安全仪表系统功能安全评估方法探讨

安全仪表系统功能安全评估方法探讨

王晶

中国石油哈尔滨石化公司 黑龙江哈尔滨 150056

摘要：安全仪表系统是对装置或设备可能发生的危险采取的紧急措施，并对可能进一步恶化的状态进行及时响应，使其进入一个预定义的安全停车工况，从而使危险和损失降到最低程度，保证生产设备、环境和人员安全。本文主要介绍了安全仪表系统的组成和功能，并概述了其评估定级及验算方法。

关键词：安全仪表系统;功能安全评估;平均失效概率

引言

安全仪表系统的设计、安装、调试、操作、维护可能会因为存在人为失误等原因,影响系统的功能安全,若不及时发现会导致失效,造成安全隐患。功能安全评估是为了调查和判断安全仪表系统是否充分实现功能安全,通常是在验证、确认和功能安全审核之外进行的。

1 SIS系统功能安全评估现状

SIS系统功能安全评估包括安全完整性等级(safety integrity level,SIL)定级和安全完整性等级验证。在IEC61508中，安全仪表系统共有4级，即SIL1～SIL4，可靠性越高对应的安全完整性等级越高，SIS系统的危险失效的概率越低。在功能安全的国际标准方面，国际电工委员会(International Electrotechnical Commission，IEC)制定了IEC61508和IEC61511，分别介绍了安全相关系统及其在流程工业的应用，此两项标准已被熟练应用于各行业。在功能安全的国内标准方面，制定了GB/T20438《电气/电子/可编程电子安全相关系统的功能安全》和GB/T21109《过程工业领域安全仪表系统的功能安全》，同等采标IEC61508和IEC61511，用于指导国内SIS功能安全评估工作，政府部门也先后发布多个文件推动安全仪表系统评估工作。SIL定级评估是通过半定量的分析方法对事故场景进行半定量的风险评估，结合某种确定或预期的风险可接受标准来确定相关SIF回路应承担的风险降低程度，即目标风险降低因子，从而完成SIL定级工作。目前应用较多的SIL定级方法有风险矩阵法、风险图法、修正风险图表法、事件树法、保护层分析法等。SIL验证评估是通过计算SIF回路的要求时失效概率(PFD)来确定被评估的SIS系统配置情况能否满足设计的安全完整性等级要求。计算要求时失效概率的方法有可靠性框图法、故障树法和马尔可夫模型(Markovmodels)，其中马尔可夫模型可以灵活反映系统不同状态的转移过程，这种建模过程与SIS系统的可维修性和可靠性高度匹配，但是要进行转换图建模和转移矩阵计算，其模型复杂，计算量大，因此需要计算软件辅助。

2功能安全评估应完成的主要任务

(1)通过危险与可操作分析(HAZOP)确定的安全仪表系统的功能是否满足风险降低要求。(2)SIS系统的设计(《安全设施设计专篇》)包括LOPA定级,是否满足规范、标准要求。(3)获取各安全功能回路的结构配置、操作模式、检验测试间隔、安全生命周期等信息和组成SIS系统软、硬件的技术数据。(4)对各SIF回路的SIL等级进行验证。(5)现场的应用软件、逻辑组态是否满足设计要求。(6)给出安全仪表系统功能安全评估结论并提出合理的建议措施。

3安全完整性等级（SIL）确定方法

定量的方法有故障树、事件树、保护层分析（LOPA）等计算方法。现最常用的定级方法是LOPA分析，其步骤如下：（1）确定项目或企业可接受的风险标准（或依照企业的风险矩阵），得出可容忍区域。（2）在获得的HAZOP分析报告的基础上，根据HAZOP分析报告的结果，筛选待评估场景及后果（对人员、财产、环境的影响）。（3）识别初始事件，确定发生概率。（4）根据独立保护层原则识别独立保护层，评估PFD，计算场景风险，得出各个SIF（安全功能）回路的SIL级别。

