安全儀表系統的設計

沈旭敏

（寧波市化工研究設計院有限公司，浙江 寧波 315103）

1 引言

中國煉油行業正在向裝置大型化、煉化一體化、產業集群化方向發展。我國將新建多個千萬噸級煉油項目和百萬噸級乙烯項目。早在2014年，國家安全監管總局已出過文件《關于加強化工安全儀表系統管理的指導意見》（安監總管三〔2014〕116號），強調涉及“重點監管危險化學品、重點監管危險化工工藝和危險化學品重大危險源”的化工裝置和危險化學品儲存設施要設計符合要求的安全儀表系統。另外，對于不滿足要求的危險化學品儲運單位或生產單位要求限期整改。裝置的新建、擴建及改建項應執行功能安全相關標準要求，為了保證人身財產安全，保護環境，降低石油化工裝置的過程風險，安全儀表系統（Safety Instrumented System，SIS）是必不可少的保護裝置。故老裝置及老儲運罐區的安全系統安全等級評估、安全儀表系統改造等項目的數量必定會大量增加，以防止發生危險或減輕后果。

2 SI S的設計目標

SIS設計的目標，首先要滿足整個控制回路的安全度等級（SIL等級）要求。用整個控制回路的平均故障概率PFDaverage（即在安全等級要求下的儀表及系統失效的概率）來衡量，在低要求操作模式情況下采用平均失效概率來衡量，在高要求操作模式情況下采用每小時危險失效頻率來衡量。在兼顧可靠性與可用性的情況下，采取合理的冗余配置的前提下使系統達到符合要求的安全度等級，但也需考慮經濟性，系統安全性太高會導致項目投資增加且可能導致執行機構誤動作過多而導致裝置停車、增加檢修維護的次數，既不經濟又降低了可用性。而SIS的設計在滿足安全度等級的前提下要尋求一種設計最優配置，也是比較經濟實用且可靠的系統。

3 設計階段SI S設計的步驟

1）要對整個裝置進行安全評估，判斷其是否需要設計安全控制系統。安全評估的目的是通過應用和使用適當技術，把對人身、財產、環境存在的潛在危險降至可接受的范圍內。石油化工裝置最常見的安全評估方法為危險與可操作性分析（HAZOP）與保護層分析（LOPA）相結合的方法。

HAZOP分析由一個具有不同專業背景的專家組成的小組，通過系統的方法識別和評估工藝流程中的危險因素和可能引起的后果，并提出應對措施和辦法[1]。其作為工藝危害分析中應用最廣的分析方法，通過系統化、結構化的方式識別工藝系統潛在的危險與可操作性問題，并提出建議及措施，提高裝置本身安全水平。

通過HAZOP和風險評估，能有效識別項目中存在的危險因素，如何設置防護層、設置多少個防護層、每個防護層能夠減少多少風險等，成為企業迫切需要解決的問題，這就需要對這些危險進行保護層的分析（LOPA）。

然后，根據LOPA分析結果，明確SIS所需要承擔的風險值，即安全完整性等級（SIL）。IEC61508標準《電氣/電子/可編程電子安全相關系統的功能安全》將安全系統分為4個等級：安全等級從高到低分別為SIL4（一般只用于核電行業）、SIL3、SIL2與SIL1。SIL評估及審查可參考圖1。安全完整性等級（SIL）說明可參考表1。

圖1 安全級別參考設定圖

表1 安全完整性等級（SIL）

由圖1可知：（1）最終導致的結果。S1表示人員輕傷，設備損害；S2表示1人死亡；S3表示1人以上的死亡；S4表示災難性后果。（2）人處于危險區的概率。A1表示幾乎很少；A2表示經常性。（3）排除故障可能性。G1表示有限；G2表示幾乎不可能。（4）危險發生的概率。W1表示很低；W2表示低；W3表示相對較高。

2）需確定安全要求規格書（SRS）。SIL評估中確定的儀表安全功能編寫安全要求規格書（SRS）中針對安全儀表功能（SIF）的功能性和安全完整性給出了描述，體現了HAZOP分析和LOPA的最終意圖。設計單位應根據安全要求規格書中的SIL等級進行詳細設計。

通常由用戶牽頭組織HAZOP分析及SIL的等級測評，這里的測評需要用戶、工程公司、設計院一起參加，最終依據溝通的結果完成相關的報告[2]。

3）完成SIS初步設計并檢驗是否符合SRS，如果計算得到的整個SIF的危險失效概率不能滿足SIL等級要求，還需要重新調整SIF。最終根據驗算結果來完成SIS詳細設計。

4 SI S的工程設計要點

4.1 兼顧可靠性與可用性

SIS的工程設計應在滿足安全儀表功能、安全完整性等級等要求的前提下提高可靠性與可用性，從而避免裝置事故風險和停車損失。石油化工工廠或裝置的安全完整性等級不應高于SIL 3級[3]。

1）可靠性原則。SIS的可靠性按串聯系統考慮，當且僅當構成整個系統的n個子系統全部正常工作時，系統才能正常工作，故系統的可靠性R=R1R2…Rn（其中，R1，R2，…，Rn為各子系統的可靠性）。

安全儀表系統包括完整的控制回路中的所有環節，故在工程設計中不能忽視其中任何一個環節，從整個安全回路來看，邏輯控制器本身故障導致的危險不足10%，絕大部分危險發生在測量儀表與最終元件中。

2）可用性原則。SIS為可修復系統，可用性指系統在單位時間內維持其功能的概率；可用性體現在SIS的故障裕度是否能滿足要求，可用性雖不影響系統的安全性，但裝置的非計劃停車可能導致嚴重的經濟損失。可用性常用式（1）表示：

式中，A為可用度，也稱有效度；MTBF（Mean Time Between Failure）為平均故障間隔時間，h；MTTR（Meantime to Failure）為平均修復時間，h。

對于SIS的設計，要綜合考慮系統的可靠性與可用性，采用多種技術，合理配置系統結構[4]。邏輯控制器結構選擇見表2。

表2 邏輯控制器結構選擇參考表

4.2 回路配置原則

1）獨立設置原則。SIS應獨立設置，為單獨的保護層，并獨立完成安全儀表功能，不能取代過程控制系統的工作。SIS與集散控制系統（DCS）的測量儀表、邏輯控制器和最終執行元件是否能共用取決于回路的SIL等級，可參考表3。

表3 SI S與DCS共用儀表參考表

2）中間環節應少。可靠性與回路中信號傳遞的環節有關，環節越多可靠性越差。因此，設計選型時，儀表宜選用隔爆型，減少中間環節安全柵而提高可靠性；現場儀表至機柜間盡量采用直拉電纜，減少中間環節接線箱而提高可靠性。

4.3 完整的安全儀表回路設計

在系統設計選型時，因SIS包括了測量儀表、邏輯控制器和最終執行元件，因此，在工程設計過程中不能僅考慮單一環節的安全性，應整體考慮安全回路中的所有環節，故障失效率計算方法為：

式中，PFDSYS為E/E/PE安全相關系統的安全功能在要求時的平均失效概率；PFDS為傳感器子系統在要求時的平均失效概率；PFDL為邏輯子系統在要求時的平均失效概率；PFDFE為最終元件子系統在要求時的平均失效概率。

5 結語

在SIS設計過程中，系統的選型與設計需結合工藝特點與用戶需求，要始終銘記合理有效、降低風險的設計理念，兼顧可靠性與可用性，采取合理的冗余配置，既要滿足安全儀表功能的安全等級要求，又要防止過度設計，使企業的人身、設備安全和環境安全得到充分可靠的保障。