王琴梅

（國家管網(wǎng)西部管道公司塔里木輸油氣分公司）

國家安監(jiān)總局《關(guān)于加強(qiáng)化工安全儀表系統(tǒng)管理的指導(dǎo)意見》（安監(jiān)總管三 ［2014］116號(hào)）要求對(duì)現(xiàn)有安全儀表系統(tǒng)（Safety Instrumented System，SIS）功能進(jìn)行評(píng)估，確保其滿足風(fēng)險(xiǎn)降低的要求。 輪南壓氣站作為西氣東輸一線首站于2004年建設(shè)投產(chǎn)，在多年的運(yùn)行過程中，SIS新增并改造了安全儀表功能（Safety Instrumented Function，SIF）。SIS在正常維護(hù)的情況下，由于監(jiān)測覆蓋率、維修技術(shù)等原因，要求時(shí)失效概率（Probability of Failure on Demand，PFD）要隨著使用時(shí)間的推移而逐漸增大［1，2］。

為確保輪南壓氣站SIS的完整性， 對(duì)站場設(shè)備設(shè)施和管線進(jìn)行危險(xiǎn)及可操作性分析（Hazard and Operability Analysis，HAZOP），并在HAZOP的基礎(chǔ)上進(jìn)行SIS的完全完整性等級(jí)（Safety Integrity Level，SIL）定級(jí)和驗(yàn)算工作，通過分析，提出優(yōu)化和改造建議， 以使SIS滿足企業(yè)風(fēng)險(xiǎn)可接受標(biāo)準(zhǔn)，并提高站場SIS的可靠性和可用性。

1 壓氣站SIS簡介

輪南壓氣站的主要任務(wù)是接收油田集氣站的來氣，經(jīng)處理、加壓輸送至下游站場，最大輸氣能力170×108Nm3/a，設(shè)計(jì)壓力10MPa。

安全儀表回路用于監(jiān)測現(xiàn)場工藝運(yùn)行情況，一旦出現(xiàn)異常，發(fā)出報(bào)警信息、執(zhí)行預(yù)定動(dòng)作，將工藝過程和設(shè)備置于安全狀態(tài)，減輕危險(xiǎn)事件的后果。

安全儀表回路主要由傳感器、邏輯控制器和最終執(zhí)行單元組成， 傳感器包括可燃?xì)怏w探測器、火焰探測器、壓力變送器及溫度變送器等；邏輯控制器一般為安全型PLC； 最終執(zhí)行單元包括聲光報(bào)警器、風(fēng)機(jī)及壓縮機(jī)聯(lián)鎖停車等［3］（詳見IEC 61508和IEC 61511）。

2 壓氣站SIL定級(jí)

輪南壓氣站的SIL定級(jí)采取保護(hù)層分析（Layer of Protection Analysis，LOPA），主要是對(duì)后果嚴(yán)重度較高的場景進(jìn)行半定量化分析，側(cè)重于對(duì)現(xiàn)有保護(hù)措施的識(shí)別和評(píng)價(jià)。 根據(jù)初始事件概率、后果嚴(yán)重性等級(jí)和獨(dú)立保護(hù)層失效概率來評(píng)估某一事故場景的風(fēng)險(xiǎn)，SIL定級(jí)過程中LOPA與HAZOP的關(guān)系如圖1所示［4］。

圖1 SIL定級(jí)過程中LOPA與HAZOP的關(guān)系

HAZOP的目標(biāo)是辨識(shí)裝置工藝系統(tǒng)中可能產(chǎn)生的工藝危害偏差， 查找導(dǎo)致偏差的原因，分析該偏差可能導(dǎo)致的危害后果， 識(shí)別所有預(yù)防、檢測、控制和緩解后果的安全措施［4］。輪南壓氣站包括過濾增壓流程、放空流程、排污流程、燃料氣處理撬流程和清管流程。HAZOP小組將輪南壓氣站分為5個(gè)HAZOP節(jié)點(diǎn)，對(duì)風(fēng)險(xiǎn)點(diǎn)進(jìn)行深入分析，確定可能存在的事故場景，通過識(shí)別初始事件發(fā)生的概率，評(píng)估每個(gè)場景造成的后果，同時(shí)考慮事件發(fā)生時(shí)造成影響的修正參數(shù)等，判斷現(xiàn)有保護(hù)層是否可以將風(fēng)險(xiǎn)降低到可接受水平。

