安全仪表系统及SIL评估

廖朝阳

（中国石化巴陵石化分公司 湖南省岳阳市 414014）

1 安全仪表系统和SIL评估

安全仪表系统实际是一种自动安全保护系统,是保证装置正常生产和保护人身、设备安全的必要措施,是工业自动化的重要组成部分。如果安全仪表系统设计不当,可能的后果一种是该停车时不停,造成拒动作；可能的后果另一种是不该停车时停车,造成误动作。误动作的直接后果是造成生产装置停车,甚至巨额的经济损失。拒动作则会造成更严重甚至灾难性的后果,比如火灾爆炸、人身伤害等。正因为安全仪表系统可能存在的隐患，所以安全仪表系统的SIL 评估就显得尤为重要。

2 SIL等级的定义和划分

2.1 SIL等级的定义

SIL 是Safety Integrity Level 的缩写，中文称之为安全完整性等级。1998年颁布的IEC61508 功能安全标准中首次提出了SIL 的概念，它是一种功能安全等级的划分。IEC61508 将SIL 分为SIL1，SIL2，SIL3 和SIL44 个等级。安全相关系统的SIL 级别，是由风险分析计算得出来的，是通过分析风险暴露时间和频率、风险后果严重程度、不能避开风险的概率和不期望事件发生概率等四个因素综合得出。SIL 级别越高，它要求的危险失效概率就越低。SIL 等级越高，它所对应的安全防护系统可靠性也就越高，这是企业希望看到的。但安全防护系统的高可靠性会带来更多的资金投入。而且，随着安全仪表系统服役年限延长，硬件的可靠性会必将降低，即这也意味着系统的安全完整性等级会下降。如果要保证系统使用过程中的安全完整性等级不下降，则必须适时对其进行风险评估，根据评估情况制订相应的维修和整改计划，这就是安全完整性等级(SIL)评估。

2.2 SIL等级划分

SIL1 级：生产装置可能很少发生事故。即使发生事故，对装置和产品只有轻微的影响，不会造成环境污染和人身伤害，经济损失不大。这类装置的安全仪表系统，只需要取得SIL1 认证即可，安全仪表的实用性要求不高，一般为90%-99%。SIL2 级：生产装置可能偶尔发生事故,一旦发生事故，对装置和产品的影响比较大，甚至会造成环境污染和人身伤害，经济损失也会较大。这类装置的安全仪表系统，安全等级需要取得SIL2 级认证，其安全仪表系统的实用性要求也会提高，一般要求为99%-99.9%。SIL3 级：生产装置可能经常发生事故。一旦发生事故，对装置和产品会造成严重影响，并造成重大人员伤亡和严重环境污染，经济损失巨大。这类装置的安全仪表系统，必须取得SIL3 级认证，其安全仪表系统的实用性更高，一般为99.9%-99.99%。SIL4 级：一般在核工业及航天工业应用领域。一旦发生事故，对生产设备和人员将造成灾难性的伤害，经济损失和人员伤亡都极其严重。这一领域的安全仪表系统必须取得SIL4 级认证。其安全仪表系统的实用性要求必须大于99.99%。

3 安全仪表系统可能存在的问题

安全仪表系统广泛应用于石油石化行业,如能保证其正常运行，装置的风险可以大大降低，从而降低经济损失，减少人身伤害。但安全仪表系统存在的问题也很明显，主要包括联锁拒动作和联锁误动作两种。

3.1 联锁拒动作

联锁拒动作的概念：就是在生产装置需要联锁进行动作来保障安全时，联锁功能失效，不动作，不能完成指定的安全功能，从而引发重大安全事故，这是最危险的一种情况。要满足生产装置对安全的要求，联锁的拒动作概率必须降低,否则将被认为联锁无法适应装置安全运行要求。

传感器、逻辑控制器和执行器是联锁功能要动作必须通过的三个组成部分。因此，除了选择可靠性高的元器件外，适当增加系统的冗余也可以减少联锁拒动作的概率，提高系统的安全性。比如本来传感器是1oo1 的，可以改为1oo2，即只要其中一个传感器正常发出信号或报警,联锁就会动作，这样可以很大程度上提高系统的可靠性。执行器也是同样的道理，以紧急切断阀为例,在需要切断进料时，如果只有一个紧急切断阀，很可能出现此阀在需要动作的时候拒动，但如果有两个紧急切断阀，同时拒动的概率会大大降低，从而提高系统的安全性。

3.2 联锁误动作

联锁误动作是指装置在正常运行过程中，由于安全仪表系统本身元器件失效使联锁误启动。联锁误动作的危害是引发装置发生非计划停工，造成生产波动和效益损失。如果联锁误动作频繁，企业对联锁可靠性信心会降低，从而采取摘除联锁来保证生产，这样很可能埋下安全隐患。

联锁误动作的概率也可以通过优化执行机构和传感器的布置和取法来降低。例如原本传感器是1oo2 方式的可以改成2oo2 的方式,即必须两个同时触发联锁才会动作。这样就可以很大程度上避免传感器故障引起的误动作。另外，可以把传感器的失效状态设定为非故障安全型，从而降低装置误停车的概率。

