安全度等級(jí)評(píng)估計(jì)算軟件的設(shè)計(jì)與實(shí)現(xiàn)

1、安全度等級(jí)評(píng)估計(jì)算軟件的設(shè)計(jì)與實(shí)現(xiàn)尹永娟，左信（中國石油大學(xué)（北京），北京，102249）摘要：本文對(duì)安全儀表系統(tǒng)（SIS）的功能結(jié)構(gòu)進(jìn)行了分析，并提出了SIS的安全度等級(jí)評(píng)估計(jì)算軟件的設(shè)計(jì)方案。該軟件選擇了故障樹分析的計(jì)算方法，采用VB6.0和Access數(shù)據(jù)庫進(jìn)行了軟件的開發(fā)實(shí)現(xiàn)。該軟件既可用于SIS的設(shè)計(jì)階段，也可用于已有SIS的評(píng)價(jià)階段，并可生成報(bào)告。具有界面友好，使用方便等優(yōu)點(diǎn)。關(guān)鍵詞：安全儀表系統(tǒng)；安全度等級(jí)；評(píng)估計(jì)算；功能安全；故障樹分析中圖分類號(hào)：TP311 文獻(xiàn)標(biāo)識(shí)碼：BThe Design and Implementation of SIL Calculation Asse

2、ssment SoftwareYin Yongjuan, Zuo Xin (China University of Petroleum -Beijing ,102249)Abstract: A novel SIL (SIL-Safety Integrity Level) Calculation Assessment Software has been presented in this paper. Based on VB6.0 and access database, and using fault Tree Analysis met- hod, the software can be us

3、ed not only in the designing phases, but the assessment phases of SIS (Safety Instrumented System), and report can be generated. Whats more, the novel software has friendly interface, and can be used conveniently.Key words：safety instrumented system (SIS); safety integrity level (SIL); calculation a

4、ssessment; functional safety; fault tree analysis 安全儀表系統(tǒng)(SIS-Safety Instrumented System)是獨(dú)立于基本過程控制系統(tǒng)BPCS（Basic Process Control System）的安全控制系統(tǒng)。主要作用是防止危險(xiǎn)事件的發(fā)生，或者降低可能產(chǎn)生的嚴(yán)重后果。鑒于其在工業(yè)中的重要作用，對(duì)其本身的安全研究就顯得尤為重要。為了確定安全儀表系統(tǒng)的可靠性，也就是確定其實(shí)現(xiàn)功能安全的能力，必須對(duì)石油化工等工業(yè)過程領(lǐng)域安全儀表系統(tǒng)進(jìn)行評(píng)估，確定其安全度完整性等級(jí)（SIL-Safety Integrity Level）。由于手

5、工建模和對(duì)SIS的SIL計(jì)算常常費(fèi)時(shí)費(fèi)力，且容易出錯(cuò)，所以應(yīng)用計(jì)算機(jī)，應(yīng)用軟件來計(jì)算是十分必要的。目前對(duì)SIL計(jì)算的軟件，如加拿大ACM自動(dòng)化有限公司的SilCore(SilCore是一個(gè)國際化的專業(yè)驗(yàn)證工具，適用于IEC標(biāo)準(zhǔn)的SIL生命周期工具)軟件，該軟件利用的是風(fēng)險(xiǎn)圖和保護(hù)層分析法，實(shí)現(xiàn)了SIL需求計(jì)算和評(píng)估計(jì)算；還有德國HIMA的SILence(SILence是第一個(gè)被德國TÜV承認(rèn)的計(jì)算SIL的軟件，由HIMA制作)軟件，該軟件是SIL的評(píng)估計(jì)算，主要特色是他們的邏輯控制元件均是自己公司的產(chǎn)品，包括 H41q和H51q1等,也可以創(chuàng)建自己的邏輯元件；而國內(nèi)目前還沒有這方面的

6、軟件出現(xiàn)在市場(chǎng)上，所以開發(fā)此種軟件勢(shì)在必行。本軟件采用的算法是故障樹分析方法，對(duì)安全儀表系統(tǒng)各模塊可能的冗余結(jié)構(gòu)進(jìn)行了故障樹分析，并依據(jù)國際標(biāo)準(zhǔn)IEC615 08，給出了相應(yīng)的計(jì)算公式，最終實(shí)現(xiàn)了對(duì)SIS的SIL評(píng)估計(jì)算的計(jì)算機(jī)應(yīng)用。本文介紹了此軟件的設(shè)計(jì)與實(shí)現(xiàn)。作者簡介：尹永娟（1981-），女，吉林省德惠人，2005年畢業(yè)于遼寧石油化工大學(xué)、自動(dòng)化專業(yè)，現(xiàn)中國石油大學(xué)，碩士在讀，研究方向：安全儀表系統(tǒng)的評(píng)價(jià)1 安全儀表系統(tǒng)及其功能結(jié)構(gòu)安全儀表系統(tǒng)也稱為安全連鎖系統(tǒng)（Safety Interlocks）, 緊急停車系統(tǒng)（Emergency Shutdown System，ESD）等等。屬于一

