怎么使SIL驗證順利通過？研究報告

——怎么使SIL驗證順利通過？研究報告首先我們要明白要通過SIL驗證，必須滿足哪些條件？根據(jù)IEC6150811要求，評估子系統(tǒng)的SIL通過驗證以下三個條件必不可少:（1）低要求操作模式下，在安全儀表功能(SIF)被要求時完成其設計功能的平均失效概率(PFDawg)必須滿足SIL要求。（2）硬件故障裕度（HFT)必須滿足IEC61508中對該SIL的最小HFT要求。（3）系統(tǒng)失效避免及控制要求、軟件要求滿足條件。根據(jù)IEC61508，該因素主要與設備的使用、維護、管理有關。為了能夠滿足上述三個條件并通過SIL驗證，就必須從SIL定級前的準備、SIL定級過程、SIL驗證各階段中做好準備，有針對性的尋找解決方案。特別由于SIL驗證一般在項目設計的中后期，此時很多設備訂貨可能正處于進行中，如果不加以分析，只是盲目的根據(jù)驗證結果增加儀表，結果可能由于SIL驗證的瓶頸并不一定來自硬件架構，那么由此帶來的儀表投資增加就不一定合理，而且還會引起其它相關專業(yè)采購及設計變更；還有為了改善儀表的λ值，盲目的更換儀表類型，這樣表面看來會更好，但是可能不適用特定的工況。所以在SIL驗證階段中，結合SIL驗證報告中給出的合理化建議，分析原因并有針對性的加以研究解決尤為重要。一、SIL定級前1.

盡量采用成熟的設計方案。比如很多國外公司以及國內大型企業(yè)在工藝設計時就進行了Pre-HAZOP和Pre-SIL，這樣不至于后期SIL驗證不通過時對工藝系統(tǒng)再進行大面積修改，又造成不必要的損失。2.

合理的HAZOP分析。當前國內外進行SIL定級采用最多的方法就是LOPA，而LOPA是緊緊依托于HAZOP分析的，因此HAZOP會議中應盡量對各場景做比較完整和合理化的分析，盡可能多的尋找已存在的安全保護措施，為后期的LOPA分析-SIL定級尋找獨立保護層(IPL)做準備。3.

合規(guī)的并帶有SIL認證的儀表。為滿足后期實際SIL驗證的需要，在安全回路設計時所采用的儀表檢測元件、變送器、聯(lián)鎖閥門及執(zhí)行機構通常要求至少SIL2的認證，訂貨時就要求廠家提供SIL的認證報告；對于安全儀表系統(tǒng)(SIS)，應充分考慮設計裝置的歷史成熟經(jīng)驗，一般設計為SIL3等級。二、合理的SIL定級在定級前必須就項目采用的風險矩陣基本原則及安全要求規(guī)格書(SRS)中的基本數(shù)據(jù)與業(yè)主達成共識，否則定級會議時可能產(chǎn)生分歧。（1）后果及嚴重性等級評估。來源于HAZOP報告，請注意該數(shù)據(jù)的量化對于SIL定級至關重要，業(yè)主往往單方面希望提高SIL的等級來提高裝置的安全性，但是EPC要控制投資，有實際國外項目案例表明，最大的分歧在于對資產(chǎn)損失的評估，業(yè)主有時不顧HAZOP報告中的后果嚴重性等級評估結果，在SIL定級會議中單方面夸大財產(chǎn)損失并提高后果嚴重性等級的量化值，這樣會直接提升該SIF回路最終需要達到的風險降低因數(shù)(RRF)的分值，從而提高SIL等級，導致后期驗證很難通過，最后只能通過SIL重新定級來解決。因此在HAZOP及SIL活動期間，對后果嚴重性等級的評估，各要做到盡可能有依有據(jù)，科學合理，不能任憑單方面盲目夸大。（2）場景事故發(fā)生的頻率的評估及確定。場景事故發(fā)生的頻率決定了對事故后果的嚴重性降低的倍數(shù)，最終也會影響SIF回路需要達到的RRF值和SIL等級。（3）獨立保護層的使用。一般引用HAZOP報告中已有的安全保護措施，對其獨立性和有效性進行識別。另可根據(jù)需要，尋找之前HAZOP報告中可能遺漏的IPL。根據(jù)GB/T32857-2016-6.1.2，允許SIL定級會議LOPA分析時補充IPL。一個獨立的IPL能夠至少降低10倍基礎RRF分值，導致SIL的等級可能直接降一個級別，甚至多個IPL能夠將SIL的等級直接降為沒有SIL需求。因此IPL的尋找和使用至關重要，SIL定級會議一旦結束，后期進入SIL驗證階段時，由設計方再次尋找的新的IPL被認可，以此來降低目標SIL并使驗證通過的流程將會變得更加復雜，所以SIL定級會議前足夠的準備是必須的。三、SIL驗證不能通過原因及解決方案經(jīng)過上述措施后，在SIL驗證階段仍可能存在部分SIF不能通過的情況。1.目標RRF分值與實際計算RRF分值非常接近，基本在一個數(shù)量級時。此時應盡量避免做過多的設計修改以及投資變動，解決的優(yōu)先級別建議如下:1）初始驗算時，通常使用驗證軟件數(shù)據(jù)庫中自帶的通用數(shù)據(jù)，但該數(shù)據(jù)往往沒有真實訂貨數(shù)據(jù)好。因此當取得訂貨產(chǎn)品SIL證書后，用實際數(shù)據(jù)驗證就可以顯著提升SFF(安全失效分數(shù))值，進行再次驗算并通過。2）安全柵、繼電器、電磁閥、部分行程測試(以下簡稱PST)等對整個回路的制約:煉油化工裝置中，本安設計為防爆技術的首選，完整安全回路典型接線如下:檢測元件子系統(tǒng)（檢測元件-變送器-輸入安全柵)-邏輯控制單元-最終執(zhí)行元件子系統(tǒng)(輸出安全柵-電磁閥聯(lián)鎖閥門)極個別的情況，當檢測元件比較特殊時，檢測元件不能匹配具有SIL認證型號的安全柵，根據(jù)IEC61508對硬件的約束條件，即使改變架構為1oo3或2oo3也不能過多改變檢測元件子系統(tǒng)的PFDavg值，安全柵成為瓶頸，這時可以考慮設計為隔爆類型，取消安全柵。最終執(zhí)行元件的閥體可靠性非常好，有些可以達到SIL3，但是安全柵或電磁閥有時受限于項目要求的類型不能達到SIL3，如果新增一臺閥門，可能會造成投資及空間浪費，這時可以考慮僅僅增加冗余電磁閥，也有國外項目選用隔爆的電磁閥，直接取消安全柵以減少SIF回路的中間環(huán)節(jié)；同時為提高閥門整體的安全失效分數(shù)(SFF)，可以通過增加PST功能，并可根據(jù)目標RRF分值適當調整PST的頻率，從而提高最終執(zhí)行元件子系統(tǒng)的綜合SFF來通過驗算。3）修改檢測元件子系統(tǒng)或者最終執(zhí)行元件子系統(tǒng)的檢驗測試時間(PTI)。檢驗測試也稱功能測試，指的是人工完成的周期性的離線測試，測試后系統(tǒng)能恢復至或接近于"全新狀態(tài)"。測試的目的主要是進一步發(fā)現(xiàn)安全儀表中的危險失效，通過較為徹底的檢修提高其可靠性，使SIF回路恢復至設計要求的SIL等級。通常PTI等于或近似等于工廠的計劃停工時間，但是為了滿足SIL要求，在具有必要的離線檢驗措施，例如通過設計合理的維護旁路開關(MOS)和各類自動旁路降級架構等，適當減小檢測元件子系統(tǒng)或者最終執(zhí)行元件子系統(tǒng)的PTI并獲得業(yè)主的認可，有利于提高單臺設備的SFF值和SIF回路能達到的RRF分值，從而滿足目標要求。4）修改儀表廠家或型號，提高單臺設備的SFF值，將不能提供SIL認證參數(shù)的廠家或產(chǎn)品換為同類型能提供SIL證書的廠家或產(chǎn)品。5）改變檢測元件表決的架構，增加容錯和HFT值。因為一般檢測元件都比最終執(zhí)行元件投資小，安裝變更小。6）增加最終執(zhí)行元件的SFF值，且盡量避免增加投資大的閥體等設備。一般

