1、安全仪表功能的安全完整性等级选择与验证方法 贾英超 中海油惠州石化有限公司 摘 要: 结合 IEC61508、IEC61511 和相关资料, 介绍安全仪表系统 (SIS) 、安全仪表功能 (SIF) 和安全完整性等级 (SIL) 之间的关系, 并就如何对在役安全仪表系统开展安全仪表功能识别, 安全仪表功能的安全完整性等级选择与验证进行了阐述。关键词: 安全仪表功能; 安全完整性等级; 结构约束; 要求时的平均失效概率; 系统能力; 作者简介:贾英超 (1984-) , 工程师, 从事仪表及自动控制的研究和管理工作, 。收稿日期:2017-08-25Selection and Verificat
2、ion Method for Safety Integrity Level of Safety Instrument FunctionJIA Ying-chao CNOOC Huizhou Petrochemicals Company Limited; Abstract: Basing on IEC61508 and IEC61511 codes and the other information, the relationship among SIS, SIF and SIL was described; and the methods of implementing SIF of the
3、SIS, selecting and verifying SIL of the SIF were expounded.Keyword: safety instrument function; safety integrity level; architectural constraints; average probability of failure on demand; system capability; Received: 2017-08-25我国目前有大量在役的安全仪表系统 (SIS) , 由于早期的重视程度不足, 绝大多数存在着功能设计不合理、选型不当及维护不到位等情况。国家安全监
4、管总局的安监总管三 (2014) 116 号文件国家安全监管总局关于加强化工安全仪表系统管理的指导意见明确了在役装置 SIS 的管理方向和目标, 要求在 2019年年底前完成安全仪表系统评估和完善工作。在役 SIS 可以在 HAZOP 分析的基础上利用保护层分析 (Layer of Protection Analysis, LOPA) 方法对安全仪表功能 (SIF) 进行识别, 并结合相关有效数据进行计算验证, 确保安全完整性等级 (SIL) 能够实现必要的风险降低。1 安全仪表系统与安全仪表功能IEC61511 将 SIS 定义为用于执行一个或多个安全仪表功能的仪表系统。而 SIF被定义为由
5、 SIS 执行的、具有特定 SIL 的安全功能, 特指由 SIS 实现的安全功能, 用于应对特定的危险事件, 达到或保持过程的安全状态。物理结构上由传感器、逻辑控制器和最终元件组成, 如图 1 所示, 其最根本的特征是“应对特定的危险事件”并实现必要的风险降低1。根据安全仪表功能失效产生的后果和风险, IEC61511 将 SIF 划分为不同的安全完整性等级 (SIL1SIL4) , 但除了极罕见的特殊应用, 在过程工业一般的应用场合, SIL3 是最高等级。在工程实践中, 当过程危险和风险分析确认需要 SIL3以上的完整性时, 一般是将应对同一危险事件的其他技术安全系统或外部风险减低的绩效提
6、高, 从而将对 SIF 的 SIL 要求降低到 SIL3 或以下。图 1 SIF 的物理构成 下载原图SIF 是在过程危险和风险分析中辨识出来的, 目前绝大部分在役的装置里, 没有现成的 SIF 列表。但可以依据 P初始事件确认;独立保护层评估;场景频率计算;风险评估与决策等。图 3 LOPA 基本流程 下载原图场景识别和筛选。选择需要定级的 SIF, 可以通过 HAZOP 分析结果并结合 P要求时的平均失效概率 (PFDavg) 要在 SILn 的范围之内;系统能力 (Systematic Capability, SC) 至少要达到 SCn。3.1 结构约束结构约束的安全完整性由两个因素共同
7、决定:一是硬件故障裕度 (HFT) , 即容错能力, 表决从 N 中取 M (Moo N) , HFT=N-M, 例如:HFT=1, 意味着发生一个危险故障不会导致安全功能丧失;二是安全失效分数 (SFF) , 它是对危险故障预发现能力的一个表量, 由安全失效和可被诊断测试检测到的危险失效共同影响, 是导致安全失效率和可检测出的危险失效率的总和除以总硬件随机失效率1:式中 DD可检测出的危险失效率; DU不可检测出的危险失效率; SD可检测出的安全失效率; SU不可检测出的安全失效率。子系统又分为 A 型和 B 型, A 型子系统是指结构简单的常用设备, 例如阀门、继电器及检测开关等。B 型子
