海洋平台安全仪表系统设计孙法强1，董磊1，楚光宇1，陈晓雪2（1.海洋石油工程有限公司，青岛 266520；2.中国石油化工有限公司东北油气分公司，长春 130062）摘要介绍海洋平台典型的安全仪表系统组成的基础上，分析了安全仪表系统的安全完整性等级，并进一步分析了系统硬件可靠性和可用性设计方法，给出了系统逻辑关系的设计重点以及典型的逻辑关系的设计，提出对目前国内研究空白的海洋油气田安全仪表系统安全完整性分析的考虑。

关键词：海洋平台；安全仪表系统；安全完整性；可靠性；可用性；逻辑关系0 引言安全仪表系统是由国际电工委员会( IEC)标准IEC 61508 及IEC 61511 定义的专门用于安全的控制系统。

安全仪表系统又称为应急关断系统，是海洋平台上最重要的系统之一，其作用是用来提高工艺生产装置及其辅助设备的安全操作，实现事故情况下，使得工艺系统关断以保护平台人员和工程设施的安全，防止环境污染，将事故的损失限制到最小。

1 海洋平台安全仪表系统构成平台安全仪表系统如图1所示主要由三部分组成：逻辑运算器、检测和执行元件、与过程控制系统的通讯。

图1 平台安全仪表系统组成为了保证系统的安全可靠，典型的海洋平台安全仪表系统一般采用双冗余结构，即两套完全相同的逻辑运算器，独立供电，其中一个为主，另一个处于热备状态。

主、备之间以及和过程控制系统通过通讯板实现信息交换。

另外，根据安全完整性等级的要求，系统硬件还有其他多种结构，在系统设计时，详细论述。

2 安全仪表系统的安全完整性等级安全完整性等级是用于描述安全仪表系统安全综合评价的等级，指在规定的条件下、规定的时间内，安全系统成功实现所要求的安全功能的概率。

安全仪表系统的安全完整性等级越高，安全系统实现所要求的安全功能失败的可能性就越低。

IEC61508 标准根据安全系统满足安全要求的程度将安全系统分为4个等级：SIL1~SIL4，SIL1最低，SIL4最高。

德国TUV标准将安全度等级分为8个等级：AK1~AK8，AK1最低，AK8最高。

ANSI/ ISA 284.01 将安全系统分为3个等级：SIL1~SIL3，SIL1最低，SIL3最高。

以IEC61508标准为例，安全完整性等级以故障危险的平均概率( PF Davg)来表述的，对应关系如下：SIL1 PF Davg = 0.1~0.01SIL2 PF Davg = 0.01~0.001SIL3 PF Davg = 0.001~0.0001SIL4 PF Davg = 0.0001~0.00001这一定义着重于安全仪表系统执行安全功能的可靠性。

在确定安全完整性过程中,应包括所有导致非安全状态的因素，如随机的硬件失效，软件导致的失效以及由电气干扰引起的失效。

这些失效的形式，尤其是硬件失效的形式可用测量方法来定量描述。

依照IEC61508 的规定，安全仪表系统的可靠性由安全完整性等级来确定。

3 安全仪表系统设计安全仪表系统设计包括硬件设备设计和逻辑运算设计，系统硬件要安全、可靠，逻辑运算要正确、合理。

3.1 系统硬件设计系统硬件设计包括：逻辑运算器、检测元件和执行元件的设计，其可靠性和可用性是设计的关键。

系统的可靠性是指在一定的时间间隔内，发生故障的概率。

整个系统的可靠性R0(t) 是由组成系统的各单元可靠性（R1 (t) , R2 (t) , R3 (t) …）的乘积，即：R0 (t) = R1(t)R2 (t)R3 (t)…任何一个环节可靠性的下降都会导致整个系统可靠性的下降。

