安全仪表系统SIS的SIL评估.pdf

检测与仪表 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 化工自动化及仪表,2009,36( 5): 62 66? Control and Instruments in Che m ical Industry 安全仪表系统 ( SIS)的 SIL评估 许忠仪 (中国石化镇海炼化公司 仪控部, 浙江 宁波 315207) ? ? 摘要: ? 主要论述安全仪表系统及进行 SI L评估的必要性, 并作了简单的可靠性计算, 随着安全仪表系统工 程的发展, 在安全仪表系统的设计过程中, 对安全仪表系统的 SIL等级进行定量分析将是重要的。 ? ? 关键词: ? 安全仪表系统 ( SIS); 安全完整性等级 ( SI L); 定量分析 ? ? 中图分类号: TH814? 文献标识码: A ? 文章编号:1000?3932( 2009) 05?0062?05 1? 引 ? 言 ? ? 随着石油、 化工装置的经济规模日趋大型化, 生 产装置的密集程度越来越高, 对操作、 控制及安全的 要求也越来越严格。石化装置的产品一般都属于易 燃、 易爆或有毒介质, 生产过程稍有闪失就会酿成灾 难性的事故, 造成生产、 设备、 人员等方面的重大损 失。作为过程工业安全的重要保障, 确保过程工业 安全仪表系统本身的可靠性对于过程工业的安全具 有重要意义。 * 2? 安全仪表系统 ? 安全 仪 表 系统 ( Safety instrumented syste ms , SIS)是一种自动安全保护系统, 它是保证正常生产 和人身、 设备安全的必不可少的措施, 它已发展成为 工业自动化的重要组成部分。在过程工业中, 安全 仪表系统的安全性对于事故的影响十分巨大, 由于 过程工业中的安全事故通常会造成人员伤亡和巨额 财产损失, 因此开展过程工业安全仪表系统安全评 定对于确保过程工业安全具有重要意义。统计资料 表明, 过程工业中, 由于对安全仪表系统的安全要求 不合理以及投产后的项目改造过程中对安全仪表系 统的改建不恰当所造成的安全事故在全部事故中所 占的比重最大。安全仪表系统设计不当, 一种可能 的后果是该跳车时不跳, 造成拒动作; 另一种可能的 后果是不该跳车时跳车, 造成误动作。拒动作会造 成严重甚至灾难性的后果, 误动作的直接后果是装 置停车, 造成巨额的经济损失。 ? ? 根据 I EC61511中的定义, 安全仪表系统是由传 感器、 逻辑控制器、 执行器组成的, 能够行使一项或 多项 安全 仪表 功 能 ( Safety instrumented function, SIF)的系统。每一个安全仪表功能针对特定的风险 对生产过程进行保护 1。图 1为一典型的安全仪表 功能, 它的功能是为了防止压力容器 V100中压力 过高而发生爆炸等危险事故。此 SIF由压力变送 器、 一个逻辑控制器和一个阀门组成, 在 DCS ( Dis? tributed Control Syste m)对于压力控制已经失效的情 况下, 容器内压力持续升高, 达到压力变送器最高 (比 DCS控制压力预设值更高 )的预设值时, 压力变 送器将其转换成合适的信号传送给逻辑求解器, 由 逻辑求解器经过运算发出控制指令, 关闭阀门, 停止 对容器内碳氢化合物的供给。这就是一个完整的安 全仪表功能。在整个 SIF的实现过程中, 其中的三 个环节中的任何一个失效将导致 SIF的失效, 对于 此例而言, 如果 SIF 失效, 那么系统将继续向容器 V100中输送碳氢化合物, 容器内的压力将继续升 高, 极有可能造成容器泄漏、 爆炸等严重的后果, 导 致容器损坏、 装置停产、 人员伤亡等严重损失。所以 对安全仪表系统进行完整性评估, 定量的可靠性计 算是十分重要和有效的途径, 以防止各类事故的发 生。 图 1? 安全仪表功能示例 (压力保护系统 ) 3? 安全仪表系统与过程控制系统的区别 ? ? 过程控制在石油、 化工、 电力、 冶金等部门有 ? ? *收稿日期: 2009?07?23(修改稿 ) 广泛的应用。 20 世纪 50 年代, 过程控制主 要用 于使生产过程中的一些参量保持不变, 从而保证 产量和质量稳定。 