重油催化装置安全仪表系统可靠性与安全性分析

高帅，左信，张惠良

（1.中国石油大学（北京），北京102249；2.北京安稳优科技有限公司，北京102200）

在石油／天然气、化工、发电等为代表的过程工业领域，安全仪表系统（SIS）已经广泛应用于不同的工艺或设备防护场合，保护人员、生产设备及环境。由于系统结构、硬件及软件的复杂程度不同、周围环境气候的影响及维护不当等原因，SIS不可避免地存在着一定的安全性问题［1－2］。IEC61508和IEC61511标准颁布后，以安全生命周期为框架，SIS从概念、设计、实施、操作、维护到系统改造等实践活动都有了可依据的标准，从而保证其功能安全。IEC61511［3］建议在SIS工程设计前、安装调试前、操作和维修过程中、修改前和停用前等五处节点进行功能安全评估。笔者结合某公司重油催化装置压缩机组和三机组2套独立的SIS，使用可靠性评估软件Isograph和功能安全评估软件exSILentia，分别对SIS进行可靠性分析和功能安全评估，并讨论SIS在实际运行中如何提高运行可靠性及保证其功能安全的措施。

1 SIS的可靠性分析与功能安全评估

可靠性和安全性理论及工程研究是建立在概率和统计理论基础之上，但要成功评价一个系统的可靠性，需要了解系统中所使用的元件、元件的失效模式及其对系统的影响、系统失效模式和系统环境中失效应力的来源［3－5］。通过对过程控制系统失效的原因分析，根据IEC61508及IEC61511标准，笔者把对系统结构的划分和安全功能回路的辨析两部分相结合，既从系统结构入手，定性的讨论其可靠性，又从功能安全回路SIL核算入手，定量地讨论其安全性，最后结合两方面的结果给出整改意见。具体流程如图1所示。

1.1 SIS的故障树分析

故障树分析FTA（Fault Tree Analysis）是采用逻辑符号，并用可靠性框图（Reliability Block Diagram）的方式将逻辑门按照发生的逻辑条件连接起来，形成树状结构［6］。笔者采用故障树分析故障传递的路径，对SIS关键环节进行详细分析。

1.8 Mt／a重油催化装置是某石化分公司的关键装置之一，其运行的平稳性和可靠性不仅影响该装置的经济效益，同时还影响其他装置的运行平稳性（其为气分装置提供原料，而气分装置又为聚丙烯提供原料）［5］，因而对装置生产的可靠性和安全性要求很高。

对重催装置SIS现场的调研和从现场收集的资料进行分析，找出可能存在的故障事件，并根据其故障事件所引起的故障表现，从系统级的角度，分别对SIS主控系统、SIS工程师站、SIS操作员站三大块对其进行定性的可靠性分析。

主控系统是SIS控制系统的关键部分，该装置SIS主控系统均采用Tricon TS3000系统，主要由控制器MP，I／O模块，TCM模块以及电源模块构成。由I／O模件通过安全栅与现场仪表相连，采集现场数据，并直接实现对生产系统的联锁保护。通过Isograph软件对SIS进行故障树分析，首先找出直接导致顶事件发生的各种可能因素或因素组合，这些因素包括功能故障、部件不良、程序错误、人为错误、环境影响等，而后再找出第一步中各因素的直接原因。按此方法逐级向下演绎，直到找出各个基本事件为止［7］。本文从系统级的角度，以SIS故障作为顶事件，分别分成主控系统故障、工程师站故障以及操作员站故障。主控系统故障又分成系统硬件失效、系统软件失效、通信运行失效、电源失效和接地失效。再将每个失效因素细分至各故障基本事件。工程师站和操作员站按照同样的思路进行分析，最终得到的某重油催化装置SIS的故障树包含了一个顶事件、71个中间失效事件和125个基本事件，该故障树还表达了失效事件之间的逻辑关系。经过综合分析发现，导致SIS主控系统、工程师站和操作员站故障的主要原因见表1所列，在日常运行以及维护中应着重考虑。