8、系统是指结构复杂的, 或者采用微处理器技术的设备, 例如可编程逻辑控制器、智能变送器等。子系统结构约束见表 1。表 1 子系统结构约束 下载原表 3.2 要求时的平均失效概率SIF 的 SIL 验证 PFDavg计算, 一般是基于 IEC61508 (GB/T 20438.6-2006) 附录B 中的计算方法, SIF 分解为子系统, 然后将各子系统的 PFDavg相加, 再判断其结果落在哪个 SIL 范围。SIL 的计算一般使用专门的软件工具, 例如加拿大 ACM自动化有限公司的 Sil Core、德国 HIMA 的 SILence 等。安全完整性等级对要求操作模式下的失效概率要求见表 2。
9、表 2 安全完整性等级对要求操作模式下的失效概率要求 下载原表 PFDavg计算所需的设备可靠性数据需要失效率 或者平均无失效时间 (MTTF) 、表决机制、诊断覆盖率、检验测试时间间隔 (TI) 、平均修复时间 (MTTR) 和公共原因失效 () 6 个方面1。这些数据可以从日常维护、第三方评估 (由认证机构颁发认证证书) 、工业数据库或文献以及设备供货商自我评定的数据等方面获取。最理想的数据是认证证书中包含的各个数据。3.3 系统能力系统能力是 IEC61508 2.0 的概念, 用来表征一个组件的系统性安全完整性是否符合指定的 SIL 要求。系统能力体现在软件、设计、安装、使用及维护等遵
10、循安全手册情况。系统能力也分为 4 个级别, 与 SIL 的 4 个级别分别对应, 为SClSC4, 即一个组件具有 SCn, 就代表着其系统性安全完整性满足 SILn。这就对制造商提出了更高的技术要求。SC 概念的提出明确地强调了 SIL 并非只与系统冗余程度和安全参数有关, 同时也与避免和控制系统性失效的措施有效性紧密相关3。当使用两个或多个具有较低 SIL 的组件来实现更高 SIL 时, 就必须考虑组合后的系统是否具有足够的SC。如图 4 所示, 假如组件 1 和组件 2 之间没有足够的独立性, 则系统能力为SC1;若组件 1 和组件 2 之间有足够的独立性, 即组件 1 出现系统性故障
11、, 不会引起特定的安全功能失效, 只有当组件 2 也出现系统性故障时, 才会引起特定的安全功能失效, 则系统能力可以提高为 SC2。图 4 系统能力示例 下载原图相关的系统性失效机理取决于组件的特性, 比如一个组件单独由软件构成, 则只需考虑软件失效机理;如组件由硬件和软件构成则需要考虑硬件和软件的失效机理。4 简单示例在低要求操作模式下一台进料泵出口流量低低联锁关闭出口切断阀的一个 SIF, 结合 HAZOP 分析以及分析前建立的安全、环境及财产相关事件的可接受频率等相关资料, 采用 LOPA 分析得出此 SIF 为 SIL1 即可满足要求, 发生频率均为次/年, 此 SIF 无独立保护层。
12、SIF 等级选择见表 3。表 3 SIF 等级选择 下载原表 子系统 (图 5) 为单通道子系统, 按照前述步骤开展验证。图 5 子系统结构 下载原图4.1 结构约束传感器子系统。B 型子系统, 为 2oo3 结构, HFT=1, 根据失效数据计算得到60%SFF90%, 结构约束为 SIL2。逻辑控制子系统。B 型子系统, 三重化冗余, 参考认证证书, 结构约束为SIL3。最终元件执行子系统。A 型子系统, 1oo1 结构, HFT=0;根据失效数据计算SFF60%, 此 SIF 为单通道子系统, 结构约束为 SIL1。4.2 PFDavg计算综合 TI、MTTR、 及 等数据, 经过软件计
13、算, 传感器子系统处于 SIL2 范围内;逻辑控制子系统处于 SIL2 范围内;最终元件执行子系统处于 SIL1 范围内;整个 SIF 的 PFDavg通过 PFD 子系统 求和得到, 处于 SIL1 范围内, 故此 SIF 的 PFDavg为 SIL1。4.3 系统能力依据 3.3 节的相关介绍, 经过综合分析, 得到此 SIF 的系统能力为 SC1。由于此 SIF 是单通道子系统, 根据 IEC61508 的规定, 在 SIF 是由单通道子系统构成时, 该 SIF 最大可能的安全完整性等级取决于链路上具有最小 SIL 的子系统, 此 SIF 的安全完整性等级为 SIL1, 满足系统要求。5
14、 结束语笔者完整地介绍了对在役安全仪表系统 SIF 的 SIL 评估和验证方法, 从利用LOPA 进行有效 SIF 识别, 到通过结构约束、PFD avg和 SC 三方面综合验证来确认SIL 是否满足要求, 为今后安全仪表系统开展 SIL 评估提供了较为系统的参考。需要注意的是, 通常习惯用 PFDavg来表征 SIF 的 SIL, 但 SIF 的 SIL 却不仅仅是 PFDavg。对于单个仪表设备, 尽管称之为 SILn, 实际上指的是它具有的 SIL能力。参考文献1张建国.安全仪表系统在过程工业中的应用M.北京:中国电力出版社, 2010. 2AQ/T 3054-2015, 保护层分析 (LOPA) 方法应用导则S.北京:煤炭工业出版社, 2015. 3周有铮.浅析 IEC61508 2.0 版对安全仪表系统产品开发提出的新要求J.中国仪器仪表, 2013, (8) :2629.
