安全仪表功能回路设计及其SIL验算方法Word格式文档下载.docx

安全仪表功能回路设计及其SIL验算方法Word格式文档下载.docx

《安全仪表功能回路设计及其SIL验算方法Word格式文档下载.docx》由会员分享，可在线阅读，更多相关《安全仪表功能回路设计及其SIL验算方法Word格式文档下载.docx（12页珍藏版）》请在冰点文库上搜索。

LOPA具体分析方法详见AQ/T3054—2015《保护层分析（LOPA）方法应用导则》［4］。

根据文献［4］中表E.2，引发偏差的初始事件，如控制回路失效、冷却水失效、控制阀误动作、常规人员操作失误、雷击等，偏差导致的事故发生概率f1i≤1×

10－1，假设

，年频率等级为1～10－1。

在涉及“重点监管工艺、重点监管化学品、重大危险源”或可能引发高后果的工艺，大多已配置基本过程控制系统（BPCS）、过程报警及操作员干预、安全阀、爆破片、防火堤等独立保护层中的一个或多个，根据文献［4］中表E.3，各独立保护层失效概率PFD≤1×

10－1；

引入点火概率、人员暴露、人员伤害、毒性影响等修正系数P，P=n×

10－1，n=1～10，偏差导致的事故发生概率fci=f1i×

PFD×

P≤n×

10－3，年频率等级范围为10－2～10－3。

为了方便分析，假定偏差导致的后果严重性为最严重等级的5级，事故发生年频率等级为n×

10－3，根据表1LOPA风险评估矩阵可得知，事故风险为高风险，需采取进一步的保护措施。

可在HAZOP分析的节点增加SIS独立保护层，引入SIL1（PFD=1×

10－2）的SIF回路时，后果发生的概率fci=n×

10－3×

1×

10－2=n×

10－5，年频率等级为10－4～10－5，此时根据表1可知，5级后果的风险等级为中风险；

当引入SIL2（PFD=1×

10－3）的SIF回路时，后果发生的概率fci=n×

10－3=n×

10－6，年频率等级范围为10－5～10－6，5级后果的风险是中风险；

当引入SIL3（PFD=1×

10－4）的SIF回路时，后果发生的概率fci=n×

10－4=n×

10－7，年频率等级范围为10－6～10－7，5级后果的风险是低风险。

上述SIL分析中选取了最严重的风险等级、最高的初始时间发生概率、最高的独立保护层失效概率，可以看出SIL1的保护层即可将风险降为中风险，中风险是可选择性的采取行动；

当采用SIL3保护层时可将风险降为低风险，低风险不需要采取行动。

若风险等级小于5级或其他独立保护层的失效概率小于1×

10－1时，采用SIL2保护层时可将风险降为低风险，低风险不需要采取行动。

因此，SIS中，大部分SIF回路的SIL可定在1级；

少数SIF回路的SIL可定在2级；

极少数SIF回路的SIL定为3级。

2IEC61508 

中SIL验算方法

IEC61508［5］中的SIL验算方法适用于已取得SIL认证的仪表、控制逻辑器、执行元件等，常用的品牌型号产品认证参数见表2所列，其中，λsd为被检测到的安全故障率；

λsu为未被检测到的安全故障率；

λdd为被检测到的危险故障率；

λdu为未被检测到的危险故障率；

λs为安全失效故障率；

λd为危险失效故障率（故障率的单位为Fit，1Fit=1×

10－9）；

DC为诊断覆盖率；

SFF为安全失效分数。

计算公式如下所示［6］：

式

（1）中λsd，λsu，λdd，λdu可从仪表设备SIL认证证书中获取。

根据GB/T50770—2013《石油化工安全仪表系统设计规范》［7］中4.1.3条规定：

“通常石油化工工厂和装置的安全仪表系统工作于低要求操作模式”，故下文中的参数均是低要求操作模式下的认证参数。

通过式

（1）的计算可得出安全失效分数，而表3和表4列出了硬件的SIL，其中A类仪表有浪涌保护器、液位开关、安全栅、电磁阀、阀体、执行机构、阀门定位器等，B类有安全型控制逻辑器、现场变送器等。

