安全完整性等级衡量指标探讨
2017-11-01田京山王长楠王贵波
田京山,王长楠,王贵波
(1. 中石化石油工程设计有限公司 自控通信所,山东 东营 257026;2. 中国石化销售有限公司 北京石油分公司,北京 100022;3. 中石化中原油田普光分公司,四川 达州 636156)
安全完整性等级衡量指标探讨
田京山1,王长楠2,王贵波3
(1. 中石化石油工程设计有限公司 自控通信所,山东 东营 257026;2. 中国石化销售有限公司
北京石油分公司,北京 100022;3. 中石化中原油田普光分公司,四川 达州 636156)
安全完整性等级(SIL)是安全仪表系统(SIS)的核心,围绕衡量SIL的4项指标: 失效概率要求、硬件结构约束要求、系统失效避免及控制要求、软件要求,对照IEC 61508—2010中相关要求对构成安全仪表回路的硬件结构约束要求、系统失效避免及控制要求等展开了讨论,一般安全仪表回路的硬件结构是否满足相应的SIL等级要求,应由整个回路各组成部分中最低的SIL等级决定;冗余可提升冗余部分的SIL等级。就设计中如何满足系统失效避免及控制的要求给出了合理化建议。
安全仪表系统 安全完整性等级 安全仪表功能 硬件结构约束 安全失效分数
随着国家对生产安全越来越重视,安全仪表系统(SIS)在石油、石化领域的应用越来越广泛,SIS的设计也逐步走向规范化。安全完整性等级(SIL)是SIS的核心指标,笔者从基本概念入手,围绕如何满足SIL要求,结合IEC 61508—2010进行讨论。
1 SIL的衡量指标
SIL是衡量SIS的重要指标,目前中国油气行业常用规范中一般要求: 在低要求模式下,安全仪表功能(SIF)的SIL应采用平均失效概率(PFDavg)衡量,宜根据表1确定。
表1 低要求操作模式下的SIL
上述要求容易给设计人员造成混淆,认为衡量SIL的唯一指标就是回路的PFDavg,其实不然。IEC 61508规定安全仪表回路应同时满足: 失效概率要求、硬件结构约束要求、系统失效避免及控制要求、软件要求,才能认为是满足SIL等级的要求。其中软件要求是纯粹的定性要求,需要采用具有相应SIL认证的编程软件、固件,并加强对编程的管控和测试来实现。以下对另外3个指标进行详细的探讨。
1.1平均失效概率要求
该指标是SIL衡量的主要定量指标,表1与IEC 61508-1—2010[1]Table 2是一致的。有时为了方便,也会加上目标风险降低值,该值为PFDavg的倒数,见表2所列。
表2 低要求操作模式的平均失效概率
注: 1) 文献[1]中Table 2不包括“目标风险降低”栏。
1.2硬件结构约束要求
1.2.1IEC 61508—2010中对硬件结构约束的要求
硬件结构约束要求为半定量要求,取决于安全仪表回路的安全失效分数(SFF)和硬件故障裕度(HFT),是对元件冗余的最低要求,即某回路的PFDavg符合该回路的SIL需求,但是组成该回路的硬件不能满足硬件结构约束,该回路也不符合SIL的要求。IEC 61508-2—2010[2]中Table 2和Table 3对硬件结构约束的要求见表3和表4所列。
表3 A类元件的硬件结构约束要求
该要求明确了安全仪表回路中元件和逻辑控制器的硬件结构构成方式,是否需要采用硬件冗余,如某B类元件的SFF为95%,SIL2对应的故障裕度要求为零,即采用单台设备就可满足要求;如SFF为80%, SIL2对应的故障裕度要求为1,则需要2台设备,采用“1oo2”结构才能达到要求;如SFF为50%,SIL2对应的故障裕度要求为2,则需要3台设备,采用“1oo3”的结构才能达到要求。
表4 B类元件的硬件结构约束要求
一般安全仪表回路的硬件结构是否满足相应的SIL等级要求,应依据以下原则: 原则1,整个回路的SIL等级由各组成部分最低SIL等级决定;原则2,冗余可提升冗余部分的SIL等级。
举例说明如下:
1) 如图1构成的安全仪表回路,元件1为SIL1、元件2为SIL2、元件3为SIL3,则整个回路应为SIL1。
图1 简单安全仪表回路SIL选取示意
2) 图2构成的安全仪表回路相对复杂,它是由子系统X和子系统Y串联。其中子系统X为并联冗余结构,子系统Y只有1个元件5。在确定整个回路SIL等级前,需要根据原则1对整个结构进行简化。
a) 第一步结构简化,元件1为SIL3、元件2为SIL2,则元件1&2支路为SIL2;元件3为SIL2、元件4为SIL1,则元件3&4支路为SIL1;元件5是SIL2。
b) 第二步结构简化,元件1&2支路为SIL2,元件1&2支路与元件3&4支路冗余,相当于硬件故障裕度加1。根据原则2和表4,则子系统X的SIL等级应为SIL3。
c) 最后整个回路的SIL等级应根据最低的子系统Y确定,回路应为SIL2。
图2 复杂安全仪表回路SIL等级示意
1.2.2国内规范中相关要求及应用建议
