安全仪表系统的回路设计探讨

王东峰

(东华工程科技股份有限公司，合肥 230024)

近十几年来，随着工业装置规模的不断扩大，生产安全问题越来越受到各方面的关注，特别是许多大中型石油化工和煤化工项目，在项目设计阶段都要进行风险和安全评估。通常通过危险和可操作性分析(HAZOP)以及保护层分析(LOPA)确定所需的安全仪表功能(SIF)及其安全完整性等级(SIL)。在工程设计阶段，安全仪表系统的回路设计能否满足SIF及其SIL的要求是每位自控专业设计人员非常关注的问题。以下就安全仪表系统的回路设计及验证方法提出自己的看法，以供参考。

1 安全仪表系统相关概念

1.1 安全仪表功能

SIF是为了防止、减少危险事件发生或保持过程安全状态，用测量仪表、逻辑控制器、最终元件及相关软件等实现的安全保护功能或安全控制功能[1]。通俗地理解就是工艺专业提出的联锁回路条件，例如，氮气储罐压力高于5.0MPa时，在10s内关闭氮气进口阀。

SIF的运行模式分为低要求操作模式和高要求(或连续)操作模式。SIF在低要求操作模式下执行安全仪表保护功能；在连续操作模式下执行安全仪表控制功能[1]。

文献[2]中指出“通常石油化工和煤化工装置的安全仪表系统工作于低要求操作模式，应采用低要求模式的平均失效概率来计算和验证安全仪表系统的SIL”。

1.2 安全完整性

安全完整性是安全仪表系统在规定时间和规定条件下，执行SIF的平均概率。安全完整性由硬件安全完整性和系统安全完整性组成。其中，硬件结构约束的安全完整性和硬件失效概率的安全完整性一起实现了硬件的安全完整性。

1.3 安全完整性等级

SIL是用来规定分配给安全仪表系统的SIF的安全完整性要求的离散等级。SIL可分为SIL1到SIL4四个等级，其中，SIL4为最高等级。

在低要求操作模式下，当过程中发生了危险情况需要安全仪表系统执行保护动作时，SIF因失效而不能完成保护功能的概率叫作失效概率。随着时间的流逝，安全仪表系统的可靠性会降低，失效概率随之增大，其在检验测试时间间隔跨度上的平均值称为平均失效概率PFDavg(以下均简化为PFD)。

在低要求操作模式下，SIF的SIL采用PFD衡量，其对应关系见表1所列[3]。每个SIF的PFD应小于其SIL在表1中所对应的目标失效值。

表1 安全仪表功能的安全完整性等级(低要求操作模式)

1.4 安全仪表系统的硬件结构约束

硬件结构约束是除硬件失效概率之外对安全仪表系统在某个特定应用中所提出的附加约束。安全仪表系统要满足相应的SIL要求，其硬件失效概率和硬件结构约束均应满足相应的要求。

文献[1]对安全仪表系统的硬件结构约束体现在硬件故障裕度的要求上。在出现故障或者误差的情况下，功能单元(传感器、逻辑控制器、最终元件)继续执行要求的SIF的能力即为故障裕度。最低硬件故障裕度反映了要求的硬件最低的冗余程度。

文献[1]定义最低的硬件故障裕度要求是为了减轻SIF设计中的潜在缺陷，这些缺陷可能是由于SIF设计中所作的各种假设以及在各种过程应用中部件故障率的不确定性所导致的。

1.5 安全仪表系统的硬件失效概率

每一个安全仪表系统由测量仪表、逻辑控制器和最终元件三个子系统组成，其PFD是各子系统PFD之和。为了确定每一个子系统的PFD，先列出子系统各部件的组成，再为各部件选择合适的表决结构，从而根据相应表决结构的计算公式计算出各结构的PFD，最终求和得到整个安全仪表系统的PFD。

2 安全仪表系统硬件回路设计

2.1 要 求

文献[1]中推荐的示例如图1所示，笔者根据此例的要求进行安全仪表系统设计的实现。如图1所示，1个对易燃易爆物料进行气液分离的压力容器，正常时由液位调节回路控制底部液体送往下游工序进行加工处理。当压力超过高限时会造成罐体破裂和危险物料泄漏等危险事件。经过HAZOP和LOPA分析，拟在设立安全阀等保护层之外采用1个SIF(压力超高限时切断进料)作为防止超压的保护手段。SIF的完全完整性等级为SIL2，检验测试时间间隔T1为1a，平均恢复时间MTTR为8h。

