許 濤 譚靜軒 許海東 李艷莉

（中海油能源發(fā)展采油服務公司邊際油田作業(yè)服務公司，天津塘沽，郵編：300452）

1.0 前言

安全完整性等級 （SIL-Safety Integrity Level）評估方法是按照絕對風險準則進行風險分析的一種安全工具。要求在對每一個安全系統(tǒng)進行風險分析的基礎上進行SIL評估，確定與安全系統(tǒng)相關的電氣/電子/可編程電子（E/E/PE）系統(tǒng)的安全功能的安全完整性要求。SIL是離散的，可分級表示，SIL 4表示最高安全系統(tǒng)完整性水平，而SIL 1表示最低。針對于裝置中的單元、系統(tǒng)、設備的每一安全系統(tǒng)都是以這個準則為基礎來進行可靠性等級劃分的，進而確定相應的采購、維護和運行、監(jiān)控計劃[1]等。

浮式生產儲卸油裝置 （FPSO-Floating Production Storage and Offloading）以其海域/油礦適應性強、儲存能力大、全海式操作可轉移重復使用、建造/改裝周期短以及投資回報快等優(yōu)勢,在世界海上油氣田開發(fā)中得到廣泛應用，成為海上油氣田生產的主流設施。但FPSO又存在因為設計、建造、安裝調試和運行過程中的復雜性、不確定性和可變動性而造成失誤，進而會引起運行中安全、環(huán)保和經濟效益方面的潛在隱患；因此，F(xiàn)PSO上的安全防護設備顯得至關重要。SIL對確保企業(yè)安全可靠地運營，并使經濟回報最大化，乃至社會利益最大化等起著非常重要的作用。國外尤其北海油田的經驗表明，應用安全完整性等級技術可以較好地實現(xiàn)這一目標。

2.0 ‘安全完整性等級’的技術方法

對海上石油設施的維修，中海油經歷了事故性維修、定期維修、預防性維修等階段，各個階段雖然都有各自的特點，但都存在過度維修或維修不足的現(xiàn)象。通過安全完整性等級的研究，可以更好的分配資源，使中高風險的設施得到更加有效的維護，這樣可以適當避免過度維修和維修不足的現(xiàn)象，達到節(jié)省資源、降低風險和增加經濟效益的目的。

圖1：成本和運行曲線（Cost and Run-length Curve）

通過圖1所示的成本和運行曲線可以明顯的看到，通過優(yōu)化直接花費也就是事故預防費用和事故維修花費，可以尋求到最佳的總費用，這就是安全完整性等級所要實現(xiàn)的目標[2]。

海上裝置中使用了許多復雜的工藝安全控制系統(tǒng)，這些系統(tǒng)對于工廠的安全及可靠生產是不可或缺的。安全系統(tǒng)所起的作用包括：工藝關斷、火災監(jiān)測、氣體監(jiān)測、工藝保護及安全排放等。這些安全系統(tǒng)的功能在設計工藝中通常會與E/E/PES（電氣/電子/可編程電子系統(tǒng)的簡稱）技術以及其他可降低外部風險的設備結合起來。

在復雜的安全系統(tǒng)中使用軟件變得越來愈普遍。計算機和軟件輔助系統(tǒng)也廣泛使用在“關鍵安全系統(tǒng)”中，即那些一旦發(fā)生誤動作即會導致人員傷亡、環(huán)境破壞等重大事故的系統(tǒng)。

對關鍵安全系統(tǒng)進行管理的技術和方法可按照IEC 61508及IEC 61511所提出的針對于關鍵安全系統(tǒng)的壽命周期模型來組織實施。這一壽命周期模型包括了產品由最初的概念到退役的全部過程，即：設計（確定安全系統(tǒng)的功能要求、SIL等），維護計劃（制定計劃）以及運轉和監(jiān)控（計劃更新）。

2.1 SIL分析方法

SIL分析方法使用一些技術方法并借助于軟件工具來管理安全關鍵性系統(tǒng)。這些技術和方法可以按照安全關鍵性設備的生命周期來進行分類。安全關鍵性系統(tǒng)的壽命周期可以分為三大類：即設計、維護計劃以及操作和監(jiān)控。

