管道行業(yè)中得到越來越多的應(yīng)用。

2.SIL 與平均失效概率

安全儀表系統(tǒng)是為防止、減少危險(xiǎn)事件發(fā)生或保持過程安全狀態(tài)，實(shí)現(xiàn)安全保護(hù)或安全控制的控制系統(tǒng)，安全儀表系統(tǒng)主要由測(cè)量?jī)x表、邏輯控制器和最終元件三個(gè)子部分并配合相應(yīng)的軟件組成[5]。通常，各部分均應(yīng)采用具有相應(yīng)SIL 等級(jí)認(rèn)證的設(shè)備[6]。

SIL 等級(jí)是一種量化預(yù)期或要求的安全水平的分級(jí)方式，即在一定時(shí)間、一定條件下，安全相關(guān)系統(tǒng)執(zhí)行期所規(guī)定的安全功能的可能性。選擇安全完整性水平的目的是通過降低風(fēng)險(xiǎn)發(fā)生的概率，把系統(tǒng)的風(fēng)險(xiǎn)降低到可以接受的水平。國際標(biāo)準(zhǔn)中常由每小時(shí)發(fā)生的平均失效概率(PFDavg)來確定，共分為SIL1到SIL4 這四個(gè)等級(jí)，SIL 等級(jí)級(jí)別越高要求其危險(xiǎn)失效概率越低，系統(tǒng)的SIL 等級(jí)可以通過IEC61508和IEC61511 來進(jìn)行SIL 驗(yàn)證。其中，SIL 等級(jí)與平均失效概率之間的對(duì)應(yīng)關(guān)系見表1。

Table 1.Safety integrity level requirements in low requirement operation mode表1.SIL 等級(jí)與平均失效概率對(duì)應(yīng)表

安全儀表系統(tǒng)安全功能的平均失效概率，是通過計(jì)算和組合提供安全功能的所有子系統(tǒng)在要求時(shí)間的平均失效概率通過公式(1)中計(jì)算確定的，公式可以表示為：

式中：

PFDSYS：安全儀表系統(tǒng)的安全功能在要求時(shí)的平均失效概率；

PFDS：測(cè)量?jī)x表子系統(tǒng)要求的平均失效概率；

PFDL：邏輯控制器子系統(tǒng)要求的平均失效概率；

PFDFE：最終元件子系統(tǒng)要求的平均失效概率[7]。

由此可以看出，安全儀表系統(tǒng)中某個(gè)安全儀表回路的SIL 等級(jí)由各子部分SIL 等級(jí)的最低級(jí)所限定，如果三個(gè)部分中最低的SIL 等級(jí)為SIL2，即使其他兩個(gè)部分的SIL 等級(jí)均為SIL3，則整個(gè)回路的SIL 等級(jí)是SIL2 或甚至SIL1。

需要注意的是，平均失效概率是安全儀表系統(tǒng)SIL 等級(jí)的重要指標(biāo)，但并不是唯一的衡量指標(biāo)，對(duì)安全儀表系統(tǒng)的指標(biāo)要求還有其他3 個(gè)要求：硬件故障裕度要求、系統(tǒng)失效避免及控制要求和軟件要求，需要也達(dá)到這3 個(gè)要求，才能認(rèn)為安全儀表回路滿足了對(duì)應(yīng)的SIL 等級(jí)要求。

其中，系統(tǒng)失效避免及控制要求是一個(gè)原則性要求，要求安全儀表系統(tǒng)選用的設(shè)備具備對(duì)應(yīng)的系統(tǒng)失效避免及控制方法[8]。系統(tǒng)失效是由其他原因而非性能自然退化導(dǎo)致的失效，系統(tǒng)失效起因可歸結(jié)為3 類：

1) 應(yīng)力失效：元件在正常操作中超過了設(shè)計(jì)允許條件，導(dǎo)致應(yīng)力超限的系統(tǒng)失效；

2) 設(shè)計(jì)失效：系統(tǒng)在投產(chǎn)之前的設(shè)計(jì)、生產(chǎn)、購買或安裝中出現(xiàn)失誤導(dǎo)致的系統(tǒng)失效；

3) 運(yùn)行失效：系統(tǒng)在投產(chǎn)后，運(yùn)行人員在設(shè)備保養(yǎng)維護(hù)、維修測(cè)試中，運(yùn)行人員出現(xiàn)工作失誤導(dǎo)致的系統(tǒng)失效。

