影響安全儀表系統(tǒng)SIL驗證的主要因素有哪些？

導(dǎo) 讀

按照原國家安全生產(chǎn)監(jiān)督管理總局文件《國家安全監(jiān)管總局關(guān)于加強化工安全儀表系統(tǒng)管理的指導(dǎo)意見》（安監(jiān)總管三［2014］116號）的規(guī)定，在建項目，在役生產(chǎn)裝置自2020年起均需開展安全完整性等級（SIL）的驗證工作，在實施SIL驗證工作中，很多驗證問題均與GB/T 21109.1-2007《過程工業(yè)領(lǐng)域安全儀表系統(tǒng)的功能安全第1部分：框架、定義、系統(tǒng)、硬件和軟件要求》定義的安全生命周期活動緊密關(guān)聯(lián)，本文詳細(xì)闡述了SIL驗證工作中遇到的各種問題及影響因素，希望對安全儀表系統(tǒng)（SIS）的設(shè)計、采購及施工、維護維修管理提供參考，本文出現(xiàn)大量專用術(shù)語及縮略語，限于篇幅不逐一詳解，請參考GB/T 21109.1-2007《過程工業(yè)領(lǐng)域安全儀表系統(tǒng)的功能安全》和GB/T 20438-2017《電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能要點》，IEC 61508及IEC 61511標(biāo)準(zhǔn)。

SIL驗證

當(dāng)一個安全儀表功能（SIF）的SIL定級大于或等于1時，需要對該SIF進行SIL的驗證，要通過SIL驗證，必需滿足架構(gòu)約束、SIF回路要求的平均失效概率（PFDavg）計算滿足SIL報告要求、系統(tǒng)能力達(dá)到SIL要求，此外，SIL驗證還需檢查滿足誤停車率、滿足檢驗測試周期等要求，這些因素與安全生命周期的各項活動都有緊密關(guān)聯(lián)。

影響SIL驗證的主要因素

SIL驗證需要的輸入數(shù)據(jù)及信息至少應(yīng)包含以下內(nèi)容：

SIL定級報告，需包含SIF回路的位號、功能描述，SIL等級及要求的PFDavg；

SIF回路的結(jié)構(gòu)及各個部件的表決架構(gòu)；

SIF回路各個部件選用廠家的具體型號及廠家針對型號提供的SIL證書及安全手冊；

以及測試檢驗周期；

儀表故障模式設(shè)計；

儀表測量值在線比對診斷；

操作模式要求；

平均修復(fù)時間（MTTR）；

產(chǎn)品使用壽命或完美使用時間；

瞬變信號過濾；

測試覆蓋率及診斷覆蓋率（Dc）；

誤停車率；

事故安全型設(shè)計原則；

共因失效因子。

01

SIL定級報告對SIL驗證的影響

SIF回路涉及的儀表數(shù)量及結(jié)構(gòu)如果在SIL報告中描述不清晰，驗證工作很難準(zhǔn)確開展。例如：燃料氣壓力低低緊急停爐切斷燃料氣閥門XXXA，XXXB，打開放空閥XXXC，該描述僅重復(fù)了邏輯圖中的邏輯關(guān)系，但是對于是否所有的閥門的動作都屬于該SIF回路功能卻并沒有清晰界定。如果不了解工藝，將放空閥加入驗算，將導(dǎo)致執(zhí)行元件的架構(gòu)變化。事實上，放空閥是否打開，對SIL定級時定義的特定的SIF危險場景沒有影響，放空閥的動作不能阻止SIL定級時所分析的爐膛熄火燃料氣繼續(xù)進入爐膛的危險場景，而是作為切斷閥關(guān)閉后，防止閥門內(nèi)泄漏產(chǎn)生的燃料氣進入爐膛的另一個特定的危險場景，該閥不能算作該特定SIF最終執(zhí)行元件表決架構(gòu)中的一個組成部分，不能參加驗算，否則將導(dǎo)致執(zhí)行元件的PFDavg值偏高，驗證不容易通過，所以SIL分析報告中，一定要清晰辨識參與該特定SIF功能的各個部件。

