【作者简介】席永胜(1987~),男,宁夏西吉人,工程师,从事自控仪表
设计与研究。
安全仪表系统的SIL 验证方法及工程应用
Verification of SIL for SIS and Its Application
席永胜
(华陆工程科技有限责任公司,西安710065)
XI Yong-sheng
(Hualu Engineering and Technology Co.Ltd.,Xi ’an 710065,China)
【摘要】项目实施中经常忽略安全仪表系统安全完整性等级的验证,已有的验证方法通常没有考虑结构约束和系统性能力对验证
的强制要求。为此,通过对结构约束、系统性能力和要求时危险失效平均概率的阐述,给出了安全仪表系统安全完整性等级的完整验证方法及实施过程,通过分析验证过程中各参数对结果的影响,给出对验证未通过回路整改的建议措施。
【Abstract 】Verification of SIL for SIS is always been ignored,whereas the traditional approaches ldom take structural constraints and
systematiccapabilityinto consideration.Motivated bythischallenge,this paper providea comprehensivemethod and its procedure of verification of SIL for SIS followed the introduction of structural constraints and systematic capability.Practical suggestions for tho loops that failed in matchingtheverification wererecommended byanalyzing the affection ofeach parameter to theresult.
【关键词】石油化工装置;安全仪表系统;安全完整性等级;验证
【Keywords 】petrochemicalunit;safetyinstrumented system;safetyintegritylevel;verification 【中图分类号】TQ056
苹果6内存多大【文献标志码】B
【文章编号】1007-9467(2022)07-0250-04
【DOI 】10.jsysj.2022.07.013
1引言
随着石油化工装置数量不断增加,规模不断扩大,安全生产事故越来越严重地威胁着人民的生命财产安全、企业的生产经营以及周边的生态环境。根据原安监总局《关于进一步加强危险化学品建设项目安全设计管理的通知》(安监总管三〔2013〕第76号)和《国家安全监督管理总局关于加强化工安全仪表系统管理的指导意见》(安监总管三〔2014〕116号)要求,建设项目应根据工艺过程危险和风险分析结果科学确定安全仪表功能。
2安全完整无缺性等级(SIL )验证
为有效降低石油化工装置的危险性,安全仪表系统得到广泛使用,安全仪表系的设计、安装调试、安全确认、运行维护等变得至关重要。根据IEC 61508Functional safety of electrical/electronic/programmable electronic safety-related systems 和IEC 61511Functional safety -safety instrumented systems for the process industry ctor 的安全仪表系统(SIS )全生命周期管理,安全仪表系统的验证为其生命周期中的一个必要环节,安全仪表功能(SIF )回路能否达到相应SIL 等级,必须根据实际采购的设备数据、用户的检修周期、维修时间等进行验证。然而在工程项目实施中,对安全仪表系统并没有进行安全完整性等级验证的环节,导致部分安全仪表回路并不能满足
相应的SIL 等级要求,也就失去了对危险场景的保护能力。本文首先给出SIL 验证的基本要求,接着给出一般SIF 回路SIL 验证的过程及数据选用,最后使用一个工程实例进行过程演示,给出了一些验证未通过的SIF 回路的整改措施。
2.1基本要求
根据IEC 61508和IEC 61511要求,安全仪表系统SIF 回路的SIL 等级由回路结构约束、系统性能力(SC )和要求时危险失效平均概率(PFD avg )三者共同决定,只有三者同时满足要
250
求SIL回路才具备执行相应SIF功能的能力[1-2]。
2.1.1结构约束
设备执行安全功能时,最大允许安全完整性等级取决于设备安全失效分数(SFF)以及硬件故障裕度(HFT),SFF计算如式(1):
SFF=λS+λDD
λS+λD(1)式中,λS为安全失效概率;λD为危险失效概率;λDD为检测出的危险失效概率。
HFT是指出现故障或者错误的情况下能够继续执行要求功能的能力。硬件使用时采用的表决结构不同,则其HFT 不同,1oo1D、2oo2的HFT为0;1oo2、1oo2D、2oo3的HFT为1;1oo3的HFT为2。HFT表示硬件的降级使用能力。
