影響SIS安全完整性等級(SIL)的驗(yàn)證的主要因素
發(fā)布時間:
2024-07-09 09:51
按照原國家安全生產(chǎn)監(jiān)督管理總局文件《國家安全監(jiān)管總局關(guān)于加強(qiáng)化工安全儀表系統(tǒng)管理的指導(dǎo)意見》(安監(jiān)總管三[2014]116號)的規(guī)定,在建項(xiàng)目,在役生產(chǎn)裝置自2020年起均需開展安全完整性等級(SIL)的驗(yàn)證工作,在實(shí)施SIL驗(yàn)證工作中,很多驗(yàn)證問題均與GB/T 21109.1-2007《過程工業(yè)領(lǐng)域安全儀表系統(tǒng)的功能安全第1部分:框架、定義、系統(tǒng)、硬件和軟件要求》定義的安全生命周期活動緊密關(guān)聯(lián),本文詳細(xì)闡述了SIL驗(yàn)證工作中遇到的各種問題及影響因素,希望對安全儀表系統(tǒng)(SIS)的設(shè)計(jì)、采購及施工、維護(hù)維修管理提供參考,本文出現(xiàn)大量專用術(shù)語及縮略語,限于篇幅不逐一詳解,請參考GB/T 21109.1-2007《過程工業(yè)領(lǐng)域安全儀表系統(tǒng)的功能安全》和GB/T 20438-2017《電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能要點(diǎn)》,IEC 61508及IEC 61511標(biāo)準(zhǔn)。
SIL驗(yàn)證
當(dāng)一個安全儀表功能(SIF)的SIL定級大于或等于1時,需要對該SIF進(jìn)行SIL的驗(yàn)證,要通過SIL驗(yàn)證,必需滿足架構(gòu)約束、SIF回路要求的平均失效概率(PFDavg)計(jì)算滿足SIL報(bào)告要求、系統(tǒng)能力達(dá)到SIL要求,此外,SIL驗(yàn)證還需檢查滿足誤停車率、滿足檢驗(yàn)測試周期等要求,這些因素與安全生命周期的各項(xiàng)活動都有緊密關(guān)聯(lián)。
影響SIL驗(yàn)證的主要因素
SIL驗(yàn)證需要的輸入數(shù)據(jù)及信息至少應(yīng)包含以下內(nèi)容:
SIL定級報(bào)告,需包含SIF回路的位號、功能描述,SIL等級及要求的PFDavg;
SIF回路的結(jié)構(gòu)及各個部件的表決架構(gòu);
SIF回路各個部件選用廠家的具體型號及廠家針對型號提供的SIL證書及安全手冊;
以及測試檢驗(yàn)周期;
儀表故障模式設(shè)計(jì);
儀表測量值在線比對診斷;
操作模式要求;
平均修復(fù)時間(MTTR);
產(chǎn)品使用壽命或完美使用時間;
瞬變信號過濾;
測試覆蓋率及診斷覆蓋率(Dc);
誤停車率;
事故安全型設(shè)計(jì)原則;
共因失效因子。
01 SIL定級報(bào)告對SIL驗(yàn)證的影響
SIF回路涉及的儀表數(shù)量及結(jié)構(gòu)如果在SIL報(bào)告中描述不清晰,驗(yàn)證工作很難準(zhǔn)確開展。例如:燃料氣壓力低低緊急停爐切斷燃料氣閥門XXXA,XXXB,打開放空閥XXXC,該描述僅重復(fù)了邏輯圖中的邏輯關(guān)系,但是對于是否所有的閥門的動作都屬于該SIF回路功能卻并沒有清晰界定。如果不了解工藝,將放空閥加入驗(yàn)算,將導(dǎo)致執(zhí)行元件的架構(gòu)變化。事實(shí)上,放空閥是否打開,對SIL定級時定義的特定的SIF危險(xiǎn)場景沒有影響,放空閥的動作不能阻止SIL定級時所分析的爐膛熄火燃料氣繼續(xù)進(jìn)入爐膛的危險(xiǎn)場景,而是作為切斷閥關(guān)閉后,防止閥門內(nèi)泄漏產(chǎn)生的燃料氣進(jìn)入爐膛的另一個特定的危險(xiǎn)場景,該閥不能算作該特定SIF最終執(zhí)行元件表決架構(gòu)中的一個組成部分,不能參加驗(yàn)算,否則將導(dǎo)致執(zhí)行元件的PFDavg值偏高,驗(yàn)證不容易通過,所以SIL分析報(bào)告中,一定要清晰辨識參與該特定SIF功能的各個部件。