對(duì)于系統(tǒng)失效避免及控制要求，我們可以通過嚴(yán)守設(shè)計(jì)流程、選用帶SIL 認(rèn)證設(shè)備、制定合理運(yùn)維章程或提高人員工作水平來控制設(shè)計(jì)生產(chǎn)、購買安裝、保養(yǎng)維護(hù)、維修測(cè)試等可能出現(xiàn)的問題，從而避免系統(tǒng)失效。

軟件要求也是一個(gè)原則性要求，相對(duì)比較簡(jiǎn)單，需要軟件的編譯環(huán)境為對(duì)應(yīng)SIL 等級(jí)的編譯程序的軟件、固件，并對(duì)編譯程序的管控、測(cè)試進(jìn)行對(duì)應(yīng)的強(qiáng)化。

安全儀表回路的這2 種要求均為原則性指標(biāo)，在本文中不再多加論述，下面將著重對(duì)硬件故障裕度要求進(jìn)行探討。

3.SIL 與硬件故障裕度要求

硬件故障裕度要求為半定量要求，取決于安全儀表回路的安全失效分?jǐn)?shù)(SFF)，是對(duì)元件冗余的最低要求，即某回路的PFD avg 符合該回路的SIL 需求，但是如果組成該回路的硬件不能滿足硬件故障裕度要求，該回路也不符合SIL 的要求。IEC 61508-2-2010 中對(duì)邏輯控制器的硬件故障裕度要求見表2 [9]。

Table 2.Safety integrity level requirements in low requirement operation mode表2.邏輯控制器的硬件故障裕度要求

表2 指明了安全儀表回路中邏輯控制器的硬件結(jié)構(gòu)構(gòu)成方式是否需要采用硬件冗余，根據(jù)邏輯控制器的安全失效分?jǐn)?shù)，找到對(duì)應(yīng)的行即可確定對(duì)應(yīng)SIL 等級(jí)的硬件故障裕度，即需要多少數(shù)量的冗余設(shè)備。

可以看出，相應(yīng)的SIL 等級(jí)的邏輯控制器對(duì)應(yīng)著相應(yīng)的硬件故障裕度，即相應(yīng)的冗余設(shè)備數(shù)量，同時(shí)，增加安全儀表回路中某子部分的硬件故障裕度可以提升該子部分的SIL 等級(jí)[10]-[16]。

4.國內(nèi)安全儀表系統(tǒng)邏輯控制器冗余要求

目前國內(nèi)常用的GB/T 50770-2013《石油化工安全儀表系統(tǒng)設(shè)計(jì)規(guī)范》，規(guī)定石油化工工廠或裝置的SIL 等級(jí)最高為SIL3 級(jí)。規(guī)范中對(duì)邏輯控制器的冗余設(shè)置要求為：SIL1 級(jí)安全儀表功能，可采用冗余邏輯控制器；SIL2 級(jí)安全儀表功能，宜采用冗余邏輯控制器；SIL3 級(jí)安全儀表功能，應(yīng)采用冗余邏輯控制器。

同時(shí)，在國內(nèi)某管道行業(yè)設(shè)計(jì)單位的油氣管道行業(yè)安全儀表系統(tǒng)技術(shù)規(guī)格書中，對(duì)邏輯控制單元的冗余設(shè)置的準(zhǔn)則為：對(duì)于SIL1 級(jí)安全儀表系統(tǒng)，可采用單一的邏輯控制單元；對(duì)于SIL2 級(jí)安全儀表系統(tǒng)，宜采用冗余的邏輯控制單元。如采用可編程邏輯控制器，其中央處理單元、電源模塊及通訊網(wǎng)絡(luò)與接口等宜冗余設(shè)置；對(duì)于SIL3 級(jí)安全儀表系統(tǒng)，應(yīng)采用冗余的邏輯控制單元。如采用可編程序邏輯控制器，其中央處理單元、電源模塊、輸入/輸出模塊及通訊網(wǎng)絡(luò)與接口等應(yīng)冗余設(shè)置。

根據(jù)表2，SIL1～SIL3 級(jí)的邏輯控制器冗余要求解釋如下：

一般來說，邏輯控制器的SFF 應(yīng)為90%～99%。SIL1 級(jí)要求的硬件故障裕度為0，用1 臺(tái)邏輯控制器即可滿足，所以技術(shù)規(guī)格書規(guī)定SIL1 級(jí)的安全儀表回路可采用單一的邏輯控制器；即使邏輯控制器的SFF <90%，SIL1 級(jí)的安全儀表回路也可以采用單一的邏輯控制器。

