在役LNG接收站的SIS系統再驗證

袁小軍，魯毅，鄭士富

（1風控 （北京）工程技術有限公司IRC，北京100025；2廣東大鵬液化天然氣有限公司，廣東 深圳510848）

引 言

廣東大鵬LNG接收站作為中國最早投用的LNG接收站，在5年的高負荷運行后中新增并改造了部分設備及安全儀表功能回路 （safety instrumented functions，SIF），為確保接收站功能安全儀表系統 （safety instrumented system，SIS）的完整性以及高負荷生產的安全性對所有生產設施及管線場站進行了危險及可操作性 （hazard and operability study，HAZOP）分析，并在HAZOP分析的基礎上進行了SIL定級及再驗證 （SIL classification and re－validation）工作。本文以SIL再驗證工作為例介紹SIL驗算／再驗證在在役裝置中的應用，以及如何通過敏感性分析優化SIS系統配置與校驗管理，滿足企業風險可接受標準，最后總結并展望了實施SIL驗算工作中的技術難點和未來的技術方向。

1 介紹

石油天然氣及流程工業具有高風險、高投資、流程連續且復雜的行業特點。隨著裝置的大型化、復雜化，國內外災難性事故仍然時有發生。由于全球信息網絡化的進展，這些事故往往引起全球性的關注，對生產企業造成前所未有的巨大壓力。

近年來，隨著AQ／T 3034—2011 《化工企業工藝安全管理實施導則》為代表的一系列工藝安全管理［1］標準及相應技術規范的引入及發布，危險及可操作性分析 （HAZOP）等分析方法在國內得到推廣和廣泛接受，石油天然氣及流程工業的整體安全水平不斷提高。作為一種風險分析方法，HAZOP分析可以系統地梳理工藝流程中各種潛在的危害，并提出合理可行的風險消減／緩解措施，以期將企業／裝置的風險降低到企業風險可接受標準［2］之內。但是HAZOP作為定性分析方法存在局限性，即當識別出后果嚴重性較大的風險時，HAZOP分析無法判斷各類措施對風險的削減程度，也無法判斷剩余風險與風險可接受標準間的差距，因此需要通過保護層 （LOPA）分析［3］或其他半定量／定量風險分析方法幫助企業進行風險決策。

當識別出的風險場景涉及安全儀表系統 （SIS）時，通過SIL定級分析 （layers of protection analysis，LOPA方法）來評估獨立保護層在削減事件可能性或事件嚴重性時的有效性，以此來確定SIS系統的風險降低目標，即安全完整性等級（safety integrity level，SIL）。通過SIL驗算，根據SIF回路中各組成部分的PFDavg（probability of failure on demand，要求時平均失效概率）計算回路整體的要求時失效概率，并充分考慮SIF回路的硬件結構約束特性，確認SIF回路能否達到所需的SIL等級要求［4］。

本文以廣東大鵬LNG接收站運行5年后的SIL定級與再驗證工作為例介紹SIL分析 （SIL定級及驗算）在在役裝置分析中的方法及技術難點，以及如何通過敏感性分析方法優化系統配置，滿足企業風險可接受標準。

2 HAZOP分析與SIL定級

在SIL驗算工作開展前，先行對接收站現有設施及改造部分進行了危險與可操作性分析（HAZOP）以及SIL定級分析 （LOPA方法）。HAZOP作為一種系統化、結構化的危害識別工具，已經廣泛用于識別裝置在設計和操作階段的工藝危害。HAZOP分析由一組多專業背景的人員，以會議的形式，將裝置劃分為若干小的節點，使用一系列參數和引導詞構建偏差，采用頭腦風暴的方式對工藝過程中危險和可操作性的問題進行分析研究。

本次 分 析 SIL 定 級 采 用 LOPA 法［5］，在HAZOP分析完成后由同一小組繼續進行分析。LOPA分析過程基于HAZOP分析的內容［6］，針對每個可置信初始事件確定其后果嚴重程度，并對初始事件的發生概率［7］、使能條件、修正因子［8］、獨立保護層等進行分析。SIL定級分析涵蓋了LNG接收站、管線及閥室和改造部分內所有的初始事件。應用PSMSuite?軟件中的LOPA模塊對初始事件概率、獨立保護層削減概率等進行賦值計算，確定SIF回路的SIL等級，并與設計階段的SIL定級結果 （圖表法）進行了對比。