7、個(gè)專門類別的由儀表構(gòu)成的安全相關(guān)系統(tǒng)，也稱之為儀表型安全相關(guān)系統(tǒng)，或執(zhí)行安全功能的儀表系統(tǒng)。主要由傳感器、控制器、執(zhí)行機(jī)構(gòu)組成，由國際電工委員會(huì)(IEC)標(biāo)準(zhǔn)IEC 61508及IEC 61511定義的專門用于安全的控制系統(tǒng)。一個(gè)SIS按功能可分為多個(gè)功能子系統(tǒng)，但是每個(gè)子系統(tǒng)都公用同一個(gè)模塊，在這里指的就是控制器模塊（其實(shí)他們公用的還有其他 ）。由傳感器模塊，控制器模塊，執(zhí)行器模塊構(gòu)成了SIS的一個(gè)功能子系統(tǒng)，一個(gè)功能子系統(tǒng)或者多個(gè)功能子系統(tǒng)可以構(gòu)成一個(gè)完整的SIS系統(tǒng)。也可能包括一下三種情況：1，一個(gè)傳感器模塊對(duì)應(yīng)一個(gè)執(zhí)行器模塊構(gòu)成一個(gè)SIS；2，多個(gè)傳感器模塊對(duì)應(yīng)1個(gè)執(zhí)行器模塊構(gòu)成一個(gè)S

8、IS，如壓力和溫度傳感器，當(dāng)壓力達(dá)到一個(gè)限定并且溫度也達(dá)到一個(gè)限定的時(shí)候，對(duì)應(yīng)的閥動(dòng)作；3，一個(gè)傳感器模塊對(duì)應(yīng)著多個(gè)執(zhí)行機(jī)構(gòu)模塊，構(gòu)成一個(gè)SIS。其功能結(jié)構(gòu)如下圖所示 圖1 安全儀表系統(tǒng)的功能結(jié)構(gòu)此軟件傳感器部分可以通過選擇開關(guān)的通斷來選擇所需的冗余結(jié)構(gòu)，控制器的參數(shù)在出廠時(shí)已經(jīng)標(biāo)定，他們的PFD和SIL已經(jīng)是確定的了，無需我們?cè)偃ビ?jì)算評(píng)論，而執(zhí)行機(jī)構(gòu)由電磁閥和切斷閥所組成，在這里通過選擇各自的冗余來構(gòu)成不同的閥結(jié)構(gòu)。該軟件只應(yīng)用了常用的三種閥結(jié)構(gòu)（1oo1閥系統(tǒng)，1oo2閥系統(tǒng)，1oo2電磁閥和1oo1切斷閥串聯(lián)）。2 安全度等級(jí)的評(píng)估計(jì)算SIL是一個(gè)描述安全儀表系統(tǒng)安全功能失效概率的指標(biāo)，

9、即當(dāng)要求它起作用時(shí)它不能起作用的概率。SIL的計(jì)算按BP GP 30-805的安全生命周期來劃分可以包括需求計(jì)算和評(píng)估計(jì)算兩種。需求計(jì)算是針對(duì)工藝過程和基本過程控制系統(tǒng)以及一般的保護(hù)層的計(jì)算。分析工藝過程以及控制系統(tǒng)可能存在的一些風(fēng)險(xiǎn)因素，然后考慮一般保護(hù)層是否能夠滿足生產(chǎn)可容忍的風(fēng)險(xiǎn)，如果一般保護(hù)層能夠滿足需求，則無需考慮SIS；如果不能滿足，則確定所需SIS的SIL，然后進(jìn)行設(shè)計(jì)。評(píng)估計(jì)算是針對(duì)設(shè)計(jì)完成或已經(jīng)投入使用的SIS，確定其實(shí)現(xiàn)安全功能的能力，計(jì)算安全度等級(jí)，評(píng)價(jià)其是否滿足設(shè)計(jì)要求和降低風(fēng)險(xiǎn)的要求。此軟件是SIL的評(píng)估計(jì)算軟件，在對(duì)SIS進(jìn)行SIL的評(píng)估計(jì)算時(shí)，需要計(jì)算平均要求時(shí)失

