安全儀表功（gōng）能回路設計（jì）及SIL驗（yàn）算

作者：高（gāo）嗣（sì）晟（shèng）中國石油集團東北煉化工程有限公司葫蘆島設計院

近（jìn）些年石化行業頻發重大安全事故，安監局發（fā）布的相關安全文件中均提到安全儀表係統（SIS）。《中國石化安全儀（yí）表係統安全完（wán）整性等級評估管（guǎn）理規定（試行）》（中國石化安［2013］259號文）1.3條要求：“各單位應將建設項目安全完（wán）整性（xìng）等級（SIL）評估納入建（jiàn）設（shè）項目設計管理，將在役（yì）裝置SIL評估納入日（rì）常安全生產管理”；3.2條要求（qiú）：“各單位或設計單位應（yīng）對建設項目以及在役裝置所涉及的安全儀（yí）表功能（SIF）確定相應的SIL，安全儀表功（gōng）能滿足目標SIL要（yào）求”^［¹^］。在SIS設（shè）計過程中， SIF回路中SIL的定級和驗算是設計的重（chóng）點和難點。

1 SIL定級

目前（qián）SIF回路的SIL的確（què）定，主要依靠危險與可操作性分析（HAZOP）結合保護層分析（LOPA）的方法來實現。

HAZOP分析是在安全專業人員主導下，工藝、自控、設備專業人員（yuán）以及操作人員共同構成的分析小組進行的一種分析方法。HAZOP分析是采用標準化“引導詞”對裝置過程係統的中間變量設定“偏離”，沿“偏離”在係（xì）統中反向查找非正常“原因”，沿“偏離”在（zài）係統（tǒng）中正向查找不利（lì）“後果”，確定（dìng）後果嚴重性等級^［²^］。HAZOP具體（tǐ）分析方（fāng）法詳見AQ/T3049—2013《危險與可操作性分析（HAZOP分（fèn）析）應用導則（zé）》^［³^］。

當HAZOP分（fèn）析確定後果嚴（yán）重性等級為高風險或很高（gāo）風險時，需進一步進行LOPA分析，計算目（mù）前偏差導（dǎo）致的後果（guǒ）發生的頻率，判斷現有保（bǎo）護措施是否足夠，建議措施是否能夠有效地降低事故發生頻率等。可通過增加SIF回路保護層，降（jiàng）低（dī）事故（gù）發生概率，從而得（dé）出SIF回路的SIL。LOPA具體分析方法詳見AQ/T 3054—2015《保護層分析（LOPA）方法應用（yòng）導則》^［⁴^］。

根據文獻^［⁴^］中表E.2，引發偏差（chà）的初始事件，如控製回路失效、冷卻水失效、控製閥誤動作、常規人員操作（zuò）失誤、雷擊（jī）等，偏差導致的事故（gù）發生概率f1i≤1×10^－1，假設

安全儀表功能回路設計及（jí）SIL驗算

，年頻率等級為1～10^－1。

在涉及“重點監管工藝、重點監管化學品、重（chóng）大危險源”或可能引發高後果的工藝，大多已配置基本過程控製係統（BPCS）、過程報警（jǐng）及操（cāo）作員幹預、安全閥、爆破片（piàn）、防火堤等獨立保護層中的一個或多個，根據文獻［4］中表E.3，各獨立保護層失效概率PFD≤1×10^－1；引入（rù）點火概率、人員暴露、人員傷害（hài）、毒性影（yǐng）響等修正係（xì）數P，P=n×10^－1，n=1～10，偏差（chà）導致的事故（gù）發生概率fci=f1i×PFD×P≤n×10－3，年頻率等級範圍為10^－2～10^－3。

為了方便分（fèn）析，假定偏（piān）差（chà）導致的後（hòu）果嚴重性為最嚴重等級的5級，事（shì）故發生年頻率等級（jí）為（wéi）n×10^－3，根據表1 LOPA風險評估矩陣可得知，事故風險為高風險，需采取進一步的保護措施。

可在HAZOP分析的節點增加SIS獨立保護層，引入SIL1（PFD=1×10－2）的SIF回路時，後果（guǒ）發生的概率fci=n×10－3×1×10－2=n×10－5，年頻率等級為10^－4～10^－5，此（cǐ）時根據表（biǎo）1可知，5級後果的風險等級為中風險；當引入SIL2（PFD=1×10^－3）的（de）SIF回路（lù）時，後果發生的概率fci=n×10－3×1×10－3=n×10－6，年頻率等級範圍為10^－5～10^－6，5級後（hòu）果的風險是中風險；當引入SIL3（PFD=1×10－4）的SIF回路時（shí），後果發生的概率（lǜ）fci=n×10－3×1×10－4=n×10－7，年頻率等級範圍為10^－6～10^－7，5級後（hòu）果的風險是低風