通過比較發現，對LNG行業來說，由于設計階段對系統的安全性要求較高，絕大多數風險場景都有一個以上的風險減緩／消除措施。由于圖表法自身的局限性［9］，對多個風險減緩／消除措施同時存在情況下的剩余風險評估不夠準確，使用圖表法分析得出的SIL等級相對保守，會導致過度設計，增加投資成本。因此，設計階段及在役裝置的SIL定級評估通常采用保護層LOPA分析方法。

表1 SIL等級Table 1 SIL Level

3 SIL驗算方法概述

1998年，國際電工技術委員會 （IEC）針對自動化儀表產品開發應用提出了IEC 61508—1998［10］（GB 20438—2006《電氣／電子／可編程電子安全相關系統的功能安全》）標準，2003年提出了IEC 61511—2003［11］（GB 21109—2007 《過程工業領域安全儀表系統的功能安全》）標準，對安全儀表系統 （SIS）的框架、定義、系統、硬件和軟件，包括安全完整性等級 （SIL），提出了明確的要求。

根據IEC 61508標準規定，安全完整性等級（SIL）共分為4個等級 （SIL級別越高，完整性等級越高），并且涵蓋了兩種模式 （低需求模式及高需求模式）。低需求模式 （low demand mode）：由于工藝條件的變化 （如高液位、高壓、高溫或低溫），并且達到一個指定的閾值，使得SIS聯鎖系統為了實現儀表安全功能而將工藝聯鎖至安全狀態（如停車），而且這種SIS聯鎖系統動作需求的頻率低于1年1次。高需求模式 （high demand mode）：SIS聯鎖系統動作需求的頻率高于1年1次，或者在一個功能測試間隔中超過2次。對于流程工業中的緊急停車聯鎖 （emergency shutdown devices，ESD），考慮其需求頻率，一般采用低需求模式進行分析。見表1。

3.1 安全儀表功能 （SIF）構成

SIF回路主要由以下部分構成：

· 檢測單元 （傳感器），用于指示操作條件是否超過設計允許范圍的一個或一組設備 （如壓力變送器）；

· 邏輯解算器 （控制器），用于SIS系統邏輯判斷的電子電氣或可編程設備 （PLC）；

· 執行單元 （執行器），用于干預流程削減風險的一個或一組設備 （如關斷閥）。

安全儀表系統通常包括緊急停車系統 （ESD）、火焰燃燒管理系統 （burner management system，BMS）、高完整性壓力保護系統 （high integrity pressure protection system，HIPPS）和火災報警及可燃氣檢測系統 （fire and gas detection system，FGS）等。

3.2 驗算方法選擇

根據SIF系統的結構組成，對每一SIF回路的PFDavg（要求時平均失效概率）數值進行計算，并進一步審查硬件結構約束特性，以考察SIF是否能夠達到IEC 61508／IEC 61511中對應SIL等級的可靠性的要求。PFDavg計算中需考慮失效率 （λ）、表決機制 （MooN）、檢驗測試覆蓋率 （CTI）、檢驗測試間隔 （TI）、平均修復時間 （MTTR）、共因失效因子 （β）等因素［12］的影響。

目前普遍采用的SIL驗算方法［13］主要包括以下幾種：

·采用簡化方程式確定安全儀表功能的SIL等級；

·采用故障樹分析確定安全儀表功能的SIL等級；

·采用馬爾可夫分析確定安全儀表功能的SIL等級。

其中馬爾可夫模型 （Markov Model）具有計算精度高、順序關聯、動態反映、對設備之間依賴性影響小、考慮詳細全面等優點，因此本次驗算工作采用馬爾可夫模型進行。

3.3 名詞定義

3.3.1 操作模式 在以石化產業為代表的過程工業中，SIS系統通常用作基本過程控制系統 （basic process control system，BPCS）之外的獨立保護層，如緊急停車系統 （ESD）。只有當BPCS的常規控制和操作員手動干預無效時才會產生對ESD系統的操作要求。如液位高報警時，通常BPCS的常規控制和操作員手動干預會通過關小進料閥和／或開大出料閥進行調整，如果調整無效，液位達到高高限 （操作要求），則會觸發SIS系統發出聯鎖動作響應，關閉進料閥和／或打開出料閥。在SIS聯鎖動作中這種操作要求出現的頻率非常低，在絕大部分運行時間內SIS是處于 “休眠”狀態的。因此，可視其為低需求模式［14］。本次評估亦選定低需求模式。