2.1.1 S I L等級劃分

SIL評估方法是基于風險分析，根據(jù)確定的風險標準，確定其等級。每個裝置系統(tǒng)/設備都根據(jù)等級大小設定可靠性目標。

SIL等級定義如下：

>SIL 1:10-2

>SIL 2:10-3

>SIL 3:10-4

>SIL 4:10-5

SIL評估方法應滿足行業(yè)標準IEC 61508，IEC 61511和 EN 50126。

PFD：Probability of Failure on Demand （要求失效概率）。

2.1.2 驗證不同的安全環(huán)路配置

評估不同安全回路的要求失效概率，驗證安全儀表功能的硬件設置滿足SIL等級要求。

2.1.3 維護測試計劃

大多數(shù)安全系統(tǒng)的失效模式都是潛在的失效，相關船級社均有相應的方法可以用來評估安全系統(tǒng)要求的或規(guī)定的失效概率，并根據(jù)所考慮的失效模式確定維護和測試計劃，以滿足相應的安全和可用性要求。

2.2 SIL分析的目的

通過SIL分析主要達到以下目的：

>評估裝置中的安全儀表功能是否滿足相應的‘安全完整性等級’，確保安全保護功能可以完成，緩和不可避免的災害的風險；

>按其現(xiàn)有配置未能達到所需的 ‘安全完整性等級’的高風險的安全儀表功能，相關船級社給出改進建議；

>按照安全的需求確保安全儀表系統(tǒng)的充分維護。

2.3 SIL分析過程

SIL的分析過程（見圖2）：

（1）數(shù)據(jù)收集與整理：即收集所分析對象的基礎資料，包括設備清單、工藝流程圖、裝置工藝說明、裝置操作手冊、裝置工藝數(shù)據(jù)包、管線規(guī)格書、管線清單、防火控制圖、因果圖等并對其進行分析評估。

（2）篩選分析：篩選的目的是識別出那些判定對FPSO風險等級評估具有重大影響的系統(tǒng)以及篩選出低風險系統(tǒng)。低風險系統(tǒng)只需要相應的維護就可以，而對篩選出的高風險系統(tǒng)則需進行詳細的評估。它確保了數(shù)據(jù)的采集以及分析工作能夠針對最有影響的部分。篩選是以篩選會議的形式進行，篩選分析定性地考慮了每個系統(tǒng)的失效可能性和失效后果。失效可能性評估了內部腐蝕、外部腐蝕、疲勞及其它等四種失效機理發(fā)生的可能性高低。失效后果評估了失效對造成人員安全、經濟（生產中斷、延誤和資產損失）和環(huán)境的影響，從而確定每個系統(tǒng)失效后果的高低。

圖2：SIL評估步驟（The Assessment Process of SIL）

圖3：SIL的校核以及測試計劃的確定步驟（The Process of SIL’s Check and Test Plan）

（3）詳細評估：詳細評估是對那些在篩選分析中被確定為高風險系統(tǒng)中的每個設備部件及管線進行詳細分析。根據(jù)操作條件和設備部件及管線參數(shù)來確定可能發(fā)生的失效退化機理，對每一種退化機理定量計算出失效的可能性。失效后果可借助相關船級社開發(fā)的風險分析軟件上簡化的定量風險分析模塊進行計算，對每種退化機理計算出其安全和經濟的風險。在對每個設備部件/管線進行風險計算的基礎上，確定出其檢驗的時間，該檢驗時間是風險超過規(guī)定可接受準則的時間函數(shù)。對一些設備部件/管線可能已經達到了不可接受的高風險或在短期內將達到不可接受的高風險，則需要進行返修、更換或降級使用[3]。對其他設備部件/管線，則采用RBI（Risk Based Inspection-基于風險的檢驗）檢驗計劃和RCM （Reliability Centered Maintenance-以可靠性為中心的維護）并采取相應措施，以降低風險。依據(jù)詳細評估的結果，可以確定所需評估的高中風險的系統(tǒng)及受保護設備，進而確定基于系統(tǒng)以及受保護設備的安全儀表功能，評估每個安全儀表功能的安全完整性等級，最終確定出每個安全儀表功能的可靠性。

（4）檢驗計劃：即通過詳細評估和計算，利用風險分析軟件對所分析的高中風險分析對象得出檢驗計劃清單。

（5）SIL 的校核：在對每一個 SIF （Safety Instrumented Function-安全儀表功能）確定了SIL等級要求后，對安全儀表系統(tǒng)的現(xiàn)有配置進行定量計算，以驗證安全儀表系統(tǒng)的現(xiàn)有配置是否能達所需SIL等級要求，對滿足要求的，進一步確定相應的測試計劃，對不滿足要求的，則提出改進建議，并使用改進建議來優(yōu)化檢驗計劃。圖3給出了SIL的校核以及測試計劃的確定的步驟。

