陳 昀

（中國石化工程建設(shè)有限公司，北京100101）

石油化工廠大多是易燃、易爆、高溫和高壓裝置，安全儀表系統(tǒng)（SIS）是確保人身安全、財(cái)產(chǎn)安全和環(huán)境安全的重要措施之一。石油化工裝置設(shè)計(jì)應(yīng)進(jìn)行危險(xiǎn)與可操作性分析（HAZOP）、保護(hù)層分析（LOPA）及安全完整性等級(jí)（SIL）評估。在工程的設(shè)計(jì)、建設(shè)、運(yùn)行維護(hù)及變更時(shí)均應(yīng)進(jìn)行SIL評估。

SIS是實(shí)現(xiàn)一個(gè)或多個(gè)安全儀表功能（SIF）的系統(tǒng)[1]。SIL是衡量SIS功能的安全等級(jí)。國際標(biāo)準(zhǔn)IEC 61508 Functional Safety of Electrical/Electronic/Programmable/Electronic Safety-Related Systems[2]對SIL的定義為：在一定時(shí)間一定條件下，安全相關(guān)系統(tǒng)執(zhí)行其所規(guī)定的安全功能的可能性。

本文介紹了中國石化工程建設(shè)有限公司（SEI）所承擔(dān)的國外某聚丙烯裝置安全儀表系統(tǒng)SIL評估的步驟，遵循的標(biāo)準(zhǔn)規(guī)范[3]以及平均失效概率（PFDavg）的計(jì)算。

1 聚丙烯裝置安全儀表系統(tǒng)設(shè)計(jì)的要求

聚丙烯裝置工藝流程如圖1所示，丙烯、氫氣、催化劑和助催化劑等反應(yīng)原料進(jìn)行相應(yīng)準(zhǔn)備處理后，進(jìn)入反應(yīng)器進(jìn)行聚合，生成的聚丙烯粉料與各種添加劑按比例進(jìn)行擠壓造粒處理，最后成為各種不同牌號(hào)聚丙烯粒料成品。聚丙烯的反應(yīng)動(dòng)力受催化劑和聚合條件的影響，如催化劑的化學(xué)物理結(jié)構(gòu)和活化劑的性能、催化劑和活化劑的比例及濃度、氫濃度、溫度、攪拌速度等。由于催化劑體系的活性以及助催化劑的遇空氣燃燒、遇水即爆炸的危險(xiǎn)性，工廠停水、停電，聚合反應(yīng)器操作安全性等要求，聚丙烯裝置必須設(shè)置完善的SIS。

在SIS設(shè)計(jì)前，首先根據(jù)工藝操作及安全聯(lián)鎖說明、P&ID圖對過程對象進(jìn)行HAZOP分析和SIL等級(jí)確定，確定相關(guān)控制對象的功能安全需求[4]。

圖1 聚丙烯裝置工藝流程示意

對生產(chǎn)中的風(fēng)險(xiǎn)和危害進(jìn)行識(shí)別、評價(jià)，根據(jù)風(fēng)險(xiǎn)事故的后果和發(fā)生的概率，采用風(fēng)險(xiǎn)矩陣分析法確定SIL等級(jí)，將風(fēng)險(xiǎn)降低到可以容忍的范圍之內(nèi)。SIL等級(jí)的確定是SIF回路設(shè)計(jì)的基礎(chǔ)，為SIS執(zhí)行安全功能提供依據(jù)。該裝置風(fēng)險(xiǎn)等級(jí)見表1所列。

表1 風(fēng)險(xiǎn)等級(jí)

表1中，可能性采用半定量分析形式，按照事故發(fā)生頻率從低到高依次分為4個(gè)等級(jí)?？赡苄园攵糠治鲆姳?所列。

風(fēng)險(xiǎn)矩陣表的后果嚴(yán)重性分析從人員傷害、環(huán)境影響、財(cái)產(chǎn)損失和聲譽(yù)影響四個(gè)方面分類，每類影響按照嚴(yán)重性從低到高依次分為4個(gè)等級(jí)。后果嚴(yán)重性分析見表3所列。

表2 可能性半定量分析

表3 后果嚴(yán)重性分析

由表1～3可見，與國內(nèi)的風(fēng)險(xiǎn)可能性和后果嚴(yán)重性的分析度量要求相比，國外石化裝置的危險(xiǎn)分析和SIL等級(jí)確定標(biāo)準(zhǔn)更高更嚴(yán)格。