本項(xiàng)目的安全儀表回路定級(jí)是從安全、環(huán)境、經(jīng)濟(jì)和停輸4個(gè)方面評(píng)估后果的嚴(yán)重程度，根據(jù)風(fēng)險(xiǎn)矩陣確定事件發(fā)生的目標(biāo)概率。 根據(jù)事件發(fā)生的概率和修正因素，確定安全儀表回路的風(fēng)險(xiǎn)削減因子，從而確定PFD。本項(xiàng)目的修正因素考慮火災(zāi)發(fā)生的概率fifire和人員暴露概率fifireexposure：

J——保護(hù)層的層數(shù)；

Pignition——點(diǎn)火概率；

Ppersonpresent——人員出現(xiàn)在火災(zāi)區(qū)域的概率；

PFDij——初始事件i中第j個(gè)獨(dú)立保護(hù)層的要求時(shí)失效概率。

3 壓氣站SIL驗(yàn)算

根據(jù)IEC 61508《電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全》和IEC 61511《過程工業(yè)領(lǐng)域安全儀表系統(tǒng)的功能安全》的要求，評(píng)估硬件安全完整性主要考慮兩個(gè)方面：硬件的結(jié)構(gòu)約束和隨機(jī)失效概率。

SIS硬件結(jié)構(gòu)約束受到硬件故障裕度（Hardware Fault Tolerance，HFT） 和安全失效分?jǐn)?shù)（Safe Failure Fraction，SFF）的制約。 硬件故障裕度表示設(shè)備或子系統(tǒng)的最低冗余水平，安全失效分?jǐn)?shù)是指不會(huì)導(dǎo)致危險(xiǎn)的失效與所有失效的比率。

對(duì)于安全儀表功能，傳感器、邏輯控制器和最終執(zhí)行機(jī)構(gòu)都應(yīng)該具有最低的硬件故障裕度，相應(yīng)的要求見表1。

表1 相關(guān)子系統(tǒng)的結(jié)構(gòu)約束

目前，計(jì)算PFD值可靠性的方法有：可靠性框圖、故障樹和馬爾科夫模型。 因?yàn)檩喣蠅簹庹镜陌踩珒x表回路數(shù)量較少，所用傳感器、邏輯控制器和閥門的失效模式都被定義過，所有故障狀態(tài)下的子系統(tǒng)能夠完全確定，而且有充足的故障數(shù)據(jù)，所以本項(xiàng)目采用可靠性框圖，用簡化方程式驗(yàn)算SIL等級(jí)是否滿足要求。

可靠性框圖表示系統(tǒng)中各部件間的功能關(guān)系， 能直觀顯示安全儀表回路的配置和邏輯關(guān)系。 輪南壓氣站西一線1#、2#壓縮機(jī)廠房火焰探測 器報(bào)警安全儀表回路的可靠性框圖如圖2所示。

圖2 火焰探測器報(bào)警安全儀表回路的可靠性框圖

本次驗(yàn)算采用ORBIT SIL 2014軟件， 該軟件的開發(fā)和應(yīng)用符合IEC 61508和IEC 61105。 每個(gè)子系統(tǒng)的配置不同，其PFD值的計(jì)算式為：

式中 k——執(zhí)行功能所需的最少通道數(shù)；

k-oo-n——表決機(jī)制；

MRT——平均修復(fù)時(shí)間；

MTTR——平均恢復(fù)時(shí)間；

n——總的通道數(shù)量；

PFDk-oo-n——冗余回路的安全儀表失效概率；

tCE——通道的等效平均停止工作時(shí)間；

T1——測試周期；

Tk-oo-n——k-oo-n回路的等效平均停止工作時(shí)間；

β——不可探測到的危險(xiǎn)故障的共因失效系數(shù)；

βD——可探測到的危險(xiǎn)故障的共因失效系數(shù)；

λD——危險(xiǎn)失效率；

λDD——危險(xiǎn)可探測失效率；

λDU——危險(xiǎn)不可探測失效率。

通過對(duì)輪南壓氣站SIL回路的分析，共識(shí)別了8個(gè)SIF回路，采用LOPA對(duì)每個(gè)SIF回路進(jìn)行SIL定級(jí)。分析結(jié)果表明，輪南壓氣站SIL1回路7個(gè)、SILa回路1個(gè)。 針對(duì)7個(gè)SIL1級(jí)的SIF回路，按照12個(gè)月功能測試周期開展SIL驗(yàn)證計(jì)算。 根據(jù)驗(yàn)算結(jié)果，有3個(gè)回路滿足要求的SIL等級(jí)，其余4個(gè)回路不能滿足要求的SIL等級(jí)。

