賈英超

(中海油惠州石化有限公司)

安全儀表功能的安全完整性等級選擇與驗(yàn)證方法①

賈英超

(中海油惠州石化有限公司)

結(jié)合IEC61508、IEC61511和相關(guān)資料，介紹安全儀表系統(tǒng)(SIS)、安全儀表功能(SIF)和安全完整性等級(SIL)之間的關(guān)系，并就如何對在役安全儀表系統(tǒng)開展安全儀表功能識別，安全儀表功能的安全完整性等級選擇與驗(yàn)證進(jìn)行了闡述。

安全儀表功能 安全完整性等級 結(jié)構(gòu)約束 要求時的平均失效概率 系統(tǒng)能力

我國目前有大量在役的安全儀表系統(tǒng)(SIS)，由于早期的重視程度不足，絕大多數(shù)存在著功能設(shè)計不合理、選型不當(dāng)及維護(hù)不到位等情況。國家安全監(jiān)管總局的安監(jiān)總管三(2014)116號文件《國家安全監(jiān)管總局關(guān)于加強(qiáng)化工安全儀表系統(tǒng)管理的指導(dǎo)意見》明確了在役裝置SIS的管理方向和目標(biāo)，要求在2019年年底前完成安全儀表系統(tǒng)評估和完善工作。在役SIS可以在HAZOP分析的基礎(chǔ)上利用保護(hù)層分析(Layer of Protection Analysis，LOPA)方法對安全儀表功能(SIF)進(jìn)行識別，并結(jié)合相關(guān)有效數(shù)據(jù)進(jìn)行計算驗(yàn)證，確保安全完整性等級(SIL)能夠?qū)崿F(xiàn)必要的風(fēng)險降低。

1 安全儀表系統(tǒng)與安全儀表功能

IEC61511將SIS定義為用于執(zhí)行一個或多個安全儀表功能的儀表系統(tǒng)。而SIF被定義為由SIS執(zhí)行的、具有特定SIL的安全功能，特指由SIS實(shí)現(xiàn)的安全功能，用于應(yīng)對特定的危險事件，達(dá)到或保持過程的安全狀態(tài)。物理結(jié)構(gòu)上由傳感器、邏輯控制器和最終元件組成，如圖1所示，其最根本的特征是“應(yīng)對特定的危險事件”并實(shí)現(xiàn)必要的風(fēng)險降低[1]。

根據(jù)安全儀表功能失效產(chǎn)生的后果和風(fēng)險，IEC61511將SIF劃分為不同的安全完整性等級(SIL1～SIL4)，但除了極罕見的特殊應(yīng)用，在過程工業(yè)一般的應(yīng)用場合，SIL3是最高等級。在工程實(shí)踐中，當(dāng)過程危險和風(fēng)險分析確認(rèn)需要SIL3以上的完整性時，一般是將應(yīng)對同一危險事件的其他技術(shù)安全系統(tǒng)或外部風(fēng)險減低的績效提高，從而將對SIF的SIL要求降低到SIL3或以下。

圖1 SIF的物理構(gòu)成

SIF是在過程危險和風(fēng)險分析中辨識出來的，目前絕大部分在役的裝置里，沒有現(xiàn)成的SIF列表。但可以依據(jù)P&ID圖、安全儀表聯(lián)鎖邏輯圖、ESD因果圖及HAZOP等資料辨識SIF，如圖2所示[1]，并根據(jù)必要的風(fēng)險降低要求，確定其SIL要求。因此，SIF是進(jìn)行SIL評估的基礎(chǔ)。

圖2 SIF與其他功能的關(guān)系

2 SIF的SIL選擇方法

SIF的SIL選擇方法有很多，有風(fēng)險矩陣、安全層矩陣、風(fēng)險圖、保護(hù)層分析(與HAZOP等配合使用)及事件數(shù)分析(ETA)等。保護(hù)層分析是通過分析事故場景初始事件(IE)、后果和獨(dú)立保護(hù)層(IPL)，對事故場景進(jìn)行半定量評估的一種系統(tǒng)方法。目前對于SIF的SIL定級多采用此種方法。

