安全仪表系统的SIL等级和冗余要求

中国石油管道局工程有限公司国际事业部，河北 廊坊

1.引言

2019 年12 月9 日，国家石油天然气管网集团有限公司(简称国家管网公司)在北京正式成立，预计国内油气管网建设将再次掀起建设高峰。目前我国累计建设的油气长输管道里程已经达13.6 万公里，油气管道总里程在2020 年将超过15 万公里。随着我国油气管道里程的不断增长，油气管道的安全运行也越来越受到国家的重视，目前，油气管道建设上普遍采用安全仪表系统实现安全保护功能或安全控制功能，安全仪表系统的设计也已经实现规范化，其中，安全完整性等级(SIL)是安全仪表系统的一个重要指标[1]。

中国于2007 年依据IEC 61508 和IEC 61511 发布了GB/T 20438-2006《电气/电子/可编程电子安全相关系统的功能安全》和GB/T 21109-2007《过程工业领域安全仪表系统的功能安全》，是国内安全仪表系统SIL 评估工作的依据[2]。近年来，石油化工行业通常要求对工艺仪表流程图进行HAZOP (危险与可操作性分析Hazard and Operability Study)定性分析和LOPA (保护层分析Layer of Protection Analysis)半定量分析，从而确定重大风险的SIL 等级，然后选择设备，选择子系统的冗余结构，验证SIL 等级是否符合要求，完成仪表 SIL 等级设计[3]。

同时，国内标准GB/T50770-2013《石油化工安全仪表系统设计规范》，GB/T32202-2015《油气管道安全仪表系统的功能安全评估规范》，GB/T32203-2015《油气管道安全仪表系统的功能安全验收规范》，对于安全仪表系统的设计、评价有着非常重要的指导作用[4]，这些标准对安全仪表系统不同SIL 等级的子元件冗余设置做了对应要求，并在油气管道行业中得到越来越多的应用。

2.SIL 与平均失效概率

安全仪表系统是为防止、减少危险事件发生或保持过程安全状态，实现安全保护或安全控制的控制系统，安全仪表系统主要由测量仪表、逻辑控制器和最终元件三个子部分并配合相应的软件组成[5]。通常，各部分均应采用具有相应SIL 等级认证的设备[6]。

SIL 等级是一种量化预期或要求的安全水平的分级方式，即在一定时间、一定条件下，安全相关系统执行期所规定的安全功能的可能性。选择安全完整性水平的目的是通过降低风险发生的概率，把系统的风险降低到可以接受的水平。国际标准中常由每小时发生的平均失效概率(PFDavg)来确定，共分为SIL1到SIL4 这四个等级，SIL 等级级别越高要求其危险失效概率越低，系统的SIL 等级可以通过IEC61508和IEC61511 来进行SIL 验证。其中，SIL 等级与平均失效概率之间的对应关系见表1。

Table 1.Safety integrity level requirements in low requirement operation mode表1.SIL 等级与平均失效概率对应表

安全仪表系统安全功能的平均失效概率，是通过计算和组合提供安全功能的所有子系统在要求时间的平均失效概率通过公式(1)中计算确定的，公式可以表示为：

式中：

PFDSYS：安全仪表系统的安全功能在要求时的平均失效概率；

PFDS：测量仪表子系统要求的平均失效概率；

PFDL：逻辑控制器子系统要求的平均失效概率；

PFDFE：最终元件子系统要求的平均失效概率[7]。

由此可以看出，安全仪表系统中某个安全仪表回路的SIL 等级由各子部分SIL 等级的最低级所限定，如果三个部分中最低的SIL 等级为SIL2，即使其他两个部分的SIL 等级均为SIL3，则整个回路的SIL 等级是SIL2 或甚至SIL1。

需要注意的是，平均失效概率是安全仪表系统SIL 等级的重要指标，但并不是唯一的衡量指标，对安全仪表系统的指标要求还有其他3 个要求：硬件故障裕度要求、系统失效避免及控制要求和软件要求，需要也达到这3 个要求，才能认为安全仪表回路满足了对应的SIL 等级要求。

其中，系统失效避免及控制要求是一个原则性要求，要求安全仪表系统选用的设备具备对应的系统失效避免及控制方法[8]。系统失效是由其他原因而非性能自然退化导致的失效，系统失效起因可归结为3 类：

1) 应力失效：元件在正常操作中超过了设计允许条件，导致应力超限的系统失效；

2) 设计失效：系统在投产之前的设计、生产、购买或安装中出现失误导致的系统失效；

3) 运行失效：系统在投产后，运行人员在设备保养维护、维修测试中，运行人员出现工作失误导致的系统失效。

对于系统失效避免及控制要求，我们可以通过严守设计流程、选用带SIL 认证设备、制定合理运维章程或提高人员工作水平来控制设计生产、购买安装、保养维护、维修测试等可能出现的问题，从而避免系统失效。

软件要求也是一个原则性要求，相对比较简单，需要软件的编译环境为对应SIL 等级的编译程序的软件、固件，并对编译程序的管控、测试进行对应的强化。

安全仪表回路的这2 种要求均为原则性指标，在本文中不再多加论述，下面将着重对硬件故障裕度要求进行探讨。

3.SIL 与硬件故障裕度要求

硬件故障裕度要求为半定量要求，取决于安全仪表回路的安全失效分数(SFF)，是对元件冗余的最低要求，即某回路的PFD avg 符合该回路的SIL 需求，但是如果组成该回路的硬件不能满足硬件故障裕度要求，该回路也不符合SIL 的要求。IEC 61508-2-2010 中对逻辑控制器的硬件故障裕度要求见表2 [9]。

