王志勇，賈付澤

(中海油惠州作業(yè)公司，廣東 深圳 518067)

?

安全儀表系統(tǒng)中傳感器的選擇探討

王志勇，賈付澤

(中海油惠州作業(yè)公司，廣東 深圳 518067)

安全儀表系統(tǒng)(SIS)能否保障裝置的安全運(yùn)行并降低事故發(fā)生的風(fēng)險(xiǎn)顯得至關(guān)重要.結(jié)合海上采油平臺(tái)的特性說(shuō)明SIS中安全完整性等級(jí)(SIL)的選擇方法，并針對(duì)IEC 61511的要求，簡(jiǎn)要討論了在安全儀表回路中采用基于IEC 61508認(rèn)證的傳感器和基于使用經(jīng)驗(yàn)的傳感器時(shí)的選擇方法、步驟、配置要求、使用限制、回路的PFD的計(jì)算確認(rèn)等，以滿足整個(gè)回路SIL的要求。

安全儀表系統(tǒng)傳感器要求時(shí)失效概率風(fēng)險(xiǎn)

Abstracts： Whether safety instrument system can guarantee safe operation of installation and reduce incident occurrence risk is of great importance. Combining with characteristics of oil extraction platform， selection method for safety integrity level of SIS is explained. Based on requirement of IEC 61511， selection method， steps， configuration requirement， application limitation， confirmation of loop PFD calculation and so on of IEC61508 certificated and experience based sensors in SIS loop are discussed briefly to meet SIL requirement for whole loop.

在石油化工行業(yè)和海上采油平臺(tái)，設(shè)置專門的儀表和控制系統(tǒng)，實(shí)時(shí)監(jiān)控裝置的各個(gè)參數(shù)，在檢測(cè)到參數(shù)范圍偏離設(shè)定值時(shí)，生產(chǎn)過(guò)程控制系統(tǒng)(DCS)控制調(diào)節(jié)閥動(dòng)作，使偏離的參數(shù)返回正常值；如果系統(tǒng)干擾太大或者生產(chǎn)過(guò)程控制系統(tǒng)失效，參數(shù)超過(guò)預(yù)先設(shè)定值——這些值通常被認(rèn)為是正常生產(chǎn)的極限值，則立即按照預(yù)先的設(shè)計(jì)，關(guān)停工藝生產(chǎn)，啟動(dòng)應(yīng)急消防設(shè)備，預(yù)防災(zāi)難性事故的發(fā)生、擴(kuò)大和蔓延，在此過(guò)程中，應(yīng)急關(guān)停系統(tǒng)(ESD)在一定程度上是災(zāi)難性事故控制的最后一道防護(hù)欄。緊急關(guān)停系統(tǒng)的名稱在各個(gè)不同的發(fā)展時(shí)期和不同的行業(yè)也有所不同，在海上石油行業(yè)，在20世紀(jì)80年代末到90年代初被稱作主控盤和就地控制盤，在20世紀(jì)90年代中期被稱作緊急關(guān)停系統(tǒng)，21世紀(jì)初被稱作故障安全關(guān)停系統(tǒng)(FSSS)，現(xiàn)在則被稱作安全儀表系統(tǒng)(SIS)。緊急關(guān)停系統(tǒng)名稱的變化也體現(xiàn)和反映了業(yè)界對(duì)緊急關(guān)停系統(tǒng)的認(rèn)識(shí)和理解以及安全儀表系統(tǒng)理論的發(fā)展過(guò)程。緊急關(guān)停系統(tǒng)發(fā)展各階段系統(tǒng)類型及特點(diǎn)見(jiàn)表1所列。

1　安全儀表系統(tǒng)的構(gòu)成

2010年，國(guó)際電工委員會(huì)發(fā)表了過(guò)程工業(yè)領(lǐng)域安全儀表系統(tǒng)的功能安全I(xiàn)EC 61511作為過(guò)程工業(yè)設(shè)計(jì)、應(yīng)用、操作的最新標(biāo)準(zhǔn)，以取代1998年版本。在安全儀表系統(tǒng)中，多個(gè)安全儀表功能組成SIS。每套安全儀表功能由邏輯解算器、最終控制元件和傳感器組成，這和DCS大體相似。

