武华团，皮 宇

(中石化广州工程有限公司，广东 广州 510620)

近年来随着国家对生产安全越来越重视，危险与可操作性分析(HAZOP)以及SIL的安全分析逐渐在各个项目中开展，SIL定级结果的验证是SIS生命周期的一个重要环节，一般是通过收集各种仪表失效率数据，利用专门的软件工具 (例如：Exida的SILverTM)，通过程序验算得以验证。SIL验证的结果将用于指导设计方进行设计完善，必要时对后期业主方的操作维护提供建议，从而实现SIS全生命周期的过程安全。

1 通过SIL验证的必要条件

根据IEC 61508[1-2]，评估(子系统的) SIL，顺利通过验证以下三个条件必不可少：

(1)低要求操作模式下(根据GB/T 50770-2013《石油化工安全仪表系统设计规范》[4]条文说明4.1.3规定：“通常石油化工工厂和装置的安全仪表系统工作于低要求操作模式”，故本文仅考虑低要求操作模式下的SIL验证),在安全仪表功能(SIF)被要求时完成其设计功能的平均失效概率(PFDawg)必须满足SIL要求。

(2)硬件结构约束必须满足要求。即硬件故障裕度(HFT)必须满足IEC 61508 中对该SIL的最小HFT要求。

(3)系统失效避免及控制要求、软件要求满足条件。根据IEC 61508，该因素主要与设备的使用、维护、管理有关，本文不加赘述。

为了能够满足上述三个条件并通过SIL 验证，就必须从SIL定级前的准备，SIL定级过程到最后的SIL验证各阶段中做好准备，有针对性的寻找解决方案。特别由于SIL验证一般在项目设计的中后期，此时很多设备订货可能正处于进行中，如果不加以分析，只是盲目的根据验证结果增加仪表，结果可能由于SIL验证的瓶颈并不一定来自硬件架构，那么由此带来的仪表投资增加就不一定合理，而且还会引起其它相关专业采购及设计变更；还有为了改善仪表的λ值，盲目的更换仪表类型，这样表面看来会更好，但是可能不适用特定的工况。所以在SIL验证阶段中，结合SIL验证报告中给出的合理化建议，分析原因并有针对性的加以研究解决尤为重要。

2 SIL定级前

2.1 选择成熟的设计方案

由于HAZOP和SIL活动主要参考的设计文件为P&ID流程以及逻辑因果表等，因此应当在对应的活动正式开始前，提交较为完善的上述资料给活动分析小组，或采用成熟的工艺包(很多国外项目在FEED阶段就进行了Pre-HAZOP以及Pre-SIL的活动)，避免后期对先前设计做大面积的修改。

2.2 HAZOP分析应尽量完整合理

笔者参与的某国外煤油/柴油加氢装置，针对壳牌标准安全风险矩阵后果严重性等级为3及以上的场景SIL定级采用了保护层分析(LOPA), 而LOPA分析的信息输入即来自之前HAZOP报告中对潜在的风险和已有的安全保护措施的辨识。参考GB/T 32857-2016[5]表A.1也可以看出，LOPA分析中的信息输入基础均来自于HAZOP分析，因此HAZOP会议中应尽量对各场景做比较完整和合理化的分析，尽可能多的寻找已存在的安全保护措施，为后期的SIL定级LOPA分析寻找独立保护层(IPL)做准备。

2.3 设计合理的并带SIL认证的仪表

为满足后期实际SIL验证的需要，在安全回路设计时所采用的仪表检测元件、变送器、联锁阀门及执行机构通常要求至少SIL2的认证，订货时就要求厂家提供SIL的认证报告；对于安全仪表系统(SIS)，应充分考虑设计装置的历史成熟经验，一般设计为SIL3等级。