（6）與企業(yè)管理系統(tǒng)連接：即將風險分析所得出的檢驗計劃與公司目前現(xiàn)有的MAXIMO/ERP系統(tǒng)有機結合起來，以實現(xiàn)對現(xiàn)有系統(tǒng)的優(yōu)化。

（7）結論與建議：即通過分析給出FPSO上部工藝模塊的主要腐蝕機理，對高風險的管線和設備應及時進行檢驗，根據(jù)檢驗結果確定風險降低措施[4]。對于低風險的設備和管線無需檢驗，但要注意其使用條件有沒有發(fā)生變化。船體，轉塔和上部模塊的結構，通過RBI和RCM分析結果，規(guī)劃出整個船體、上部模塊以及錨泊系統(tǒng)未來幾年的初步檢驗框架程序，并制定詳細的檢驗項，繪制典型的結構結點的檢驗圖。

3.0 實施基于風險的檢驗的必要性

‘安全完整性等級（SIL）’主要針對控制回路及安全保護設備和連鎖系統(tǒng)，其主要考核控制、安全保護措施及系統(tǒng)是否完整周密，即是否是本質安全的。一般應用于工藝控制及安全保護聯(lián)鎖系統(tǒng)。

對于新建的海上裝置，在設計階段進行SIL評估可確定是否需要安全保護系統(tǒng)，并確定其SIL等級，確保安全連鎖裝置保護功能按需正常設置和動作。

在采購階段可根據(jù)設計階段確定的SIL等級，對供應商提出相應的要求，進行審核以確保部件按照已確定的SIL等級進行制造，投入運行能夠正常發(fā)揮作用。

對于運行中的海上裝置可根據(jù)SIL等級制定維護維修管理計劃，確保安全連鎖裝置保護功能的正常動作，提出針對安全連鎖裝置的改善措施及維修策略，從而提高裝置操作運行的可靠性。裝置進行改造后也應重新進行SIL評估以確保安全要求。

4.0 結束語

‘安全完整性等級’在國際上已有比較成熟地經驗， 如 BP、Shell、Statoil、Conocophillips 等國際知名的石油公司，都采用了‘安全完整性等級’技術，并有內部的實施規(guī)程或要求。如Conocophillips，其在印尼Belanak的FPSO、平臺、OOB以及船體，從建造開始采用SIL制定運行期間的檢驗維修策略，在運行階段實施，達到安全和成本管理的目標。又如Lincolnshire海洋氣體集輸系統(tǒng)是從19世紀70年代開始運行的聯(lián)合體，位于英國南部的北海，通過實施安全完整性等級評估，每年給企業(yè)帶來的額外收益都相當可觀。

為降低FPSO艦隊的事故發(fā)生頻率、減少事故的嚴重程度和事故造成的經濟損失，降低操作費用和維護成本，提高FPSO的管理水平。公司可以通過與相關船級社和風險分析評價機構合作，開展安全完整性等級的技術方法的科學研究，借助各種成熟的工具和分析軟件，辨識FPSO的風險隱患、制定檢驗和維護計劃；并與公司目前現(xiàn)有的MAXIMO/ERP系統(tǒng)有機結合起來，從而形成適合自己公司特點的設備管理方法，建立安全完整性等級的FPSO安全防護設備管理系統(tǒng)和解決方案，并應用到FPSO上。

備注：

>PFD：Probability of Failure on Demand （要求失效概率）

>RBI：Risk Based Inspection（基于風險的檢驗）

>SIL：Safety Integrity Level（安全完整性等級）

>SIF：Safety Instrumented Function （安全儀表功能）

>EUC：Equipment Under Control（受控設備）

>RCM：Reliability Centered Maintenance （以可靠性為中心的維護）

【1】張仁榮.基于風險的檢驗 [J],化學工程,2002,49（4）:34～38

【2】R.R.Chang.With Maintenance Management System to Improve Efficiency [J],Monthly Journal of CTCI,2003,290:14～23

【3】張藜,柳曾典.局部減薄受壓彎頭倒塌載荷和安全評估[J],壓力容器技術雜志,2000,17（4）:44～48

【4】張藜,柳曾典.有限元分析在局部減薄受壓彎頭倒塌載荷分析中的應用[J],壓力容器技術雜志,2000,17（3）:29～33