關(guān)于DCS和SIS共用傳感器的若干問題

楊洪

(上海利伯特工程技術(shù)有限公司， 上海 200237)

近年來，隨著生產(chǎn)事故的頻發(fā)，國家有關(guān)監(jiān)管部門對石油化工行業(yè)的安全生產(chǎn)愈加重視，安全儀表系統(tǒng)(SIS)被廣泛應(yīng)用于石油化工生產(chǎn)裝置以降低生產(chǎn)風(fēng)險。在SIS的工程設(shè)計中，目前普遍認(rèn)為如DCS和SIS共用現(xiàn)場的傳感器，則傳感器和信號分配器，就成為了導(dǎo)致DCS和SIS兩個保護層無法完全獨立的共同節(jié)點。因此，宜獨立設(shè)置傳感器。然而，如果滿足一定的前提條件，則DCS和SIS可以在共用傳感器的同時，也不破壞保護層分析(LOPA)的獨立性，從而節(jié)約項目成本。

1 分 析

生產(chǎn)過程中的風(fēng)險可簡化為危險事件發(fā)生的后果與頻率的乘積。危險事件發(fā)生的后果越嚴(yán)重，發(fā)生頻率越高，則風(fēng)險越高。危險與可操作性分析(HAZOP)是目前主流的風(fēng)險分析方法，可以定性地識別出高風(fēng)險的潛在危險事件[1]。而LOPA則是建立在HAZOP基礎(chǔ)上的，一種半定量的風(fēng)險分析和評估方法。

GB/T 21109.1—2007《過程工業(yè)領(lǐng)域安全儀表系統(tǒng)的功能安全》[2]中洋蔥模型形象描述了流程工業(yè)中獨立保護層的組織結(jié)構(gòu)。每個保護層都可以在一定程度上降低工藝過程的風(fēng)險，并最終將工藝過程風(fēng)險降低到可接受的程度。這些保護層原則上應(yīng)為獨立保護層(IPL)，各保護層之間不應(yīng)有共同節(jié)點，如共用的傳感器、信號分配器和最終執(zhí)行元件，否則，當(dāng)某共用節(jié)點故障時，會有一個以上的保護層被同時擊穿，使最終暴露出來的風(fēng)險超過可接受的程度。

2 DCS提供的獨立保護層數(shù)

GB/T 32857—2016《保護層分析(LOPA)應(yīng)用指南》[3]提供了A和B兩種方法評估DCS回路的獨立性。方法A： 假設(shè)一個單獨DCS回路失效，則其他所有共享相同控制器的DCS回路都失效；對某一確定的風(fēng)險，方法A認(rèn)為同一DCS只能提供1個獨立保護層。方法B： 假設(shè)某DCS回路失效，最有可能是傳感器或最終元件失效，而DCS控制器仍能正常運行。該假設(shè)需要一個前提，即： DCS控制器的要求時危險失效平均概率(PFDavg)，應(yīng)比該回路其他部件的PFDavg低至少2個數(shù)量級。當(dāng)該前提得到滿足時，方法B允許同一DCS的2個不同回路都作為同一場景下的獨立保護層，如圖1所示。

圖1 同一DCS同時提供2個獨立保護層

DCS的傳感器和執(zhí)行元件通常不會選擇帶SIL認(rèn)證的產(chǎn)品，而DCS更是不會去做SIL認(rèn)證。在工程實踐中，方法B的前提所需的失效率數(shù)據(jù)，很難找到可信的來源，也就無法實施。因此，在LOPA中通常認(rèn)為DCS保護層在某一場景下僅能提供1個獨立保護層，且風(fēng)險最多僅能降低10倍，即PFDavg最小為0.1。

3 SIS提供的獨立保護層

SIS可提供SIL1或SIL2的保護層。SIL等級與PFDavg的關(guān)系見表1所列。

表1 SIL等級與PFDavg對應(yīng)關(guān)系

假設(shè)在某項目的LOPA中，將DCS和SIS同時構(gòu)建為獨立保護層，且SIS保護層的SIL等級要求為SIL1。這2個保護層實際上可以由1個SIL2的SIS保護層來取代，取代后的風(fēng)險程度見表2所列。

表2 用1個SIL2的SIS保護層取代DCS和SIL1的SIS 2個保護層后的風(fēng)險程度

在改進(jìn)后的LOPA中，并未計入DCS保護層對風(fēng)險的降低，也就不需要DCS和SIS分別構(gòu)成獨立保護層。從根本上消除了不同保護層之間存在共同節(jié)點，無法彼此完全獨立的缺陷，使得DCS和SIS共用同1個傳感器的控制系統(tǒng)架構(gòu)得以成立，如圖2所示。

圖2 DCS和SIS共用同1個傳感器的控制系統(tǒng)示意

4 SIL2回路的安全儀表功能評估

IEC 61511-1： 2016[4]列舉了SIS中硬件故障裕度(HFT)的最低要求，見表3所列。由于絕大部分SIF回路都工作在低要求模式下(要求頻率不超過每年1次)，因此SIL2回路的最低要求為HFT=0，SIL2回路的傳感器和執(zhí)行元件均可不作冗余。