4 SIL案列分析

SIS 的安全完整性等级是由构成SIS 系统的三个单元的SIL 等级来初步确定的，下面从SIL 传感器、SIL 逻辑单元和SIL 执行机构三个部分进行案列分析：

案例：环己烷和富氧空气（空气+纯氧）氧化成环己酮，空气来源于美国库伯的离心式压缩机，纯氧来自空分装置，空气和纯氧在缓冲罐进行混合后进入氧化釜和环己烷进行反应，反应完后的气体已尾气形式外排。整个过程涉及到的联锁控制点主要包括：空气和纯氧的流量、富氧的氧气浓度、反应后的尾气含氧浓度、反应釜的压力和温度、空气开关阀、纯氧开关阀及联锁启动后往氧化釜内补充氮气开关阀。

该装置设置有独立的SIS 系统和DCS 系统，现场仪表设备大部分已实现分离。

4.1 SIL传感器

通过对联锁仪表（传感器）的安全性分析得知：所有仪表均未采用SIL 等级的仪表，空气和纯氧的流量计各采用2 个差压节流装置进行流量监测，均为冗余配置，一组信号进DCS 系统，另一组信号进SIS 系统做联锁信号；富氧浓度测量采用单台在线分析仪进行测量，信号传入SIS 系统，7 台氧化釜的尾气均采用独立的在线分析仪测量尾气含氧，尾气排放总管也设置了独立的总管尾气含氧分析仪。反应釜的压力测量和温度测量也设置的独立的测量仪表。总体情况就是联锁仪表均独立设置与dcs 分开，但未实现单个测量点的冗余配置。

环己烷富氧氧化氧化反应是比较危险，一旦富氧浓度过高则可能导致氧化反应的失控，引发爆炸等严重后果，所以控制进入氧化釜的富氧空气流量、浓度和反应后的尾气氧含量是极为重要的。现有的检测已经涵盖了所有的关键测量点，唯一不足之处是缺失冗余测量点，如果按照简单的1oo1 来设置联锁条件，再配合完善的逻辑单元和执行机构，其完整性等级虽然能达到SIL1，保证装置的安全，但是存在较大的误动作可能，一旦出现仪表故障，信号电缆故障等则会导致非计划停车，影响流程化生产的连续性，造成较大的经济损失。通过对现有联锁仪表配置情况进行分析，我们设置了2oo2 的逻辑以降低无停车几率，如通过进氧化釜的空气和纯氧气体流量计算处氧气含量，再结合混合后的氧气含量来确认是否启动联锁，通过单个氧化的尾氧含量和总管尾氧含量来确定是否启动联锁等，这样设置虽然平均危险故障失效概率（PFDavg）有所增加，但仍然满足联锁回路的SIL 等级，在保证安全的前提下，能有效的降低误停车的可能性，我装置的长周期生产提供保证。

4.2 SIL逻辑单元

逻辑单元主要指SIS 系统。以我单位环己酮装置的SIS 系统为例，采用了TRICON TMR 系统硬件，其控制系统是三重冗余容错结构的控制器，有三个独立的控制器，卡件的每个点也是三重冗余，电源和网络均为双重冗余配置，安全完整性等级达到SIL3。所以对于系统硬件本身基本上不需要做改进。

4.3 SIL执行机构

执行机构的冗余配置是提升SIL 等级的重要手段，在同一个管路上，一般的情况下DCS 系统控制管路上的调节阀，SIS 系统控制管路上的开关阀。为提升SIL 等级，可在管路上装2 个开关阀，当联锁启动后，SIS 同时控制2 个开关阀的紧急切断或打开，但在实施中往往因投资后安装位置所限，只会安装一个开关阀，这种配置在我单位环己酮装置上极为普遍，但一旦出现开关阀卡死（平时难以察觉），联锁动作时则会出现很大的隐患。若受到投资或位置的影响不能安装冗余的开关阀，也可以在调节阀上增加一个电磁阀来实现执行机构的冗余，也可以提升SIL 等级。

但是执行机构的冗余提升了安全完整性等级，但同时增加了更多的故障点，一旦气源管路或电磁阀故障或电缆故障都会导致阀门的误动作导致装置非计划停车。在实施中，我们可以采用两个电磁阀并联连接，以避免其中一路电磁阀因上述原因失效导致安全仪表系统误动作。两个电磁阀并联连接方式，不管哪个电磁阀故障，只要有一个正常，一个阀门就能正常运行，这种方式可用性好，安全性稍差，可以有效防止因任一电磁阀故障而导致SIS 系统误动作。

5 结论

通过对石化工艺危险性的定量分析，确定安全仪表系统的SIL等级。SIL 等级越高，其对应的安全防护系统可靠性越高，但会增加软硬件投资，合理的评估一个安全仪表系统的SIL 等级，既能确保装置的安全平稳运行，又能保持合理投资。从可靠性工程的发展分析，对生产装置安全仪表系统的SIL 等级进行定量分析将是今后设计工作的一个趋势，尤其是在新装置的设计过程中更要注重SIL等级的安全评估。在化工装置开展安全仪表系统SIL 等级评估，并根据评估情况有效设置联锁系统，最大程度发挥仪表安全功能，从而提高化工装置的整体安全性。