保護(hù)層分析是在定性危害分析的基礎(chǔ)上，進(jìn)一步評估保護(hù)層的有效性，并進(jìn)行風(fēng)險決策的系統(tǒng)方法。其主要目的是確定是否有足夠的保護(hù)層使風(fēng)險滿足企業(yè)的風(fēng)險標(biāo)準(zhǔn)。LOPA的基本流程(圖3)主要包括[2]：場景識別與篩選；初始事件確認(rèn)；獨(dú)立保護(hù)層評估；場景頻率計算；風(fēng)險評估與決策等。

圖3 LOPA基本流程

場景識別和篩選。選擇需要定級的SIF，可以通過HAZOP分析結(jié)果并結(jié)合P&ID圖、安全儀表聯(lián)鎖邏輯圖等完成識別，正常以后果嚴(yán)重的事件作為場景識別。

選擇事故場景。根據(jù)識別和篩選的SIF逐個開展分析。

初始事件確認(rèn)。初始事件一般包括外部事件、設(shè)備故障和人員失誤。但要注意人員失誤的根原因(如培訓(xùn)不完善)、設(shè)備的不完善測試及維護(hù)等不宜作為IE。

場景頻率計算。由兩部分組成，一是SIF要求時的失效概率，二是不包括SIF的后果可接受頻率。其中不包括SIF時的可接受頻率中如果有其他修正條件，也應(yīng)一并考慮，例如：存在使能事件、采用點(diǎn)火概率、人員暴露及具體傷害等。場景頻率為兩者的乘積。

風(fēng)險評估與計算?？筛鶕?jù)場景頻率計算結(jié)果和后果等級，使用定量數(shù)值風(fēng)險標(biāo)準(zhǔn)、風(fēng)險矩陣等形式進(jìn)行風(fēng)險等級評估，進(jìn)而確定是否可接受。

3 SIL驗(yàn)證

在確定各SIF的SIL后，下一步開展SIL驗(yàn)證。SIF的SIL是將SIF分解為子系統(tǒng)，而一個“子系統(tǒng)”要達(dá)到SILn要同時滿足硬件安全完整性和系統(tǒng)性安全完整性，包括以下3個方面：結(jié)構(gòu)約束至少要達(dá)到SILn；要求時的平均失效概率(PFDavg)要在SILn的范圍之內(nèi)；系統(tǒng)能力(Systematic Capability，SC)至少要達(dá)到SCn。

3.1 結(jié)構(gòu)約束

結(jié)構(gòu)約束的安全完整性由兩個因素共同決定：一是硬件故障裕度(HFT)，即容錯能力，表決從N中取M(MooN)，HFT=N-M，例如：HFT=1，意味著發(fā)生一個危險故障不會導(dǎo)致安全功能喪失；二是安全失效分?jǐn)?shù)(SFF)，它是對危險故障預(yù)發(fā)現(xiàn)能力的一個表量，由安全失效和可被診斷測試檢測到的危險失效共同影響,是導(dǎo)致安全失效率和可檢測出的危險失效率的總和除以總硬件隨機(jī)失效率[1]：

式中λDD——可檢測出的危險失效率；

λDU——不可檢測出的危險失效率；

λSD——可檢測出的安全失效率；

λSU——不可檢測出的安全失效率。

子系統(tǒng)又分為A型和B型，A型子系統(tǒng)是指結(jié)構(gòu)簡單的常用設(shè)備，例如閥門、繼電器及檢測開關(guān)等。B型子系統(tǒng)是指結(jié)構(gòu)復(fù)雜的，或者采用微處理器技術(shù)的設(shè)備，例如可編程邏輯控制器、智能變送器等。子系統(tǒng)結(jié)構(gòu)約束見表1。

