安全完整性等級衡量指標(biāo)探討

田京山，王長楠，王貴波

(1. 中石化石油工程設(shè)計有限公司 自控通信所，山東 東營 257026；2. 中國石化銷售有限公司 北京石油分公司，北京 100022；3. 中石化中原油田普光分公司，四川 達(dá)州 636156)

安全完整性等級衡量指標(biāo)探討

田京山1，王長楠2，王貴波3

(1. 中石化石油工程設(shè)計有限公司 自控通信所，山東 東營 257026；2. 中國石化銷售有限公司
北京石油分公司，北京 100022；3. 中石化中原油田普光分公司，四川 達(dá)州 636156)

安全完整性等級(SIL)是安全儀表系統(tǒng)(SIS)的核心，圍繞衡量SIL的4項指標(biāo)： 失效概率要求、硬件結(jié)構(gòu)約束要求、系統(tǒng)失效避免及控制要求、軟件要求，對照IEC 61508—2010中相關(guān)要求對構(gòu)成安全儀表回路的硬件結(jié)構(gòu)約束要求、系統(tǒng)失效避免及控制要求等展開了討論，一般安全儀表回路的硬件結(jié)構(gòu)是否滿足相應(yīng)的SIL等級要求，應(yīng)由整個回路各組成部分中最低的SIL等級決定；冗余可提升冗余部分的SIL等級。就設(shè)計中如何滿足系統(tǒng)失效避免及控制的要求給出了合理化建議。

安全儀表系統(tǒng) 安全完整性等級 安全儀表功能 硬件結(jié)構(gòu)約束 安全失效分?jǐn)?shù)

隨著國家對生產(chǎn)安全越來越重視，安全儀表系統(tǒng)(SIS)在石油、石化領(lǐng)域的應(yīng)用越來越廣泛，SIS的設(shè)計也逐步走向規(guī)范化。安全完整性等級(SIL)是SIS的核心指標(biāo)，筆者從基本概念入手，圍繞如何滿足SIL要求，結(jié)合IEC 61508—2010進(jìn)行討論。

1 SIL的衡量指標(biāo)

SIL是衡量SIS的重要指標(biāo)，目前中國油氣行業(yè)常用規(guī)范中一般要求： 在低要求模式下，安全儀表功能(SIF)的SIL應(yīng)采用平均失效概率(PFDavg)衡量，宜根據(jù)表1確定。

表1 低要求操作模式下的SIL

上述要求容易給設(shè)計人員造成混淆，認(rèn)為衡量SIL的唯一指標(biāo)就是回路的PFDavg，其實不然。IEC 61508規(guī)定安全儀表回路應(yīng)同時滿足： 失效概率要求、硬件結(jié)構(gòu)約束要求、系統(tǒng)失效避免及控制要求、軟件要求，才能認(rèn)為是滿足SIL等級的要求。其中軟件要求是純粹的定性要求，需要采用具有相應(yīng)SIL認(rèn)證的編程軟件、固件，并加強對編程的管控和測試來實現(xiàn)。以下對另外3個指標(biāo)進(jìn)行詳細(xì)的探討。

1.1平均失效概率要求

該指標(biāo)是SIL衡量的主要定量指標(biāo)，表1與IEC 61508-1—2010[1]Table 2是一致的。有時為了方便，也會加上目標(biāo)風(fēng)險降低值，該值為PFDavg的倒數(shù)，見表2所列。

表2 低要求操作模式的平均失效概率

注： 1) 文獻(xiàn)[1]中Table 2不包括“目標(biāo)風(fēng)險降低”欄。

1.2硬件結(jié)構(gòu)約束要求

1.2.1IEC 61508—2010中對硬件結(jié)構(gòu)約束的要求

硬件結(jié)構(gòu)約束要求為半定量要求，取決于安全儀表回路的安全失效分?jǐn)?shù)(SFF)和硬件故障裕度(HFT)，是對元件冗余的最低要求，即某回路的PFDavg符合該回路的SIL需求，但是組成該回路的硬件不能滿足硬件結(jié)構(gòu)約束，該回路也不符合SIL的要求。IEC 61508-2—2010[2]中Table 2和Table 3對硬件結(jié)構(gòu)約束的要求見表3和表4所列。

