林 斌，劉 赟

（711研究所，上海 201108）

0 引 言

海洋工程平臺的生產(chǎn)運行環(huán)境惡劣，工況復(fù)雜，一旦發(fā)生安全事故，不但會造成人員和裝備的重大損失，往往還會對海洋環(huán)境造成不可逆轉(zhuǎn)的嚴(yán)重破壞，甚至對整個社會生活秩序和國民經(jīng)濟的正常運作產(chǎn)生負面影響。

海洋工程平臺的應(yīng)急關(guān)斷系統(tǒng)是在平臺生產(chǎn)裝置或設(shè)備可能發(fā)生危險或若不采取緊急措施情況將繼續(xù)惡化時及時響應(yīng)，使平臺生產(chǎn)運行進入一個預(yù)定義的安全停車工況的系統(tǒng)。該系統(tǒng)在海洋工程平臺的安全控制和管理中起著舉足輕重的作用。因此，有必要對該系統(tǒng)的安全完整性進行分析。

1 系統(tǒng)功能安全相關(guān)標(biāo)準(zhǔn)

近年來，國際電工委員會先后出臺了 IEC61508安全相關(guān)系統(tǒng)標(biāo)準(zhǔn)、IEC61511流程工業(yè)部門標(biāo)準(zhǔn)、IEC62061機械部門標(biāo)準(zhǔn)和IEC61513核工業(yè)部門標(biāo)準(zhǔn)，逐步形成了功能安全標(biāo)準(zhǔn)的國際體系。根據(jù)IEC61508及IEC61511標(biāo)準(zhǔn)的相關(guān)定義[1,2]，應(yīng)急關(guān)斷系統(tǒng)是執(zhí)行安全功能的安全相關(guān)系統(tǒng)。功能安全是安全相關(guān)系統(tǒng)的關(guān)鍵屬性，指安全相關(guān)系統(tǒng)執(zhí)行的安全功能本身的安全性，取決于安全功能的正確執(zhí)行。安全完整性水平是指安全相關(guān)系統(tǒng)實現(xiàn)某種安全功能的能力大小。根據(jù)IEC61508標(biāo)準(zhǔn)，安全完整性是指安全相關(guān)系統(tǒng)在規(guī)定的時間內(nèi)、規(guī)定的條件下，成功實現(xiàn)所需安全功能的概率，即安全功能能夠被有效執(zhí)行的能力。而安全完整性等級（Safety Integrity Level，SIL）則用于衡量這種能力的大小。SIL等級的確定或評估以風(fēng)險作為度量標(biāo)準(zhǔn)。SIL等級根據(jù)“平均要求時失效”概率（Probability of Failure on Demand，PFDavg）的值分為四個離散的等級，即SIL1～SIL4。表1是在低要求操作模式下，SIL等級與PFDavg的對應(yīng)關(guān)系。

表1 SIL與PFDavg對應(yīng)關(guān)系

海洋工程平臺在設(shè)計之時需要對各種可能的危險和過程風(fēng)險進行系統(tǒng)安全分析，危險性分析報告中包括了關(guān)于過程風(fēng)險的各種信息，以及已有的保護層和為了提高安全性需要增加的安全功能。再根據(jù)危險事件發(fā)生的頻率和后果嚴(yán)重程度最終確定應(yīng)急關(guān)斷系統(tǒng)所需要達到的SIL等級[3]。

2 海洋工程平臺應(yīng)急關(guān)斷系統(tǒng)

圖1為我所設(shè)計制造的某海洋工程平臺應(yīng)急關(guān)斷系統(tǒng)。由安全傳感器、應(yīng)急關(guān)斷按鈕、安全控制器、安全執(zhí)行機構(gòu)和上位操作站組成，要求安全完整性等級達到SIL3。該應(yīng)急關(guān)斷系統(tǒng)的輸入信號分為手動關(guān)斷按鈕信號和溫度、壓力等安全傳感器信號；安全執(zhí)行機構(gòu)主要是應(yīng)急關(guān)斷閥門。上位機操作員站和工程師站通過冗余的以太網(wǎng)通信監(jiān)控應(yīng)急關(guān)斷系統(tǒng)的狀態(tài)。

