海洋平台安全仪表系统设计

海洋平台安全仪表系统设计

孙法强1，董磊1，楚光宇1，陈晓雪2

（1.海洋石油工程有限公司，青岛 266520；2.中国石油化工有限公司东北油气分公司，长春 130062）

摘要

介绍海洋平台典型的安全仪表系统组成的基础上，分析了安全仪表系统的安全完整性等级，并进一步分析了系统硬件可靠性和可用性设计方法，给出了系统逻辑关系的设计重点以及典型的逻辑关系的设计，提出对目前国内研究空白的海洋油气田安全仪表系统安全完整性分析的考虑。

关键词：海洋平台；安全仪表系统；安全完整性；可靠性；可用性；逻辑关系

0 引言

安全仪表系统是由国际电工委员会( IEC)标准IEC 61508 及IEC 61511 定义的专门用于安全的控制系统。安全仪表系统又称为应急关断系统，是海洋平台上最重要的系统之一，其作用是用来提高工艺生产装置及其辅助设备的安全操作，实现事故情况下，使得工艺系统关断以保护平台人员和工程设施的安全，防止环境污染，将事故的损失限制到最小。

1 海洋平台安全仪表系统构成

平台安全仪表系统如图1所示主要由三部分组成：逻辑运算器、检测和执行元件、与过程控制系统的通讯。

图1 平台安全仪表系统组成

为了保证系统的安全可靠，典型的海洋平台安全仪表系统一般采用双冗余结构，即两套完全相同的逻辑运算器，独立供电，其中一个为主，另一个处于热备状态。主、备之间以及和过程控制系统通过通讯板实现信息交换。另外，根据安全完整性等级的要求，系统硬件还有其他多种结构，在系统设计时，详细论述。

2 安全仪表系统的安全完整性等级

安全完整性等级是用于描述安全仪表系统安全综合评价的等级，指在规定的条件下、规

定的时间内，安全系统成功实现所要求的安全功能的概率。安全仪表系统的安全完整性等级越高，安全系统实现所要求的安全功能失败的可能性就越低。IEC61508 标准根据安全系统满足安全要求的程度将安全系统分为4个等级：SIL1~SIL4，SIL1最低，SIL4最高。德国TUV标准将安全度等级分为8个等级：AK1~AK8，AK1最低，AK8最高。ANSI/ ISA 284.01 将安全系统分为3个等级：SIL1~SIL3，SIL1最低，SIL3最高。以IEC61508标准为例，安全完整性等级以故障危险的平均概率( PF Davg)来表述的，对应关系如下：

SIL1 PF Davg = 0.1~0.01

SIL2 PF Davg = 0.01~0.001

SIL3 PF Davg = 0.001~0.0001

SIL4 PF Davg = 0.0001~0.00001

这一定义着重于安全仪表系统执行安全功能的可靠性。在确定安全完整性过程中,应包括所有导致非安全状态的因素，如随机的硬件失效，软件导致的失效以及由电气干扰引起的失效。这些失效的形式，尤其是硬件失效的形式可用测量方法来定量描述。依照IEC61508 的规定，安全仪表系统的可靠性由安全完整性等级来确定。

3 安全仪表系统设计

安全仪表系统设计包括硬件设备设计和逻辑运算设计，系统硬件要安全、可靠，逻辑运算要正确、合理。

3.1 系统硬件设计

系统硬件设计包括：逻辑运算器、检测元件和执行元件的设计，其可靠性和可用性是设计的关键。

系统的可靠性是指在一定的时间间隔内，发生故障的概率。整个系统的可靠性R0(t) 是由组成系统的各单元可靠性（R1 (t) , R2 (t) , R3 (t) …）的乘积，即：R0 (t) = R1(t)R2 (t)R3 (t)…任何一个环节可靠性的下降都会导致整个系统可靠性的下降。可靠性决定系统的安全性。