險。

安全儀表功能回路設計（jì）及SIL驗算

上述SIL分析（xī）中選（xuǎn）取了最嚴重的風險等級、最高的初始時間發生概率、最高的獨立保護層失效（xiào）概（gài）率，可以看出SIL1的保護層即可（kě）將風險降為中風險，中風險是可選擇性的采取行動；當（dāng）采用SIL3保護（hù）層時（shí）可將風險降為低（dī）風險，低風險不需要采取行動。若風險等級小於5級或其他獨立保護層的失（shī）效（xiào）概率（lǜ）小於1×10^－1時，采用SIL2保護層時可將風險降為低風險，低風險不需要采取行動。因此，SIS中，大部分SIF回路的SIL可定在1級；少數SIF回路的（de）SIL可（kě）定在2級；極少數SIF回路的SIL定為（wéi）3級。

2 IEC 61508 中SIL驗算（suàn）方法（fǎ）

IEC 61508^［5^］中的SIL驗算方法適用於已取得SIL認（rèn）證的儀表、控（kòng）製邏輯器、執行元件等（děng），常用的品牌型號產品（pǐn）認證參（cān）數見表2所列，其中，λsd為被檢測（cè）到的安全故障率；λsu為未被檢測到的安全故障（zhàng）率；λdd為被檢測到的（de）危險故障率；λdu為未被（bèi）檢（jiǎn）測到的危險故障率；λs為安全失效故障率；λd為危險失效故障率（故障率的單位為Fit，1 Fit=1×10^－9）；DC為診斷覆（fù）蓋率；SFF為安全失效分（fèn）數。計算公式如下所示^［⁶^］：

安全（quán）儀表功能回路設（shè）計及SIL驗算

式（1）中λsd，λsu，λdd，λdu可從儀表設備（bèi）SIL認證證書中獲取。根據GB/T 50770—2013《石油化工安全儀表係統設計規範》^［⁷^］中4.1.3條規定：“通常（cháng）石油化工工廠和裝置的（de）安全儀表係統工作於低要求操作模式”，故下文（wén）中的參數（shù）均是低要求操作模（mó）式下的認證參數。

通過式（1）的（de）計算可得出安全失效（xiào）分數，而表3和表4列出了硬件的SIL，其中A類儀表有浪湧保護器、液位開關、安全柵、電（diàn）磁閥、閥體、執行機構、閥門定位器等，B類有安全型控製邏輯器、現場變送器等（děng）。

結合表2，表3和表4可以看出，通過SIL認證的溫度變送器、壓力變（biàn）送器、流量計、液位計等（děng）B類子（zǐ）係統（tǒng）SFF多在90%～99%，符合SIL2的要求，可以通（tōng）過冗餘（yú）配（pèi）置達到SIL3。而（ér）A類子係統SFF在90%～99%已滿足SIL3要求。

SIS投（tóu）入運行後需進行周期性的離線維護，某（mǒu）些故障或失效隻能通過離（lí）線的人工測試（shì）才能發現，例如變送器的膜盒損壞、引壓管的堵塞、測量精度、閥門的腐蝕內漏、閥芯的卡死等［810］。大多數SIS設（shè）備的檢驗測試在裝置的停車大修期間進行。在低操作要求模式下，檢測平均時間間隔T1有3 d,6 d,1 a，一般（bān）選用T1=1 a，平均恢複時間MTTR=8 h。

安全儀表（biǎo）功能回路（lù）設計（jì）及SIL驗算（suàn）

安全儀表功（gōng）能回路設計及SIL驗算

工程設計（jì）中，常見的（de）儀表組合有“1oo1”,“1oo2”,“2oo3”，通過下列步驟分別計算組合後（hòu）的PFDavg。

1）計算通道等效停止時間tCE：

安（ān）全儀表功（gōng）能回（huí）路設計及SIL驗算

式（shì）中：βD——具有共（gòng）同原因已被檢測到的失效分數；β——具有共同原因沒（méi）有被檢（jiǎn）測到（dào）的失（shī）效分數（shù），β=2βD。

