安全完整性等級衡量指標探討

田京山，王長楠，王貴波

(1. 中石化石油工程設計有限公司 自控通信所，山東 東營 257026；2. 中國石化銷售有限公司 北京石油分公司，北京 100022；3. 中石化中原油田普光分公司，四川 達州 636156)

安全完整性等級衡量指標探討

田京山1，王長楠2，王貴波3

(1. 中石化石油工程設計有限公司 自控通信所，山東 東營 257026；2. 中國石化銷售有限公司
北京石油分公司，北京 100022；3. 中石化中原油田普光分公司，四川 達州 636156)

安全完整性等級(SIL)是安全儀表系統(tǒng)(SIS)的核心，圍繞衡量SIL的4項指標： 失效概率要求、硬件結構約束要求、系統(tǒng)失效避免及控制要求、軟件要求，對照IEC 61508—2010中相關要求對構成安全儀表回路的硬件結構約束要求、系統(tǒng)失效避免及控制要求等展開了討論，一般安全儀表回路的硬件結構是否滿足相應的SIL等級要求，應由整個回路各組成部分中最低的SIL等級決定；冗余可提升冗余部分的SIL等級。就設計中如何滿足系統(tǒng)失效避免及控制的要求給出了合理化建議。

安全儀表系統(tǒng) 安全完整性等級 安全儀表功能 硬件結構約束 安全失效分數

隨著國家對生產安全越來越重視，安全儀表系統(tǒng)(SIS)在石油、石化領域的應用越來越廣泛，SIS的設計也逐步走向規(guī)范化。安全完整性等級(SIL)是SIS的核心指標，筆者從基本概念入手，圍繞如何滿足SIL要求，結合IEC 61508—2010進行討論。

1 SIL的衡量指標

SIL是衡量SIS的重要指標，目前中國油氣行業(yè)常用規(guī)范中一般要求： 在低要求模式下，安全儀表功能(SIF)的SIL應采用平均失效概率(PFDavg)衡量，宜根據表1確定。

表1 低要求操作模式下的SIL

上述要求容易給設計人員造成混淆，認為衡量SIL的唯一指標就是回路的PFDavg，其實不然。IEC 61508規(guī)定安全儀表回路應同時滿足： 失效概率要求、硬件結構約束要求、系統(tǒng)失效避免及控制要求、軟件要求，才能認為是滿足SIL等級的要求。其中軟件要求是純粹的定性要求，需要采用具有相應SIL認證的編程軟件、固件，并加強對編程的管控和測試來實現。以下對另外3個指標進行詳細的探討。

1.1平均失效概率要求

該指標是SIL衡量的主要定量指標，表1與IEC 61508-1—2010[1]Table 2是一致的。有時為了方便，也會加上目標風險降低值，該值為PFDavg的倒數，見表2所列。

表2 低要求操作模式的平均失效概率

注： 1) 文獻[1]中Table 2不包括“目標風險降低”欄。

1.2硬件結構約束要求

1.2.1IEC 61508—2010中對硬件結構約束的要求

硬件結構約束要求為半定量要求，取決于安全儀表回路的安全失效分數(SFF)和硬件故障裕度(HFT)，是對元件冗余的最低要求，即某回路的PFDavg符合該回路的SIL需求，但是組成該回路的硬件不能滿足硬件結構約束，該回路也不符合SIL的要求。IEC 61508-2—2010[2]中Table 2和Table 3對硬件結構約束的要求見表3和表4所列。

表3 A類元件的硬件結構約束要求

該要求明確了安全儀表回路中元件和邏輯控制器的硬件結構構成方式，是否需要采用硬件冗余，如某B類元件的SFF為95%，SIL2對應的故障裕度要求為零，即采用單臺設備就可滿足要求；如SFF為80%， SIL2對應的故障裕度要求為1，則需要2臺設備，采用“1oo2”結構才能達到要求；如SFF為50%，SIL2對應的故障裕度要求為2，則需要3臺設備，采用“1oo3”的結構才能達到要求。

表4 B類元件的硬件結構約束要求

一般安全儀表回路的硬件結構是否滿足相應的SIL等級要求，應依據以下原則： 原則1，整個回路的SIL等級由各組成部分最低SIL等級決定；原則2，冗余可提升冗余部分的SIL等級。