在實際驗證中也發(fā)現(xiàn)，有的SIF如果不通過現(xiàn)有手段找到更多的獨立保護層（IPL）來降低風(fēng)險至足夠低的程度，則最終導(dǎo)致SIL等級或要求的風(fēng)險降低因子（RRF）設(shè)定的偏高，例如SIL3的等級，當(dāng)需要滿足PFDavg的約束條件時：PFD檢測部件、PFD邏輯控制器、PFD執(zhí)行元件、PFD供電電源之和不大于SIL報告要求的該SIF的PFDavg。當(dāng)前儀表設(shè)備的SIL證書很少單臺使用能達(dá)到SIL3，大多數(shù)是SIL2或通過冗余架構(gòu)達(dá)到SIL3，對于PFDavg而言，特定SIL等級是一個相差10倍的范圍，關(guān)鍵是看SIL報告要求的PFDavg在該范圍的哪個區(qū)間，所有具有SIL3能力的子部件PFDavg的和仍然可能大于SIL報告中要求的SIL3的PFDavg，SIL2的情況也類似。所以當(dāng)發(fā)現(xiàn)定義為SIL3或要求高RRF的SIL2的SIF，一定要結(jié)合歷史及類似場景復(fù)核該風(fēng)險等級、IPL和要求的PFDavg，尤其注意排除連帶其他風(fēng)險導(dǎo)致的各類經(jīng)濟損失擴大化，如有必要，引入合理的點火概率及人員暴露因子進行修正。很多場景僅僅通過儀表的手段來降低風(fēng)險使剩余風(fēng)險滿足要求是非常困難的，經(jīng)驗發(fā)現(xiàn)，當(dāng)要求的RRF＞200時，單閥普遍很難通過驗證，即使通過，儀表的采購價格也沒有經(jīng)濟性，所以工藝的本質(zhì)安全設(shè)計及通過更多且合理的IPL降低SIL的定級或要求的RRF是通過SIL驗證最優(yōu)的選擇。

02

SIF回路儀表結(jié)構(gòu)及表決架構(gòu)

對SIL驗證的影響

SIL驗證中需滿足SIF回路中所有環(huán)節(jié)的PFDavg之和小于定級時要求的PFDavg，但是驗證輸入資料中回路結(jié)構(gòu)的信息往往提供不全，例如檢測元件回路是否包含安全柵、隔離器、防雷柵等，如果為開關(guān)元件，回路是否有串聯(lián)、并聯(lián)等特殊接線結(jié)構(gòu)等；執(zhí)行元件回路的結(jié)構(gòu)是否包含安全柵、繼電器、防雷柵，是否有特殊接線結(jié)構(gòu)等，如果驗算遺漏了某個環(huán)節(jié)，整個回路的失效率計算將偏小，誤認(rèn)為安全達(dá)到了要求。

實際工作中發(fā)現(xiàn)，驗算不能通過，往往是由于某個容易被忽視的輔助設(shè)備的可靠性不高，產(chǎn)生了瓶頸效應(yīng)引起的，此時可通過簡化不必要的回路結(jié)構(gòu)來提高回路整體可靠性，例如電磁閥或測量元件通過修改為隔爆類型減少安全柵環(huán)節(jié)，超速保護模塊直接連接到現(xiàn)場停車速關(guān)閥，不通過機組保護系統(tǒng)去停車等。

在滿足架構(gòu)約束的前提下，設(shè)計的表決架構(gòu)如果不能通過驗證，需根據(jù)結(jié)果調(diào)整架構(gòu)，設(shè)計架構(gòu)并非硬件故障裕度（HFT）越大越好，HFT越大，驗證越容易通過，但誤停車率增加，要綜合兼顧誤停車率增加對經(jīng)濟效益的影響，合理設(shè)計表決架構(gòu)，例如同為HFT=1的架構(gòu)，“2oo3”比“1oo2”的誤停車率低。

03

儀表采購型號及證書對SIL驗證的影響

SIL驗證需要真實選型儀表的PFDavg數(shù)據(jù)，此時需要儀表廠家提供相關(guān)的SIL證書，如果沒有證書，一般都選用驗證軟件庫中的通用數(shù)據(jù)來計算，通過的概率將大打折扣。

