安全仪表系统(SIS)的SIL评估

平安仪表系统(SIS)的SIL评估

摘要：主要论述平安仪表系统及进行SIL评估的必要性,并作了简洁的牢靠性计算,随

着平安仪表系统工程的发展,在平安仪表系统的设计过程中，对平安仪表系统的SIL等级进

行定量分析将是重要的。

1引言

随着石油、化工装置的经济规模口趋大型化,刍产装置的密集程度越来越高，对操

作、限制及平安的要求也越来越严格。石扮装置的产品一般都属于易燃、易爆或有毒介质，

生产过程稍有闪失就会酿成灾难性的事故，造成生产、设备、人员等方面的重大损失。作为

过程工业平安的重要保障:确保过程工业平安仪表系统本身的牢靠性对于过程工业的平安具

有重要意义。

2平安仪表系统

平安仪表系统(Safetyinstrumentedsystems,SIS)是一种自动平安爱护系统，它

是保证正常生产和人身、设备平安的必不行少的措施，它已发展成为工业自动化的重要组成

部分。在过程工业中，平安仪表系统的平安性对于事故的影响特别巨大，由于过程工业中的平

安事故通常会造成人员伤亡和巨额财产损失，因此开展过程工业平安仪表系统平安评定对于

确保过程工业平安具有重要意义。统计资料表明,过程工业中，由于对平安仪表系统的平安要

求不合理以及投产后的项目改造过程中对平安仪表系统的改建不恰当所造成的平安事故在

全部事故中所占的比重最大。平安仪表系统设计不当，一种可能的后果是该跳车时不跳，造成

拒动作；另i种可能的后果是不该跳车时跳车，造成误动作。拒动作会造成严峻甚至灾难性的

后果,误动作的干脆后果是装置停车,造成巨额的经济损失。

依据IEC61511中的定义,平安仪表系统是由传感器、逻辑限制器、执行器组成的,

能够行使一项或多项平安仪表功能(Safetyinstrumentedfunction,SIF)的系统。每一个平

安仪表功能针对特定的风险对生产过程进行爱护［1］。图1为一典型的平安仪表功能,它的功

能是为了防止压力容器V100中压力过高而发生爆炸等危急事故。此SIFFh压力变送器、-

个逻辑限制器和一个阀门组成,在DCS(Dis-tributedControlSystem)对于压力限制已经失

效的状况下，容器内压力持续上升,达到压力变送器最高i比DCS限制压力预设值更高)的预

设值时,压力变送器将其转换成合适的信号传送给逻辑求解器，由逻辑求解器经过运算发出

限制指令，关闭阀门，停止对容器内碳氢化合物的供应。这就是一个完整的平安仪表功能。在

整个SIF的实现过程中，其中的三个环节中的任何一个失效将导致SIF的失效，对于此例

而言，假如SIF失效，那么系统将接着向容器V100中输送碳氢化合物，容器内的压力将接着上

升，极有可能造成容器泄漏、爆炸等严峻的后果，导致容器损坏、装置停产、人员伤亡等严峻

损失。所以对平安仪表系统进行完整性评估,定量的牢靠性计算是特别重要和有效的途径，

以防止各类事故的发生。

图1安全仪表功能小例11-力保护系统）

3平安仪表系统与过程限制系统的区分

过程限制在石油、化工、电力、冶金等部门有广泛的应用。20世纪50年头，过程

限制主要用于使生产过程中的一些参量保持不变,从而保证产量•和质量稳定。60年头，随着

各种组合仪表和巡回检测装置的出现,过程限制已起先过渡到集中监视、操作和限制。70年

头，出现了过程限制最优化与管理调度自动化相结合的多级计算机限制系统。80年头,过程

限制系统起先与过程信息系统相结合,具有更多的功能。而在今日，过程限制系统起先与平安

仪表系统更多地结合在一起，即:对于操作监视层，如平安仪表系统的过程变量值、报警和事

务记录、SOE以及故障诊断信息等集中在DCS画面上进行显示，而在限制和平安管理层，DCS

和S1S分别配置独立的限制单元实现过程限制和平安联锁的独立操作。

基本过程限制系统是执行常规生产功能的限制系统,过程限制系统以表征生产过

程的参量为被限制量使之接近给定值或保持在给定范围内的自动限制系统。这里的“过程”

