，，

(南通中遠(yuǎn)船務(wù)工程有限公司，江蘇 南通 226000)

第7代鉆井船憑借卓越的超深水鉆井能力和原油試采處理功能，已得到諸多石油公司的重視和認(rèn)可。為了有效保障海洋油氣開采作業(yè)人員和設(shè)備的安全，針對目標(biāo)鉆井船油氣處理模塊開展安全儀表系統(tǒng)的安全完整性驗(yàn)證評估，此舉極大地降低了油氣泄漏污染海洋環(huán)境的風(fēng)險，具有重要研究應(yīng)用價值。

目前，在海洋工程行業(yè)，新建或改建的海洋石油平臺一般都要開展風(fēng)險評估并配置相應(yīng)安全等級的安全儀表系統(tǒng)。國際上專門制定了一系列相關(guān)標(biāo)準(zhǔn)，比如面向安全儀表系統(tǒng)制造和供應(yīng)商的標(biāo)準(zhǔn)IEC61508[1]，面向安全儀表系統(tǒng)設(shè)計、集成和用戶的 ISA-S84.01[2]和 IEC61511[3]。為了評估方便，國際上通過引入“要求時平均失效概率”(average probability of failure on demand， PFDavg)這一評估安全完整性的指標(biāo)。

基于前期對研發(fā)鉆井船油氣處理模塊裝置開展的危險和風(fēng)險分析，辨識安全儀表功能，并確定安全儀表功能應(yīng)具有的目標(biāo)安全完整性等級(SIL)。本文考慮通過計算油氣處理模塊執(zhí)行安全儀表功能(SIF)回路的PFDavg和安全失效分?jǐn)?shù)(SFF)，進(jìn)而驗(yàn)證某個執(zhí)行儀表安全功能的安全儀表系統(tǒng)(SIS)其安全完整性是否達(dá)到該儀表安全功能的SIL要求。

1 驗(yàn)證要求

為了保證執(zhí)行某個儀表安全功能的SIS其安全完整性滿足該儀表安全功能的SIL要求，IEC 61508(1-7)給出了相應(yīng)SIS設(shè)計和操作規(guī)范的安全要求。

IEC 61508規(guī)范依據(jù)PFDavg值，將安全完整性分為離散的4個等級，安全完整性等級1為最低，安全完整性等級4為最高，見表1。

表1 低要求操作模式下安全功能的目標(biāo)失效量

3)安全完整性的結(jié)構(gòu)約束要求：按照子系統(tǒng)類型(劃分為類型A或B)，由硬件故障裕度(HWFT)和安全失效分?jǐn)?shù)(SFF)以確定系統(tǒng)的安全完整性等級，進(jìn)而從半定量角度驗(yàn)證構(gòu)成執(zhí)行安全儀表功能(SIF)的回路是否整體達(dá)到設(shè)計的SIL要求。安全回路中的設(shè)備在對應(yīng)類型下系統(tǒng)結(jié)構(gòu)SIL要求見表2。

2 驗(yàn)證方法

2.1 PFDavg計算方法(定量要求)

基于PDS方法[4]對執(zhí)行SIF回路的PFDavg值進(jìn)行計算，進(jìn)而完成定量角度的SIL驗(yàn)證評估。

通常PDS方法簡化計算PFDavg時，一般包含共因部分和獨(dú)立部分。針對目前常用的安全回路結(jié)構(gòu)總結(jié)對應(yīng)的計算公式見表3。

表2 系統(tǒng)結(jié)構(gòu)約束要求

表3 MooN 結(jié)構(gòu)下PFD獨(dú)立部分 和 PFD共因部分 簡化計算公式

注*： 對于NooN結(jié)構(gòu)，其PFDavg中共因部分和獨(dú)立部分均包含在計算式中

表中，修正因子CMooN由下式計算獲得。

(1)

j=2,3,,N

(2)

β2為1oo3冗余結(jié)構(gòu)下3個元件中2個發(fā)生共因失效時，第3個元件發(fā)生失效的概率。通常定義：β2=0.5，β3=0.6，β4=0.7，β5=0.8，β6=0.9和βk=1.0(k≥7)，因此，修正因子CMooN體現(xiàn)了表決結(jié)構(gòu)對共因失效強(qiáng)度的影響，統(tǒng)計結(jié)果見表4。

表4 表決結(jié)構(gòu)修正因子CMooN統(tǒng)計結(jié)果

λDU為未檢測到的總危險失效率；β為未檢測到的危險失效共因失效因子；τ為功能測試時間間隔，h。

進(jìn)一步考慮IEC 61508規(guī)范要求，依據(jù)《PDS方法手冊》中5.2.4章節(jié)所述，IEC 61508規(guī)范中要求時失效概率(PFDIEC)數(shù)值等于PDS方法中要求時失效概率(PFDPDS)與修復(fù)期間的系統(tǒng)安全功能失效概率(DTUR)之和。

PFDIEC=PFDPDS+DTUR

(3)

修復(fù)期間的系統(tǒng)安全功能失效概率(DTUR)是指設(shè)備維修期間發(fā)生的危險失效而導(dǎo)致的系統(tǒng)安全功能失效。設(shè)備維修期間內(nèi)系統(tǒng)的平均不可用時間為MTTR(mean time to failure)，包括從發(fā)現(xiàn)設(shè)備失效到維修完成這段時間，這段時間內(nèi)，設(shè)備失效是已知的，系統(tǒng)的安全功能失效也是已知的。

