作者 赵亮

    中海石油化学股份有限公司 海南省东方市 572600

    摘要：安全完整性等级（SIL）评估技术是近几年发展起来的针对石化行业一种基于风险的资产管理方法，国际标准IEC61508和IEC 61511的制定为石化工业等过程工业的安全完整性水平评估提供了依据，对于石化行业的安全生产水平具有重要的促进作用。本文根据80万吨/年甲醇项目的安全完整性等级计算的过程介绍安全完整性等级的计算方法，为项目的建设验收以及装置的技术改造提供理论依据。

    关键词：工艺危害性分析（PHA）；危险与可操作性分析（HAZOP）；安全完整性等级（SIL）

    Abstract: Safety Integrity Level (SIL) evaluation technology is an asset management way for risk on oil and chemical industries. It is developed in the closed years. The foundation of IEC 61508 and IEC 61511 provide theory base for SIL, which promote greatly for industry safety operation level. This article takes the plant with 800K tons of methanol per year for instance to detail SIL counting method, therefore to set a theory foundation for project built and acceptance as well as the reforming of a plant.

    KEY WORDS: Process Hazard Analysis (PHA), Hazard and Operation Analysis (HAZOP), Safety Integrity Level (SIL)  

    安全完整性等级（SIL）是安全仪表系统（SIS）中的重要组成部分，在国际电工委员会（IEC）标准IEC 61508以及IEC 61511中有详细的规定，同时在ISA S84.01中有类似的规定，不过ISA S84.01关于SIL的模型已经逐步被IEC 61508代替，但是在安全完整性等级的计算中还有重要的意义。目前国内大型化工装置中关于安全仪表的相关论述很多，包括如何进行HAZOP分析，如何进行过程安全保护层分析（LOPA），对于安全完整性等级（SIL）的确定，但是如何指导工厂的技术工程师对项目的安全完整性等级进行验证，如何收集相关参数论述的较少，本文从具体安全完整性等级的过程出发，介绍如何进行安全完整性的验算过程，为项目的验收和日后的技术改造提供计算的方法。

    1 项目的基本情况介绍

    80万吨/年甲醇项目是中海石油化学股份有限公司投资的项目，目前是国内的天然气制甲醇项目单套规模最大的装置，该项目采用英国DAVY公司的的工艺包，该工艺包代表当今世界最先进的技术。在引进合同的技术附件中，我们要求DAVY公司在工艺包设计的同时对其所设计的项目进行工艺危害性分析（PHA），提供工厂的危险与可操作性分析（HAZOP）供业主共同审查，经过HAZOP审查后，DAVY公司在因果图文件中将项目的安全仪表回路所需要达到的安全完整性等级进行了界定，业主在根据单台设备所需要的要求进行设备采办，然后在根据采购的设备厂商反馈的参数，验证安全仪表回路的安全完整性等级能否满足设计要求。

    2 安全完整性等级的验证

    安全仪表系统在设计安装完成后需要对其进行功能安全评估，以明确其安全功能所达到的安全完整性等级，即使在装置运行多年后，进行技术改造时也要对装置的完整性等级进行计算，同时装置的检修周期也应该按照安全完整性等级计算所采用的周期进行检修。

    在对装置的安全完整性等级计算的结果与装置需要的安全完整性等级进行比较，如果答不到根据风险评估选择的安全完整性等级，则安全仪表系统应重新设计或进行改造，因此，对于安全完整性等级的演算非常重要。对于SIL演算常用的主流方法有可靠性框图、故障树和马尔可夫（Markov）模型。

    2.1 可靠性框图

    可靠性框图是一种传统的可靠性分析方法，它用图形的方式来表示系统内部元件的传递过程，显示了相关元件的串并联关系，具有简单、清楚直观的特点，如图1所表示的是一个具有三个通道的2oo3传感器表决组的可靠性框图。
  
                    
                          图1 具有三个通道的2oo3传感器表决组的可靠性框图

    IEC 61508-6的附录中给出了使用可靠性框图法的5种表决结构的平均停止工作时间和平均要求失效概率PFDAVG并给出了PFDAVG的计算公式，结合厂商提供的相关参数，可以计算出相关的安全完整性等级，如果没有厂商提供的数据，根据IEC 61508提供的经验数据，也可以计算出大致的结果。

