安全度等级评估计算软件的设计与实现

1、安全度等级评估计算软件的设计与实现尹永娟，左信（中国石油大学（北京），北京，102249）摘要：本文对安全仪表系统（SIS）的功能结构进行了分析，并提出了SIS的安全度等级评估计算软件的设计方案。该软件选择了故障树分析的计算方法，采用VB6.0和Access数据库进行了软件的开发实现。该软件既可用于SIS的设计阶段，也可用于已有SIS的评价阶段，并可生成报告。具有界面友好，使用方便等优点。关键词：安全仪表系统；安全度等级；评估计算；功能安全；故障树分析中图分类号：TP311 文献标识码：BThe Design and Implementation of SIL Calculation Asse

2、ssment SoftwareYin Yongjuan, Zuo Xin (China University of Petroleum -Beijing ,102249)Abstract: A novel SIL (SIL-Safety Integrity Level) Calculation Assessment Software has been presented in this paper. Based on VB6.0 and access database, and using fault Tree Analysis met- hod, the software can be us

3、ed not only in the designing phases, but the assessment phases of SIS (Safety Instrumented System), and report can be generated. Whats more, the novel software has friendly interface, and can be used conveniently.Key words：safety instrumented system (SIS); safety integrity level (SIL); calculation a

4、ssessment; functional safety; fault tree analysis 安全仪表系统(SIS-Safety Instrumented System)是独立于基本过程控制系统BPCS（Basic Process Control System）的安全控制系统。主要作用是防止危险事件的发生，或者降低可能产生的严重后果。鉴于其在工业中的重要作用，对其本身的安全研究就显得尤为重要。为了确定安全仪表系统的可靠性，也就是确定其实现功能安全的能力，必须对石油化工等工业过程领域安全仪表系统进行评估，确定其安全度完整性等级（SIL-Safety Integrity Level）。由于手

5、工建模和对SIS的SIL计算常常费时费力，且容易出错，所以应用计算机，应用软件来计算是十分必要的。目前对SIL计算的软件，如加拿大ACM自动化有限公司的SilCore(SilCore是一个国际化的专业验证工具，适用于IEC标准的SIL生命周期工具)软件，该软件利用的是风险图和保护层分析法，实现了SIL需求计算和评估计算；还有德国HIMA的SILence(SILence是第一个被德国TÜV承认的计算SIL的软件，由HIMA制作)软件，该软件是SIL的评估计算，主要特色是他们的逻辑控制元件均是自己公司的产品，包括 H41q和H51q1等,也可以创建自己的逻辑元件；而国内目前还没有这方面的

6、软件出现在市场上，所以开发此种软件势在必行。本软件采用的算法是故障树分析方法，对安全仪表系统各模块可能的冗余结构进行了故障树分析，并依据国际标准IEC615 08，给出了相应的计算公式，最终实现了对SIS的SIL评估计算的计算机应用。本文介绍了此软件的设计与实现。作者简介：尹永娟（1981-），女，吉林省德惠人，2005年毕业于辽宁石油化工大学、自动化专业，现中国石油大学，硕士在读，研究方向：安全仪表系统的评价1 安全仪表系统及其功能结构安全仪表系统也称为安全连锁系统（Safety Interlocks）, 紧急停车系统（Emergency Shutdown System，ESD）等等。属于一

7、个专门类别的由仪表构成的安全相关系统，也称之为仪表型安全相关系统，或执行安全功能的仪表系统。主要由传感器、控制器、执行机构组成，由国际电工委员会(IEC)标准IEC 61508及IEC 61511定义的专门用于安全的控制系统。一个SIS按功能可分为多个功能子系统，但是每个子系统都公用同一个模块，在这里指的就是控制器模块（其实他们公用的还有其他 ）。由传感器模块，控制器模块，执行器模块构成了SIS的一个功能子系统，一个功能子系统或者多个功能子系统可以构成一个完整的SIS系统。也可能包括一下三种情况：1，一个传感器模块对应一个执行器模块构成一个SIS；2，多个传感器模块对应1个执行器模块构成一个S

8、IS，如压力和温度传感器，当压力达到一个限定并且温度也达到一个限定的时候，对应的阀动作；3，一个传感器模块对应着多个执行机构模块，构成一个SIS。其功能结构如下图所示 图1 安全仪表系统的功能结构此软件传感器部分可以通过选择开关的通断来选择所需的冗余结构，控制器的参数在出厂时已经标定，他们的PFD和SIL已经是确定的了，无需我们再去计算评论，而执行机构由电磁阀和切断阀所组成，在这里通过选择各自的冗余来构成不同的阀结构。该软件只应用了常用的三种阀结构（1oo1阀系统，1oo2阀系统，1oo2电磁阀和1oo1切断阀串联）。2 安全度等级的评估计算SIL是一个描述安全仪表系统安全功能失效概率的指标，

9、即当要求它起作用时它不能起作用的概率。SIL的计算按BP GP 30-805的安全生命周期来划分可以包括需求计算和评估计算两种。需求计算是针对工艺过程和基本过程控制系统以及一般的保护层的计算。分析工艺过程以及控制系统可能存在的一些风险因素，然后考虑一般保护层是否能够满足生产可容忍的风险，如果一般保护层能够满足需求，则无需考虑SIS；如果不能满足，则确定所需SIS的SIL，然后进行设计。评估计算是针对设计完成或已经投入使用的SIS，确定其实现安全功能的能力，计算安全度等级，评价其是否满足设计要求和降低风险的要求。此软件是SIL的评估计算软件，在对SIS进行SIL的评估计算时，需要计算平均要求时失

