王 凱

(海洋石油工程股份有限公司，天津 300451)

0 引言

隨著海上油氣田的不斷勘探開發(fā)，越來越多的石油平臺被投入使用。在油氣生產(chǎn)過程中，中央控制系統(tǒng)起著至關重要的作用[1-2]。它主要進行工藝參數(shù)的指示報警、數(shù)據(jù)處理、偏差調(diào)節(jié)以及關斷等操作。安全儀表系統(tǒng)(safety instrumentation system，SIS)作為中控系統(tǒng)的重要組成部分，其主要功能是在緊急情況下(如發(fā)生故障、火災)執(zhí)行相應的操作，例如關斷閥關閉、放空閥打開、消防泵啟動等,從而保護工藝過程的正常運行和平臺的安全[3]。鑒于安全儀表系統(tǒng)的重要性，探討其設計流程及相關注意事項具有重要的現(xiàn)實意義。

1 安全儀表系統(tǒng)范圍

安全儀表系統(tǒng)包括傳感器、輸入電路、邏輯控制器、輸出電路、終端元件以及與其他系統(tǒng)的接口電路等。它的作用是在出現(xiàn)故障時，切斷危險源與系統(tǒng)的聯(lián)系，使工藝流程處于安全狀態(tài)。按測量參數(shù)分類，傳感器主要分壓力、溫度、流量、液位四種；輸入輸出信號主要包括模擬輸入(analog input，AI)、數(shù)字輸入(digital input,DI)、模擬輸出(analog output,AO)、數(shù)字輸出(digital output，DO)等；邏輯控制器大多采用PLC實現(xiàn)控制功能；而終端元件包括關斷閥、電磁閥、電機和泵等。

2 安全儀表系統(tǒng)設計流程

安全儀表系統(tǒng)的設計流程通常也稱為安全生命周期,即從開始、概念過程到該系統(tǒng)停止工作為止。安全儀表系統(tǒng)設計流程如圖1所示。

圖1 安全儀表系統(tǒng)設計流程圖

2.1 概念過程

概念過程是對受控設備(equipment under control，EUC)及環(huán)境情況有全面的認識，從而保證整個安全生命周期的順利進行。它要求確定危險源和危險種類(如有毒性、易燃、腐蝕等)，收集設計需要的相關規(guī)范；另外還需要注意鄰近受控設備由于相互關聯(lián)而可能導致的危險。

2.2 總體范圍定義

總體范圍定義一方面包括受控設備和安全控制系統(tǒng)的界定，另一方面包括危險性和風險性的分析。受控設備指根據(jù)生產(chǎn)過程的要求而需要進行參數(shù)控制的設備?？刂葡到y(tǒng)則包括從傳感器到執(zhí)行器的整個回路，它保證了控制功能的具體實現(xiàn)。危險性和風險性的分析，既要考慮外部因素和子系統(tǒng)的工作狀況對系統(tǒng)的影響，又要考慮偶然性故障因素。

2.3 應用非SIS保護

在實際生產(chǎn)中，工藝流程往往比較復雜，控制要求也很高，所以SIS的應用是大勢所趨。

2.4 定義安全完整性等級

在確定需要采用SIS以后，必須先定義目標系統(tǒng)的安全完整性等級(security integrity level，SIL)。儀表設備及系統(tǒng)的設計必須滿足安全完整性等級的要求。

2.4.1 期望故障率

期望故障率(probability of failure on demand，PFD)反映了正常情況下系統(tǒng)停止響應的概率值。PFDavg是指系統(tǒng)在一定的時間間隔內(nèi)SIS的平均值。其通常采用以下公式計算：

PFDavg=∑PFDse+∑PFDls+∑PFDfe

(1)

式中：PFDse為傳感器和輸入接口電路的期望故障率；PFDls為邏輯控制器的期望故障率；PFDfe為執(zhí)行元件和輸出電路的期望故障率。

SIL與平均故障率關系如表1所示。

表1 SIL與平均故障率關系

在某安全系統(tǒng)中，∑PFDse=0.01、∑PFDls=0.02、∑PFDfe=0.01，那么平均故障率為：

PFDavg=0.01+0.02+0.01=0.04

(2)

根據(jù)表1 可知，該系統(tǒng)屬于SIL1。

2.4.2 確定SIL的具體操作

SIL的具體定義工作主要由專門的過程安全小組完成，參與人員包含直接負責設備操作和具有豐富維修經(jīng)驗的人員。小組人員還應了解過程及設備操作的基本技術、設備或者復雜過程系統(tǒng)的工作原理。

2.4.3 安全完整性等級的確定方法

①安全保護層矩陣法。

基于對過程危險的定性理解，需要對后果危害及影響有一個定性的評估[4]。安全保護層矩陣法需要識別各種發(fā)生的事件及其潛在的后果。

②故障樹法。

故障樹是一種表示故障后果的邏輯圖表[5]。從傳感器故障等基本事件開始一直到頂級事件故障或事故，都被列在圖表上。

③改進HAZOP法。

改進HAZOP法的本質是對工藝圖紙和操作規(guī)程進行分析[6]。它包括了對后果的嚴重性、發(fā)生的可能性以及其他相關風險因素的考慮。從有效性方面評估降低風險的建議?；谶@些評估過程，過程安全小組決定是否采用這些推薦意見，或者決定現(xiàn)在的風險控制措施是否足夠。

