馬勇梧 張桂娟

1青海鹽湖鎂業(yè)有限公司

2青海鹽湖元品化工有限責(zé)任公司

隨著國(guó)內(nèi)長(zhǎng)距離輸氣管道管理模式的不斷優(yōu)化，運(yùn)行方式逐漸由粗放型向集約型轉(zhuǎn)變，管道行業(yè)在充分利用大數(shù)據(jù)、互聯(lián)網(wǎng)、云計(jì)算和人工智能等關(guān)鍵技術(shù)的基礎(chǔ)上，實(shí)現(xiàn)了管道和沿線(xiàn)站場(chǎng)運(yùn)行的標(biāo)準(zhǔn)化、智能化、信息化和數(shù)字化，員工結(jié)構(gòu)和用工數(shù)量更加精簡(jiǎn)[1-3]。為適應(yīng)智慧管網(wǎng)的建設(shè)，對(duì)輸氣站場(chǎng)內(nèi)關(guān)鍵設(shè)備和工藝流程的可靠性提出了更高要求，其中安全儀表系統(tǒng)（SIS）的設(shè)置必不可少。國(guó)家安監(jiān)總局《關(guān)于加強(qiáng)化工安全儀表系統(tǒng)管理的指導(dǎo)意見(jiàn)》中要求新建的“兩重點(diǎn)一重大”的化工裝置和危險(xiǎn)化學(xué)品儲(chǔ)存設(shè)施要設(shè)計(jì)符合要求的安全儀表系統(tǒng)，確保其降低風(fēng)險(xiǎn)的能力，當(dāng)站內(nèi)生產(chǎn)參數(shù)超過(guò)閾值時(shí)，系統(tǒng)可迅速響應(yīng)并啟動(dòng)，使工藝恢復(fù)至安全狀態(tài)。

一個(gè)完整的安全儀表回路（SIF）包括傳感器、邏輯控制器和執(zhí)行元件三部分，對(duì)于SIF 回路必須匹配與其對(duì)應(yīng)的SIL，因此對(duì)SIF 回路進(jìn)行安全完整性等級(jí)（SIL）評(píng)估具有重要意義，其作用貫穿咨詢(xún)、設(shè)計(jì)、使用、維護(hù)、變更等整個(gè)SIS 的安全生命周期。目前，諸多學(xué)者在SIL 評(píng)估上進(jìn)行了大量工作，楊放等[4]對(duì)緊急停車(chē)（ESD）系統(tǒng)進(jìn)行了SIL 驗(yàn)證，王琴梅[5]對(duì)在役壓氣站的SIS 進(jìn)行了定級(jí)與驗(yàn)算，俞輝輝等[6]對(duì)采用LOPA 分析對(duì)輸氣站設(shè)計(jì)期間的SIS 進(jìn)行了定級(jí)。以上研究多根據(jù)標(biāo)準(zhǔn)規(guī)范和人工經(jīng)驗(yàn)設(shè)置SIF 回路，且SIL 評(píng)估大多只單獨(dú)涉及SIL 定級(jí)或驗(yàn)證，鮮見(jiàn)對(duì)SIL 評(píng)估進(jìn)行整體分析，對(duì)于危險(xiǎn)與可操作性（HAZOP）分析和保護(hù)層（LOPA）分析的評(píng)價(jià)流程分析也頗有不足。針對(duì)上述問(wèn)題，選取典型輸氣站場(chǎng)開(kāi)展SIL 評(píng)估工作，充分結(jié)合HAZOP 分析、LOPA 分析和馬爾科夫模型等方法，建立一套適合輸氣站場(chǎng)的SIL 周期性評(píng)估流程，為同類(lèi)型站場(chǎng)的SIS 的設(shè)計(jì)和運(yùn)營(yíng)提供實(shí)際參考。

1 研究對(duì)象

該輸氣站屬于五級(jí)站場(chǎng)，主要負(fù)責(zé)對(duì)來(lái)氣進(jìn)行分離、凈化、脫水和加壓，設(shè)計(jì)處理天然氣能力20×104m3，實(shí)際日處理天然氣量5×104m3，日產(chǎn)混合輕烴4.8 t。站場(chǎng)于2010 年投運(yùn)，位于城市支路旁，周邊有民房、河流、汽車(chē)修理廠(chǎng)和大型倉(cāng)庫(kù)等。

2 SIL 評(píng)估

2.1 SIF 辨識(shí)與SIL 定級(jí)

SIF 辨識(shí)與SIL 定級(jí)是指為滿(mǎn)足風(fēng)險(xiǎn)管控的要求，辨識(shí)出對(duì)應(yīng)的SIF 回路，并確定其SIL 等級(jí)，分別采用HAZOP 和LOPA 結(jié)合的方法實(shí)施。