60年代, 随着各种组合仪表和 巡回检测装置的出现, 过程控制已开始过渡到集 中监视、 操作和控制。 70年代, 出现了过程 控制 最优化与管理调度自动化相结 合的多级计算 机 控制系统。 80年代, 过程控制系统开始与过程信 息系统相结合, 具有更 多的功能。而 在今天, 过 程控制系统开始与安全仪表系 统更多地结合 在 一起, 即: 对于操作监视层, 如安全仪表系统的过 程变量值、 报警和事件 记录、SOE以及故障诊 断 信息等集中在 DCS画面上进行显示, 而在控制和 安全管理层, DCS和 SIS分别配置独立的控 制单 元实现过程控制和安全联锁的独立操作。 ? ? 基本过程控制系统是执行常规生产功能的控制 系统, 过程控制系统以表征生产过程的参量为被控 制量使之接近给定值或保持在给定范围内的自动控 制系统。这里的 ? 过程 ?是指在生产装置或设备中 进行的物质和能量的相互作用和转换过程。表征过 程的主要参量有温度、 压力、 流量、 液位、 成分、 浓度 等。通过对过程参量的控制, 可使生产过程中产品 的产量增加、 质量提高和能耗减少。一般的过程控 制系统通常采用反馈控制的形式, 这是过程控制的 主要方式。 ? ? 基本过程控制系统与安全仪表系统在功能上完 全独立。基本过程控制系统执行基本过程控制功能 以达到生产过程的操作要求; 安全仪表系统则是监 视生产过程的状态, 判断危险条件, 防止风险的发生 或者减轻风险造成的后果。基本控制系统是主动 的、 动态的; 而安全仪表系统则是被动的、 休眠的。 在大部分时间, 装置的正常运行都是靠基本控制系 统, 而在这时的安全仪表系统是没有任何作用的, 只 有在发生危险且基本控制系统已经无法控制时, 安 全仪表系统才发挥作用 2。 ? ? 图 2可以看到 I EC61511对安全防护的分层描 述 1。从 I EC61511对安全防护的分层描述, 可以清 楚地看出过程控制系统和安全仪表系统的区别。值 得一提的是, 按照 I EC61511的分层描述, 安全层次 应包含防护和减灾两个层次, 事实上, 在评估一个装 置或单元是否应使用安全仪表系统时, 最简单的一 个方法就是计算其事故发生的可能性 ( ESD系统可 使得该可能性降低 )乘上事故发生的后果 ( FGS系 统可使得事故后果最小化 )。在国外大多数炼油和 化工厂在实施安全仪表系统时, 均使用 SIL2/3等级 的安全仪表系统来实现 ESD和 FGS的功能, 而在中 国, 除少数中外合资项目和中海油的海上平台项目, 大多数项目至今未考虑采用具备 SI L等级的系统来 实现 FGS功能, 同国外同行存在较大差距, 也是同 很多安全规范相违背的。 图 2?IEC61511对安全防护的分层描述 ? ? 基本过程控制系统与安全仪表系统都有可能发 生失效, 对于基本控制系统来说, 其大部分的失效都 会在运行过程中很明显地表现出来, 包括温度、 压 力、 流量等的不正常, 那么必定会影响生产过程的运 行, 由此产生的故障现象马上会展现出来。而相反, 安全仪表系统的失效就不会太明显, 这是完全由安 全仪表系统的特性所决定的, 由于它长时间处于 ?休眠 ?状态, 无法观察或发现它是否出现了故障或 者失效。因此, 确定休眠系统是否正常工作的唯一 方法, 就是对该系统进行周期性的诊断和测试, 所以 安全仪表系统需要人为地进行周期性离线或在线测 试, 而有些安全系统则本身带有内部的自诊断测试 系统。 ? ? 基本过程控制系统失效后由安全仪表系统对装 置进行保护, 如果安全仪表系统再失效, 则往往导致 极其严重的后果, 所以提高安全仪表系统的可靠性 尤为重要。 ? ? 展望未来基本过程控制系统与安全仪表系统的 发展, 大多数的过程控制工业领域的人士认为集成 控制安全系统的广泛应用将是大势所趋。实际上, 美国 ARC咨询集团有限公司已把新型集成控制安 全系统看作一项顶尖自动化技术和 2007年的潮流 所在。 4? 安全仪表系统可能存在的问题 ?63? ?第 5期? ? ? ? ? ? ? ? ? ? ? ? ? 许忠仪. 安全仪表系统 ( SIS)的 SIL评估 ? ? 安全仪表系统在整个石油、 化工行业都有着广 泛的运用, 其正常运行可大大降低装置的风险, 降低 经济损失, 保障人员安全等。但安全仪表系统也存 在一些问题, 主要包括: 安全不足、 误跳车、 故障率过 高和缺乏合理的维护手段。