邏輯解算器和PID控制器類似，邏輯解算器編程以完成特定的功能，在現(xiàn)場(chǎng)傳感器檢測(cè)到參數(shù)超出預(yù)先的設(shè)定時(shí)將工藝恢復(fù)到安全狀態(tài)以避免危險(xiǎn)；最終控制元件，通常是關(guān)斷閥和放空閥，完成邏輯解算器的動(dòng)作；傳感器(在DCS中也稱作變送器)，提供給邏輯解算器工藝過(guò)程參數(shù)以確定安全儀表功能是否應(yīng)啟動(dòng)并將工藝生產(chǎn)中斷，恢復(fù)工藝過(guò)程到安全狀態(tài)，這也是本文討論的重點(diǎn)。

表1　緊急關(guān)停系統(tǒng)類型及特點(diǎn)

2　選擇安全儀表系統(tǒng)的傳感器

1) 確定工藝過(guò)程所需要的危險(xiǎn)降低因子。

2) 確定要求的安全完整性等級(jí)SIL(safety integrity level)和要求時(shí)失效概率(PFD)范圍。

3) 確定傳感器是IEC 61508 認(rèn)證的或者是有使用經(jīng)驗(yàn)的傳感器。

4) 評(píng)估傳感器的故障率，安全失效分?jǐn)?shù)SFF(safe failure fraction)，系統(tǒng)容量(systematic capability)和隨機(jī)能力(random capability)以確保符合要求的SIL。

5) 選擇平均維修時(shí)間、任務(wù)時(shí)間(mission time)，驗(yàn)證測(cè)試間隔，并計(jì)算傳感器PFD。

6) 確保整個(gè)安全儀表功能的PFD數(shù)據(jù)在步驟2的PFD的范圍內(nèi)。

7) 安裝傳感器和安全儀表功能的其他部件。

2.1確定危險(xiǎn)降低因子

在選擇安全儀表功能合適的傳感器之前，先需要確定設(shè)施需要達(dá)到的危險(xiǎn)降低因子，這時(shí)候先需要進(jìn)行工藝過(guò)程危險(xiǎn)分析PHA(process hazard analysis)，如危險(xiǎn)和可操作性分析，以確定一個(gè)風(fēng)險(xiǎn)發(fā)生的可能性。例如在進(jìn)行風(fēng)險(xiǎn)分析時(shí)，認(rèn)為1個(gè)閥門不能正確關(guān)閉的風(fēng)險(xiǎn)是每年發(fā)生1次，但是設(shè)施可接受的故障率不超過(guò)每5000年1次，因而需要將此類風(fēng)險(xiǎn)從1.0次/年降低到2×10-4次/年，這意味著風(fēng)險(xiǎn)降低因子是5000。

2.2確定SIL等級(jí)和設(shè)備的PFD

國(guó)際標(biāo)準(zhǔn)IEC 61511 提供了一個(gè)將風(fēng)險(xiǎn)降低因子轉(zhuǎn)化為安全儀表功能要求的安全完整性等級(jí)表，見(jiàn)表2所列。

例如，如果風(fēng)險(xiǎn)降低因子要求在10～100，那么需要設(shè)計(jì)安全儀表功能的安全完整性等級(jí)是1；如果風(fēng)險(xiǎn)降低因子在1×103～1×104，則需要SIL3的安全儀表功能。表2提供了PFD的數(shù)值范圍，PFD代表了在需要將工藝過(guò)程恢復(fù)到安全狀態(tài)下時(shí)，設(shè)備故障的可能性。