可靠性决定系统的安全性。

系统的可用性是指系统可以使用工作时间的概率。

可用性不影响系统的安全性，但系统的可用性低可能会导致装置或工厂无法进行正常的生产。

安全仪表系统的可靠性和可用性看起来似乎是一对矛盾体。

从工厂所有者的角度看，只要安全仪表系统能够满足设计要求的安全等级就可以了，在此基础上，可用性是系统最主要指标，高的可用性减少了装置无谓的停车，提高生产效率。

从维护者角度看，安全仪表系统发生任何故障时，那么系统就需要维修，就存在系统失效导致装置停车的危险，这时系统的低故障率是强调的重点。

从设计的角度看，安全仪表系统的可靠性、可用性是相互依存的，没有必要也不能使其分开。

确定系统的安全等级后，设计人员应根据装置的具体特点、危险性、危害性等确定PLC采用何种结构(如二重化、三重化、四重化等)，确定系统现场仪表的设置，这个问题甚至可以和业主进行交流，充分了解业主的要求。

至于可用性，较高的可用性是生产管理者、维护者和设计者共同的目标，也应该是评价整个系统最基本的指标。

3.1.1逻辑运算器设计逻辑运算器的可靠性首先应满足安全仪表系统的安全度等级(SIL1~4或AK1~8)，在此基础上，世界各著名的安全仪表系统制造商推出了不同结构的系统，有非冗余的、冗余的、冗余容错的、三重化结构(TMR)、四重化结构(QMR)、这些系统都取得了TUV认证达到相应的安全等级。

原则上只要能通过认证，并够达到装置要求的安全等级，那么该逻辑运算器就能应用在该装置上，执行安全保护功能。

常见的逻辑运算器结构有下列几种方式，均采用故障时性能递减的工作方式，图2为三重化结构。

2-1-0 双重化结构：双重化到单系统，到完全失效（联锁停车）的双通道控制器。

3-2-0 三重化结构：三重化到双重化到完全失效（联锁停车）的三通道控制器。

4-2-0 四重化结构：四重化到双重化到完失效（联锁停车）的冗余双通道控制器。

图2 三重化结构示意图系统的可用性是系统的基本指标，容错是系统提高可用性的重要手段，容错是指控制器或系统在出现故障时仍能正常工作同时又能查出故障的能力。

它需要一定的冗余，I/ O模块、电源、通讯模块等的冗余配置是容错实施的基本条件。

容错包括3种不同的功能：故障检测、故障鉴别、故障隔离。

3.1.2检测、执行元件的设计为减少元件自身的故障率，安全仪表系统的检测、执行元件应选用高性能高质量的产品，特别是智能产品、安全水平认证产品。

近来世界著名的自动化公司都推出了具有安全水平认证的变送器产品，相关产品达到IEC61508 SIL1~4安全等级并获得TUV认证。

使得部分检测元件产品的安全等级（可靠性）有了明确的认定。

在检测、执行元件的设置上，国内外相关的标准规范也对此有明确的描述。

如SH/T30182 2003描述，SIL2 以上等级的安全仪表系统宜采用独立或冗余配置。

冗余配置能够极大地降低系统的故障率，提高系统的可用性。

检测元件常见的冗余方式有两种：双重冗余和三重冗余。

双重冗余配置2套完全相同的检测元件。

当重点考虑系统的安全性时，冗余传感器信号在PLC内应采用“或”的逻辑运算，即任一检测元件达到安全临界条件均启动安全保护程序；当在安全性满足要求的情况下，重点考虑系统的可用性时，冗余传感器信号在PLC内应采用“与”的逻辑运算，即在2个检测元件同时达到安全临界条件时才能启动安全保护程序。

三重冗余配置3套完全相同的检测元件。

当检测位置的安全性和可用性均需要保障时，宜采用这种模式设置检测元件，冗余传感器信号在PLC内应采用“3取2”（2 out of 3）的逻辑运算，即在3个检测元件中有2个检测元件达到安全临界条件时才能启动安全保护程序。