根據(jù)IEC 61508，SIL驗證通過必需達(dá)到的架構(gòu)約束見表1所列。

A類元件的典型儀表類型為繼電器、閥門、開關(guān)類元件，B類元件的典型儀表類型為PLC、閥門定位器、智能變送器、內(nèi)置集成電路的元件。當(dāng)采購的儀表廠家不能提供很好的失效數(shù)據(jù)或SIL證書時，且不能按照IEC 61508的先驗使用或IE C61511規(guī)定的早先使用通過Route2H來證明其可靠性時，該儀表的可靠性按照安全失效分?jǐn)?shù)SFF＜60%處理比較合理。如果檢測元件及執(zhí)行元件設(shè)計架構(gòu)都沒有考慮容錯時，即HFT=0時，檢測元件為電子元件類變送器時，對于SIL1回路，是不能通過架構(gòu)約束的。此時設(shè)計時，必需考慮設(shè)計檢測元件為表決架構(gòu)“1oo2”，“2oo3”，或“1oo3”才達(dá)到架構(gòu)約束。對于SIL2回路，單純架構(gòu)約束就需要檢測元件必需至少為“1oo3”或“2oo4”表決的架構(gòu)，閥門也必需至少2臺。

從以上分析可以看出，儀表廠家的質(zhì)量證明及SIL證書可以直接影響架構(gòu)設(shè)計，例如某浮筒變送器廠家的SIL證書信息為“Random Capability：Type B，SIL2＠HFT=0，Route1H Device?！?/p>

證書表明，該變送器單臺SIL等級可以達(dá)到SIL2，架構(gòu)約束單臺可以用于SIL1以及SIL2場合。

某閘閥廠家的證書部分內(nèi)容：“Safety IntegrityLevel：SIL2＠HFT=0；SIL3＠HFT=1 for Safety Functions；Open on demand or Close on demand”，證書表明，該閥單臺SIL等級也能夠達(dá)到SIL2，如果設(shè)計為“1oo2”使用時可以達(dá)到SIL3。

上述并非說明達(dá)到SIL2等級的該儀表回路肯定能通過驗證，除架構(gòu)外，其他約束條件例如整體回路的PFDavg驗算以及系統(tǒng)能力的約束仍然要滿足。

對于系統(tǒng)能力，GB/T 20438.5-2017及IEC 615082，3針對其術(shù)語有詳細(xì)解釋，主要是用于避免系統(tǒng)失效。典型的某電磁閥的SIL證書上標(biāo)明“Systematic Capability：SC3（SIL3Capable）”，表明該設(shè)備按照安全手冊規(guī)定應(yīng)用時，可最大程度避免除隨機失效以外的系統(tǒng)失效，滿足SIL3要求，系統(tǒng)能力體現(xiàn)在軟件、設(shè)計、安裝、使用、維護等需遵循產(chǎn)品安全手冊，安全手冊隨證書一起提供。

由上可見，產(chǎn)品的SIL證書及配套安全手冊信息豐富，對于證明該設(shè)備滿足SIL驗證的3個條件非常重要。

但是實際驗證過程中卻發(fā)現(xiàn)，有些特殊產(chǎn)品，廠家沒有SIL證書，例如蒸汽透平機的速關(guān)閥，催化及MTO裝置的滑閥及主風(fēng)阻尼單項閥等，由于歷史的原因，特閥或機械保護裝置在特定的場合使用非常成熟，此時驗證時，因為這些SIF回路往往比較重要，SIL定級比較苛刻，如果采用數(shù)據(jù)庫中通用的電液執(zhí)行機構(gòu)或類似執(zhí)行機構(gòu)驗算PFDavg時，往往因為取值不好通不過驗算，但是該類執(zhí)行元件價格很高，冗余配置也不合理。此時，可以根據(jù)IEC61508關(guān)于“Proven in use，使用證明”及IEC61511關(guān)于“prior use，先驗使用”的相關(guān)規(guī)定，針對該設(shè)備進行文件化評估，即根據(jù)設(shè)備以往的使用情況，提供該同型號設(shè)備成熟用于類似場合的證據(jù)，例如提供該型號的滑閥已經(jīng)用過多少實例，至少多少小時安全運行，對于幾套類似裝置使用，多少個用戶。通過該方式，該設(shè)備可以取到滿意的PFDavg的參數(shù)使PFDavg驗算通過，計算示例如下：

假設(shè)某廠某型號設(shè)備某裝置已使用200臺，5a內(nèi)僅2臺發(fā)生故障，則危險失效率λD依據(jù)小時為單位可計算為：λD=2/（200×5×8760）=2.28×10-7。

類似無證書設(shè)備可參考該計算方法取值。

04

其他因素對SIL驗證的影響

根據(jù)ISATR84.00.02：2002規(guī)定，PFDavg的計算是一個非常復(fù)雜的函數(shù)，與測試間隔時間、維修周期、共因失效等諸多因素有關(guān)，限于篇幅，僅摘選部分主要因素分析如下：