舉例說明如下：

1) 如圖1構成的安全儀表回路，元件1為SIL1、元件2為SIL2、元件3為SIL3，則整個回路應為SIL1。

圖1 簡單安全儀表回路SIL選取示意

2) 圖2構成的安全儀表回路相對復雜，它是由子系統(tǒng)X和子系統(tǒng)Y串聯。其中子系統(tǒng)X為并聯冗余結構，子系統(tǒng)Y只有1個元件5。在確定整個回路SIL等級前，需要根據原則1對整個結構進行簡化。

a) 第一步結構簡化，元件1為SIL3、元件2為SIL2，則元件1&2支路為SIL2；元件3為SIL2、元件4為SIL1，則元件3&4支路為SIL1；元件5是SIL2。

b) 第二步結構簡化，元件1&2支路為SIL2，元件1&2支路與元件3&4支路冗余，相當于硬件故障裕度加1。根據原則2和表4，則子系統(tǒng)X的SIL等級應為SIL3。

c) 最后整個回路的SIL等級應根據最低的子系統(tǒng)Y確定，回路應為SIL2。

圖2 復雜安全儀表回路SIL等級示意

1.2.2國內規(guī)范中相關要求及應用建議

GB/T 50770—2013《石油化工安全儀表系統(tǒng)設計規(guī)范》[3]中雖然沒有明確提出對硬件結構性約束的概念，但均隱含在輸入元件、輸出元件和邏輯控制單元的冗余設置要求中，前提是對各類元件的SFF先做了假定： A類元件，如閥門、開關等的SFF≤60%或為60%～90%；B類元件，如智能變送器、可編程控制器(PLC)等的SFF為90%～99%。

文獻[3]中對輸入元件和控制閥的冗余要求是根據以上假定和硬件結構性約束要求得出的，如文獻[3]第7.3節(jié)控制閥的冗余設置：“SIL1級安全儀表功能，可采用單一控制閥； SIL2級安全儀表功能，宜采用冗余控制閥；SIL3級安全儀表功能，應采用冗余控制閥”。

控制閥是典型的A類元件，其中：

1) SIL1級的SIF，根據表3，即使控制閥的SFF≤60%，用1臺也可以滿足SIL1的要求。所以規(guī)范條文規(guī)定SIL1級的安全儀表回路可采用單臺控制閥。

2) SIL2級的SIF，根據表3，如控制閥的SFF≤60%則必須冗余；如果SFF為60%～90%，則只用1臺即可滿足要求。所以規(guī)范條文規(guī)定SIL2級的安全儀表回路宜采用冗余控制閥。

3) SIL3級的SIF，根據表3，如果SFF為60%～90%，則用2臺/冗余才能滿足SIL3要求。所以規(guī)范條文規(guī)定SIL3級的安全儀表回路應采用冗余控制閥。

文獻[3]規(guī)范中規(guī)定：“可在保證基本安全的前提下，大幅減輕設計人員的相關計算工作量，但不宜生搬硬套”。如在一些空間非常受限的地方，如海上生產平臺，某SIL3回路在空間上無法擺開2臺控制閥，根據IEC 61508—2010的規(guī)定，采用1臺具有SIL3認證的控制閥也可滿足要求，不必非用2臺不可。

1.3系統(tǒng)失效避免及控制要求

1.3.1IEC 61508—2010中對系統(tǒng)失效避免及控制的要求

該要求是定性指標，要求SIS選用的設備必須有良好的系統(tǒng)失效避免及控制措施。系統(tǒng)失效是由某種特殊原因而非自然老化引起的失效，導致系統(tǒng)失效的原因可分為以下三類：

1) 應力失效。通常在應力過度的條件下出現，即元件的操作條件超出了設計要求。

2) 設計失效。廣義范疇的設計失效發(fā)生在運行之前的數個階段，如系統(tǒng)設計本身的失效、制造失效或安裝過程中的失效。

3) 運行失效。在運行或維修、測試過程中，由于人員失誤引起的失效，如傳感器根閥處于關閉狀態(tài)等。

通過對設計或生產流程、操作程序、規(guī)程進行改造或修改等，可避免系統(tǒng)的失效。

設備生產廠家或供應商應提供相關文件來證明其設備能夠避免和控制系統(tǒng)失效。根據文獻[2]第7.4.7節(jié)的說明，如果子系統(tǒng)滿足“使用證明”的要求，則不需要提供避免和控制系統(tǒng)失效的措施和技術的信息。子系統(tǒng)滿足“使用證明”要求的條件是該系統(tǒng)能提供相關文件證明在SIS中的失效可能性，包括硬件失效和系統(tǒng)失效，可使相應的安全功能達到需求的SIL等級。這些文件證明包括： 清晰且嚴格受限的功能性說明；基于該子系統(tǒng)在具體配置結構下的使用情況并考慮其他需要進行的分析或測試而編制的記錄文件。