3.3.2 PFDavg（要求時平均失效概率） 根據IEC標準，E／E／PE （電氣／電子／可編程電子）安全相關系統的安全功能PFDavg［15］是通過計算和組合提供安全功能的所有子系統PFDavg確定的，它可以表示為：

·PFDSYS——E／E／PE安全相關系統的安全功能PFDavg；

·PFDS——傳感器子系統PFDavg；

·PFDL——邏輯子系統PFDavg；

·PFDFE——最終元件子系統PFDavg。

3.4 分析流程

分析流程如圖1所示。

3.5 敏感性分析

一個SIF回路的SIL等級是由SIF中3個單元（即傳感器、邏輯處理器和執行機構）的PFD共同確定的。每個單元的PFD受以下參數影響和制約［16］：①失效率；②表決機制；③檢驗測試覆蓋率；④檢驗測試間隔 （TI）；⑤平均修復時間（MTTR）；⑥共因失效因子 （β）等。

驗算結果不滿足SIL等級要求的SIF回路可以調整優化其中部分參數，例如縮短檢驗測試間隔（TI）［17］；完善測試方法，提高檢驗測試覆蓋率；增加最終執行機構 （關斷閥）的部分行程測試PST功能等；對SIF回路重新進行冗余配置；或選擇高可靠性的硬件，并基于優化后的參數再次驗算是否滿足SIL定級的要求。

優化后的參數不僅可以指導SIF的設計，也將成為SIS系統未來運行中測試、校驗、維護的依據。

3.6 分析軟件

本次驗算采用工藝安全管理軟件PSMSuite?中的SIL驗算模塊 （安全完整性等級驗算），基于馬爾可夫模型。

軟件的開發與應用符合：

·IEC 61508Functional Safety of Electrical／Electronic／Programmable Electronic Safety－related Systems；

·IEC 61511Functional Safety －Safety Instrumented Systems for the Process Industry Sector；

· 美國OSHA PSM 29CFR 1910.119。

4 分析結果

一般來說，對在役裝置進行SIL驗算，最為可靠也最能反映系統真實現狀的方法是考慮使用裝置運行階段各元器件的失效、測試相關數據［18］用于分析。但是，在實際分析過程中，雖然企業自身的數據收集及記錄已經相對較為完善，但由于失效數據樣本數量不足，其標準差過大，不適宜直接使用［19］。雖然提取了測試程序、文件及相關記錄，但是記錄不完整。通過對數據的分析整理，參考部分國際通用數據庫的數據，做出一系列假設，以保證分析結果在偏保守的前提下能夠更加貼近裝置實際運行情況。

本次SIL驗算工作中管線新建分輸站及閥室選取2個代表性SIF回路，改造項目新增設備共計7個SIF回路，接收站內SIL定級要求在2級及3級的關鍵SIF回路共計3個。驗算結果見表2。

圖1 SIL驗算分析流程Fig.1 SIL verification workflow

圖2 敏感性分析前SIF－1回路PFD分布及趨勢圖Fig.2 SIF－1loop PFD distribution and trend before sensitivity analysis

表2 SIL驗算結果Table 2 SIL Verification Result

其中管線及閥室部分有1個SIF回路驗算結果不滿足SIL定級要求，改造項目新增SIF回路中有1個SIF回路驗算結果不滿足要求，LNG接收站各關鍵回路SIF回路驗算結果均滿足要求，并且存在一定程度的過保護 （SIL驗算結果高于SIL定級的等級要求）。出現這樣的結果，其主要原因可能包括：①原設計時進行了SIL定級分析，但由于采用的是圖表法，相對而言評估出的結果較為保守；②接收站內主要設備設施由于對其失效機理及后果相對較為了解，而且相對而言不管是設計方還是業主都對這部分系統更為重視，在設計時已考慮了較高的安全配置。這些常規認為容易出問題的地方反而由于補強由系統的 “短板”變成了相對來說安全可靠性更高的部分［20］。

一般來說，在SIS驗算結果無法滿足SIL定級需求時，企業應當通過更新SIF回路中PFDavg主要貢獻者的硬件配置來提升整個SIF回路的SIL等級，以達到要求［21］。對下面兩個實例來說，分別是最終執行機構 （切斷閥）以及檢測單元 （傳感器）。通過更新SIF回路的硬件配置 （往往也意味著項目一次性投資的增加），如采購可靠性等級更高的閥門或采用冗余配置的傳感器 （由1oo1改為2oo3）等措施，來提高SIL等級，以滿足系統風險要求。

