在役石化装置安全仪表系统SIL验证方法及日常管理的探讨

陈立飞

(中石化上海工程有限公司，上海 200120)

随着国家对石化行业生产安全的日益重视及国内石化行业对安全生命周期认识的不断加强，中国石油化工集团公司于2013年出台了《中国石化安全仪表系统(SIS)安全完整性等级评估管理规定》(中石化安〔2013〕259号文)，规定中明确了安全完整性等级(SIL)评估，包括SIL分级和SIL验证，并规定在役装置SIL评估频次按照《中国石化危险与可操作性分析实施管理规定》的HAZOP分析频次执行，即3年一次。原国家安监总局〔2014〕116号文“加强石化安全仪表系统管理指导意见”，更是明确了新建和在役石化装置进行安全仪表系统功能安全SIL评估的要求，以及实施和完成的时间节点和周期。石化装置安全仪表系统在前期设计与工程阶段固然重要，但后续安全仪表系统的运行维护与管理贯穿了石化装置的整个生命周期，其重要性更是不言而喻。本文针对在役石化装置安全仪表系统提出了SIL验证方法及相应的维护管理思路，并对在役石化装置安全仪表系统SIL验证的必要性及日常管理的重要性进行深入分析。

1 在役石化装置SIL验证

1.1 SIL验证程序

SIL验证是在LOPA分析结果的基础上，根据仪表的可靠性数据，对由安全仪表系统完成的每个安全仪表功能(SIF)回路进行关键回路辨析、子系统结构分析和SIL计算，验证每个SIF回路是否能够满足功能安全的要求，即该保护层所承担的风险降低要求。

SIL验证的基本程序如图1所示。

图1 SIL验证的基本程序示意

1.2 SIL验证基础

1.2.1安全需求规格书(SRS)

SRS是整个安全生命周期中重要的内容之一。SRS要求清楚、精确，应具有可验证、可行和可维护性；能够表达安全生命周期各阶段的信息，这些信息对设计/运维安全仪表系统而言应是足够的。SRS主要内容如下[1-4]：

1)SIF及其SIL等级和操作模式。

2)过程安全状态的定义。

3)检验测试时间间隔。

4)1个安全仪表系统动作设定点至灾难发生的过程安全时间。

5)1个安全仪表系统动作至安全状态的响应时间。

6)旁路(开车、维护、禁止)停机/手动停机及复位。

7)允许的误动作率。

8)其他。

在役石化装置应以SRS作为SIL验证的依据，当SRS中的信息发生变化时，应及时更新相应内容。

1.2.2仪表失效数据的选取

新建石化装置的SIL验证计算一般依据仪表供应商提供的第三方认证机构出具的SIL认证证书中相关的失效数据，据此来鉴定SIL验证计算的结果，确实在一定程度上可作为仪表可靠性的依据。由于受限于第三方认证机构的认证方法，如FMEDA(failure modes effects and diagnostic analysis)及失效数据来源的可靠性，如制造商提供的业绩、收集到的各种失效数据以及证书提供的失效数据并不能真实反映该产品在实际应用环境下的失效率，要想获得高质量的失效数据，必须要组合分析FMEDA数据、工业数据库以及产品现场应用数据和经验等。

在役石化装置在有条件的情况下应建立自己的安全仪表失效数据库，通过整理归档日常安全仪表系统运行维护及检验测试时发现的问题，累积日常使用中安全仪表系统的相关失效数据。在SIL验证计算的过程中应考虑使用本厂安全仪表失效数据库的数据进行验证计算，这样能更直观地反映随着工厂运行时间增加仪表可靠性发生的变化，为工厂安全仪表系统日常管理提供更可靠的支持。例如： 测试低压传感器的方法之一，是关闭它与工艺过程间的隔离阀，并将隔离阀至传感器之间连接管段内的工艺介质在允许向周围排放的情况下，通过旁通阀放空，直至压力降到触发联锁信号。假设某石化装置在5 a一次的检验测试过程中，通过该方法检验50台压力传感器，发现其中1台传感器无法触发压力低联锁信号。通过失效分析可知该失效为不可检测的危险失效，假设该压力传感器的不可检测的危险失效仅一种类型，或其他类型的不可检测的危险失效均未在该次检验测试中检出，则该型号压力传感器的不可检测的危险失效参数λDU计算式为