1.3.2設計中如何滿足系統(tǒng)失效避免及控制的要求

根據該要求，SIS設計時應選擇經過SIL認證的或經過現場實踐認證的設備。即SIS中最好選用具有SIL認證的設備;沒有SIL認證的設備也可以選用，但必須有現場實踐認證。

現場實踐認證可以通過提供“證明文件”的方式進行評估，這些證明文件應至少包括： ISO 9000等質量認證證書；其他資質、認可和設備的壽命測試文件；在運系統(tǒng)/元件清單，詳細記錄了購買方、數量、用戶、使用日期等信息。設計人員和甲方可以根據這些資料進行評估所選設備是否滿足系統(tǒng)失效避免及控制的要求。

2 結束語

安全儀表系統(tǒng)SIL等級的衡量指標不僅只有“失效概率”，還應滿足： 硬件結構約束要求、系統(tǒng)失效避免及控制要求、軟件要求，其中硬件結構約束要求是非常重要的指標，可以指導安全儀表回路的結構設計和冗余設計；系統(tǒng)失效避免及控制要求是安全儀表回路中設備選型的原則性要求；軟件要求應通過采用具有SIL認證的軟件、固件，應加強編程的規(guī)范和測試。只有滿足這4項指標，才能滿足安全儀表回路SIL等級的要求。

[1] IEC. IEC 61508-1—2010 Functional Safety of Electrical/Electronic/Programmable Electronic Safety-Related Systems-Part 1： General Requirements[S]. Geneva： IEC， 2010.

[2] IEC. IEC 61508-2—2010 Functional Safety of Electrical/Electronic/Programmable Electronic Safety-Related Systems-Part 1： Requirements for Electrical/Electronic/Programmable Electronic Safety-Related Systems[S]. Geneva： IEC, 2010.

[3] 黃步余，葉向東，范宗海，等.GB/T 50770—2013石油化工安全儀表系統(tǒng)設計規(guī)范[S]．北京： 中國計劃出版社，2013.

[4] 張兆祥，李濤.安全完整性等級驗證計算在化工裝置中的應用研究[J].石油化工自動化，2016，52(05)： 28-32.

[5] 朱春麗，呼濱，楊金麗.淺談結構約束對HIPPS設計的影響[J].石油化工自動化，2016，52(02)： 11-13，24.

[6] 翟仲曦，李俊杰.石油化工安全儀表系統(tǒng)的設計與應用[J].石油化工自動化，2017，53(03)： 21-23，30.

[7] 孫金玲.提高SIS系統(tǒng)安全完整性等級的措施[J].石油化工自動化，2016，52(03)： 10-12.

[8] 楊永光，金常青，崔黎寧，等.安全儀表系統(tǒng)中傳感器冗余配置方式的分析[J].石油化工自動化，2014，50(01)： 14-16，34.

[9] 徐飛，譚壯壯.基于故障樹的SIS可用性分析[J].石油化工自動化，2017，53(03)： 41-43.

[10] 方來華，吳宗之，康榮學，等.安全設備失效數據獲取與計算[J].中國安全生產科學技術，2010(06)： 121-125.

DiscussiononMeasurementIndicatorofSafetyIntegrityLevel

Tian Jingshan1, Wang Changnan2，Wang Guibo3

(1. Sinopec Petroleum Engineering Corporation, Instrumentation and Communication Department, Dongying, 257026, China; 2. SinopecChina Petroleum & ChemicalCorporation Beijing Oil Products Company, Beijing, 100022， China； 3. Sinopec Zhongyuan Oilfield Company Puguang Gas Field, Dazhou, 636156, China)

s： Safety integrity level (SIL) is the core of safety instrumentation system (SIS). Focusing on the four indicators of SIL: requirements of probability of failures, hardware architectural constraints, requirements of system failure avoidance and control and software requirements. In accordance with the requirements in IEC 61508-2010, constitution of hardware architectural constraints, system failure avoidance and control requirements are discussed. Whether hardware structure of the ordinary safety instrument loop meeting the corresponding SIL level requirements should be determined by the minimum SIL of the component in the entire loop. Redundancy can increase the SIL level of the redundant part. Rationalization proposal on how to meet system failure avoidance and control requirement in design is also given.

safety instrumented system; safety integrity level; safety instrumented function; hardware architectural constraints; safety failure fraction

TP273

B

1007-7324(2017)05-0011-04

稿件收到日期： 2017-06-16，修改稿收到日期2017-08-02。

田京山(1970—)，男，北京人，獲學士學位，主要從事油氣田及管道工程儀表和控制系統(tǒng)設計工作，任高級工程師。