1）測試檢驗周期。

工藝設(shè)計之初已結(jié)合業(yè)主的要求確定停工大修周期，全廠停工時，檢維修人員手動測試各個安全儀表的功能并進行維護。SIL驗算時，該周期按照大修周期例如48個月來驗算，驗算不過的大部分原因，是因為閥門失效率過高，當(dāng)可以附加部分行程測試裝置（PST）時，可按照驗算建議的周期測試而不影響工藝。國外也有設(shè)計帶切斷閥的旁路備用聯(lián)鎖閥的方式，測試時，打開旁路切斷閥，投用備用閥門，關(guān)閉測試閥門前后切斷閥進行測試。通過各種技術(shù)手段，測試間隔時間可按要求降低，當(dāng)只采用1臺閥門執(zhí)行SIF功能時，該閥的PFDavg當(dāng)僅考慮隨機失效時，可簡化計算如式（1）所示：

2）儀表故障模式設(shè)計。

當(dāng)儀表故障模式符合MAMURNE43標(biāo)準(zhǔn)時，智能儀表檢測到儀表故障時根據(jù)預(yù)先設(shè)定的故障模式，決定儀表信號的走向及旁路開關(guān)的設(shè)計方式是觸發(fā)聯(lián)鎖還是避免聯(lián)鎖，架構(gòu)是否降級等，控制系統(tǒng)組態(tài)以及現(xiàn)場儀表的配置都需要相互匹配，當(dāng)按照觸發(fā)聯(lián)鎖實施時，容易通過驗證，但是誤停車率增加。

3）儀表測量值在線比對診斷。

是指安全儀表獨立配置后，仍然需要在同樣的工藝場合設(shè)計一塊進DCS的儀表與安全儀表測量值實時比對，針對測量值的偏差進行診斷報警，如果安全儀表容錯設(shè)計，同時也相互比對，及時發(fā)現(xiàn)每塊安全儀表的失效，除儀表自身診斷以外的基于偏差的診斷設(shè)計理念，將利于驗證通過。

4）操作模式要求。

按照GB/T 20438.4-2017中第3.5.16條要求，一般石油化工都取低要求模式，1a最多聯(lián)鎖動作一次，對應(yīng)國標(biāo)，SIL等級的PFDavg取值才有依據(jù)。

5）MTTR。

該術(shù)語的含義是設(shè)備發(fā)生故障到重新恢復(fù)正常工作的時間期望值，其值需依據(jù)業(yè)主維護維修力量，采購備品、備件情況，廠家售后服務(wù)地點及服務(wù)合同，交通狀況等綜合決定，一般國內(nèi)現(xiàn)場儀表按照良好條件可定義為24h，即該設(shè)備如果發(fā)生故障，24h后可重新投用如初，對于邏輯控制器，大多數(shù)故障為軟件故障，修復(fù)可采用重新啟動或使用通信手段與廠家咨詢解決，一般可取4h。MTTR值對驗證有一定影響，時間越短，設(shè)備可靠性保障越好，驗證越容易通過。

6）產(chǎn)品使用壽命或完美使用時間。

“完美”是指使用的產(chǎn)品性能與新產(chǎn)品基本無差異，產(chǎn)品使用壽命在儀表的安全手冊中有闡述。根據(jù)該產(chǎn)品的可靠性，在安全手冊指導(dǎo)使用方法及定期維護前提下，推薦使用于安全場合45a，當(dāng)然也要綜合考慮備件供應(yīng)時間及廠家技術(shù)支持服務(wù)，一般取最小值。該值越大表明產(chǎn)品質(zhì)量越好，越容易通過驗證。

7）瞬變信號過濾。

指控制系統(tǒng)對輸入瞬變信號是否過濾不響應(yīng)，例如對于壓力高高聯(lián)鎖，瞬間超壓是否立即動作或延時動作，需業(yè)主、設(shè)計、廠家三方共同商議，結(jié)合儀表響應(yīng)時間、歷史事件及誤停車率綜合分析決定，過于敏感對驗證容易但是誤停車率將增加。

8）測試覆蓋率及診斷覆蓋率。

根據(jù)GB/T 20438.4-2017規(guī)定，測試覆蓋率指通過可靠性測試的手段能檢測出的危險失效占總失效數(shù)量的比例，該值越高，表明業(yè)主的維護維修能力越高；該值越低，設(shè)備的不間斷使用周期要求越高。該測試也分在線與離線，在線測試與旁路的設(shè)計、容錯的架構(gòu)等有關(guān)，很多廠家的安全手冊包含常見失效的測試方法，該測試為人工測試與自動診斷測試不同，自動診斷不能檢測的失效要通過人工檢測方法實現(xiàn)，該值越高，驗證越容易通過。