最終執(zhí)行元件均屬于A類元件，參考IEC61508-2-2010，當SIF回路要求為SIL2時，如果不冗余配置，應盡量增大單臺執(zhí)行元件的SFF值保證在60%以上；當要求為SIL3時，如果不冗余配置，執(zhí)行元件要具有SIL3認證且SFF值要達到90%以上。當SIF的最終動作包含電機聯(lián)鎖時，設計就盡量選用SIL3或SIL4認證的繼電器。2.目標RRF分值與實際計算分值相差較遠，甚至不在一個數(shù)量級時。按照國外工程公司經(jīng)驗，驗算通不過的基本為SIL2以及以上的回路，針對目標RRF值大于200的SIF，當上述方法明顯無效時，多數(shù)情況下可以通過改變儀表的架構，修改執(zhí)行機構為1oo2的冗余配置，問題基本都能夠解決。更合理的解決方案是想辦法降低SIF回路的目標RRF分值，也就是直接將SIL等級降級，從根源上能解決一切驗證不通過的難題。所以在SIL定級時，如果沒有考慮足夠多的IPL，此時還需要繼續(xù)請工藝一起來分析工藝變更的可能性，最好是通過工藝的途徑來解決。由陶氏洋蔥結構可以看出，解決的優(yōu)先級別應該從洋蔥層的核心入手:1）工藝本質安全設計是避免風險發(fā)生的根源，請考慮是否可能修改工藝設計，本質上消除HAZOP分析中危險場景的風險源。2）與工藝協(xié)商，

DCS中是否可能增加有效的控制回路作為IPL，詳見GB/T32857-2016《保護層分析(LOPA)應用指南》對該類IPL的詳細要求，通常該類IPL只能找1個。3）核實和增加工藝變量報警，這個最容易實現(xiàn)，而且?guī)缀醪辉黾邮裁赐顿Y，但是報警要和操作工的響應配合使用，且要留給操作工足夠的處理時間。注意多個報警只能算一個IPL。4）尋找其他帶有SIL等級的SIS聯(lián)鎖作為IPL。根據(jù)GB/T32857-2016所述，用作IPL的聯(lián)鎖SIL等級越高時，對RRF降低的貢獻越大，很可能將被分析的SIF回路降為沒有SIL等級的要求。5）請工藝檢查安全閥、爆破片的設計是否可作為事故場景有效的IPL。還有最極端的一種可能，無論你使用怎樣的設計變更行為，包括考慮工藝的保護層，均不能通過驗算，甚至該工藝有史以來從來沒有出現(xiàn)過如此高的SIL等級，這時候必須要從根上尋找原因，可能是HAZOP活動或SIL定級活動中對后果嚴重性評估過高，最終只能通過SIL重新定級來解決。從上面分析可以看出，對于一個成熟的工藝，出現(xiàn)