图1 安全仪表系统硬件回路设计示例

2.2 安全相关仪表的失效数据

通过失效模式、影响和诊断分析(FMEDA)可以得到某一设备某一种失效模式的失效概率，安全失效和危险失效的比例、诊断覆盖率也可以很准确地得到。这些数据通常由第三方机构认证，该种机构最著名的有TÜV莱茵和EXIDA。

针对图1示例的需要，收集了安全相关仪表的失效数据，见表2所列。

2.3 硬件安全完整性分析

2.3.1测量仪表

图1示例中，采用本安型压力变送器时，测量仪表由压力变送器和输入安全栅两部分组成；采用隔爆型压力变送器时，测量仪表仅由压力变送器组成。

表2 安全相关仪表的失效数据

首先，根据要求的SIL进行硬件结构约束评价。文献[3]给出了安全相关子系统的结构约束，见表3所列。

表3 B类安全相关子系统的结构约束

根据表2中的失效数据，压力变送器为B类安全相关设备，其SFF=93.1%。输入安全栅也为B类安全相关设备，其SFF=95.3%，查表3得，压力变送器和输入安全栅的故障裕度为0，即可满足SIL2。

接下来搭建不同的表决结构，计算出测量仪表在各种结构下的PFD。对于每一个子系统的PFD根据其结构不同，文献[3]给出了不同的计算公式，公式适用于测量仪表子系统、逻辑控制器子系统和最终元件子系统。

“1oo1”结构的PFD计算公式：

PFD=(λDU+λDD)tCE

(1)

“1oo2”结构的PFD计算公式：

(2)

“2oo2”结构的PFD计算公式：

PFD=2(λDU+λDD)tCE

(3)

“2oo3”结构的PFD计算公式：

(4)

式中：T1——检验测试时间间隔，h；MTTR——平均恢复时间，h；β——具有共同原因的、没有被检测到的失效分数；λDD——检测到的子系统中通道每小时的危险失效概率；λDU——未检测到的子系统中通道每小时的危险失效概率；tCE——通道的等效平均停止工作时间；tGE——表决组的等效平均停止工作时间。

(5)

将表2中压力变送器和输入安全栅的失效数据分别代入到式(1)～(4)，得到压力变送器在采用本安型和隔爆型两种防爆方式时，测量仪表子系统的PFD，见表4所列。

表4 测量仪表子系统的PFD

在计算时，β取最保守的20%。当采用本安型压力变送器时，测量仪表子系统的PFD等于压力变送器和输入安全栅的PFD之和；而采用隔爆型压力变送器时，测量仪表子系统的PFD等于压力变送器的PFD。

2.3.2逻辑控制器

在工业应用中，通常采用独立的逻辑控制器，即安全仪表控制系统(SIS-PES)，来搭建安全仪表系统。安全仪表控制系统的硬件设备均冗余设置，并具有完善的硬件、软件在线自诊断功能。在出现故障时可进行无扰动切换，并自动记录故障报警提示维护人员进行维护。其出现故障的概率相对于测量仪表和执行器来说是很小的。在设计阶段主要是综合考虑全厂所有SIF的SIL的最高要求，并在安全仪表控制系统技术规格书中提出相应的要求。假设图1示例中采用的是某知名品牌的安全仪表控制系统，根据其平均故障间隔时间(MTBF)得出其PFD为0.5×10-4。

2.3.3最终元件

图1示例中，最终元件是控制阀，由电磁阀、执行机构、阀门本体三部分组成。

对于不同SIL的安全仪表系统，文献[1]规定了构成安全仪表系统的仪表设备有不同的故障裕度要求，见表5所列。像阀门这种没有故障诊断功能的仪表适合通过该表来进行硬件结构约束评价。

表5 传感器、最终元件和非PE逻辑解算器的最低硬件故障裕度

文献[1]允许给予“早先使用”(prior use)且满足特定条件的设备高一个水平的SIL值。查表5得，当所选的阀门为“早先使用”且满足相应条件时，单一的设备就可应用于SIL2的场合。

接下来再进行硬件失效概率分析。电磁阀和执行机构的β取最保守的20%，阀门本体的β根据文献[3]的附录D进行估算，取10%。将表3中电磁阀、执行机构、阀门本体的失效数据分别代入到式(1)～(2)中，得到电磁阀、执行机构和阀门本体在“1oo1， 2oo2”结构下的PFD：