2.5 編制安全要求說明書

安全要求說明書由安全功能要求和安全完整性要求兩部分組成[7]。安全功能包括定義已確定事件的過程安全狀態(tài)、SIS輸入及動作設定點、SIS的輸出及作用和復位功能等許多方面[8]。安全完整性要求包括安全系統(tǒng)的SIL等級及其診斷、維修、試驗和可靠性方面的要求。

2.6 概念設計與詳細設計

概念設計是根據(jù)安全要求說明書，對SIS的理論設計進行驗證，以保證其滿足安全要求規(guī)格書[9]。詳細設計是整個設計過程的重要環(huán)節(jié)。設計不僅要考慮滿足安全完整性等級要求、SIS動作前后的狀態(tài)和手自動復位等方面，還要考慮環(huán)境和危險區(qū)域劃分對安全儀表系統(tǒng)的影響等。

2.6.1 傳感器要求

傳感器主要負責工藝參數(shù)的檢測。傳感器的工作穩(wěn)定性直接決定了整個控制回路的質量。

在一些設計中，基礎過程控制系統(tǒng)(basic process control system，BPCS)通常與SIS共用一個傳感器。對于要求不高的場合，如SIL1時，其平均故障率范圍為10-1～10-2，故共用傳感器的做法是合適的。但是對于等級要求較高的場合，如SIL2 時，BPCS與SIS都應該設置單獨的傳感器。如果采用公用傳感器，一旦傳感器在過程控制系統(tǒng)的設定點以下范圍失效，而此時實際控制參數(shù)已經(jīng)超過設定值，出現(xiàn)的情況可能是BPCS系統(tǒng)根據(jù)檢測元件故障前的值進行反方向的調(diào)節(jié)，這就加大了工藝參數(shù)與設定點的偏差；而SIS卻得不到控制參數(shù)超出或低于安全限的信號，這就導致了安全系統(tǒng)的動作失敗。因此，傳感器分離是必要的。對于SIL3，系統(tǒng)對傳感器提出了更高的要求，有時要求采用不同的傳感器，從而防止同一產(chǎn)品存在相同故障或隱患。

2.6.2 SIS執(zhí)行元件的要求

大多數(shù)系統(tǒng)的執(zhí)行功能是由關斷閥來實現(xiàn)的。對于SIL1，只要閥的平均故障率滿足安全等級要求，調(diào)節(jié)閥(帶電磁閥的)可同時應用于過程控制系統(tǒng)和安全系統(tǒng)。需要明確的是，調(diào)節(jié)閥對安全系統(tǒng)的響應不僅要快于控制系統(tǒng)，而且要具有足夠的優(yōu)先權，這樣才能保證安全方面的要求。對于SIL2和SIL3，調(diào)節(jié)閥(關斷閥)的分離就顯得非常重要。例如在某個工藝過程，BPCS和SIS共用調(diào)節(jié)閥。正常情況下，調(diào)節(jié)閥根據(jù)控制器的輸出對流量進行調(diào)節(jié)，安全系統(tǒng)在緊急情況下能夠實現(xiàn)調(diào)節(jié)閥完全關閉，以保證后續(xù)工藝過程的安全。極端情況下，當調(diào)節(jié)閥在開的狀態(tài)時發(fā)生故障，例如被卡住，而此時恰巧發(fā)生了危險，要求SIS關閉該調(diào)節(jié)閥，這就產(chǎn)生了矛盾。目前，海洋石油平臺通常采用調(diào)節(jié)閥與關斷閥(或放空閥)分離的方法。

在PY30-1項目中，安全完整性等級為3級。因此，在設計中對于同一參數(shù)的測量，控制系統(tǒng)與安全系統(tǒng)的傳感器采用了不同的分離設計。例如在燃料氣洗滌器的液位控制中，當液位太高時，液體有可能被燃料氣從洗滌器的頂部帶走，對后續(xù)的工藝過程產(chǎn)生不利影響，因此設置了液位的高限報警。當液位過低時，燃料氣會從洗滌器的底部進入壓力較低的火炬分液罐。為滿足工藝要求，采用了兩個液位傳感器。一個傳感器用于緊急停車(emergency shutdown device,ESD)系統(tǒng)。當液位過高時，ESD系統(tǒng)發(fā)出信號使燃料氣入口管路的關斷閥動作，以防止液體溢流；當液位過低時，ESD系統(tǒng)發(fā)出關斷信號至火炬分液罐管線上的關斷閥，防止氣體進入火炬分液罐。另一個傳感器用于過程控制系統(tǒng)，傳感器信號進入分布式控制系統(tǒng)(distributed control system，DCS)，控制器根據(jù)設定液位，在偏差運算后，輸出調(diào)節(jié)信號至調(diào)節(jié)閥，以此來控制液位高度。即使BPCS 系統(tǒng)的液位變送器故障或調(diào)節(jié)閥故障，ESD系統(tǒng)由于采用分離液位變送器和關斷閥，在緊急情況下能迅速關斷，從而保證系統(tǒng)安全。