结合表2，表3和表4可以看出，通过SIL认证的温度变送器、压力变送器、流量计、液位计等B类子系统SFF多在90%～99%，符合SIL2的要求，可以通过冗余配置达到SIL3。

而A类子系统SFF在90%～99%已满足SIL3要求。

SIS投入运行后需进行周期性的离线维护，某些故障或失效只能通过离线的人工测试才能发现，例如变送器的膜盒损坏、引压管的堵塞、测量精度、阀门的腐蚀内漏、阀芯的卡死等［810］。

大多数SIS设备的检验测试在装置的停车大修期间进行。

在低操作要求模式下，检测平均时间间隔T1有3d,6d,1a，一般选用T1=1a，平均恢复时间MTTR=8h。

工程设计中，常见的仪表组合有“1oo1”,“1oo2”,“2oo3”，通过下列步骤分别计算组合后的PFDavg。

1） 

计算通道等效停止时间tCE：

式中：

βD——具有共同原因已被检测到的失效分数；

β——具有共同原因没有被检测到的失效分数，β=2βD。

β的值可根据GB/T20438.6—2006［6］/IEC61508：

2000中的表D.1评分获得，β取值有1%，2%，5%，10%；

对应的βD分别为0.5%，1%，2.5%，5%。

将上述数据分别代入式（5）中验算，结果相差无几，且β评分方法繁琐，为了方便工程计算，现场仪表可统一将β取值为10%，βD取值为5%。

5） 

计算“2oo3”时的PFDavg：

PFDavg=6［（1-βD）λdd+（1-β）λdu］2tCEtGE+

βDλddMTTR+βλduT12+MTTR（6）

将表2内的认证参数代入式

（2）～式（6），可得出分别在“1oo1”，“1oo2”，“2oo3”情况下的PFDavg，并将该值填入表2中。

6） 

分别计算SIF回路中的传感器、逻辑系统、执行元件等的PFDavg后，计算SIF回路系统的平均失效概率PFDsys：

∑PFDsys=∑PFDS+∑PFDL+∑PFDFE（7）

∑PFDS——传感器子系统平均失效概率；

∑PFDL——逻辑子系统平均失效概率；

∑PFDFE——执行元件子系统平均失效概率。

因SIS的设计为故障安全型，电源的失效会将装置带到安全位置，故系统平均失效概率不考虑电源失效。

3ISATR84.00.02 

标准中SIL的验算方法

文献[11]中SIL的计算方法相对简单，未经SIL认证的普通仪表采用IEC61508计算时，λsd，λsu，λdd，λdu无数据可查，此时可通过文献[11]进行SIL验算，步骤如下所示：

计算危险失效故障率λd：

λd=1/MTTFd（8）式中：

MTTFd——平均危险失效前时间,实际验算过程中精确的数值可从供货商处获取仪表平均故障时间MTBF， 

MTTFd=MTBF-MTTR，因MTTR时间很短为8h，则MTTFd≈MTBF［12］。

在MTTFd无数据可循的情况下，可参考文献[11]中part1 

表5.1中5个工厂经验值，详细数据见表5所列。

表5常规仪表平均危险失效前时间a

因λdu=λd×

（1-DC），可假设未经过SIL认证的常规仪表诊断覆盖率DC=0，则λdu=λd。

根据式（7）计算SIF回路的PFDavg。

4应用实例

假设P&

ID中某节点需设置SIF回路，当采用差压变送器测量储罐液位时，液位高高或压力高高时联锁停进料切断阀，如图1所示，该SIF回路经HAZOP，LOPA分析后得出SIF回路的SIL=2。

当现场采用未经SIL认证的普通传感器和执行元件“1oo1”时，SIF回路的PFDavg见表6所列，∑PFDsys=2.7005×

10－2，SIF回路SIL=1，不满足SIL2的要求。

从表6可以看出，SIF回路的PFDavg中现场变送器和执行元件占了大部分的比例，安全栅、继电器、安全型控制逻辑器占比例较少，需降低现场变送器和执行元件子系统的PFDavg。