表1 导致SIS各系统故障的各部件失效原因

1.2 SIL核算与评估

笔者对某重油催化用SIS的功能安全进行分析，主要是对SIL等级进行核算与评估，具体分析步骤如下：

a）根据已有的联锁逻辑，识别出包括在联锁逻辑中的各SIF回路。

续 表1

b）针对每个SIF回路，确定其回路中的设备，包括传感器、逻辑控制器、最终执行元件，还包括回路中的辅助设备，如安全栅、继电器等。

c）针对每个SIF回路中的设备，选择数据源确定失效率λ。失效数据大部分来自exSILentia软件中嵌入的美国EXIDA公司的《Safety Equipment Reliability Handbook》失效数据库［8］。exSILentia能够提供完整的SIL选择、安全要求规范和SIL验证，其结合了厂商设备相关数据，包括了几百个传感器、逻辑解算器和执行器产品［9］。其余数据来自仪表供货商提供的可靠性数据、英国ESC公司的Failure Rate Database以及OREDA数据库。

d）使用exSILentia软件完成最终的SIL等级的计算。

e）将计算结果与目标值进行比较，确定是否满足要求，若不满足要求，则提出改进措施。

以某气压机转速保护控制回路为例，气压机转速（传感器SI001，SI002，SI003“三取二”）大于9 425r／min时，SIS将执行联锁动作——气压机组停机：停汽轮机电磁阀cSCV2222，至放火炬DG300阀cPC1201B，富气入口调节阀回零vHC1501，富气出口调节阀回零vHC1502。按照上文提到的分析步骤，通过exSILentia软件的使用，得到该功能安全回路的各单元功能安全参数表2以及SIF回路的功能参数表3，各个元件对PFDavg和MTTFS的贡献率如图2所示。

图2 各个元件对PFDavg和MTTFS的贡献率（2009exida.com.L.L.C.）

表2 SIF回路各单元功能安全参数

表3 SIF回路功能安全参数

从表2和表3可以看出，虽然传感器和逻辑控制器单元的SIL分别为2级和3级，但整体回路的SIL仅为1级。该回路的风险降低因子RRF为18，结构约束条件下的SIL也为1级。从图2可以看出，SIS中的主控单元（Tricon系统）安全度等级较高，而检测仪表和执行机构则相对较小。因此，检测仪表和执行机构是SIS中的薄弱环节。图2中传感器对MTTFS的贡献率较PFDavg而言有所提升，这说明该SIF回路中的传感器对误停车的影响比对功能安全的影响更大。

该装置的2套SIS在1998年投用之初，并没有按照IEC61508和IEC61511的规定进行安全生命周期中的评估和定级，即使是2005年和2009年的SIS升级改造也并没有涉及相关内容。因此，在该次评估过程中，需要根据现有实际装置工艺配置和安全设备配备情况，重新确定SIS及SIF安全功能回路的SIL等级要求。笔者根据重油催化装置SIS联锁逻辑图，分解出不同的SIF安全仪表功能回路，综合考虑危险发生的可能性和危险发生后的危害程度，采用风险矩阵法［10］，结合现场工艺人员和专家经验，确定每一个SIF回路要求的SIL等级。项目中2套SIS的SIF回路确定的初步SIL等级主要集中在SIL1及SIL2级，一些关键的涉及重大安全隐患的回路设为SIL3级。将使用exSILentia软件计算出来的SIL等级与设定级数进行比较，得到表4的结果，企业需对未达标的SIF回路进行改进之后再次进行SIL核算直到完全符合标准。