在實(shí)際驗(yàn)證中也發(fā)現(xiàn),有的SIF如果不通過現(xiàn)有手段找到更多的獨(dú)立保護(hù)層(IPL)來降低風(fēng)險(xiǎn)至足夠低的程度,則最終導(dǎo)致SIL等級或要求的風(fēng)險(xiǎn)降低因子(RRF)設(shè)定的偏高,例如SIL3的等級,當(dāng)需要滿足PFDavg的約束條件時:PFD檢測部件、PFD邏輯控制器、PFD執(zhí)行元件、PFD供電電源之和不大于SIL報(bào)告要求的該SIF的PFDavg。當(dāng)前儀表設(shè)備的SIL證書很少單臺使用能達(dá)到SIL3,大多數(shù)是SIL2或通過冗余架構(gòu)達(dá)到SIL3,對于PFDavg而言,特定SIL等級是一個相差10倍的范圍,關(guān)鍵是看SIL報(bào)告要求的PFDavg在該范圍的哪個區(qū)間,所有具有SIL3能力的子部件PFDavg的和仍然可能大于SIL報(bào)告中要求的SIL3的PFDavg,SIL2的情況也類似。所以當(dāng)發(fā)現(xiàn)定義為SIL3或要求高RRF的SIL2的SIF,一定要結(jié)合歷史及類似場景復(fù)核該風(fēng)險(xiǎn)等級、IPL和要求的PFDavg,尤其注意排除連帶其他風(fēng)險(xiǎn)導(dǎo)致的各類經(jīng)濟(jì)損失擴(kuò)大化,如有必要,引入合理的點(diǎn)火概率及人員暴露因子進(jìn)行修正。很多場景僅僅通過儀表的手段來降低風(fēng)險(xiǎn)使剩余風(fēng)險(xiǎn)滿足要求是非常困難的,經(jīng)驗(yàn)發(fā)現(xiàn),當(dāng)要求的RRF>200時,單閥普遍很難通過驗(yàn)證,即使通過,儀表的采購價(jià)格也沒有經(jīng)濟(jì)性,所以工藝的本質(zhì)安全設(shè)計(jì)及通過更多且合理的IPL降低SIL的定級或要求的RRF是通過SIL驗(yàn)證最優(yōu)的選擇。
02 SIF回路儀表結(jié)構(gòu)及表決架構(gòu)對SIL驗(yàn)證的影響
SIL驗(yàn)證中需滿足SIF回路中所有環(huán)節(jié)的PFDavg之和小于定級時要求的PFDavg,但是驗(yàn)證輸入資料中回路結(jié)構(gòu)的信息往往提供不全,例如檢測元件回路是否包含安全柵、隔離器、防雷柵等,如果為開關(guān)元件,回路是否有串聯(lián)、并聯(lián)等特殊接線結(jié)構(gòu)等;執(zhí)行元件回路的結(jié)構(gòu)是否包含安全柵、繼電器、防雷柵,是否有特殊接線結(jié)構(gòu)等,如果驗(yàn)算遺漏了某個環(huán)節(jié),整個回路的失效率計(jì)算將偏小,誤認(rèn)為安全達(dá)到了要求。
實(shí)際工作中發(fā)現(xiàn),驗(yàn)算不能通過,往往是由于某個容易被忽視的輔助設(shè)備的可靠性不高,產(chǎn)生了瓶頸效應(yīng)引起的,此時可通過簡化不必要的回路結(jié)構(gòu)來提高回路整體可靠性,例如電磁閥或測量元件通過修改為隔爆類型減少安全柵環(huán)節(jié),超速保護(hù)模塊直接連接到現(xiàn)場停車速關(guān)閥,不通過機(jī)組保護(hù)系統(tǒng)去停車等。
在滿足架構(gòu)約束的前提下,設(shè)計(jì)的表決架構(gòu)如果不能通過驗(yàn)證,需根據(jù)結(jié)果調(diào)整架構(gòu),設(shè)計(jì)架構(gòu)并非硬件故障裕度(HFT)越大越好,HFT越大,驗(yàn)證越容易通過,但誤停車率增加,要綜合兼顧誤停車率增加對經(jīng)濟(jì)效益的影響,合理設(shè)計(jì)表決架構(gòu),例如同為HFT=1的架構(gòu),“2oo3”比“1oo2”的誤停車率低.
