編 輯  | 化工活動家

來 源 | 石油化工自動化 中石化上海工程公司

作 者 | 陳立飛

關鍵詞 | 安全儀表系統  誤動作  負荷率

共 3216 字 | 建議閱讀時間 15 分鐘

導 讀

安全儀表系統（SIS）在石油化工行業獲得廣泛應用，為生產裝置的安全運行保駕護航。SIS通過設置聯鎖或報警等措施，保證生產的正常運轉，達到降低事故影響，保障員工人身安全的目的。SIS的可靠性目前已經成為各大企業關注的要點之一，可靠性評估技術已經日趨成熟完善。對于提高該系統可靠性固然重要，但是系統的可用性也不可小覷。安全儀表功能（SIF）回路傳感器子系統、邏輯子系統、最終元件子系統存在一定的安全失效概率（λS），可能導致裝置誤動作聯鎖停車。對于連續生產的石化裝置來說，非計劃停車將會帶來經濟、安全、考核等方面的影響。

確定允許最高誤停車率

目前尚沒有標準規范對化工裝置的STR進行定量的規定。依據T/CIS 71001-2021《化工安全儀表系統安全要求規格書編制導則》，用戶應根據實際情況，在安全要求規格書（SRS）中明確“允許最高誤停車率”的要求，為SIS的設計、管理提供依據。

以某企業的誤停車造成的經濟損失與SIF回路允許最高誤停車率對比見表1所列。在進行SIL評估的同時，需對每個SIF回路誤動作可能造成的經濟損失進行分析，并依據表1中不同經濟損失對應的允許最高誤停車率對每個回路提出要求。

對于企業相關管理規定中沒有誤停車造成的經濟損失與回路允許最高誤停車率對照要求表的用戶，可以在SIL評估的同時，依據企業自身風險矩陣來確認允許最高誤停車率要求。分析單個SIF回路誤動作造成的非計劃停車的嚴重性及可能產生的經濟后果，根據風險矩陣中該后果可接受的最大頻次來確認允許最高誤停車率。

本文以中石化安全風險矩陣為例，見表2所列。

假設一個SIF回路誤動作會造成裝置局部停車，則依據后果嚴重性分級表財產損失影響部分見表3所列，判斷該后果的嚴重性等級為B級。對照表2風險矩陣，可知嚴重性等級為B級廣泛可接受的發生可能性為10^-3~10^-2/a。即該SIF回路允許最高誤停車率要求為STR＜10^-2。

不同用戶可依據自身對經濟損失的可接受程度、裝置規模大小及生產管理要求，對風險矩陣中的后果嚴重性等級及發生的可能性等級進行調整，使得裝置每個回路允許最高誤停車率要求更貼合實際需求。

誤動作率驗證

1

儀表失效數據

儀表失效數據最可靠的來源為先前應用經驗，基于目前未有權威數據來源，可以以第三方認證機構出具的SIL認證證書中相關的失效數據作為依據，采用其相關安全失效數據進行驗證計算。

 

在役石化裝置可以通過對日常SIS運行維護及檢驗測試時發現的問題進行整理歸檔，累積日常使用中SIS的相關失效數據，建立該廠的安全儀表失效數據庫。由此能反應出隨著工廠運行時間增加儀表可靠性的變化，為工廠SIS日常管理提供可靠的支持。因此該廠安全儀表失效數據庫的數據對于在役石化裝置的驗證計算來說更有實際意義。

①對于單個儀表及全廠儀表的意義

針對可修復的儀表，通過儀表失效數據庫可以了解單個儀表本體的可靠性變化。對于單個儀表的故障記錄可以反映出儀表的浴盆曲線，如圖1所示。隨著投運時間的增加，儀表經過一段相對失效數量較少的工作壽命后，會在某個特定時間點故障率突然暴增。

對于不可修復的儀表，其意義更多的是針對該儀表型號產品的整體的意義。由于1套石化裝置中同型號儀表數量眾多，樣本基數大，通過對儀表故障的記錄，可以在短時間內對1個型號儀表建立相對準確的失效模型，用于SIL計算的失效數據亦優于第三方認證機構出具的SIL認證報告，對于裝置來說是更加真實、適用的計算數據。

 

②安全儀表失效模式分析

SIS的失效可能導致其不能對過程危險狀況進行響應，不能完成保護功能。SIS的失效也有可能造成系統的誤停車，中斷正常生產。這些失效方式稱為失效模式。分析失效模式對于整個安全儀表系統的影響十分重要。在失效模式定義的基礎上才能建立安全儀表失效數據庫。根據SIS的可靠性模型和設備的失效數據對該系統進行定量的可靠性分析。該系統的失效模式主要分為安全失效（λS）和危險失效（λD）。

 

１）λD是指那些可能使SIS處于危險狀態或失去SIF執行能力的失效。

２）λS是指那些不可能造成SIS處于危險狀態或失去SIF執行能力的失效。

 