表1 子系統(tǒng)結(jié)構(gòu)約束

3.2 要求時的平均失效概率

SIF的SIL驗(yàn)證PFDavg計算，一般是基于IEC61508(GB/T 20438.6-2006)附錄B中的計算方法，SIF分解為子系統(tǒng)，然后將各子系統(tǒng)的PFDavg相加，再判斷其結(jié)果落在哪個SIL范圍。SIL的計算一般使用專門的軟件工具，例如加拿大ACM自動化有限公司的SilCore、德國HIMA的SILence等。安全完整性等級對要求操作模式下的失效概率要求見表2。

表2 安全完整性等級對要求操作模式下的失效概率要求

PFDavg計算所需的設(shè)備可靠性數(shù)據(jù)需要失效率λ或者平均無失效時間(MTTF)、表決機(jī)制、診斷覆蓋率、檢驗(yàn)測試時間間隔(TI)、平均修復(fù)時間(MTTR)和公共原因失效(β)6個方面[1]。這些數(shù)據(jù)可以從日常維護(hù)、第三方評估(由認(rèn)證機(jī)構(gòu)頒發(fā)認(rèn)證證書)、工業(yè)數(shù)據(jù)庫或文獻(xiàn)以及設(shè)備供貨商自我評定的數(shù)據(jù)等方面獲取。最理想的數(shù)據(jù)是認(rèn)證證書中包含的各個數(shù)據(jù)。

3.3 系統(tǒng)能力

系統(tǒng)能力是IEC61508 2.0的概念，用來表征一個組件的系統(tǒng)性安全完整性是否符合指定的SIL要求。系統(tǒng)能力體現(xiàn)在軟件、設(shè)計、安裝、使用及維護(hù)等遵循安全手冊情況。系統(tǒng)能力也分為4個級別，與SIL的4個級別分別對應(yīng)，為SCl～SC4，即一個組件具有SCn，就代表著其系統(tǒng)性安全完整性滿足SILn。這就對制造商提出了更高的技術(shù)要求。

SC概念的提出明確地強(qiáng)調(diào)了SIL并非只與系統(tǒng)冗余程度和安全參數(shù)有關(guān)，同時也與避免和控制系統(tǒng)性失效的措施有效性緊密相關(guān)[3]。當(dāng)使用兩個或多個具有較低SIL的組件來實(shí)現(xiàn)更高SIL時，就必須考慮組合后的系統(tǒng)是否具有足夠的SC。如圖4所示，假如組件1和組件2之間沒有足夠的獨(dú)立性，則系統(tǒng)能力為SC1；若組件1和組件2之間有足夠的獨(dú)立性，即組件1出現(xiàn)系統(tǒng)性故障，不會引起特定的安全功能失效，只有當(dāng)組件2也出現(xiàn)系統(tǒng)性故障時，才會引起特定的安全功能失效，則系統(tǒng)能力可以提高為SC2。

圖4 系統(tǒng)能力示例

相關(guān)的系統(tǒng)性失效機(jī)理取決于組件的特性，比如一個組件單獨(dú)由軟件構(gòu)成，則只需考慮軟件失效機(jī)理；如組件由硬件和軟件構(gòu)成則需要考慮硬件和軟件的失效機(jī)理。

4 簡單示例

在低要求操作模式下一臺進(jìn)料泵出口流量低低聯(lián)鎖關(guān)閉出口切斷閥的一個SIF，結(jié)合HAZOP分析以及分析前建立的安全、環(huán)境及財產(chǎn)相關(guān)事件的可接受頻率等相關(guān)資料，采用LOPA分析得出此SIF為SIL1即可滿足要求,發(fā)生頻率均為次/年，此SIF無獨(dú)立保護(hù)層。

