SIS系统安全完整性等级的定级与验证方法探析

SIS系统安全完整性等级的定级与验证方法探析

罗国柱刘颖

(中蓝长化工程科技有限公司湖南长沙410117)

摘要：由于当今工业的高度发展，整个工业过程是在一种高复杂性、高强度的环境下进行的，人身、设备及生产过程的安全可靠性已经成为工业现场最为重要的议题之一。因此，基于电气/电子/可编程电子（E/EE/PES）的安全仪表系统（SIS）作为安全保护装置被广泛地应用于化工、石油等过程工业中。本文将对SIS系统安全完整性等级的定级与验证方法进行分析。

关键词：SIS系统；安全完整性；等级；验证

当前过程工业控制领域的自动化控制水平越来越高，同时对过程设备或装置的安全性、可靠性的要求也逐步提高，于是安全仪表系统（SIS）应运而生。SIS系统可以独立于过程控制系统而单独存在[1]。SIS系统的存在解决了过程工业控制各行各业（包括石油、化工、电力、冶金等）对安全功能的要求，提高了过程装备的安全性，减少了人员的伤害和设备的损失。各个控制系统制造商大都推出了自己的SIS系统，包括：Honeywell公司的FSC/SafetyManager系统、HIMA公司的PES系统、Triconex公司的Tricon系统、YOKOGAWA公司的ProSafe-PLC等。

一、SIS系统的基本特点

在石油化工过程工业领域，安全仪表系统（SafetyInstrumentedSystem，SIS）已经广泛应用于不同的工艺或设备防护场合，用来保护人员、生产设备及环境。SIS系统独立于DSC之外独立存在。DSC用于生产过程中的连续测量，常规控制、操作控制管理，保证生产装置平稳运行。SIS用于监视生产装置的运行状态，对出现异常工况迅速进行处理，使危害降到最低，使人员和生产装置处于安全状态。换句话说：“DCS为了控制，SIS为了保护”[2]。一套完整的SIS系统由传感器、控制器和终端执行器构成。SIS系统由不同组SIF（SafetyInstrumentedFunction）安全仪表功能回路组成。同一套仪表硬件回路，可能会同时构成多个SIF回路。每个SIF回路都有自己的SIL（SafetyIntegratedLevel）等级。

（一）安全完整性等级

安全完整性指在规定的条件和时间内，安全仪表系统完成安全仪表功能的平均概率。安全完整性等级由低到高可分为SIL1、SIL2、SIL3、SIL4。SIL1级每年故障危险的平均概率为0.1~0.01之间；SIL2级每年故障危险的平均概率为0.01~0.001之间；SIL3级每年故障危险的平均概率为0.001~0.0001之间。SIL4级每年故障危险的平均概率为0.0001~0.00001之间安全完整性等级评估方法应根据工艺过程复杂程度、国家现行标准、风险特性和降低风险的方法、人员经验等确定。主要方法应包括保护层分析法、风险矩阵法、校正的风险图法、经验法及其他方法。安全仪表系统的工程设计应兼顾可靠性、可用性、可维护性、可追溯性和经济性，应防止设计不足或过度设计，石油化工厂的安全完整性等级不应高于SIL3。

（二）多重冗余系统及自诊断能力

SIS一般采用多重冗余结构以提高系统的硬件故障裕度，单一故障不会导致SIS安全功能丧失。SIS的安全完整性要求还包括避免失效的要求和系统故障控制的要求，同时，构成系统的各个部件均需明确故障诊断措施和失效后的行为。系统整体诊断覆盖率达到90%以上，能够检测并预防潜在的危险。SIS的硬件具有高度可靠性，能承受大多数环境应力，如抗电磁干扰等，从而可以较好适应于各种工艺环境[3]。

（三）响应速度快

从输入变化到输出变化的响应时间一般在10~50ms左右，为了更好地进行事故分析和事后追溯，SIS具有事件顺序记录SOE（SequenceofEvents）功能，即可按时间顺序记录各个指定输入、输出及状态变量的变化时间，记录精度精确到毫秒级。

