旋转机械联锁系统安全完整性等级（SIL）评估

本资料包含pdf文件1个，下载需要1积分

旋转机械联锁系统安全完整性等级(SIL)评估庄力健，朱建新，方向荣。陈 炜，袁文彬(合肥通用机械研究院，安徽合肥 230031)摘 要： 介绍了联锁系统安全完整性等级(SIL)评估技术 ，并对多台旋转机械的联锁系统进行了评估。通过对评估结果进行分析，提出了目前旋转机械联锁系统中所存在的共性问题，并给出了相应的改进建议。研究结果对旋转机械的联锁系统设置具有参考意义。

关键词： 石化装置，旋转机械，安全联锁系统(SIS)，安全完整性等级(SIL)中图分类号： TH137 文献标识码： A doi：10.3969/j.issn.1005-0329.2013.05.009Study on the Evaluation of Safety Integrity Level(SIL)for SafetyInstrumented Systems in Rotating M achineZHUANG Li-jian，ZHU Jian-xin，Fang Xiang-rong，Chen Wei，YUAN Wen-bin(Hefei General Machinery Research Institute，Hefei 23003 1，China)Abstract：The evaluation of Safety Integrity Level(SIL)for safety instrumented systems(SIS)was introduced.Based on the re·suits from several rotating machinesSIL evaluations，common problems in configuration of safety instrumented systems and the im-provement methods accordingly were put forward.The research findings have referential signifcance for the configuration of safetyinstrumented systems in rotating machines。

Key words：petrochemical plant，rotating machine，safety instrumented systems(SiS)，safety Integrity level(SIL)1 前言大型石化装置普遍采用旋转机械做动力，以适应大流量、长周期连续运转等生产要求。对于大型旋转机械，其造价昂贵，地位特殊，-般都是工厂的核心设备，但是故障诊断与识别非常困难 0 J。如何确保旋转机械在全寿命过程中做到投入最小，风险控制合理，经济效益最好是摆在业界面前的重大难题。

大型旋转机械如大型汽轮机、压缩机或大型气压机组，均有与之配套的联锁系统以保障安全4 j。但是过多的联锁停机，不但减少了生产时间，增加了检修费用，而且容易在开停机过程中发生新的故障乃至事故，同时工艺操作参数的调整亦会对旋转机械的安全长周期运行产生影响。

安全联锁系统的针对性、有效性等方面不合理，可能会导致旋转机械在正常情况下误跳，也不能保证旋转机械本体的安全。如 2010年某百万吨乙烯裂解气压缩机高速反转事故中，联锁完整性不足导致干气密封损坏，经济损失巨大。故在石化装置的旋转机械中开展安全联锁系统安全完整性等级(SIL)评估，合理、有效地设置安全联锁系统，保障石化装置安全，已经成为当前迫切需要解决的问题。

收稿日期： 2012-02-22 修稿日期： 2012-12～14基金项目： 国家科技部863项 目(2007AA04Z430，2009AA044802)；合肥通用机械研究院青年科技基金项 目(2011011269)；国家十二五科技支撑 重点 项 目 (2011BAK06B02)；安 徽 省 国 际科 技 合 作项 目(08080703023)；安徽 省 自然科 学基 金 项 目(11040606M106)；FLUID MACHINERY Vo1.41，No.5，2013(充分性)，联锁系统的安全功能中，需重点就对装置安全而言是必要的联锁系统(必要性)开展分析。依据联锁的充分性与必要性确定联锁回路的性质，从而为安全联锁功能的分析奠定基础并提供依据。确定SIF时，应确认以下4种信息：(1)SIF的描述；(2)要防止的后果的描述；(3)造成后果的初始事件的确定；(4)其它能够防止初始事件演变为事故的安全措施。

确定SIF之后，依据装置的可能失效模式，确定装置的安全功能分配，联锁系统的安全功能，最后以安全功能为单位，对联锁可靠性进行分析。

2.5 定量后果分析及所需的 SIL等级的确定依据失效后果定量计算方法，结合装置的工艺情况以及设备配置情况，定量分析具体装置存在重大失效后果的设备(如加氢裂化装置中的循环氢压缩机，加氢精制反应器)等的失效模式及失效后果，定量计算联锁失效后果，依据联锁的需求率(Demand Rate)，对照风险控制矩阵(RAM)，确定各 SIF所需的SIL等级。