2.1.1 HAZOP 分析

HAZOP 分析是通過(guò)參數(shù)和引導(dǎo)詞的設(shè)置，找出工藝流程中存在的偏差，然后分析偏差產(chǎn)生的原因和后果，提出相應(yīng)的改進(jìn)措施。根據(jù)該輸氣站場(chǎng)的管道儀表流程圖（PID）將其劃分為壓縮機(jī)、儲(chǔ)罐、清管裝置、氣處理裝置等10 個(gè)分析節(jié)點(diǎn)，采用壓力、溫度、液位、流量等4 個(gè)參數(shù)，設(shè)低、高、大、小等4 個(gè)引導(dǎo)詞，對(duì)各節(jié)點(diǎn)中可能出現(xiàn)的偏差進(jìn)行辨識(shí)。根據(jù)該企業(yè)制定的安全風(fēng)險(xiǎn)評(píng)價(jià)矩陣，從人員傷亡、財(cái)產(chǎn)損失、停工影響、環(huán)境影響和聲譽(yù)影響等幾方面確定初始風(fēng)險(xiǎn)（沒(méi)有任何保護(hù)措施）與剩余風(fēng)險(xiǎn)（現(xiàn)有保護(hù)措施下的殘余風(fēng)險(xiǎn)）[7-8]。針對(duì)剩余風(fēng)險(xiǎn)中仍為中風(fēng)險(xiǎn)及以上的偏差，應(yīng)增加保護(hù)措施（如SIF 回路），并進(jìn)一步開(kāi)展LOPA 分析。

2.1.2 LOPA 分析

LOPA 分析中有一部分內(nèi)容來(lái)源于HAZOP 分析報(bào)告，對(duì)應(yīng)關(guān)系見(jiàn)表1。此外，還需要根據(jù)保護(hù)層的屬性（有效性、獨(dú)立性和可審查性）確定HAZOP 分析中的保護(hù)層是否為獨(dú)立保護(hù)層[9-10]。

表1 HAZOP 分析和LOPA 分析的對(duì)應(yīng)關(guān)系Tab.1 Correspondence between HAZOP analysis and LOPA analysis

對(duì)于站場(chǎng)內(nèi)的工藝流程，追求絕對(duì)的安全是不現(xiàn)實(shí)的，只能盡可能地實(shí)現(xiàn)相對(duì)安全，消減不可接受的風(fēng)險(xiǎn)。使用LOPA 分析進(jìn)行SIL 定級(jí)時(shí)，需計(jì)算某場(chǎng)景內(nèi)在沒(méi)有SIS 保護(hù)層條件下的場(chǎng)景發(fā)生頻率，并與后果可接受頻率對(duì)比，如大于后果可接受頻率，則需要根據(jù)需達(dá)到的風(fēng)險(xiǎn)降低水平設(shè)置SIF回路；反之，則不需要設(shè)置SIF 回路。石油石化行業(yè)普遍執(zhí)行SIS 運(yùn)行模式中的低要求模式，即受保護(hù)的控制系統(tǒng)或設(shè)備要求SIS 的動(dòng)作頻率低于1 a-1，其場(chǎng)景導(dǎo)致后果發(fā)生頻率的公式如下：式中：為初始事件i造成后果C的頻率，a-1；fi為初始事件i的出現(xiàn)頻率，a-1；PFDij為初始事件i在第j個(gè)獨(dú)立保護(hù)層下的失效概率；Pi、Pe和Pd分別為點(diǎn)燃概率、人員暴露概率和人員死亡概率（如有必要還需考慮使能條件的影響）。SIS 采用風(fēng)險(xiǎn)降低因子(RRF)衡量風(fēng)險(xiǎn)降低水平，RRF與SIL 等級(jí)的關(guān)系見(jiàn)表2。

