SIL验证与安全仪表系统的优化设计

SIL验证属于概率学领域研究范畴，影响失效率的因素多且复杂。文中分析了大概率通过SIL验证的设计方法及典型回路的规律，以期对SIL验证工作有一定的参考价值，尽量避免设计变更同时减少过度设计。SIL定级报告中的关键信息1.1安全仪表功能关键动作的辨识安全仪表功能（SIF）回路是为了降低特定场景的安全风险而设置的，定级报告中SIF回路的功能描述是工艺设计的完整逻辑要求，包含关键动作及附件动作。能够直接、有效地阻止特定场景不利后果发生的某个或者一系列动作称为安全关键动作，关键动作仅仅对于阻止该特定场景有效。SIL验证应关注的是关键动作，其他的附加动作都属于非关键动作，验证中不予考虑。如果不能有效辨识安全关键动作，大量的执行元件将参与SIL验证，回路架构复杂，难以通过验证。1.2SIF回路架构的约束按照国际电工委员会（IEC）及国家标准要求，SIF回路的所有元件架构必须对应SIL定级有一定的约束。对于仪表设计，架构是基础。对于SIL３，IEC61511：2016Functionalsafety-safetyinstrumented

systemsfortheprocessindustrysector要求冗余架构的硬件故障裕度（HFT）至少不低于１；对于SIL２，虽然没有强制的冗余架构约束，但是实际验证中发现，如果要通过SIL２（风险降低因子RRF不低于200）的验证，非冗余架构的切断阀对采购产品的安全可靠性要求非常高，实际上也很难实现。因此，SIL２及以上的定级，除非先验使用，否则仪表架构宜按照冗余设计。1.3要求平均失效概率很多设计人员都仅仅关注定级报告中的SIL定级，而对与其对应的要求平均失效概率（PF⁃Davg）理解不到位，甚至忽视该值，实际上该值非常重要。同样一个SIL定级，同样的仪表配置，有的能通过验证，有的不能，关键在于该参数的取值。同一个SIL定级，不同的PFDavg，可能导致不同的设计方法。每个ＳＩＬ定级对应的PFDavg是一个10倍的范围，当不考虑架构约束时，SIL１（RRF为100）和SIL２（RRF为101）实际是一个效果，设计要按照SIL２的方式来进行，同理，SIL２（RRF为1000）的定级仪表要按照SIL３来设计。SIF回路各部件的优化设计方法2.1测量元件相对于执行元件，测量元件对SIF回路可用性的影响远大于可靠性，测量元件的采购费用也远小于阀门。中国石化对单点联锁导致装置误停车造成生产波动的问题有规定，推荐采用２取２或３取２架构，误停车率不属于文中讨论的重点。保证SIF回路高可用性的前提是必须保证其安全性，２取２的失效概率约为单台设备的一半，３取２的失效概率则为２取２的平方。对于SIL１以上的SIF回路，２取２是很难通过验证的，推荐优先采用３取２的架构。鉴于当前国内厂家证书的收费现状，建议具备条件的安全仪表系统（SIS）测量元件至少要求SIL２的认证，既不会引起工程投资的过度增加，也不属于过度设计。优先选用智能变送器而不是开关，通过通讯手段实现在线诊断，既不影响在线测量功能，又能随时进行在线诊断和测试，提高智能仪表的诊断覆盖率。还可以依据标准ＮＡＭＵＲＮＥ４３Ｓｔａｎｄａｒｄｉｚａｔｉｏｎｏｆｔｈｅｓｉｇｎａｌｌｅｖｅｌｆｏｒｔｈｅｆａｉｌｕｒｅｉｎ⁃ｆｏｒｍａｔｉｏｎｏｆｄｉｇｉｔａｌｔｒａｎｓｍｉｔｔｅｒｓ，根据工艺高可靠性或高可用性要求，实施仪表故障模式设计。SIS的测量元件与基本过程控制系统（BPCS）相互独立时，推荐在BPCS中设计测量元件测量值与SIS测量值的偏差报警，报警的详细设计方式与架构及故障模式有关，这非常有利于通过验证，同时不会增加额外投资。2.2逻辑控制器关于逻辑控制器的SIL认证级别，推荐至少比相关SIF回路的最高SIL定级高一个级别，最高可为SIL３。当大量SIF回路的SIL定级都为SIL１仅有１个SIL３时，为了避免整体投资过高，可设计为SIL２的SIS，针对个别SIL３设计单独的小型专用SIS。例如，经常使用的超速保护紧急停车系统或高完整性压力保护系统ＨＩＰＰＳ等，该方式可节约投资。原则上，SIS设计首先要执行国家关于安全生产的强制性的法律法规，按强制性条文要求配置独立SIS来实施要求的联锁动作，然后考虑SIL定级的要求。在SIS设计中应根据工艺需要在仪表故障模式下实施故障安全型设计、架构降级设计及相关旁路设计，并不增加任何硬件的投资，内容比较复杂，可参考相关文献，文中不赘述。逻辑组态的软件模块同样需要安全认证，软件与硬件的地位同等重要。2.3执行元件鉴于当前实施先验使用或经验使用时获取失效数据非常困难，以及国内阀门厂家SIL证书的设计取费现状，建议所有SIS的阀门、执行机构及附件如有条件提供至少SIL２等级的证书。