Table 2.Safety integrity level requirements in low requirement operation mode表2.逻辑控制器的硬件故障裕度要求

表2 指明了安全仪表回路中逻辑控制器的硬件结构构成方式是否需要采用硬件冗余，根据逻辑控制器的安全失效分数，找到对应的行即可确定对应SIL 等级的硬件故障裕度，即需要多少数量的冗余设备。

可以看出，相应的SIL 等级的逻辑控制器对应着相应的硬件故障裕度，即相应的冗余设备数量，同时，增加安全仪表回路中某子部分的硬件故障裕度可以提升该子部分的SIL 等级[10]-[16]。

4.国内安全仪表系统逻辑控制器冗余要求

目前国内常用的GB/T 50770-2013《石油化工安全仪表系统设计规范》，规定石油化工工厂或装置的SIL 等级最高为SIL3 级。规范中对逻辑控制器的冗余设置要求为：SIL1 级安全仪表功能，可采用冗余逻辑控制器；SIL2 级安全仪表功能，宜采用冗余逻辑控制器；SIL3 级安全仪表功能，应采用冗余逻辑控制器。

同时，在国内某管道行业设计单位的油气管道行业安全仪表系统技术规格书中，对逻辑控制单元的冗余设置的准则为：对于SIL1 级安全仪表系统，可采用单一的逻辑控制单元；对于SIL2 级安全仪表系统，宜采用冗余的逻辑控制单元。如采用可编程逻辑控制器，其中央处理单元、电源模块及通讯网络与接口等宜冗余设置；对于SIL3 级安全仪表系统，应采用冗余的逻辑控制单元。如采用可编程序逻辑控制器，其中央处理单元、电源模块、输入/输出模块及通讯网络与接口等应冗余设置。

根据表2，SIL1～SIL3 级的逻辑控制器冗余要求解释如下：

一般来说，逻辑控制器的SFF 应为90%～99%。SIL1 级要求的硬件故障裕度为0，用1 台逻辑控制器即可满足，所以技术规格书规定SIL1 级的安全仪表回路可采用单一的逻辑控制器；即使逻辑控制器的SFF <90%，SIL1 级的安全仪表回路也可以采用单一的逻辑控制器。

SIL2 级要求的硬件故障裕度为0，SIL2 级安全仪表回路可以用1 台逻辑控制器，所以技术规格书规定SIL2 级的安全仪表回路宜采用冗余的逻辑控制器，并没有强制要求逻辑控制器冗余。

SIL3 级要求的硬件故障裕度为1，因此技术规格书规定SIL3 级的安全仪表回路应采用冗余的逻辑控制器，在此处有强制要求逻辑控制器冗余。

5.阿美公司ESD 系统逻辑控制器冗余和SIL 要求

阿美公司的ESD 系统技术规格标准中，要求供应商制造的由模块、操作系统软件和固件组成的ESD设备应符合IEC 61508 的SIL3 等级要求，甚至通信介质(例如：光缆)应为物理和逻辑的专用设备，不得用于其他非ESD 功能，且不可以包括其他非ESD 网络的桥接、路由器或交换机，除非它们是TUV 认证的SIL3 安全通信网络的一部分。并且要求ESD 系统必须使用冗余体系结构进行配置，即双模块冗余DMR-ESD (1oo2D)表决架构或三模块冗余TMR-ESD (2oo3)表决架构。

双模块冗余(1oo2D 配置)：ESD 系统使用两个单独的处理器，每个处理器具有自己的单独的I/O 模块，总线结构，机箱，软件和电源，以1oo2 布置对输入信号进行表决。

三重模块化冗余ESD (TMR，2oo3 配置)：TMR 配置的ESD 系统采用3 个处理器，这些处理器与三重I/O，总线结构，机箱和软件并行运行，每个处理器同时且独立地执行其各自的应用程序，验证数据，执行逻辑指令，控制计算，时钟和表决器/同步信号以及执行全面的系统诊断和差异监控。流程输出通过三重路径发送到输出模块，在此处对其进行表决(2oo3)，以确保逻辑和输出完整性。

因此，阿美公司ESD 系统标准的控制模块冗余设置只有两种选择，即双模卡冗余和三重模块冗余，对比来讲，1oo2 结构可靠性最高，可用性最差，2oo3 结构可用性最好，可靠性较高，并且要求ESD 系统相关设备均符合SIL3 等级要求。

6.结束语

我们可以看到，平均失效概率是衡量安全完整性等级的重要指标，相应的安全完整性等级对应着相应的硬件故障裕度，国内常用规范对相应SIL 等级安全仪表系统的逻辑控制器冗余做了要求。

同时，阿美公司的ESD 系统逻辑控制模块冗余和SIL 等级要求明显是高于国内规范要求的，同时也高于国际标准要求，这固然提高了ESD 系统的安全性，但也给工程建设带来了较高的成本，这需要国内工程承包商在承接阿美公司项目时，对ESD 系统的SIL 等级要求以及相关的冗余体系进行足够的重视和注意。