表2　安全完整性等級(jí)： 要求時(shí)的失效概率

安全儀表功能的PFD是其中各部件包括邏輯解算器，最終控制元件和傳感器的PFD的總和。因此，設(shè)計(jì)一個(gè)滿足要求SIL的安全儀表功能，需要確定安全儀表功能中每個(gè)部件的PFD并選擇符合要求的設(shè)備，并計(jì)算其總的PFD之和以使整體的PFD在表2所確定的范圍內(nèi)。

在上例，風(fēng)險(xiǎn)降低因子是5000，這意味要設(shè)計(jì)的系統(tǒng)SIL是3，按照表2，目標(biāo)PFD的范圍是10-4～10-3，所有SIF組件的PFD總計(jì)不超過(guò)10-3。

2.3選擇傳感器

按照IEC 61511的要求，傳感器的選擇，可以是設(shè)計(jì)和制造遵從IEC 61508的標(biāo)準(zhǔn)傳感器；或者傳感器有良好的使用記錄，可以證明在類似的應(yīng)用場(chǎng)合使用過(guò)，具備比較齊全的故障率數(shù)據(jù)。需要注意的是，傳感器的制造商對(duì)傳感器本身的電路部分和敏感元件的可靠性負(fù)責(zé)；用戶在選擇傳感器時(shí)，仍需對(duì)傳感器的使用和安裝負(fù)責(zé)。例如由于介質(zhì)結(jié)晶、凝固，可能會(huì)堵塞壓力傳感器的引壓管線；由于安裝不當(dāng)，液體引壓管線中可能會(huì)存有氣泡導(dǎo)致測(cè)量不準(zhǔn)等；由于材質(zhì)選擇不當(dāng)，導(dǎo)致溫度不合適、滲氫致材料變脆、腐蝕等，這些都可能導(dǎo)致安全儀表功能回路的故障率上升。

2.4故障數(shù)據(jù)分析

對(duì)一個(gè)合格地應(yīng)用于安全儀表系統(tǒng)的傳感器，需要有失效數(shù)據(jù)以便確定回路的PFD是否滿足要求。這些失效數(shù)據(jù)包括傳感器的失效頻數(shù)FITs和安全失效因數(shù)SFF。FITs的單位是失效次數(shù)/109h，等價(jià)于平均每10億小時(shí)運(yùn)行發(fā)生1次失效，計(jì)算SFF需要用到4種形式的FITs： 檢測(cè)到的安全失效率λSD；未檢測(cè)到的安全失效率λSU；檢測(cè)到的危險(xiǎn)失效率λDD；未檢測(cè)到的危險(xiǎn)失效率λDU。

設(shè)備的安全失效因數(shù)描述了設(shè)備的安全或可檢測(cè)到的故障的比率，計(jì)算式如下：

SFF=(λSD+λSU+λDD)/(λSD+λSU+λDD+λDU)

(1)

SFF用來(lái)評(píng)估一個(gè)傳感器對(duì)于一個(gè)指定的SIS是否足夠安全，通常SFF以百分?jǐn)?shù)的形式給出，SFF為85%意味著85%的故障是安全的或可被檢測(cè)到的。

一個(gè)經(jīng)過(guò)認(rèn)證的符合IEC 61508的傳感器，制造商會(huì)提供上面的數(shù)據(jù)以供用戶選擇和計(jì)算PFD。這些數(shù)據(jù)可能在測(cè)試報(bào)告上或者認(rèn)證證書(shū)上。表3給出了一個(gè)產(chǎn)品功能安全數(shù)據(jù)表的樣例。

表3　功能安全數(shù)據(jù)表樣例

對(duì)于在安全儀表功能回路中使用經(jīng)過(guò)IEC 61508認(rèn)證的儀表，IEC 61508認(rèn)證時(shí)會(huì)給儀表1個(gè)重要的數(shù)據(jù)-系統(tǒng)性能，系統(tǒng)性能表示了儀表適用安全儀表系統(tǒng)的最高等級(jí)，但是該儀表是否適合，還需要與回路中的其他儀表一起計(jì)算后確定，有時(shí)同一個(gè)檢測(cè)點(diǎn)可能需要采用多個(gè)傳感器，采用“MooN”(表示N選M)的方式，增加投資以滿足要求的PFD。