(1)

式中： 1 fit=1个失效/109h。

其他参数如λDD为可检测安全失效，λSD为不可检测的安全失效，可以在日常在线诊断中发现并记录，可检测的危险失效参数λSU可以在检验测试时发现并记录。

由于国内还未建立自己的工业仪表失效数据库，而国外数据库又无法准确反映同类型仪表在中国相关石化装置中的应用情况，因此随着安全管理意识的提升也对国内石化行业提出了更高的要求，期待早日能有符合国情的仪表失效数据库，为国内石化装置的安全运行保驾护航。

1.3 SIL验证计算

1.3.1平均失效概率的计算

安全相关系统的安全功能在要求时的平均失效概率，是通过计算和组合提供安全功能的所有子系统在要求时的平均失效概率确定的。它可以表示为[1-2]

PFDSYS=PFDS+PFDL+PFDFE

(2)

式中：PFDSYS——安全相关系统的安全功能在要求时的平均失效概率；PFDS——传感器子系统要求的平均失效概率；PFDL——逻辑子系统要求的平均失效概率；PFDFE——最终元件子系统要求的平均失效概率。

1个完整的SIF回路包含3个子系统： 传感器子系统、逻辑子系统和最终元件子系统。3个子系统各不相同，其结构直接影响整个SIF回路的平均失效概率值计算，关系到SIF回路是否能满足SIL等级要求。

1)“1oo1”结构要求时的平均失效概率计算公式如下[1-2]：

PFD1oo1=(λ′DD+λ′DU)TCE

(3)

式中：λ′DD——检测到的子系统中通道每小时的危险失效率；λ′DU——未检测到的子系统中通道每小时的危险失效率；TCE——单个通道的平均停车时间，即通道失效状态的平均时间。

其中，单个通道的平均停车时间，即通道失效状态的平均时间为

(4)

式中：λD——子系统中通道的危险失效率，λD=(λ′DD+λ′DU)；T1——检验测试时间间隔，h；MTTR——平均修复时间，h；MRT——平均恢复时间，h。

2)“1oo2”结构要求时的平均失效概率为[1-2]

PDF1oo2=2[(1-βD)λ′DD+(1-β)λ′DU]2TCETGE+

(5)

式中：β——共因失效因子；βD——诊断共因失效因子；TGE——系统等效停止工作时间。

“1oo2”结构中TGE的计算公式与式(3)相同，TGE表示如下：

(6)

3)“2oo3”结构要求时的平均失效概率计算公式如下[1-2]：

PFD2oo3=6[(1-βD)λ′DD+(1-β)λ′DU]2TCETGE+

(7)

上述公式应用的前提为每次检验测试均能100%的覆盖所有失效的可能，即认为经过一次检验测试后，被检测仪表或部件的可靠性与其刚出厂时一致,完美检测曲线如图2所示。

图2 完美测试曲线示意

但在实际工厂的日常维护中，由于受到各种各样情况的限制，很难做到100%的检验测试覆盖率，不完美检测曲线如图3所示。

图3 不完美测试曲线示意

该情况下使用以上公式得到的相应结果就与实际情况存在偏差。为了解决该问题，IEC-61511中还提供了一个计算思路，即不完美测试。

1.3.2不完美测试

以“1oo2”结构为例：

要求时的平均失效概率为[1-2]

(8)

式中：T2——需求时间间隔，h；PTC——检验测试覆盖率。

通道失效状态的平均时间为

(9)

系统等效停止工作时间TGE为

(10)

