影响SIL验证的主要因素有哪些?

文章转载自《石油化工自动化》杂志2021年第5期

全文约6400字,阅读时间约20分钟

作者:邢勐1,皮宇2,裴炳安2

(1. 中国石油化工股份有限公司;2. 中石化广州工程有限公司)


"

按照原国家安全生产监督管理总局文件《国家安全监管总局关于加强化工安全仪表系统管理的指导意见》(安监总管三[2014]116号)的规定,在建项目,在役生产装置自2020年起均需开展安全完整性等级(SIL)的验证工作,笔者在实施国外项目及国内项目的SIL验证工作中发现,很多验证问题均与GB/T 21109.1—2007《过程工业领域安全仪表系统的功能安全第1部分:框架、定义、系统、硬件和软件要求》定义的安全生命周期活动紧密关联,本文详细阐述了SIL验证工作中遇到的各种问题及影响因素,希望对安全仪表系统(SIS)的设计、采购及施工、维护维修管理提供参考,本文出现大量专用术语及缩略语,限于篇幅不逐一详解,请参阅文献[2]和GB/T 20438—2017《电气/电子/可编程电子安全相关系统的功能要点》,IEC 61508及IEC 61511标准。


1、SIL验证

当一个安全仪表功能(SIF)的SIL定级大于或等于1时,需要对该SIF进行SIL的验证,要通过SIL验证,必需满足架构约束、SIF回路要求的平均失效概率(PFDavg)算满足SIL报告要求、系统能力达到SIL要求,此外,SIL验证还需检查满足误停车率、满足检验测试周期等要求,这些因素与安全生命周期的各项活动都有紧密关联。


2、影响SIL验证的主要因素
   

 2.1 SIL验证需要的输入数据及信息

SIL验证需要的输入数据及信息至少应包含以下内容:SIL定级报告,需包含SIF回路的位号、功能描述,SIL等级及要求的PFDavg;SIF回路的结构及各个部件的表决架构;SIF回路各个部件选用厂家的具体型号及厂家针对型号提供的SIL证书及安全手册;以及测试检验周期;仪表故障模式设计;仪表测量值在线比对诊断;操作模式要求;平均修复时间(MTTR );产品使用寿命或完美使用时间;瞬变信号过滤;测试覆盖率及诊断覆盖率(Dc);误停车率;事故安全型设计原则;共因失效因子。


2.1.1 SIL定级报告对SIL验证的影响

SIF回路涉及的仪表数量及结构如果在SIL报告中描述不清晰,验证工作很难准确开展。例如:燃料气压力低低紧急停炉切断燃料气阀门XXX-A,XXX-B,打开放空阀XXX-C,该描述仅重复了逻辑图中的逻辑关系,但是对于是否所有的阀门的动作都属于该SIF回路功能却并没有清晰界定。如果不了解工艺,将放空阀加入验算,将导致执行元件的架构变化。事实上,放空阀是否打开,对SIL定级时定义的特定的SIF危险场景没有影响,放空阀的动作不能阻止SIL定级时所分析的炉膛熄火燃料气继续进入炉膛的危险场景,而是作为切断阀关闭后,防止阀门内泄漏产生的燃料气进入炉膛的另一个特定的危险场景,该阀不能算作该特定SIF最终执行元件表决架构中的一个组成部分,不能参加验算,否则将导致执行元件的PFDavg值偏高,验证不容易通过,所以SIL分析报告中,一定要清晰辨识参与该特定SIF功能的各个部件。


在实际验证中也发现,有的SIF如果不通过现有手段找到更多的独立保护层(IPL)来降低风险至足够低的程度,则最终导致SIL等级或要求的风险降低因子(RRF )设定的偏高,例如SIL3的等级,当需要满足PFDavg的约束条件时:PFD检测部件PFD逻辑控制器PFD执行元件PFD供电电源之和不大于SIL报告要求的该SIF的PFDavg当前仪表设备的SIL证书很少单台使用能达到SIL3,大多数是SIL2或通过冗余架构达到SIL3,对于PFDavg而言,特定SIL等级是一个相差10倍的范围,关键是看SIL报告要求的PFDavg在该范围的哪个区间,所有具有SIL3能力的子部件PFDavgg的和仍然可能大于SIL报告中要求的SIL3的PFDavg,SIL2的情况也类似。所以当发现定义为SIL3或要求高RRF 的SIL2的SIF,一定要结合历史及类似场景复核该风险等级、IPL和要求的PFDavg,尤其注意排除连带其他风险导致的各类经济损失扩大化,如有必要,引入合理的点火概率及人员暴露因子进行修正。很多场景仅仅通过仪表的手段来降低风险使剩余风险满足要求是非常困难的,经验发现,当要求的RRF >200时,单阀普遍很难通过验证,即使通过,仪表的采购价格也没有经济性,所以工艺的本质安全设计及通过更多且合理的IPL降低SIL的定级或要求的RRF 是通过SIL验证最优的选择。


