1、安全儀表系統(SIS)的SIL評估摘要:主要論述安全儀表系統及進行SIL評估的必要性,并作了簡單的可靠性計算,隨著安全儀表系統工程的發展,在安全儀表系統的設計過程中,對安全儀表系統的SIL等級進行定量分析將是重要的。1引言隨著石油、化工裝置的經濟規模日趨大型化,生產裝置的密集程度越來越高,對操作、控制及安全的要求也越來越嚴格。石化裝置的產品一般都屬于易燃、易爆或有毒介質,生產過程稍有閃失就會釀成災難性的事故,造成生產、設備、人員等方面的重大損失。作為過程工業安全的重要保障,確保過程工業安全儀表系統本身的可靠性對于過程工業的安全具有重要意義。2安全儀表系統安全儀表系統(Safety instru

2、mented systems,SIS)是一種自動安全保護系統,它是保證正常生產和人身、設備安全的必不可少的措施,它已發展成為工業自動化的重要組成部分。在過程工業中,安全儀表系統的安全性對于事故的影響十分巨大,由于過程工業中的安全事故通常會造成人員傷亡和巨額財產損失,因此開展過程工業安全儀表系統安全評定對于確保過程工業安全具有重要意義。統計資料表明,過程工業中,由于對安全儀表系統的安全要求不合理以及投產后的項目改造過程中對安全儀表系統的改建不恰當所造成的安全事故在全部事故中所占的比重最大。安全儀表系統設計不當,一種可能的后果是該跳車時不跳,造成拒動作;另一種可能的后果是不該跳車時跳車,造成誤動作

3、。拒動作會造成嚴重甚至災難性的后果,誤動作的直接后果是裝置停車,造成巨額的經濟損失。根據IEC61511中的定義,安全儀表系統是由傳感器、邏輯控制器、執行器組成的,能夠行使一項或多項安全儀表功能(Safety instrumented function,SIF)的系統。每一個安全儀表功能針對特定的風險對生產過程進行保護1。圖1為一典型的安全儀表功能,它的功能是為了防止壓力容器V100中壓力過高而發生爆炸等危險事故。此SIF由壓力變送器、一個邏輯控制器和一個閥門組成,在DCS(Dis-tributed ControlSystem)對于壓力控制已經失效的情況下,容器內壓力持續升高,達到壓力變送器最

4、高(比DCS控制壓力預設值更高)的預設值時,壓力變送器將其轉換成合適的信號傳送給邏輯求解器,由邏輯求解器經過運算發出控制指令,關閉閥門,停止對容器內碳氫化合物的供給。這就是一個完整的安全儀表功能。在整個SIF的實現過程中,其中的三個環節中的任何一個失效將導致SIF的失效,對于此例而言,如果SIF失效,那么系統將繼續向容器V100中輸送碳氫化合物,容器內的壓力將繼續升高,極有可能造成容器泄漏、爆炸等嚴重的后果,導致容器損壞、裝置停產、人員傷亡等嚴重損失。所以對安全儀表系統進行完整性評估,定量的可靠性計算是十分重要和有效的途徑,以防止各類事故的發生。3安全儀表系統與過程控制系統的區別過程控制在石油

5、、化工、電力、冶金等部門有廣泛的應用。20世紀50年代,過程控制主要用于使生產過程中的一些參量保持不變,從而保證產量和質量穩定。60年代,隨著各種組合儀表和巡回檢測裝置的出現,過程控制已開始過渡到集中監視、操作和控制。70年代,出現了過程控制最優化與管理調度自動化相結合的多級計算機控制系統。80年代,過程控制系統開始與過程信息系統相結合,具有更多的功能。而在今天,過程控制系統開始與安全儀表系統更多地結合在一起,即:對于操作監視層,如安全儀表系統的過程變量值、報警和事件記錄、SOE以及故障診斷信息等集中在DCS畫面上進行顯示,而在控制和安全管理層, DCS和SIS分別配置獨立的控制單元實現過程控

6、制和安全聯鎖的獨立操作。基本過程控制系統是執行常規生產功能的控制系統,過程控制系統以表征生產過程的參量為被控制量使之接近給定值或保持在給定范圍內的自動控制系統。這里的“過程”是指在生產裝置或設備中進行的物質和能量的相互作用和轉換過程。表征過程的主要參量有溫度、壓力、流量、液位、成分、濃度等。通過對過程參量的控制,可使生產過程中產品的產量增加、質量提高和能耗減少。一般的過程控制系統通常采用反饋控制的形式,這是過程控制的主要方式。基本過程控制系統與安全儀表系統在功能上完全獨立。基本過程控制系統執行基本過程控制功能以達到生產過程的操作要求;安全儀表系統則是監視生產過程的狀態,判斷危險條件,防止風險的