是指在生产装置或设备中进行的物质和能量的相互作用和转换过程。表征过程的主要参量有

温度、压力、流量、液位、成分、浓度等。通过对过程参量的限制，可使生产过程中产品的

社M常会响应

全厂紧急响应

安全仪表柱制系统—fl/踊次

一邑全仪表旅灾系上b即Vo回燃气体

（卜&（：）安全系统

机械保护系统

过程报警

掾作漫操作野理

及金仪去拧制系统

j全仪表表护系里

人本M程捽症系加、

监控系统（过程参数报警）

操作员操作管理

（［艺流程~\

CK865.CN

图2EC6I5II对安全防护的分法描述

基本过程限制系统与平安仪表系统都有可能发生失效,对于基本限制系统来说,其

大部分的失效都会在运行过程中很明显地表现出来，包括温度、压力、流量等的不正常，那么

必定会影响生产过程的运行，由此产生的故障现象M刻会呈现出来。而相反，平安仪表系统的

失效就不会太明显，这是完全由平安仪表系统的特性所确定的，由于它长时间处于“休眠”

状态，无法视察或发觉它是否出现了故障或者失效。因此，确定休眠系统是否正常工作的唯-

方法,就是对该系统进行周期性的诊断和测试,所以平安仪表系统须要人为地进行周期性离

线或在线测试，而有些平安系统则本身带有内部的自诊断测试系统。

基本过程限制系统失效后由平安仪表系统对装置进行爱护,假如平安仪表系统再

失效,则件件导致极其严岭的后果，所以提高平安仪表系统的牢靠性才为重要.