现场变送器采用“1oo2”，设置双压力变送器和液位变送器，如图2所示。

执行元件采用“1oo2”，设置双切断阀，此时SIF回路的∑PFDsys=4.45×

10－4＜1×

10－2，满足SIL2的要求。

文献[11]中指明，该规范中的计算步骤适用于SIL1和SIL2的SIF回路验证，除非完全掌握简化公式的计算方法和限制条件才可以进行SIL3的SIF回路验证。

2）当SIF回路的现场传感器及执行元件均采用取得SIL认证的仪表时，SIF回路PFDavg见表7所列。

当变送器、不带PVST功能的电磁阀、气动切断球阀采用SIL2认证的产品，与SIL3认证的SM系统、安全栅、继电器构成的“1oo1”SIF回路∑PFDsys=1.503×

10－3，SIF回路SIL=2；

当采用冗余的SIL2认证的变送器、电磁阀、气动切断球阀、安全栅、继电器，与SM系统构成的“1oo2”SIF回路∑PFDsys=8.22×

10－5，SIF回路满足SIL3的要求。

当电磁阀带PVST功能时，其“1oo1”时PFDavg查表2为1.503×

10－5，代入到表7中，采用SIL2认证的变送器、气动切断球阀，与SIL3认证的SM系统、安全栅、继电器、带PVST功能的电磁阀构成的“1oo1”SIF回路∑PFDsys=6.9803×

10－4，SIF回路满足SIL3的要求。

3）当检测器子系统采用未经安全完整性等级认证的普通仪表“1oo2”，执行元件子系统采用经过安全完整性等级认证的不带PVST功能电磁阀、气动切断球阀“1oo1”，如图3所示。

∑PFDsys=1.029×

10－3，满足SIL2的要求。

5结论

SIF回路的SIL验算需大量的数据支撑，准确数据获取不易，对于工程设计而言，可粗略的得出如下结论，方便快速验算：

对一个SIF回路的PFDavg进行分解，传感器子系统约占35%，安全型控制逻辑器约占15%，执行元件子系统约占50%。

SIL2认证的仪表“1oo1”结构PFDavg在10－4左右，“1oo2”结构PFDavg在10－6左右，“2oo3”结构PFDavg在10－5左右，如没有具体数据可参考上述数量级进行粗略计算。

2） 

用于紧急停车功能的安全型控制逻辑器、安全栅、浪涌保护器、继电器宜首选SIL3认证的产品；

对于装置规模较小、联锁简单、事故后果可控的中小型生产企业若LOPA分析所有SIF回路SIL均为1时，可选用SIL2认证的安全型控制器、安全栅等。

3） 

采用质量可靠（MTBF≥50a）、应用广泛、未取得SIL认证的传感器、执行元件子系统构成的“1oo1” 

SIF回路，在传感器子系统和执行元件子系统中仪表数量较少的情况下，基本可满足SIL1的要求。

采用经SIL认证的仪表、或未经SIL认证的普通仪表组成“1oo2”，“2oo3” 

SIF回路、或经过SIL认证的执行元件与未经过SIL认证的“1oo2”，“2oo3”传感器子系统混合型的方式来降低回路的PFDavg以满足SIL2的要求。

采用经SIL认证的传感器子系统与带PVST功能的执行元件配套使用可达到SIL3的要求。

4） 

当传感器子系统采用“1oo2”，“2oo3”的方式时，仪表的取源部件不应共用，以免因取源部件的堵塞导致SIF回路的失效。

GB/T50770—2013《石油化工安全仪表系统设计规范》中，SIL1的回路中测量仪表、控制阀可与BPCS共用；

SIL2的回路中测量仪表、控制阀宜与BPCS分开；

SIL3回路中的测量仪表、控制阀应与BPCS分开［7］。

从LOPA分析来看，BPCS与SIS是两个独立的保护层，如SIF回路中的测量仪表、控制阀与BPCS共用，测量仪表或控制阀的失效可能导致BPCS和SIS的同时失效，破坏SIS保护层的独立性。

因此，在设计过程中SIS中SIF回路的检测仪表、控制阀不建议与BPCS共用，不推荐采用调节阀配电磁阀的方式进行控制、联锁。