高立伟

（中海油能源发展股份有限公司，北京 100027）

0 引言

化工行业工艺具有多样性和复杂性的特点，生产过程中使用的原料和产品大多涉及易燃物、污染性或毒性，生产或储存过程存在人员安全、财产损失和环境污染的风险。

化工不断发展的同时，安全事故也随之增多，如生产区发生火灾、罐区爆炸，这些事故对社会发展、经济增长、员工人身安全都带来了极大的影响，所以对安全仪表系统（SIS）的检查成为了化工企业一项必不可少的工作。随着《国家安全监管总局关于加强化工安全仪表系统管理的指导意见》（原安监总管三〔2014〕116 号）的颁布，2018 年之后，安全仪表系统成为了“两重点一重大”（重点监管的危险化工工艺，重点监管的危险化学品，危险化学品重大危险源）的在役装置和新建项目的标配，要在全面开展过程危险分析（如危险与可操作性分析）基础上，通过分析确定安全仪表功能及其风险降低的要求，评估现有安全仪表功能是否满足风险降低的要求。在化工企业作业过程中不免会使用到危险化学品，此时对安全仪表的要求须极为严谨，在《国家安全监管总局关于公布首批重点监管的危险化学品名录的通知》（原安监总管三〔2011〕95 号）、《国家安全监管总局关于公布第二批重点监管危险化学品名录的通知》（原安监总管三〔2013〕第12 号）中都有对化学品的明确规定。所以在对化工企业的例行安全检查中，需对安全仪表的安全完整性及安全仪表系统装置进行评估。企业在对工艺是否安全、周边环境是否符合工业环境规定及工业产生的利益或是经济的损失都十分重视，所以SIL 验算已经成为一项对安全仪表系统检查的一项必要前提措施。

1 安全完整性等级（SIL）

1.1 SIL 概述

安全完整性等级是指在一定时间、一定条件下，安全相关的系统执行其所规定的安全功能的失效概率。

安全完整性水平由两部分组成。

1）硬件安全完整性水平。这部分的安全完整性与危险失效模式的随机硬件有关，主要体现在安全仪表功能的运行过程中，对安全相关硬件安全完整性规定的级别实现能以合理的精确度进行估算，而且子系统之间可使用概率运算法则。

2）系统安全完整性水平。这部分的安全完整性与危险失效模式的系统失效有关，这种系统失效在系统设计过程中就已经存在，尽管由于系统失效引起的平均失效率能够估算，但难以从设计失误和共因失效中得到失效统计数据来估计失效分布[1]。

安全仪表系统的安全完整性水平的选择并不是以装置为单位的，而是在对每一个工艺控制回路进行分析的基础上进行的，主要是通过对安全、环境、经济的影响分析确定安全仪表系统。

1.2 影响SIL 的因素

图1 SIL 验算流程

在确定安全仪表功能（SIF）安全完整性等级时，应考虑导致非安全状态的所有失效因素，譬如硬件失效、软件导致的失效和电气干扰引起的失效。这些类型中的某些失效，特别是硬件随机失效，可以使用危险失效率或者要求时的失效率这样的参数来量化。但SIF 的安全完整性等级还取决于许多因素，不能完全精确量化，只能定性考虑。在进行安全完整性等级（SIL）验算分析时，需考虑安全仪表的有效周期使用年限及其失效概率。在计算过程中，需规定检查安全仪表的时间周期，以达到最高的安全规定值。

1.3 SIL 分析的目标

1）确定安全仪表功能（SIF）。

2）确定各SIF 需要达到的SIL 等级。

3）计算各SIF 达到的SIL 等级。

4）筛选未达到SIL 等级要求的SIF，提出相应的建议和措施。

2 SIL验算

2.1 验算具体流程

1）根据SIL 分析报告列出装置安全仪表功能清单；

2）确定各安全功能回路检测元件和执行元件的操作模式、联锁逻辑以及检验测试周期等；

3）收集安全功能回路中包含的检测元件（传感器、安全栅、浪涌保护器）、逻辑控制器、执行元件的SIL 等级认证证书、查找对应的失效数据（危险失效率（DD）、未检测到的危险失效率（DU）、检测到的安全失效率（SD）和未检测到的安全失效率（SU））；

4）画出各个安全功能对应的可靠性框图；

5）计算安全功能回路的安全失效分数、硬件故障裕度，得出结构约束条件下的安全完整性等级，计算PFD 值（要求时的失效概率）。

对于未达到SIL 定级要求的安全功能回路，分析影响其PFD 值的瓶颈，并给出合理的建议。

2.2 SIL 等级选择

根据IEC 61508/11，SIL 等级选择是安全生命周期的一部分。根据完整的安全生命周期阶段的要求，应对SIL 等级选择结果、改进建议进行进一步的确认、执行等。具体SIL 等级及其对应要求的平均失效概率如表1 所示。

