化工安全仪表系统全生命周期管理探讨

谢 泉

（安徽实华安全评价有限责任公司，安徽 安庆 246000）

化工安全仪表系统（SIS）通常存在危险与风险分析不全、设计选型不当、冗余容错结构不合理、缺乏明确的检验测试周期、预防性维护策略针对性不强等问题，亟须加强和规范化工行业安全仪表系统全生命周期管理。

1 化工安全仪表系统的基本概念

安全仪表系统包含检测单元（传感器）、控制单元（逻辑控制器）、执行单元（切断阀等最终执行元件）。化工装置及危化品储罐正常生产时处于静止或休眠状态，当出现压力、温度、液位、流量、组分等工艺参数超限的危险状况时，能够越过基本过程控制系统（BPCS），发出警报并执行预定程序，快速、准确地执行联锁动作，实现生产过程紧急停车或自动导入预定的安全状态。

安全仪表系统的全生命周期是指从生产工艺过程的风险识别开始，找出风险管控的方案，确认必需安全联锁回路及其功能，再对安全仪表系统进行工程设计、安装、验收、投用、维护，改进、拆除等完整过程。

2 设置化工安全仪表的基本原则

2.1 安全性原则

为确保化工装置的生产安全，安全仪表系统应具有和生产工艺过程相匹配的安全完整性等级（SIL），依据国际电工委员会标准IEC61508《电气/电子/可编程电子安全系统的功能安全》的规定，安全仪表系统的安全完整性等级自低到高分为SIL1、SIL2、SIL3、SIL 4 等4 个不同的级别[1]。化工行业安全仪表的安全完整性等级在SIL1～SIL3 之间，SIL4 级别主要用于核工业。安全仪表系统等级差异体现在设计、制造、安装、调试、维护等方面的技术要求均不相同。安全仪表系统的安全完整性等级越高，就代表该系统的安全系数越高，各类功能的失效概率越低。

2.2 独立性原则

在化工生产过程出现超限工况时，安全仪表系统能够不依附基本过程控制系统（BPCS），独立完成安全联锁、紧急停车等安全保护功能。安全仪表系统的电源、通讯模块、检测元件、逻辑控制器、执行元件等均应单独设置，不与基本过程控制系统共用。中央控制室及现场机柜间应设置SIS 系统专用的工程师站、辅操台、报警器、系统机柜、辅助机柜等。

2.3 故障安全型原则

安全仪表系统应属于安全故障类型，当安全仪表系统本身发生故障时，系统能够自动转变为安全状态，以此来避免生产设备由于安全仪表系统本身的故障或意外情况处于不安全状态。在进行安全仪表系统设计时，应对系统设计、组件选择、软件编程等进行全面、综合的考虑，必须要保证系统的绝对安全性[2]。

2.4 可用性原则

化工安全仪表系统应具备软件和硬件测试和自诊断功能，通过设置必要的旁路开关以减少因系统维护不当导致的停车。但仪表输出信号不可以设旁路、手动停车输入信号不可以设旁路、具有冗余表决要求的传感器不可以设旁路，以防止因误操作导致事故。为满足在线测试仪表的要求，必要时可采取对故障开状态的阀门增加手动截止阀、对故障关状态的阀门增加手动旁通阀、延长仪表测试周期、提高系统冗余配置等技术措施。安全仪表系统应具备易于安装、方便维护和有利扩展的特点，以此来降低运行维护成本。

2.5 标准认证原则

安全仪表系统设计、结构都须严格遵守标准并取得认证。安全仪表系统中应使用正式版本软件，仪表硬件应取得计量认证，易燃易爆场所安装的仪表应符合相应等级电气防爆要求。

3 化工安全仪表系统的设计优化

化工安全仪表系统由检测单元（传感器）、控制单元（逻辑控制器）、执行单元（切断阀等最终执行元件）等部分组成，下面从4 个方面对化工安全仪表系统的设计进行具体分析。

3.1 检测单元的设计

检测元件是化工安全仪表系统中的重要组成部分，能够对整个系统的检测精度和安全性产生直接影响。安全仪表系统的检测元件设计选型时，要遵循独立设置原则，即SIS 系统检测元件与DCS 检测元件分开设置。同时还须遵循冗余设计原则，即安全完整性等级SIL1 联锁回路的检测元件可以单一设置，SIL2 及SIL3 检测元件应采用冗余设置[3]。化工安全仪表系统设计还应遵循冗余选择原则，在保证系统的安全性时，可采用“或”逻辑，在保证系统的可用性时，可采用“与”逻辑，要想使得系统的安全性和可用性均得以保证时，可采用“三取二”逻辑结构。化工安全仪表系统中的检测元件应采用电气防爆的变送器，不能使用开关型传感器，否则可能导致安全事故。检测元件应由SIS 系统供电。

