劉東輝，張國立，王鑫章，孫恪成，董海杰

（中海油能源發(fā)展股份有限公司采油服務(wù)分公司，天津 300450）

在生產(chǎn)過程中，安全系統(tǒng)可以在出現(xiàn)危險(xiǎn)情況征兆的時(shí)候及時(shí)采取相應(yīng)措施，防止危險(xiǎn)事件發(fā)生，避免潛在的危險(xiǎn)對人身、設(shè)備、環(huán)境造成傷害，從而最大程度上減輕其后果造成的損失。在以石油、天然氣開采運(yùn)輸、石油化工、發(fā)電和化工等為代表的過程工業(yè)領(lǐng)域，以安全保護(hù)和抑制減輕災(zāi)害為目的的安全儀表系統(tǒng)（SIS），現(xiàn)階段已廣泛應(yīng)用于各種工藝或設(shè)備防護(hù)場合。隨著自控技術(shù)和工業(yè)安全理念的深入人心，安全儀表系統(tǒng)已從傳統(tǒng)的過程控制概念中逐漸凸顯出來，與基本過程控制系統(tǒng)（如DCS）并駕齊驅(qū)，成為自控領(lǐng)域的一個(gè)重要分支。

當(dāng)前各大公司正在積極開展“資產(chǎn)完整性工作”。其實(shí)質(zhì)上就是針對不同屬性的設(shè)備采用不同的基于風(fēng)險(xiǎn)分析的評價(jià)方法。而AIM中基于風(fēng)險(xiǎn)評估方法主要有以下幾點(diǎn)。（1）基于風(fēng)險(xiǎn)評估的設(shè)備檢驗(yàn)RBI（Risk Base Inspection）。用于儲罐等設(shè)備與工藝管道的風(fēng)險(xiǎn)檢測，以提高設(shè)備可靠性、降低設(shè)備的維修費(fèi)用。（2）以可靠性為中心的維修RCM（Reliability Centered Maintenance）。用來確定動(dòng)設(shè)備預(yù)防性維修需求、優(yōu)化維修制度的一種系統(tǒng)工程方法。以最小的維修和資源消耗為目標(biāo)來優(yōu)化系統(tǒng)的維修策略。（3）全完整性等級SIL。在一定時(shí)間、一定條件下，安全儀表系統(tǒng)能成功地執(zhí)行其安全功能的概率，其數(shù)值代表著安全儀表系統(tǒng)使過程風(fēng)險(xiǎn)降低的數(shù)量級。

顯然SIL是資產(chǎn)完整性管理風(fēng)險(xiǎn)評價(jià)體系中的一部分，對SIL的研究也是對AIM開展工作的支持。

1 SIL評估過程和結(jié)果分析

國內(nèi)外從事的SIL評估項(xiàng)目主要以會議為主，采用人工分析、記錄和整理，并編制評估報(bào)告，評估結(jié)果受參會人員的風(fēng)險(xiǎn)評價(jià)能力影響較大。本文通過對海洋石油工業(yè)中FPSO安全儀表系統(tǒng)的SIL評估相關(guān)內(nèi)容，論述了SIL評估的一般方法，并對其結(jié)果進(jìn)行了討論。

1.1 SIL的評估方法

對于不是專業(yè)研究安全儀表系統(tǒng)功能的技術(shù)人員來說，很難體會出SIL評估中的科學(xué)性和應(yīng)用價(jià)值。本文從關(guān)鍵步驟入手對SIL評估過程進(jìn)行分析說明：SIL評估的總體思路是在不考慮現(xiàn)有SIS等防范措施的情況下，從人員傷亡、財(cái)產(chǎn)損失、環(huán)境影響和社會影響等角度分析受控設(shè)備（Equipment Under Control，EUC）可能產(chǎn)生的事故及事故的危害程度，確定其所需的SIL等級，然后再逐一分析現(xiàn)有的安全防護(hù)措施是否達(dá)到EUC所需的SIL等級，若不能，則需要提高現(xiàn)有SIS系統(tǒng)的SIL等級，以確保EUC能在可接受的風(fēng)險(xiǎn)內(nèi)安全運(yùn)行。