表1 SIL等级选择

2.3 SIL 验算模型假设

SIL 验证分析前需要假设的主要参数：

1）假设安全仪表系统平均修复时间（MTTR）为8 小时；

2）假设仪表及设备有年检，验算时可以先假设检验测试周期为1 年，根据验算结果调整合理的检验测试周期；

3）假设安全仪表系统的检测元件、执行元件等仪表或设备都有检测维护（如外观检测、功能测试、电气性能测试等），验算时一般假设检验测试覆盖率为90%～95%，如果采用软件建模计算，可以采用软件推荐的检验测试覆盖率；

4）大量经验数据统计显示：传感部分及执行部分冗余结构的共因失效因子值取为0.1，D 值为0；逻辑控制部分值取为0.05，D 值为0；

5）化工装置一般为低要求操作模式；

6）为了方便分析验算，将各安全功能回路划分为检测元件（传感器、安全栅）、逻辑控制器、执行元件（执行器、电磁阀）三部分。

图2 安全功能模型示例

安全仪表系统发生以下情况时，应重新评估SIS是否满足功能安全的设计要求：

1）变更或停用安全仪表系统；

2）可能对安全仪表系统产生影响的工艺、设备等的变更；

3）同类生产设施或本生产设施出现重大意外事故，需要对SIS 的设计和运行维护状态进行审查，确定是否存在隐患；

4）国家或行业有新的规定或标准规范发布，要求对在役SIS 进行安全审查。

此外，为了避免设备老化、人员变动等因素对SIS 安全运行带来不利影响，宜对SIS 和相关项目每运行3 ～5 年进行周期性复审。

3 SIL验算在安全仪表系统管理中的作用

3.1 化工企业工艺管理要求

按照《关于加强安全仪表系统管理的指导意见》（原安监总管三〔2014〕116 号）、2017 年11 月17 日,原国家安全监管总局和国务院国资委联合召开了中央涉化企业化工安全仪表系统管理座谈会并印发了《关于印发中央企业化工安全仪表系统管理工作座谈会会议纪要》，化工企业要充分意识到化工安全仪表系统管理工作的重要性；加强安全仪表系统的基础管理（包括安全仪表系统全生命周期的管理和其他相关仪表保护措施管理）；新建项目安全仪表系统管理工作要规范化；积极推进在役安全仪表系统评估工作。

根据《国家安全监管总局关于公布首批重点监管的危险化学品名录的通知》（原安监总管三〔2011〕95 号）、《国家安全监管总局关于公布第二批重点监管危险化学品名录的通知》（原安监总管三2013 年第12 号）等文件规定，在化工企业涉及项目中的原料如列入《重点监管的危险化学品名录》（2013 年完整版）中，那么则属于重点监管的危险化学品。根据GB 18218—2009《危险化学品重大危险源辨识》，若安全工艺中有所涉及，那么则应进行安全仪表系统验证分析，以此来减少安全事故的发生。

3.2 化工工艺仪表安全系统

化工安全仪表系统（SIS）包括安全联锁系统、紧急停车系统和有毒有害、可燃气体及火灾检测保护系统等。SIS 独立于过程控制系统（例如分散控制系统等），生产正常时处于休眠或静止状态，当装置出现可能导致安全后果的情况时，能够瞬间触发精准动作，紧急停止生产或将生产流程自动导入设定的安全状态。因此，安全仪表系统要求必须有很高的可靠性（即功能安全）和规范的维护管理，因为一旦安全仪表系统失效，往往会导致非常严重的安全事故，近年来发达国家发生的重大化工（危险化学品）事故大都与安全仪表失效或设置不当有关。根据安全仪表功能失效概率，将安全仪表功能划分为不同的安全完整性等级（SIL1 到SIL4）。不同等级安全仪表回路在设计、制造、安装调试和操作维护方面技术要求不同。所以在SIL 验算中不同回路存在不同的检验设计模型，要根据不同的仪表或阀门型号进行具体分析。

4 结论

安全仪表系统的安全完整性等级（SIL）验算对于企业保证生产安全检查方面有着重要作用。在进行SIL 验算分析之后，得出的SIL 等级结果及其PFD 值，通过比较其是否在规定的数值范围内，以此来进行安全环境的周期检查及化工安全仪表系统的现场仪表、阀门等设备的检测维护，来确保生产环境的安全并减少安全事故的发生。