10、效概率（PFDavg-average probability of failure on demand）。2.1 SIL的计算方法常用的SIL计算方法，分为定量和定性2种方法，定性的方法如风险图2等；而定量的方法如，故障树分析法（FTA-Fault Tree Analysis）14，马尔可夫模型分析法（Markov Model）14，事件树分析法（ETA - Event Tree Analysis）4等。该软件采用了故障树分析计算方法，它是一种以不希望发生的事件为最后状态，然后使用系统分析的方法寻找造成这一状态的一系列故障，分析不希望发生的事故是由哪些原因造成的。对安全仪表系统而言，顶事件即安

11、全仪表系统功能失效，不完整的故障树分析如下图所示： 图 2 不完整安全仪表系统失效故障树2分别对各子系统的故障树分析由于篇幅所限，此不作进一步详述。在此给出SIL和PFDavg的对应关系，如下图所示23：表1 IEC61508/IEC61511的安全度等级划分（低要求模式）SIL40.00013212.3 所需参数及冗余结构1SIL评估计算时的输人参数有:厂家，型号，对控制器和执行器需要选择冗余结构，危险失效率(1/小时)，故障诊断覆盖率DC（Diagnostic Coverage），检测周期TI(Test Interval)，实际修复时间RT (Repair Time)，危险未检测的共模故障

12、系数，危险可检测故障的共模故障系数。冗余结构有：1oo1，1oo1D，1oo2，1oo2D，2oo2，2oo2D，2oo3，2oo3D，2oo4，2oo4D(“oo”相当于out of)。由于篇幅所限，这里不列出各冗余结构的故障树分析图以及其对应的计算公式。3 SIL评估计算软件功能依据SIS的结构特点，以及实现的功能安全，该软件可以实现以下主要功能：1）用户可以创建自己的SIS系统，并可以对系统以及子系统进行维护，不同的SIS系统有各自的文件夹，相互独立、互不影响；2）可以根据用户需要，对传感器，控制器，执行器进行各自的冗余设定，根据用户需求或实际SIS系统的情况添加需要的参数；3）传感器部

13、分不仅可以给出整体冗余结构的PFD和SIL值，也可以查询冗余系统中每一单一元件的PFD和SIL值，可以进行参考比较；4）在一个工程中，可以切换到不同的系统进行设定，尽管他们公用一个控制器模块，但彼此间相互独立，互不影响；5）在完成SIS的一个功能系统设定后，切换到“计算”界面，可以非常清楚的看到子系统，各个模块，各元件的PFD和SIL ，令人一目了然；6）在完成整个SIS的设定后，可以切换到历史记录界面，历史记录包括目前库的“日期/时间”，“作者”和“评论”。从左面的历史清单中，用户可以挑选想看的记录。仅仅当前的库历史记录可能被改变，所有其它条款写保护。7）打开一个已经存在的工程，进行查看编辑

14、8）可以生成计算结果清单，记录评论清单，整个SIS的各个功能的系统图形清单，并可以打印出来，输出格式有PDF，Word和Excel形式。4 SIL评估计算软件设计4.1系统模块组成SIL评估计算软件包括SIL计算模块，历史记录模块和后台数据库。4.2 数据库该软件为单机桌面运行，后台数据库采用的是Access，数据库需要保存的信息包括，用户信息，PFD和SIL计算结果以及相关的参数，开关的通断，工程评论等。如果有足够全面的故障率手册，可以制成大型的数据库，并允许用户建立常用的设备故障率数据库，且允许用户进行修改来反映真实的故障率。可以应用Microsoft SQL Server 进行网络版开发

15、，使得软件的可靠性，应用性更强。5 软件使用步骤依据图1的SIS，应用该软件对其进行计算。具体步骤如下：1）运行该软件，选择文件，新建工程，启动工程对话框；2）右键点击工程名，新建系统，启动系统对话框；3）在系统界面，选择传感器的冗余结构，右键设定参数，点击计算按钮，计算出传感器模块的PFD，SIL。对控制器和执行器右键设定参数，其他同传感器操作；4）点击运行按钮，点击计算界面，将出现整个系统，各模块以及各元件的PFD和SIL值；5）点击历史记录界面，时间，版本，作者系统将自动键入，评论由作者填写；6）右键点击工程名，可以再建一新系统，进行(3),(4)的操作，实现系统的各功能评价；7）选择文

16、件，打开工程，可以修改已建工程。软件主要界面如下： 图3 系统界面 图4 计算结果界面图5 历史记录界面6 总结 SIL评估计算软件工具可以帮助用户快速、准确的对SIS的功能安全进行评价，确定其安全度等级。采用定量的分析方法，帮助SIS的设计者和评估者。对设计者，如达不到需求的SIL，则可进行再设计，如达到也可更换其它设计方案，进行比较，达到设计的最优化；对评价者，如SIS的SIL达不到他的功能要求，可以重新设置装置，以免发生重大灾难。此计算方法遵从IEC标准，可以保证计算结果的可靠性，达到应用的可信赖度。该软件只是对SIL评估计算的软件实现，应加上SIL的需求计算，成为一个更完整，更全面的评

17、价软件。参考文献：1 Josef Börcsök. Electronic Safety Systems, Hard- ware Concepts, Models and Calculations M. 2004.3284272 IEC61508, Functional Safety of Electrical/ Electronic/ Programmable Electronic Safety-Related SystemS.1998 3 IEC61511, Functional Safety-Safety Instrumented Systems for the process Industry sectorS.