安全儀表系統(tǒng)及SIL評(píng)估

廖朝陽(yáng)

（中國(guó)石化巴陵石化分公司 湖南省岳陽(yáng)市 414014）

1 安全儀表系統(tǒng)和SIL評(píng)估

安全儀表系統(tǒng)實(shí)際是一種自動(dòng)安全保護(hù)系統(tǒng),是保證裝置正常生產(chǎn)和保護(hù)人身、設(shè)備安全的必要措施,是工業(yè)自動(dòng)化的重要組成部分。如果安全儀表系統(tǒng)設(shè)計(jì)不當(dāng),可能的后果一種是該停車(chē)時(shí)不停,造成拒動(dòng)作；可能的后果另一種是不該停車(chē)時(shí)停車(chē),造成誤動(dòng)作。誤動(dòng)作的直接后果是造成生產(chǎn)裝置停車(chē),甚至巨額的經(jīng)濟(jì)損失。拒動(dòng)作則會(huì)造成更嚴(yán)重甚至災(zāi)難性的后果,比如火災(zāi)爆炸、人身傷害等。正因?yàn)榘踩珒x表系統(tǒng)可能存在的隱患，所以安全儀表系統(tǒng)的SIL 評(píng)估就顯得尤為重要。

2 SIL等級(jí)的定義和劃分

2.1 SIL等級(jí)的定義

SIL 是Safety Integrity Level 的縮寫(xiě)，中文稱(chēng)之為安全完整性等級(jí)。1998年頒布的IEC61508 功能安全標(biāo)準(zhǔn)中首次提出了SIL 的概念，它是一種功能安全等級(jí)的劃分。IEC61508 將SIL 分為SIL1，SIL2，SIL3 和SIL44 個(gè)等級(jí)。安全相關(guān)系統(tǒng)的SIL 級(jí)別，是由風(fēng)險(xiǎn)分析計(jì)算得出來(lái)的，是通過(guò)分析風(fēng)險(xiǎn)暴露時(shí)間和頻率、風(fēng)險(xiǎn)后果嚴(yán)重程度、不能避開(kāi)風(fēng)險(xiǎn)的概率和不期望事件發(fā)生概率等四個(gè)因素綜合得出。SIL 級(jí)別越高，它要求的危險(xiǎn)失效概率就越低。SIL 等級(jí)越高，它所對(duì)應(yīng)的安全防護(hù)系統(tǒng)可靠性也就越高，這是企業(yè)希望看到的。但安全防護(hù)系統(tǒng)的高可靠性會(huì)帶來(lái)更多的資金投入。而且，隨著安全儀表系統(tǒng)服役年限延長(zhǎng)，硬件的可靠性會(huì)必將降低，即這也意味著系統(tǒng)的安全完整性等級(jí)會(huì)下降。如果要保證系統(tǒng)使用過(guò)程中的安全完整性等級(jí)不下降，則必須適時(shí)對(duì)其進(jìn)行風(fēng)險(xiǎn)評(píng)估，根據(jù)評(píng)估情況制訂相應(yīng)的維修和整改計(jì)劃，這就是安全完整性等級(jí)(SIL)評(píng)估。

2.2 SIL等級(jí)劃分

SIL1 級(jí)：生產(chǎn)裝置可能很少發(fā)生事故。即使發(fā)生事故，對(duì)裝置和產(chǎn)品只有輕微的影響，不會(huì)造成環(huán)境污染和人身傷害，經(jīng)濟(jì)損失不大。這類(lèi)裝置的安全儀表系統(tǒng)，只需要取得SIL1 認(rèn)證即可，安全儀表的實(shí)用性要求不高，一般為90%-99%。SIL2 級(jí)：生產(chǎn)裝置可能偶爾發(fā)生事故,一旦發(fā)生事故，對(duì)裝置和產(chǎn)品的影響比較大，甚至?xí)斐森h(huán)境污染和人身傷害，經(jīng)濟(jì)損失也會(huì)較大。這類(lèi)裝置的安全儀表系統(tǒng)，安全等級(jí)需要取得SIL2 級(jí)認(rèn)證，其安全儀表系統(tǒng)的實(shí)用性要求也會(huì)提高，一般要求為99%-99.9%。SIL3 級(jí)：生產(chǎn)裝置可能經(jīng)常發(fā)生事故。一旦發(fā)生事故，對(duì)裝置和產(chǎn)品會(huì)造成嚴(yán)重影響，并造成重大人員傷亡和嚴(yán)重環(huán)境污染，經(jīng)濟(jì)損失巨大。這類(lèi)裝置的安全儀表系統(tǒng)，必須取得SIL3 級(jí)認(rèn)證，其安全儀表系統(tǒng)的實(shí)用性更高，一般為99.9%-99.99%。SIL4 級(jí)：一般在核工業(yè)及航天工業(yè)應(yīng)用領(lǐng)域。一旦發(fā)生事故，對(duì)生產(chǎn)設(shè)備和人員將造成災(zāi)難性的傷害，經(jīng)濟(jì)損失和人員傷亡都極其嚴(yán)重。這一領(lǐng)域的安全儀表系統(tǒng)必須取得SIL4 級(jí)認(rèn)證。其安全儀表系統(tǒng)的實(shí)用性要求必須大于99.99%。

