薛利俊

(林德工程(杭州)有限公司，浙江 杭州 310012)

近年來，化工裝置安全事故使監(jiān)管部門和生產(chǎn)企業(yè)對裝置的安全性越來越重視，安全已成為行業(yè)內(nèi)企業(yè)運營的基本共識，設(shè)計符合要求的安全儀表系統(tǒng)(safety instrumented system,SIS)已逐步成為國家法規(guī)的強制要求[1-4]。目前，對于安全儀表系統(tǒng)的設(shè)計還停留在對有安全認(rèn)證的儀表進(jìn)行簡單組合，如何定量分析和評估安全儀表系統(tǒng)的設(shè)計能否滿足工藝安全的需要仍是難題。本文結(jié)合IEC 61508和IEC 61511，從硬件結(jié)構(gòu)強制要求和需求失效率兩個方面，實現(xiàn)對安全儀表系統(tǒng)的安全等級定量計算；結(jié)合實際案例，詳細(xì)探討如何根據(jù)產(chǎn)品證書中統(tǒng)計的失效數(shù)據(jù)計算安全失效率和需求失效率，進(jìn)而計算出安全儀表系統(tǒng)的安全等級。

1 安全等級計算的數(shù)據(jù)來源

首先，安全儀表系統(tǒng)設(shè)計時需考慮兩個先決條件[5-7]，即平均故障恢復(fù)時間(mean time to restoration，MTTR)和測試間隔時間(T1)。這兩個條件應(yīng)在生命周期第三階段產(chǎn)生的安全需求規(guī)格書中明確提出。所有需求失效率(probability of failure on demand，PFD)計算公式都基于這兩個參數(shù)，不同項目對這兩個參數(shù)有不一樣的要求。一般情況下，按照以下默認(rèn)數(shù)據(jù)考慮：MTTR≤ 72 h，T1=3年。整個回路的測試間隔時間T1應(yīng)該保持一致。在特殊情況下，尤其是在安全完整性等級(safety integrity level，SIL)計算要求用更短的測試間隔來改善安全等級時，可以考慮采用更短的測試間隔，但必須與項目后期運維的責(zé)任方達(dá)成一致。

另外，在安全聯(lián)鎖回路儀表選型時，每個儀表供應(yīng)商必須提供帶有SIL計算所需關(guān)鍵數(shù)據(jù)的證書，包括不可檢測的危險失效率(λDU)、可檢測的危險失效率(λDD)、不可檢測的安全失效率(λSU)、可檢測的安全失效率(λSD)，或者直接提供某個測試時間間隔下的PFD值。一般在產(chǎn)品SIL證書中應(yīng)包含這些數(shù)據(jù)。如果供應(yīng)商無法提供SIL證書，可以要求廠家提供具有法律約束力的自聲明，根據(jù)聲明采用估算來完成計算。計算時應(yīng)作保守估算，但不用按最差情況估算。

2 安全等級確定

每個回路需要檢查以下兩項內(nèi)容。

①硬件結(jié)構(gòu)強制要求：根據(jù)IEC 61511-1,確定硬件故障冗余度(hardware failure tolerance，HFT)能夠滿足的SIL要求。

②根據(jù)IEC 61508-6，計算PFD能夠滿足的SIL等級要求。

最終SIL取兩者中最低值。

2.1 結(jié)構(gòu)強制要求

對于安全儀表系統(tǒng)，檢測器、邏輯控制器和執(zhí)行元件應(yīng)滿足最小HFT要求。IEC 61508-2中[8]，定義了兩種不同類型的子系統(tǒng)。

①類型A：失效狀態(tài)可以預(yù)見，“簡單的系統(tǒng)”，如Pt100、閥門等。

②類型B：失效狀態(tài)不可以預(yù)見，“復(fù)雜的系統(tǒng)”，如智能變送器。

應(yīng)計算安全儀表系統(tǒng)中每個子系統(tǒng)的安全失效率(safe failure fraction，SFF)。SFF的計算可以采用以下公式。

總失效：

λ=λS+λD

(1)

危險失效：

λD=λDD+λDU

(2)

