文科星

（德希尼布化學(xué)工程（天津）有限公司上海分公司，上海200021）

0 引言

隨著《國(guó)家安全監(jiān)管總局關(guān)于加強(qiáng)化工安全儀表系統(tǒng)管理的指導(dǎo)意見(jiàn)》（安監(jiān)總管三〔2014〕116號(hào)）的發(fā)布，各化工企業(yè)對(duì)生產(chǎn)過(guò)程中安全問(wèn)題的重視程度得到了極大的提高。安全儀表系統(tǒng)（SIS，Safety Instrumented System）能在生產(chǎn)過(guò)程中可能出現(xiàn)安全事故時(shí)瞬間準(zhǔn)確動(dòng)作，將生產(chǎn)過(guò)程導(dǎo)入預(yù)定的安全狀態(tài)，減少事故帶來(lái)的危害。因此，安全儀表系統(tǒng)的組建是保障生產(chǎn)安全的關(guān)鍵。安全儀表功能（SIF，Safety Instrumented Functions）是組建安全儀表系統(tǒng)的基礎(chǔ)。安全儀表功能的目標(biāo)是什么，以及如何評(píng)估和驗(yàn)證安全儀表功能，是各化工企業(yè)及工程公司在落實(shí)安監(jiān)局的要求時(shí)遇到的主要問(wèn)題。

本文對(duì)某年產(chǎn)12萬(wàn)t氯氣的鹽酸回收裝置中安全儀表功能（SIF）的工程經(jīng)驗(yàn)進(jìn)行分析，為未來(lái)新建的石油化工項(xiàng)目執(zhí)行該條文提供了借鑒。

1 安全儀表功能的目標(biāo)

安全儀表功能的目標(biāo)來(lái)自于工藝危害分析（Process Hazard Analysis，PHA）的結(jié)果。工藝危害分析是工藝安全管理的核心要素，是有組織地、系統(tǒng)性地對(duì)工藝裝置或設(shè)施進(jìn)行危害辨識(shí)，為消除和減少工藝過(guò)程中的危害、減輕事故后果提供了必要的決策依據(jù)。

國(guó)家安全生產(chǎn)監(jiān)督管理總局頒布了AQ/T 3049—2013《危險(xiǎn)與可操作性分析（HAZOP分析）應(yīng)用導(dǎo)則》和AQ/T 3054—2015《保護(hù)層分析（LOPA）方法應(yīng)用導(dǎo)則》，用于指導(dǎo)使用這兩種方法來(lái)進(jìn)來(lái)工藝危害分析的具體應(yīng)用步驟。

危險(xiǎn)與可操作性分析法（Hazard and Operability Analysis，HAZOP）是工藝危害分析中的一種定性分析方法，能夠辨識(shí)出主要的、風(fēng)險(xiǎn)等級(jí)高的工藝危害。

保護(hù)層分析（Layer of Protection Analysis，LOPA）是一種半定量的風(fēng)險(xiǎn)分析和評(píng)估方法，是建立在定性危害分析的基礎(chǔ)上，通過(guò)對(duì)初始事件頻率、后果嚴(yán)重程度和獨(dú)立保護(hù)層失效概率的數(shù)量級(jí)大小來(lái)近似表征場(chǎng)景的風(fēng)險(xiǎn)的一種工藝危害分析的方法。

IEC 61511《過(guò)程工業(yè)安全儀表系統(tǒng)的功能安全》中的洋蔥模型形象地概括了過(guò)程工業(yè)中獨(dú)立保護(hù)層的結(jié)構(gòu)，如圖1所示。安全儀表系統(tǒng)（SIS）由多個(gè)SIL等級(jí)不同的SIF組成，即安全儀表功能（SIF）處于該結(jié)構(gòu)中安全儀表系統(tǒng)（SIS）層級(jí)。

LOPA分析的結(jié)果報(bào)告中包含了對(duì)安全儀表功能（SIF）的平均失效概率（PFDavg）的具體要求。工程實(shí)踐中，大多數(shù)石油化工裝置的安全儀表系統(tǒng)工作于低要求操作模式。根據(jù)IEC 61511中低要求模式下平均失效概率與SIL級(jí)別的對(duì)應(yīng)關(guān)系，如表1所示，安全儀表等級(jí)（Safety Integral Level，SIL）也就能確定了。