圖1 應(yīng)急關(guān)斷系統(tǒng)組成

選用ROCKWELL公司的AADvance安全控制器，其CPU模塊和I/O模塊使用雙重冗余結(jié)構(gòu)，安全控制器獲得德國TUV認證，達到SIL3。其模塊組成和布置如圖2所示。其中灰色底的模塊參與安全功能。

每個I/O模塊都有微處理器并提供通訊診斷功能，輸出和輸入通道有電子保護功能。各自獨立的安全控制器從每條總線上接受這些輸入信號并對這些信號進行表決，兩個安全控制器中的每一個 CPU通過總線將邏輯狀態(tài)結(jié)果送至輸出子系統(tǒng)，輸出模塊對結(jié)果進行表決后輸出至執(zhí)行單元。

3 安全完整性評估與驗證

在該應(yīng)急關(guān)斷系統(tǒng)中選取一個典型的安全回路進行安全完整性水平評估，驗證其PFDavg能夠達到設(shè)計要求。安全回路一般由傳感器、邏輯控制器、最終執(zhí)行設(shè)備組成。該安全回路中，對應(yīng)有一套壓力傳感器、一套冗余的安全控制器和兩個冗余的應(yīng)急關(guān)斷閥門。壓力傳感器送出兩路故障安全信號給安全控制器，兩個應(yīng)急關(guān)斷閥門為氣開式，串聯(lián)布置在管道上，任何一個閥門關(guān)閉，都可以關(guān)閉管道。

圖2 安全控制器模塊結(jié)構(gòu)

現(xiàn)采用可靠性方塊圖對安全控制器的可靠性進行分析。安全控制器輸入配置為 1oo2方式，處理器環(huán)節(jié)采用雙冗余結(jié)構(gòu)，開關(guān)量輸出環(huán)節(jié)配置為兩個冗余的輸出，他們分別驅(qū)動兩套應(yīng)急關(guān)斷閥門。3個環(huán)節(jié)之間使用1oo2表決機制傳輸信號。圖3為該安全控制器的可靠性方塊圖。

假設(shè)該應(yīng)急關(guān)斷系統(tǒng)平均離線測試間隔為1a，平均修復(fù)時間為8h。表2是根據(jù)Rockwell公司的安全控制器手冊[4]查詢得到的在上述條件下CPU模塊和IO模塊的PFDavg。

圖3 安全控制器可靠性方塊圖

表2 安全回路中各個元件的PFDavg

根據(jù)控制器結(jié)構(gòu)，進一步計算得到由這些模塊組成的安全控制器的PFDc[5]：

根據(jù)壓力傳感器和控制閥門選型的相關(guān)參數(shù)，可將安全回路的傳感器、安全控制器和執(zhí)行機構(gòu)的PFDavg列表如表3所示。

表3 安全回路中各個元件的PFDavg

最終，該安全回路的PFDavg為：得出最終的PFDavg為6.75×10-4，該安全回路達到了SIL3的要求。

4 結(jié) 語

海上工程平臺應(yīng)急關(guān)斷系統(tǒng)作為平臺安全系統(tǒng)工程的組成部分，是確保平臺安全生產(chǎn)的關(guān)鍵環(huán)節(jié)。特別是對其安全完整性等級的評估，使整個平臺的安全水平有了量化的指標(biāo)，從而使安全控制系統(tǒng)的設(shè)計更加科學(xué)和完善。整個系統(tǒng)的安全完整性水平，不僅取決于回路主要元件的安全完整性等級，還與整個回路的設(shè)計、安裝、施工和維修密切相關(guān)。

[1] IEC61508. Functional Safety of Electrical/Electronic/Programmable Electronic Safety-Related Systems. International Electrotechnical Commission[S].

[2] IEC61511.Functional Safety-Safety Instrumented Systems for the Process Industry Sector. International Electrotechnical Commission[S].

[3] 李園園，陳國明. 海洋平臺安全監(jiān)測與控制系統(tǒng)安全完整性評估技術(shù)研究[D]. 北京：中國石油大學(xué)碩士論文，2011.

[4] Rockwell Automation. AADvance Controller PFHavgand PFDavgData[R].U.S.

[5] 包 蕾. 淺析平均要求失效率PFDavg計算[J]. 中國石油和化工，2010(12): 62-64.