安全仪表功能的安全完整性等级选择与验证方法①

贾英超

(中海油惠州石化有限公司)

安全仪表功能的安全完整性等级选择与验证方法①

贾英超

(中海油惠州石化有限公司)

结合IEC61508、IEC61511和相关资料，介绍安全仪表系统(SIS)、安全仪表功能(SIF)和安全完整性等级(SIL)之间的关系，并就如何对在役安全仪表系统开展安全仪表功能识别，安全仪表功能的安全完整性等级选择与验证进行了阐述。

安全仪表功能 安全完整性等级 结构约束 要求时的平均失效概率 系统能力

我国目前有大量在役的安全仪表系统(SIS)，由于早期的重视程度不足，绝大多数存在着功能设计不合理、选型不当及维护不到位等情况。国家安全监管总局的安监总管三(2014)116号文件《国家安全监管总局关于加强化工安全仪表系统管理的指导意见》明确了在役装置SIS的管理方向和目标，要求在2019年年底前完成安全仪表系统评估和完善工作。在役SIS可以在HAZOP分析的基础上利用保护层分析(Layer of Protection Analysis，LOPA)方法对安全仪表功能(SIF)进行识别，并结合相关有效数据进行计算验证，确保安全完整性等级(SIL)能够实现必要的风险降低。

1 安全仪表系统与安全仪表功能

IEC61511将SIS定义为用于执行一个或多个安全仪表功能的仪表系统。而SIF被定义为由SIS执行的、具有特定SIL的安全功能，特指由SIS实现的安全功能，用于应对特定的危险事件，达到或保持过程的安全状态。物理结构上由传感器、逻辑控制器和最终元件组成，如图1所示，其最根本的特征是“应对特定的危险事件”并实现必要的风险降低[1]。

根据安全仪表功能失效产生的后果和风险，IEC61511将SIF划分为不同的安全完整性等级(SIL1～SIL4)，但除了极罕见的特殊应用，在过程工业一般的应用场合，SIL3是最高等级。在工程实践中，当过程危险和风险分析确认需要SIL3以上的完整性时，一般是将应对同一危险事件的其他技术安全系统或外部风险减低的绩效提高，从而将对SIF的SIL要求降低到SIL3或以下。

图1 SIF的物理构成

SIF是在过程危险和风险分析中辨识出来的，目前绝大部分在役的装置里，没有现成的SIF列表。但可以依据P&ID图、安全仪表联锁逻辑图、ESD因果图及HAZOP等资料辨识SIF，如图2所示[1]，并根据必要的风险降低要求，确定其SIL要求。因此，SIF是进行SIL评估的基础。

图2 SIF与其他功能的关系

2 SIF的SIL选择方法

SIF的SIL选择方法有很多，有风险矩阵、安全层矩阵、风险图、保护层分析(与HAZOP等配合使用)及事件数分析(ETA)等。保护层分析是通过分析事故场景初始事件(IE)、后果和独立保护层(IPL)，对事故场景进行半定量评估的一种系统方法。目前对于SIF的SIL定级多采用此种方法。

保护层分析是在定性危害分析的基础上，进一步评估保护层的有效性，并进行风险决策的系统方法。其主要目的是确定是否有足够的保护层使风险满足企业的风险标准。LOPA的基本流程(图3)主要包括[2]：场景识别与筛选；初始事件确认；独立保护层评估；场景频率计算；风险评估与决策等。

图3 LOPA基本流程

场景识别和筛选。选择需要定级的SIF，可以通过HAZOP分析结果并结合P&ID图、安全仪表联锁逻辑图等完成识别，正常以后果严重的事件作为场景识别。

选择事故场景。根据识别和筛选的SIF逐个开展分析。

初始事件确认。初始事件一般包括外部事件、设备故障和人员失误。但要注意人员失误的根原因(如培训不完善)、设备的不完善测试及维护等不宜作为IE。

场景频率计算。由两部分组成，一是SIF要求时的失效概率，二是不包括SIF的后果可接受频率。其中不包括SIF时的可接受频率中如果有其他修正条件，也应一并考虑，例如：存在使能事件、采用点火概率、人员暴露及具体伤害等。场景频率为两者的乘积。

风险评估与计算。可根据场景频率计算结果和后果等级，使用定量数值风险标准、风险矩阵等形式进行风险等级评估，进而确定是否可接受。

3 SIL验证

在确定各SIF的SIL后，下一步开展SIL验证。SIF的SIL是将SIF分解为子系统，而一个“子系统”要达到SILn要同时满足硬件安全完整性和系统性安全完整性，包括以下3个方面：结构约束至少要达到SILn；要求时的平均失效概率(PFDavg)要在SILn的范围之内；系统能力(Systematic Capability，SC)至少要达到SCn。

3.1 结构约束

结构约束的安全完整性由两个因素共同决定：一是硬件故障裕度(HFT)，即容错能力，表决从N中取M(MooN)，HFT=N-M，例如：HFT=1，意味着发生一个危险故障不会导致安全功能丧失；二是安全失效分数(SFF)，它是对危险故障预发现能力的一个表量，由安全失效和可被诊断测试检测到的危险失效共同影响,是导致安全失效率和可检测出的危险失效率的总和除以总硬件随机失效率[1]：

式中λDD——可检测出的危险失效率；

λDU——不可检测出的危险失效率；

λSD——可检测出的安全失效率；

λSU——不可检测出的安全失效率。

子系统又分为A型和B型，A型子系统是指结构简单的常用设备，例如阀门、继电器及检测开关等。B型子系统是指结构复杂的，或者采用微处理器技术的设备，例如可编程逻辑控制器、智能变送器等。子系统结构约束见表1。