2.1.2 SIF回路仪表结构及表决架构对SIL验证的影响

SIL验证中需满足SIF回路中所有环节的PFDavg之和小于定级时要求的PFDavg,但是验证输入资料中回路结构的信息往往提供不全,例如检测元件回路是否包含安全栅、隔离器、防雷栅等,如果为开关元件,回路是否有串联、并联等特殊接线结构等;执行元件回路的结构是否包含安全栅、继电器、防雷栅,是否有特殊接线结构等,如果验算遗漏了某个环节,整个回路的失效率计算将偏小,误认为安全达到了要求。
实际工作中发现,验算不能通过,往往是由于某个容易被忽视的辅助设备的可靠性不高,产生了瓶颈效应引起的,此时可通过简化不必要的回路结构来提高回路整体可靠性,例如电磁阀或测量元件通过修改为隔爆类型减少安全栅环节,超速保护模块直接连接到现场停车速关阀,不通过机组保护系统去停车等。

在满足架构约束的前提下,设计的表决架构如果不能通过验证,需根据结果调整架构,设计架构并非硬件故障裕度(HFT )越大越好,HFT 越大,验证越容易通过,但误停车率增加,要综合兼顾误停车率增加对经济效益的影响,合理设计表决架构,例如同为HFT =1的架构,“2oo3”比“1oo2”的误停车率低。


2.1.3 仪表采购型号及证书对SIL验证的影响

SIL验证需要真实选型仪表的PFDavg数据,此时需要仪表厂家提供相关的SIL证书,如果没有证书,一般都选用验证软件库中的通用数据来计算,通过的概率将大打折扣。
根据IEC61508,SIL验证通过必需达到的架构约束见表1所列。
表1 IEC61508中SIL验证需要达到的架构约束条件
微信图片_20220822220229.jpg
注:1) SFF为安全失效加可诊断失效占全部失效的比率,值越大说明设备越可靠。
A类元件的典型仪表类型为继电器、阀门、开关类元件,B类元件的典型仪表类型为PLC、阀门定位器、智能变送器、内置集成电路的元件。当采购的仪表厂家不能提供很好的失效数据或SIL证书时,且不能按照IEC 61508的先验使用或IEC 61511规定的早先使用通过Route2H来证明其可靠性时,该仪表的可靠性按照安全失效分数SFF <60%处理比较合理。如果检测元件及执行元件设计架构都没有考虑容错时,即HFT =0时,检测元件为电子元件类变送器时,对于SIL 1回路,是不能通过架构约束的。此时设计时,必需考虑设计检测元件为表决架构“1oo2”,“2oo3”,或“1oo3”才达到架构约束。对于SIL2回路,单纯架构约束就需要检测元件必需至少为“1oo3”或“2oo4”表决的架构,阀门也必需至少2台。
从以上分析可以看出,仪表厂家的质量证明及SIL证书可以直接影响架构设计,例如某浮筒变送器厂家的SIL证书信息为“Random Capability:Type B,SIL 2@HFT =0,Route 1H Device。”
证书表明,该变送器单台SIL等级可以达到SIL2,架构约束单台可以用于SIL1以及SIL2场合。
某闸阀厂家的证书部分内容:“Safety Integrity Level:SIL 2 @HFT =0;SIL 3 @HFT =1 for Safety Functions; Open on demand or Close on demand”,证书表明,该阀单台SIL等级也能够达到SIL2,如果设计为“1oo2”使用时可以达到SIL3。
上述并非说明达到SIL2等级的该仪表回路肯定能通过验证,除架构外,其他约束条件例如整体回路的PFDavg验算以及系统能力的约束仍然要满足。
对于系统能力,GB/T 20438.5—2017及IEC 61508-2,3针对其术语有详细解释,主要是用于避免系统失效。典型的某电磁阀的SIL证书上标明“Systematic Capability:SC3(SIL 3 Capable)”,表明该设备按照安全手册规定应用时,可最大程度避免除随机失效以外的系统失效,满足SIL3要求,系统能力体现在软件、设计、安装、使用、维护等需遵循产品安全手册,安全手册随证书一起提供。
由上可见,产品的SIL证书及配套安全手册信息丰富,对于证明该设备满足SIL验证的3个条件非常重要。
但是实际验证过程中却发现,有些特殊产品,厂家没有SIL证书,例如蒸汽透平机的速关阀,催化及MTO装置的滑阀及主风阻尼单项阀等,由于历史的原因,特阀或机械保护装置在特定的场合使用非常成熟,此时验证时,因为这些SIF回路往往比较重要,SIL定级比较苛刻,如果采用数据库中通用的电液执行机构或类似执行机构验算PFDavg时,往往因为取值不好通不过验算,但是该类执行元件价格很高,冗余配置也不合理。此时,可以根据IEC61508关于“Proven in use,使用证明”及IEC61511关于“prior use,先验使用”的相关规定,针对该设备进行文件化评估,即根据设备以往的使用情况,提供该同型号设备成熟用于类似场合的证据,例如提供该型号的滑阀已经用过多少实例,至少多少小时安全运行,对于几套类似装置使用,多少个用户。通过该方式,该设备可以取到满意的PFDavg的参数使PFDavg验算通过,计算示例如下:
假设某厂某型号设备某装置已使用200台,5 a内仅2台发生故障,则危险失效率λD依据小时为单位可计算为: λD=2/(200×5×8 760)=2.28×10-7