这就对工厂的管理者提出了要求，每次检验测试不再是主观臆想的检测流程，而是需要尽可能分析出被检测仪表所有可能发生的失效，统计无法进行针对性检测的失效数量，以供进一步的验证计算，为未来的装置管理提供精准的依据。

2 在役石化装置安全仪表系统的管理

2.1 检验测试

由于安全仪表系统(SIS)的特殊性，并不是所有的故障都能自我显现出来。因此，SIS中每个安全回路必须定期地测试和维护，确保系统对实际要求做出恰当的响应。检验和测试的频率，应该在装置设计阶段进行HAZOP及SIL评估时确定。所有的测试，都要形成文档记录，这将保证审核活动能够顺利进行。通过审核，确定设计阶段的初始假设，例如失效率、失效模式及检验测试时间间隔等和系统实际操作状况相比是否合理[5]。

在役装置的仪表管理应尽可能分析出检测仪表所有可能发生的失效，并对每种可能发生的失效制订针对性的检验测试方案，可要求仪表制造商提供相应支持。若在SIL验证周期内只进行了部分检验测试内容，则应采用不完美测试公式验证计算。

100%的检测覆盖率仅在理论上存在，再详尽的检验测试，都无法保证完成一次检验测试后的仪表能与新投运仪表的可靠性完全相同。仪表部件及电子线路随着时间推移，存在着无法直观检测的老化情况，虽然无法直接检测，但其由于老化造成的失效在某种程度上是可预见的，如同一地区，相近时间建造的类似装置，仪表工作的外在环境条件是类似的，若在日常维护中发现了由于老化、腐蚀等原因造成故障的仪表，则应对相邻时间点安装仪表也进行相关方面重点关注，则可在发生类似故障时，及时更新替换或维修故障仪表。对于有一定历史、替换过数次仪表的装置，则可在上一轮仪表替换周期临近时，进行相关方面检查。以上这些日常管理，均需要安全仪表失效数据库的支持。

2.2 建立安全仪表失效数据库

2.2.1仪表失效数据对于单个仪表及全厂仪表的意义

针对可修复的仪表，通过仪表失效数据库可以了解单个仪表本体的可靠性变化。对于单个仪表的故障记录可以反映出仪表的浴盆曲线，如图4所示。随着运行时间的增加，仪表经过一段相对失效数量较少的工作周期后，会在某个特定时间点故障率突然暴增，为替换该仪表提供了确实的依据。

图4 仪表故障率与运行时间对应示意

对于不可修复的仪表，其意义更多的是针对该装置中同型号仪表的整体的意义。由于一套石化装置中同型号仪表数量众多，样本基数大，通过对仪表故障的记录，可以在短时间内对同型号仪表建立相对准确的失效模型，用于SIL计算的失效数据亦优于第三方认证机构出具的SIL认证报告，对于装置来说是更加真实、更适用的计算数据。

2.2.2安全仪表失效模式分析

SIS的失效可能导致其不能对过程危险状况进行响应，不能完成保护功能。SIS的失效也有可能造成系统的误停车，中断正常生产。这些失效方式称为失效模式。分析失效模式对于整个SIS的影响十分重要，在失效模式定义的基础上才能建立安全仪表失效数据库。

根据SIS的可靠性模型和设备的失效数据来对SIS进行定量的可靠性分析。SIS的失效模式主要分为安全失效和危险失效。

1)危险失效。是指可能使SIS处于危险状态或失去SIF执行能力的失效。

2)安全失效。是指不可能造成SIS处于危险状态或失去SIF执行能力的失效。

而危险失效和安全失效又可细分为可检测的危险失效、不可检测的危险失效、可检测的安全失效、不可检测的安全失效。所有可检测失效是指可以在日常生产维护过程中发现的失效；不可检测失效是指无法在日常生产维护过程中发现，必须通过检验测试才能发现的失效。