2.6.3 SIS控制器的要求

邏輯控制器的內(nèi)部設計主要由廠商來完成。首先，應了解邏輯控制器的有關接口設備和軟件等方面的情況，如輸入、輸出模塊，通信和公用軟件等。其次，廠商應提供控制器的平均無故障時間(mean time to failure，MTTF)、隱性故障模式清單等。邏輯控制器負責信息的處理和動作指令的發(fā)出，它是SIS的關鍵環(huán)節(jié)；同時，由于它又是軟件和硬件的結合體，這就決定了邏輯控制器具有更高的故障率或更多的隱患。因此，對SIL1、SIL2和SIL3來說，安全系統(tǒng)和過程控制系統(tǒng)相互獨立是比較普遍的。為了進一步提高安全等級，經(jīng)常采用控制器的冗余設計。

2.6.4 輸入/輸出接口電路要求

輸入/輸出接口是聯(lián)系現(xiàn)場與控制器的橋梁，它們通過輸入/輸出模塊來實現(xiàn)數(shù)據(jù)的傳輸功能。通常情況下，輸入/輸出通道由廠商來完成其設計工作，能滿足不同的SIL等級要求，而且要得到第三方機構認證。

SIS的主要部分設計涉及冗余理論的應用，而且冗余也在系統(tǒng)安全中扮演了十分重要的角色。下面將詳細介紹冗余的結構形式及具體功能的實現(xiàn)。

2.6.5 冗余的幾種形式

表2列出了幾種常見的冗余形式。

表2 幾種常見的冗余形式

2.7 安全儀表系統(tǒng)的安裝和調(diào)試

根據(jù)詳細設計，對安全儀表系統(tǒng)進行安裝、調(diào)試和預啟動試驗，使其性能符合安全要求規(guī)格書。主要內(nèi)容包括檢查設備接線、動力源、安全設備設定點，關斷順序動作、旁通及復位，手動關斷流程以及相關文件的整理。

在這個過程中，需要設計人員的參與，以便協(xié)調(diào)設計與現(xiàn)場施工的銜接問題，保證系統(tǒng)的順利應用。

2.8 安全儀表系統(tǒng)操作和維護

SIS投入使用后，操作人員經(jīng)過培訓或通過對操作手冊的學習，進行安全儀表的操作和維護以及周期性的功能試驗等工作。當SIS需要修改時，設計人員應根據(jù)現(xiàn)場的要求，對SIS系統(tǒng)的概念過程或者其他環(huán)節(jié)進行分析和設計。

2.9 安全儀表系統(tǒng)的停運

在SIS失效或系統(tǒng)沒有安全要求的情況下，安全系統(tǒng)停運，但必須要評估停運SIS對相鄰操作單元和設備的影響。

3 結束語

目前，工藝過程對系統(tǒng)安全性能的要求不斷提高，這也對儀表的設計工作提出了更高的要求，而設計工作的優(yōu)劣直接影響生產(chǎn)能否安全、平穩(wěn)地運行。因此，在進行安全儀表設計時，設計人員應以國際標準和行業(yè)標準作為指導，不斷學習新的技術，優(yōu)化整體設計。同時，在進行儀表選型時，應充分考慮后期維護和維修的成本，盡可能選取標準產(chǎn)品，減少項目的整體投資。

[1] 朱春麗,洪毅,丁傳暉.海洋石油平臺安全儀表系統(tǒng)安全完整性等級評估缺[J].化工自動化及儀表,2014,41(4):410-413.

[2] 聶炳林,張劍波,林波.海洋石油平臺自控儀表系統(tǒng)的安全設計[J].石油工程建設,2003,29(3):23-24.

[3] 張雙亮,李慶濤.海洋石油平臺安全儀表系統(tǒng)的設計與應用[J].自動化儀表,2011,32(9):83-86.

[4] 朱常龍,蔣軍成,袁雄軍.保護層分析方法探討[J].工業(yè)安全與環(huán)保,2013,39(11):39-41.

[5] 許榮,車建國,楊作賓,等.故障樹分析法及其在系統(tǒng)可靠性分析中的應用[J].指揮控制與仿真,2010,32(1):112-115.

[6] 張艷輝,陳曉春.改進的HAZOP風險評價方法[J].中國安全生產(chǎn)科學技術,2011(7):174-178.

[7] 劉宇,王惠平.介紹海洋石油平臺安全儀表系統(tǒng)的功能安全評估技術方法[J].自動化應用,2016(3):33-35.

[8] 沈學強,白焰.安全儀表系統(tǒng)的功能安全評估方法性能分析[J].化工自動化及儀表,2012,39(6):703-706.

[9] 李菲.海洋石油平臺安全儀表系統(tǒng)分析[J].工程技術,2016(34):181.