10、效概率（PFDavg-average probability of failure on demand）。2.1 SIL的計(jì)算方法常用的SIL計(jì)算方法，分為定量和定性2種方法，定性的方法如風(fēng)險(xiǎn)圖2等；而定量的方法如，故障樹分析法（FTA-Fault Tree Analysis）14，馬爾可夫模型分析法（Markov Model）14，事件樹分析法（ETA - Event Tree Analysis）4等。該軟件采用了故障樹分析計(jì)算方法，它是一種以不希望發(fā)生的事件為最后狀態(tài)，然后使用系統(tǒng)分析的方法尋找造成這一狀態(tài)的一系列故障，分析不希望發(fā)生的事故是由哪些原因造成的。對(duì)安全儀表系統(tǒng)而言，頂事件即安

11、全儀表系統(tǒng)功能失效，不完整的故障樹分析如下圖所示： 圖 2 不完整安全儀表系統(tǒng)失效故障樹2分別對(duì)各子系統(tǒng)的故障樹分析由于篇幅所限，此不作進(jìn)一步詳述。在此給出SIL和PFDavg的對(duì)應(yīng)關(guān)系，如下圖所示23：表1 IEC61508/IEC61511的安全度等級(jí)劃分（低要求模式）SIL40.000130.001-0.000120.01-0.00110.1-0.012.3 所需參數(shù)及冗余結(jié)構(gòu)1SIL評(píng)估計(jì)算時(shí)的輸人參數(shù)有:廠家，型號(hào)，對(duì)控制器和執(zhí)行器需要選擇冗余結(jié)構(gòu)，危險(xiǎn)失效率(1/小時(shí))，故障診斷覆蓋率DC（Diagnostic Coverage），檢測(cè)周期TI(Test Interval)，實(shí)際修

12、復(fù)時(shí)間RT (Repair Time)，危險(xiǎn)未檢測(cè)的共模故障系數(shù)，危險(xiǎn)可檢測(cè)故障的共模故障系數(shù)。冗余結(jié)構(gòu)有：1oo1，1oo1D，1oo2，1oo2D，2oo2，2oo2D，2oo3，2oo3D，2oo4，2oo4D(“oo”相當(dāng)于out of)。由于篇幅所限，這里不列出各冗余結(jié)構(gòu)的故障樹分析圖以及其對(duì)應(yīng)的計(jì)算公式。3 SIL評(píng)估計(jì)算軟件功能依據(jù)SIS的結(jié)構(gòu)特點(diǎn)，以及實(shí)現(xiàn)的功能安全，該軟件可以實(shí)現(xiàn)以下主要功能：1）用戶可以創(chuàng)建自己的SIS系統(tǒng)，并可以對(duì)系統(tǒng)以及子系統(tǒng)進(jìn)行維護(hù)，不同的SIS系統(tǒng)有各自的文件夾，相互獨(dú)立、互不影響；2）可以根據(jù)用戶需要，對(duì)傳感器，控制器，執(zhí)行器進(jìn)行各自的冗余設(shè)定，根

13、據(jù)用戶需求或?qū)嶋HSIS系統(tǒng)的情況添加需要的參數(shù)；3）傳感器部分不僅可以給出整體冗余結(jié)構(gòu)的PFD和SIL值，也可以查詢?nèi)哂嘞到y(tǒng)中每一單一元件的PFD和SIL值，可以進(jìn)行參考比較；4）在一個(gè)工程中，可以切換到不同的系統(tǒng)進(jìn)行設(shè)定，盡管他們公用一個(gè)控制器模塊，但彼此間相互獨(dú)立，互不影響；5）在完成SIS的一個(gè)功能系統(tǒng)設(shè)定后，切換到“計(jì)算”界面，可以非常清楚的看到子系統(tǒng)，各個(gè)模塊，各元件的PFD和SIL ，令人一目了然；6）在完成整個(gè)SIS的設(shè)定后，可以切換到歷史記錄界面，歷史記錄包括目前庫的“日期/時(shí)間”，“作者”和“評(píng)論”。從左面的歷史清單中，用戶可以挑選想看的記錄。僅僅當(dāng)前的庫歷史記錄可能被改變，