表3 A類元件的硬件結(jié)構(gòu)約束要求

該要求明確了安全儀表回路中元件和邏輯控制器的硬件結(jié)構(gòu)構(gòu)成方式，是否需要采用硬件冗余，如某B類元件的SFF為95%，SIL2對應(yīng)的故障裕度要求為零，即采用單臺設(shè)備就可滿足要求；如SFF為80%， SIL2對應(yīng)的故障裕度要求為1，則需要2臺設(shè)備，采用“1oo2”結(jié)構(gòu)才能達(dá)到要求；如SFF為50%，SIL2對應(yīng)的故障裕度要求為2，則需要3臺設(shè)備，采用“1oo3”的結(jié)構(gòu)才能達(dá)到要求。

表4 B類元件的硬件結(jié)構(gòu)約束要求

一般安全儀表回路的硬件結(jié)構(gòu)是否滿足相應(yīng)的SIL等級要求，應(yīng)依據(jù)以下原則： 原則1，整個回路的SIL等級由各組成部分最低SIL等級決定；原則2，冗余可提升冗余部分的SIL等級。

舉例說明如下：

1) 如圖1構(gòu)成的安全儀表回路，元件1為SIL1、元件2為SIL2、元件3為SIL3，則整個回路應(yīng)為SIL1。

圖1 簡單安全儀表回路SIL選取示意

2) 圖2構(gòu)成的安全儀表回路相對復(fù)雜，它是由子系統(tǒng)X和子系統(tǒng)Y串聯(lián)。其中子系統(tǒng)X為并聯(lián)冗余結(jié)構(gòu)，子系統(tǒng)Y只有1個元件5。在確定整個回路SIL等級前，需要根據(jù)原則1對整個結(jié)構(gòu)進(jìn)行簡化。

a) 第一步結(jié)構(gòu)簡化，元件1為SIL3、元件2為SIL2，則元件1&2支路為SIL2；元件3為SIL2、元件4為SIL1，則元件3&4支路為SIL1；元件5是SIL2。

b) 第二步結(jié)構(gòu)簡化，元件1&2支路為SIL2，元件1&2支路與元件3&4支路冗余，相當(dāng)于硬件故障裕度加1。根據(jù)原則2和表4，則子系統(tǒng)X的SIL等級應(yīng)為SIL3。

c) 最后整個回路的SIL等級應(yīng)根據(jù)最低的子系統(tǒng)Y確定，回路應(yīng)為SIL2。

圖2 復(fù)雜安全儀表回路SIL等級示意

1.2.2國內(nèi)規(guī)范中相關(guān)要求及應(yīng)用建議

GB/T 50770—2013《石油化工安全儀表系統(tǒng)設(shè)計規(guī)范》[3]中雖然沒有明確提出對硬件結(jié)構(gòu)性約束的概念，但均隱含在輸入元件、輸出元件和邏輯控制單元的冗余設(shè)置要求中，前提是對各類元件的SFF先做了假定： A類元件，如閥門、開關(guān)等的SFF≤60%或為60%～90%；B類元件，如智能變送器、可編程控制器(PLC)等的SFF為90%～99%。

文獻(xiàn)[3]中對輸入元件和控制閥的冗余要求是根據(jù)以上假定和硬件結(jié)構(gòu)性約束要求得出的，如文獻(xiàn)[3]第7.3節(jié)控制閥的冗余設(shè)置：“SIL1級安全儀表功能，可采用單一控制閥； SIL2級安全儀表功能，宜采用冗余控制閥；SIL3級安全儀表功能，應(yīng)采用冗余控制閥”。

控制閥是典型的A類元件，其中：

1) SIL1級的SIF，根據(jù)表3，即使控制閥的SFF≤60%，用1臺也可以滿足SIL1的要求。所以規(guī)范條文規(guī)定SIL1級的安全儀表回路可采用單臺控制閥。

2) SIL2級的SIF，根據(jù)表3，如控制閥的SFF≤60%則必須冗余；如果SFF為60%～90%，則只用1臺即可滿足要求。所以規(guī)范條文規(guī)定SIL2級的安全儀表回路宜采用冗余控制閥。