7、發生或者減輕風險造成的后果。基本控制系統是主動的、動態的;而安全儀表系統則是被動的、休眠的。在大部分時間,裝置的正常運行都是靠基本控制系統,而在這時的安全儀表系統是沒有任何作用的,只有在發生危險且基本控制系統已經無法控制時,安全儀表系統才發揮作用2。圖2可以看到IEC61511對安全防護的分層描述1。從IEC61511對安全防護的分層描述,可以清楚地看出過程控制系統和安全儀表系統的區別。值得一提的是,按照IEC61511的分層描述,安全層次應包含防護和減災兩個層次,事實上,在評估一個裝置或單元是否應使用安全儀表系統時,最簡單的一個方法就是計算其事故發生的可能性(ESD系統可使得該可能性降低)乘

8、上事故發生的后果(FGS系統可使得事故后果最小化)。在國外大多數煉油和化工廠在實施安全儀表系統時,均使用SIL2/3等級的安全儀表系統來實現ESD和FGS的功能,而在中國,除少數中外合資項目和中海油的海上平臺項目,大多數項目至今未考慮采用具備SIL等級的系統來實現FGS功能,同國外同行存在較大差距,也是同很多安全規范相違背的。基本過程控制系統與安全儀表系統都有可能發生失效,對于基本控制系統來說,其大部分的失效都會在運行過程中很明顯地表現出來,包括溫度、壓力、流量等的不正常,那么必定會影響生產過程的運行,由此產生的故障現象馬上會展現出來。而相反,安全儀表系統的失效就不會太明顯,這是完全由安全儀表

9、系統的特性所決定的,由于它長時間處于“休眠”狀態,無法觀察或發現它是否出現了故障或者失效。因此,確定休眠系統是否正常工作的唯一方法,就是對該系統進行周期性的診斷和測試,所以安全儀表系統需要人為地進行周期性離線或在線測試,而有些安全系統則本身帶有內部的自診斷測試系統。基本過程控制系統失效后由安全儀表系統對裝置進行保護,如果安全儀表系統再失效,則往往導致極其嚴重的后果,所以提高安全儀表系統的可靠性尤為重要。展望未來基本過程控制系統與安全儀表系統的發展,大多數的過程控制工業領域的人士認為集成控制安全系統的廣泛應用將是大勢所趨。實際上,美國ARC咨詢集團已把新型集成控制安全系統看作一項頂尖自動化技術和

10、2007年的潮流所在。4安全儀表系統可能存在的問題安全儀表系統在整個石油、化工行業都有著廣泛的運用,其正常運行可大大降低裝置的風險,降低經濟損失,保障人員安全等。但安全儀表系統也存在一些問題,主要包括:安全不足、誤跳車、故障率過高和缺乏合理的維護手段。根據國外公司的數據統計顯示所有的安全儀表系統中,聯鎖合理的僅占40% 45%。4.1聯鎖拒動作所謂聯鎖拒動作,就是在裝置需要聯鎖進行動作以降低風險或保障安全的時候,聯鎖功能失效,導致在需要時無法執行指定的安全功能,引發重大的事故發生,是最危險的一種情況。如果聯鎖的拒動作概率過高,那么可以認為聯鎖無法適應裝置的工藝及操作條件對安全的要求。前面已經介

11、紹過整個聯鎖功能要動作要通過三個組成部分,即傳感器、邏輯控制器、執行器。為了減少系統拒動作的概率,除了要選擇可靠性較高的元器件以外,還可以適當地增加系統的冗余,比如本來傳感器是1oo1的,即根據一個傳感器的情況來確定是否進行聯鎖動作,現改為1oo2,即只要2個傳感器中有一個報警或正常發出信號,聯鎖即動作,這樣就可以提高系統的可靠性。對于執行器也是一樣,以閥門為例,如果需要截止閥切斷給料,如果只有一個閥門,閥門由于長時間沒有動作,很有可能會拒動,但如果有兩個閥門,同時拒動的可能性就會大幅下降。增加系統的冗余可以明顯減小聯鎖拒動作的概率,但同時也會提高誤動作的概率。4.2聯鎖誤動作所謂聯鎖誤動作,

