关于安全仪表系统误动作率符合性验证的探讨

编 辑  | 化工活动家

来 源 | 石油化工自动化 中石化上海工程公司

作 者 | 陈立飞

关键词 | 安全仪表系统  误动作  负荷率

共 3216 字 | 建议阅读时间 15 分钟

导 读

安全仪表系统（SIS）在石油化工行业获得广泛应用，为生产装置的安全运行保驾护航。SIS通过设置联锁或报警等措施，保证生产的正常运转，达到降低事故影响，保障员工人身安全的目的。SIS的可靠性目前已经成为各大企业关注的要点之一，可靠性评估技术已经日趋成熟完善。对于提高该系统可靠性固然重要，但是系统的可用性也不可小觑。安全仪表功能（SIF）回路传感器子系统、逻辑子系统、最终元件子系统存在一定的安全失效概率（λS），可能导致装置误动作联锁停车。对于连续生产的石化装置来说，非计划停车将会带来经济、安全、考核等方面的影响。

确定允许最高误停车率

目前尚没有标准规范对化工装置的STR进行定量的规定。依据T/CIS 71001-2021《化工安全仪表系统安全要求规格书编制导则》，用户应根据实际情况，在安全要求规格书（SRS）中明确“允许最高误停车率”的要求，为SIS的设计、管理提供依据。

以某企业的误停车造成的经济损失与SIF回路允许最高误停车率对比见表1所列。在进行SIL评估的同时，需对每个SIF回路误动作可能造成的经济损失进行分析，并依据表1中不同经济损失对应的允许最高误停车率对每个回路提出要求。

对于企业相关管理规定中没有误停车造成的经济损失与回路允许最高误停车率对照要求表的用户，可以在SIL评估的同时，依据企业自身风险矩阵来确认允许最高误停车率要求。分析单个SIF回路误动作造成的非计划停车的严重性及可能产生的经济后果，根据风险矩阵中该后果可接受的最大频次来确认允许最高误停车率。

本文以中石化安全风险矩阵为例，见表2所列。

假设一个SIF回路误动作会造成装置局部停车，则依据后果严重性分级表财产损失影响部分见表3所列，判断该后果的严重性等级为B级。对照表2风险矩阵，可知严重性等级为B级广泛可接受的发生可能性为10^-3~10^-2/a。即该SIF回路允许最高误停车率要求为STR＜10^-2。

不同用户可依据自身对经济损失的可接受程度、装置规模大小及生产管理要求，对风险矩阵中的后果严重性等级及发生的可能性等级进行调整，使得装置每个回路允许最高误停车率要求更贴合实际需求。

误动作率验证

1

仪表失效数据

仪表失效数据最可靠的来源为先前应用经验，基于目前未有权威数据来源，可以以第三方认证机构出具的SIL认证证书中相关的失效数据作为依据，采用其相关安全失效数据进行验证计算。

 

在役石化装置可以通过对日常SIS运行维护及检验测试时发现的问题进行整理归档，累积日常使用中SIS的相关失效数据，建立该厂的安全仪表失效数据库。由此能反应出随着工厂运行时间增加仪表可靠性的变化，为工厂SIS日常管理提供可靠的支持。因此该厂安全仪表失效数据库的数据对于在役石化装置的验证计算来说更有实际意义。

①对于单个仪表及全厂仪表的意义

针对可修复的仪表，通过仪表失效数据库可以了解单个仪表本体的可靠性变化。对于单个仪表的故障记录可以反映出仪表的浴盆曲线，如图1所示。随着投运时间的增加，仪表经过一段相对失效数量较少的工作寿命后，会在某个特定时间点故障率突然暴增。

对于不可修复的仪表，其意义更多的是针对该仪表型号产品的整体的意义。由于1套石化装置中同型号仪表数量众多，样本基数大，通过对仪表故障的记录，可以在短时间内对1个型号仪表建立相对准确的失效模型，用于SIL计算的失效数据亦优于第三方认证机构出具的SIL认证报告，对于装置来说是更加真实、适用的计算数据。

 

②安全仪表失效模式分析

SIS的失效可能导致其不能对过程危险状况进行响应，不能完成保护功能。SIS的失效也有可能造成系统的误停车，中断正常生产。这些失效方式称为失效模式。分析失效模式对于整个安全仪表系统的影响十分重要。在失效模式定义的基础上才能建立安全仪表失效数据库。根据SIS的可靠性模型和设备的失效数据对该系统进行定量的可靠性分析。该系统的失效模式主要分为安全失效（λS）和危险失效（λD）。

 

１）λD是指那些可能使SIS处于危险状态或失去SIF执行能力的失效。

２）λS是指那些不可能造成SIS处于危险状态或失去SIF执行能力的失效。

 