而λD和λS又可細分為可檢測的危險失效λDD，不可檢測的危險失效λDU，可檢測的安全失效λSD，不可檢測的安全失效λSU。所有可檢測失效是指可以在日常生產維護過程中發現的失效；不可檢測失效是指無法在日常生產維護過程中發現，必須通過檢驗測試（Proof Test）才能發現的失效。

 

只有對所有故障進行詳細的分類整理，建立的安全儀表失效數據庫才是準確可用的。

 

2

誤動作率驗證計算

根據具體情況，選用合適的失效數據，采用ISATR 84.00.02：2015中的公式進行計算，并以“允許最高誤停車率”為要求進行符合性驗證。該標準在2015年升版后，關于安全儀表回路誤動作率（STR）的計算公式部分相較ISATR 84.00.02：2002進行了修改，具體計算步驟如式（1）~式（6）所示：

誤動作率的優化方法

在SIL驗證過程中，如果出現SIF回路STR不能滿足SRS中“允許最高誤停車率”要求的情況，就需要優化SIF回路，提高回路STR并重新進行SIL驗算，直到滿足要求為止。

 

1

選用更可靠的儀表

①新建裝置

依據《中國石化建設項目設計安全管理辦法》（中國石化安［2018］67號文）3.3.4條規定，在新建項目基礎設計階段“形成安全要求規范，設計符合要求的安全儀表系統，并組織內部審查驗證。”。即在基礎設計階段形成SRS，就需要明確各SIF回路的“允許最高誤停車率”并進行驗證計算。

 

在驗證過程中若發現SIF回路無法滿足SRS中要求，可選擇對SIF回路中各子系統提出要求，建議選用可靠性更高的儀表。設計人員依據SRS及驗證報告，確認每臺儀表的可靠性要求，確保采購的儀表的失效參數能滿足SIF回路的SIL等級要求及STR要求。

 

②在役裝置

新建裝置驗證計算有第三方認證機構出具的SIL認證報告作為理論保證，而在役裝置若在3年1次的SIL驗證計算中仍使用證書數據，則導致的結果便是無論裝置運行多少年，驗證結果均無變化。以靜態的失效數據作為依據，無法反映儀表隨著工作壽命臨近，失效暴增的情況。

 

在役裝置在有條件的情況下應建立該廠的安全儀表失效數據庫。在裝置的生命周期內，使用工廠安全儀表失效數據庫中的數據以及不完美測試的計算公式進行驗證計算，則每3年1次的驗證計算結果應該都是動態的。隨著投運時間的增加，儀表工作壽命的消耗，每個子系統的失效率理論上會逐步增加。當SIF回路的PFD值或STR值無法滿足回路的要求時，便可以此作為依據，將該SIF回路中相關儀表替換為可靠性更高的儀表，使SIF回路的驗證能滿足SIL等級要求及STR要求。

 

2

調整子系統冗余結構

對于部分使用失效數據更好的儀表后仍無法滿足誤動作率要求的子系統，可以通過適當調整冗余結構的方式，優化子系統的誤動作率。通過調整子系統冗余結構來優化回路的誤動作率，應在滿足回路可靠性的基礎上進行。

 

①傳感器子系統

本文以某壓力變送器不同子系統結構下PFD及STR計算為例，見表4所列。

從表4計算結果可知，相同條件下（儀表型號、TI及MTTR相同），冗余結構的可用性“2oo2”＞“2oo3”＞“1oo1”＞“1oo2”；冗余結構的可靠性“1oo2”＞“2oo3”＞“1oo1”＞“2oo2”。

 

②最終元件子系統

最終元件子系統一般包括：電機、閥門閥體、執行機構及電磁閥。針對最終元件子系統冗余結構調整，本文建議首選對于電磁閥的結構調整。在滿足安全要求的基礎上，將原“1oo2”電磁閥調整為“1oo1”，或將原“1oo1”電磁閥調整為“2oo2”，即可適當提高執行元件子系統的可用性。

 

電機部分由于無SIL概念，一般只確保儀表部分誤動作率滿足要求。閥體和執行機構的結構調整，出于經濟及安全性的考慮，一般在工程設計中不作為推薦。除非該回路誤動作導致的后果特別嚴重，且其他優化方案均無法使回路滿足“允許最大誤停車率”要求時，用戶也可在滿足可靠性要求的前提下，參考以下優化思路：

 

１）切斷閥聯鎖狀態為關閉。聯鎖狀態為關閉的切斷閥只能通過將“1oo1”結構調整為“2oo2”結構，即在原管路旁增加旁路并增設1臺切斷閥。正常工況下2臺切斷閥常開，聯鎖狀態下2臺切斷閥同時關閉。

２）切斷閥聯鎖狀態為打開。聯鎖狀態為打開的切斷閥只能通過將“1oo1”結構調整為“2oo2”結構，即在原切斷閥上游或下游增設1臺切斷閥。正常工況下2臺切斷閥常關，聯鎖狀態下2臺切斷閥同時打開。

 

在實際管理過程中，可以結合實際的經濟可接受程度、用戶的先前應用經驗等因素，綜合考慮選擇最終的優化方案。