03 儀表采購型號及證書對SIL驗(yàn)證的影響
SIL驗(yàn)證需要真實(shí)選型儀表的PFDavg數(shù)據(jù),此時需要儀表廠家提供相關(guān)的SIL證書,如果沒有證書,一般都選用驗(yàn)證軟件庫中的通用數(shù)據(jù)來計(jì)算,通過的概率將大打折扣。
根據(jù)IEC 61508,SIL驗(yàn)證通過必需達(dá)到的架構(gòu)約束見表1所列。
?
A類元件的典型儀表類型為繼電器、閥門、開關(guān)類元件,B類元件的典型儀表類型為PLC、閥門定位器、智能變送器、內(nèi)置集成電路的元件。當(dāng)采購的儀表廠家不能提供很好的失效數(shù)據(jù)或SIL證書時,且不能按照IEC 61508的先驗(yàn)使用或IE C61511規(guī)定的早先使用通過Route2H來證明其可靠性時,該儀表的可靠性按照安全失效分?jǐn)?shù)SFF<60%處理比較合理。如果檢測元件及執(zhí)行元件設(shè)計(jì)架構(gòu)都沒有考慮容錯時,即HFT=0時,檢測元件為電子元件類變送器時,對于SIL1回路,是不能通過架構(gòu)約束的。此時設(shè)計(jì)時,必需考慮設(shè)計(jì)檢測元件為表決架構(gòu)“1oo2”,“2oo3”,或“1oo3”才達(dá)到架構(gòu)約束。對于SIL2回路,單純架構(gòu)約束就需要檢測元件必需至少為“1oo3”或“2oo4”表決的架構(gòu),閥門也必需至少2臺。
從以上分析可以看出,儀表廠家的質(zhì)量證明及SIL證書可以直接影響架構(gòu)設(shè)計(jì),例如某浮筒變送器廠家的SIL證書信息為“Random Capability:Type B,SIL2@HFT=0,Route1H Device。”
證書表明,該變送器單臺SIL等級可以達(dá)到SIL2,架構(gòu)約束單臺可以用于SIL1以及SIL2場合。
某閘閥廠家的證書部分內(nèi)容:“Safety IntegrityLevel:SIL2@HFT=0;SIL3@HFT=1 for Safety Functions;Open on demand or Close on demand”,證書表明,該閥單臺SIL等級也能夠達(dá)到SIL2,如果設(shè)計(jì)為“1oo2”使用時可以達(dá)到SIL3。
上述并非說明達(dá)到SIL2等級的該儀表回路肯定能通過驗(yàn)證,除架構(gòu)外,其他約束條件例如整體回路的PFDavg驗(yàn)算以及系統(tǒng)能力的約束仍然要滿足。
對于系統(tǒng)能力,GB/T 20438.5-2017及IEC 615082,3針對其術(shù)語有詳細(xì)解釋,主要是用于避免系統(tǒng)失效。典型的某電磁閥的SIL證書上標(biāo)明“Systematic Capability:SC3(SIL3Capable)”,表明該設(shè)備按照安全手冊規(guī)定應(yīng)用時,可最大程度避免除隨機(jī)失效以外的系統(tǒng)失效,滿足SIL3要求,系統(tǒng)能力體現(xiàn)在軟件、設(shè)計(jì)、安裝、使用、維護(hù)等需遵循產(chǎn)品安全手冊,安全手冊隨證書一起提供。
