15.安全仪表功能回路设计及SIL验算方法.doc

1、近些年石化行业频发重大安全事故，安监局发布的相关安全文件中均提到安全仪表系统（SIS）。中国石化安全仪表系统安全完整性等级评估管理规定（试行）（中国石化安2013259 号文）1.3 条要求：“各单位应将建设项目安全完整性等级（SIL）评估纳入建设项目设计管理，将在役装置 SIL 评估纳入日常安全生产管理”；3.2 条要求：“各单位或设计单位应对建设项目以及在役装置所涉及的安全仪表功能（SIF）确定相应的SIL，保证安全仪表功能满足目标 SIL 要求” 1 。在 SIS 设计过程中， SIF 回路中 SIL 的定级和验算是设计的重点和难点。1 SIL 定级目前 SIF 回路的 SIL 的确定，

2、主要依靠危险与可操作性分析（HAZOP）结合保护层分析（LOPA）的方法来实现。HAZOP 分析是在安全专业人员主导下，工艺、自控、设备专业人员以及操作人员共同构成的分析小组进行的一种分析方法。HAZOP 分析是采用标准化“引导词”对装置过程系统的中间变量设定“偏离”，沿“偏离”在系统中反向查找非正常“原因”，沿“偏离”在系统中正向查找不利“后果”，确定后果严重性等级 2 。HAZOP 具体分析方法详见AQ/T30492013危险与可操作性分析（HAZOP 分析）应用导则 3 。当 HAZOP 分析确定后果严重性等级为高风险或很高风险时，需进一步进行 LOPA 分析，计算目前偏差导致的后果发生

3、的频率，判断现有保护措施是否足够，建议措施是否能够有效地降低事故发生频率等。可通过增加 SIF 回路保护层，降低事故发生概率，从而得出SIF 回路的 SIL。LOPA 具体分析方法详见 AQ/T 30542015保护层分析（LOPA）方法应用导则 4 。根据文献 4 中表 E.2，引发偏差的初始事件，如控制回路失效、冷却水失效、控制阀误动作、常规人员操作失误、雷击等，偏差导致的事故发生概率 f1i110 1 ，假设，年频率等级为 110 1 。在涉及“重点监管工艺、重点监管化学品、重大危险源”或可能引发高后果的工艺，大多已配置基本过程控制系统（BPCS）、过程报警及操作员干预、安全阀、爆破片、

4、防火堤等独立保护层中的一个或多个，根据文献4中表 E.3，各独立保护层失效概率PFD110 1 ；引入点火概率、人员暴露、人员伤害、毒性影响等修正系数P，P=n10 1 ，n=110，偏差导致的事故发生概率 fci=f1iPFDPn103，年频率等级范围为 102 10 3 。为了方便分析，假定偏差导致的后果严重性为最严重等级的 5 级，事故发生年频率等级为 n103 ，根据表 1 LOPA 风险评估矩阵可得知，事故风险为高风险，需采取进一步的保护措施。可在 HAZOP 分析的节点增加 SIS 独立保护层，引入 SIL1（PFD=1102）的 SIF 回路时，后果发生的概率 fci=n1031

5、102=n105，年频率等级为 104 10 5 ，此时根据表 1 可知，5 级后果的风险等级为中风险；当引入 SIL2（PFD=110 3 ）的 SIF 回路时，后果发生的概率 fci=n1031103=n106，年频率等级范围为105 10 6 ，5 级后果的风险是中风险；当引入 SIL3（PFD=1104）的 SIF 回路时，后果发生的概率 fci=n1031104=n107，年频率等级范围为 106 10 7 ，5 级后果的风险是低风险。上述 SIL 分析中选取了最严重的风险等级、最高的初始时间发生概率、最高的独立保护层失效概率，可以看出 SIL1 的保护层即可将风险降为中风险，中风险

6、是可选择性的采取行动；当采用 SIL3 保护层时可将风险降为低风险，低风险不需要采取行动。若风险等级小于 5 级或其他独立保护层的失效概率小于 1101 时，采用 SIL2 保护层时可将风险降为低风险，低风险不需要采取行动。因此，SIS 中，大部分 SIF 回路的 SIL 可定在 1 级；少数SIF 回路的 SIL 可定在 2 级；极少数 SIF 回路的 SIL 定为 3 级。2 IEC 61508 中 SIL 验算方法IEC 615085 中的 SIL 验算方法适用于已取得 SIL 认证的仪表、控制逻辑器、执行元件等，常用的品牌型号产品认证参数见表 2 所列，其中，sd 为被检测到的安全故障