表1 子系统结构约束

3.2 要求时的平均失效概率

SIF的SIL验证PFDavg计算，一般是基于IEC61508(GB/T 20438.6-2006)附录B中的计算方法，SIF分解为子系统，然后将各子系统的PFDavg相加，再判断其结果落在哪个SIL范围。SIL的计算一般使用专门的软件工具，例如加拿大ACM自动化有限公司的SilCore、德国HIMA的SILence等。安全完整性等级对要求操作模式下的失效概率要求见表2。

表2 安全完整性等级对要求操作模式下的失效概率要求

PFDavg计算所需的设备可靠性数据需要失效率λ或者平均无失效时间(MTTF)、表决机制、诊断覆盖率、检验测试时间间隔(TI)、平均修复时间(MTTR)和公共原因失效(β)6个方面[1]。这些数据可以从日常维护、第三方评估(由认证机构颁发认证证书)、工业数据库或文献以及设备供货商自我评定的数据等方面获取。最理想的数据是认证证书中包含的各个数据。

3.3 系统能力

系统能力是IEC61508 2.0的概念，用来表征一个组件的系统性安全完整性是否符合指定的SIL要求。系统能力体现在软件、设计、安装、使用及维护等遵循安全手册情况。系统能力也分为4个级别，与SIL的4个级别分别对应，为SCl～SC4，即一个组件具有SCn，就代表着其系统性安全完整性满足SILn。这就对制造商提出了更高的技术要求。

SC概念的提出明确地强调了SIL并非只与系统冗余程度和安全参数有关，同时也与避免和控制系统性失效的措施有效性紧密相关[3]。当使用两个或多个具有较低SIL的组件来实现更高SIL时，就必须考虑组合后的系统是否具有足够的SC。如图4所示，假如组件1和组件2之间没有足够的独立性，则系统能力为SC1；若组件1和组件2之间有足够的独立性，即组件1出现系统性故障，不会引起特定的安全功能失效，只有当组件2也出现系统性故障时，才会引起特定的安全功能失效，则系统能力可以提高为SC2。

图4 系统能力示例

相关的系统性失效机理取决于组件的特性，比如一个组件单独由软件构成，则只需考虑软件失效机理；如组件由硬件和软件构成则需要考虑硬件和软件的失效机理。

4 简单示例

在低要求操作模式下一台进料泵出口流量低低联锁关闭出口切断阀的一个SIF，结合HAZOP分析以及分析前建立的安全、环境及财产相关事件的可接受频率等相关资料，采用LOPA分析得出此SIF为SIL1即可满足要求,发生频率均为次/年，此SIF无独立保护层。

SIF等级选择见表3。

表3 SIF等级选择

子系统(图5)为单通道子系统，按照前述步骤开展验证。

图5 子系统结构

4.1 结构约束

传感器子系统。B型子系统，为2oo3结构，HFT=1，根据失效数据计算得到60%

逻辑控制子系统。B型子系统，三重化冗余，参考认证证书，结构约束为SIL3。

最终元件执行子系统。A型子系统，1oo1结构，HFT=0；根据失效数据计算SFF<60%，此SIF为单通道子系统，结构约束为SIL1。

4.2 PFDavg计算

综合TI、MTTR、β及λ等数据，经过软件计算，传感器子系统处于SIL2范围内；逻辑控制子系统处于SIL2范围内；最终元件执行子系统处于SIL1范围内；整个SIF的PFDavg通过PFD子系统求和得到，处于SIL1范围内，故此SIF的PFDavg为SIL1。

4.3 系统能力

依据3.3节的相关介绍，经过综合分析，得到此SIF的系统能力为SC1。由于此SIF是单通道子系统，根据IEC61508的规定，在SIF是由单通道子系统构成时，该SIF最大可能的安全完整性等级取决于链路上具有最小SIL的子系统，此SIF的安全完整性等级为SIL1，满足系统要求。

5 结束语

笔者完整地介绍了对在役安全仪表系统SIF的SIL评估和验证方法，从利用LOPA进行有效SIF识别，到通过结构约束、PFDavg和SC三方面综合验证来确认SIL是否满足要求，为今后安全仪表系统开展SIL评估提供了较为系统的参考。需要注意的是，通常习惯用PFDavg来表征SIF的SIL，但SIF的SIL却不仅仅是PFDavg。对于单个仪表设备，尽管称之为SILn，实际上指的是它具有的SIL能力。

[1] 张建国.安全仪表系统在过程工业中的应用[M].北京：中国电力出版社，2010．

[2] AQ/T 3054-2015，保护层分析(LOPA)方法应用导则[S].北京：煤炭工业出版社，2015.

[3] 周有铮.浅析IEC61508 2.0版对安全仪表系统产品开发提出的新要求[J].中国仪器仪表，2013，(8)：26～29.

SelectionandVerificationMethodforSafetyIntegrityLevelofSafetyInstrumentFunction

JIA Ying-chao
(CNOOCHuizhouPetrochemicalsCompanyLimited)

Basing on IEC61508 and IEC61511 codes and the other information, the relationship among SIS, SIF and SIL was described; and the methods of implementing SIF of the SIS, selecting and verifying SIL of the SIF were expounded.

safety instrument function, safety integrity level, architectural constraints, average probability of failure on demand, system capability

贾英超(1984-),工程师,从事仪表及自动控制的研究和管理工作，jiaych@cnooc.com.cn。

TH862+.7；TP29

A

1000-3932(2017)12-1118-05

2017-08-25)