4安全仪表系统功能安全评估方法

4.1确定目标系统中单点资产的安全评价值

可通过以下步骤确定目标系统中单点资产的安全评价值。a)收集目标系统中单点资产的数字资产信息,包括:品牌型号、硬件固件、协议、软件、操作系统的名称、操作系统的版本号、操作系统的补丁号。b)获取公开漏洞数据库中的漏洞信息,具体来说,确定选用的公开漏洞数据库,获取完整的信息数据,以作为资产与漏洞识别的依据。公开漏洞数据库包含但不限于美国国家漏洞数据库(NVD)、中国科学院研究生院国家计算机网络入侵防范中心开发的安全漏洞数据库等。c)进行所述数字资产信息与所述漏洞信息的匹配,得到单点资产的安全评价值。具体来说,结合公开漏洞数据库与目标系统中的资产进行数据匹配,采用CVSS取得单点资产的安全评价值(O-verallCVSSScore)。

4.2以单点资产为节点,构建单点资产间的物理结构关系图和网络拓扑关系图

画出节点间的物理结构关系图和网络拓扑关系图,并把每个节点的安全评估值标注在图上。 物理结构关系图和网络拓扑关系图为计算机可读形式,具备可视化特点。其中,节点连接线的逻辑连接关系包含:第一逻辑连接关系(或“or”) 以及第二逻辑连接关系(与“and”),第一逻辑连接关系表明节点间无关联关系,第二逻辑连接关系表明节点间有关联关系。

4.3安全仪表系统改造内容

本次改造增设1套安全仪表系统，独立于库区工艺操作PLC系统，正常工作情况下对1#、2#罐组共14台储罐的液位情况进行不间断监控，判断储罐的操作情况及风险状态并预警，通过自动或手动方式实现储罐进、出液阀门的开关，进而防止或降低风险事故的发生，减少人员伤害或经济损失。新增安全仪表系统满足以下要求：(1)新增安全仪表系统(SIS)用于执行安全联锁保护、紧急停车系统及关键设备联锁保护；(2)本次改造采用和利时科技集团有限公司研发的HiaGuard安全仪表系统，具备TUV莱茵SIL3/SC3级认证；(3)安全仪表系统采用三取二带诊断架构(2oo3D)，并允许3—2—0降级运行；(4)安全仪表系统的I/O模块采用TMR冗余容错架构，供电(1+1)、通讯模块、I/O模块可冗余配置；(5)具备事件记录(SOE)及历史数据存储功能。

4.4注意事项

根据IEC61511保护层分析方法 (LOPA)，安全仪表系统位于“本质安全设计” “BPCS连续调节维持正常范围联锁动作”“关键报警和人员响应”之后，处于保护层的第四层，在实际应用过程中以开启状态为主。为避免阀门设备因故障失灵对生产工艺造成影响，故在日常操作过程中要定期校验和维护：(1) 改造安全设计采用“1oo1”的表决结构，定期对执行器、传感器子系统进行检修，保证安全仪表系统的完整、完好，避免故障-关闭行为导致憋压等安全隐患；(2) 定期对切断阀进行启闭操作，避免紧急切断阀长期处于开启状态，造成复位弹簧过疲劳，进而造成阀门关闭不严；(3) 加强对操作人员的培训和演练，提高操作人员的故障维修和应急处置能力。

结语

对安全仪表系统进行功能安全评估,可以表明安全仪表系统所预定的功能是否得到了有效的实施,还可以确保安全仪表功能是否满足了生产过程风险降低的要求,以及是否能够或在多大程度上保护人身和设备安全。

参考文献

[1]钱钧,魏利军,李少鹏.安全仪表系统等级划分与HAZOP分析的结合应用[J].中国安全生产科学技术,2009.5.

[2]方向荣.石化装置安全联锁系统(SIS)常用评估方法探讨[J].广州化工,2010,38(1).

[3]赵庆贤.基于HAZOP方法的加氢工艺自动化安全控制[J].中国安全科学学报,2010,(12).