2.6 安全保护层分析保护层即指具有检测、预防或减缓特定事故、潜在的危险事件(如循环氢压缩机超速，反应器飞温、物料溢出、爆炸等)的保护措施。保护层应具有独立性、可依赖性、审核性。

在 SIL技术的研究以及工程应用中，提出了考虑安全完整性要求的保护层分析技术，依据该技术分析得出了石化装置的常见的安全保护层及其安全保护能力，见表 1。

表1 石化过程的安全保护层及安全保护能力保护层 风险降低数值 依据 备注基本过程 10～20 DCS仪表控制系统 使用寿命操作工 10 操作工10min 干预 的反应时间 由PHA确定安全联锁 1-10oo0 IEC61508/6151 1 由可靠性系统 分析确定机械保护 10～ 300 由PHA确定 措施物理防护 10 IEC6l508/6l5l1 由 PHA确定措施应急预案 10 IEC61508/6151 1流程工业安全联锁系统的安全功能分析的对象应包括上述各保护层。例如对于某循环氢压缩机，为防止汽轮机超速损坏叶片而设置的飞锤(机械保护措施)，由于其对超速起到机械保护作用，可作为汽轮机转速高高联锁的-个独立保护层。

2.7 计算联锁回路的安全完整I生等级目前普遍采用的SIL等级计算方法主要有以下几种：(1)简化方程式；(2)可靠性框图计算法；(3)故障树分析法；(4)马尔可夫分析计算法。

简化方程式虽简单易用ⅢJ，但应用范围仅限于与之对应的特定系统结构；同时需满足简化方程式的-些前提和假设；在SIL要求较高的诚，简化方程式的误差无法满足要求；可靠性框图简单H ，清晰直观，只考虑硬件失效，无法考虑软件、人为错误、操作和维修错误；故障树方法具有直观[1 、应用范围广泛和逻辑性强等特点，但对于-个大型复杂系统来说，运用故障树，工作量过大，在构造故障树过程中，难免会遗漏-些造成顶事件发生的失效模式；E/EE/PE系统失效的指数概率密度(常数失效率)符合 Markov模型的无记忆性质。因此，用 Markov模型来分析 SIS安全性是很合适的-l 。

据此，提出了考虑冗余、仪表设置、检维修的改进Markov模型，提出了考虑危险失效与维修的误跳车计算模型，解决了复杂联锁系统可靠性计算难题，并将该计算模型融入到了《通用过程工业功能安全完整性评估系统》 ]，极大的方便了SIL评估工作。

2.8 安全联锁 回路 系统优化和改进根据可接受的风险标准，评估相应装置设备的安全联锁回路是否满足装置长周期安全生产的要求，是否有联锁过度或者不足。对达不到最低安全要求或者联锁过度的回路，提出合理可行的改进建议及措施，并对改进后的联锁回路从新计算联锁可靠性，确立安全等级，直至满足要求为lJ匕。

3 旋转机械 SIL评估示例3.1 评估设备待SIL评估的为某加氢裂化装置的核心设备2013年第41卷第5期 流 体 机 械 4l- 循环氢压缩机，型号：BCL406/A。经该压缩机压缩后的循环氢用于加氢反应、反应器温度调节急冷氢等。当循环氢压缩机停止运行，加氢裂化装置其它主要设备必须立即停止运行，装置随即停产。故压缩机联锁回路对整个装置的可靠性和安全性影响极大。如压缩机联锁系统设计不当，- 种可能的后果是该跳车时不跳，造成拒动作；另- 种可能的后果是不该跳车时跳车，造成误跳车。

拒动作会造成严重甚至灾难性的后果，误动作的直接后果是装置停车，造成巨额的经济损失。以该加裂装置而言，-次误跳车造成的经济损失达188万元，而由此引起的日停产损失高达 100万元。故对该压缩机的联锁系统进行安全和误跳车分析，使联锁系统的性能具有合理的水平，既能防止拒动作，又能避免发生误动作，对于减小事故的发生以及避免经济损失具有重要的意义。