表4 SIL评估结果统计

2 提高在役SIS运行可靠性的关键措施

2.1 建立和完善SIS运行维护管理制度

a）加强SIS的管理与维护是系统安全运行的保证。建议制订检修、运行和调试规程，将需要修改的内容和措施形成文件，如量程修改、联锁修改或增加测点等。

b）进一步完善控制操作室的管理制度，制定UPS电源定期试验制度、工程师站及操作员站程序更改审批制度等，在细节方面应做明确规定，如显示器、UPS电池等耗材的管理。

c）建立报警管理机制，各种硬件、软件报警要及时进行分类整理、汇总，各种冗余的硬件切换要能及时通知相关人员。

2.2 完善SIS功能安全管理规范

a）建议建立SIS定期检验测试规程，结合企业实际生产情况对测试时间间隔、测试范围、测试方法、测试用例、测试评判标准以及测试存在问题的处理方法进行规定。

b）建立SIS维护、修改的可追溯性文档，包括：申请提出，功能评估，批准、实施、确认等相关文档。

c）建立SIS操作员和维护人员的技能和安全知识的培训，并评估他们的培训是否充分，并建立可追溯性记录文档。

d）完善检验测试结果的可追溯性文档。

2.3 安全功能回路整改

通过exSILentia软件对功能安全回路SIL等级的核算，建议对重油催化2套SIS未达标的11个SIF回路进行整改，具体方法如下：

a）在SIS联锁回路可靠性降到最低限以前，应及时维护或更换新仪表、执行机构。

b）当SIF回路的SIL等级不达标时，由于执行单元是整个SIF回路的薄弱环节，可以尝试调整该回路中执行单元的检验周期，再进行SIL核算。

c）增加安全仪表检测手段，提高故障检测覆盖率。

d）若系统冗余结构裕度不达标，则需要通过功能安全管理相关规定，调整该回路的冗余结构或在影响其SIL等级的部分，如检测机构或执行机构更换SIL等级更高的仪表来满足SIL等级的需求。

e）重油催化装置已经运行数年，积累了装置运行经验与风险认识，建议进行一次装置生产的过程危险与风险评估，使得SIS的SIL符合当前的安全生产要求。

3 结束语

随着工业规模的不断扩大，SIS的可靠性和安全性对于化工企业的安全生产至关重要。将IEC61508及IEC61511运用到实际的SIS工程实践中，并不是一蹴而就的事情，在SIS工程实践中，还有许多方面的工作要做。笔者一方面利用Isograph故障树软件，通过对重油催化SIS进行可靠性分析，找到SIS失效的各种原因及逻辑关系，得出SIS中应维护的环节及元件内容；另一方面，使用exSILentia软件对SIF回路进行SIL评估。最后综合可靠性分析与SIL等级核算，对重油催化在用SIS提出维护及整改建议，对提高SIS的可靠性、充分发挥SIS的功能安全具有现实意义。

［1］ 刘建侯.石化工业仪表安全系统安全生命周期要求和安全完整性等级的评估［J］.石油化工自动化.2007，43（02）：1－4.

［2］ 王秉义，张惠良，左信.SIS安全联锁功能可用性分析［J］.石油化工自动化.2012，48（01）：13－17.

［3］ IEC.IEC 61511－1～3Functional Safety－safety Instrumented Systems for the Process Industry Sector［S］.IEC，2004.

［4］ IEC.IEC 61508－1～6Functional Safety of Electrical／Electronic／Programmable Electronic Safety－related Systems，International Electrotechnical Commission［S］.IEC，2000.

［5］ ISA.ISA－TR 84.00.0—2002Safety Instrumented Functions（SIF）－Safety Integrity Level（SIL）Evaluation Techniques［S］.The Instrumentation System and Automation Society，2002.

［6］ 曹晋华.GB 7829—87电工电子产品可靠性与维修性标准：故障树分析程序［S］.北京：中国标准出版社，1987.

［7］ 阳宪惠，郭海涛.安全仪表系统的功能安全［M］.北京：清华大学出版社，2007.

［8］ Exida.Safety Equipment Reliability Handbook－3rd Edition［M］.Exida.com LLC，2007.

［9］ 华镕.安全相关的标准，评估和认证机构［J］.仪器仪表标准化与计量，2008（02）：20－23.

［10］ 李树清，颜智，段瑜.风险矩阵法在危险有害因素分级中的应用［J］.中国安全科学学报，2010，20（04）：83－87.