SIL驗證與安全儀表系統(tǒng)的優(yōu)化設計

SIL驗證屬于概率學領域研究范疇，影響失效率的因素多且復雜。文中分析了大概率通過SIL驗證的設計方法及典型回路的規(guī)律，以期對SIL驗證工作有一定的參考價值，盡量避免設計變更同時減少過度設計。SIL定級報告中的關鍵信息1.1安全儀表功能關鍵動作的辨識安全儀表功能（SIF）回路是為了降低特定場景的安全風險而設置的，定級報告中SIF回路的功能描述是工藝設計的完整邏輯要求，包含關鍵動作及附件動作。能夠直接、有效地阻止特定場景不利后果發(fā)生的某個或者一系列動作稱為安全關鍵動作，關鍵動作僅僅對于阻止該特定場景有效。SIL驗證應關注的是關鍵動作，其他的附加動作都屬于非關鍵動作，驗證中不予考慮。如果不能有效辨識安全關鍵動作，大量的執(zhí)行元件將參與SIL驗證，回路架構(gòu)復雜，難以通過驗證。1.2SIF回路架構(gòu)的約束按照國際電工委員會（IEC）及國家標準要求，SIF回路的所有元件架構(gòu)必須對應SIL定級有一定的約束。對于儀表設計，架構(gòu)是基礎。對于SIL３，IEC61511：2016Functionalsafety-safetyinstrumented

systemsfortheprocessindustrysector要求冗余架構(gòu)的硬件故障裕度（HFT）至少不低于１；對于SIL２，雖然沒有強制的冗余架構(gòu)約束，但是實際驗證中發(fā)現(xiàn)，如果要通過SIL２（風險降低因子RRF不低于200）的驗證，非冗余架構(gòu)的切斷閥對采購產(chǎn)品的安全可靠性要求非常高，實際上也很難實現(xiàn)。因此，SIL２及以上的定級，除非先驗使用，否則儀表架構(gòu)宜按照冗余設計。1.3要求平均失效概率很多設計人員都僅僅關注定級報告中的SIL定級，而對與其對應的要求平均失效概率（PF?Davg）理解不到位，甚至忽視該值，實際上該值非常重要。同樣一個SIL定級，同樣的儀表配置，有的能通過驗證，有的不能，關鍵在于該參數(shù)的取值。同一個SIL定級，不同的PFDavg，可能導致不同的設計方法。每個ＳＩＬ定級對應的PFDavg是一個10倍的范圍，當不考慮架構(gòu)約束時，SIL１（RRF為100）和SIL２（RRF為101）實際是一個效果，設計要按照SIL２的方式來進行，同理，SIL２（RRF為1000）的定級儀表要按照SIL３來設計。SIF回路各部件的優(yōu)化設計方法2.1測量元件相對于執(zhí)行元件，測量元件對SIF回路可用性的影響遠大于可靠性，測量元件的采購費用也遠小于閥門。中國石化對單點聯(lián)鎖導致裝置誤停車造成生產(chǎn)波動的問題有規(guī)定，推薦采用２?。不颍橙。布軜?gòu)，誤停車率不屬于文中討論的重點。保證SIF回路高可用性的前提是必須保證其安全性，２?。驳氖Ц怕始s為單臺設備的一半，３?。驳氖Ц怕蕜t為２?。驳钠椒?。對于SIL１以上的SIF回路，２?。彩呛茈y通過驗證的，推薦優(yōu)先采用３取２的架構(gòu)。鑒于當前國內(nèi)廠家證書的收費現(xiàn)狀，建議具備條件的安全儀表系統(tǒng)（SIS）測量元件至少要求SIL２的認證，既不會引起工程投資的過度增加，也不屬于過度設計。優(yōu)先選用智能變送器而不是開關，通過通訊手段實現(xiàn)在線診斷，既不影響在線測量功能，又能隨時進行在線診斷和測試，提高智能儀表的診斷覆蓋率。還可以依據(jù)標準ＮＡＭＵＲＮＥ４３Ｓｔａｎｄａｒｄｉｚａｔｉｏｎｏｆｔｈｅｓｉｇｎａｌｌｅｖｅｌｆｏｒｔｈｅｆａｉｌｕｒｅｉｎ?ｆｏｒｍａｔｉｏｎｏｆｄｉｇｉｔａｌｔｒａｎｓｍｉｔｔｅｒｓ，根據(jù)工藝高可靠性或高可用性要求，實施儀表故障模式設計。