在HAZOP分析和SIL等級(jí)確定完成基礎(chǔ)上，可進(jìn)行SIF回路的設(shè)計(jì)和SIL計(jì)算。該裝置的SIS采用低要求模式的PFDavg來衡量和計(jì)算SIS的SIL等級(jí)。該裝置SIL等級(jí)為1～2級(jí)，對應(yīng)平均失效概率值見表4所列。

表4 安全儀表系統(tǒng)SIL等級(jí)（低要求操作模式)

2 平均失效概率計(jì)算公式

2.1 平均失效概率

IEC 61508中，安全相關(guān)系統(tǒng)的安全功能要求時(shí)的平均失效概率 PFDSYS，通過計(jì)算所有子系統(tǒng)，包括傳感器、邏輯控制器、最終元件等的平均失效概率后確定。

式中：PFDSYS——安全相關(guān)系統(tǒng)的安全功能要求時(shí)的平均失效概率；PFDS——傳感器子系統(tǒng)安全功能要求時(shí)的平均失效概率；PFDL——邏輯子系統(tǒng)安全功能要求時(shí)的平均失效概率；PFDFE——最終元件子系統(tǒng)安全功能要求時(shí)的平均失效概率。

ISA 84.00.02 Saf ety Instrumented Function（SIF）-Safety Integrity Level （SIL）Evaluation Techniques[6]中安全功能的平均失效概率公式為

式中：PFDA——安全功能要求時(shí)最終元件的平均失效概率；PFDPS——安全功能要求時(shí)電源的平均失效概率；i——安全功能中組成元件的數(shù)量。

安全相關(guān)系統(tǒng)設(shè)計(jì)為故障安全，則當(dāng)電源失效時(shí)，安全相關(guān)系統(tǒng)仍處于安全狀態(tài)，電源的平均失效概率 PFDPS不會(huì)對系統(tǒng)要求的平均失效概率產(chǎn)生影響。此時(shí)式（2）可簡化等同于式（1）。

2.2 三種表決結(jié)構(gòu)平均失效概率的計(jì)算

在該聚丙烯裝置中，采用了三種表決結(jié)構(gòu)。它們的PFDavg計(jì)算公式，分述如下。

2.2.1 “1oo1”結(jié)構(gòu)

IEC 61508中 “1oo1”的計(jì)算公式：

式中：tCE——通道的等效平均停止工作時(shí)間；λD——子系統(tǒng)中通道的危險(xiǎn)失效率；λDU——未檢測到的危險(xiǎn)失效率；λDD——檢測到的危險(xiǎn)失效率；T1——檢驗(yàn)測試時(shí)間間隔，h；MTTR——平均修復(fù)時(shí)間，h。

2.2.2 “1oo2”結(jié)構(gòu)

IEC 61508中“1oo2”公式：

式中：tGE——表決組的等效平均停止工作時(shí)間，h；λSD——子系統(tǒng)中被檢測到的安全失效率；β——有共同原因沒有被檢測到的失效分?jǐn)?shù)；βD——具有共同原因已被檢測到的失效分?jǐn)?shù)；β=2βD。

β可根據(jù)IEC 61508附錄中的表D.1評分得到。β取1%，2%，5%，10%，對應(yīng)的 βD分別為0.5%，1%，2.5%，5%。將上述數(shù)據(jù)分別代入式（5）～（7）中計(jì)算，結(jié)果相差很小，可以忽略。為簡化計(jì)算，現(xiàn)場儀表計(jì)算將β取2%，βD取1%。

2.2.3 “2oo3”結(jié)構(gòu)

IEC 61508中 “2oo3”的計(jì)算公式：

由上述各公式可見，IEC 61508中的計(jì)算方法需要知道儀表λSD，λDD，λDU，λD等數(shù)據(jù)，這些數(shù)據(jù)由儀表制造廠提供；該方法適用于已取得SIL認(rèn)證的儀表、邏輯控制器、最終元件等。

ISA 84.00.02中的PFDavg計(jì)算公式簡單便捷。ISA 84.00.02中的簡化公式的前提是不考慮β以及MTTR小至可以忽略[7]。這樣的簡化計(jì)算和實(shí)際的驗(yàn)證結(jié)果有些微偏差。ISA 84.00.02明確指出該公式僅適用于SIL1和SIL2的安全儀表系統(tǒng)驗(yàn)證。