根据国外公司的数据统 计显示所有的安全仪表系统中, 联锁合理的仅占 40% 45%。 4. 1? 联锁拒动作 ? ? 所谓联锁拒动作, 就是在装置需要联锁进行动 作以降低风险或保障安全的时候, 联锁功能失效, 导 致在需要时无法执行指定的安全功能, 引发重大的 事故发生, 是最危险的一种情况。如果联锁的拒动 作概率过高, 那么可以认为联锁无法适应装置的工 艺及操作条件对安全的要求。 ? ? 前面已经介绍过整个联锁功能要动作要通过三 个组成部分, 即传感器、 逻辑控制器、 执行器。为了 减少系统拒动作的概率, 除了要选择可靠性较高的 元器件以外, 还可以适当地增加系统的冗余, 比如本 来传感器是 1oo1的,即根据一个传感器的情况来确 定是否进行联锁动作, 现改为 1oo2, 即只要 2个传感 器中有一个报警或正常发出信号, 联锁即动作, 这样 就可以提高系统的可靠性。对于执行器也是一样, 以阀门为例, 如果需要截止阀切断给料, 如果只有一 个阀门, 阀门由于长时间没有动作, 很有可能会拒 动, 但如果有两个阀门, 同时拒动的可能性就会大幅 下降。增加系统的冗余可以明显减小联锁拒动作的 概率, 但同时也会提高误动作的概率。 4. 2? 联锁误动作 ? ? 所谓联锁误动作, 就是实际整个装置运行正常, 而由于安全仪表系统本身元器件失效而导致不必要 的非计划停车损失。频繁的误动作会导致对联锁可 靠性信心的降低, 有些企业会为了保证生产而拆除 一些联锁, 有可能埋下隐患; 频繁停车与启动增加了 对设备的冲击及风险, 而且许多装置的开车物料损 失、 停产损失都是非常大的。 ? ? 与联锁拒动作相同, 也可以通过改变传感器和 执行机构的布置和取法来减少误动作的次数。例如 原本传感器是 1oo2方式,即只要两个中一个触发信 号即动作, 如果改为 2oo2的话, 则变为必须两个同 时触发才会动作。这样就可以避免传感器故障引起 的误动作。同时, 也可以对传感器的失效状态进行 设定, 可以设定为非故障安全型, 这样也可降低误跳 车的概率。 ? ? 总之, 一个安全仪表系统必须要根据实际情况 和各种失效后果, 对联锁拒动作和误动作的概率进 行定量计算, 如果还不能满足公司的各类风险等级 要求, 必须对联锁进行重新设计或修改。 5? 安全仪表系统的可靠性计算方法 ? ? 一般地, 安全仪表系统都是根据工程设计人员 的经验进行定性的设计, 往往存在着以上所说的这 样或那样的问题, 故安全仪表系统有必要从定性分 析转换到定量分析上来。根据 IEC61511要求, 根据 安全仪表系统的可靠性模型和设备的失效率数据才 能对安全仪表系统进行定量的可靠性分析。可靠性 的计算是安全仪表系统定量评估中非常重要的一个 环节, 计算方法选择的合理性直接影响定量分析结 果的可靠性。 ? ? 安全仪表系统的失效可能导致其不能对危险状 况作出响应, 不能完成保护功能; 相对而言, 安全仪 表系统的失效也有可能造成系统的误跳车, 使得生 产中断。不同的失效方式被统称为失效模式。根据 产品在系统中的功能, 失效模式与影响分析方法 ( FailureM ode and EffectAnalysis , FMEA )能够确定 产品失效所造成的系统失效的失效模式, 因此, 使用 失效模式与影响分析方法 ( FMEA )分析研究产品使 用过程中实际发生的失效、 原因及其影响, 根据失效 模式、 失效判据和失效影响等计算产品的失效率, 并 按产品的失效后果分别计算安全失效率和危险失效 率, 为系统可靠性指标的计算奠定基础。 ? ? 可靠性建模的主要方法有三种: 可靠性框图、 故 障树分析、 马尔可夫模型。 5. 1? 安全仪表系统定量评估方法 ? ? 从经验的积累, 到标准的制定, 到广泛认可, 石 化装置安全完整性技术已成为确保石化装置安全的 最重要技术手段。作为一种最新的安全管理技术, 过程工业安全仪表系统 ( SIS)定量安全评价 ( Safety Integrated Leve, l SI L)是在 RBI之上的基于风险的 资产管理技术, 可以为提高企业安全水平及经济效 益起到重要的促进作用。可见, 接轨国际最新的安 全研究成果, 在我国开展过程工业安全仪表系统定 量安全评定, 必将大大促进我国石化行业安全生产 水平的提高, 是今后安全管理的发展方向。 