SIF等級選擇見表3。

表3 SIF等級選擇

子系統(tǒng)(圖5)為單通道子系統(tǒng)，按照前述步驟開展驗(yàn)證。

圖5 子系統(tǒng)結(jié)構(gòu)

4.1 結(jié)構(gòu)約束

傳感器子系統(tǒng)。B型子系統(tǒng)，為2oo3結(jié)構(gòu)，HFT=1，根據(jù)失效數(shù)據(jù)計算得到60%

邏輯控制子系統(tǒng)。B型子系統(tǒng)，三重化冗余，參考認(rèn)證證書，結(jié)構(gòu)約束為SIL3。

最終元件執(zhí)行子系統(tǒng)。A型子系統(tǒng)，1oo1結(jié)構(gòu)，HFT=0；根據(jù)失效數(shù)據(jù)計算SFF<60%，此SIF為單通道子系統(tǒng)，結(jié)構(gòu)約束為SIL1。

4.2 PFDavg計算

綜合TI、MTTR、β及λ等數(shù)據(jù)，經(jīng)過軟件計算，傳感器子系統(tǒng)處于SIL2范圍內(nèi)；邏輯控制子系統(tǒng)處于SIL2范圍內(nèi)；最終元件執(zhí)行子系統(tǒng)處于SIL1范圍內(nèi)；整個SIF的PFDavg通過PFD子系統(tǒng)求和得到，處于SIL1范圍內(nèi)，故此SIF的PFDavg為SIL1。

4.3 系統(tǒng)能力

依據(jù)3.3節(jié)的相關(guān)介紹，經(jīng)過綜合分析，得到此SIF的系統(tǒng)能力為SC1。由于此SIF是單通道子系統(tǒng)，根據(jù)IEC61508的規(guī)定，在SIF是由單通道子系統(tǒng)構(gòu)成時，該SIF最大可能的安全完整性等級取決于鏈路上具有最小SIL的子系統(tǒng)，此SIF的安全完整性等級為SIL1，滿足系統(tǒng)要求。

5 結(jié)束語

筆者完整地介紹了對在役安全儀表系統(tǒng)SIF的SIL評估和驗(yàn)證方法，從利用LOPA進(jìn)行有效SIF識別，到通過結(jié)構(gòu)約束、PFDavg和SC三方面綜合驗(yàn)證來確認(rèn)SIL是否滿足要求，為今后安全儀表系統(tǒng)開展SIL評估提供了較為系統(tǒng)的參考。需要注意的是，通常習(xí)慣用PFDavg來表征SIF的SIL，但SIF的SIL卻不僅僅是PFDavg。對于單個儀表設(shè)備，盡管稱之為SILn，實(shí)際上指的是它具有的SIL能力。

[1] 張建國.安全儀表系統(tǒng)在過程工業(yè)中的應(yīng)用[M].北京：中國電力出版社，2010．

[2] AQ/T 3054-2015，保護(hù)層分析(LOPA)方法應(yīng)用導(dǎo)則[S].北京：煤炭工業(yè)出版社，2015.

[3] 周有錚.淺析IEC61508 2.0版對安全儀表系統(tǒng)產(chǎn)品開發(fā)提出的新要求[J].中國儀器儀表，2013，(8)：26～29.

SelectionandVerificationMethodforSafetyIntegrityLevelofSafetyInstrumentFunction

JIA Ying-chao
(CNOOCHuizhouPetrochemicalsCompanyLimited)

Basing on IEC61508 and IEC61511 codes and the other information, the relationship among SIS, SIF and SIL was described; and the methods of implementing SIF of the SIS, selecting and verifying SIL of the SIF were expounded.

safety instrument function, safety integrity level, architectural constraints, average probability of failure on demand, system capability

賈英超(1984-),工程師,從事儀表及自動控制的研究和管理工作，jiaych@cnooc.com.cn。

TH862+.7；TP29

A

1000-3932(2017)12-1118-05

2017-08-25)