當(dāng)元件為智能儀表時，可通過自動自診斷的方式來檢測危險失效占總失效比例，稱為診斷覆蓋率Dc，Dc不包含通過人工手段檢測到的任何故障。

Dc越高，SFF值越大，設(shè)備越可靠，PFDavg值就越小，通過PFDavg驗證的概率就越大。Dc適用于邏輯控制器以及智能變送器，對于SIL3的邏輯控制器，根據(jù)IEC615082，可取99%或更好，對于智能變送器本身就具有很強的自診斷功能，絕大多數(shù)的危險失效可以通過儀表本身的自診斷得到，依據(jù)IEC61508及IEC61511標(biāo)準(zhǔn)，當(dāng)檢測元件的診斷由DCS實現(xiàn)時，最高也不能達(dá)到90%，因為DCS本身也會失效，最大的風(fēng)險降低因子就是10。另外該診斷與上述儀表故障模式設(shè)計及故障發(fā)生后旁路設(shè)計有很大關(guān)系，該關(guān)系較為復(fù)雜，限于篇幅，這里不加以贅述。根據(jù)IEC615082規(guī)定，當(dāng)設(shè)備為TypeB類電子元件時，當(dāng)證書使用Route2H方式認(rèn)證時，Dc不得低于60%，說明有證書的儀表可靠性及智能化程度高，驗證更容易通過。

對于執(zhí)行元件不是智能儀表，無法實施在線診斷測試時，一般閥門的SIL證書都會寫明失效率的對應(yīng)條件是Dc=0，并給出可靠性測試間隔要求，大多為1a，驗算不通過時，如果因為各種原因不容易改變架構(gòu)時，此時最合理的選擇就是加PST將測試間隔降低。加PST后，可檢測出大部分危險失效，甚至配合先進的診斷軟件也可以實現(xiàn)在線診斷，但也不能達(dá)到100%的故障全部診斷出來，鑒于閥門的故障復(fù)雜性及業(yè)主的維護隊伍的技術(shù)實力，加PST后的測試覆蓋率常選擇75%～80%，加PST更利于通過SIL驗證。

9）誤停車率。

該數(shù)據(jù)需要業(yè)主結(jié)合經(jīng)濟效益來給定，有時候SIL驗證計算可以通過，但是如果誤停車率高于業(yè)主的要求，經(jīng)濟效益將大幅降低，此時需要采取各種手段，例如調(diào)整測量元件“1oo2”架構(gòu)為“2oo3”架構(gòu)，同時滿足可靠性及可用性要求，該數(shù)據(jù)對驗證、采購、設(shè)計都有一定的影響。

10）事故安全型設(shè)計原則。

如果設(shè)計按照事故安全性原則設(shè)計，驗證計算時，將不考慮電源故障的失效率，對于驗證通過很有幫助。

11）共因失效因子。

共因失效定義詳見GB/T 20438.4-2017中3.6.10條規(guī)定：對于有表決架構(gòu)設(shè)計的儀表，應(yīng)合理設(shè)計降低共因失效來提高SIL驗證通過的可能性，例如：表決的儀表設(shè)計為不同測量或執(zhí)行動作原理的儀表，即便是原理相同，要選擇不同的廠家產(chǎn)品等。按照《中國石化安全儀表系統(tǒng)安全完整性等級評估管理辦法（試行）的通知》（中國石化安［2018］150號）要求，PFDavg計算應(yīng)當(dāng)考慮共因失效，共因失效因子β選取可采用GB/T 20438-2017《電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全》規(guī)定的方法、經(jīng)過認(rèn)證的數(shù)據(jù)、利用專家經(jīng)驗確定。

典型儀表的設(shè)備β參考值見表2所列。

表決架構(gòu)選用儀表的β值越大，越不利于SIL驗證通過，β值與接線獨立性設(shè)計及施工也有關(guān)系，表決架構(gòu)的安全儀表電纜的敷設(shè)路徑分開，接線箱的獨立接線，進入SIS的控制器及卡件的獨立設(shè)計，儀表電源的獨立設(shè)計，都對降低β值通過SIL驗證有一定的幫助。

審核編輯 ：李倩