类似无证书设备可参考该计算方法取值。


2.1.4 其他因素对SIL验证的影响

根据ISA-TR84.00.02:2002规定,PFDavg的计算是一个非常复杂的函数,与测试间隔时间、维修周期、共因失效等诸多因素有关,限于篇幅,仅摘选部分主要因素分析如下:
1) 测试检验周期。工艺设计之初已结合业主的要求确定停工大修周期,全厂停工时,检维修人员手动测试各个安全仪表的功能并进行维护。SIL验算时,该周期按照大修周期例如48个月来验算,验算不过的大部分原因,是因为阀门失效率过高,当可以附加部分行程测试装置(PST)时,可按照验算建议的周期测试而不影响工艺。国外也有设计带切断阀的旁路备用联锁阀的方式,测试时,打开旁路切断阀,投用备用阀门,关闭测试阀门前后切断阀进行测试。通过各种技术手段,测试间隔时间可按要求降低,当只采用1台阀门执行SIF功能时,该阀的PFDavg当仅考虑随机失效时,可简化计算如式(1)所示:
PFDavg=λDU Ti/2          (1)
式中: λDU——未检测到的危险失效,产品证书上的值,对应证书上固定的检测周期,一般为1 a;Ti——测试检验间隔时间,当阀门配PST时,原大修周期4 a可根据计算缩短,当取6个月时,阀门的PFDavg可降低为原来4 a的8倍,很多情况验证就通过了,该指标对验证影响很大。

2) 仪表故障模式设计。当仪表故障模式符合MAMUR NE 43标准时,智能仪表检测到仪表故障时根据预先设定的故障模式,决定仪表信号的走向及旁路开关的设计方式是触发联锁还是避免联锁,架构是否降级等,控制系统组态以及现场仪表的配置都需要相互匹配,当按照触发联锁实施时,容易通过验证,但是误停车率增加。

