鄧銳，劉美佳，平洋，付勃昌，杜剛

(1. 海洋石油工程股份有限公司，天津 300451；2. 中海石油(中國(guó))有限公司 天津分公司，天津 300452)

安全儀表系統(tǒng)(SIS)用于監(jiān)控生產(chǎn)工藝流程的狀態(tài)，判斷危險(xiǎn)產(chǎn)生的條件，并在危險(xiǎn)出現(xiàn)時(shí)采取相應(yīng)的動(dòng)作防止危險(xiǎn)的發(fā)生或危險(xiǎn)進(jìn)一步的擴(kuò)大，為防止生產(chǎn)裝置損壞、人員損傷以及環(huán)境污染等造成的重大損失起到了至關(guān)重要的作用，而SIS的可靠性則是重中之重。在IEC 61511： 2016[1]和IEC 61508： 2010[2]中對(duì)SIS可靠性的衡量進(jìn)行了量化，即安全完整性等級(jí)(SIL)。在SIS設(shè)計(jì)過(guò)程中正確的SIL定級(jí)是系統(tǒng)設(shè)計(jì)的基礎(chǔ)。

1 SIL定級(jí)

通常SIS由測(cè)量?jī)x表、邏輯控制器以及最終元件組成。測(cè)量?jī)x表負(fù)責(zé)測(cè)量監(jiān)控工藝流程中各項(xiàng)指標(biāo)，如壓力、溫度、液位等；邏輯控制器相當(dāng)于SIS的“大腦”，對(duì)測(cè)量值進(jìn)行邏輯判斷，并決定是否做出相應(yīng)保護(hù)動(dòng)作；最終元件執(zhí)行邏輯控制器發(fā)出的指令，防止危險(xiǎn)的發(fā)生或進(jìn)一步擴(kuò)大化。SIS功能的好壞，直接關(guān)系到生產(chǎn)、人員、環(huán)境等的安全，確定一個(gè)合理評(píng)價(jià)SIS安全可靠性的衡量方法至關(guān)重要。

1.1 安全完整性等級(jí)

IEC 61508規(guī)定了衡量SIS可靠性的一項(xiàng)重要量化指標(biāo)為SIL，SIL是指為規(guī)定SIS應(yīng)達(dá)到的安全完整性要求而分配給安全儀表功能(SIF)的離散等級(jí)。SIL等級(jí)越高，設(shè)備安全性越高，故障發(fā)生概率越低。

參照IEC 61511中要求，SIL等級(jí)劃分為SIL4，SIL3，SIL2，SIL1共4個(gè)等級(jí)，在低要求模式下運(yùn)行的SIF，SIL與要求時(shí)危險(xiǎn)失效平均概率(PFDavg)和目標(biāo)風(fēng)險(xiǎn)降低因子(RRF)關(guān)系見表1所列。

表1 低要求模式下安全完整性等級(jí)劃分

1.2 SIL定級(jí)的方法

SIL定級(jí)應(yīng)確定每個(gè)SIF及其所需要的SIL等級(jí)，通常根據(jù)分析控制回路中設(shè)備故障導(dǎo)致的對(duì)人員、財(cái)產(chǎn)、環(huán)境影響后果的嚴(yán)重性來(lái)確定。進(jìn)行SIF的SIL定級(jí)時(shí)，一般先假設(shè)沒有設(shè)置SIS，只考慮過(guò)程控制系統(tǒng)、預(yù)報(bào)警和機(jī)械防護(hù)設(shè)備等對(duì)危險(xiǎn)的降低作用，然后根據(jù)危險(xiǎn)發(fā)生的概率及其所產(chǎn)生后果的危害程度，依據(jù)公認(rèn)的判定方法，確定相應(yīng)的SIL等級(jí)。當(dāng)前石化行業(yè)中常用的分析方法為安全層矩陣法、風(fēng)險(xiǎn)圖表法、修正風(fēng)險(xiǎn)圖表法、保護(hù)層分析法。

1.2.1 安全層矩陣法

安全層矩陣法是基于分類的方法，首先要辨識(shí)出保護(hù)對(duì)象具有的獨(dú)立保護(hù)層，然后確定風(fēng)險(xiǎn)發(fā)生的可能性以及風(fēng)險(xiǎn)造成后果的嚴(yán)重程度，最后依據(jù)獨(dú)立保護(hù)層與事件后果、可能性構(gòu)成的矩陣確定SIL等級(jí)。安全層矩陣法示例如圖1所示，矩陣中縱坐標(biāo)表示具有的獨(dú)立保護(hù)層數(shù)，橫坐標(biāo)為后果嚴(yán)重程度與發(fā)生概率的組合。將危險(xiǎn)事件發(fā)生的概率分為低、中以及高概率，根據(jù)嚴(yán)重程度及發(fā)生概率確定危險(xiǎn)事件后果嚴(yán)重程度。矩陣中每個(gè)單元格代表的是在相應(yīng)危險(xiǎn)事件后果和可能性下，分析SIF所需達(dá)到的SIL等級(jí)。