3) SIL3級的SIF，根據(jù)表3，如果SFF為60%～90%，則用2臺/冗余才能滿足SIL3要求。所以規(guī)范條文規(guī)定SIL3級的安全儀表回路應(yīng)采用冗余控制閥。

文獻(xiàn)[3]規(guī)范中規(guī)定：“可在保證基本安全的前提下，大幅減輕設(shè)計人員的相關(guān)計算工作量，但不宜生搬硬套”。如在一些空間非常受限的地方，如海上生產(chǎn)平臺，某SIL3回路在空間上無法擺開2臺控制閥，根據(jù)IEC 61508—2010的規(guī)定，采用1臺具有SIL3認(rèn)證的控制閥也可滿足要求，不必非用2臺不可。

1.3系統(tǒng)失效避免及控制要求

1.3.1IEC 61508—2010中對系統(tǒng)失效避免及控制的要求

該要求是定性指標(biāo)，要求SIS選用的設(shè)備必須有良好的系統(tǒng)失效避免及控制措施。系統(tǒng)失效是由某種特殊原因而非自然老化引起的失效，導(dǎo)致系統(tǒng)失效的原因可分為以下三類：

1) 應(yīng)力失效。通常在應(yīng)力過度的條件下出現(xiàn)，即元件的操作條件超出了設(shè)計要求。

2) 設(shè)計失效。廣義范疇的設(shè)計失效發(fā)生在運行之前的數(shù)個階段，如系統(tǒng)設(shè)計本身的失效、制造失效或安裝過程中的失效。

3) 運行失效。在運行或維修、測試過程中，由于人員失誤引起的失效，如傳感器根閥處于關(guān)閉狀態(tài)等。

通過對設(shè)計或生產(chǎn)流程、操作程序、規(guī)程進(jìn)行改造或修改等，可避免系統(tǒng)的失效。

設(shè)備生產(chǎn)廠家或供應(yīng)商應(yīng)提供相關(guān)文件來證明其設(shè)備能夠避免和控制系統(tǒng)失效。根據(jù)文獻(xiàn)[2]第7.4.7節(jié)的說明，如果子系統(tǒng)滿足“使用證明”的要求，則不需要提供避免和控制系統(tǒng)失效的措施和技術(shù)的信息。子系統(tǒng)滿足“使用證明”要求的條件是該系統(tǒng)能提供相關(guān)文件證明在SIS中的失效可能性，包括硬件失效和系統(tǒng)失效，可使相應(yīng)的安全功能達(dá)到需求的SIL等級。這些文件證明包括： 清晰且嚴(yán)格受限的功能性說明；基于該子系統(tǒng)在具體配置結(jié)構(gòu)下的使用情況并考慮其他需要進(jìn)行的分析或測試而編制的記錄文件。

1.3.2設(shè)計中如何滿足系統(tǒng)失效避免及控制的要求

根據(jù)該要求，SIS設(shè)計時應(yīng)選擇經(jīng)過SIL認(rèn)證的或經(jīng)過現(xiàn)場實踐認(rèn)證的設(shè)備。即SIS中最好選用具有SIL認(rèn)證的設(shè)備;沒有SIL認(rèn)證的設(shè)備也可以選用，但必須有現(xiàn)場實踐認(rèn)證。

現(xiàn)場實踐認(rèn)證可以通過提供“證明文件”的方式進(jìn)行評估，這些證明文件應(yīng)至少包括： ISO 9000等質(zhì)量認(rèn)證證書；其他資質(zhì)、認(rèn)可和設(shè)備的壽命測試文件；在運系統(tǒng)/元件清單，詳細(xì)記錄了購買方、數(shù)量、用戶、使用日期等信息。設(shè)計人員和甲方可以根據(jù)這些資料進(jìn)行評估所選設(shè)備是否滿足系統(tǒng)失效避免及控制的要求。