表2 RRF 與SIL 等級(jí)的關(guān)系Tab.2 Relationship between RRF and SIL levels

2.1.3 SIF 辨識(shí)與SIL 定級(jí)結(jié)果

在進(jìn)行HAZOP 分析的過(guò)程中，為確保風(fēng)險(xiǎn)點(diǎn)未發(fā)生遺漏，除常規(guī)定性分析外，還需結(jié)合現(xiàn)場(chǎng)工作人員的實(shí)際經(jīng)驗(yàn)對(duì)站場(chǎng)內(nèi)具有聯(lián)鎖、控制、報(bào)警功能的回路進(jìn)行分析。以壓縮機(jī)入口流量低這一偏差為例，HAZOP 分析過(guò)程及結(jié)果見(jiàn)表3。從該風(fēng)險(xiǎn)點(diǎn)的后果嚴(yán)重性等級(jí)判定，發(fā)生事故后主要影響現(xiàn)場(chǎng)巡檢和作業(yè)人員的人身安全，現(xiàn)場(chǎng)設(shè)施有經(jīng)濟(jì)損失，以及由于站內(nèi)停機(jī)對(duì)下游造成氣量不足的聲譽(yù)影響，而對(duì)停工和環(huán)境的影響較小，因此在進(jìn)行初始風(fēng)險(xiǎn)和剩余風(fēng)險(xiǎn)分析時(shí)，應(yīng)重點(diǎn)關(guān)注人員傷亡、財(cái)產(chǎn)損失和聲譽(yù)影響等三個(gè)方面。

表3 HAZOP 分析結(jié)果Tab.3 HAZOP analysis results

初始事件中上游來(lái)氣壓力高的剩余風(fēng)險(xiǎn)仍為“中”，因此應(yīng)對(duì)這一場(chǎng)景進(jìn)行LOPA 分析，結(jié)果見(jiàn)表4。后果可接受頻率參照GB 36894—2018《危險(xiǎn)化學(xué)品生產(chǎn)裝置和儲(chǔ)存設(shè)施風(fēng)險(xiǎn)基準(zhǔn)》的個(gè)人風(fēng)險(xiǎn)和社會(huì)風(fēng)險(xiǎn)基準(zhǔn)要求，但該規(guī)范只規(guī)定了人員傷亡的發(fā)生頻率，對(duì)于其余后果類(lèi)別的風(fēng)險(xiǎn)接受頻率尚未規(guī)定。結(jié)合企業(yè)制定的安全風(fēng)險(xiǎn)評(píng)價(jià)矩陣，本著以人為本、人的生命為紅線(xiàn)的管理理念，在同等嚴(yán)重性等級(jí)下，人員傷亡的后果可接受頻率要明顯小于其余后果可接受頻率。

表4 LOPA 分析結(jié)果Tab.4 LOPA analysis results

以對(duì)人員傷亡這一后果為例進(jìn)行分析，根據(jù)與該輸氣站場(chǎng)、管道公司生產(chǎn)和安全部門(mén)核實(shí)該初始事件是否在站場(chǎng)或公司范圍內(nèi)出現(xiàn)過(guò)，如發(fā)生過(guò)，可根據(jù)實(shí)際情況統(tǒng)計(jì)出現(xiàn)頻率；如未出現(xiàn)，則根據(jù)企業(yè)或行業(yè)統(tǒng)計(jì)頻率，參照信息擴(kuò)散理論計(jì)算頻率，最終確定fi為0.1 a-1。根據(jù)HAZOP 分析，參照獨(dú)立保護(hù)層有效性、獨(dú)立性和可審查性的特點(diǎn)，識(shí)別出過(guò)程控制系統(tǒng)、關(guān)鍵報(bào)警及人員干預(yù)、物理保護(hù)等三個(gè)獨(dú)立保護(hù)層，其PFD分別為0.5、0.5和0.1。修正因子中點(diǎn)火概率根據(jù)化工過(guò)程安全中心推薦的延遲點(diǎn)火概率為0.3。根據(jù)現(xiàn)場(chǎng)調(diào)研，日常巡檢人員的巡檢頻率為每小時(shí)一次，每次巡檢時(shí)間10 min，確定人員暴露概率為0.16，保守估計(jì)取0.2。如站場(chǎng)發(fā)生爆炸事故，其超壓覆蓋整個(gè)站場(chǎng)區(qū)域，而人員巡檢通常與設(shè)備的距離較近，死亡概率較高，故取1。

根據(jù)公式（1）計(jì)算為1.5×10-4，大于后果可接受頻率1×10-5，根據(jù)表2 確定需增加SIF 回路，且該SIF 回路的SIL 等級(jí)為1，RRF不能低于15。同理，計(jì)算其他后果類(lèi)別下的，財(cái)產(chǎn)損失、停工影響、環(huán)境影響和聲譽(yù)影響等均在可接受范圍內(nèi)，無(wú)需增加SIF 回路。

綜上所述，在壓縮機(jī)入口處應(yīng)設(shè)置超壓保護(hù)系統(tǒng)，當(dāng)上游來(lái)氣壓力高或憋壓，壓力傳感器PT101將信號(hào)傳至Honeywell PLC，經(jīng)PLC 判斷后，關(guān)閉進(jìn)口緊急截?cái)嚅yGV1、GV2，并打開(kāi)放空閥GV3，邏輯關(guān)系見(jiàn)圖1。