1.1.1 SIL的等級分配

由SIL等級分配評估流程（圖1）可以看出在選擇完EUC后，就要識別安全儀表功能（safety instrumented function，SIF）。以圖2為例可以看出如果壓力容器的壓力過高SIS就將關(guān)閉ESD閥。圖1中的初始風(fēng)險(xiǎn)就是沒有SIS系統(tǒng)時(shí)，EUC可能產(chǎn)生的事故以及事故的危害程度。接著依據(jù)風(fēng)險(xiǎn)可接受準(zhǔn)則來確定此SIF是否需要SIL等級。風(fēng)險(xiǎn)矩陣和可接受準(zhǔn)則是在開始SIL分析之前，需根據(jù)公司現(xiàn)有的風(fēng)險(xiǎn)標(biāo)準(zhǔn)建立，該矩陣和風(fēng)險(xiǎn)準(zhǔn)則需與公司的風(fēng)險(xiǎn)標(biāo)準(zhǔn)相一致。一般風(fēng)險(xiǎn)矩陣和風(fēng)險(xiǎn)準(zhǔn)則見表1和表2，依據(jù)表1確定了風(fēng)險(xiǎn)的相應(yīng)的分?jǐn)?shù)，對照表2就可以知道哪些風(fēng)險(xiǎn)是可以接受的哪些風(fēng)險(xiǎn)是不能接受的。需要說明的是在表2中P2的風(fēng)險(xiǎn)區(qū)域，即按照適當(dāng)可行的低投資回報(bào)（ALARP）的原則確定的系統(tǒng)的可容忍風(fēng)險(xiǎn)，這個(gè)指標(biāo)顯然是有很大彈性的。

表1 風(fēng)險(xiǎn)矩陣和風(fēng)險(xiǎn)可接受準(zhǔn)則

表2 風(fēng)險(xiǎn)等級定義

圖2 容器中壓力控制回路

由圖1可知，如果初始風(fēng)險(xiǎn)不滿足風(fēng)險(xiǎn)可接受準(zhǔn)則，就要計(jì)算在安全儀表功能中的“獨(dú)立保護(hù)層”的要求時(shí)失效概率（Probability of Failure on Demand，PFD）。PFD在獨(dú)立保護(hù)層中的意義為：當(dāng)過程中發(fā)生了危險(xiǎn)情況需要保護(hù)層執(zhí)行保護(hù)動(dòng)作時(shí)，卻因失效而不能完成保護(hù)功能的概率。海洋石油工業(yè)中獨(dú)立保護(hù)層及其PFD值見表3。

表3 獨(dú)立保護(hù)層及其PFD值

圖1 SIL等級分配評估流程

顯然獨(dú)立的保護(hù)層會降低系統(tǒng)的初始風(fēng)險(xiǎn)，如果這時(shí)EUC中的獨(dú)立的保護(hù)層使得系統(tǒng)發(fā)生風(fēng)險(xiǎn)的概率達(dá)到了風(fēng)險(xiǎn)可接受準(zhǔn)測的要求，那么說明該SIF不需要SIL等級，否則這時(shí)與風(fēng)險(xiǎn)可接受準(zhǔn)則之間PFD的差距就要靠SIL等級來彌補(bǔ)。SIL的值代表了風(fēng)險(xiǎn)降低的數(shù)量級，可以通過平均要求時(shí)失效概率（PFDavg）計(jì)算安全完整性水平。報(bào)告中給出SIL等級劃分見表4。

表4 SIL等級劃分

1.1.2 SIL的等級驗(yàn)證

在對每一個(gè)SIF確定了SIL等級要求后，通過定量計(jì)算，以驗(yàn)證安全儀表系統(tǒng)是否能達(dá)所需SIL等級要求，對滿足要求的進(jìn)一步確定相應(yīng)的測試計(jì)劃，對不滿足要求的，則提出改進(jìn)建議，并使用改進(jìn)建議來重新進(jìn)行驗(yàn)算。流程如圖3所示。

SIL的驗(yàn)證過程主要是計(jì)算SIF中各個(gè)部件的可靠性數(shù)據(jù)，然后選定一年為測試周期計(jì)算整個(gè)回路的PFD值。在圖3中如果第一次計(jì)算的PFD值不滿足SIL在上節(jié)中的等級要求時(shí)，其做法是縮短測試的周期然后再次計(jì)算?？s短測試周期然后重新計(jì)算顯然得到的PFD值要小一些，然而測試周期越小則測試越頻繁，這也會對企業(yè)帶來相應(yīng)的成本上升。功能測試周期對系統(tǒng)的整體性能有著重要的影響。定量的求出最優(yōu)功能測試頻率是可以實(shí)現(xiàn)的，同時(shí)也可以繪制出系統(tǒng)性能隨功能測試頻率變化的曲線，可以直觀的看出功能測試周期與風(fēng)險(xiǎn)降低的關(guān)系。如參考文獻(xiàn)[7]給出的一個(gè)目標(biāo)性能指標(biāo)隨功能測試間隔變化的曲線的例子（圖4）。由圖4可以看出，在功能測試間隔為8個(gè)月的時(shí)候，其RRF的值最大，也就是說系統(tǒng)的PFD值最低，并不是典型值1年或者3年。

圖3 SIL等級驗(yàn)證流程

圖4 測試間隔與風(fēng)險(xiǎn)降低關(guān)系曲線

1.2 SIL評估結(jié)果分析與討論

以常見的FPSO單點(diǎn)SIL分析報(bào)告為例，其中根據(jù)SIL等級分配結(jié)果（表5）和SIL驗(yàn)算的結(jié)果（表6），給出了建議。報(bào)告中根據(jù)SIL等級分配結(jié)果給出的建議為：（1）建議1號氣滑環(huán)的就地重油罐的溢流管線閥門鎖關(guān)。（2）建議在新增的1100 L的LRU罐上增加液位變送器并產(chǎn)生LAHH聯(lián)鎖，以減少誤動(dòng)作率。（3）如果可燃?xì)馓筋^誤動(dòng)作率較高，建議考慮SPM上2個(gè)可燃?xì)馓筋^同時(shí)給出關(guān)斷信號時(shí)，才啟動(dòng)ESD；一個(gè)探測到只給出高高報(bào)警。