3.2 控制单元的设计

控制单元的逻辑控制器主要包括继电器系统、可编程电子系统和混合系统3 种类型。可编程电子系统主要用于逻辑功能复杂的场合，可以是经过TUV 认证的PLC 系统、DCS 系统和其他专用系统。继电器系统主要用于逻辑功能相对比较简单的场合。安全仪表系统的逻辑运算器设计时，须要遵循独立设置原则，即SIS 系统逻辑运算器与DCS 系统逻辑运算器分开设置。根据冗余设置原则，SIL1 级SIS 可以使用单一的逻辑运算器、SIL2 级SIS 可使用冗余或容错逻辑运算器、SIL3 级SIS 可使用冗余容错逻辑运算器。

3.3 执行单元的设计

执行单元的切断阀等最终执行元件通过执行逻辑控制器的指令，实现工艺系统的安全状态，降低事故发生的概率。气动切断阀或调节阀等最终执行元件须要采取冗余设计的电磁阀，电磁阀通常安装在执行机构和阀门定位器之间。安全完整性等级高的SIF 回路的最终执行元件应采用冗余阀门，配套电磁阀应采用冗余结构。考虑系统可用性时，电磁阀可设计成“二取二”、“与”逻辑结构；考虑系统安全性时，电磁阀可设计成 “二取一”、“或”逻辑结构。

3.4 不同结构安全仪表系统的分析比较

化工安全仪表系统结构主要有继电器系统结构、PLC 系统结构、TMR 系统结构。继电器系统结构在工程控制中得到了广泛使用，但存在系统庞大、可靠性低、维护困难、无自诊功能、不能与DCS 系统通讯等弊端，目前正逐渐被淘汰。PLC 系统结构适用于大多数石油化工装置，具有体积小、灵活性好、可编程和扩展修改方便、具有自诊功能、可靠性高、可与 DCS 通讯等优势，且安全等级在SIL2～SIL3 之间，但只有取得安全证书的PLC 才能够作为SIS 的逻辑部件[4]。TMR 系统结构可适用于任何工业过程，TMR 系统结构的SIS 主处理器、电源和I/O 模块采用三重化冗余配置，可以实现在线更换。TMR 系统结构的SIS 采用的容错技术进行三取二表决，能够将安全系统的隐性故障和显性故障降到最低。

4 安全仪表全生命周期管理的重点

4.1 重视安全仪表系统的SIL 定级

根据化工工艺过程的安全要求及设计意图，在工艺过程危险可操作分析（HAZOP）的基础上，采用保护层分析（LOPA）方法，依据风险矩阵，审查每个安全仪表功能（SIF）相关的事故场景、风险程度、初始事件频率、保护层等，确定每个联锁回路的SIF 需要达到的安全完整性等级（SIL 定级）。

4.2 规范安全仪表系统的设计及SIL 验算

设计单位应根据过程工艺安全要求和安全仪表规格书（SRS），通过仪表选型、子系统冗余结构选择、确定检验测试方法及测试周期、开展SIF 验算等设计流程，确认安全仪表功能，明确工艺过程的安全状态，确保实现降低工艺过程风险的要求。开展安全仪表功能评估（SIL 验算），根据IEC61508/IEC61511 的要求，对各SIF 回路的PFDavg及MTTFs 进行计算并审查硬件结构约束特性，确定每个SIF 能否达到SIL 定级的要求。

4.3 严格安装调试和联合验收

化工企业应制定安全仪表系统安装调试与联合验收方案，建立施工及调试管理台账，记录仪表安装、调试、功能确认和结果。安全仪表系统安装调试完成后，企业在安全仪表系统投运前，应按安全仪表设计文件以及相关仪表施工验收规范的要求，组织相关各方对安全仪表系统进行联合验收，确保安全仪表系统各联锁回路的安全完整性等级符合要求，具备安全投用条件。

4.4 加强安全仪表系统测试及维护管理

化工企业应制定安全仪表系统的操作、测试及维护技术规程，建立安全仪表采购、系统联锁投用及摘除审批管理、仪表变更管理等制度，应按照测试周期对安全仪表进行定期检验测试，定期进行仪表系统校验，建立安全仪表测试及维护保养台账记录。及时对仪表失效、误动作、联锁及旁路等进行分析处理，建立安全仪表失效数据库，确保安全仪表系统可靠性，实现功能安全。

4.5 培养专业的安全仪表技术及管理人员

根据安全仪表系统的设计、安装、验收、投用、维护、改进、拆除等全生命周期不同阶段的特点，对设计、安装、调试、操作及维护等仪表工程技术及管理人员开展针对性的培训，培养一批掌握安全仪表专业知识、熟悉安全仪表设计规范、具备安全仪表功能测试及保养能力的安全仪表工程技术及管理人员，满足化工行业安全仪表功能安全管理工作的需要。

5 结论

化工安全仪表系统是保障化工行业安全生产的重要措施，加强化工安全仪表系统设计、安装、验收、投用、维护、改进等全生命周期管理，培养合格的安全仪表工程技术及管理人员，把安全仪表功能安全管理融入化工企业安全管理体系，提升化工过程安全管理水平，才能保证化工装置长周期、稳定生产运行，保障化工行业的可持续发展。