圖1 壓縮機(jī)入口超壓保護(hù)邏輯框圖Fig.1 Logic diagram of compressor inlet overpressure protection

根據(jù)以上步驟，得到該站場(chǎng)的SIF 辨識(shí)與SIL定級(jí)結(jié)果（表5）。為滿(mǎn)足風(fēng)險(xiǎn)管控要求，輸氣站場(chǎng)內(nèi)需設(shè)置11 個(gè)SIF 回路，但目前站內(nèi)已設(shè)置的SIF 回路并不完善，存在一定的功能缺失。這是由于目前輸氣站場(chǎng)內(nèi)的SIS 主要根據(jù)SY/T 7351—2016《油氣田工程安全儀表系統(tǒng)設(shè)計(jì)規(guī)范》 和SY/T 6966—2013《輸油氣管道工程安全儀表系統(tǒng)設(shè)計(jì)規(guī)范》設(shè)計(jì)實(shí)施，但規(guī)范中對(duì)于SIS 的規(guī)定只是籠統(tǒng)意義上的，并未對(duì)細(xì)節(jié)進(jìn)行完善。由于不同輸氣站場(chǎng)的站場(chǎng)等級(jí)、周邊環(huán)境和安全防護(hù)措施有所不同，導(dǎo)致事故場(chǎng)景發(fā)生頻率、后果類(lèi)別與嚴(yán)重性等級(jí)和目標(biāo)SIL 等級(jí)有所不同。因此，建議在站場(chǎng)設(shè)計(jì)階段，綜合利用HAZOP 分析和LOPA 分析進(jìn)行SIF 辨識(shí)與SIL 定級(jí)，保證站內(nèi)安全儀表系統(tǒng)和功能的完備性。

表5 SIF 辨識(shí)與SIL 定級(jí)結(jié)果Tab.5 SIF identification and SIL grading results

2.2 SIL 驗(yàn)證

2.2.1 SIL 驗(yàn)證方法

對(duì)于SIL 驗(yàn)證主要依據(jù)結(jié)構(gòu)約束、隨機(jī)失效概率和系統(tǒng)能力等三方面，其中前兩項(xiàng)屬于硬件安全完整性，后一項(xiàng)屬于系統(tǒng)安全完整性。目前對(duì)于現(xiàn)役安全儀表系統(tǒng)主要考察硬件安全完整性。結(jié)構(gòu)約束受硬件故障裕度(HFT)和安全失效分?jǐn)?shù)(SFF)影響。公式為

式中：λS為安全失效概率；λDD為檢測(cè)出的危險(xiǎn)失效概率；λD為危險(xiǎn)失效概率。

國(guó)際電工委員會(huì)IEC 61508 標(biāo)準(zhǔn)中對(duì)傳感器、執(zhí)行元件和邏輯控制器的HFT 做了要求，根據(jù)設(shè)備對(duì)應(yīng)的安全功能認(rèn)證證書(shū)確定組件是否為A 類(lèi)或B 類(lèi)。

隨機(jī)失效概率PFDavg采用馬爾科夫模型計(jì)算，公式為

式中：TI為功能測(cè)試周期，h；S0為系統(tǒng)初始狀態(tài)；Pi為轉(zhuǎn)移矩陣；VD為危險(xiǎn)失效向量。

最終根據(jù)SIF 回路的冗余表決結(jié)構(gòu)確定HFT，通過(guò)文獻(xiàn)[7]明確SIF 回路中HFT、SIL 等級(jí)和SFF 之間的關(guān)系，確定各組件滿(mǎn)足結(jié)構(gòu)約束所需的SIL 等級(jí)；根據(jù)低要求模式下PFDavg和SIL 等級(jí)的關(guān)系，對(duì)SIF 回路的SIL 等級(jí)進(jìn)行計(jì)算。兩者對(duì)應(yīng)的最低SIL 等級(jí)即為SIL 驗(yàn)證結(jié)果，再與前文的SIL 定級(jí)結(jié)果進(jìn)行對(duì)比，確定實(shí)際SIL 等級(jí)是否滿(mǎn)足風(fēng)險(xiǎn)管控要求。

2.2.2 SIL 驗(yàn)證結(jié)果

以SIF4 為例，進(jìn)行SIL 驗(yàn)證。TI 取12 個(gè)月，功能覆蓋率取99%，共因失效因子取0.01，傳感器、邏輯控制器和執(zhí)行元件的平均修復(fù)時(shí)間分別取8、8 和12 h，設(shè)備失效數(shù)據(jù)見(jiàn)表6。