2 結(jié)束語

安全儀表系統(tǒng)SIL等級的衡量指標(biāo)不僅只有“失效概率”，還應(yīng)滿足： 硬件結(jié)構(gòu)約束要求、系統(tǒng)失效避免及控制要求、軟件要求，其中硬件結(jié)構(gòu)約束要求是非常重要的指標(biāo)，可以指導(dǎo)安全儀表回路的結(jié)構(gòu)設(shè)計和冗余設(shè)計；系統(tǒng)失效避免及控制要求是安全儀表回路中設(shè)備選型的原則性要求；軟件要求應(yīng)通過采用具有SIL認(rèn)證的軟件、固件，應(yīng)加強編程的規(guī)范和測試。只有滿足這4項指標(biāo)，才能滿足安全儀表回路SIL等級的要求。

[1] IEC. IEC 61508-1—2010 Functional Safety of Electrical/Electronic/Programmable Electronic Safety-Related Systems-Part 1： General Requirements[S]. Geneva： IEC， 2010.

[2] IEC. IEC 61508-2—2010 Functional Safety of Electrical/Electronic/Programmable Electronic Safety-Related Systems-Part 1： Requirements for Electrical/Electronic/Programmable Electronic Safety-Related Systems[S]. Geneva： IEC, 2010.

[3] 黃步余，葉向東，范宗海，等.GB/T 50770—2013石油化工安全儀表系統(tǒng)設(shè)計規(guī)范[S]．北京： 中國計劃出版社，2013.

[4] 張兆祥，李濤.安全完整性等級驗證計算在化工裝置中的應(yīng)用研究[J].石油化工自動化，2016，52(05)： 28-32.

[5] 朱春麗，呼濱，楊金麗.淺談結(jié)構(gòu)約束對HIPPS設(shè)計的影響[J].石油化工自動化，2016，52(02)： 11-13，24.

[6] 翟仲曦，李俊杰.石油化工安全儀表系統(tǒng)的設(shè)計與應(yīng)用[J].石油化工自動化，2017，53(03)： 21-23，30.

[7] 孫金玲.提高SIS系統(tǒng)安全完整性等級的措施[J].石油化工自動化，2016，52(03)： 10-12.

[8] 楊永光，金常青，崔黎寧，等.安全儀表系統(tǒng)中傳感器冗余配置方式的分析[J].石油化工自動化，2014，50(01)： 14-16，34.

[9] 徐飛，譚壯壯.基于故障樹的SIS可用性分析[J].石油化工自動化，2017，53(03)： 41-43.

[10] 方來華，吳宗之，康榮學(xué)，等.安全設(shè)備失效數(shù)據(jù)獲取與計算[J].中國安全生產(chǎn)科學(xué)技術(shù)，2010(06)： 121-125.

DiscussiononMeasurementIndicatorofSafetyIntegrityLevel

Tian Jingshan1, Wang Changnan2，Wang Guibo3

(1. Sinopec Petroleum Engineering Corporation, Instrumentation and Communication Department, Dongying, 257026, China; 2. SinopecChina Petroleum & ChemicalCorporation Beijing Oil Products Company, Beijing, 100022， China； 3. Sinopec Zhongyuan Oilfield Company Puguang Gas Field, Dazhou, 636156, China)

s： Safety integrity level (SIL) is the core of safety instrumentation system (SIS). Focusing on the four indicators of SIL: requirements of probability of failures, hardware architectural constraints, requirements of system failure avoidance and control and software requirements. In accordance with the requirements in IEC 61508-2010, constitution of hardware architectural constraints, system failure avoidance and control requirements are discussed. Whether hardware structure of the ordinary safety instrument loop meeting the corresponding SIL level requirements should be determined by the minimum SIL of the component in the entire loop. Redundancy can increase the SIL level of the redundant part. Rationalization proposal on how to meet system failure avoidance and control requirement in design is also given.

safety instrumented system; safety integrity level; safety instrumented function; hardware architectural constraints; safety failure fraction

TP273

B

1007-7324(2017)05-0011-04

稿件收到日期： 2017-06-16，修改稿收到日期2017-08-02。

田京山(1970—)，男，北京人，獲學(xué)士學(xué)位，主要從事油氣田及管道工程儀表和控制系統(tǒng)設(shè)計工作，任高級工程師。