安全儀表的冗余和隨機(jī)性能表明了安全儀表可以使用的最高的SIL以及應(yīng)用于相應(yīng)的SIL時(shí)冗余數(shù)量的要求。安全儀表的隨機(jī)性能在它的IEC 61508的符合性證書(shū)中標(biāo)明出來(lái)。

對(duì)一個(gè)用在特定的SIL上的傳感器的隨機(jī)性能，IEC 61508中給出了一個(gè)限制表，見(jiàn)表4所列，找到IEC 61508認(rèn)證證書(shū)上的SFF數(shù)據(jù)，對(duì)應(yīng)于步驟2.2確定的SIL的數(shù)據(jù)，在頂部欄上給出了相應(yīng)的硬件容錯(cuò)要求。

表4　Type B設(shè)備結(jié)構(gòu)限制

IEC 61508-2對(duì)Type A設(shè)備和Type B設(shè)備作出了明確的定義。如果一個(gè)設(shè)備的所有部件的失效模式均有定義，失效的后果可以完全確定，并且有充分可靠的數(shù)據(jù)表明檢測(cè)到的故障率和未檢測(cè)到的危險(xiǎn)故障率數(shù)據(jù)可靠，那么這個(gè)設(shè)備可以看作是A類設(shè)備，否則為B類設(shè)備。

基于有使用經(jīng)驗(yàn)的傳感器，則需要使用維修記錄的數(shù)據(jù)，從而得到失效率數(shù)據(jù)。在一些重要關(guān)鍵的場(chǎng)合，也可以安裝超出SIL要求的傳感器的數(shù)量，這能增加系統(tǒng)的可用性，降低誤跳閘的概率。例如在SIL3@HFT=1中，如果2個(gè)傳感器中的1個(gè)故障，工藝過(guò)程將關(guān)閉。但是，如果系統(tǒng)安裝了額外的傳感器，其中的1個(gè)故障不會(huì)引起工藝過(guò)程關(guān)停，故障的傳感器可以更換或者維修。

2.5計(jì)算傳感器的PFD

IEC 61508-6提供了計(jì)算PFD的方法。要計(jì)算PFD，需要用到平均恢復(fù)時(shí)間MTTR， 一般取8h，檢驗(yàn)測(cè)試時(shí)間間隔T1。先計(jì)算通道等效平均停止工作時(shí)間tCE，對(duì)于“1oo1”結(jié)構(gòu)的傳感器，IEC 61508-6給出的具體計(jì)算公式為

tCE=λDU/λD×(T1/2+MTTR)+

λDD/λD×MTTR

(2)

PFD=(λDD+λDU)×tCE

(3)

對(duì)于“1oo2”， “1oo2D”， “2oo3”結(jié)構(gòu)的子系統(tǒng)，IEC 61508也給出了詳細(xì)的計(jì)算公式，在此不一一列出。

有一點(diǎn)需要注意的是： 檢驗(yàn)測(cè)試時(shí)檢測(cè)出所有的潛在故障只是一種理想狀態(tài)，必然有未檢測(cè)出的危險(xiǎn)故障存在。在此種情況下，潛在的故障持續(xù)到系統(tǒng)發(fā)出真實(shí)的請(qǐng)求時(shí)才會(huì)被發(fā)現(xiàn)，這將會(huì)影響系統(tǒng)的PFD，對(duì)PFD的影響和系統(tǒng)請(qǐng)求的間隔有關(guān)，IEC 61508-6對(duì)此也給出了詳細(xì)的計(jì)算公式。

2.6確保安全儀表功能的PFD在要求的范圍內(nèi)