圖1 獨(dú)立保護(hù)層“洋蔥模型”

表1 SIL等級(jí)與PFDavg的對(duì)應(yīng)關(guān)系

安全儀表功能的目標(biāo)就是需要通過(guò)設(shè)計(jì)、選型該回路中的檢測(cè)元件、控制元件和執(zhí)行元件，使該回路SIF計(jì)算的PFDavg值小于LOPA分析結(jié)果提出來(lái)的要求。

2 安全儀表功能的評(píng)估和驗(yàn)證

安全儀表功能的評(píng)估和驗(yàn)證主要包含平均失效概率PFDavg的計(jì)算、結(jié)構(gòu)約束（Architecture Constraints）的驗(yàn)證和系統(tǒng)完整性（System Capability）的評(píng)估。

2.1 PFDavg的計(jì)算

組成安全儀表功能的安全儀表回路包括傳感器（Sensor）、安全邏輯控制器（Safety PLC）和最終執(zhí)行元件（Final Element）。SIF回路的PFDavg值即為這三個(gè)部分的PFDavg之和，目前主要的計(jì)算方法有：根據(jù)IEC 61508的簡(jiǎn)化方程式法、根據(jù)IEC 61078的可靠性框圖分析法（RBD）、根據(jù)IEC 61025的事故樹(shù)分析法（FTA）、根據(jù)IEC 61165的馬爾科夫模型（Markov）計(jì)算法。工程實(shí)踐中，IEC 61508的簡(jiǎn)化方程式法應(yīng)用比較普遍，表2中列出了最常見(jiàn)的三種結(jié)構(gòu)下的計(jì)算公式。

PFDavg計(jì)算過(guò)程中，驗(yàn)證各元件的安全數(shù)據(jù)是計(jì)算的基礎(chǔ)。安全儀表數(shù)據(jù)包含被檢測(cè)到的安全故障率SD（Safe Detected）、未被檢測(cè)到的安全故障率SU（Safe Undetected）、被檢測(cè)到的危險(xiǎn)故障率DD（Dangerous Detected）、未被檢測(cè)到的危險(xiǎn)故障率DU（Dangerous Undetected）、診斷覆蓋率DC（Diagnostic Coverage）、安全失效分?jǐn)?shù)SFF（Safe Failure Fraction），其中SFF=（SU+SD+DD）/（SU+SD+DD+DU），它主要有以下幾種來(lái)源：

表2 PFDavg簡(jiǎn)化計(jì)算公式

（1）通用數(shù)據(jù)庫(kù)，主要有來(lái)自DNV的海上設(shè)備可靠性數(shù)據(jù)庫(kù)ORENDA、來(lái)自CCPS的過(guò)程設(shè)備可靠性數(shù)據(jù)庫(kù)PERD、來(lái)自EXIDA的安全設(shè)備可靠性數(shù)據(jù)庫(kù)SERH以及來(lái)自SINTEF的安全儀表系統(tǒng)可靠性數(shù)據(jù)庫(kù)PDS。

（2）第三方機(jī)構(gòu)根據(jù)IEC 61508出具的SIL證書(shū)或FMEDA報(bào)告。

（3）生產(chǎn)廠家的聲明。廠家出具的數(shù)據(jù)可能會(huì)過(guò)于激進(jìn)，在工程實(shí)踐中，需將該數(shù)據(jù)與通用數(shù)據(jù)庫(kù)中的同類型數(shù)據(jù)進(jìn)行對(duì)比，若廠家數(shù)據(jù)優(yōu)于通用數(shù)據(jù)庫(kù)的數(shù)據(jù)，則使用通用數(shù)據(jù)庫(kù)的數(shù)據(jù)進(jìn)行計(jì)算；無(wú)法對(duì)比時(shí)，應(yīng)考慮5～10倍的安全系數(shù)。