表6 設(shè)備失效數(shù)據(jù)Tab.6 Device failure data

傳感器和執(zhí)行元件組件定義為A 類(lèi)，邏輯控制器組件定義為B 類(lèi)，由于冗余表決結(jié)構(gòu)均為1oo1（一對(duì)一，指將一個(gè)傳感器或開(kāi)關(guān)觸點(diǎn)連接到安全模塊的一個(gè)通道中），故硬件故障裕度均為0，根據(jù)公式（2）計(jì)算SFF，并確定滿(mǎn)足結(jié)構(gòu)約束的SIL 等級(jí)；根據(jù)公式（3）計(jì)算PFDavg，確定各子系統(tǒng)的SIL 等級(jí)和總的SIL 等級(jí)。因此，SIF4 的驗(yàn)證結(jié)果為SIL1，與SIL 定級(jí)結(jié)果相同（表7）。

表7 SIL 驗(yàn)證過(guò)程Tab.7 SIL validation process

3 改進(jìn)措施

對(duì)其余現(xiàn)有的SIF 回路的SIL 等級(jí)進(jìn)行驗(yàn)證，結(jié)果見(jiàn)表8。其中，SIF5、SIF7、SIF8 回路的傳感器和執(zhí)行元件未獲得安全功能認(rèn)證證書(shū)，缺乏相關(guān)失效概率數(shù)據(jù)，故無(wú)法進(jìn)行SIL 驗(yàn)證工作，其SIL等級(jí)是否與SIL 定級(jí)的結(jié)果相符未知。因此建議在設(shè)計(jì)采購(gòu)階段，應(yīng)選用獲得安全功能認(rèn)證的組件，并收集企業(yè)、行業(yè)和國(guó)際通用數(shù)據(jù)庫(kù)，建立準(zhǔn)確的失效數(shù)據(jù)，為準(zhǔn)確定量SIL 評(píng)估提供基礎(chǔ)。

表8 SIL 驗(yàn)證結(jié)果Tab.8 SIL validation results

針對(duì)SIF10 回路的定級(jí)與驗(yàn)證不符的情況，可以從以下幾個(gè)方面進(jìn)行有效改進(jìn)：

（1）更改SIF10 回路中的傳感器或執(zhí)行元件冗余表決結(jié)構(gòu)，從1oo1 變?yōu)?oo2 模式，改為并聯(lián)或串聯(lián)操作。

（2）縮短功能測(cè)試周期，將閥門(mén)的功能測(cè)試周期由1 a 變?yōu)?.5 a 后，執(zhí)行元件的PFDavg縮小一個(gè)數(shù)量級(jí)，SIL 提升為2，可根據(jù)該要求修訂設(shè)備的維護(hù)和測(cè)試周期計(jì)劃。

（3）改進(jìn)設(shè)備選型，選擇失效概率更低的設(shè)備，減少PFDavg，提升SIL 等級(jí)。

4 結(jié)論

（1）針對(duì)目前輸氣站場(chǎng)內(nèi)安全儀表設(shè)置不足的情況，對(duì)站場(chǎng)的安全儀表系統(tǒng)進(jìn)行了SIL 評(píng)估，分別采用HAZOP 和LOPA 分析進(jìn)行SIF 辨識(shí)和SIL 定級(jí)，并考察了SIF 回路的結(jié)構(gòu)約束和隨機(jī)失效概率，用于進(jìn)行SIL 驗(yàn)證。

（2）該站場(chǎng)內(nèi)需設(shè)置11 個(gè)SIF 回路，但由于安全功能認(rèn)證證書(shū)缺失，缺乏相關(guān)失效概率數(shù)據(jù)，故無(wú)法對(duì)部分SIF 回路進(jìn)行SIL 驗(yàn)證工作。

（3）對(duì)于設(shè)計(jì)階段，應(yīng)將HAZOP 和LOPA 分析相結(jié)合，確定滿(mǎn)足站場(chǎng)風(fēng)險(xiǎn)控制要求的安全儀表功能和SIL 等級(jí)；對(duì)于運(yùn)行階段，應(yīng)根據(jù)功能測(cè)試周期，定期開(kāi)展SIL 等級(jí)驗(yàn)證，確保SIS 的安全性和可靠性。

（4）目前，失效數(shù)據(jù)未考慮不確定性帶來(lái)的影響，今后可利用蒙特卡洛和數(shù)據(jù)分布驗(yàn)證相結(jié)合的方式，完善SIL 定級(jí)方法。