安全失效：

λS=λSD+λSU

(3)

安全失效率：

(4)

每個子系統(tǒng)可以達(dá)到的SIL，取決于該儀表的SFF和HFT，參見表1和表2。

表1 SIL對照表Tab.1 SIL reference

表2 SIL等級對應(yīng)的最小HFT要求Tab.2 Minimum HFT to achieve a certain SIL

檢測器、執(zhí)行元件和非可編程控制器的最小硬件故障冗余度要求如下。

根據(jù)IEC 61511-1[9]，對于檢測器和執(zhí)行元件，如果制造商可以申明裝置已在實際應(yīng)用中驗證過，并可以滿足一些進(jìn)一步的要求，HFT要求可以減1。在計算過程中，裝置的冗余度增加可以提高HFT，進(jìn)而提高SIL。

整個回路的SIL，對于子系統(tǒng)A和B沒有差別，應(yīng)該取回路中輸入、邏輯控制器和輸出單元中的最低SIL，不需要進(jìn)一步區(qū)分系統(tǒng)類型A和B。

2.2 需求失效率PFD計算

對于低需求操作模式的回路，在IEC 61508中，不同SIL對應(yīng)的PFD值如表3所示。

表3 不同SIL對應(yīng)的PFD值Tab.3 PFD values corresponding to different SIL

整個回路可以認(rèn)為是子系統(tǒng)的串聯(lián)。每個子系統(tǒng)可能包含進(jìn)一步的子系統(tǒng)。回路的PFD等于各個子系統(tǒng)PFD的和。串聯(lián)子系統(tǒng)示意圖如圖 1所示。

圖1 串聯(lián)子系統(tǒng)示意圖
Fig.1 Serial connection of subsystems

檢測器和執(zhí)行元件的投票結(jié)構(gòu)如圖2所示。

圖 2 投票結(jié)構(gòu)圖Fig.2 Voting structure

一般情況下，執(zhí)行元件系統(tǒng)PFD值不應(yīng)超過回路總許可PFD值的60%，檢測元件系統(tǒng)不應(yīng)超過35%，邏輯控制系統(tǒng)不應(yīng)超過5%。若安全回路中各子系統(tǒng)供貨范圍分屬不同承包商，各子系統(tǒng)分包商應(yīng)提供子系統(tǒng)的PFD計算值，并提交給總集成商，用于計算整個回路的PFD值。計算PFD值時，需根據(jù)不同的投票結(jié)構(gòu)選擇相應(yīng)的計算公式。

IEC 61508-6的附件B.2.2提供了普通子系統(tǒng)PFD值的數(shù)學(xué)計算公式。限于篇幅限制，此處僅列出常用結(jié)構(gòu)公式，其他結(jié)構(gòu)公式可在IEC 61508-6的附件B中查到。

①1oo1。

PFDsubsys=λDtCE

(5)

②2oo2。

PFDsubsys=2λDtCE

(6)

③1oo2。

PFDsubsys=2[(1-βD)λDD+(1-β)λDU]2×

tCE×tGE+βD×λDD×MTTR+β×

(7)

④2oo3。

PFDsubsys=6[(1-βD)λDD+(1-β)λDU]2×tCE×tGE×βDλDD×MTTR+β×λDU×

(8)

3 實例分析

當(dāng)溫度低于低低聯(lián)鎖值時,應(yīng)立刻切斷閥門保護(hù)下游管道和設(shè)備。以這一安全聯(lián)鎖功能為例，計算該回路所能滿足的SIL等級。首先要獲得回路中所有儀表的SIL計算所需數(shù)據(jù)，實現(xiàn)該安全聯(lián)鎖功能。回路中包括鉑電阻溫度計、溫度變送器、安全認(rèn)證AI卡件、安全認(rèn)證CPU、安全認(rèn)證DO卡件、電磁閥以及調(diào)節(jié)閥。