PFD1oo1(电磁阀)=3.86×10-4

PFD1oo2(电磁阀)=7.74×10-5

PFD1oo1(执行机构)=1.48×10-3

PFD1oo2(执行机构)=2.99×10-4

PFD1oo1(阀门本体)=7.61×10-3

PFD1oo2(阀门本体)=8.24×10-4

最终元件的PFD为电磁阀、执行机构、阀门本体的PFD之和为

PFD1oo1(最终元件)=PFD1oo1(电磁阀)+PFD1oo1(执行机构)+

PFD1oo1(阀门本体)=9.48×10-3

PFD1oo2(最终元件)=PFD1oo2(电磁阀)+PFD1oo2(执行机构)+

PFD1oo2(阀门本体)=1.20×10-3

“1oo1”结构的故障率占目标故障率10-2的94.8%，要使安全仪表系统的PFD小于10-2从而满足SIL2，需要选用更可靠的测量仪表的表决结构和更可靠的可编程逻辑控制器。“1oo1”结构并非完全不能选用，有以下改进方法可以尝试：

1) 选用故障率更低的阀门。通过式(1)， (5)可以看出，如果减小λDU，λDD的值，将使PFD值相应降低。选用故障率更低的阀门可以相应降低最终元件的PFD，但是阀门的采购成本会有很大的提高。

2) 改变阀门局部的表决结构，例如电磁阀采用“1oo2”结构：

PFD1oo1(最终元件)=PFD1oo2(电磁阀)+PFD1oo1(执行机构)+

PFD1oo1(阀门本体)=7.74×10-5+1.48×10-3+

7.61×10-3=9.17×10-3

3) 调整检验测试时间间隔。在工艺允许的情况下缩短T1，如果将示例中的T1从1a(8760h)调整为0.5a(4380h)，将表3中电磁阀、执行机构、阀门本体的失效数据重新代入到式(1)～(2)中，得：

PFD1oo1(最终元件)=PFD1oo1(电磁阀)+PFD1oo1(执行机构)+

PFD1oo1(阀门本体)=1.93×10-4+7.43×10-4+

3.81×10-3=4.75×10-3

此时，“1oo1”结构的故障率占目标故障率10-2的46.1%，故障率得到了显著的降低。

最终元件的T1往往受到工艺运行周期的制约，一般情况下，最终元件的检验测试需要在装置停车的情况下才能进行。因此，装置从开车到停车的时间决定了T1，通过调整T1的方法来降低故障率有很大的局限性。

4) 间接调整检测时间。对于阀门来说，可以增加部分行程测试(PST)功能。阀门的部分行程测试PST(Partial Stroke Testing)是一种在线检测紧急切断阀可靠性的方法。在线检测故障就是让切断阀作周期性的部分行程动作。例如： 切断阀从全开位置部分关闭10%～30%行程，按一定的时间间隔周期性动作，以便更好地检查其阀杆移动情况，判断其功能的好坏。

增加PST功能后，部分不可检测的失效概率转变为可检测的失效概率，使相关子系统的故障率得到改善。该类数据可以从第三方认证机构的FMEDA报告中得到。将改善的失效数据分别代入到式(1)，得到电磁阀、执行机构和阀门本体在“1oo1”结构下采用PST功能的PFD，三部分之和得到最终元件的PFD：

PFD1oo1(最终元件)=PFD1oo1(电磁阀)+PFD1oo1(执行机构)+

PFD1oo1(阀门本体)=5.08×10-6+7.87×10-4+

6.24×10-3=7.04×10-3

2.4 可用性分析

在实际生产过程中，误停车会中断装置的正常生产，产生大量不合格品，从而造成经济损失，更严重的可能会造成某些关键设备的损耗。因此，用户不但希望安全仪表系统是足够安全的，而且也希望安全仪表系统造成的误停车次数越少越好。安全仪表系统误动率反映了系统的可用性，也将是评价安全仪表系统的重要指标。

安全仪表系统安全要求规范中，如果存在一个伪脱扣的目标频率，可以通过计算回路的安全失效概率(PFS)来判断变送器的表决结构是否合适，这种定量的分析方法本文不再展开讨论。

2.5 安全仪表系统的组成方案分析

本文示例所需的安全仪表系统的回路构成有多种方案，见表6所列。设计时根据不同的可用性要求和项目的投资情况来选择不同的方案。

对比方案1和方案2以及方案5和方案6可见，测量仪表和电磁阀采用“1oo2”结构时，安全仪表系统的PFD并没有得到很大的降低，反而降低了系统的可用性，在安全仪表系统有可用性要求时这种结构将不适合采用。

方案3相比于方案1，测量仪表采用“2oo2”结构时，提高了系统的可用性，但安全仪表系统的PFD却有了一定的提高，即系统的可靠性有所降低。本例中甚至降低了SIL。而方案4，测量仪表采用“2oo3”结构，既保证了可靠性又兼顾了可用性。

