海洋石油平臺安全儀表系統安全完整性等級的確定

朱春麗，洪毅

（中海油研究總院，北京100027）

油氣是易燃易爆危險品，在海上采油生產中，各種生產作業頻繁，發生事故的可能性較大，同時受到平臺空間的限制，油氣處理設施、電氣設施、公用設施、人員住房集中在同一個平臺上，對平臺的安全提出了嚴格的要求，既要保護人員的安全，又要保證生產設備的正常安全運行和維護，海上平臺的安全儀表系統（SIS）與陸上油田的相比有更高的要求。在進行SIS設計前，首先需要對受控系統進行風險分析，確定其是否需要SIS的保護，如需要時再確定其執行該安全功能的SIS的安全完整性等級（SIL）。

1 危險與可操作分析（HAZOP）

HAZOP分析是通過對生產過程中的單元或管線，按其設計或操作條件擬出可能出現與標準值的各種偏差（如壓力、溫度、流量等），探求造成偏差的原因，如機器故障、人為錯誤等產生的后果，研究可行的應急和預防措施，制定合理的、嚴格的操作規程和安全管理制度，這種分析結果具有直接的指導意義［1］。

HAZOP分析可以為確定SIS的SIL提供依據。根據分析結果，如果通過報警可以進行工藝操作調整，且不會造成設備損壞、重大環境污染和人身傷害事故，則不需要進行進一步的分析；如果會對設備或人身及環境造成危害，則需要進行深入的分析。

對渤海某一個油氣田開發工程的兩個井口平臺WHPA，WHPB進行HAZOP分析，從流量、壓力、溫度、液位等關鍵詞出發，系統分析了平臺上的各類處理設施，根據項目所有的P＆ID圖共劃分為13個節點，按照HAZOP分析的工作流程，對所有的引導詞逐一進行討論。由HAZOP分析結果可知，需要增加SIS來保證生產的安全運行，將那些“不可接受的風險”（如機械損壞、設備損壞、人員傷亡等相應事故）降低為“可接受的風險”（如緊急停車時不損壞機械、設備，僅減少操作時間但不會有人員傷亡等）。

2 保護層分析（LOPA）

以一級生產分離器為例，根據HAZOP分析結果，為了進一步降低風險，對生產分離器的油路、氣路、水路均應增加SIS的保護。為了確定每一個安全功能回路需要的SIL，下面將利用HAZOP分析結果，采用LOPA方法，確定每一個安全功能回路的SIL。

LOPA所需要的信息被包含在HAZOP分析收集和導出的數據中，表1列出了LOPA所需數據和在HAZOP研究過程中所導出的數據之間的關系。

表1 從HAZOP導出的用于LOPA的數據

以罐體超壓破裂，導致泄漏引起火災這一危險事件為例，介紹如何應用LOPA方法確定該安全儀表功能回路的SIL，分析過程見表2所列。

表2 LOPA報告

a）第一個可能性分析：

1）影響事件。HZAOP把一個分離器中的超壓識別為一個偏差，采用HAZOP分析的后果描述。

2）嚴重性等級。分離器罐體超壓破裂將釋放易燃油氣，如果存在一個點火源就有發生火災的可能性。因為影響事件將導致在場人員的嚴重傷亡，因而選擇嚴重性等級時選擇“嚴重的”。表3描述了嚴重性等級的劃分情況。

表3 影響事件嚴重性等級

3）引發原因。HAZOP分析列出了引起罐體超壓的兩個原因：上游來液壓力過高和出口壓力調節閥開度過小。

4）引發可能性。保守估計選擇每10年發生一次罐體壓力超高的事件，填入0.1事件／年。IEC61511中介紹了幾種典型引發的可能性，見表4所列。

5）一般工藝設計。工藝設計可以減小影響結果的可能性。在發生一個引發原因時，降低發生一個影響事件的可能性的設計，如帶套的管道或壓力容器，當主管道或壓力容器的完整性受到損害時，外套可防止過程物質的釋放。因為沒有采用這種工藝設計，不能通過工藝設計降低風險，所以LOPA在這一項取1，即這一層是100%失效的。

6）BPCS。BPCS有一個控制回路，當分離器罐內的壓力過高時，可以調節氣路出口調節閥，防止高壓。BPCS作為一個保護層采用的是可靠的DCS，在這里取0.1。典型的保護層的平均失效概率（PFDavg）見表5所列。