根據(jù)安全手冊(cè)或者歷史維修記錄的數(shù)據(jù)，在為安全儀表功能選擇傳感器后，采用同樣的方式選擇其他設(shè)備，將安全儀表功能中各組件的PFD相加，確?？偟腜FD不超出規(guī)定的范圍。如果超出PFD的范圍，則必須重新選擇傳感器，或者增加額外的傳感器或選擇縮短檢測(cè)測(cè)試的時(shí)間降低PFD。

2.7安裝、驗(yàn)證和維護(hù)傳感器

在安裝傳感器時(shí)，遵循制造商的儀表安全手冊(cè)的指導(dǎo)，規(guī)范要求制造商為所有的認(rèn)證設(shè)備提供安全手冊(cè)，該手冊(cè)提供了設(shè)備投入使用，達(dá)到相應(yīng)的安全要求所需要的信息。組件安裝完成后，對(duì)回路進(jìn)行一次有效性測(cè)試。有效性測(cè)試應(yīng)該模擬安全儀表功能在安全事故中完成的功能，并確認(rèn)工藝過(guò)程能達(dá)到的安全狀態(tài)，因而也確認(rèn)了符合性。

IEC 61511要求安全儀表功能得到正確的維護(hù)，確保每個(gè)組件功能正常。維護(hù)的頻率和內(nèi)容由要求的PFD確定。

3　結(jié)束語(yǔ)

SIS的設(shè)計(jì)是一個(gè)復(fù)雜的過(guò)程，應(yīng)該嚴(yán)格按照標(biāo)準(zhǔn)執(zhí)行以確保設(shè)施安全運(yùn)行。在安全運(yùn)行和災(zāi)難性事故之間，SIS通常是最后一道屏障。故障率、驗(yàn)證性測(cè)試和維護(hù)頻率是達(dá)到設(shè)定的安全等級(jí)的關(guān)鍵性因子。

因此，必須仔細(xì)選擇儀表并加以評(píng)估以確認(rèn)安全功能達(dá)到和超過(guò)要求的SIL，在選擇合適的傳感器時(shí)，必須要考慮很多因素，如是否采用符合IEC 61508標(biāo)準(zhǔn)、有經(jīng)過(guò)認(rèn)證的系統(tǒng)性能的產(chǎn)品或者按照IEC 61511，采用基于使用經(jīng)驗(yàn)的傳感器。

[1]IEC. IEC 61508—2010 Functional Safety of Electrical/Electronic/Programmable Electronic Safety-related Systems[S]. Geneva： IEC， 2010.

[2]IEC. IEC 61511-1—2003 Functional safety — Safety Instrumented Systems for the Process Industry Sector[S]. Geneva： IEC， 2003.

[3]華镕.按IEC 61511標(biāo)準(zhǔn)選擇安全儀表系統(tǒng)的傳感器[J].安全控制技術(shù)，2008(06)： 21-25.

[4]包蕾.淺析平均要求失效率PFDAVG計(jì)算[J].中國(guó)石油和化工，2010(12)： 62-64.

[5]潘浩，劉青松.交疊分段擬合在熱傳感器線性化中的應(yīng)用[J].化工自動(dòng)化及儀表，2015，42(03)： 253-258，354.

[6]杜俊賢，王連桂.彈性體結(jié)構(gòu)光纖光柵應(yīng)變傳感器的設(shè)計(jì)與性能研究[J].化工自動(dòng)化及儀表，2015，42(05)： 516-518，598.

Discussion on Selection of Sensor for Safety Instrumented System

Wang Zhiyong， Jia Fuze

(CNOOC China Limited Huizhou Operating Company， Shenzhen， 518067， China)

safety instrumented system；sensor；PFD；risk

王志勇(1973—)，湖北天門人，畢業(yè)于中國(guó)石油大學(xué)(華東)電力系統(tǒng)及自動(dòng)化專業(yè)，1993年始工作于勝利油田石油化工總廠，現(xiàn)就職于中海油深圳分公司惠州作業(yè)公司。

TP273

B

1007-7324(2016)04-0013-04

稿件收到日期： 2016-03-15，修改稿收到日期： 2016-04-05。