由上可見,產(chǎn)品的SIL證書及配套安全手冊信息豐富,對于證明該設(shè)備滿足SIL驗(yàn)證的3個條件非常重要。
但是實(shí)際驗(yàn)證過程中卻發(fā)現(xiàn),有些特殊產(chǎn)品,廠家沒有SIL證書,例如蒸汽透平機(jī)的速關(guān)閥,催化及MTO裝置的滑閥及主風(fēng)阻尼單項(xiàng)閥等,由于歷史的原因,特閥或機(jī)械保護(hù)裝置在特定的場合使用非常成熟,此時驗(yàn)證時,因?yàn)檫@些SIF回路往往比較重要,SIL定級比較苛刻,如果采用數(shù)據(jù)庫中通用的電液執(zhí)行機(jī)構(gòu)或類似執(zhí)行機(jī)構(gòu)驗(yàn)算PFDavg時,往往因?yàn)槿≈挡缓猛ú贿^驗(yàn)算,但是該類執(zhí)行元件價(jià)格很高,冗余配置也不合理。此時,可以根據(jù)IEC61508關(guān)于“Proven in use,使用證明”及IEC61511關(guān)于“prior use,先驗(yàn)使用”的相關(guān)規(guī)定,針對該設(shè)備進(jìn)行文件化評估,即根據(jù)設(shè)備以往的使用情況,提供該同型號設(shè)備成熟用于類似場合的證據(jù),例如提供該型號的滑閥已經(jīng)用過多少實(shí)例,至少多少小時安全運(yùn)行,對于幾套類似裝置使用,多少個用戶。通過該方式,該設(shè)備可以取到滿意的PFDavg的參數(shù)使PFDavg驗(yàn)算通過,計(jì)算示例如下:
假設(shè)某廠某型號設(shè)備某裝置已使用200臺,5a內(nèi)僅2臺發(fā)生故障,則危險(xiǎn)失效率λD依據(jù)小時為單位可計(jì)算為:λD=2/(200×5×8760)=2.28×10-7。
類似無證書設(shè)備可參考該計(jì)算方法取值。
04 其他因素對SIL驗(yàn)證的影響
根據(jù)ISATR84.00.02:2002規(guī)定,PFDavg的計(jì)算是一個非常復(fù)雜的函數(shù),與測試間隔時間、維修周期、共因失效等諸多因素有關(guān),限于篇幅,僅摘選部分主要因素分析如下:
1)測試檢驗(yàn)周期。工藝設(shè)計(jì)之初已結(jié)合業(yè)主的要求確定停工大修周期,全廠停工時,檢維修人員手動測試各個安全儀表的功能并進(jìn)行維護(hù)。SIL驗(yàn)算時,該周期按照大修周期例如48個月來驗(yàn)算,驗(yàn)算不過的大部分原因,是因?yàn)殚y門失效率過高,當(dāng)可以附加部分行程測試裝置(PST)時,可按照驗(yàn)算建議的周期測試而不影響工藝。國外也有設(shè)計(jì)帶切斷閥的旁路備用聯(lián)鎖閥的方式,測試時,打開旁路切斷閥,投用備用閥門,關(guān)閉測試閥門前后切斷閥進(jìn)行測試。通過各種技術(shù)手段,測試間隔時間可按要求降低,當(dāng)只采用1臺閥門執(zhí)行SIF功能時,該閥的PFDavg當(dāng)僅考慮隨機(jī)失效時,可簡化計(jì)算如式(1)所示:
?