（4）先驗(yàn)數(shù)據(jù)，在類似工廠的相似工況下使用的儀表數(shù)據(jù)可作為安全數(shù)據(jù)的一種來(lái)源。

冗余結(jié)構(gòu)中共因失效因子β值的選取取決于冗余通道上所使用的技術(shù)的多樣性，在工程實(shí)踐中常用如下經(jīng)驗(yàn)數(shù)據(jù)：

（1）同一品牌及同一測(cè)量原理的元件組成的冗余結(jié)構(gòu)，β值取值范圍建議為0.05～0.15；

（2）不同品牌的同一測(cè)量原理的元件組成的冗余結(jié)構(gòu)，β值取值范圍建議為0.01～0.04；

（3）不同測(cè)量原理的元件組成的冗余結(jié)構(gòu)，β值取值范圍建議為0.001～0.01。

2.2 結(jié)構(gòu)約束

安全儀表功能的目標(biāo)包含了SIL等級(jí)的要求，IEC 61508中針對(duì)不同的SIL等級(jí)有HFT的要求，在SIF驗(yàn)證的階段需要根據(jù)SIF回路情況對(duì)各組成部分的冗余情況進(jìn)行總結(jié)，從而對(duì)結(jié)構(gòu)約束進(jìn)行驗(yàn)證。

根據(jù)IEC 61508的結(jié)構(gòu)約束對(duì)硬件故障裕度（Hard Fault Tolerance，HFT）的要求，如表3所示，SFF會(huì)影響SIF回路中各傳感器和最終執(zhí)行元件的冗余類型。硬件故障裕度N，意味著N+1個(gè)故障將導(dǎo)致安全功能的喪失。A型子系統(tǒng)是指所有組成部件的失效模式都能被很好地定義的系統(tǒng)，常見(jiàn)的包括各種現(xiàn)場(chǎng)開(kāi)關(guān)信號(hào)、閥門上的信號(hào)，比如液位開(kāi)關(guān)、電磁閥等。B型子系統(tǒng)是指至少有一個(gè)組成部件的失效模式?jīng)]有被很好地定義，常見(jiàn)的包括SIS系統(tǒng)硬件、各種現(xiàn)場(chǎng)變送器等。通過(guò)SIL認(rèn)證的各種現(xiàn)場(chǎng)變送器等B型子系統(tǒng)的SFF在90%～99%，符合SIL2的要求，冗余配置可以達(dá)到SIL3。通過(guò)SIL認(rèn)證的A型子系統(tǒng)SFF一般都在90%～99%，能滿足SIL3要求。

2.3 系統(tǒng)完整性

IEC 61508中提出了系統(tǒng)完整性（Systematic Capability，SC）的概念，主要是考慮系統(tǒng)失效方面的風(fēng)險(xiǎn)控制，它的等級(jí)代表了一種評(píng)價(jià)產(chǎn)品的設(shè)計(jì)技術(shù)和生產(chǎn)技術(shù)在質(zhì)量方面的度量。用于SIF回路中的元件都必須是SC等級(jí)高于回路SIL等級(jí)的，比如SIL3的回路中使用2oo3結(jié)構(gòu)的變送器達(dá)到了平均失效率PFDavg的要求，但如果變送器的SC等級(jí)是SC2，這個(gè)回路的設(shè)計(jì)還是不能滿足SIL3的要求。在IEC 61511中有一種可替代的方案，最終用戶可以基于“先驗(yàn)使用”的經(jīng)驗(yàn)對(duì)產(chǎn)品的SIL級(jí)別進(jìn)行判定。

表3 不同SIL等級(jí)對(duì)HFT的要求

2.4 改進(jìn)措施

SIF回路的平均失效概率PFDavg計(jì)算結(jié)果可能會(huì)達(dá)不到LOPA的要求，常用的降低PFDavg的措施有如下幾種：

（1）降低測(cè)試時(shí)間T：測(cè)試時(shí)間T一般是根據(jù)工廠停車檢修的頻率來(lái)設(shè)置。當(dāng)回路PFDavg達(dá)不到要求時(shí)，可以根據(jù)該回路所在工藝段的具體操作情況調(diào)整該回路的測(cè)試時(shí)間。