    2.2 故障树

    故障树（Fault Tree Analysis，FTA）是根据布尔逻辑用图表示系统的特定故障（称为定上事件）。它对故障发生的基本原因进行推理分析，然后建立从原因描述故障的有向逻辑图。

    2.3 马尔可夫模型

    马尔可夫模型（Markov）模型定义系统中全部互斥的成功/失效状态，这些状态由带编号的圆圈来表示。系统由一种状态以某种概率转移到另一种状态，无论发生失效还是进行维修，状态之间的转换用箭头转移弧来表示，并标注相应的失效率和维修率，从而描述了系统随时间变化的行为，如图2所示。
  
                
                        图 2 马尔可夫模型（Markov）模型定义系统

    但是构造大型的马尔可夫模型非常费时、费力，求解也非常困难，在反应系统设备间的可靠性关系不如故障树和可靠性框图直观，在工程项目的验算过程中使用的非常少。

    在关于安全完整性等级计算还有其它的很多中方法和模型，如混合计算等，但是在工程项目的SIL验算以及装置的技术改造所进行的SIL验算只需要利用IEC 61508或ISA TR84.00.02中的可靠性框图进行计算即可，而且该框图直观，便于工程技术人员理解和使用。

    3 安全完整性（SIL）验算实例

    3.1 安全完整性的定义

    安全仪表系统的的安全功能在要求时的平均失效概率，是计算和组合所有提供安全功能的子系统的平均失效概率来确定的（如图3），安全仪表系统的平均失效概率计算公式如下：
     
               

      其中：PFD_SYS其中 为安全仪表系统在要求时的平均失效概率

     PFD_POWER为安全仪表的供电电源的平均失效概率

      PFD_S为传感器子系统在要求时的平均失效概率

      PFD_L为逻辑控制器在要求时的平均失效概率

      PFD_FE是最终执行元件在要求时的平均失效概率

    如果安全仪表设计为故障失电，则安全仪表的电源的PFD不影响安全完整性等级的计算，因为系统故障后处于安全状态，如果安全仪表设计为故障带电状态，则安全仪表的电源的PFD则影响安全完整性等级的计算，因为80万吨甲醇/年项目的设计理念是正常带电，因此，可以不考虑电源的PFD，电源也无须采用安全仪表电源。 PFD_POWER 为0。

               
                             图3 安全仪表系统

      3.2 安全完整等级（SIL）与PFD的关系

    根据IEC 61508中关于SIL与PFD的关系如表1：

                                               表 1
                         

    3.3 安全完整等级（SIL）的PFD计算

    关于安全完整等级（SIL）的计算在IEC 61508第六章和ISA TR84.00.02第二部分有不同的计算方法，两者间的方法不同，但计算结果大致相同，下面分别对1oo1、1002、2oo3的计算方法进行阐述。

    3.3.1 IEC 61508的PFD计算

    在IEC 61508中对1oo1的计算公式如下：
 
        
   
    对于1oo2的计算公式如下：
    
      

      

      

              


    对于2oo3的公式如下：

      
   
      

    

    其中：TI为验证测试周期

    MTTR平均修复时间

    β为公共故障系数

    λ_DD可能检测危险的故障

    λ_DU可能没有检测到危险的故障

    3.3.2 ISA TR84.00.02的PFD计算

    对于1oo1的计算公式如下：
   
    
  
    对于1oo2的计算公式如下：

       

    对于2oo3的计算公式如下：

   
    其中：TI为验证测试周期

    MTTR平均修复时间

    β为公共故障系数

    λDD可能检测危险的故障

    λDU可能没有检测到危险的故障

    3.3.3 安全回路认证元件的参数收集

    安全回路所有的元件包括变送器、安全栅、逻辑控制器、继电器、电磁阀、阀门等元件都需要经过TUV Rheinland的认证，在认证证书上都有计算安全完整等级所需要的参数，80万吨/年项目几个主要的元件参数见下表：