GB/T 50770—2013《石油化工安全仪表系统设计规范》[3]中虽然没有明确提出对硬件结构性约束的概念,但均隐含在输入元件、输出元件和逻辑控制单元的冗余设置要求中,前提是对各类元件的SFF先做了假定: A类元件,如阀门、开关等的SFF≤60%或为60%~90%;B类元件,如智能变送器、可编程控制器(PLC)等的SFF为90%~99%。
文献[3]中对输入元件和控制阀的冗余要求是根据以上假定和硬件结构性约束要求得出的,如文献[3]第7.3节控制阀的冗余设置:“SIL1级安全仪表功能,可采用单一控制阀; SIL2级安全仪表功能,宜采用冗余控制阀;SIL3级安全仪表功能,应采用冗余控制阀”。
控制阀是典型的A类元件,其中:
1) SIL1级的SIF,根据表3,即使控制阀的SFF≤60%,用1台也可以满足SIL1的要求。所以规范条文规定SIL1级的安全仪表回路可采用单台控制阀。
2) SIL2级的SIF,根据表3,如控制阀的SFF≤60%则必须冗余;如果SFF为60%~90%,则只用1台即可满足要求。所以规范条文规定SIL2级的安全仪表回路宜采用冗余控制阀。
3) SIL3级的SIF,根据表3,如果SFF为60%~90%,则用2台/冗余才能满足SIL3要求。所以规范条文规定SIL3级的安全仪表回路应采用冗余控制阀。
文献[3]规范中规定:“可在保证基本安全的前提下,大幅减轻设计人员的相关计算工作量,但不宜生搬硬套”。如在一些空间非常受限的地方,如海上生产平台,某SIL3回路在空间上无法摆开2台控制阀,根据IEC 61508—2010的规定,采用1台具有SIL3认证的控制阀也可满足要求,不必非用2台不可。
1.3系统失效避免及控制要求
1.3.1IEC 61508—2010中对系统失效避免及控制的要求
该要求是定性指标,要求SIS选用的设备必须有良好的系统失效避免及控制措施。系统失效是由某种特殊原因而非自然老化引起的失效,导致系统失效的原因可分为以下三类:
1) 应力失效。通常在应力过度的条件下出现,即元件的操作条件超出了设计要求。
2) 设计失效。广义范畴的设计失效发生在运行之前的数个阶段,如系统设计本身的失效、制造失效或安装过程中的失效。
3) 运行失效。在运行或维修、测试过程中,由于人员失误引起的失效,如传感器根阀处于关闭状态等。
通过对设计或生产流程、操作程序、规程进行改造或修改等,可避免系统的失效。
设备生产厂家或供应商应提供相关文件来证明其设备能够避免和控制系统失效。根据文献[2]第7.4.7节的说明,如果子系统满足“使用证明”的要求,则不需要提供避免和控制系统失效的措施和技术的信息。子系统满足“使用证明”要求的条件是该系统能提供相关文件证明在SIS中的失效可能性,包括硬件失效和系统失效,可使相应的安全功能达到需求的SIL等级。这些文件证明包括: 清晰且严格受限的功能性说明;基于该子系统在具体配置结构下的使用情况并考虑其他需要进行的分析或测试而编制的记录文件。
1.3.2设计中如何满足系统失效避免及控制的要求
根据该要求,SIS设计时应选择经过SIL认证的或经过现场实践认证的设备。即SIS中最好选用具有SIL认证的设备;没有SIL认证的设备也可以选用,但必须有现场实践认证。
现场实践认证可以通过提供“证明文件”的方式进行评估,这些证明文件应至少包括: ISO 9000等质量认证证书;其他资质、认可和设备的寿命测试文件;在运系统/元件清单,详细记录了购买方、数量、用户、使用日期等信息。设计人员和甲方可以根据这些资料进行评估所选设备是否满足系统失效避免及控制的要求。
2 结束语
安全仪表系统SIL等级的衡量指标不仅只有“失效概率”,还应满足: 硬件结构约束要求、系统失效避免及控制要求、软件要求,其中硬件结构约束要求是非常重要的指标,可以指导安全仪表回路的结构设计和冗余设计;系统失效避免及控制要求是安全仪表回路中设备选型的原则性要求;软件要求应通过采用具有SIL认证的软件、固件,应加强编程的规范和测试。只有满足这4项指标,才能满足安全仪表回路SIL等级的要求。
[1] IEC. IEC 61508-1—2010 Functional Safety of Electrical/Electronic/Programmable Electronic Safety-Related Systems-Part 1: General Requirements[S]. Geneva: IEC, 2010.
[2] IEC. IEC 61508-2—2010 Functional Safety of Electrical/Electronic/Programmable Electronic Safety-Related Systems-Part 1: Requirements for Electrical/Electronic/Programmable Electronic Safety-Related Systems[S]. Geneva: IEC, 2010.