在绝大多数的典型SIF回路验证计算中，执行元件的PFDavg权重占比基本上都在９０％以上，说明执行元件的架构设计及单台设备的PFDavg成为影响是否通过SIL验证的关键因素。虽然单台阀门要求提供SIL２的证书，但实际上有时候甚至无法通过SIL１的验证，因为阀门的定级是有条件的，如果证书是在检验测试间隔时间为１ａ的条件下取得的，而连续生产３ａ未实施测试时，阀门的PFDavg会变差，有可能达不到证书的等级。如果SIL１的ＲＲＦ为１００，与SIL２没有区别，单台阀门有可能无法通过SIL２验证。最重要的是回路中执行元件的关键动作识别，执行元件在SIF回路中的架构对是否顺利通过验证至关重要。气动切断阀的失效大部分来自于附件及工况，工况及气路组合的变化很多，当前也只能仅仅计算阀门及电磁阀，附件电磁阀对SIF回路的可用性及可靠性影响较大。推荐２取１架构的阀门电磁阀采用２取２配置，不推荐同时采用２取１的配置，可用性不好。当必须采用时，国外公司也有带电联锁配专用ＤＯ卡实施线路检测功能提高可用性的优化方案，可供参考。当SIF回路由不同系统串接来实现安全功能，例如SIS与压缩机控制系统（ＣＣＳ）、燃烧器管理系统（ＢＭＳ）等独立系统联动，不能通过验证时，其主要原因在于不同系统之间的连接是单点连接，成为整个回路可靠性最薄弱的环节。优化的设计方法是使用３取２表决方式触发另一个系统联动，该方法解决了很多类似的问题。对于电机类执行元件，不可能像阀门一样设计冗余的电气系统，遇到了大量SIL２或SIL３联锁机泵无法通过验证的情况。其原因也多是单点输出或继电器为普通继电器，进行该场景设计时，宜直接使用SIL３或SIL４认证的安全继电器，使用２取１方式输出触发联锁。对于汽轮机驱动的压缩机或泵的紧急停机，SIL２往往也有验证不通过的情况，不可能像阀门一样设计冗余的汽轮机系统。设计时，常用的优化方法是在汽轮机动力蒸汽管线上增加１个或２个切断阀，与去ＣＣＳ停压缩机的速关阀形成２取１或３取１的冗余架构。对于电动阀，常常用于罐区的紧急切断，往往不能通过高于SIL１的验证。当定级为SIL２及以上且没有气源时，需使用SIL２或SIL３的电液执行机构来代替电动执行机构。即便是SIL１的场景，因为架构的原因，储罐的阀门组是２组以上并联时，也有不能通过验证的情况，此时应当优化设计（增加罐根阀联锁）来改变架构。对于催化裂化特种阀门等特殊执行元件，没有冗余配置的可能性，只能通过先验使用或经验使用的方法来通过验证。让厂家提供相关数据，有特殊执行元件的SIF回路应尽量避免SIL３定级，IEC６１５１１有强制冗余的约束，优化工艺设计或增加保护层降级是合理的解决方案。对于执行元件的架构，很多工艺设计可以根据关键动作的逻辑关系来优化。例如定级为SIL２及SIL３的加热炉联锁，每路主燃气支路都设计了２个切断阀，但还是经常不能通过验证，此时应优化工艺设计，在主路上增加１个或２个切断阀，同时与每个支路的阀一起动作，该优化方案最经济。调节阀是否也可以通过联锁的方式来参与验证，从而节约投资，应该由项目组或项目危险与可操作性分析（ＨＡＺＯＰ）来决策。当工艺调节阀同时作为SIS回路的执行元件时，该调节回路在相关场景的风险分析中不能视为独立保护层。2.4辅助元件在实际项目中发现，辅助元件很容易被忽视从而成为影响验证的关键因素。如果项目原则允许，SIL２及以上定级的设计可优先采用隔爆型仪表来减少安全栅环节。当必须是本质安全设计时，选择带SIL２及以上证书的安全栅，继电器也尽量选择配置SIL３及以上认证的安全继电器，辅助元件的价格比现场仪表低很多，尽量选择可靠性高的元件，使之不成为影响验证的关键因素。2.5典型回路经验架构验证能否通过还与很多其他因素有关，重点关注回路中失效率最高的部件，优化设计的目标是使投资最高的设备成为验证的关键路径。表１为典型可通过SIL验证的SIF回路的经验架构，忽略了可靠性远高于其他元件的逻辑控制器以及苛刻的工艺工况。由于设备的质量也影响验证，表１的架构为大概率可通过验证的经验案例，仅供参考。１）测试周期不可调的按照36个月设计；２）未提及执行机构电磁阀配置为１取１。对于典型储运罐区等非连续生产工艺的单元或装置，可以在设备不投用时进行测试，测试周期是可以调整的，推荐最短不少于６个月。当工艺装置连续生产时，推荐SIL３场景的阀门都带部分行程测试功能，调整检验测试间隔时间。无论如何，通过SIL３验证都是非常困难的。如果Ｂ类仪表设备的可靠性指标安全失效分数（SFF）不能超过９０％，ＩＥＣ６１５０８

强制要求架构约束HFT为２。应尽量避免定级为SIL３。如果定级为SIL３，优先寻找尽量多的独立保护层；如果没有独立保护层，需要