根據(jù)實(shí)際情況提出以下5條改進(jìn)建議：

a. 壓縮機(jī)本體的出口溫度超高與壓力超高聯(lián)鎖停單臺(tái)壓縮機(jī)，和出站溫度超高與出站壓氣超高聯(lián)鎖停所有壓縮機(jī)的功能重復(fù)，建議重新審核溫度和壓力聯(lián)鎖停單臺(tái)壓縮機(jī)功能的必要性，如無必要，建議取消該聯(lián)鎖，僅保留溫度高報(bào)警，同時(shí)審核該聯(lián)鎖的聯(lián)鎖值能否起到保護(hù)作用。

b. 將西一線1#、2#壓縮機(jī)組空壓機(jī)儲(chǔ)罐出口匯管壓力低低聯(lián)鎖停運(yùn)，1#、2#壓縮機(jī)組改由SIS控制。

c. 將西一線3#壓縮機(jī)組空壓機(jī)儲(chǔ)罐出口匯管壓力低低聯(lián)鎖停運(yùn)，3#壓縮機(jī)組改由SIS控制。

d. 壓縮機(jī)定期切換時(shí)間不得超過6個(gè)月。

e. 最少每6個(gè)月對(duì)所有壓縮機(jī)廠房的風(fēng)機(jī)開關(guān)進(jìn)行測試。

4 注意事項(xiàng)

輪南壓氣站SIS還包含了ESD按鈕觸發(fā)站場停運(yùn)邏輯， 但筆者沒有分析該回路。 根據(jù)GB/T 32857—2016《保護(hù)層分析（LOPA）應(yīng)用指南》A.6典型保護(hù)層可知，關(guān)鍵報(bào)警和人員干預(yù)屬于保護(hù)層中的第3層，參照表A.8，人員行動(dòng)時(shí)間和人員崗位職能的情況，獨(dú)立保護(hù)層按照0.1的降險(xiǎn)能力考慮，只要保證硬件回路的要求時(shí)失效概率按照10-3～10-2配置，即可滿足可靠性要求。

根據(jù)驗(yàn)算結(jié)果， 縮短輪南壓氣站測試間隔，可修正SIL等級(jí)驗(yàn)算結(jié)果，也就意味著需要增加停輸檢修頻率。 但輪南壓氣站是西氣東輸首站，對(duì)供氣的穩(wěn)定性有較高的要求， 提出給ESD閥門增加部分行程測試功能， 在滿足生產(chǎn)運(yùn)行的條件下，消除安全隱患。

在計(jì)算過程中，設(shè)備的可靠性數(shù)據(jù)主要來自于設(shè)備的SIL等級(jí)證書和FMEDA報(bào)告， 也參考了部分國際通用數(shù)據(jù)庫，但是設(shè)備的個(gè)體性能和使用環(huán)境不同，通用數(shù)據(jù)庫不能完全匹配，因此在計(jì)算中設(shè)置了一些假設(shè)條件。

部分傳感器或最終執(zhí)行單元屬于多個(gè)安全儀表回路， 這些安全儀表回路的SIL等級(jí)不同，要求的測試周期也是不同的，因此傳感器或執(zhí)行單元的測試周期應(yīng)該按照最小測試周期進(jìn)行計(jì)算。

5 結(jié)束語

對(duì)輪南壓氣站進(jìn)行HAZOP分析、SIS定級(jí)和驗(yàn)算工作，提出優(yōu)化和改進(jìn)建議，滿足了企業(yè)風(fēng)險(xiǎn)可接受標(biāo)準(zhǔn)，提高了SIS的可靠性和可用性。