[3] 黄步余,叶向东,范宗海,等.GB/T 50770—2013石油化工安全仪表系统设计规范[S].北京: 中国计划出版社,2013.
[4] 张兆祥,李涛.安全完整性等级验证计算在化工装置中的应用研究[J].石油化工自动化,2016,52(05): 28-32.
[5] 朱春丽,呼滨,杨金丽.浅谈结构约束对HIPPS设计的影响[J].石油化工自动化,2016,52(02): 11-13,24.
[6] 翟仲曦,李俊杰.石油化工安全仪表系统的设计与应用[J].石油化工自动化,2017,53(03): 21-23,30.
[7] 孙金玲.提高SIS系统安全完整性等级的措施[J].石油化工自动化,2016,52(03): 10-12.
[8] 杨永光,金常青,崔黎宁,等.安全仪表系统中传感器冗余配置方式的分析[J].石油化工自动化,2014,50(01): 14-16,34.
[9] 徐飞,谭壮壮.基于故障树的SIS可用性分析[J].石油化工自动化,2017,53(03): 41-43.
[10] 方来华,吴宗之,康荣学,等.安全设备失效数据获取与计算[J].中国安全生产科学技术,2010(06): 121-125.
DiscussiononMeasurementIndicatorofSafetyIntegrityLevel
Tian Jingshan1, Wang Changnan2,Wang Guibo3
(1. Sinopec Petroleum Engineering Corporation, Instrumentation and Communication Department, Dongying, 257026, China; 2. SinopecChina Petroleum & ChemicalCorporation Beijing Oil Products Company, Beijing, 100022, China; 3. Sinopec Zhongyuan Oilfield Company Puguang Gas Field, Dazhou, 636156, China)
s: Safety integrity level (SIL) is the core of safety instrumentation system (SIS). Focusing on the four indicators of SIL: requirements of probability of failures, hardware architectural constraints, requirements of system failure avoidance and control and software requirements. In accordance with the requirements in IEC 61508-2010, constitution of hardware architectural constraints, system failure avoidance and control requirements are discussed. Whether hardware structure of the ordinary safety instrument loop meeting the corresponding SIL level requirements should be determined by the minimum SIL of the component in the entire loop. Redundancy can increase the SIL level of the redundant part. Rationalization proposal on how to meet system failure avoidance and control requirement in design is also given.
safety instrumented system; safety integrity level; safety instrumented function; hardware architectural constraints; safety failure fraction
TP273
B
1007-7324(2017)05-0011-04
稿件收到日期: 2017-06-16,修改稿收到日期2017-08-02。
田京山(1970—),男,北京人,获学士学位,主要从事油气田及管道工程仪表和控制系统设计工作,任高级工程师。