3 平均失效概率計(jì)算實(shí)例

聚丙烯裝置中，廢水沖洗罐D(zhuǎn)-101需設(shè)置SIF回路。采用壓力變送器PT-101測量廢水沖洗罐壓力，當(dāng)壓力高高時(shí)關(guān)閉進(jìn)料切斷閥UV-101。該回路SIL等級(jí)要求為SIL2。

該裝置SIL驗(yàn)證研究假設(shè)的架構(gòu)約束基于IEC 61508，全生命周期假定為15 a。每個(gè)SIF回路只在符合低要求操作模式下運(yùn)行。

對于傳感器，邏輯控制器和最終元件的冗余設(shè)備，該裝置中β為0.2%。所有組件的MTTR均為8 h。該裝置每個(gè)SIF回路的 T1按1 a計(jì)算。

3.1 基本回路構(gòu)成

廢水沖洗罐安全儀表回路如圖2所示，該回路由壓力變送器、邏輯控制器及執(zhí)行機(jī)構(gòu)閥門等組成。若采用未經(jīng)SIL認(rèn)證的傳感器和最終元件子系統(tǒng)，IEC 61508中的計(jì)算公式較復(fù)雜，所需參數(shù)較多，可采用ISA 84.00.02中的簡化公式進(jìn)行計(jì)算[8]。

圖2 廢水沖洗罐安全儀表回路示意

假設(shè)未經(jīng)SIL認(rèn)證的普通儀表診斷覆蓋率DC=0，λDU=λD-λDD=λD-λDDC=λD（1-DC），則λDU=λD。對于沒有采用安全儀表的裝置，儀表的參數(shù)很難得到。為解決該難點(diǎn)，ISA收集了6個(gè)工廠的經(jīng)驗(yàn)數(shù)據(jù)，見表5所列。

表5 ISA統(tǒng)計(jì)的6個(gè)工廠經(jīng)驗(yàn)數(shù)據(jù) a

若無法獲得該裝置的參數(shù)，可以用ISA 84.00.02中的工廠經(jīng)驗(yàn)值進(jìn)行計(jì)算。λD=1/MTTFD，代入式（4），各子系統(tǒng)的平均失效概率如下：

根據(jù)式（1），整個(gè)系統(tǒng)的平均失效概率為

用結(jié)果查表4可知，安全儀表回路SIL=1。在傳感器子系統(tǒng)和最終元件子系統(tǒng)的儀表數(shù)量較少，表決結(jié)構(gòu)簡單的情況下，質(zhì)量可靠、工程應(yīng)用廣泛但未取得SIL認(rèn)證的傳感器和最終元件構(gòu)成的“1oo1”SIF回路，基本滿足了整個(gè)系統(tǒng)SIL1的要求，但不滿足SIL2的要求，需要通過降低系統(tǒng)的平均失效概率提升SIL等級(jí)。

從表5和計(jì)算結(jié)果可以看出，整個(gè)安全儀表系統(tǒng)的PFDavg中，壓力變送器約占28%，邏輯控制器約占14%，執(zhí)行機(jī)構(gòu)閥門約占57%。傳感器和最終元件的PFDavg占大部分的比例，邏輯控制器占比例較少，三部分子系統(tǒng)的平均失效概率最大值決定了整個(gè)系統(tǒng)的SIL等級(jí)。為達(dá)到提升回路的安全完整性等級(jí)，可優(yōu)先降低傳感器和最終元件子系統(tǒng)的平均失效概率。

3.2 采用認(rèn)證的傳感器和最終元件及邏輯控制器系統(tǒng)

該裝置全部采用經(jīng)過SIL2認(rèn)證的傳感器和最終元件子系統(tǒng)等儀表產(chǎn)品，邏輯控制器系統(tǒng)采用SIL3認(rèn)證的CPU，I/O卡件等，使用的品牌型號(hào)認(rèn)證參數(shù)見表6所列。

表6 某聚丙烯裝置儀表SIL認(rèn)證參數(shù)

將表6的參數(shù)代入IEC 61508公式（3）中，可得∑PFDS=8.14×10-4；∑PFDL=3.14×10-3；∑PFDFE=5.73×10-3。整個(gè)系統(tǒng)的平均失效概率PFDSYS=9.684×10-3。安全儀表系統(tǒng)回路等級(jí)為SIL2級(jí)，安全完整性等級(jí)得到了提高。