展望将来基本过程限制系统与平安仪表系统的发展，大多数的过程限制工业领域

的人士认为集成限制平安系统的广泛应用将是大势所趋。事实上,美国ARC询问集团有限公

司已把新型集成限制平安系统看作一项顶尖自动化技术和2007年的潮流所在。

4平安仪表系统可能存在的问题

平安仪表系统在整个石油、化工行业都有着广泛的运用，其正常运行可大大降低装

置的风险,降低经济损失，保障人员平安等。但平安仪表系统也存在一些问题，主要包括:平安

不足、误跳车、故障率过高和缺乏合理的维护手段。依据国外公司的数据统计显示全部的平

安仪表系统中，联锁合理的仅占40%~45%。

4.1联锁拒动作

所谓联锁拒动作，就是在装置须要联锁进行动作以降低风险或保障平安的时候,联

锁功能失效,导致在须要时无法执行指定的平安功能，引发重大的事故发生,是最危急的一种

状况。假如联锁的拒动作概率过高,那么可以认为联锁无法适应装置的工艺及操作条件对平

安的要求。

前面已经介绍过整个联锁功能要动作要通过三个组成部分，即传感器、逻辑限制器、

执行器。为J'削减系统拒动作的概率,除J'要选择牢靠性较高的元器件以外，还可以适当地增

加系统的冗余，比如原来传感器是lool的，即依据一个传感器的状况来确定是否进行联锁动

作,现改为1。。2,即只要2个传感器中有一个报警或正常发出信号,联锁即动作,这样就可以

提高系统的牢靠性。对于执行器也是一样，以阀门为例，假如须要截止阀切断给料，假如只有

一个阀门，阀门由于长时间没有动作,很有可能会拒动,但假如有两个阀门，同时拒动的可能

性就会大幅下降。增加系统的冗余可以明显减小联锁拒动作的概率，但同时也会提高误动作

的概率。

4.2联锁误动作

所谓联锁误动作,就是实际整个装置运行正常，而由于平安仪表系统本身元器件失

效而导致不必要的非安排停车损失。常见的误动作会导致对联锁牢靠性信念的降低,有些企

业会为了保证生产而拆除一些联锁,有可能埋下隐患;频繁停车与启动增加了对设备的冲击

及风险,而且很多装置的开车物料损失、停产损失都是特别大的。

与联锁拒动作相同，也可以通过变更传感器和执行机构的布置和取法来削减误动

作的次数。例如原本传感器是loo2方式,即只要两个中一个触发信号即动作，假如改为2。。2

的话,则变为必需两个同时触发才会动作。这样就可以避开传感器故障引起的误动作。同时，

也可以对传感器的失效状态进行设定,可以设定为非故障平安型,这样也可降低误跳车的概

率。

总之,一个平安仪表系统必须要依据实际状况和各种失效后果,对联锁拒动作和误

动作的概率进行定量计算:假如还不能满意公司的各类风险等级要求,必需对联锁进行重新

设计或修改。

5平安仪表系统的牢靠性计算方法

一般地，平安仪表系统都是依据工程设计人员的阅历进行定性的设计,往往存在着

以上所说的这样或那样的问题，故平安仪表系统有必要从定性分析转换到定量分析上来。依

据IEC61511要求，依据平安仪表系统的牢靠性模型和设备的失效率数据才能对平安仪袤系

统进行定量的牢靠性分析，牢靠性的计算是平安仪表系统定量评估中特别重要的一个环节，

计算方法选择的合理性干髓影响定量分析结果的牢靠性。

平安仪表系统的失效可能导致其不能对危急状况作出响应,不能完成爱护功能;相

对而言,平安仪表系统的失效也有可能造成系统的误跳车，使得生产中断。不同的失效方式被

统称为失效模式。依据产品在系统中的功能，失效模式与影响分析方法(FailureModeand

EffectAnalysis,FMEA)能够确定产品失效所造成的系统失效的失效模式,因此，运用失效模

式与影响分析方法(FUEA)分析探讨产品运用过程中实际发生的失效、缘由及其影响，依据失

效模式、失效判据和失效影响等计算产品的失效率,并按产品的失效后果分别计算平安失效

率和危急失效率,为系统牢靠性指标的计算奠定基础。牢靠性建模的主要方法有三种:牢靠性

框图、故障树分析、马尔可夫模型。

5.1平安仪表系统定量评估方法

从阅历的积累，到标准的制定,到广泛认可,石扮装置平安完整性技术已成为确保

石扮装置平安的最重要技术手段。作为一种最新的平安管理技术,过程工业平安仪表系统

(SIS)定量平安评价(SafetyIntegratedLeve,1SIL)是在RBI之上的基于风险的资产管理技

术，可以为提高企业平安水平及经济效益起到重要的促进作用。可见,接轨国际最新的平安探

讨成果,在我国开展过程工业平安仪表系统定展平安评定，必将大大促进我国石化行业平安

生产水平的提高,是今后平安管理的发展方向。

平安仪表系统定量平安评定的内容主要包括对平安仪表系统内硬件、软件的平安

功能实现状况作出定量的评定结果;在平安仪表系统的生命周期内，评定内容包括过程工业

存在的风险分析、失效模式及影响分析(FailureModeandEffectAnalysis,FMEA),平安仪

表系统综合平安等级要求:平安仪表系统平安功能的安排、平安仪表系统软硬件功能平安性

评定、平安仪表系统设计、安装、改造及处置过程中的平安性评定、操作规程、文档的平安

检查、人员配置平安检查等方面[3]。整个SIL评估过程的流程图如图3所示。

图3SIU》体过程的祗程图

5.2平安仪表系统定量分析实例

在平安仪表系统定量分析中，有几个比较重要的指标:平安失效分数(SFF)、平均失

效概率(PFD)和平安完整性等级(Sil.)[4],下面通过两个实例来简洁介绍一下上述指标的计

算方法,和保证整个系统平安完整性等级的几种方法。IEC61508标准规定了平安完整性等级

(SIL)与系统的结构约束及诊断之间的关系，如表1

表I硬件安全完整性：B类安全相关子系统的结构约束

安全失效分数硬件故牖裕出通FT)

1SFF10i1

<tm不允许SLlSB7

6(14~SU.ISL23

9(%-<99%sn.2sn.3

sn.3SL4

表1中，硬件故障裕度N表示N+1个故障将导致平安功能的丢失。如一个平安系统

须要满意SIL3等级，在该系统的平安失效分数为90%*99%时,其硬件的故障裕度至少应为

1,即该系统结构至少应选择1。。2,但当•平安系统的平安失效分数299%时,其硬件的故障

裕度可以为0,则该系统结构选择lool即可满意SIL3等级。

我们以目前市场占有率最高的TMR系统Tri-conex公司的TriconV10系统和市场

占有率最高的QUR系统Honey松11公司的SM系统(以前名称为FSC)为例来说明该问题:依据

IEC61508标准,计算一个系统的平安失效分数如下：

SFF=fX乂+Z\.h)/fXA♦Z%)

式中：5%------安全失效分数；\----安丁失普率：

、——危险失效率；K—

危险失效率.