    Honeywell ST 3000 transmitter 见表2  
                       
                                            表 2  
                       
                   Safety Barriers for transmitter见表3。         

                                           表 3
                    
                     Phoenix safety relay见表4。
                             
                                          表 4
                  
                 ASCO 3/2-way solenoid valves见表5。 

                                             表 5
                    
                   ESD 切断阀 (Dafram s.p.a) 见表6  

                                             表 6 
                     

    3.3.4 安全回路公共故障系数β的计算

      公共故障系数β的计算在IEC 61508中也有相关规定，对于设计、施工、调试等非电子元件部分进行计算，如表7

                                             表 7  
           

         根据以上的表格，确定80万吨/年甲醇项目的公共故障系数为5%。

    3.3.5 安全完整性等级（SIL）的PFD计算

    工艺系统描述：对于蒸汽转化炉的炉膛压力控制对于转化炉非常重要，必须保持在微负压控制，如果炉膛压力过高，则炉膛内的温度会从窥视孔喷出伤人，如果炉膛压力过低，则会将隔热材料坍塌或将炉子吸瘪。设计院经过HAZOP分析后将转化炉炉膛压力控制的SIL级别定义为SIL3，输入回路采用三选二的压力变送器，输出回路是1选1的紧急切断阀。

    对照PID，输入为三选二（PALL1339，PALL1340，PALL1341），逻辑控制器为Triconex的TS 3000，采用三选二控制器，输出为紧急切断阀XV1201，回路图及相关参数如图4：
 

         
                                             图 4

    3.3.6 根据IEC 61508标准的PFD计算

    根据公共故障系数β=5%，按照检修周期TI=3年，平均修复时间=8小时，根据IEC的三选二，一选一的公式计算结果如表8：

                                             表 8
                  
                因为6.764x10-4<1.0x10-3，满足工艺要求的SIL 3要求。
     
    3.3.7 根据ISA TR84.00.02标准的PFD计算

    根据公共故障系数β=5%，按照检修周期TI=3年，平均修复时间=8小时，根据ISA的三选二，一选一的公式计算结果如表9：

                                           表9
               
 
             因为6.17x10-4<1.0x10-3 ，满足工艺要求的SIL 3要求

    3.3.8 ISA TR84.00.02标准与IEC 61508标准PFD误差分析

    根据IEC61508计算的回路PFD=6.764x10-4 ，根据TR84.00.02计算的回路PFD=6.17x10-4 ，其误差为：
  
              

    因为IEC 61508在计算的过程中没有四选二等公式作为参考，而ISA TR84.00.02公式计算相对简单，因此，可以按照ISA的标准进行安全完整等级（SIL）的验算。

    4 结束语

    在石油化工自动化设计中，安全问题是非常重要的关键问题，不仅要在设计阶段注意安全仪表的设计，包括采购、现场施工安装调试，试车阶段的验证检查都非常关键，必须按照相关规范进行验收；对于安全完整性等级计算的结果必须作为项目竣工验收资料的一部分，装置运行中的正常检修周期都要按照计算的周期进行检修，技术改造如果对相关的安全回路进行变更，都需要重新对安全完整性等级进行计算。

    参考文献：

    [1] 靳江红，吴宗之，赵寿堂，胡玢：安全仪表系统的功能安全国内外发展综述，化工自动化及仪表2010，（5）：1-5

    [2] IEC 61508，Functional safety of electrical/electronic/programmable electronic safety-related systems

    [3] IEC 61511，Functional safety：safety instrumented systems for the process industry sector

    [4 ]ANSI/ISA-84.01，Application of safety instrumented system for the process industries

    [5] 郭亮，娄开丽：安全仪表系统的安全生命周期，化工自动化仪表 2009，（4）：8-13

    [6] 李鹏，王彦刚，陈建平：工厂安全仪表系统设计要求及实现，2009，（5）12-16

    [7] 丁振宇，朱建新，包士毅，高增梁：LDPE装置反应器联锁系统可靠性计算方法研究，石油化工自动化，2010，（1）8-12

    [8] 宋志远：SIL报告在自控设计中的指导应用，石油化工自动化，2009，（3）6-12

    [9] 魏华：安全仪表的可靠性和可用性分析，石油化工自动化，2009，（1）10-13

    作者简介：赵亮（1963-），男，安徽人，高级工程师，1983年毕业于南京工业大学自动化系，现就职于中海化学股份有限公司工作。

    摘自《自动化博览》2011年第三期