3.3 檢驗(yàn)測試時(shí)間間隔

儀表檢驗(yàn)測試能有效地降低λDU。且由各種表決結(jié)構(gòu)的PFDavg公式可知，T1對PFDavg也有影響，儀表的檢驗(yàn)測試時(shí)間間隔越短，PFDavg越小。

該裝置中，每個(gè)安全儀表的 T1定義為1 a。在該條件下，將表6的參數(shù)代入式（3）中，可得∑PFDS=2.78×10-4；∑PFDL=1.05×10-3；∑PFDFE=3.93×10-3。整個(gè)系統(tǒng)的PFDSYS=5.258×10-3。

3.4 傳感器

通過冗余配置各子系統(tǒng)的表決結(jié)構(gòu)，可增加整個(gè)系統(tǒng)的SIL等級(jí)。該裝置在冗余配置壓力變送器PT-101時(shí)，使用幾種不同的表決結(jié)構(gòu)進(jìn)行了對比計(jì)算，其結(jié)果分析如下。

3.4.1 傳感器“1oo2”配置

傳感器“1oo2”配置如圖3所示，傳感器子系統(tǒng)由2個(gè)并聯(lián)的壓力變送器構(gòu)成，無論哪個(gè)壓力變送器都能處理安全功能。當(dāng)2個(gè)壓力變送器同時(shí)失效時(shí)，傳感器子系統(tǒng)才被認(rèn)為安全功能失效。

圖3 傳感器“1oo2”配置示意

壓力變送器參數(shù)代入式（5）～（7）中，可得：PFDavg=1×10-7。

因?yàn)槭褂谩?oo2”冗余配置的方法，所以傳感器子系統(tǒng)的PFDavg大幅降低。實(shí)際使用時(shí)，雖然“1oo2”的配置結(jié)構(gòu)使得整個(gè)系統(tǒng)的安全性增加但可用性降低，不便于裝置的生產(chǎn)運(yùn)行。

3.4.2 傳感器“2oo3”配置

傳感器“2oo3”配置如圖4所示，傳感器子系統(tǒng)由3個(gè)并聯(lián)的壓力變送器組成。當(dāng)僅有1個(gè)壓力變送器失效時(shí)，子系統(tǒng)仍舊可以實(shí)現(xiàn)安全功能；當(dāng)任意2個(gè)或者3個(gè)壓力變送器都失效時(shí)，傳感器子系統(tǒng)被認(rèn)為安全功能失效。

圖4 傳感器“2oo3”配置示意

壓力變送器參數(shù)代入式（5），式（6），式（9）中，可得傳感器子系統(tǒng)PFDavg=4.96×10-7。

由以上三種結(jié)構(gòu)的計(jì)算結(jié)果可見，采用“2oo3”冗余配置的方法，傳感器子系統(tǒng)的 PFDavg降低，系統(tǒng)的安全完整性增加，同時(shí)還兼顧了該裝置儀表系統(tǒng)實(shí)際生產(chǎn)時(shí)的可用性，是優(yōu)化選擇。裝置SIS最終采用了壓力變送器“2oo3”的配置方式。

3.5 邏輯控制器

該裝置安全相關(guān)回路采用了獨(dú)立的邏輯控制器。SIS具備SIL3認(rèn)證，系統(tǒng)的主處理器CPU，I/O卡件、電源、通信卡等硬件設(shè)備均冗余設(shè)置，并具有完善的硬件、軟件在線自診斷功能。在出現(xiàn)故障時(shí)可進(jìn)行無擾動(dòng)切換，并自動(dòng)記錄故障報(bào)警提示維護(hù)人員進(jìn)行維護(hù)[9]。如果裝置不使用AI/DO安全柵，計(jì)算邏輯控制器子系統(tǒng)的PFDavg=4.79×10-4。

對比計(jì)算可知，減少安全柵、繼電器等附件的使用，能提升SIF回路的SIL等級(jí)。

3.6 最終元件

該裝置中最終執(zhí)行元件UV-101在危險(xiǎn)失效率中所占的比例最大，它是最容易產(chǎn)生危險(xiǎn)故障的環(huán)節(jié)。降低最終元件子系統(tǒng)的PFDavg，有利于提高SIS的安全完整性等級(jí)。