3 合理的SIL定级

在定级前必须就项目采用的风险矩阵基本原则及安全要求规格书(SRS)中的基本数据与业主达成共识，否则定级会议时可能产生分歧。

(1)后果及严重性等级评估。来源于HAZOP报告，请注意该数据的量化对于SIL定级至关重要，业主往往单方面希望提高SIL的等级来提高装置的安全性，但是EPC要控制投资，有实际国外项目案例表明，最大的分歧在于对资产损失的评估，业主有时不顾HAZOP报告中的后果严重性等级评估结果，在SIL定级会议中单方面夸大财产损失并提高后果严重性等级的量化值，这样会直接提升该SIF回路最终需要达到的风险降低因数(RRF)的分值，从而提高SIL等级，导致后期验证很难通过，最后只能通过SIL重新定级来解决。因此在HAZOP及SIL活动期间，对后果严重性等级的评估，各方要做到尽可能有依有据，科学合理，不能任凭单方面盲目夸大。

(2)场景事故发生的频率的评估及确定。场景事故发生的频率决定了对事故后果的严重性降低的倍数，最终也会影响SIF回路需要达到的RRF值和SIL等级。

(3)独立保护层的使用，一般引用HAZOP报告中已有的安全保护措施，对其独立性和有效性进行识别。另可根据需要，寻找之前HAZOP报告中可能遗漏的IPL。根据GB/T 32857-2016-6.1.2，允许SIL定级会议LOPA分析时补充IPL。一个独立的IPL能够至少降低10倍基础RRF分值，导致SIL的等级可能直接降一个级别，甚至多个IPL能够将SIL的等级直接降为没有SIL需求。

因此IPL的寻找和使用至关重要，SIL定级会议一旦结束，后期进入SIL验证阶段时，由设计单方再次寻找的新的IPL被认可，以此来降低目标SIL并使验证通过的流程将会变得更加复杂，所以SIL定级会议前足够的准备是必须的。

4 SIL验证不能通过的原因及解决方案

经过上述措施后，在SIL验证阶段仍可能存在部分SIF不能通过的情况。

4.1 目标RRF分值与实际计算RRF分值非常接近，基本在一个数量级时

此时应尽量避免做过多的设计修改以及投资变动，解决的优先级别建议如下：

1)初始验算时，通常使用验证软件数据库中自带的通用数据，但该数据往往没有真实订货数据好。因此当取得订货产品SIL证书后，用实际数据验证就可以显著提升SFF(安全失效分数)值，进行再次验算并通过。

2)安全栅、继电器、电磁阀、部分行程测试(以下简称PST)等对整个回路的制约：

炼油化工装置中，本安设计为防爆技术的首选，完整安全回路典型接线如下：

检测元件子系统(检测元件-变送器-输入安全栅)-逻辑控制单元-最终执行元件子系统(输出安全栅-电磁阀-联锁阀门)

极个别的情况，当检测元件比较特殊时，检测元件不能匹配具有SIL认证型号的安全栅，根据IEC61508对硬件的约束条件，即使改变架构为1oo3或2oo3也不能过多改变检测元件子系统的PFDawg值，安全栅成为瓶颈，这时可以考虑设计为隔爆类型，取消安全栅。

最终执行元件的阀体可靠性非常好，有些可以达到SIL3，但是安全栅或电磁阀有时受限于项目要求的类型不能达到SIL3，如果新增一台阀门，可能会造成投资及空间浪费，这时可以考虑仅仅增加冗余电磁阀，也有国外项目选用隔爆的电磁阀，直接取消安全栅以减少SIF回路的中间环节；同时为提高阀门整体的安全失效分数(SFF)，可以通过增加PST功能，并可根据目标RRF分值适当调整PST的频率，从而提高最终执行元件子系统的综合SFF来通过验算。