表5 部分SIL等級分配結(jié)果

表6 部分SIL計(jì)算結(jié)果

從第一條建議可知“就地重油罐的溢流管線閥門鎖關(guān)”是防止閥門改變其狀態(tài)的一種處理手段，往往這樣的處理是要結(jié)合現(xiàn)場經(jīng)驗(yàn)的，同時(shí)按照閥門狀態(tài)計(jì)算其SIL等級也一定是滿足要求的。第二條和第三條建議是為了減少安全儀表系統(tǒng)誤報(bào)而采取的措施。報(bào)告中沒有對為什么要減少誤報(bào)和誤動(dòng)作進(jìn)行定量的計(jì)算說明，特別的建議（3）中說：“如果可燃?xì)馓筋^誤動(dòng)作率較高，建議考慮……”顯然這樣的語言是不嚴(yán)謹(jǐn)?shù)?。在SIL分析中有一個(gè)與要求時(shí)失效概率PFD并列存在的概率就是安全失效概率（Probalility of Failing Safely，PFS）。PFS是指安全儀表功能失效造成過誤停車的概率。PFS通俗講就是危險(xiǎn)條件還沒有出現(xiàn)時(shí)就將系統(tǒng)置于某種安全狀態(tài)的失效概率。人們不但希望安全儀表系統(tǒng)是安全的，而且也希望由安全儀表系統(tǒng)所造成的誤停車越低越好。報(bào)告沒有PFS的計(jì)算，只是依據(jù)常識2oo2的雙通道系統(tǒng)來降低可燃?xì)怏w探頭的誤動(dòng)作率是缺乏依據(jù)的，報(bào)告中應(yīng)該加入PFS的定量計(jì)算的內(nèi)容，來判斷安全儀表系統(tǒng)的誤操作情況。

報(bào)告中根據(jù)SIL驗(yàn)證計(jì)算結(jié)果建議如下：（1）建議M74-PT-4013每3個(gè)月測試一次，M74-SDV-410每月進(jìn)行PST測試（部分行程測試），每年進(jìn)行全行程測試，則M74-PALL401回路的SIL等級可滿足要求。（2）SPM系統(tǒng)中的其他安全儀表系統(tǒng)，包括變送器、PLC和SDV閥門，原則上須每年進(jìn)行測試。

由表6可以看出除氣體外輸管線上的PALL回路計(jì)算不滿足要求外，其余均滿足達(dá)到或超過評估的SIL等級。其給出的改造建議就是增加測試的頻率，本文認(rèn)為對M74-PT-401可以討論是否可以使用1oo2或者2oo2的雙通道結(jié)構(gòu)，這樣可以增大其相關(guān)安全儀表設(shè)備的測試周期，減少工作量和節(jié)省測試成本。

3 結(jié)束語

通過對常見的單點(diǎn)SIL分析報(bào)告的研究，在解釋其評估流程圖的同時(shí)提出了完善SIL評估過程的建議。

（1）按照適當(dāng)可行的低投資回報(bào)（ALARP）的原則確定的系統(tǒng)的可容忍風(fēng)險(xiǎn)，應(yīng)給予量化計(jì)算，以行業(yè)經(jīng)驗(yàn)或者計(jì)算最壞的情況，SIL等級是否滿足其要求的PFD。

（2）對于功能測試計(jì)劃計(jì)算求出最優(yōu)功能測試頻率，同時(shí)繪制出系統(tǒng)性能隨功能測試頻率變化的曲線，以便直觀地看出功能測試周期與風(fēng)險(xiǎn)降低的關(guān)系。

（3）在進(jìn)行PFD計(jì)算的同時(shí)也應(yīng)當(dāng)進(jìn)行PFS的計(jì)算，進(jìn)行SIS冗余設(shè)計(jì)的時(shí)候充分考慮誤停車帶來一些影響，避免由于誤停車而帶來的生產(chǎn)中斷的情況。

（4）在給出SIL評估建議時(shí)，應(yīng)該計(jì)算至少2種方案，比較給出最佳的SIS設(shè)計(jì)和改造方案。

通過對現(xiàn)場安全儀表設(shè)備失效數(shù)據(jù)的長時(shí)間的積累，形成SIS相關(guān)數(shù)據(jù)庫，同時(shí)還應(yīng)該不斷收集現(xiàn)場關(guān)于線路改造和事故原因的經(jīng)驗(yàn)，這樣就能逐漸形成企業(yè)自己的SIS設(shè)計(jì)能力，做好“資產(chǎn)完整性工作”。