（2）提高冗余：由PFDavg的計(jì)算公式可以看出將元件的冗余改變時(shí)，PFDavg值能得到極大的改善。

（3）增加閥門的部分行程測(cè)試PST（Partial Stroke Test）：閥門是執(zhí)行元件中最常用的，閥門功能失效最可能的情況是在需要?jiǎng)幼鲿r(shí)卡住了。因此，在閥門上增加部分行程測(cè)試（一般指10%～20%的行程）的功能能提高發(fā)現(xiàn)閥門卡住引起的功能失效的概率。部分行程測(cè)試的周期一般為回路測(cè)試周期的10%，如回路測(cè)試周期為一年，部分行程測(cè)試周期為一個(gè)月。部分行程測(cè)試對(duì)工藝操作會(huì)造成短暫的波動(dòng)，這種波動(dòng)大多數(shù)情況下是可以接受的。

（4）其他診斷措施：有冗余結(jié)構(gòu)的情況或在同一管路、同一設(shè)備上有同樣的測(cè)量?jī)x表時(shí)，可以增加偏差報(bào)警，如兩個(gè)測(cè)量?jī)x表之間的偏差超過(guò)10%時(shí)產(chǎn)生一個(gè)需要操作員干預(yù)的報(bào)警信號(hào)，提早發(fā)現(xiàn)儀表的功能失效。

在各種改進(jìn)措施都不能達(dá)到LOPA要求時(shí)，應(yīng)考慮是否需要增加額外的獨(dú)立保護(hù)層。

3 安全儀表功能的維護(hù)和管理

安全儀表功能在投用時(shí)需要進(jìn)行測(cè)試驗(yàn)證，投用后也需要根據(jù)PFDavg計(jì)算中的測(cè)試周期進(jìn)行定期驗(yàn)證測(cè)試。測(cè)試的主要任務(wù)包括驗(yàn)證現(xiàn)場(chǎng)儀表，驗(yàn)證邏輯和操作程序，記錄測(cè)試驗(yàn)證的結(jié)果。

現(xiàn)場(chǎng)儀表的測(cè)試驗(yàn)證可以依據(jù)SIF回路中各元件的安全手冊(cè)，安全手冊(cè)中提供了該元件的測(cè)試方法以及根據(jù)該測(cè)試方法元件的診斷恢復(fù)系數(shù)。大多數(shù)的測(cè)試方法都需要離線，因此SIF回路的測(cè)試驗(yàn)證工作都是在工廠大修期間進(jìn)行的。

驗(yàn)證邏輯和操作程序是驗(yàn)證安全儀表功能的可用性，確保在需要時(shí)SIF按預(yù)想的方式工作。

記錄測(cè)試驗(yàn)證的結(jié)果，一方面是安全儀表功能的要求，保留測(cè)試的樣本；另一方面可以作為安監(jiān)局審查的資料。

4 結(jié)語(yǔ)

本文根據(jù)國(guó)內(nèi)、國(guó)際規(guī)范詳細(xì)介紹了安全儀表功能的評(píng)估和驗(yàn)證技術(shù)，并結(jié)合工程實(shí)踐，給出了具體的操作方法和改進(jìn)建議，為未來(lái)新建的石油化工項(xiàng)目中安全儀表系統(tǒng)設(shè)計(jì)和管理提供了借鑒。

[1]Functional Safety of Electrical/Electronic/Programmable Electronic Safety-Related Systems:IEC 61508[S].

[2]Functional Safety-Safety Instrumented Systems for the Process Industry Sector:IEC 61511[S].

[3]危險(xiǎn)與可操作性分析（HAZOP分析）應(yīng)用導(dǎo)則：AQ/T 3049—2013[S].

[4]保護(hù)層分析（LOPA）方法應(yīng)用導(dǎo)則：AQ/T 3054—2015[S].

[5]余濤.石化裝置風(fēng)險(xiǎn)評(píng)估與儀表安全功能評(píng)估技術(shù)研究[D].北京：北京化工大學(xué)，2012.

[6]高嗣晟.安全儀表功能回路設(shè)計(jì)及SIL驗(yàn)算[J].石油化工自動(dòng)化，2017（4）：8-13.