7、率；su 为未被检测到的安全故障率；dd 为被检测到的危险故障率；du 为未被检测到的危险故障率；s 为安全失效故障率；d 为危险失效故障率（故障率的单位为 Fit，1 Fit=1109 ）；DC 为诊断覆盖率；SFF 为安全失效分数。计算公式如下所示 6 ：式（1）中 sd，su，dd，du 可从仪表设备 SIL 认证证书中获取。根据 GB/T 507702013石油化工安全仪表系统设计规范 7 中 4.1.3 条规定：“通常石油化工工厂和装置的安全仪表系统工作于低要求操作模式”，故下文中的参数均是低要求操作模式下的认证参数。通过式（1）的计算可得出安全失效分数，而表 3 和表 4 列出了硬

8、件的 SIL，其中 A 类仪表有浪涌保护器、液位开关、安全栅、电磁阀、阀体、执行机构、阀门定位器等，B 类有安全型控制逻辑器、现场变送器等。结合表 2，表 3 和表 4 可以看出，通过 SIL 认证的温度变送器、压力变送器、流量计、液位计等 B 类子系统 SFF 多在 90%99%，符合 SIL2 的要求，可以通过冗余配置达到SIL3。而 A 类子系统 SFF 在 90%99%已满足 SIL3 要求。SIS 投入运行后需进行周期性的离线维护，某些故障或失效只能通过离线的人工测试才能发现，例如变送器的膜盒损坏、引压管的堵塞、测量精度、阀门的腐蚀内漏、阀芯的卡死等810。大多数 SIS 设备的检验

9、测试在装置的停车大修期间进行。在低操作要求模式下，检测平均时间间隔 T1 有 3 d,6 d,1 a，一般选用 T1=1 a，平均恢复时间 MTTR=8 h。工程设计中，常见的仪表组合有“1oo1”,“1oo2”,“2oo3”，通过下列步骤分别计算组合后的 PFDavg。1） 计算通道等效停止时间 tCE：式中：D具有共同原因已被检测到的失效分数；具有共同原因没有被检测到的失效分数，=2D。 的值可根据 GB/T 20438.620066 /IEC 61508： 2000 中的表 D.1 评分获得，取值有 1%，2%，5%，10%；对应的 D 分别为 0.5%，1%，2.5%，5%。将上述数据

10、分别代入式（5）中验算，结果相差无几，且 评分方法繁琐，为了方便工程计算，现场仪表可统一将 取值为 10%，D 取值为 5%。5） 计算“2oo3”时的 PFDavg：PFDavg=6（1-D）dd+（1-）du2tCEtGE+DddMTTR+duT12+MTTR（6）将表 2 内的认证参数代入式（2）式（6），可得出分别在“1oo1”，“1oo2”，“2oo3”情况下的 PFDavg，并将该值填入表 2 中。6） 分别计算 SIF 回路中的传感器、逻辑系统、执行元件等的 PFDavg 后，计算 SIF 回路系统的平均失效概率 PFDsys：PFDsys=PFDS+PFDL+PFDFE（7）式

11、中：PFDS传感器子系统平均失效概率；PFDL逻辑子系统平均失效概率；PFDFE执行元件子系统平均失效概率。因 SIS 的设计为故障安全型，电源的失效会将装置带到安全位置，故系统平均失效概率不考虑电源失效。3 ISA TR 84.00.02 标准中 SIL 的验算方法文献11中 SIL 的计算方法相对简单，未经 SIL 认证的普通仪表采用 IEC 61508 计算时，sd，su，dd，du 无数据可查，此时可通过文献11进行 SIL 验算，步骤如下所示：1） 计算危险失效故障率 d： d=1/MTTFd（8）式中： MTTFd平均危险失效前时间,实际验算过程中精确的数值可从供货商处获取仪表平均

12、故障时间MTBF， MTTFd=MTBF-MTTR，因 MTTR 时间很短为 8 h，则 MTTFdMTBF 12 。在 MTTFd 无数据可循的情况下，可参考文献11中 part 1 表 5.1 中 5 个工厂经验值，详细数据见表 5所列。表 5 常规仪表平均危险失效前时间 a因 du=d（1-DC），可假设未经过 SIL 认证的常规仪表诊断覆盖率 DC=0，则du=d。5） 根据式（7）计算 SIF 回路的 PFDavg。4 应用实例假设 P&ID 中某节点需设置 SIF 回路，当采用差压变送器测量储罐液位时，液位高高或压力高高时联锁停进料切断阀，如图 1 所示，该 SIF 回路经 HAZ