对比方案3和方案5可见，安全仪表系统的PFD在测量仪表采用隔爆型时显著低于采用本安型时。因此，在特定场合测量仪表采用隔爆型将更有利于安全仪表系统的回路搭建。

方案7，电磁阀采用“2oo2”结构时，虽然使安全仪表系统的PFD有了一定的提高，即系统的可靠性有所降低，但是提高了系统的可用性。

对比方案5和方案9可见，阀门增加PST功能，在不改变工艺大检修周期的情况下，缩小了T1，可以很大程度地降低安全仪表系统的PFD。当然，PST只能检测出阀门故障模式中的一部分，不能完全代替完全功能检测，且某些工况工艺是不允许阀门作PST的(例如高压蒸汽管网的放空阀)。因此，在工程应用中，PST可以作为提高安全仪表系统可靠性的重要措施而被考虑，但由于其局限性，设计时应充分理解工艺流程，具体工况具体分析。

表6 安全仪表系统的回路组成方案

2.6 结 论

综合上述分析结果，可以得出如下结论：

1) 组成满足相应SIL要求的安全仪表系统的方法是多样的。在实际应用中，应结合经济投资、安全仪表功能的SIL、安全仪表系统安全要求规范中的误跳车要求等，酌情选择相应的硬件和表决结构。

2) 一个典型的安全仪表系统由测量仪表、逻辑控制器、最终元件三部分组成，安全仪表系统的PFD值符合“木桶原理”，即三部分的PFD值最大者决定了回路的PFD值的范围，很大程度上也就决定了SIF的SIL。这三部分中，最终元件在PFD中占有的比例最大，在进行安全仪表系统回路设计时可以先分析计算最终元件，得出几种可能的仪表选型和表决结构，再根据相应的PFD考虑测量仪表的仪表选型和表决结构。

3) 对于自控专业设计人员，能够参与过程危险分析和风险评估是很有必要的。一方面，可以使自控专业设计人员在进行回路设计时，对特定危险事件发生的频率和后果有一个直观的认识，对装置现有的保护层以及项目对误停车的容忍度有一个更深刻的理解。另一方面，自控专业设计人员可以反馈搭建安全仪表系统的难易程度和投资规模等信息，使分析小组得出的安全仪表系统安全要求更加合理。通过增加保护层或者降低工艺大检修周期等措施来降低SIL要求，相对于花费过大的投资来满足过高的SIL要求，将显得更加方便实施和经济合理。

3 结束语

在石油化工和煤化工设计中，安全问题是非常关键的问题。通过上面的步骤，基本上可以解决一般的SIF设计问题。但是，在设计阶段取得足够的安全仪表相关数据以及得到足够完整的安全要求规范有一定的难度，只有尽可能地收集足够多的信息，合理地搭建安全回路子系统的表决结构，才能以最低的成本，满足最大化的安全性和可靠性要求。

参考文献：

[1] 机械工业仪器仪表综合技术经济研究所. GB/T 21109—2007 过程工业领域安全仪表系统的功能安全[S].北京： 中国标准出版社，2007.

[2] 中国石油化工集团公司.GB/T 50770—2013 石油化工安全仪表系统设计规范[S].北京： 中国计划出版社，2013.

[3] 机械工业仪器仪表综合技术经济研究所.GB/T 20438—2006 电气/电子/可编程电子安全相关系统的功能安全[S]. 北京： 中国标准出版社，2006.

[4] 阳宪惠，郭海涛. 安全仪表系统的功能安全[M]. 北京： 清华大学出版社，2007.

[5] 魏华.安全设计的保护层分析在600kt/a甲醇项目中的应用[J]. 石油化工自动化，2008，44(06)： 24-27.

[6] 魏华.安全仪表的可靠性和可用性分析[J]. 石油化工自动化，2009，45(01)： 10-13.

[7] 王立奉.功能安全技术讲座 第十七讲 安全仪表系统中紧急切断阀的部分行程测试[J]. 仪器仪表标准与计量，2009(05)： 9-14.

[8] 祝敬辉.SIS设计中可用性和安全性浅析[J]. 仪器仪表标准与计量，2010(04)： 25-27.

[9] 冯兆宇.安全仪表系统回路设计与研究[J]. 仪器仪表标准与计量，2010(04)： 28-30.

[10] 王秋红.安全仪表系统切断阀在线行程测试[J]. 石油化工自动化，2009，45(03)： 75-76.