針對目標(biāo)鉆井船油氣處理模塊安全儀表系統(tǒng)，結(jié)合實(shí)際建造生產(chǎn)情況，假設(shè)：功能測試并非完全理想，無法100%發(fā)現(xiàn)所有失效，即功能測試覆蓋率PTC<1。

未檢測到的危險失效λDU假設(shè)部分在功能測試期間被檢測到，則檢測到失效率為PTC·λDU，測試間隔時間為τ，而剩下部分假設(shè)在(子)系統(tǒng)的壽命期內(nèi)完全被檢測到，即對應(yīng)的檢測到失效率為(1-PTC)λDU，測試間隔時間為T。

由于MTTR≤τ，依據(jù)《PDS方法手冊》5.3.2章節(jié)所述：PTC<1時，DTUR影響小，可忽略不計。因此，得出常用安全回路結(jié)構(gòu)的PFDavg計算公式，見表5。

表中PTC為功能測試覆蓋率；T為(子)系統(tǒng)的壽命期內(nèi)測試間隔時間，h。

表5 MooN結(jié)構(gòu)下PFDavg計算公式

2.2 安全失效分?jǐn)?shù)SFF計算方法(半定量要求)

硬件故障裕度N是指當(dāng)出現(xiàn)N+1個錯誤會導(dǎo)致安全功能的喪失，而安全失效分?jǐn)?shù)(SFF)的定義見下式。

(4)

式中：λS為安全總失效率；λD為危險總失效率；λCritical為總失效率(影響安全功能)；λDD為檢測到的總危險失效率；λDU為未檢測到的總危險失效率。

依據(jù)設(shè)備商提供的功能安全認(rèn)證證書及相關(guān)材料，獲取對應(yīng)元件的系統(tǒng)類型(A或B)、硬件故障裕度(HWFT)及相關(guān)計算參數(shù)，結(jié)合安全失效分?jǐn)?shù)(SFF)和表2以確定執(zhí)行SIF回路的安全完整性等級，進(jìn)而完成油氣處理模塊SIS的SIL半定量驗(yàn)證評估。

3 應(yīng)用實(shí)例

依據(jù)HAZOP(hazard and operability analysis)分析結(jié)果可知，當(dāng)啟動原油工藝處理單元時，需對一級分離器體內(nèi)先進(jìn)行注氣增壓。為了保證注入氣體溫度不低于罐體設(shè)計最低溫度，此處通過增設(shè)溫度傳感器來預(yù)警注入氣體溫度低的情形，并由邏輯控制器處理信號，最終執(zhí)行切斷注氣的關(guān)閥操作。

為證明系統(tǒng)能夠?qū)崿F(xiàn)上述功能，基于HAZOP、LOPA(layers of protection analysis)分析結(jié)果，結(jié)合流程工藝和儀表功能設(shè)計，確定元件的結(jié)構(gòu)和型號，運(yùn)用上述SIL驗(yàn)證方法，完成該執(zhí)行SIF回路的SIL驗(yàn)證評估，步驟如下。

第一步。確定執(zhí)行SIF回路的元件和結(jié)構(gòu)，見圖1。

第二步。確定執(zhí)行SIF回路的目標(biāo)SIL。基于HAZOP、LOPA(layers of protection analysis)分析結(jié)果，該SIF回路的SIL 要求為SIL2，目標(biāo)PFDavg值為2.00×10-3。

第三步：確定執(zhí)行SIF回路各元件可靠性數(shù)據(jù)(依據(jù)廠商提供的安全功能認(rèn)證證書及相關(guān)資料)。

第四步：執(zhí)行SIF回路的SIL 等級的驗(yàn)證計算評估，見表6。

由表6可知：①該執(zhí)行SIF的回路整體PFDavg為1.73×10-3(小于目標(biāo)值2.00×10-3)，故滿足SIL2等級要求；②選用元件其SIL等級均達(dá)到SIL2及以上水平。

因此，無論從定量驗(yàn)證角度還是半定量驗(yàn)證角度，該執(zhí)行SIF的回路均可滿足SIL2等級要求，說明該回路硬件選型及結(jié)構(gòu)的合理性，可確保整個SIF回路的安全功能實(shí)現(xiàn)。

4 結(jié)論

1)從SIL驗(yàn)證角度分析來看，提高SIS安全等級的途徑有：硬件結(jié)構(gòu)確定、測試間隔τ確定、硬件選型等，即通過采用適當(dāng)?shù)娜哂嘟Y(jié)構(gòu)或多樣性設(shè)計，開展頻繁的驗(yàn)證測試，選用高可靠性的設(shè)備，特別是具有高診斷覆蓋率的產(chǎn)品等。

2)從硬件設(shè)備選型來看，在優(yōu)選符合安全要求的硬件設(shè)備時，盡量選擇經(jīng)過實(shí)踐證明或具有安全認(rèn)證(Exida、TUV、FM Global等)證書的產(chǎn)品。

表6 執(zhí)行SIF回路的SIL等級的驗(yàn)證計算評估

3)對于執(zhí)行SIF回路的硬件來講，危險失效風(fēng)險總是存在的，倘若硬件SIL評估過低，則易造成系統(tǒng)采用不必要的冗余結(jié)構(gòu)或硬件設(shè)備，會增加系統(tǒng)成本；反之，則易造成安全隱患，使過程風(fēng)險概率增加。因此，SIS設(shè)計須兼顧安全性和經(jīng)濟(jì)性，從而最大限度地將過程風(fēng)險控制在容許風(fēng)險以內(nèi)。