SIL2 級(jí)要求的硬件故障裕度為0，SIL2 級(jí)安全儀表回路可以用1 臺(tái)邏輯控制器，所以技術(shù)規(guī)格書規(guī)定SIL2 級(jí)的安全儀表回路宜采用冗余的邏輯控制器，并沒有強(qiáng)制要求邏輯控制器冗余。

SIL3 級(jí)要求的硬件故障裕度為1，因此技術(shù)規(guī)格書規(guī)定SIL3 級(jí)的安全儀表回路應(yīng)采用冗余的邏輯控制器，在此處有強(qiáng)制要求邏輯控制器冗余。

5.阿美公司ESD 系統(tǒng)邏輯控制器冗余和SIL 要求

阿美公司的ESD 系統(tǒng)技術(shù)規(guī)格標(biāo)準(zhǔn)中，要求供應(yīng)商制造的由模塊、操作系統(tǒng)軟件和固件組成的ESD設(shè)備應(yīng)符合IEC 61508 的SIL3 等級(jí)要求，甚至通信介質(zhì)(例如：光纜)應(yīng)為物理和邏輯的專用設(shè)備，不得用于其他非ESD 功能，且不可以包括其他非ESD 網(wǎng)絡(luò)的橋接、路由器或交換機(jī)，除非它們是TUV 認(rèn)證的SIL3 安全通信網(wǎng)絡(luò)的一部分。并且要求ESD 系統(tǒng)必須使用冗余體系結(jié)構(gòu)進(jìn)行配置，即雙模塊冗余DMR-ESD (1oo2D)表決架構(gòu)或三模塊冗余TMR-ESD (2oo3)表決架構(gòu)。

雙模塊冗余(1oo2D 配置)：ESD 系統(tǒng)使用兩個(gè)單獨(dú)的處理器，每個(gè)處理器具有自己的單獨(dú)的I/O 模塊，總線結(jié)構(gòu)，機(jī)箱，軟件和電源，以1oo2 布置對(duì)輸入信號(hào)進(jìn)行表決。

三重模塊化冗余ESD (TMR，2oo3 配置)：TMR 配置的ESD 系統(tǒng)采用3 個(gè)處理器，這些處理器與三重I/O，總線結(jié)構(gòu)，機(jī)箱和軟件并行運(yùn)行，每個(gè)處理器同時(shí)且獨(dú)立地執(zhí)行其各自的應(yīng)用程序，驗(yàn)證數(shù)據(jù)，執(zhí)行邏輯指令，控制計(jì)算，時(shí)鐘和表決器/同步信號(hào)以及執(zhí)行全面的系統(tǒng)診斷和差異監(jiān)控。流程輸出通過三重路徑發(fā)送到輸出模塊，在此處對(duì)其進(jìn)行表決(2oo3)，以確保邏輯和輸出完整性。

因此，阿美公司ESD 系統(tǒng)標(biāo)準(zhǔn)的控制模塊冗余設(shè)置只有兩種選擇，即雙?？ㄈ哂嗪腿啬K冗余，對(duì)比來講，1oo2 結(jié)構(gòu)可靠性最高，可用性最差，2oo3 結(jié)構(gòu)可用性最好，可靠性較高，并且要求ESD 系統(tǒng)相關(guān)設(shè)備均符合SIL3 等級(jí)要求。

6.結(jié)束語

我們可以看到，平均失效概率是衡量安全完整性等級(jí)的重要指標(biāo)，相應(yīng)的安全完整性等級(jí)對(duì)應(yīng)著相應(yīng)的硬件故障裕度，國內(nèi)常用規(guī)范對(duì)相應(yīng)SIL 等級(jí)安全儀表系統(tǒng)的邏輯控制器冗余做了要求。

同時(shí)，阿美公司的ESD 系統(tǒng)邏輯控制模塊冗余和SIL 等級(jí)要求明顯是高于國內(nèi)規(guī)范要求的，同時(shí)也高于國際標(biāo)準(zhǔn)要求，這固然提高了ESD 系統(tǒng)的安全性，但也給工程建設(shè)帶來了較高的成本，這需要國內(nèi)工程承包商在承接阿美公司項(xiàng)目時(shí)，對(duì)ESD 系統(tǒng)的SIL 等級(jí)要求以及相關(guān)的冗余體系進(jìn)行足夠的重視和注意。