β的值（zhí）可根據GB/T 20438.6—2006^［6^］/IEC 61508： 2000中的表D.1評分獲得，β取值有1%，2%，5%，10%；對應的βD分別為0.5%，1%，2.5%，5%。將上述數據分（fèn）別代入式（shì）（5）中驗算，結果相差無幾，且β評分（fèn）方法繁瑣，為了方便工程計算，現場儀表可統一（yī）將β取值為10%，βD取（qǔ）值為（wéi）5%。

5）計算“2oo3”時的PFDavg：

PFDavg=6［（1-βD）λdd+（1-β）λdu］2tCEtGE+

βDλddMTTR+βλduT12+MTTR（6）

將表2內的認證參數代入式（2）～式（6），可得出分別在“1oo1”，“1oo2”，“2oo3”情況下的PFDavg，並將該值（zhí）填（tián）入（rù）表2中。

6）分別計算SIF回路中的傳（chuán）感器、邏輯係統、執行元件等的PFDavg後，計算SIF回路係統的平均失效概率PFDsys：∑PFDsys=∑PFDS+∑PFDL+∑PFDFE（7）

式中：∑PFDS——傳感器子係統平均失效概率；∑PFDL——邏（luó）輯子係統平均失效（xiào）概（gài）率；∑PFDFE——執行元（yuán）件子係統平均失效概率。

因SIS的設計為故障安全型，電源的失效會將裝置帶（dài）到安全位置，故係統平均失效概率不（bú）考慮電源失效。

3 ISA TR 84.00.02 標準中SIL的驗算方法

文獻[11]中SIL的計算方法相對簡（jiǎn）單，未經SIL認證的普（pǔ）通儀表采用IEC 61508計算時，λsd，λsu，λdd，λdu無數據可查，此時可通過文獻[11]進行SIL驗算，步驟如下所示：

1）計算危險失效故（gù）障率λd： λd=1/MTTFd（8）式中： MTTFd——平均危險失效前時間,實際驗算過程中精確的（de）數值可從供貨商處獲取儀表平均（jun1）故（gù）障時間MTBF， MTTFd=MTBF-MTTR，因（yīn）MTTR時間很短為8 h，則MTTFd≈MTBF^［12^］。在MTTFd無數據可循的情況下，可參考文獻[11]中part 1 表5.1中5個工廠（chǎng）經驗值（zhí），詳細數（shù）據見（jiàn）表（biǎo）5所列（liè）。

表5常規儀表平均危險失（shī）效（xiào）前時間a

因λdu=λd×（1-DC），可假設未經過SIL認（rèn）證（zhèng）的常規儀表診斷覆蓋率DC=0，則λdu=λd。

安全儀（yí）表功（gōng）能回路設計及SIL驗算

5）根據式（7）計算SIF回（huí）路的PFDavg。

4應用實例

假（jiǎ）設P&ID中某節點需設置SIF回路，當采用差壓變（biàn）送器測量儲罐液位時，液位高高或壓力（lì）高高時聯鎖停進（jìn）料（liào）切斷閥，如圖1所示，該SIF回路經HAZOP，LOPA分析後得出SIF回路（lù）的SIL=2。

安全儀表功能回路設計及SIL驗算

1）當（dāng）現場采用未（wèi）經SIL認證（zhèng）的普通（tōng）傳感器和執行元件“1oo1”時，SIF回路的PFDavg見表6所列，∑PFDsys=2.700 5×10^－2，SIF回路SIL=1，不滿足SIL2的要求。

安全儀表（biǎo）功能回路設計及SIL驗算

從表6可以看出，SIF回（huí）路的PFDavg中現場（chǎng）變送器和執（zhí）行元件占了大部分（fèn）的比例，安全柵、繼電器、安全型控製邏輯器占比例（lì）較少，需降低現場（chǎng）變送器和執行元件子係統的PFDavg。

現場變送器采（cǎi）用“1oo2”，設置雙壓力變送器和液位變送器，如圖2所示。執行元件采用“1oo2”，設置雙切（qiē）斷閥，此時SIF回路的∑PFDsys=4.45×10^－4＜1×10^－2，滿足SIL2的（de）要求。文獻[11]中指明，該規範（fàn）中的計算步驟適用於SIL1和SIL2的SIF回路驗證，除非完全掌握簡化公（gōng）式的計算方（fāng）法和限製條件才可以進行SIL3的SIF回路驗證。