3.2 元件失效概率数据的确定元件的可靠性数据是安全联锁系统功能安全完整性等级评估的基础，目前国际上较通用的工业数据库主要有 DNV的海上设备可靠性数据库(OREDA)，CCPS的过程设备可靠性数据库(PERD)，EXIDA 的 安全 设 备 可 靠性 手 册(SERH)，SINTEF的安全仪表系统可靠性数据(PDS)。通过对多个石化工厂 l0多套装置的功能安全完整性等级(SIL)评估，成功对部件元件的可靠性数据进行了分析与验证，建立了适合我国国情的失效概率数据库，并将该数据库集成到了自主研发的《通用过程工业功能安全完整性评估系统》中，失效概率数据库基本上涵盖了目前石化企业旋转机械所采用的传感器，逻辑求解器，切断阀等元件 。故从该数据库中，可得到该循环氢压缩机各联锁回路 SIL评估所需的所有元件的可靠性数据。

3.3 操作模式的确定在 IEC61508中，定义了2种操作模式：指令操作模式(Demand Mode of Operation)和连续操作模式(Continuous Mode of Operation) 。指令操作模式是指安全联锁系统的操作需求率(DemandRate)不大于每年-次和不大于二倍的检验测试频率。连续操作模式或高操作是指，对-个安全联锁系统提出操作要求的频率大于每年-次或大于二倍的检验测试频率。

在过程工业中，联锁系统在 BPCS常规控制失效，人工操作失误以及工艺异常等工况下均会出现操作要求，如压缩机润滑油压力低低时，停循环氢压缩机，该操作要求出现的频率非常低，依据工业经验，大概为 10年/次。对于该压缩机，所有联锁系统的操作模式均为指令式操作模式。

3.4 安全联锁功能以及所需SIL等级的确定依据 IEC615l1中对安全联锁功能的定义对该压缩机的 SIF进行确认，并定量分析该循环氢压缩机的失效模式及失效后果，定量计算联锁失效后果，依据联锁的需求率，对照风险控制矩阵，确定该压缩机各 SIF所需的 SIL等级。该压缩机的 SIF分析结果以及所需达到的 SIL等级见表 2。

表2 循环氢压缩机SIF及所需的SIL等级SIF编号 安全联锁功能(SIF) 所需的SILSIF1 汽轮机轴温联锁 SILbSIF2 压缩机轴温联锁 SILbSIF3 密封油液位低低联锁 SILlSIF4 汽轮机轴振动联锁 SIL1SIF5 压缩机轴振动联锁 SILlSIF6 汽轮机轴位移联锁 SIL1SIf7 压缩机轴位移联锁 SILlSI 润滑油压力联锁锁 SILlsIF9 控制油压力联锁 S1LbSIFl0 压缩机入口分液罐液位联锁 SILl3.5 硬件 冗余的确定SIF要达到-定的安全完整性等级SIL要求，就必须在结构上达到-定的硬件故障裕度(srr)。IEC61508对此有明确的规定，将设备的故障率分为安全故障与危险故障，安全故障份额由式1计算得到，安全故障比例越高，说明设备在失效状态下发生危险的可能性越小；同时又将设备分为A类型与B类型l2。该压缩机所有的元件设备均为 A类设备。A类设备冗余及可用于的SIL见表3；B类设备冗余及可用于的SIL见表4。该压缩机所使用的部分主要元件设备冗余检查结果见表 5。该循环氢压缩机联锁系统所采用的硬件结构(裕度、安全故障份额)均满足标准要求。

5 % ×-oo%式中 hSD--元件设备的安全可检测故障hso--元件设备的安全不可检测故障入。。--元件设备的危险可检测故障42 FLUID MACHINERY Vo1.41，No.5，2013kDU--元件设备的危险不可检测故障元件设备的失效概率数据 入 。、入 入。卟入。