SIS的測量元件與基本過程控制系統(tǒng)（BPCS）相互獨立時，推薦在BPCS中設計測量元件測量值與SIS測量值的偏差報警，報警的詳細設計方式與架構(gòu)及故障模式有關，這非常有利于通過驗證，同時不會增加額外投資。2.2邏輯控制器關于邏輯控制器的SIL認證級別，推薦至少比相關SIF回路的最高SIL定級高一個級別，最高可為SIL３。當大量SIF回路的SIL定級都為SIL１僅有１個SIL３時，為了避免整體投資過高，可設計為SIL２的SIS，針對個別SIL３設計單獨的小型專用SIS。例如，經(jīng)常使用的超速保護緊急停車系統(tǒng)或高完整性壓力保護系統(tǒng)ＨＩＰＰＳ等，該方式可節(jié)約投資。原則上，SIS設計首先要執(zhí)行國家關于安全生產(chǎn)的強制性的法律法規(guī)，按強制性條文要求配置獨立SIS來實施要求的聯(lián)鎖動作，然后考慮SIL定級的要求。在SIS設計中應根據(jù)工藝需要在儀表故障模式下實施故障安全型設計、架構(gòu)降級設計及相關旁路設計，并不增加任何硬件的投資，內(nèi)容比較復雜，可參考相關文獻，文中不贅述。邏輯組態(tài)的軟件模塊同樣需要安全認證，軟件與硬件的地位同等重要。2.3執(zhí)行元件鑒于當前實施先驗使用或經(jīng)驗使用時獲取失效數(shù)據(jù)非常困難，以及國內(nèi)閥門廠家SIL證書的設計取費現(xiàn)狀，建議所有SIS的閥門、執(zhí)行機構(gòu)及附件如有條件提供至少SIL２等級的證書。在絕大多數(shù)的典型SIF回路驗證計算中，執(zhí)行元件的PFDavg權重占比基本上都在９０％以上，說明執(zhí)行元件的架構(gòu)設計及單臺設備的PFDavg成為影響是否通過SIL驗證的關鍵因素。雖然單臺閥門要求提供SIL２的證書，但實際上有時候甚至無法通過SIL１的驗證，因為閥門的定級是有條件的，如果證書是在檢驗測試間隔時間為１ａ的條件下取得的，而連續(xù)生產(chǎn)３ａ未實施測試時，閥門的PFDavg會變差，有可能達不到證書的等級。如果SIL１的ＲＲＦ為１００，與SIL２沒有區(qū)別，單臺閥門有可能無法通過SIL２驗證。最重要的是回路中執(zhí)行元件的關鍵動作識別，執(zhí)行元件在SIF回路中的架構(gòu)對是否順利通過驗證至關重要。氣動切斷閥的失效大部分來自于附件及工況，工況及氣路組合的變化很多，當前也只能僅僅計算閥門及電磁閥，附件電磁閥對SIF回路的可用性及可靠性影響較大。推薦２?。奔軜?gòu)的閥門電磁閥采用２取２配置，不推薦同時采用２?。钡呐渲?，可用性不好。當必須采用時，國外公司也有帶電聯(lián)鎖配專用ＤＯ卡實施線路檢測功能提高可用性的優(yōu)化方案，可供參考。當SIF回路由不同系統(tǒng)串接來實現(xiàn)安全功能，例如SIS與壓縮機控制系統(tǒng)（ＣＣＳ）、燃燒器管理系統(tǒng)（ＢＭＳ）等獨立系統(tǒng)聯(lián)動，不能通過驗證時，其主要原因在于不同系統(tǒng)之間的連接是單點連接，成為整個回路可靠性最薄弱的環(huán)節(jié)。優(yōu)化的設計方法是使用３取２表決方式觸發(fā)另一個系統(tǒng)聯(lián)動，該方法解決了很多類似的問題。對于電機類執(zhí)行元件，不可能像閥門一樣設計冗余的電氣系統(tǒng)，遇到了大量SIL２或SIL３聯(lián)鎖機泵無法通過驗證的情況。其原因也多是單點輸出或繼電器為普通繼電器，進行該場景設計時，宜直接使用SIL３或SIL４認證的安全繼電器，使用２取１方式輸出觸發(fā)聯(lián)鎖。