安全儀表功能回路設計及SIL驗算

2）當SIF回路的現（xiàn）場（chǎng）傳感器及執行元件均采用取得SIL認證的儀表時，SIF回（huí）路PFDavg見表7所列。

當變送器、不（bú）帶PVST功能的電磁閥、氣動切斷球閥采（cǎi）用SIL2認證（zhèng）的（de）產（chǎn）品（pǐn），與SIL3認證的SM係（xì）統、安（ān）全（quán）柵、繼電器構成的“1oo1”SIF回路∑PFDsys=1.503×10－3，SIF回路（lù）SIL=2；當采用冗餘的SIL2認證的變送器、電磁閥、氣動切斷球閥、安全柵、繼電（diàn）器，與SM係統（tǒng）構成的“1oo2”SIF回路∑PFDsys=8.22×10^－5，SIF回路滿足SIL3的（de）要（yào）求。

安全儀表功能回路設（shè）計及（jí）SIL驗算

當電磁閥帶PVST功能時，其“1oo1”時PFDavg查表2為1.503×10^－5，代入到表7中，采用SIL2認證（zhèng）的變送器、氣動切斷球閥，與SIL3認（rèn）證的SM係統、安（ān）全柵、繼電器、帶PVST功能的電磁閥構成的“1oo1”SIF回路∑PFDsys=6.980 3×10^－4，SIF回路滿足SIL3的要求。

3）當檢測器子係統采用未經安全完整性等級認證的普通儀表“1oo2”，執行元件子係統采用經過（guò）安全完整性等級認證的不帶PVST功能電磁閥、氣動（dòng）切斷球閥“1oo1”，如圖3所示。∑PFDsys=1.029×10^－3，滿足SIL2的要求。

安（ān）全儀表功能回路設計及SIL驗算

5結論

SIF回路的SIL驗算需大量的數據支（zhī）撐，準確數據獲取不易，對於工程設計而言，可粗略的得出如下結論（lùn），方便快速驗算：

1）對一個SIF回路的PFDavg進行分解，傳感器子係統約占35%，安全型控製邏輯器約占15%，執行元件（jiàn）子係統約占50%。

SIL2認證的儀表“1oo1”結（jié）構PFDavg在（zài）10^－4左右，“1oo2”結構PFDavg在10^－6左右，“2oo3”結構PFDavg在10^－5左右，如沒有具體數據可參考上述（shù）數量級進行粗略（luè）計算。

2）用於緊急停車功能的安全型控製邏輯器、安全柵、浪湧（yǒng）保護器、繼電器宜選SIL3認證的產品；對於（yú）裝置規模較小、聯鎖簡單、事故後果可控的中小型生產企業若（ruò）LOPA分析所（suǒ）有SIF回路SIL均為1時，可選用SIL2認證的安全型控製器、安全柵等。

3）采用質量可靠（MTBF≥50 a）、應用廣泛（fàn）、未取（qǔ）得SIL認證的傳感器、執行元件子係統構成的“1oo1” SIF回路，在傳感器子係統和執行元件子係統中（zhōng）儀表數量較少（shǎo）的情況下，基本可滿足SIL1的要求。

采用經SIL認證的儀表、或未經SIL認（rèn）證的（de）普通儀表組成“1oo2”，“2oo3” SIF回路、或經過SIL認證（zhèng）的（de）執行元件與未經過SIL認證的“1oo2”，“2oo3”傳感器子係統混合型（xíng）的方式來降低（dī）回路的PFDavg以滿足SIL2的要求。采用經SIL認證的傳感器子係統與帶PVST功能的執行元件配套使用可（kě）達到SIL3的要求。

4）當傳感器子係統采用“1oo2”，“2oo3”的（de）方式時，儀（yí）表的取源部件不應共用，以免因取源部件的（de）堵塞導（dǎo）致SIF回路的失效（xiào）。

5） GB/T 50770—2013《石油化工安全儀表係統設計（jì）規範》中，SIL1的（de）回路中測量儀表、控製閥可與BPCS共（gòng）用；SIL2的（de）回路中測量儀表、控（kòng）製閥宜與BPCS分開；SIL3回路中的測量儀表、控製閥應與BPCS分開^［⁷^］。

從LOPA分析來（lái）看，BPCS與SIS是兩個獨立的保護層，如SIF回（huí）路中的測量儀表、控製閥與BPCS共用，測量儀表或控製閥的失效（xiào）可能導致BPCS和SIS的同時（shí）失效（xiào），破壞SIS保護層的獨立性。

因此，在設計過程中SIS中SIF回路的檢測儀表（biǎo）、控製閥不建議（yì）與BPCS共用，不推薦采用調節閥配電磁閥的方式進行控製、聯鎖。

注：本文轉載自自控中心站微信公眾號，如有侵權請聯係刪除。