式中:λDu-未檢測到的危險(xiǎn)失效,產(chǎn)品證書上的值,對應(yīng)證書上固定的檢測周期,一般為1 a;
Ti-測試檢驗(yàn)間隔時間,當(dāng)閥門配 PST 時,原大修周期4a可根據(jù)計(jì)算縮短,當(dāng)取6個月時,閥門的 PFDavg。可降低為原來4a的8倍,很多情況驗(yàn)證就通過了,該指標(biāo)對驗(yàn)證影響很大。
2)儀表故障模式設(shè)計(jì)。當(dāng)儀表故障模式符合MAMURNE43標(biāo)準(zhǔn)時,智能儀表檢測到儀表故障時根據(jù)預(yù)先設(shè)定的故障模式,決定儀表信號的走向及旁路開關(guān)的設(shè)計(jì)方式是觸發(fā)聯(lián)鎖還是避免聯(lián)鎖,架構(gòu)是否降級等,控制系統(tǒng)組態(tài)以及現(xiàn)場儀表的配置都需要相互匹配,當(dāng)按照觸發(fā)聯(lián)鎖實(shí)施時,容易通過驗(yàn)證,但是誤停車率增加。
3)儀表測量值在線比對診斷。是指安全儀表獨(dú)立配置后,仍然需要在同樣的工藝場合設(shè)計(jì)一塊進(jìn)DCS的儀表與安全儀表測量值實(shí)時比對,針對測量值的偏差進(jìn)行診斷報(bào)警,如果安全儀表容錯設(shè)計(jì),同時也相互比對,及時發(fā)現(xiàn)每塊安全儀表的失效,除儀表自身診斷以外的基于偏差的診斷設(shè)計(jì)理念,將利于驗(yàn)證通過。
4)操作模式要求。按照GB/T 20438.4-2017中第3.5.16條要求,一般石油化工都取低要求模式,1a最多聯(lián)鎖動作一次,對應(yīng)國標(biāo),SIL等級的PFDavg取值才有依據(jù)。
5)MTTR。該術(shù)語的含義是設(shè)備發(fā)生故障到重新恢復(fù)正常工作的時間期望值,其值需依據(jù)業(yè)主維護(hù)維修力量,采購備品、備件情況,廠家售后服務(wù)地點(diǎn)及服務(wù)合同,交通狀況等綜合決定,一般國內(nèi)現(xiàn)場儀表按照良好條件可定義為24h,即該設(shè)備如果發(fā)生故障,24h后可重新投用如初,對于邏輯控制器,大多數(shù)故障為軟件故障,修復(fù)可采用重新啟動或使用通信手段與廠家咨詢解決,一般可取4h。MTTR值對驗(yàn)證有一定影響,時間越短,設(shè)備可靠性保障越好,驗(yàn)證越容易通過。
6)產(chǎn)品使用壽命或完美使用時間。“完美”是指使用的產(chǎn)品性能與新產(chǎn)品基本無差異,產(chǎn)品使用壽命在儀表的安全手冊中有闡述。根據(jù)該產(chǎn)品的可靠性,在安全手冊指導(dǎo)使用方法及定期維護(hù)前提下,推薦使用于安全場合45a,當(dāng)然也要綜合考慮備件供應(yīng)時間及廠家技術(shù)支持服務(wù),一般取最小值。該值越大表明產(chǎn)品質(zhì)量越好,越容易通過驗(yàn)證。
7)瞬變信號過濾。指控制系統(tǒng)對輸入瞬變信號是否過濾不響應(yīng),例如對于壓力高高聯(lián)鎖,瞬間超壓是否立即動作或延時動作,需業(yè)主、設(shè)計(jì)、廠家三方共同商議,結(jié)合儀表響應(yīng)時間、歷史事件及誤停車率綜合分析決定,過于敏感對驗(yàn)證容易但是誤停車率將增加。
8)測試覆蓋率及診斷覆蓋率。根據(jù)GB/T 20438.4-2017規(guī)定,測試覆蓋率指通過可靠性測試的手段能檢測出的危險(xiǎn)失效占總失效數(shù)量的比例,該值越高,表明業(yè)主的維護(hù)維修能力越高;該值越低,設(shè)備的不間斷使用周期要求越高。該測試也分在線與離線,在線測試與旁路的設(shè)計(jì)、容錯的架構(gòu)等有關(guān),很多廠家的安全手冊包含常見失效的測試方法,該測試為人工測試與自動診斷測試不同,自動診斷不能檢測的失效要通過人工檢測方法實(shí)現(xiàn),該值越高,驗(yàn)證越容易通過。
當(dāng)元件為智能儀表時,可通過自動自診斷的方式來檢測危險(xiǎn)失效占總失效比例,稱為診斷覆蓋率Dc,Dc不包含通過人工手段檢測到的任何故障。
Dc與設(shè)備失效率之間的關(guān)系如式(2)所示:
?