儀表SIL計算所需參數(shù)如表4所示。

表4 儀表SIL計算所需參數(shù)Tab.4 Parameters for SIL calculation of instrument

根據(jù)3.1節(jié)所述方法，首先評估回路中不同投票結(jié)構(gòu)各子系統(tǒng)單獨的SIL，HFT的提高可以提高子系統(tǒng)單獨的SIL。所以溫變和RTD在HFT為0時可以滿足SIL2，采用2oo3結(jié)構(gòu)就可以滿足SIL3的要求?；芈稴IL計算如表5所示。表5中最后一列列出了各子系統(tǒng)單獨能夠滿足的SIL。另外，還需根據(jù)第4節(jié)所述方法，計算各子系統(tǒng)的PFD值，根據(jù)不同的投票結(jié)構(gòu),選擇不同的公式進(jìn)行計算。表5中PFD值即為根據(jù)不同公式計算出的各系統(tǒng)PFD值。

表5 回路SIL計算Tab.5 Loop SIL calculation

根據(jù)第2節(jié)所述，取回路中每個儀表單獨SIL等級的最低值作為整個回路在硬件結(jié)構(gòu)上能夠?qū)崿F(xiàn)的SIL等級，然后再計算整個回路總PFD值為9.64E-04。根據(jù)表3，確定可以滿足SIL3安全等級要求，并取兩者中的低值作為整個回路最終能夠滿足的SIL，即為SIL2。這樣即可確定該回路可以滿足SIL2安全等級要求。如果計算結(jié)果不能滿足工藝安全對回路的SIL等級要求，可以通過改變子系統(tǒng)硬件結(jié)構(gòu)，如增加冗余度、更換SIL更高的儀表、縮短測試時間間隔等方式，來提高回路可以實現(xiàn)的SIL。

4 結(jié)束語

針對化工裝置安全儀表系統(tǒng)安全等級計算，詳細(xì)闡述了計算所需參數(shù)及其含義，以及參數(shù)的來源。一般情況下，應(yīng)用于安全儀表系統(tǒng)的所有儀表都可以提供SIL認(rèn)證及安全等級計算所需數(shù)據(jù)。安全等級計算應(yīng)從硬件結(jié)構(gòu)和回路總需求失效率兩方面進(jìn)行。對于不同的投票結(jié)構(gòu)，應(yīng)選擇相應(yīng)的計算公式，文中列舉了常用結(jié)構(gòu)的計算公式。最終，回路能夠?qū)崿F(xiàn)的SIL應(yīng)取這兩方面計算結(jié)果的最低值，類似于木桶的短板原理。通過實例，計算了一個可以滿足SIL2需求的安全聯(lián)鎖回路。

參考文獻(xiàn):

[1] 國家質(zhì)量監(jiān)督檢驗檢疫總局.電氣/電子/可編輯電子安全相關(guān)系統(tǒng)的功能安全:GB/T 20438[S].北京：中國標(biāo)準(zhǔn)出版社,2006.

[2] 國家質(zhì)量監(jiān)督檢驗檢疫總局.過程工業(yè)領(lǐng)域安全儀表系統(tǒng)的功能安全:GB/T 21109[S].北京：中國標(biāo)準(zhǔn)出版社,2007.

[3] 張建國.SIS在過程工業(yè)應(yīng)用中的典型問題探討[J].石油化工自動化,2010(1):3-6.

[4] 李榮強.安全儀表系統(tǒng)安全完整性等級評估技術(shù)研究[D].北京：中國石油大學(xué)，2011.

[5] 龔義文.安全儀表系統(tǒng)在化工裝置中的應(yīng)用[J].自動化儀表，2010,31(12)：50-54.

[6] 張建國.安全儀表系統(tǒng)在過程工業(yè)中的應(yīng)用[M].北京：中國電力出版社,2010:25-58.

[7] 舒逸聃，趙勁松.安全儀表系統(tǒng)安全完整性等級驗證研究進(jìn)展[J].計算機(jī)與應(yīng)用化學(xué)，2011,28(12)：1585-1588.

[8] IEC 61508.Functional safety of electrical/electronic/ programmable safety-related systems[S].2010.

[9] IEC 61511.Functional safety-Safety instrumented systems for the process industry sector[S].2003.