圖1 安全層矩陣法示意a)——不需要獨(dú)立SIS保護(hù)層；b)——一個(gè)SIL3的SIF可能不能提供足夠的風(fēng)險(xiǎn)降低，需附加復(fù)審；c)——一個(gè)SIL3的SIF不能提供足夠的風(fēng)險(xiǎn)降低，為了降低風(fēng)險(xiǎn)需附加修改

1.2.2 修正風(fēng)險(xiǎn)圖表法

修正風(fēng)險(xiǎn)圖表法是一種半定性的分析方法，在風(fēng)險(xiǎn)圖表法的基礎(chǔ)上對(duì)評(píng)價(jià)參數(shù)進(jìn)行了一定的量化修正，如圖2所示。

圖2 修正風(fēng)險(xiǎn)圖表法示意1)——無(wú)特殊安全要求；2)——單獨(dú)一個(gè)SIF不夠

圖2中，C為后果參數(shù)，包括人員安全影響后果、環(huán)境影響后果以及財(cái)產(chǎn)損失影響后果；F為暴露在危險(xiǎn)區(qū)域的頻率，僅在對(duì)人員安全影響評(píng)估時(shí)用；P為避免危險(xiǎn)事件的概率；W為在考慮SIF不存在時(shí)，每年發(fā)生危險(xiǎn)事件的次數(shù)。

該分析方法采用以上4個(gè)參數(shù)確定SIL等級(jí)，在確定評(píng)價(jià)參數(shù)的分類之后，根據(jù)對(duì)人員安全、財(cái)產(chǎn)損失、環(huán)境污染的后果分析，可判定出各后果所對(duì)應(yīng)的SIL等級(jí)，取級(jí)別較高者作為被分析SIF需達(dá)到的SIL等級(jí)。

1.2.3 保護(hù)層分析法

LOPA分析法是一種半定量的分析方法，需要從HAZOP分析結(jié)果中導(dǎo)出數(shù)據(jù)，從初始事件開始，根據(jù)安全保護(hù)在時(shí)間發(fā)展過(guò)程中是否起作用，分析是否達(dá)到要求的安全等級(jí)。

LOPA分析法在分析過(guò)程中涉及到定性分析和定量計(jì)算兩個(gè)方面，定性分析包括危險(xiǎn)事件產(chǎn)生的后果，依據(jù)該后果參照相關(guān)標(biāo)準(zhǔn)確定危險(xiǎn)事件可接受的發(fā)生頻率F可接受，參照工業(yè)數(shù)據(jù)庫(kù)確定其他保護(hù)層故障概率PFDN以及觸發(fā)事件的頻率F觸發(fā)事件。定量計(jì)算得出SIF回路的故障概率，從而得到SIL等級(jí)。計(jì)算如式(1)所示：

(1)

1.2.4 三種分析方法的比較

以上提到的三種分析方法，各具優(yōu)缺點(diǎn)，總結(jié)分析并對(duì)比了三種典型SIL定級(jí)分析方法，見表2所列，由表2看出，LOPA分析法具有明顯優(yōu)勢(shì)。