式中:λS--安全失效率;λD--危險(xiǎn)失效率
Dc越高,SFF值越大,設(shè)備越可靠,PFDavg值就越小,通過PFDavg驗(yàn)證的概率就越大。Dc適用于邏輯控制器以及智能變送器,對于SIL3的邏輯控制器,根據(jù)IEC615082,可取99%或更好,對于智能變送器本身就具有很強(qiáng)的自診斷功能,絕大多數(shù)的危險(xiǎn)失效可以通過儀表本身的自診斷得到,依據(jù)IEC61508及IEC61511標(biāo)準(zhǔn),當(dāng)檢測元件的診斷由DCS實(shí)現(xiàn)時,最高也不能達(dá)到90%,因?yàn)镈CS本身也會失效,最大的風(fēng)險(xiǎn)降低因子就是10。另外該診斷與上述儀表故障模式設(shè)計(jì)及故障發(fā)生后旁路設(shè)計(jì)有很大關(guān)系,該關(guān)系較為復(fù)雜,限于篇幅,這里不加以贅述。根據(jù)IEC615082規(guī)定,當(dāng)設(shè)備為TypeB類電子元件時,當(dāng)證書使用Route2H方式認(rèn)證時,Dc不得低于60%,說明有證書的儀表可靠性及智能化程度高,驗(yàn)證更容易通過。
對于執(zhí)行元件不是智能儀表,無法實(shí)施在線診斷測試時,一般閥門的SIL證書都會寫明失效率的對應(yīng)條件是Dc=0,并給出可靠性測試間隔要求,大多為1a,驗(yàn)算不通過時,如果因?yàn)楦鞣N原因不容易改變架構(gòu)時,此時最合理的選擇就是加PST將測試間隔降低。加PST后,可檢測出大部分危險(xiǎn)失效,甚至配合先進(jìn)的診斷軟件也可以實(shí)現(xiàn)在線診斷,但也不能達(dá)到100%的故障全部診斷出來,鑒于閥門的故障復(fù)雜性及業(yè)主的維護(hù)隊(duì)伍的技術(shù)實(shí)力,加PST后的測試覆蓋率常選擇75%~80%,加PST更利于通過SIL驗(yàn)證。
9)誤停車率。該數(shù)據(jù)需要業(yè)主結(jié)合經(jīng)濟(jì)效益來給定,有時候SIL驗(yàn)證計(jì)算可以通過,但是如果誤停車率高于業(yè)主的要求,經(jīng)濟(jì)效益將大幅降低,此時需要采取各種手段,例如調(diào)整測量元件“1oo2”架構(gòu)為“2oo3”架構(gòu),同時滿足可靠性及可用性要求,該數(shù)據(jù)對驗(yàn)證、采購、設(shè)計(jì)都有一定的影響。
10)事故安全型設(shè)計(jì)原則。如果設(shè)計(jì)按照事故安全性原則設(shè)計(jì),驗(yàn)證計(jì)算時,將不考慮電源故障的失效率,對于驗(yàn)證通過很有幫助。
11)共因失效因子。共因失效定義詳見GB/T 20438.4-2017中3.6.10條規(guī)定:對于有表決架構(gòu)設(shè)計(jì)的儀表,應(yīng)合理設(shè)計(jì)降低共因失效來提高SIL驗(yàn)證通過的可能性,例如:表決的儀表設(shè)計(jì)為不同測量或執(zhí)行動作原理的儀表,即便是原理相同,要選擇不同的廠家產(chǎn)品等。按照《中國石化安全儀表系統(tǒng)安全完整性等級評估管理辦法(試行)的通知》(中國石化安[2018]150號)要求,PFDavg計(jì)算應(yīng)當(dāng)考慮共因失效,共因失效因子β選取可采用GB/T 20438-2017《電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全》規(guī)定的方法、經(jīng)過認(rèn)證的數(shù)據(jù)、利用專家經(jīng)驗(yàn)確定。
典型儀表的設(shè)備β參考值見表2所列。
?
表決架構(gòu)選用的儀表的β值越大,越不利于SIL驗(yàn)證通過,β值與接線獨(dú)立性設(shè)計(jì)及施工也有關(guān)系,表決架構(gòu)的安全儀表電纜的敷設(shè)路徑分開,接線箱的獨(dú)立接線,進(jìn)入SIS的控制器及卡件的獨(dú)立設(shè)計(jì),儀表電源的獨(dú)立設(shè)計(jì),都對降低β值通過SIL驗(yàn)證有一定的幫助。
相關(guān)新聞