二、SIS系统安全完整性等级的定级

基于很多典型的事故案例分析，表明了绝大多数事故的发生都与安全仪表系统（SIS）的设置有关，尽管大多数的石油化工装置均安装了一系列安全相关的仪表，当针对SIS设置的唯一性、合理性、有效性等条件出现问题时，SIS将失去作用，从而会造成灾难性事故的发生。因此，在石油化工企业中开展针对安全仪表功能（SIF）的安全完整性等级（SIL）评估工作，从而合理并有效地设置SIS，保障石油化工装置的安全运行，已经逐渐成为目前迫切需要解决的问题。

SIS是保证正常生产和人身、设备安全的必不可少的措施，如今已逐步发展成为工业自动化的一个重要组成部分。整个系统主要包括现场传感器、逻辑运算器和最终执行元件，可以检测生产过程中出现的或者潜伏的危险，并及时发出警告信息或直接执行相应的预定程序，从而有效地防止事故的发生，降低了事故带来的危害及其影响[4]。

SIL是功能安全等级的一种划分，由每小时发生的危险失效概率来区分。按照IEC61511的规定，SIL划分为4级，即SIL1～SIL4。SIF的SIL应该达到哪个等级，应由具体的风险分析确定，即通过分析风险后果严重程度、风险暴露时间和频率、不能避开风险的概率、不期望事件发生概率这4个因素综合得出。级别越高，要求其危险失效概率越低。由于石油化工装置长周期运行及生产能耗的特殊性，设备及系统的故障极易引发一系列环境破坏、事故爆炸和人员伤亡等灾难，故基于SIL评估的结果，针对性地根据预期损害来选择配备相应设备的安全有效性极为重要。

三、SIS系统安全完整性等级的验证方法

（一）故障树法

故障树分析是一种常用的安全仪表系统可靠性的评估方法，它是一种图形方法，因此具有形象、直观的特点。故障树法是根据布尔逻辑用图表示系统特定故障间的相互关系，推理分析故障发生的基本原因，然后建立从结果到原因描述故障的有向逻辑图。

如果通道发生未检测到的或检测到的危险失效，系统将发生危险失效。当通道的失效率很小时，系统的要求时失效概率（PFD）可近似如下[5]：

（二）可靠性框图法

可靠性框图（ReliabilityBlockDiagram）是系统可靠性分析的重要工具之一，它用逻辑框图的方式将设备的各个组成部分的故障之间的逻辑关系表示出来，分析系统中每一个成分的失效率对系统的影响，以帮助评估系统的整体可靠性。

（三）马尔科夫模型法

在实际中有很多系统并不是静止不动的，而是做随机运动的，系统不断改变着自己的状态[6]。马尔可夫模型就是描述此类系统的工具。其基本思想就是事物的变动是随机的，变动的结果具有无后效性。安全仪表系统正好符合这种特征，由于安全仪表系统具有周期性的功能测试和维修的特点，求解稳态PFD平均值并不合适，而求解离散时间上的PFD平均值则会更加准确。因此在验证安全完整性等级时比较适合使用离散时间的马尔科夫模型。

结论

SIL技术的定量安全评估为装置的联锁回路优化改进起到了重要的指导作用，合理并有效地设置安全的仪表设备与系统的应用，可以实现仪表设备与系统的功能安全，对于提升企业的安全水平及提高企业的经济效益具有重要的促进作用，更加能够有效地保障石油化工装置生产运行的整体安全性。

参考文献：

[1]王琦，石勇.机车网络控制系统安全完整性研究与评估[J].内燃机与配件，2018（04）：211-213.

[2]髙继实，潘辉.安全仪表系统SIL定级的意义[J].化工设计通讯，2017，43（09）：124.

[3]孙军，胡彬，于盟.SIS系统安全完整性等级的定量计算与评估[J].中国仪器仪表，2017（09）：55-59.

[4]刘彦昌，陈鑫.硫磺回收装置安全仪表系统安全完整性等级评估研究[J].山东化工，2017，46（18）：123-124.

[5]崔科，董德存.列车组合测速系统安全完整性分析[J].城市轨道交通研究，2017，20（07）：56-57.

[6]程滨.炼化装置安全仪表系统设计与改进建议研究[J].中国石油石化，2017（04）：35-36.