12、就是實際整個裝置運行正常,而由于安全儀表系統本身元器件失效而導致不必要的非計劃停車損失。頻繁的誤動作會導致對聯鎖可靠性信心的降低,有些企業會為了保證生產而拆除一些聯鎖,有可能埋下隱患;頻繁停車與啟動增加了對設備的沖擊及風險,而且許多裝置的開車物料損失、停產損失都是非常大的。與聯鎖拒動作相同,也可以通過改變傳感器和執行機構的布置和取法來減少誤動作的次數。例如原本傳感器是1oo2方式,即只要兩個中一個觸發信號即動作,如果改為2oo2的話,則變為必須兩個同時觸發才會動作。這樣就可以避免傳感器故障引起的誤動作。同時,也可以對傳感器的失效狀態進行設定,可以設定為非故障安全型,這樣也可降低誤跳車的概率。總

13、之,一個安全儀表系統必須要根據實際情況和各種失效后果,對聯鎖拒動作和誤動作的概率進行定量計算,如果還不能滿足公司的各類風險等級要求,必須對聯鎖進行重新設計或修改。5安全儀表系統的可靠性計算方法一般地,安全儀表系統都是根據工程設計人員的經驗進行定性的設計,往往存在著以上所說的這樣或那樣的問題,故安全儀表系統有必要從定性分析轉換到定量分析上來。根據IEC61511要求,根據安全儀表系統的可靠性模型和設備的失效率數據才能對安全儀表系統進行定量的可靠性分析。可靠性的計算是安全儀表系統定量評估中非常重要的一個環節,計算方法選擇的合理性直接影響定量分析結果的可靠性。安全儀表系統的失效可能導致其不能對危險狀

14、況作出響應,不能完成保護功能;相對而言,安全儀表系統的失效也有可能造成系統的誤跳車,使得生產中斷。不同的失效方式被統稱為失效模式。根據產品在系統中的功能,失效模式與影響分析方法(FailureMode and EffectAnalysis, FMEA)能夠確定產品失效所造成的系統失效的失效模式,因此,使用失效模式與影響分析方法(FMEA)分析研究產品使用過程中實際發生的失效、原因及其影響,根據失效模式、失效判據和失效影響等計算產品的失效率,并按產品的失效后果分別計算安全失效率和危險失效率,為系統可靠性指標的計算奠定基礎。可靠性建模的主要方法有三種:可靠性框圖、故障樹分析、馬爾可夫模型。5.1安

15、全儀表系統定量評估方法從經驗的積累,到標準的制定,到廣泛認可,石化裝置安全完整性技術已成為確保石化裝置安全的最重要技術手段。作為一種最新的安全管理技術,過程工業安全儀表系統(SIS)定量安全評價(SafetyIntegrated Leve,l SIL)是在RBI之上的基于風險的資產管理技術,可以為提高企業安全水平及經濟效益起到重要的促進作用。可見,接軌國際最新的安全研究成果,在我國開展過程工業安全儀表系統定量安全評定,必將大大促進我國石化行業安全生產水平的提高,是今后安全管理的發展方向。安全儀表系統定量安全評定的內容主要包括對安全儀表系統內硬件、軟件的安全功能實現情況作出定量的評定結果;在安全

16、儀表系統的生命周期內,評定內容包括過程工業存在的風險分析、失效模式及影響分析(Failure Mode and Effect Analysis,FMEA),安全儀表系統綜合安全等級要求,安全儀表系統安全功能的分配、安全儀表系統軟硬件功能安全性評定、安全儀表系統設計、安裝、改造及處置過程中的安全性評定、操作規程、文檔的安全檢查、人員配置安全檢查等方面3。整個SIL評估過程的流程圖如圖3所示。5.2安全儀表系統定量分析實例在安全儀表系統定量分析中,有幾個比較重要的指標:安全失效分數(SFF)、平均失效概率(PFD)和安全完整性等級(SIL)4,下面通過兩個實例來簡單介紹一下上述指標的計算方法,和保

17、證整個系統安全完整性等級的幾種方法。IEC61508標準規定了安全完整性等級(SIL)與系統的結構約束及診斷之間的關系,如表1表1中,硬件故障裕度N表示N+1個故障將導致安全功能的喪失。如一個安全系統需要滿足SIL3等級,在該系統的安全失效分數為90% 99%時,其硬件的故障裕度至少應為1,即該系統結構至少應選擇1oo2,但當一安全系統的安全失效分數99%時,其硬件的故障裕度可以為0,則該系統結構選擇1oo1即可滿足SIL3等級。我們以目前市場占有率最高的TMR系統Tri-conex公司的Tricon V10系統和市場占有率最高的QMR系統Honeywell公司的SM系統(以前名稱為FSC)為