3) 仪表测量值在线比对诊断。是指安全仪表独立配置后,仍然需要在同样的工艺场合设计一块进DCS的仪表与安全仪表测量值实时比对,针对测量值的偏差进行诊断报警,如果安全仪表容错设计,同时也相互比对,及时发现每块安全仪表的失效,除仪表自身诊断以外的基于偏差的诊断设计理念,将利于验证通过。
4) 操作模式要求。按照GB/T 20438.4—2017中第3.5.16条要求,一般石油化工都取低要求模式,1 a最多联锁动作一次,对应国标,SIL等级的PFDavg取值才有依据。
5) MTTR 。该术语的含义是设备发生故障到重新恢复正常工作的时间期望值,其值需依据业主维护维修力量,采购备品、备件情况,厂家售后服务地点及服务合同,交通状况等综合决定,一般国内现场仪表按照良好条件可定义为24 h,即该设备如果发生故障,24 h后可重新投用如初,对于逻辑控制器,大多数故障为软件故障,修复可采用重新启动或使用通信手段与厂家咨询解决,一般可取4 h。MTTR 值对验证有一定影响,时间越短,设备可靠性保障越好,验证越容易通过。
6) 产品使用寿命或完美使用时间。“完美”是指使用的产品性能与新产品基本无差异,产品使用寿命在仪表的安全手册中有阐述,例如某阀位开关证书中标明,“Lifetime expectancy is estimated 45 years as long as regular maintenance is carried out as recommended by the manufacturer in the safety manual.”根据该产品的可靠性,在安全手册指导使用方法及定期维护前提下,推荐使用于安全场合45 a,当然也要综合考虑备件供应时间及厂家技术支持服务,一般取最小值。该值越大表明产品质量越好,越容易通过验证。
7) 瞬变信号过滤。指控制系统对输入瞬变信号是否过滤不响应,例如对于压力高高联锁,瞬间超压是否立即动作或延时动作,需业主、设计、厂家三方共同商议,结合仪表响应时间、历史事件及误停车率综合分析决定,过于敏感对验证容易但是误停车率将增加。
8) 测试覆盖率及诊断覆盖率。根据GB/T 20438.4—2017规定,测试覆盖率指通过可靠性测试的手段能检测出的危险失效占总失效数量的比例,该值越高,表明业主的维护维修能力越高;该值越低,设备的不间断使用周期要求越高。该测试也分在线与离线,在线测试与旁路的设计、容错的架构等有关,很多厂家的安全手册包含常见失效的测试方法,该测试为人工测试与自动诊断测试不同,自动诊断不能检测的失效要通过人工检测方法实现,该值越高,验证越容易通过。
当元件为智能仪表时,可通过自动自诊断的方式来检测危险失效占总失效比例,称为诊断覆盖率DcDc不包含通过人工手段检测到的任何故障。
Dc与设备失效率之间的关系如式(2)所示:
SFF =(λs+λD·Dc)/(λs+λD)      (2)
式中: λs——安全失效率;λD——危险失效率。
Dc越高,SFF 值越大,设备越可靠,PFDavg值就越小,通过PFDavg验证的概率就越大。Dc适用于逻辑控制器以及智能变送器,对于SIL3的逻辑控制器,根据IEC61508-2,可取99%或更好对于智能变送器本身就具有很强的自诊断功能,绝大多数的危险失效可以通过仪表本身的自诊断得到,依据IEC61508及IEC61511标准,当检测元件的诊断由DCS实现时,最高也不能达到90%,因为DCS本身也会失效,最大的风险降低因子就是10。另外该诊断与上述仪表故障模式设计及故障发生后旁路设计有很大关系,该关系较为复杂,限于篇幅,这里不加以赘述。根据IEC61508-2规定,当设备为typeB类电子元件时,当证书使用Route 2H方式认证时,Dc不得低于60%,说明有证书的仪表可靠性及智能化程度高,验证更容易通过。
对于执行元件不是智能仪表,无法实施在线诊断测试时,一般阀门的SIL证书都会写明失效率的对应条件是Dc=0,并给出可靠性测试间隔要求,大多为1 a,验算不通过时,如果因为各种原因不容易改变架构时,此时最合理的选择就是加PST将测试间隔降低。加PST后,可检测出大部分危险失效,甚至配合先进的诊断软件也可以实现在线诊断,但也不能达到100%的故障全部诊断出来,鉴于阀门的故障复杂性及业主的维护队伍的技术实力,加PST后的测试覆盖率常选择75%~80%,加PST更利于通过SIL验证。
9) 误停车率。该数据需要业主结合经济效益来给定,有时候SIL验证计算可以通过,但是如果误停车率高于业主的要求,经济效益将大幅降低,此时需要采取各种手段,例如调整测量元件“1oo2”架构为“2oo3”架构,同时满足可靠性及可用性要求,该数据对验证、采购、设计都有一定的影响。
10) 事故安全型设计原则。如果设计按照事故安全性原则设计,验证计算时,将不考虑电源故障的失效率,对于验证通过很有帮助。
11) 共因失效因子。共因失效定义详见GB/T20438.4—2017中3.6.10条规定:对于有表决架构设计的仪表,应合理设计降低共因失效来提高SIL验证通过的可能性,例如:表决的仪表设计为不同测量或执行动作原理的仪表,即便是原理相同,要选择不同的厂家产品等。按照《中国石化安全仪表系统安全完整性等级评估管理办法(试行)的通知》(中国石化安[2018]150号)要求,PFDavg计算应当考虑共因失效,共因失效因子β选取可采用文献[3]规定的方法、经过认证的数据、利用专家经验确定。
典型仪表的设备β参考值见表2所列。
表2 典性仪表设备β参考值
微信图片_20220822220220.jpg

表决架构选用的仪表的β值越大,越不利于SIL验证通过,β值与接线独立性设计及施工也有关系,表决架构的安全仪表电缆的敷设路径分开,接线箱的独立接线,进入SIS的控制器及卡件的独立设计,仪表电源的独立设计,都对降低β值通过SIL验证有一定的帮助。


3、结束语

当SIL验证不能通过时,应根据验算结果辨识主要影响因素并变更,如变更表决架构,提高产品档次、增加PST等,根据变更,再次验证,以证明当前SIF回路功能已经满足SIL等级要求。
SIL验证与安全生命周期中的各个环节密不可分,目前国内SIL验证工作才刚刚起步,遇到很多问题,随着解决方案日趋成熟,安全才真正得到保障。