系统的可用性是指系统可以使用工作时间的概率。可用性不影响系统的安全性，但系统的可用性低可能会导致装置或工厂无法进行正常的生产。

安全仪表系统的可靠性和可用性看起来似乎是一对矛盾体。从工厂所有者的角度看，只要安全仪表系统能够满足设计要求的安全等级就可以了，在此基础上，可用性是系统最主要指标，高的可用性减少了装置无谓的停车，提高生产效率。从维护者角度看，安全仪表系统发生任何故障时，那么系统就需要维修，就存在系统失效导致装置停车的危险，这时系统的低故障率是强调的重点。从设计的角度看，安全仪表系统的可靠性、可用性是相互依存的，没有必要也不能使其分开。确定系统的安全等级后，设计人员应根据装置的具体特点、危险性、危害性等确定PLC采用何种结构(如二重化、三重化、四重化等)，确定系统现场仪表的设置，这个问题甚至可以和业主进行交流，充分了解业主的要求。至于可用性，较高的可用性是生产管理者、维护者和设计者共同的目标，也应该是评价整个系统最基本的指标。

3.1.1逻辑运算器设计

逻辑运算器的可靠性首先应满足安全仪表系统的安全度等级(SIL1~4或AK1~8)，在此基础上，世界各著名的安全仪表系统制造商推出了不同结构的系统，有非冗余的、冗余的、冗余容错的、三重化结构(TMR)、四重化结构(QMR)、这些系统都取得了TUV认证达到相应的安全等级。原则上只要能通过认证，并够达到装置要求的安全等级，那么该逻辑运算器就能应用在该装置上，执行安全保护功能。

常见的逻辑运算器结构有下列几种方式，均采用故障时性能递减的工作方式，图2为三重化结构。

2-1-0 双重化结构：双重化到单系统，到完全失效（联锁停车）的双通道控制器。

3-2-0 三重化结构：三重化到双重化到完全失效（联锁停车）的三通道控制器。

4-2-0 四重化结构：四重化到双重化到完失效（联锁停车）的冗余双通道控制器。

图2 三重化结构示意图

系统的可用性是系统的基本指标，容错是系统提高可用性的重要手段，容错是指控制器或系统在出现故障时仍能正常工作同时又能查出故障的能力。它需要一定的冗余，I/ O模块、电源、通讯模块等的冗余配置是容错实施的基本条件。容错包括3种不同的功能：故障检测、故障鉴别、故障隔离。

3.1.2检测、执行元件的设计

为减少元件自身的故障率，安全仪表系统的检测、执行元件应选用高性能高质量的产品，特别是智能产品、安全水平认证产品。近来世界著名的自动化公司都推出了具有安全水平认证的变送器产品，相关产品达到IEC61508 SIL1~4安全等级并获得TUV认证。使得部分检测元件产品的安全等级（可靠性）有了明确的认定。在检测、执行元件的设置上，国内外相关的标准规范也对此有明确的描述。如SH/T30182 2003描述，SIL2 以上等级的安全仪表系统宜采用独立或冗余配置。冗余配置能够极大地降低系统的故障率，提高系统的可用性。

检测元件常见的冗余方式有两种：双重冗余和三重冗余。双重冗余配置2套完全相同的检测元件。当重点考虑系统的安全性时，冗余传感器信号在PLC内应采用“或”的逻辑运算，即任一检测元件达到安全临界条件均启动安全保护程序；当在安全性满足要求的情况下，重点考虑系统的可用性时，冗余传感器信号在PLC内应采用“与”的逻辑运算，即在2个检测元件同时达到安全临界条件时才能启动安全保护程序。三重冗余配置3套完全相同的检测元件。当检测位置的安全性和可用性均需要保障时，宜采用这种模式设置检测元件，冗余传感器信号在PLC内应采用“3取2”（2 out of 3）的逻辑运算，即在3个检测元件中有2个检测元件达到安全临界条件时才能启动安全保护程序。具体设计时应根据局部检测位置的安全重要程度来确定。

对于执行元件，在独立单台和冗余元件两种方法都有效时，采用高可靠度执行元件通常比执行元件冗余更好，执行元件应优先选用符合IEC61508安全完整性等级并取得相关认证的产品(如电磁阀、智能阀门定位器等)。执行元件采用冗余配置一般有下列两种方式：采用冗余的阀门、每套阀门配套冗余的电磁阀。对于切断回路执行设备应为串联安装的2台切断阀;对于放空回路执行设备应为并联安装的2台放空阀。

冗余设置提高了系统的可靠性和可用性,同时也增加了安全仪表系统的成本。工程设计时，应以满足系统可靠性为原则,合理进行元件的设计。

3.2逻辑运算设计

3.2.1典型逻辑关系

(1) 逻辑运算关系