3 安全儀表系統(tǒng)可能存在的問(wèn)題

安全儀表系統(tǒng)廣泛應(yīng)用于石油石化行業(yè),如能保證其正常運(yùn)行，裝置的風(fēng)險(xiǎn)可以大大降低，從而降低經(jīng)濟(jì)損失，減少人身傷害。但安全儀表系統(tǒng)存在的問(wèn)題也很明顯，主要包括聯(lián)鎖拒動(dòng)作和聯(lián)鎖誤動(dòng)作兩種。

3.1 聯(lián)鎖拒動(dòng)作

聯(lián)鎖拒動(dòng)作的概念：就是在生產(chǎn)裝置需要聯(lián)鎖進(jìn)行動(dòng)作來(lái)保障安全時(shí)，聯(lián)鎖功能失效，不動(dòng)作，不能完成指定的安全功能，從而引發(fā)重大安全事故，這是最危險(xiǎn)的一種情況。要滿(mǎn)足生產(chǎn)裝置對(duì)安全的要求，聯(lián)鎖的拒動(dòng)作概率必須降低,否則將被認(rèn)為聯(lián)鎖無(wú)法適應(yīng)裝置安全運(yùn)行要求。

傳感器、邏輯控制器和執(zhí)行器是聯(lián)鎖功能要?jiǎng)幼鞅仨毻ㄟ^(guò)的三個(gè)組成部分。因此，除了選擇可靠性高的元器件外，適當(dāng)增加系統(tǒng)的冗余也可以減少聯(lián)鎖拒動(dòng)作的概率，提高系統(tǒng)的安全性。比如本來(lái)傳感器是1oo1 的，可以改為1oo2，即只要其中一個(gè)傳感器正常發(fā)出信號(hào)或報(bào)警,聯(lián)鎖就會(huì)動(dòng)作，這樣可以很大程度上提高系統(tǒng)的可靠性。執(zhí)行器也是同樣的道理，以緊急切斷閥為例,在需要切斷進(jìn)料時(shí)，如果只有一個(gè)緊急切斷閥，很可能出現(xiàn)此閥在需要?jiǎng)幼鞯臅r(shí)候拒動(dòng)，但如果有兩個(gè)緊急切斷閥，同時(shí)拒動(dòng)的概率會(huì)大大降低，從而提高系統(tǒng)的安全性。

3.2 聯(lián)鎖誤動(dòng)作

聯(lián)鎖誤動(dòng)作是指裝置在正常運(yùn)行過(guò)程中，由于安全儀表系統(tǒng)本身元器件失效使聯(lián)鎖誤啟動(dòng)。聯(lián)鎖誤動(dòng)作的危害是引發(fā)裝置發(fā)生非計(jì)劃停工，造成生產(chǎn)波動(dòng)和效益損失。如果聯(lián)鎖誤動(dòng)作頻繁，企業(yè)對(duì)聯(lián)鎖可靠性信心會(huì)降低，從而采取摘除聯(lián)鎖來(lái)保證生產(chǎn)，這樣很可能埋下安全隱患。

聯(lián)鎖誤動(dòng)作的概率也可以通過(guò)優(yōu)化執(zhí)行機(jī)構(gòu)和傳感器的布置和取法來(lái)降低。例如原本傳感器是1oo2 方式的可以改成2oo2 的方式,即必須兩個(gè)同時(shí)觸發(fā)聯(lián)鎖才會(huì)動(dòng)作。這樣就可以很大程度上避免傳感器故障引起的誤動(dòng)作。另外，可以把傳感器的失效狀態(tài)設(shè)定為非故障安全型，從而降低裝置誤停車(chē)的概率。