表2 三種典型SIL定級(jí)分析方法對(duì)比

2 LOPA分析法在海上某油氣生產(chǎn)平臺(tái)中的應(yīng)用案例

2.1 分析步驟

采用LOPA分析法對(duì)海上某油氣生產(chǎn)平臺(tái)的SIF進(jìn)行了SIL定級(jí)，定級(jí)主要步驟如下：

1)系統(tǒng)劃分并確定受控設(shè)備。

2)確定SIF。

3)情景辨識(shí)分析，識(shí)別觸發(fā)事件，確定觸發(fā)事件發(fā)生的頻率以及分析危險(xiǎn)事件產(chǎn)生的后果。

4)辨識(shí)獨(dú)立保護(hù)層，并確定獨(dú)立保護(hù)層的平均故障概率。

5)計(jì)算確定SIF的SIL等級(jí)。

2.2 可靠性數(shù)據(jù)的確定

采用LOPA方法分析過(guò)程中，可靠性數(shù)據(jù)是安全儀表系統(tǒng) SIL定級(jí)的基礎(chǔ)，可靠性數(shù)據(jù)的確定一方面主要來(lái)自典型的工業(yè)數(shù)據(jù)庫(kù)，包括： 由挪威船級(jí)社(DNV)提供的海上設(shè)備可靠性數(shù)據(jù)庫(kù)(ORADA)，由美國(guó)化學(xué)工程師協(xié)會(huì)(CCPS)提供的過(guò)程設(shè)備可靠性數(shù)據(jù)庫(kù)(PERD)，由艾思達(dá)(EXIDA)提供的安全設(shè)備可靠性手冊(cè)(SERH)以及由挪威科學(xué)和工業(yè)研究所(SINTEF)提供的SIS可靠性數(shù)據(jù)(PDS)；另一方面來(lái)自現(xiàn)場(chǎng)積累的失效數(shù)據(jù)，作為補(bǔ)充。

需要明確的可靠性數(shù)據(jù)主要包括： 觸發(fā)事件的發(fā)生頻率以及獨(dú)立保護(hù)層平均故障率。結(jié)合該平臺(tái)實(shí)際情況并參照相應(yīng)數(shù)據(jù)庫(kù)，觸發(fā)事件發(fā)生頻率及數(shù)據(jù)來(lái)源見表3所列，獨(dú)立保護(hù)層PFD及數(shù)據(jù)來(lái)源見表4所列。

表3 觸發(fā)事件發(fā)生頻率及數(shù)據(jù)來(lái)源

表4 獨(dú)立保護(hù)層PFD及數(shù)據(jù)來(lái)源

2.3 計(jì)算舉例

以一級(jí)分離器上壓力高高報(bào)警SIF回路的應(yīng)用為例，詳述LOPA分析計(jì)算過(guò)程。受控設(shè)備一級(jí)分離器壓力高高監(jiān)控如圖3所示，所分析的SIF回路由壓力變送器(測(cè)量?jī)x表)、ESD系統(tǒng)(邏輯控制器)以及關(guān)斷閥(最終元件)組成。

圖3 一級(jí)分離器壓力高高報(bào)警監(jiān)控示意

對(duì)于壓力高高報(bào)警SIF回路(PSHH202A)，情景辨識(shí)為在容器超壓時(shí)會(huì)導(dǎo)致原油大量外泄，依據(jù)相關(guān)參考標(biāo)準(zhǔn)及可忍受程度確定出現(xiàn)該情景的可接受頻率為1×10-6。辨識(shí)出的獨(dú)立保護(hù)層包括： 安全閥、氮?dú)饪刂苹芈芬约皦毫?bào)警三層，危害事件發(fā)生的起因?yàn)閴毫刂苹芈肥Щ蚓诳刂崎y錯(cuò)誤全開或下游關(guān)斷閥誤關(guān)，對(duì)應(yīng)的觸發(fā)事件概率P為： 壓力控制回路失效概率P1，井口控制閥錯(cuò)誤全開概率P2，關(guān)斷閥誤關(guān)概率P3。壓力高高報(bào)警SIF回路LOPA分析數(shù)據(jù)見表5所列。

表5 壓力高高報(bào)警SIF回路LOPA分析數(shù)據(jù)

P的計(jì)算過(guò)程如下所示：

P=P1+P2+P3=
0.10+0.10+0.01=0.21

由于所求得的SIF回路的PFDSIF值處于10-4～10-3，最終定義該SIF的SIL等級(jí)為SIL3。

3 結(jié)束語(yǔ)

SIS的概念已深入并廣泛應(yīng)用于海洋石油生產(chǎn)系統(tǒng)的設(shè)計(jì)之中，嚴(yán)格按標(biāo)準(zhǔn)規(guī)范設(shè)計(jì)SIS，能有效降低可能存在的風(fēng)險(xiǎn)，保證生產(chǎn)平臺(tái)安全平穩(wěn)運(yùn)行。對(duì)于SIS設(shè)計(jì)基礎(chǔ)——SIF的SIL定級(jí)，相較于安全層矩陣法和修正風(fēng)險(xiǎn)圖表法，LOPA分析法基于HAZOP結(jié)果及工業(yè)數(shù)據(jù)庫(kù)，既保證了整個(gè)項(xiàng)目安全分析的連貫性，在參數(shù)選定上基于大數(shù)據(jù)更準(zhǔn)確，目前在海洋油氣平臺(tái)的設(shè)計(jì)過(guò)程中，大量用于SIS的SIL定級(jí)分析過(guò)程中，取得了較好的應(yīng)用效果。