儿歌小雪花IEC61508中将设备分为A类和B类,硬件安全完整性等级认证有两种方法,即路线1H和2H。路线1H中A类和B类设备执行安全功能时的最大允许完整性等级如表1所示。
表1A、B类设备执行安全功能时的最大允许完整性等级
SFF
HFT(A类设备)HFT(B类设备)012012
<60%SIL1SIL2SIL3不允许SIL1SIL2 60%~90%SIL2SIL3SIL4SIL1SIL2SIL3 90%~99%SIL3SIL4SIL4SIL2SIL3SIL4≥99%SIL3SIL4SIL4SIL3SIL4SIL4
IEC61508更倾向于使用路线2H,规定设备执行安全功能时SIL1和SIL2的HFT为0,SIL3的HFT为1。
心育结构约束是对用于实现安全仪表功能的硬件限制,使用安全失效分数和硬件故障裕度确定每个子系统可以降低的风险,结构约束可防止PFDavg计算中的不良故障数据、不切实际的验证测试间隔和参数估计,是对系统表决结构的一种强制要求。设备分类及采用的路线在其安全认证证书上可查到。
2.1.2系统性能力(SC)
系统性失效是在开发和运行过程中的错误造成的,一般是硬件或软件设计阶段的规范错误、设计失误、制造错误等导致的。系统性能力用以表达设备应对系统性失效的能力等级,分为SC1~SC4。系统性失效只有在特定的条件下才会发生,不满足统计学规律。当多个设备进行表决时,组件的系统性能力取决于SC能力小的设备,若两个设备的SC能力一致且他们
之间相互独立,不会发生系统性失效,则他们的组合系统性能
力可以提高一个等级,而且只能提高一个等级,不能再通过增
加设备数量继续提高组件的系统性能力。
2.1.3要求时危险失效平均概率(PFD avg)
SIL等级是用来规定分配给SIS的SIF完整性要求的离
散等级,SIF的SIL等级用PFD avg表示,PFD avg是指电气、电子、
可编程电子安全相关系统在受控设备或受控设备控制系统发
出要求时执行规定安全功能的平均不可用性。IEC61511将SIF功能的操作模式分为低要求模式、高要求模式和连续模
式,通常石油化工装置的SIS动作频率不大于每年一次,安全
完整性等级不高于SIL3,因此工作于低要求模式,本文的计算
及验证均按照低要求模式进行讨论。SIF回路失效概率的常用
计算方法有故障树、可靠性图、简化方程、马尔科夫等。故障树
分析法是安全系统工程的主要分析方法之一,也是ISA-TR 84.00.02-3推荐使用的分析方法,由于在计算硬件故障失效概
率时能够对复杂系统进行分解,直观地描述系统各环节之间
的逻辑关系,使得模型易于理解,因此,本文将采用故障树分
析方法,给出要求时危险失效平均概率的计算公式。具体推导
过程可参考文献[3]。
SIF回路满足其SIL等级则要求SIF回路的PFD avg满足
学子宴相应的取值区间。SIF回路的要求时平均失效概率PFD SYS为:
PFD SYS=PFD S+PFD L+PFD FE(2)
式中,PFD S、PFD L、PFD FE分别为传感器子单元、逻辑子单元、
执行子单元的要求时平均失效概率。以下给出几种常用表决
结构的要求时平均失效概率计算公式,其他表决结构计算公
式可参阅文献[3]。
1)1oo1
PFD avg=λD×MTTR+E TI2λDU+(1-E)LT2λDU(3)2)1oo2
PFD avg=λDC×MTTR+E TI2λDUC+(1-E)LT2λDUC
+[λDN×MTTR+E TI2λDUN+(1-E)LT2λDUN]2(4)3)1oo2D
PFD avg=λDUC×MTTR+E TI2λ
DUC
+(1-E)LT2λDUC+2(1-C)
节约用水倡议书×[λDUN×MTTR+E TI2λDUC+(1-E)LT2λDUN]×(λS+λD)
(5)
251
女人看大海的心情短语
4)2oo3
PFD avg =3×{λDC ×MTTR +E TI 2λDUC +(1-E )LT 2
λDUC +[λDN
×MTTR +E TI 2λDUN +(1-E )LT 2
λDUC ]2}(6)
式中,MTTR 为平均恢复时间;E 为诊断覆盖率;TI 为设备周期性检验时间间隔;LT 为有效使用寿命;C 为比较程序的诊断覆盖率;λD 为危险失效概率;λDU 为未检测出的危险失效概率;λDC 为共因危险失效概率;λDUC 为未检测出的共因危险失效概率;λDUN 为未检测出的非共因危险失效概率。
失效概率一般来源于SIL 证书、
工业失效数据库、工厂实际数据[4-5]。
SIF 回路中只有影响回路功能的关键元件需要进行计算,一些辅助元件如SIS 系统的通信卡件、阀门的定位器、阀门回讯等次要元件不做要求,电源模块也不参与计算过程。
2.2验证过程
系统安全完整性等级的验证可归纳为以下:
1)结构约束:判断硬件认证的方法是路线1H 还是2H ,然后根据2.1.1节内容判断硬件表决结构是否满足要求。
2)系统性能力:经过安全功能认证的设备,系统性能力一般都满足SC2及以上,因此都满足SIL2的SIF 回路;对于SIL3回路则必须使用两个SC2的异型设备或两个SC3的同型设备进行1oo2表决结构配置。
3)PFD avg :如果硬件表决结构同时满足以上两点,则选择相应公式计算SIF 回路的失效概率。