18、例來說明該問題:按照IEC61508標準,計算一個系統的安全失效分數如下:我們以一個小規模系統(配置一塊模擬量輸入卡件/一塊數字量輸入卡件和一塊數字量輸出卡件)為例來說明。表2列出了根據Triconex公司和Honeywell公司的TUV報告提供的數據。根據上述計算結果可以看出TriconV10系統在故障裕度至少應為1的情況下,能保證系統安全完整性等級為SIL3級,即其系統降級使用情況為3-2-0。而SM系統在其配置單控制器和單IO卡件時,系統也能滿足SIL3等級。以上簡單介紹了對邏輯控制器的安全等級評估的一種方法,下面再舉一個計算整個系統安全完整性的實例:假設一個SIL2傳感器的PFD=0.

19、005 (SIL2),SIL3邏輯控制器的PFD=0. 000 5(SIL3),而一個SIL1輸出閥門的PFD=0.05(SIL1),將他們連接成一套系統后,系統的PFD=0. 005+0. 000 5+0. 05=0.055 5,只能滿足SIL1級。參見圖4。從上面的計算結果我們知道當在一個安全回路上,如果傳感器、邏輯控制器和輸出閥門中任一不滿足SIL3等級時,整個安全回路的SIL等級一定達不到SIL3等級的設計要求。然而,對于大部分用戶來說,如果要求在工廠的建設中采購大量的滿足SIL3等級的變送器和閥門顯然不符合實際,不光會帶來初期投資的大幅度增加,而且后期維護的費用也非常高。那在投資增加

20、不大的情況下,有沒有其它方法來實現整個回路的SIL3安全等級呢?答案是肯定的。下面我們來分析一個具體的安全回路。假設傳感器單元的每小時故障率為0.000 05,診斷覆蓋率為90%,平均故障修復時間為8 h,維護時間為12個月一次。則計算它的PFD為0.011,安全完整性等級為SIL1級。假設一種極端情況,如果將該傳感器單元的維護時間改為1個月一次(當然,在實際使用過程中很難做到),重新計算它的PFD值為0.001 09,傳感器單元的SIL等級從SIL1級提升為SIL2級。再將其故障修復時間從8 h提高到2 h,再重新計算它的PFD值為0.000 957,傳感器單元的SIL等級從SIL2級提升為

21、SIL3級。從上面的計算結果可以看出在系統的維護過程中,如果我們能提升設備的故障修復時間和維護頻率,就能夠提高整個系統的安全性,這就涉及到工廠安全的另一個范疇,安全管理。事上,工廠安全防護系統的組成,應該包括硬件和軟件兩個部分,硬防護即為我們的現場設備和裝置單元等。軟防護可包括我們的安全規范、安全培訓、維護方法等等。然而,實際使用中,我們更多的是采用另一種方法,通過多樣性來提高整個系統的安全等級。同樣是上面的傳感器單元,其每小時故障率為0.000 05,診斷覆蓋率為90%,平均故障修復時間為8 h,維護時間為12個月一次。對同一個測點,如果配置兩個傳感器并采用1oo2的配置,計算它的PFD值為

22、0.000 122,傳感器單元的SIL等級直接從SIL1級提升為SIL3級。同樣,對于閥門的安全等級也可以采用多樣化的方法來提高,如配置1oo2或2oo3,甚至2oo4的輸出回路來提高執行機構的安全等級。事實上,在已實施的某些煤化工項目的重要輸出回路上,就采用了配置4個同樣的輸出閥門并設置為2oo4的模式來提高整個輸出回路的安全等級了。圖5表述了采用不同的配置對設備安全性和可用性的影響,也說明了其對工廠投資和運營成本帶來的影響。6總結通過對現場裝置的安全儀表系統SIL級別的定量分析,用定量計算的方法設計合適的安全儀表系統以達到現場的使用功能是非常重要的。目前在國內實施該等級評估的主要有廣東大鵬LNG、上海石化PTA和鎮海煉化加氫裂化等項目。隨著可靠性工程的發展,定量地分析過程生產裝置中安全儀表系統的SIL等級將是今后設計工作的一個趨勢,特別是新裝置的設計中更要注重SIL等級的定量分析和整個