安全仪表系统定量安全评定的内容主要包括对 安全仪表系统内硬件、 软件的安全功能实现情况作 出定量的评定结果; 在安全仪表系统的生命周期内, 评定内容包括过程工业存在的风险分析、 失效模式 及影 响 分 析 ( Failure M ode and Effect Analysis , FMEA), 安全仪表系统综合安全等级要求, 安全仪 表系统安全功能的分配、 安全仪表系统软硬件功能 安全性评定、 安全仪表系统设计、 安装、 改造及处置 过程中的安全性评定、 操作规程、 文档的安全检查、 人员配置安全检查等方面 3。整个 SIL评估过程的 ?64? 化工 自动化及 仪表? ? ? ? ? ? ? ? ? ? ? ? ? ? 第 36卷 ? 流程图如图 3所示。 图 3? SI L 评估过程的流程图 5. 2? 安全仪表系统定量分析实例 ? ? 在安全仪表系统定量分析中, 有几个比较重要 的指标: 安全失效分数 ( SFF)、 平均失效概率 ( PFD) 和安全完整性等级 ( SIL) 4, 下面通过两个实例来 简单介绍一下上述指标的计算方法, 和保证整个系 统安全完整性等级的几种方法。 IEC61508标准规 定了安全完整性等级 ( SIL)与系统的结构约束及诊 断之间的关系, 如表 1 。 表 1? 硬件安全完整性: B类安全相关子系统的结构约束 安全失效分数 ( SFF ) 硬件故障裕度 (HFT ) 012 60%不允许SI L1SI L2 60% 90 %SIL1SI L2SI L3 90% 99 %SIL2SI L3SI L4 ? 99%SIL3SI L4SI L4 ? 表 1中, 硬件故障裕度N 表示N + 1个故障将导 致安全功能 的丧失。如一个安 全系统需 要满足 SIL3 等 级, 在 该 系 统 的 安 全 失 效 分 数 为 90% 99%时,其硬件的故障裕度至少应为 1, 即 该系统结构至少应选择 1oo2, 但当一安全系统的安 全失效分数 ?99%时, 其硬件的故障裕度可以为 0, 则该系统结构选择 1oo1即可满足 SIL3等级。 ? ? 我们以目前市场占有率最高的 TMR系统 Tri? conex公司的 Tricon V10系统和市场占有率最高的 QMR系统 Honeywell公司的 SM 系统 (以前名称为 FSC)为例来说明该问题: 按照 I EC61508标准, 计算 一个系统的安全失效分数如下: ?SFF =(?S+?DD) / (?S+?D) 式中: SFF? 安全失效分数; ?S? 安全失效率; ? D? 危险失效率; ?DD? 内部诊断未检测到的 危险失效率。 我们以一个小规模系统 (配置一块模拟量输入 卡件 /一块数字量输入卡件和一块数字量输出卡 件 )为例来说明。表 2列出了根据 Triconex公司和 Honeywell公司的 TUV报告提供的数据。 表 2?TUV报告提供的比较数据 厂商系统 ? ?S ? ?DD ? ?DSFF TriconexTricon V1043 . 252 033 . 059 033. 928 00. 988 7 Honey w ellS M5 . 141 44. 935 94. 979 90 . 995 7 ? ? 根据上述计算结果可以看出 Tricon V10系统在 故障裕度至少应为 1的情况下, 能保证系统安全完 整性等级为 SIL3 级, 即 其系统降 级使用情 况为 3?2?0 。 而 SM 系统在其配置单控制器和单 IO 卡件 时, 系统也能满足 SIL3等级。 ? ? 以上简单介绍了对逻辑控制器的安全等级评估 的一种方法, 下面再举一个计算整个系统安全完整 性的实例: ? ? 假设一个 SIL2传感器的 PFD = 0. 005 ( SI L2), SIL3逻辑控制器的 PFD = 0 . 000 5( SIL3), 而一个 SIL1输出阀门的 PFD = 0. 05( SIL1), 将他们连接成 一套系统后, 系统的 PFD = 0. 005+ 0. 000 5+ 0. 05 = 0. 055 5, 只能满足 SIL1级。参见图 4。 图 4? 系统安全完整性等级 ( SI L)计算 ? ? 