4)如果以上同时满足则回路验算通过,否则需要调整硬
件表决结构、更改相关参数或者采用可靠性更高的硬件设备,重新进行验证。
3工程实例
某汽提塔底部采用低压蒸汽进行加热,塔顶采出物超压时联锁关闭再沸器蒸汽进料,如图1所示。根据HAZOP 及LOPA 分析要求该场景分配SIL3的安全仪表功能。工程实施中塔顶压力采用2oo3表决结构的同型压力变送器,在沸器入口蒸汽采用1oo2表决结构的同型切断阀。
3.1传感器子单元(罗斯蒙特3051S)
查阅认证证书:
系统性能力SC3;B 类设备;认证方式为路线1H ;HFT=1;λDD =274;λDU =40;
SFF=90%。在以下条件下:
E =85%;MTTR =8h ;LT =10a ;TI =1a ;β=5%;表决结构:2oo3;同型表决。
1)设备认证采用为1H ,SFF =90%,HTF =1,结构约束满足SIL3要求;
2)传感器单元采用2oo3表决结构,HTF=1,变送器系统性能力SC3,满足SIL3要求;
3)PFD avg 计算:
代入公式(6)得传感器子单元在要求时的平均失效概率:PFD S =6.26×10-5。
图1
某汽提塔采出压力高高联锁
蜂巢蜜的功效低压蒸汽
冷凝回水
252
3.2逻辑子单元(deltaV SIS)
查阅认证证书:
B类设备;认证方式为路线1H;系统性能力SC3;硬件故障裕度HFT=1。
失效数据见表2。
表2B类设备失效数据
硬件模块λSDλSUλDDλDU
控制器模块1343119323
AI卡件模块310200.006 DO卡件模块210.3100
继电器模块21401040总和141651.397243.006
在以下条件下:
表决结构:1oo2D;同型表决;MTTR=85h;LT=15a;TI=1a;E=90%;C=99.9%;β=2%;
1)设备认证采用1H,SFF=98.27%,HTF=1,表决结构约束满足SIL3要求;
2)逻辑子单元采用1oo2D表决结构,HTF=1,逻辑子单元系统性能力SC3,满足SIL3要求;
3)PFD avg计算:
带入公式(5)得逻辑子单元在要求时的平均失效概率:PFD L=9.048×10-6。
3.3执行元件子单元
查阅认证证书:
A类设备;认证方式为路线2H;系统性能力SC3。
失效数据见表3。
表3A类设备失效数据
硬件模块型号λSDλSUλDDλDU 电磁阀ASCO8327B102480188阀体Vee-Ball ries V300000445
执行机构G ries Scotch Yoke Actuators02180427
整体046601060在以下条件下:
表决结构:1oo2;HFT=1;同型表决;MTTR=8h;LT=10a;TI=1a;E=90%;β=5%。
1)设备认证采用为2H,HTF=1,表决结构约束满足SIL3
要求;
2)执行元件子单元采用1oo2表决结构,HTF=1,执行元
件子单元系统性能力SC3,满足SIL3要求;
3)PFD avg计算:
代入公式(4)得执行元件子单元在要求时的平均失效概
率:PFD FD=5.12×10-4。
由式(2)得该SIF回路被要求时的平均故障率:PFD SYS=PFD S+PFD L+PFD EF=5.84×10-4,介于10-4~10-3,满足SIL3要求。表明该SIF回路的整体可靠性满足危险场景对SIS的要
求,危险造成的损失控制在业主可接受范围内,验证通过。
4验证未通过SIF回路的整改措施
1)不满足结构约束要求时调整表决结构(增加HFT)或采
用SFF更高的产品;
2)不满足系统性能力要求时调整表决结构(提高SC)或
者采用SC更高的产品;
3)SIF回路不满足PFD avg计算时可合理评估共因失效值、
缩短检测测试周期、提高元件平均修复时间、优化回路的表决
结构或选用故障性能更优的产品。
5结论
本文给出通过结构约束、系统性能力和要求时危险失效
平均概率验证安全仪表系统SIF回路安全完整性等级的过程
和方法,讨论了三者对安全完整性等级验证的影响,并对验证
未通过的SIF回路给出了建议的整改措施。工程实例验证了
方法的可行性和有效性。对石油化工装置安全仪表系统的设计和验证具有参考意义。
【参考文献】
[1]IEC.Function Safety of Electrical,Electronic,Programmable Electronic Safety-related Systems:IEC61508—2010[S].Geneva:IEC,2010. [2]IEC.Function Safety-Safety Instrumented Systems for the Process Industry Sector:IEC61511—2003[S].Geneva:IEC,2003.干的反义词是什么
[3]朱东利.SIL定级与验证[M].北京:中国石化出版社,2020.
[4]方来华,吴宗之,康荣学,等.安全设备失效数据获取与计算[J].中国安全生产科学技术,2010,6(3):121-125.
[5]付建民,李成美,东静波,等.数据不确定条件下安全仪表系统SIL 等级验证方法研究[J].中国石油大学学报(自然科学版),2017,41(3): 230-135.
【收稿日期】
2022-01-24
253