4 SIL案列分析

SIS 的安全完整性等級(jí)是由構(gòu)成SIS 系統(tǒng)的三個(gè)單元的SIL 等級(jí)來(lái)初步確定的，下面從SIL 傳感器、SIL 邏輯單元和SIL 執(zhí)行機(jī)構(gòu)三個(gè)部分進(jìn)行案列分析：

案例：環(huán)己烷和富氧空氣（空氣+純氧）氧化成環(huán)己酮，空氣來(lái)源于美國(guó)庫(kù)伯的離心式壓縮機(jī)，純氧來(lái)自空分裝置，空氣和純氧在緩沖罐進(jìn)行混合后進(jìn)入氧化釜和環(huán)己烷進(jìn)行反應(yīng)，反應(yīng)完后的氣體已尾氣形式外排。整個(gè)過(guò)程涉及到的聯(lián)鎖控制點(diǎn)主要包括：空氣和純氧的流量、富氧的氧氣濃度、反應(yīng)后的尾氣含氧濃度、反應(yīng)釜的壓力和溫度、空氣開(kāi)關(guān)閥、純氧開(kāi)關(guān)閥及聯(lián)鎖啟動(dòng)后往氧化釜內(nèi)補(bǔ)充氮?dú)忾_(kāi)關(guān)閥。

該裝置設(shè)置有獨(dú)立的SIS 系統(tǒng)和DCS 系統(tǒng)，現(xiàn)場(chǎng)儀表設(shè)備大部分已實(shí)現(xiàn)分離。

4.1 SIL傳感器

通過(guò)對(duì)聯(lián)鎖儀表（傳感器）的安全性分析得知：所有儀表均未采用SIL 等級(jí)的儀表，空氣和純氧的流量計(jì)各采用2 個(gè)差壓節(jié)流裝置進(jìn)行流量監(jiān)測(cè)，均為冗余配置，一組信號(hào)進(jìn)DCS 系統(tǒng)，另一組信號(hào)進(jìn)SIS 系統(tǒng)做聯(lián)鎖信號(hào)；富氧濃度測(cè)量采用單臺(tái)在線分析儀進(jìn)行測(cè)量，信號(hào)傳入SIS 系統(tǒng)，7 臺(tái)氧化釜的尾氣均采用獨(dú)立的在線分析儀測(cè)量尾氣含氧，尾氣排放總管也設(shè)置了獨(dú)立的總管尾氣含氧分析儀。反應(yīng)釜的壓力測(cè)量和溫度測(cè)量也設(shè)置的獨(dú)立的測(cè)量?jī)x表。總體情況就是聯(lián)鎖儀表均獨(dú)立設(shè)置與dcs 分開(kāi)，但未實(shí)現(xiàn)單個(gè)測(cè)量點(diǎn)的冗余配置。

環(huán)己烷富氧氧化氧化反應(yīng)是比較危險(xiǎn)，一旦富氧濃度過(guò)高則可能導(dǎo)致氧化反應(yīng)的失控，引發(fā)爆炸等嚴(yán)重后果，所以控制進(jìn)入氧化釜的富氧空氣流量、濃度和反應(yīng)后的尾氣氧含量是極為重要的。現(xiàn)有的檢測(cè)已經(jīng)涵蓋了所有的關(guān)鍵測(cè)量點(diǎn)，唯一不足之處是缺失冗余測(cè)量點(diǎn)，如果按照簡(jiǎn)單的1oo1 來(lái)設(shè)置聯(lián)鎖條件，再配合完善的邏輯單元和執(zhí)行機(jī)構(gòu)，其完整性等級(jí)雖然能達(dá)到SIL1，保證裝置的安全，但是存在較大的誤動(dòng)作可能，一旦出現(xiàn)儀表故障，信號(hào)電纜故障等則會(huì)導(dǎo)致非計(jì)劃停車(chē)，影響流程化生產(chǎn)的連續(xù)性，造成較大的經(jīng)濟(jì)損失。通過(guò)對(duì)現(xiàn)有聯(lián)鎖儀表配置情況進(jìn)行分析，我們?cè)O(shè)置了2oo2 的邏輯以降低無(wú)停車(chē)幾率，如通過(guò)進(jìn)氧化釜的空氣和純氧氣體流量計(jì)算處氧氣含量，再結(jié)合混合后的氧氣含量來(lái)確認(rèn)是否啟動(dòng)聯(lián)鎖，通過(guò)單個(gè)氧化的尾氧含量和總管尾氧含量來(lái)確定是否啟動(dòng)聯(lián)鎖等，這樣設(shè)置雖然平均危險(xiǎn)故障失效概率（PFDavg）有所增加，但仍然滿(mǎn)足聯(lián)鎖回路的SIL 等級(jí)，在保證安全的前提下，能有效的降低誤停車(chē)的可能性，我裝置的長(zhǎng)周期生產(chǎn)提供保證。