而λD和λS又可细分为可检测的危险失效λDD，不可检测的危险失效λDU，可检测的安全失效λSD，不可检测的安全失效λSU。所有可检测失效是指可以在日常生产维护过程中发现的失效；不可检测失效是指无法在日常生产维护过程中发现，必须通过检验测试（Proof Test）才能发现的失效。

 

只有对所有故障进行详细的分类整理，建立的安全仪表失效数据库才是准确可用的。

 

2

误动作率验证计算

根据具体情况，选用合适的失效数据，采用ISATR 84.00.02：2015中的公式进行计算，并以“允许最高误停车率”为要求进行符合性验证。该标准在2015年升版后，关于安全仪表回路误动作率（STR）的计算公式部分相较ISATR 84.00.02：2002进行了修改，具体计算步骤如式（1）~式（6）所示：

误动作率的优化方法

在SIL验证过程中，如果出现SIF回路STR不能满足SRS中“允许最高误停车率”要求的情况，就需要优化SIF回路，提高回路STR并重新进行SIL验算，直到满足要求为止。

 

1

选用更可靠的仪表

①新建装置

依据《中国石化建设项目设计安全管理办法》（中国石化安［2018］67号文）3.3.4条规定，在新建项目基础设计阶段“形成安全要求规范，设计符合要求的安全仪表系统，并组织内部审查验证。”。即在基础设计阶段形成SRS，就需要明确各SIF回路的“允许最高误停车率”并进行验证计算。

 

在验证过程中若发现SIF回路无法满足SRS中要求，可选择对SIF回路中各子系统提出要求，建议选用可靠性更高的仪表。设计人员依据SRS及验证报告，确认每台仪表的可靠性要求，确保采购的仪表的失效参数能满足SIF回路的SIL等级要求及STR要求。

 

②在役装置

新建装置验证计算有第三方认证机构出具的SIL认证报告作为理论保证，而在役装置若在3年1次的SIL验证计算中仍使用证书数据，则导致的结果便是无论装置运行多少年，验证结果均无变化。以静态的失效数据作为依据，无法反映仪表随着工作寿命临近，失效暴增的情况。

 

在役装置在有条件的情况下应建立该厂的安全仪表失效数据库。在装置的生命周期内，使用工厂安全仪表失效数据库中的数据以及不完美测试的计算公式进行验证计算，则每3年1次的验证计算结果应该都是动态的。随着投运时间的增加，仪表工作寿命的消耗，每个子系统的失效率理论上会逐步增加。当SIF回路的PFD值或STR值无法满足回路的要求时，便可以此作为依据，将该SIF回路中相关仪表替换为可靠性更高的仪表，使SIF回路的验证能满足SIL等级要求及STR要求。

 

2

调整子系统冗余结构

对于部分使用失效数据更好的仪表后仍无法满足误动作率要求的子系统，可以通过适当调整冗余结构的方式，优化子系统的误动作率。通过调整子系统冗余结构来优化回路的误动作率，应在满足回路可靠性的基础上进行。

 

①传感器子系统

本文以某压力变送器不同子系统结构下PFD及STR计算为例，见表4所列。

从表4计算结果可知，相同条件下（仪表型号、TI及MTTR相同），冗余结构的可用性“2oo2”＞“2oo3”＞“1oo1”＞“1oo2”；冗余结构的可靠性“1oo2”＞“2oo3”＞“1oo1”＞“2oo2”。

 

②最终元件子系统

最终元件子系统一般包括：电机、阀门阀体、执行机构及电磁阀。针对最终元件子系统冗余结构调整，本文建议首选对于电磁阀的结构调整。在满足安全要求的基础上，将原“1oo2”电磁阀调整为“1oo1”，或将原“1oo1”电磁阀调整为“2oo2”，即可适当提高执行元件子系统的可用性。

 

电机部分由于无SIL概念，一般只确保仪表部分误动作率满足要求。阀体和执行机构的结构调整，出于经济及安全性的考虑，一般在工程设计中不作为推荐。除非该回路误动作导致的后果特别严重，且其他优化方案均无法使回路满足“允许最大误停车率”要求时，用户也可在满足可靠性要求的前提下，参考以下优化思路：

 

１）切断阀联锁状态为关闭。联锁状态为关闭的切断阀只能通过将“1oo1”结构调整为“2oo2”结构，即在原管路旁增加旁路并增设1台切断阀。正常工况下2台切断阀常开，联锁状态下2台切断阀同时关闭。

２）切断阀联锁状态为打开。联锁状态为打开的切断阀只能通过将“1oo1”结构调整为“2oo2”结构，即在原切断阀上游或下游增设1台切断阀。正常工况下2台切断阀常关，联锁状态下2台切断阀同时打开。

 

在实际管理过程中，可以结合实际的经济可接受程度、用户的先前应用经验等因素，综合考虑选择最终的优化方案。