14、所有其它條款寫保護(hù)。7）打開一個(gè)已經(jīng)存在的工程，進(jìn)行查看編輯8）可以生成計(jì)算結(jié)果清單，記錄評(píng)論清單，整個(gè)SIS的各個(gè)功能的系統(tǒng)圖形清單，并可以打印出來，輸出格式有PDF，Word和Excel形式。4 SIL評(píng)估計(jì)算軟件設(shè)計(jì)4.1系統(tǒng)模塊組成SIL評(píng)估計(jì)算軟件包括SIL計(jì)算模塊，歷史記錄模塊和后臺(tái)數(shù)據(jù)庫。4.2 數(shù)據(jù)庫該軟件為單機(jī)桌面運(yùn)行，后臺(tái)數(shù)據(jù)庫采用的是Access，數(shù)據(jù)庫需要保存的信息包括，用戶信息，PFD和SIL計(jì)算結(jié)果以及相關(guān)的參數(shù)，開關(guān)的通斷，工程評(píng)論等。如果有足夠全面的故障率手冊(cè)，可以制成大型的數(shù)據(jù)庫，并允許用戶建立常用的設(shè)備故障率數(shù)據(jù)庫，且允許用戶進(jìn)行修改來反映真實(shí)的故障率。可以

15、應(yīng)用Microsoft SQL Server 進(jìn)行網(wǎng)絡(luò)版開發(fā)，使得軟件的可靠性，應(yīng)用性更強(qiáng)。5 軟件使用步驟依據(jù)圖1的SIS，應(yīng)用該軟件對(duì)其進(jìn)行計(jì)算。具體步驟如下：1）運(yùn)行該軟件，選擇文件，新建工程，啟動(dòng)工程對(duì)話框；2）右鍵點(diǎn)擊工程名，新建系統(tǒng)，啟動(dòng)系統(tǒng)對(duì)話框；3）在系統(tǒng)界面，選擇傳感器的冗余結(jié)構(gòu)，右鍵設(shè)定參數(shù)，點(diǎn)擊計(jì)算按鈕，計(jì)算出傳感器模塊的PFD，SIL。對(duì)控制器和執(zhí)行器右鍵設(shè)定參數(shù)，其他同傳感器操作；4）點(diǎn)擊運(yùn)行按鈕，點(diǎn)擊計(jì)算界面，將出現(xiàn)整個(gè)系統(tǒng)，各模塊以及各元件的PFD和SIL值；5）點(diǎn)擊歷史記錄界面，時(shí)間，版本，作者系統(tǒng)將自動(dòng)鍵入，評(píng)論由作者填寫；6）右鍵點(diǎn)擊工程名，可以再建一新系統(tǒng)

16、，進(jìn)行(3),(4)的操作，實(shí)現(xiàn)系統(tǒng)的各功能評(píng)價(jià)；7）選擇文件，打開工程，可以修改已建工程。軟件主要界面如下： 圖3 系統(tǒng)界面 圖4 計(jì)算結(jié)果界面圖5 歷史記錄界面6 總結(jié) SIL評(píng)估計(jì)算軟件工具可以幫助用戶快速、準(zhǔn)確的對(duì)SIS的功能安全進(jìn)行評(píng)價(jià)，確定其安全度等級(jí)。采用定量的分析方法，幫助SIS的設(shè)計(jì)者和評(píng)估者。對(duì)設(shè)計(jì)者，如達(dá)不到需求的SIL，則可進(jìn)行再設(shè)計(jì)，如達(dá)到也可更換其它設(shè)計(jì)方案，進(jìn)行比較，達(dá)到設(shè)計(jì)的最優(yōu)化；對(duì)評(píng)價(jià)者，如SIS的SIL達(dá)不到他的功能要求，可以重新設(shè)置裝置，以免發(fā)生重大災(zāi)難。此計(jì)算方法遵從IEC標(biāo)準(zhǔn)，可以保證計(jì)算結(jié)果的可靠性，達(dá)到應(yīng)用的可信賴度。該軟件只是對(duì)SIL評(píng)估計(jì)算的

17、軟件實(shí)現(xiàn)，應(yīng)加上SIL的需求計(jì)算，成為一個(gè)更完整，更全面的評(píng)價(jià)軟件。參考文獻(xiàn)：1 Josef Börcsök. Electronic Safety Systems, Hard- ware Concepts, Models and Calculations M. 2004.3284272 IEC61508, Functional Safety of Electrical/ Electronic/ Programmable Electronic Safety-Related SystemS.1998 3 IEC61511, Functional Safety-Safety Instrumented Systems for the process Industry sectorS