从上面的计算结果我们知道当在一个安全回路 上, 如果传感器、 逻辑控制器和输出阀门中任一不满 足 SIL3等级时,整个安全回路的 SIL等级一定达不 到 SIL3等级的设计要求。然而, 对于大部分用户来 ?65? ?第 5期? ? ? ? ? ? ? ? ? ? ? ? ? 许忠仪. 安全仪表系统 ( SIS)的 SIL评估 说, 如果要求在工厂的建设中采购大量的满足 SIL3 等级的变送器和阀门显然不符合实际, 不光会带来 初期投资的大幅度增加, 而且后期维护的费用也非 常高。那在投资增加不大的情况下, 有没有其它方 法来实现整个回路的 SIL3安全等级呢? 答案是肯 定的。下面我们来分析一个具体的安全回路。 ? 假设传感器单元的每小时故障率为 0. 000 05, 诊断覆盖率为 90%, 平均故障修复时间为 8 h, 维护 时间为 12个月一次。则计算它的 PFD 为 0. 011 , 安 全完整性等级为 SI L1级。 ? ? 假设一种极端情况, 如果将该传感器单元的维 护时间改为 1个月一次 (当然, 在实际使用过程中很 难做到 ), 重新计算它的 PFD 值为 0 . 001 09, 传感器 单元的 SIL等级从 SIL1级提升为 SIL2级。再将其 故障修复时间从 8 h 提高到 2 h, 再重新计算它的 PFD 值为 0. 000 957, 传感器单元的 SIL等级从 SIL2 级提升为 SI L3级。 ? ? 从上面的计算结果可以看出在系统的维护过程 中, 如果我们能提升设备的故障修复时间和维护频 率, 就能够提高整个系统的安全性, 这就涉及到工厂 安全的另一个范畴, 安全管理。事实上, 工厂安全防 护系统的组成, 应该包括硬件和软件两个部分, 硬防 护即为我们的现场设备和装置单元等。软防护可包 括我们的安全规范、 安全培训、 维护方法等等。 ? ? 然而, 实际使用中, 我们更多的是采用另一种方 法, 通过多样性来提高整个系统的安全等级。同样 是上面的传感器单元, 其每小时故障率为 0. 000 05, 诊断覆盖率为 90%, 平均故障修复时间为 8 h, 维护 时间为 12个月一次。对同一个测点, 如果配置两个 传感器 并采用 1oo2 的配置, 计算它的 PFD 值为 0. 000 122, 传感器单元的 SIL等级直接从 SI L1级提 升为 SI L3级。同样, 对于阀门的安全等级也可以采 用多样化的方法来提高, 如配置 1oo2或 2oo3, 甚至 2oo4的输出回路来提高执行机构的安全等级。事 实上, 在已实施的某些煤化工项目的重要输出回路 上, 就采用了配置 4个同样的输出阀门并设置为 2oo4的模式来提高整个输出回路的安全等级了。 图 5表述了采用不同的配置对设备安全性和可用性 的影响, 也说明了其对工厂投资和运营成本带来的 影响。 图 5? 不同配置对设备安全性和可用性和工厂经济性的影响 6? 总 ?结 ? ? 通过对现场装置的安全仪表系统 SIL级别的定 量分析, 用定量计算的方法设计合适的安全仪表系 统以达到现场的使用功能是非常重要的。目前在国 内实施该等级评估的主要有广东大鹏 LNG、 上海石 化 PTA和镇海炼化加氢裂化等项目。随着可靠性 工程的发展, 定量地分析过程生产装置中安全仪表 系统的 SIL等级将是今后设计工作的一个趋势, 特 别是新装置的设计中更要注重 SIL等级的定量分析 和整个安全回路的安全评估。相信在不久的将来, 会有越来越多的工厂在设计、 实施和后期维护阶段 参与到 SIL等级的定量分析和整个安全回路的安全 评估中来, 这对提供我们国内工厂的安全防护等级 和安全层次非常重要。 参考文献: 1IEC 61511, Functional Safety: Safety I nstrumented Systems for the Process Industry Sector S. International Electrotechnical Comm ission, Geneva, Sw itzerland . 2 ?I EC 61508 , Functional Safety of Electrical / Electronic / Pro? grammable ElectronicSafety?related Systems ,International Electr