只有详细地分类整理所有故障，建立的安全仪表失效数据库才是准确可用的。

2.3 替换老旧或故障仪表

2.3.1仪表使用寿命

1)产品寿命指标中最重要、最常用的是平均寿命。对于不可修复的产品来说，平均寿命是指产品平均失效前的时间MTTF(mean time to gailure);对于可修复的产品来说，平均寿命是指产品平均失效间隔时间MTBF(mean time between failure)。

2)可靠寿命与特征寿命。可靠度函数R(T)是T的函数；当T=0时，R(0)=1，随着工作时间T的增大，R(T)逐渐下降，由于在实际工厂使用的情况中，每台仪表产品均经过出厂检验及现场校验，因此本文不考虑失效浴盆曲线最左端高失效率的情况。将达到给定可靠度r所对应的时间称为可靠寿命，记为Tr。当r=0.5时，T0.5称为中位寿命；当r=e-1≈0.368时，Te-1称为特征寿命[6]。可靠度函数曲线如图5所示。

图5 可靠度函数曲线

2.3.2仪表替换依据

在日常生产中一旦发现仪表发生故障，应及时替换。对于正常运行的仪表，如何判断是否会因为运行时间较长，可能发生由于老化造成的故障？以什么作为替换正常运行的仪表的依据才能在消除安全隐患的同时，避免经济上的过度浪费？本文提供以下几种思路以供参考。

1)由验证计算所得出的结论作为依据。使用工厂安全仪表失效数据库中的数据以及不完美测试的计算公式进行SIL验证，则每3年一次的验证结果应该都是动态的。随着投运时间的增加，每个子系统的可靠性理论上会逐步降低。当回路要求时的平均失效概率值无法满足回路的SIL要求时，就需要考虑更换回路中的相关仪表。

2)用仪表设备寿命概念作为依据。对于可靠度有要求的产品，工作到一定的可靠寿命时，就应考虑更换，否则其可靠度就得不到相应保障。管理者通过分析工厂安全仪表失效数据库中的数据，确定可接受的可靠度范围，制订老旧仪表更换计划，以此作为依据，进行仪表更新替换工作。

3)用“浴盆曲线”概念作为依据。由“浴盆曲线”可知，随着运行时间的增加，仪表经过一段相对失效数量较少的工作寿命后，会在某个特定时间点故障率突然暴增。管理者可以通过分析工厂安全仪表失效数据库中的数据，发现仪表工作寿命结束的时间点，当某个特定时间点同型号不可维修仪表或单个可维修仪表故障率突然暴增时，就可以考虑整体替换该批同型号不可维修仪表或单个可维修仪表。

在实际管理过程中，可以结合实际的经济可接受程度、用户的先前应用经验等因素，综合考虑选择最终的优化方案。

3 结束语

安全生命周期贯穿整个石化装置的生产，并不只是简单的设计安全就能解决所有问题，石化装置的日常维护管理要伴随石化装置运行数十年，其重要性相对于设计安全来说是有过之而无不及。新建装置SIL验证有第三方认证机构出具的SIL认证报告作为理论保证，而在役装置若在3年一次的SIL验证计算中仍使用证书数据，则导致的结果便是无论装置运行多少年，验证结果均无变化。以静态的失效数据作为依据，无法反映仪表随着工作寿命临近、失效暴增的情况，无形中为装置的安全生产埋下隐患。

在装置持续运行的过程中，由于仪表工作环境及工作时间的不同，工厂自己建立的针对不同型号仪表的故障数据库更能反映本厂使用仪表的可靠性。随着装置运行时间的增加，仪表故障频率及数量都会发生相应的变化，因此可以在SIL验证计算的过程中考虑使用本厂仪表失效数据库的数据进行验证计算，这样能更直观地反应随着工厂运行时间增加，仪表寿命及可靠性的变化，为工厂SIS日常管理提供更可靠的支持。在役装置的有效SIL验证是建立在有效的仪表故障管理及有效的检验测试上的，使用动态的失效数据进行有效的SIL验证，才能保证装置的安全稳定运行。