3)修改检测元件子系统或者最终执行元件子系统的检验测试时间(PTI)。

检验测试也称功能测试，指的是人工完成的周期性的离线测试，测试后系统能恢复至或接近于"全新状态"。测试的目的主要是进一步发现安全仪表中的危险失效，通过较为彻底的检修提高其可靠性，使SIF回路恢复至设计要求的SIL等级。通常PTI等于或近似等于工厂的计划停工时间，但是为了满足SIL要求，在具有必要的离线检验措施，例如通过设计合理的维护旁路开关(MOS)和各类自动旁路降级架构等，适当减小检测元件子系统或者最终执行元件子系统的PTI并获得业主的认可，有利于提高单台设备的SFF值和SIF回路能达到的RRF分值，从而满足目标要求。

4)修改仪表厂家或型号，提高单台设备的SFF值，将不能提供SIL认证参数的厂家或产品换为同类型能提供SIL证书的厂家或产品。

5)改变检测元件表决的架构，增加容错和HFT值。因为一般检测元件都比最终执行元件投资小，安装变更小。

6)增加最终执行元件的SFF值，且尽量避免增加投资大的阀体等设备。一般最终执行元件均属于A类元件，参考IEC 61508-2-2010[2]，当SIF回路要求为SIL2时，如果不冗余配置，应尽量增大单台执行元件的SFF值保证在60%以上；当要求为SIL3 时，如果不冗余配置，执行元件要具有SIL3认证且SFF值要达到90%以上。

当SIF的最终动作包含电机联锁时，设计就尽量选用SIL3 或SIL4认证的继电器。

4.2 目标RRF分值与实际计算分值相差较远，甚至不在一个数量级时

按照国外工程公司经验，验算通不过的基本为SIL2以及以上的回路，针对目标RRF值大于200的SIF，当上述方法明显无效时，多数情况下可以通过改变仪表的架构，修改执行机构为1oo2的冗余配置，问题基本都能够解决。

更合理的解决方案是想办法降低SIF回路的目标RRF分值，如上第3节所述，直接将SIL等级降级，从根源上能解决一切验证不通过的难题。所以在SIL定级时，如果没有考虑足够多的IPL，此时还需要继续请工艺一起来分析工艺变更的可能性，最好是通过工艺的途径来解决。由陶氏洋葱结构可以看出，解决的优先级别应该从洋葱层的核心入手：

1)工艺本质安全设计是避免风险发生的根源，请考虑是否可能修改工艺设计，本质上消除HAZOP分析中危险场景的风险源。

2)与工艺协商，DCS中是否可能增加有效的控制回路作为IPL，详见GB/T32857-2016《保护层分析(LOPA)应用指南》对该类IPL的详细要求，通常该类IPL只能找1个。

3)核实和增加工艺变量报警，这个最容易实现，而且几乎不增加什么投资，但是报警要和操作工的响应配合使用，且要留给操作工足够的处理时间。注意多个报警只能算一个IPL。

4)寻找其他带有SIL等级的SIS联锁作为IPL。根据GB/T 32857-2016所述，用作IPL的联锁SIL等级越高时，对RRF降低的贡献越大，很可能将被分析的SIF回路降为没有SIL等级的要求。

5)请工艺检查安全阀、爆破片的设计是否可作为事故场景有效的IPL。

还有最极端的一种可能，无论你使用怎样的设计变更行为，包括考虑工艺的保护层，均不能通过验算，甚至该工艺有史以来从来没有出现过如此高的SIL等级，这时候必须要从根上寻找原因，如上第3节所述，可能是HAZOP活动或SIL定级活动中对后果严重性评估过高，最终只能通过SIL重新定级来解决。

5 结束语

从上面分析可以看出，对于一个成熟的工艺，出现SIL验证不能通过的情况，有些时候是非常难于解决的，无论仪表如何修改，都无法通过验证，最终还是回到SIL定级的根源来解决问题，所以在HAZOP阶段就应该花费大量的精力，通过合理的设计，增加针对消除危险源的措施，形成尽可能多的有效的IPL，保证本质安全，而不是将风险的解决全部交给仪表或操作工的管理行为。

国外项目的验证非常严格，最终全部使用订货的真实数据进行验算，具有一定的代表意义，供同行参考。