4.2 SIL邏輯單元

邏輯單元主要指SIS 系統(tǒng)。以我單位環(huán)己酮裝置的SIS 系統(tǒng)為例，采用了TRICON TMR 系統(tǒng)硬件，其控制系統(tǒng)是三重冗余容錯(cuò)結(jié)構(gòu)的控制器，有三個(gè)獨(dú)立的控制器，卡件的每個(gè)點(diǎn)也是三重冗余，電源和網(wǎng)絡(luò)均為雙重冗余配置，安全完整性等級(jí)達(dá)到SIL3。所以對(duì)于系統(tǒng)硬件本身基本上不需要做改進(jìn)。

4.3 SIL執(zhí)行機(jī)構(gòu)

執(zhí)行機(jī)構(gòu)的冗余配置是提升SIL 等級(jí)的重要手段，在同一個(gè)管路上，一般的情況下DCS 系統(tǒng)控制管路上的調(diào)節(jié)閥，SIS 系統(tǒng)控制管路上的開(kāi)關(guān)閥。為提升SIL 等級(jí)，可在管路上裝2 個(gè)開(kāi)關(guān)閥，當(dāng)聯(lián)鎖啟動(dòng)后，SIS 同時(shí)控制2 個(gè)開(kāi)關(guān)閥的緊急切斷或打開(kāi)，但在實(shí)施中往往因投資后安裝位置所限，只會(huì)安裝一個(gè)開(kāi)關(guān)閥，這種配置在我單位環(huán)己酮裝置上極為普遍，但一旦出現(xiàn)開(kāi)關(guān)閥卡死（平時(shí)難以察覺(jué)），聯(lián)鎖動(dòng)作時(shí)則會(huì)出現(xiàn)很大的隱患。若受到投資或位置的影響不能安裝冗余的開(kāi)關(guān)閥，也可以在調(diào)節(jié)閥上增加一個(gè)電磁閥來(lái)實(shí)現(xiàn)執(zhí)行機(jī)構(gòu)的冗余，也可以提升SIL 等級(jí)。

但是執(zhí)行機(jī)構(gòu)的冗余提升了安全完整性等級(jí)，但同時(shí)增加了更多的故障點(diǎn)，一旦氣源管路或電磁閥故障或電纜故障都會(huì)導(dǎo)致閥門(mén)的誤動(dòng)作導(dǎo)致裝置非計(jì)劃停車(chē)。在實(shí)施中，我們可以采用兩個(gè)電磁閥并聯(lián)連接，以避免其中一路電磁閥因上述原因失效導(dǎo)致安全儀表系統(tǒng)誤動(dòng)作。兩個(gè)電磁閥并聯(lián)連接方式，不管哪個(gè)電磁閥故障，只要有一個(gè)正常，一個(gè)閥門(mén)就能正常運(yùn)行，這種方式可用性好，安全性稍差，可以有效防止因任一電磁閥故障而導(dǎo)致SIS 系統(tǒng)誤動(dòng)作。

5 結(jié)論

通過(guò)對(duì)石化工藝危險(xiǎn)性的定量分析，確定安全儀表系統(tǒng)的SIL等級(jí)。SIL 等級(jí)越高，其對(duì)應(yīng)的安全防護(hù)系統(tǒng)可靠性越高，但會(huì)增加軟硬件投資，合理的評(píng)估一個(gè)安全儀表系統(tǒng)的SIL 等級(jí)，既能確保裝置的安全平穩(wěn)運(yùn)行，又能保持合理投資。從可靠性工程的發(fā)展分析，對(duì)生產(chǎn)裝置安全儀表系統(tǒng)的SIL 等級(jí)進(jìn)行定量分析將是今后設(shè)計(jì)工作的一個(gè)趨勢(shì)，尤其是在新裝置的設(shè)計(jì)過(guò)程中更要注重SIL等級(jí)的安全評(píng)估。在化工裝置開(kāi)展安全儀表系統(tǒng)SIL 等級(jí)評(píng)估，并根據(jù)評(píng)估情況有效設(shè)置聯(lián)鎖系統(tǒng)，最大程度發(fā)揮儀表安全功能，從而提高化工裝置的整體安全性。