表 3 A类设备冗余及可用于的SIL硬件冗余可用于的安全完整性等级 安全故障份额0 1 2<60% SIL1 SII2 SII360% ≤90% SIL2 SIL3 SIL490% ≤99% SIL3 SIM SIL4>99% SII3 SIL4 SIL4表4 B类设备冗余及可用于的 SIL硬件冗余可用于的安全完整性等级 安全故障份额O 1 2<60% Not alowed SIL1 SIL260% ≤90% SIL1 SIL2 SIL390% ≤99% SIL2 SII3 SIL4>99% SII3 SIL4 SIL4表 5 部分主要元件设备冗余检查结果SFF 所属 SIF 硬件故 可用于 SIF设备名 的SIL 的最高 结果 (%) 障冗余等级 SIL等级热电阻 80 SILb 2 SI 满足温度变送器 72 SIIJ) 2 SIL4 满足继电器 60 SILb 0 SIL2 满足电磁阀 50 SILb 0 SIL1 满足液位开关 40 SILb 0 SIL1 满足振动探头 25 SILl 1 SIL2 满足压力开关 40 SIL1 1 SI 满足3.6 SIL等级计算利用《通用过程工业功能安全完整性评估系统》 ，查询得到压缩机各元件设备的失效概率数据 、入 、 DD、hDU以及其它相关参数，计算得到各 SIF可达到的SIL等级以及平均无安全故障工作时间(两次误跳车的平均间隔时间 MrlTFS)等参数。该循环氢压缩机各 SIF计算缩果见表6。

3.7 评估结果从评估结果中可以看出，该压缩机存在着严重的误跳车概率过高的问题，同时有少量的联锁回路安全完整性不足。针对以上问题，均给出了相应的改进意见，使所有的联锁回路在满足安全完整性等级的前提下，尽量降低误跳车概率。比如针对 SIF1汽轮机轴温联锁回路误跳车概率过高问题，提出了联锁智能化改造及采用特殊 2002防误跳联锁的建议，改进措施可有效避免误跳车，同时改进后可达到的 SIL等级仍为SILl该改进就可为企业减少 11.2万元/年的潜在经济损失。

表 6 常见循环氢压缩机 SIF的 SIL等级计算结果SIF 要求 达到 误跳车 MTYFS 结论编号 的 SIL 的 SIL (年/次)SIF1 SIIJ) SILl 17.82 误跳频率过高SIF2 SILb SILl 15.1l 误跳频率过高SIF3 SILl SIL1 25.36 合理SIF4 SIL SILb 31.77 安全完整性不足SIF5 SIL1 SILb 31.77 安全完整性不足SIF6 SIL1 SIL1 35.32 合理SIF7 SIL1 SILb 39.93 安全完整性不足SIF8 SIL1 SIL1 22.80 误跳频率过高SIf、9 SILl SILl 25.36 误跳频率过高SIF10 SILl SIL1 25.40 误跳频率过高在对 10多套装置中的9台旋转机械的 SIL评估中发现，旋转机械中，误跳车问题相对较多，误跳车过高的 SIF占据了将近 10%，见图3。同时，l0多套装置的所有误跳车过高的SIF中，旋转机械误跳车过高的 SIF亦占据了64%，见图4。

械安全不足的SIF械误跳车过高的SIF械合理flslv全与误跳车机械误跳车ftSIF原因导致误跳车的SIF图 4 旋转机械联锁 咨误跳车与其它回路误跳车究其原因，则是旋转机械生产厂家，为了在异常工况下确保旋转机械的安全，给相应的旋转机械添加了大量的联锁，导致旋转机械相关的联锁回路过保护，由此引发误跳，导致装置非计划停车，影响装置的长周期安全运行。

杪 ，多 高他 棚舭燃蹁J；萎定2习 -2013年第4l卷第5期 流 体 机 械 434 结语本文介绍了联锁系统安全完整性等级(SIL)评估技术，提出了依据 IEC6151 1标准开展旋转机械联锁系统 SIL评估的流程，依据该评估流程，对10多套装置中的9台旋转机械进行了评估，并通过某加氢裂化装置循环氢压缩机进行了说明。评估中发现旋转机械联锁系统普遍存在着误跳车频率过高的问题。提出的依据 IEC61511标准开展SIL评估的方法，对指导旋转机械开展联锁系统SIL评估 ，解决长周期运行过程中机组的安全及误跳车问题具有指导作用。