13、OP，LOPA 分析后得出 SIF回路的 SIL=2。1） 当现场采用未经 SIL 认证的普通传感器和执行元件“1oo1”时，SIF 回路的PFDavg 见表 6 所列，PFDsys=2.700 510 2 ，SIF 回路 SIL=1，不满足 SIL2 的要求。从表 6 可以看出，SIF 回路的 PFDavg 中现场变送器和执行元件占了大部分的比例，安全栅、继电器、安全型控制逻辑器占比例较少，需降低现场变送器和执行元件子系统的PFDavg。现场变送器采用“1oo2”，设置双压力变送器和液位变送器，如图 2 所示。执行元件采用“1oo2”，设置双切断阀，此时 SIF 回路的PFDsys=4.45

14、10 4 110 2 ，满足SIL2 的要求。文献11中指明，该规范中的计算步骤适用于 SIL1 和 SIL2 的 SIF 回路验证，除非完全掌握简化公式的计算方法和限制条件才可以进行 SIL3 的 SIF 回路验证。2） 当 SIF 回路的现场传感器及执行元件均采用取得 SIL 认证的仪表时，SIF 回路PFDavg 见表 7 所列。当变送器、不带 PVST 功能的电磁阀、气动切断球阀采用 SIL2 认证的产品，与 SIL3 认证的 SM 系统、安全栅、继电器构成的“1oo1”SIF 回路PFDsys=1.503103，SIF 回路SIL=2；当采用冗余的 SIL2 认证的变送器、电磁阀、气

15、动切断球阀、安全栅、继电器，与SM 系统构成的“1oo2”SIF 回路PFDsys=8.2210 5 ，SIF 回路满足 SIL3 的要求。当电磁阀带 PVST 功能时，其“1oo1”时 PFDavg 查表 2 为 1.503105 ，代入到表 7中，采用 SIL2 认证的变送器、气动切断球阀，与 SIL3 认证的 SM 系统、安全栅、继电器、带 PVST 功能的电磁阀构成的“1oo1”SIF 回路PFDsys=6.980 310 4 ，SIF 回路满足SIL3 的要求。3） 当检测器子系统采用未经安全完整性等级认证的普通仪表“1oo2”，执行元件子系统采用经过安全完整性等级认证的不带 PVS

16、T 功能电磁阀、气动切断球阀“1oo1”，如图3 所示。PFDsys=1.02910 3 ，满足 SIL2 的要求。5 结论SIF 回路的 SIL 验算需大量的数据支撑，准确数据获取不易，对于工程设计而言，可粗略的得出如下结论，方便快速验算：1） 对一个 SIF 回路的 PFDavg 进行分解，传感器子系统约占 35%，安全型控制逻辑器约占 15%，执行元件子系统约占 50%。SIL2 认证的仪表“1oo1”结构 PFDavg 在 104 左右，“1oo2”结构 PFDavg 在 106 左右，“2oo3”结构 PFDavg 在 105 左右，如没有具体数据可参考上述数量级进行粗略计算。2）

17、用于紧急停车功能的安全型控制逻辑器、安全栅、浪涌保护器、继电器宜首选SIL3 认证的产品；对于装置规模较小、联锁简单、事故后果可控的中小型生产企业若 LOPA分析所有 SIF 回路 SIL 均为 1 时，可选用 SIL2 认证的安全型控制器、安全栅等。3） 采用质量可靠（MTBF50 a）、应用广泛、未取得 SIL 认证的传感器、执行元件子系统构成的“1oo1” SIF 回路，在传感器子系统和执行元件子系统中仪表数量较少的情况下，基本可满足 SIL1 的要求。采用经 SIL 认证的仪表、或未经 SIL 认证的普通仪表组成“1oo2”，“2oo3” SIF 回路、或经过 SIL 认证的执行元件与

18、未经过 SIL 认证的“1oo2”，“2oo3”传感器子系统混合型的方式来降低回路的 PFDavg 以满足 SIL2 的要求。采用经 SIL 认证的传感器子系统与带 PVST 功能的执行元件配套使用可达到 SIL3 的要求。4） 当传感器子系统采用“1oo2”，“2oo3”的方式时，仪表的取源部件不应共用，以免因取源部件的堵塞导致 SIF 回路的失效。5） GB/T 507702013石油化工安全仪表系统设计规范中，SIL1 的回路中测量仪表、控制阀可与 BPCS 共用；SIL2 的回路中测量仪表、控制阀宜与 BPCS 分开；SIL3 回路中的测量仪表、控制阀应与 BPCS 分开 7 。从 LOPA 分析来看，BPCS 与 SIS 是两个独立的保护层，如 SIF 回路中的测量仪表、控制阀与 BPCS 共用，测量仪表或控制阀的失效可能导致 BPCS 和 SIS 的同时失效，破坏 SIS保护层的独立性。因此，在设计过程中 SIS 中 SIF 回路的检测仪表、控制阀不建议与 BPCS 共用，不推荐采用调节阀配电磁阀的方式进行控制、联锁。