表3 與SIL等級對應(yīng)的HFT最低要求

以下將從PFDavg的驗算、結(jié)構(gòu)約束驗證和系統(tǒng)完整性評估三個方面，全面評估SIL2的SIS回路的安全功能。

4.1 PFDavg的驗算

LOPA會對SIF回路的PFDavg提出具體要求，即當(dāng)危險事件發(fā)生，且要求某SIS回路動作以提供保護時，該回路應(yīng)足夠可靠，其失效率應(yīng)低于某一特定值。單一傳感器和最終執(zhí)行元件構(gòu)成的簡單SIF回路，其PFDavg等于SIF回路各組成環(huán)節(jié)的PFDavg之和。部分儀表產(chǎn)品的PFDavg見表4所列。表4中的最后兩列說明，經(jīng)SIL認(rèn)證的SIF回路各元件的PFDavg普遍要比SIL2所要求的PFDavg(0.01)低2個數(shù)量級。可見，即使不對傳感器和執(zhí)行元件進(jìn)行冗余，只要是經(jīng)過SIL認(rèn)證的元件，也可輕松滿足SIL2回路對失效率的要求。

表4 部分儀表產(chǎn)品的PFDavg

4.2 結(jié)構(gòu)約束驗證

IEC 61508-2： 2010提供了路徑1和路徑2來評價硬件的結(jié)構(gòu)約束[5]。

路徑1要求SIF回路的HFT必須滿足與SIL等級對應(yīng)的最低要求，其中，HFT，SIL及安全失效分?jǐn)?shù)(SFF)的約束條件見表5，表6所列。

表5 A類子系統(tǒng)結(jié)構(gòu)約束條件

表6 B類子系統(tǒng)結(jié)構(gòu)約束條件

SFF計算如式(1)所示：

SFF=(∑λs+∑λdd)/(∑λs+

∑λdd+∑λdu)

(1)

式中：λs——安全失效率；λdu——無法檢測到的危險失效率；λdd——可檢測到的危險失效率。

由表5可知，當(dāng)設(shè)備的SFF≥60%，且HFT=0時，A類子系統(tǒng)可不做冗余應(yīng)用于SIL2回路。由表6可知，當(dāng)設(shè)備的SFF≥90%，且HFT=0時，B類子系統(tǒng)可不做冗余應(yīng)用于SIL2回路。

路徑2則取消了對SFF的要求，僅要求滿足表3所列的最低要求。但采用路徑2時，要求B類子系統(tǒng)的診斷覆蓋率(DC)不低于60%。DC的計算如式(2)所示：

DC=∑λdd/(∑λdd+∑λdu)

(2)

采用路徑1對表4中的設(shè)備進(jìn)行結(jié)構(gòu)約束驗證，見表7所列?？梢钥闯?，除Emerson的2130音叉開關(guān)外，其他儀表設(shè)備均可由路徑1驗證。

表7 采用路徑1對部分儀表產(chǎn)品的結(jié)構(gòu)約束驗證結(jié)果

針對該音叉開關(guān)采用路徑2再次進(jìn)行結(jié)構(gòu)約束驗證，驗證結(jié)果見表8所列。需要注意的是： 無論采用路徑1還是路徑2驗證結(jié)構(gòu)約束，都應(yīng)以SIL證書上的數(shù)據(jù)和表述為依據(jù)。

表8 采用路徑2對音叉開關(guān)的結(jié)構(gòu)約束驗證結(jié)果

4.3 系統(tǒng)完整性評估

IEC 61508還對構(gòu)成SIF回路的各元件的系統(tǒng)性能力(SC)提出了要求。系統(tǒng)完整性代表了某設(shè)備的設(shè)計和生產(chǎn)技術(shù)在質(zhì)量方面的度量，IEC 61508要求用于某SIL回路的任何元件，其安全完整性都不應(yīng)低于該回路的SIL等級。

表9中列出了部分儀表產(chǎn)品的安全完整性數(shù)據(jù)。由表9看出，所列設(shè)備的SC都不低于SC2，因此都可以應(yīng)用在SIL2的SIF回路里。

表9 部分儀表產(chǎn)品的安全完整性

5 結(jié)束語

當(dāng)前中國石油化工工程領(lǐng)域里，禁止在SIS中使用信號分配器，已漸漸成為行業(yè)共識。這就意味著DCS和SIS不能共用傳感器，從而增加了項目成本。本文提出DCS一般僅能提供一個獨立保護層，然后對判定為SIL1的SIF回路，通過對LOPA進(jìn)行微調(diào)，去除DCS保護層，同時將SIL1的SIF回路升格為SIL2，回避了DCS和SIS保護層無法完全獨立的問題，使得DCS和SIS共用傳感器和信號分配器的設(shè)計成為可能。本文還列舉了部分儀表設(shè)備的安全參數(shù)(來自SIL證書)，對由帶SIL認(rèn)證的傳感器、信號分配器、SIS和執(zhí)行元件組成的SIL2回路，從要求時危險失效平均概率驗算、結(jié)構(gòu)約束驗證和系統(tǒng)完整性評估三個方面，進(jìn)行了全面的評估和驗證，證明了即使不對這些元件進(jìn)行冗余，也完全可以搭建符合IEC61508： 2010和IEC61511-1： 2016的SIL2回路。

因此，DCS和SIS共用傳感器，仍然是可以在石油化工工程設(shè)計中予以考慮，且能有效節(jié)約項目成本的可選方案。此外，應(yīng)注意到，SIS和DCS共用元件，對SIF的PFDavg，HFT和SC的要求都有影響，只有當(dāng)滿足了共用設(shè)備元件的要求時危險失效平均概率足夠低、相關(guān)SIF回路經(jīng)驗證滿足其安全完整性等級要求、符合安全生命周期的所有要求、充分考慮了DCS操作維護對SIS的影響，以及按照功能安全標(biāo)準(zhǔn)要求編制相關(guān)檢測及維護規(guī)程等前提條件后，才能共用[6]。

智能化與信息技術(shù)