最終元件開關(guān)閥主要由閥門本體、執(zhí)行機(jī)構(gòu)和電磁閥等組成。系統(tǒng)的改善，可以通過以下幾種方式。

3.6.1 最終元件子系統(tǒng)冗余配置

增加1臺(tái)閥門，將2臺(tái)開關(guān)閥串聯(lián)，使用“1oo2”的表決結(jié)構(gòu)[10]，閥門“1oo2”配置如圖5所示。即任1臺(tái)閥門的電磁閥失電非勵(lì)磁，導(dǎo)致相應(yīng)閥門失氣關(guān)閉時(shí)，保證物料入口管線切斷關(guān)閉。

圖5 開關(guān)閥門“1oo2”配置示意

該方法降低了系統(tǒng)的危險(xiǎn)失效率，但需要額外增加1臺(tái)閥門，采購成本較高。

3.6.2 選用危險(xiǎn)失效率低的閥門

通過PFDavg計(jì)算看出，如果減小λDD和λDU的值，將使子系統(tǒng)PFDavg值相應(yīng)降低，選用危險(xiǎn)失效率低的閥門可降低整個(gè)系統(tǒng)的PFDFE。但是閥門的采購成本有很大提高，裝置不宜采用。

3.6.3 閥門局部附件冗余配置

增加1臺(tái)電磁閥，使2臺(tái)電磁閥串聯(lián)，使用“1oo2”的表決結(jié)構(gòu)。任一電磁閥失電非勵(lì)磁時(shí)，閥門就失氣關(guān)閉，閥門電磁閥“1oo2”配置如圖6所示。

圖6 閥門電磁閥“1oo2”配置示意

該方法降低了整個(gè)最終元件子系統(tǒng)的PFDavg，提升了系統(tǒng)的SIL等級(jí)，控制了整個(gè)項(xiàng)目的實(shí)際成本，增加了安全性。該裝置采用該配置方案。

4 結(jié) 論

石化裝置儀表安全系統(tǒng)的設(shè)計(jì)，在國內(nèi)外項(xiàng)目中的要求越來越高。對于國內(nèi)外石油化工項(xiàng)目，后期安全方面設(shè)計(jì)的改動(dòng)必然涉及投資的增加，因而工程設(shè)計(jì)階段安全儀表系統(tǒng)的SIL計(jì)算尤為重要。

1)通過安全儀表功能回路的PFDavg分析可知，最終元件的 PFDavg比例最大，傳感器其次。在進(jìn)行安全儀表系統(tǒng)回路設(shè)計(jì)時(shí)應(yīng)首先對最終元件分析計(jì)算，確定最終元件選型和表決結(jié)構(gòu)；其次確定傳感器選型和表決結(jié)構(gòu)。

2)根據(jù)IEC 61508和ISA 84.00.02，檢驗(yàn)測試時(shí)間間隔對PFDavg有較大影響。儀表的檢驗(yàn)測試時(shí)間間隔短，PFDavg小。大型化、一體化的石油化工企業(yè)通常檢驗(yàn)測試時(shí)間間隔3～4 a，安全儀表系統(tǒng)SIL等級(jí)按該要求設(shè)計(jì)。

3)邏輯控制器子系統(tǒng)中安全柵、繼電器等附件越多，失效概率越高，PFDavg增加。在滿足系統(tǒng)安全要求的前提下，回路硬件設(shè)計(jì)要減少安全柵、繼電器等附件的使用。當(dāng)必須選用時(shí)應(yīng)選擇具有SIL認(rèn)證的產(chǎn)品，降低邏輯控制器系統(tǒng)的PFDavg。

4)傳感器采用“1oo2”表決結(jié)構(gòu)的冗余配置時(shí)，安全儀表系統(tǒng) PFDavg有所降低，這種配置結(jié)構(gòu)使得整個(gè)系統(tǒng)的可用性降低。傳感器采用“2oo3”表決結(jié)構(gòu)時(shí)，安全儀表功能回路的SIL升高，兼顧了裝置實(shí)際生產(chǎn)時(shí)的安全性和可用性。

5)當(dāng)最終元件子系統(tǒng)需要降低PFDavg時(shí)，若整個(gè)子系統(tǒng)的儀表選型和表決結(jié)構(gòu)的改善導(dǎo)致采購成本過高時(shí)，可通過配置部分元件，如電磁閥的選型和表決結(jié)構(gòu)來提高子系統(tǒng)的SIL等級(jí)。