具体设计时应根据局部检测位置的安全重要程度来确定。

对于执行元件，在独立单台和冗余元件两种方法都有效时，采用高可靠度执行元件通常比执行元件冗余更好，执行元件应优先选用符合IEC61508安全完整性等级并取得相关认证的产品(如电磁阀、智能阀门定位器等)。

执行元件采用冗余配置一般有下列两种方式：采用冗余的阀门、每套阀门配套冗余的电磁阀。

对于切断回路执行设备应为串联安装的2台切断阀;对于放空回路执行设备应为并联安装的2台放空阀。

冗余设置提高了系统的可靠性和可用性,同时也增加了安全仪表系统的成本。

工程设计时，应以满足系统可靠性为原则,合理进行元件的设计。

3.2逻辑运算设计3.2.1典型逻辑关系(1) 逻辑运算关系目前海洋平台的安全仪表系统普遍采用PLC为基础的硬件设备。

安全联锁功能是由逻辑运算实现的，在PLC中是由软件实现的，一般采用布尔代数运算。

一个实际的安全联锁系统通常包括多段逻辑运算。

输入信号对输出的影响，或者说输出对输入信号的响应，即原因导致结果，这就是联锁逻辑关系。

在实际工程中，除了过程信号的原因导致联锁结果外，还应设置一些其他相关操作手段和信号关系，以确保安全联锁系统的可靠性和可用性。

(2) 对触发联锁结果的处理根据工艺过程的具体情况，安全联锁系统发生联锁后的处理方式是不一样的。

对于不是随意可逆的工艺过程，当输入信号越限触发联锁结果后，安全系统应当设置自锁功能，防止过程变量触发安全联锁系统动作后，恢复到正常值时，工艺过程意外地恢复或启动，再次形成事故，对工艺装置和生命安全造成危险。

因为石油化工装置的很多工艺过程的安全联锁过程，不是随意可逆的，特别是致使停压缩机、停加热炉、紧急放空以及停装置等过程。

安全系统动作后，输入信号恢复到正常值时，系统不应自动回到正常状态，应继续保持联锁结果，而应由操作员判断和消除事故，确认系统正常，可以恢复时，人工使系统恢复正常状态。

而有些恢复过程相当于局部甚至全装置的重新开工。

为此，应设置人工恢复(Reset)按钮。

当然，也有一些工艺过程的安全联锁动作是可逆过程，其安全联锁不需要设置自锁功能，系统在过程恢复到正常时，是自动回到正常状态的，也就没有人工恢复过程。

(3) 人为启动联锁和输入信号旁路开关典型的安全联锁设有人工联锁按钮(Manual)，用于需要人为启动联锁的场合。

为装置开工过程系统投运，对某些输入信号要设置旁路开关(Bypass)。

当工艺过程变量还没达到正常值时，暂时切断安全联锁系统的相应输入信号或部分，待过程正常后才能投用。

输入信号旁路开关有时也用于维护和测试过程。

需要注意的是并非每个过程变量都需要输入信号旁路开关，从开工过程考虑，其设置原则是：过程变量低限联锁必须设置，而过程变量高限联锁一般不需要设置。

这样考虑是因为在装置开工过程中，所有的过程变量都是从低到高，如果不把低限联锁信号旁路，装置就无法正常开工。

3.2.2典型逻辑关系设计信号逻辑关系的设计根据真值表或因果图，采用逻辑代数的方法进行化简，列出表达式，按表达式绘出逻辑图。

较为简单的逻辑关系用因果图就可表达清楚，设计也相对简单，但对于多层逻辑关系的复杂逻辑，因果图无法清楚表达，必须绘制逻辑图。

(1) 旁路设计输入信号旁路是用于开工、停工阶段，输入信号不正常时将其旁路的，或是检修、校验输入信号时避免触发联锁系统的。

但不应影响人工联锁，因此，在设计逻辑关系时，仅在输入信号入口将其旁路即可。

另外，为保持报警状态的正确，信号旁路逻辑不应屏蔽报警显示输出。