我们以一个小规模系统(配置一块模拟量输入卡件/一块数字量输入卡件和一块数

字量输出卡件)为例来说明。表2列出了依据Triconex公司和Honeywell公司的TUV报告供

应的数据。

表21TV援？i提供的比较数据

XiSvSFF

TfNxinexTr««nV104325203a059033.9280Q9XK7

II<»nr%wrll514144935949799Q9957

依据上述计算结果可以看出TriconVIO系统在故障裕度至少应为1的状况下，能保

证系统平安完整性等级为SIL3级，即其系统降级运用状况为3-2-0o而SM系统在其配置单

限制器和单10卡件时，系统也能满意SIL3等级。

以上简洁介绍了对逻辑限制器的平安等级评估的一种方法,下面再举一个计算整

个系统平安完整性的实例：

假设一个SIL2传感器的PFD=0.005(SIL2),SIL3逻辑限制器的PFD-O.000

5(SIL3),而一个SIL1输出阀门的PFD=OO5(SIL1),将他们连接成一套系统后,系统的PFD=O.

005+0.0005+0.05=0.0555,只能满意SIL1级。参见图4。

[ersis勺

1PA74SIS)xO.O555(SII.I)

—(Scn&crx)+PA'DtLogicSolver)+!,IrmenKI

(M)O5(SII21♦0,0005iSII3)♦-—MJ)

图4系统安全完整性等级ISHJ计W

从上面的计算结果我们知道当在一个平安回路上,假如传感器、逻辑限制器和输出

阀门中任一不满意SIL3等级时，整个平安回路的SIL等级确定达不到SIL3等级的设计要求。

然而,对于大部分用户来说,假如要求在工厂的建设中选购大量的满意SIL3等级的变送器

和阀门明显不符合实际,不光会带来初期投资的大幅度增加,而且后期维护的费用也特别高。

那在投资增加不大的状况卜有没有其它方法来实现整个回路的SIL3平安等级呢?答案是确

定的。下面我们来分析一个详细的平安回路。

假设传感器单元的每小时故障率为0.00005,诊断覆盖率为90%,平均故障修复时

间为8h,维护时间为12个月一次。则计算它的PFD为0.011,平安完整性等级为SIL1级。

假设一种极端状况,假如将该传感器单元的维护时间改为1个月一次（当然,在实际

运用过程中很难做到），重新计算它的PFD值为0.00109,传感器单元的SIL等级从SIL1级

提升为SIL2级。再将其故障修复时间从8h提高到2h,再重新计算它的PFD值为0.000957,

传感器单元的SIL等级从SIL2级提升为SIL3级。

从上面的计算结果可以看出在系统的维护过程中，假如我们能提升设备的故障修

复时间和维护频率，就能够提高整个系统的平安性,这就涉及到工厂平安的另一个范畤，平安

管理。事上,工厂平安防护系统的组成,应当包括硬件和软件两个部分,硬防护即为我们的现

场设备和装置单元等。软防护可包括我们的平安规范、平安培训、维护方法等等。

然而,实际运用中,我们更多的是采纳另一种方法,通过多样性来提高整个系统的

平安等级。同样是上面的传感器单元，其每小时故障率为0.00005,诊断覆盖率为90%,平均

故障修复时间为8h,维护时间为12个月一次。对同一个测点，假如配置两个传感器并采纳

loo2的配置，计算它的PFD值为0.000122,传感器单元的SIL等级干脆从SIL1级提升为SIL3

级。同样,对于阀门的平安等级也可以采纳多样化的方法来提高,如配置loo2或2oo3,甚至

2oo4的输出回路来提高执行机构的平安等级。事实上，在已实施的某些煤化工项H的重要输

出回路上,就采纳「配置4个同样的输出阀门并设置为2。。4的模式来提高整个输出回路的平

安等级了。图5表述了采纳不同的配置对设备平安性和可用性的影响，也说明白其对工厂投

资和运营成本带来的影响,