7）報警。當壓力調節失效時，會產生壓力超高報警，要求操作員干預，在此將報警裝置看作一個保護層。由于平臺嚴格規定正常生產時操作人員24h在中控室值班，因而認為操作員會對報警做及時的響應，在此PFDavg取0.1是合適的。

8）附加減輕。按照要求，平臺上生產人員進入生產區域是有嚴格要求和限制的，但是由于海上平臺所處地域和空間的局限性，因而認為在區域中的人員的風險也只能降低1～2倍，在此PFDavg取0.5。

表4 典型引發的可能性

表5 典型的保護層的PFDavg

9）獨立保護層（IPL）。分離器配有合適規格的安全閥作為機械保護裝置，在罐體超壓時可提供有效的保護，因而將安全閥看做一個獨立的保護層。每年應測試標定一次安全閥，滿足一個IPL準則，認為它可以提供可靠性程度很高的保護功能，根據IEC61511的要求，在此PFDavg取值為0.1。

10）中間事件的可能性。把表2中此列之前各列的第一行值相乘所得。

b）第二個可能性分析。正常時調節閥會根據分離器罐內的壓力調節出口調節閥的開度，在罐超壓的情況下出口壓力調節閥開度過小，可認為壓力控制回路失效。根據表4來確定調節閥失效的可能性，其概率為0.1次／年。當壓力控制回路失效時，從過程設計得出的保護層、報警、附加減輕依然存在，BPCS是失效的，失效概率為100%。

c）安全完整性等級的確定。把表示相同危險的嚴重事件的中間事件的可能性加起來，最后得到該嚴重事件的總的中間事件的可能性。如果公司安全目標要求罐體超壓導致災難性后果的危險事件為不超過10－5／年，針對罐體超壓引發危險的事件，保護層減輕和風險降低并不能滿足安全目標要求，需要增加SIS的保護，得出需要增加的SIF的PFDavg的值為

最終確定需要的SIF的SIL為SIL2。增加SIL2的SIF的保護后，罐體超壓導致災難性后果的危險事件的可能性可以降低到滿足安全目標要求的值。

3 結束語

使用HAZOP分析和LOPA分析對海洋石油平臺上的一個分離器進行了危險和風險分析。辨識出危險事件及其風險類別，結合最小風險降低要求，綜合分析所有的風險降低措施，最終確定SIS中每一個SIF的SIL。這種分析對于海上平臺SIS設計具有代表性，是行之有效的手段。

［1］ 王若青，胡晨.HAZOP分析方法介紹［J］.石油化工安全技術，2003，1（09）：19－22.

［2］ IEC.IEC61508—2002Functional Safety of Electrical／Electronic／Programmable Electronic Safety－related Systems［S］.IEC，2002.

［3］ IEC.IEC61511—2003Functional Safety—Safety Instrumented Systems for the Process Industry Sector［S］.IEC，2003.

［4］ 中國石油化工集團公司自動控制設計技術中心站.SH／T 3108—2003石油化工安全儀表系統設計規范［S］.北京：中國石化出版社，2003.

［5］ 機械工業儀器儀表綜合技術經濟研究所.GB／T 20438.6—2006電氣／電子／可編程電子安全相關系統的功能安全第6部分：GB／T20438.2和GB／T 20438.3的應用指南［S］.北京：中國標準出版社，2006.

［6］ 王秋紅，孫旭.石化裝置安全度等級與安全儀表系統的設計［J］.石油化工自動化，2008（01）：8－10.

［7］ 馮曉升.功能安全技術講座第五講安全相關系統SIL設計的要求（續）［J］.儀器儀表標準化與計量，2007（05）：14－16.

［8］ 張衛華，王春利，姜春明，等.過程工業安全儀表系統的等級評定［J］.安全技術，2006，6（03）：18－20.

［9］ BUKOWSKI J V，ROUVROYE J，GOBLE W M.What is PFDavg［EB／OL］.（2002－09－21）［2011－10－10］.http：／／www.exida.com／articles／WhatisPFDavgv2.pdf.

［10］ GRUHN P，CHEDDIE H.Safety Shutdown System：Design，Analysis，and Justification［M］.Instrument Society of America，1998：10－30.