對于汽輪機驅(qū)動的壓縮機或泵的緊急停機，SIL２往往也有驗證不通過的情況，不可能像閥門一樣設計冗余的汽輪機系統(tǒng)。設計時，常用的優(yōu)化方法是在汽輪機動力蒸汽管線上增加１個或２個切斷閥，與去ＣＣＳ停壓縮機的速關閥形成２?。被颍橙。钡娜哂嗉軜?gòu)。對于電動閥，常常用于罐區(qū)的緊急切斷，往往不能通過高于SIL１的驗證。當定級為SIL２及以上且沒有氣源時，需使用SIL２或SIL３的電液執(zhí)行機構(gòu)來代替電動執(zhí)行機構(gòu)。即便是SIL１的場景，因為架構(gòu)的原因，儲罐的閥門組是２組以上并聯(lián)時，也有不能通過驗證的情況，此時應當優(yōu)化設計（增加罐根閥聯(lián)鎖）來改變架構(gòu)。對于催化裂化特種閥門等特殊執(zhí)行元件，沒有冗余配置的可能性，只能通過先驗使用或經(jīng)驗使用的方法來通過驗證。讓廠家提供相關數(shù)據(jù)，有特殊執(zhí)行元件的SIF回路應盡量避免SIL３定級，IEC６１５１１有強制冗余的約束，優(yōu)化工藝設計或增加保護層降級是合理的解決方案。對于執(zhí)行元件的架構(gòu)，很多工藝設計可以根據(jù)關鍵動作的邏輯關系來優(yōu)化。例如定級為SIL２及SIL３的加熱爐聯(lián)鎖，每路主燃氣支路都設計了２個切斷閥，但還是經(jīng)常不能通過驗證，此時應優(yōu)化工藝設計，在主路上增加１個或２個切斷閥，同時與每個支路的閥一起動作，該優(yōu)化方案最經(jīng)濟。調(diào)節(jié)閥是否也可以通過聯(lián)鎖的方式來參與驗證，從而節(jié)約投資，應該由項目組或項目危險與可操作性分析（ＨＡＺＯＰ）來決策。當工藝調(diào)節(jié)閥同時作為SIS回路的執(zhí)行元件時，該調(diào)節(jié)回路在相關場景的風險分析中不能視為獨立保護層。2.4輔助元件在實際項目中發(fā)現(xiàn)，輔助元件很容易被忽視從而成為影響驗證的關鍵因素。如果項目原則允許，SIL２及以上定級的設計可優(yōu)先采用隔爆型儀表來減少安全柵環(huán)節(jié)。當必須是本質(zhì)安全設計時，選擇帶SIL２及以上證書的安全柵，繼電器也盡量選擇配置SIL３及以上認證的安全繼電器，輔助元件的價格比現(xiàn)場儀表低很多，盡量選擇可靠性高的元件，使之不成為影響驗證的關鍵因素。2.5典型回路經(jīng)驗架構(gòu)驗證能否通過還與很多其他因素有關，重點關注回路中失效率最高的部件，優(yōu)化設計的目標是使投資最高的設備成為驗證的關鍵路徑。表１為典型可通過SIL驗證的SIF回路的經(jīng)驗架構(gòu)，忽略了可靠性遠高于其他元件的邏輯控制器以及苛刻的工藝工況。由于設備的質(zhì)量也影響驗證，表１的架構(gòu)為大概率可通過驗證的經(jīng)驗案例，僅供參考。１）測試周期不可調(diào)的按照36個月設計；２）未提及執(zhí)行機構(gòu)電磁閥配置為１?。?。對于典型儲運罐區(qū)等非連續(xù)生產(chǎn)工藝的單元或裝置，可以在設備不投用時進行測試，測試周期是可以調(diào)整的，推薦最短不少于６個月。當工藝裝置連續(xù)生產(chǎn)時，推薦SIL３場景的閥門都帶部分行程測試功能，調(diào)整檢驗測試間隔時間。無論如何，通過SIL３驗證都是非常困難的。如果Ｂ類儀表設備的可靠性指標安全失效分數(shù)（SFF）不能超過９０％，ＩＥＣ６１５０８

強制要求架構(gòu)約束HFT為２。應盡量避免定級為SIL３。如果定級為SIL３，優(yōu)先尋找盡量多的獨立保護層；如果沒有獨立保護層，需要