由于本次驗算結果中的PFD值較為接近下一SIL等級的PFD要求，本次分析嘗試了在不額外增加硬件配置費用的情況下通過合理調整測試周期和測試覆蓋率來使SIS系統的SIL等級滿足SIL要求。

4.1 敏感性分析

4.1.1 LNG管線壓力高高聯鎖保護 因LNG接收站系統需保證向下游連續供氣，目前全站測試間隔 （執行機構）為12個月，計算中輸入的執行機構測試覆蓋率為50%，SIL驗算結果為SIL 2。SIF回路的PFD分布及趨勢如圖2所示。

敏感性分析：由圖2可以看出，SIF－1回路中PFD的主要貢獻來自執行機構。經與業主討論確認，提高執行機構 （關斷閥）的測試覆蓋率，在大修周期內嚴格按預先編制好的測試程序進行嚴格測試，提高測試覆蓋率到90%，從而確保SIL 3的完整性。敏感性分析后的SIF回路PFD趨勢如圖3所示。

4.1.2 高壓泵出口流量低低聯鎖保護 高壓泵出口設有雙流量計，兩者可以互相比對，通過設置兩個流量計間的偏差報警對流量計的λDU及λSU數據進行修正。但目前的12個月測試間隔無法保證整個SIF回路達到SIL 2，PFD值略高，SIL為1。SIF回路的PFD分布及趨勢如圖4所示。

圖3 敏感性分析后SIF－1回路PFD分布及趨勢圖Fig.3 SIF－1loop PFD distribution and trend after sensitivity analysis

圖4 敏感性分析前SIF－3回路PFD分布及趨勢圖Fig.4 SIF－3loop PFD distribution and trend before sensitivity analysis

敏感性分析：由圖4可見，SIF－3回路中PFD的主要貢獻來自檢測單元 （傳感器）。由于流量計及停泵繼電器可以在線測試，對其測試間隔和測試覆蓋率進行優化。根據分析結果，提高流量計的測試覆蓋率到99%，測試間隔改為6個月；停泵繼電器為簡單元器件，測試覆蓋率提高到100%，測試間隔6個月后可將SIL等級提高到SIL 2。敏感性分析后的SIF回路PFD趨勢如圖5所示。

5 結 論

（1）SIF回路校驗測試計劃與程序文件應符合IEC 61511／61508的要求。建議進一步在SIF回路校驗測試計劃與程序文件中明確測試時間、測試內容、測試程序、能力要求、記錄要求及偏差處理規定等具體要求。

（2）通過進行敏感性分析，縮短測試間隔和提高測試覆蓋率，可以在一定程度上降低SIF回路的PFDavg，并可以在一定程度上修正SIL等級驗算結果。但是LNG行業下游用戶往往對供氣的穩定性有較高的要求，縮短測試間隔往往意味著增加停車檢修頻率，而提高測試覆蓋率可能會造成大修周期的延長。企業應根據自身實際情況謹慎調整這些參數，避免由于實際生產需求而無法達到上述要求造成的安全隱患。

圖5 敏感性分析后SIF－3回路PFD分布及趨勢圖Fig.5 SIF－3loop PFD distribution and trend after sensitivity analysis

（3）在分析過程中發現，在接收站內存在著部分系統過保護、部分系統保護不足的現象。據國外相關統計，一般來說，裝置內SIS系統保護不足或缺失僅占5%～10%的比例，超過50%的裝置存在SIS系統過保護的情況。因此，在設計階段就進行SIS系統的評估是相當有必要的。目前通行的做法是在初步設計階段實施SIL定級工作，與危險及可操作性分析 （HAZOP分析）采用同一組人，緊接著HAZOP分析完成執行SIL定級。在詳細設計階段SIS系統冗余結構、選型初步確認后即開展SIL驗算工作。在項目建設階段完成SIS系統的設計與評估，節約不必要的投資，并將花費集中于系統的相對薄弱環節，優化投資產出比。

（4）失效數據的取用。企業自身收集的元器件失效數據由于相對數據樣本較少，無法在分析中直接使用，在分析中較多地采用了通用數據庫中的相關失效數據。但由于現場實際使用元器件型號與通用數據庫不能完全匹配，工作環境也存在一定的差異性，選取失效數據只能采用相對保守的取值方式，并應用了一些假設。國外數據庫的收集建立一般是由行業協會牽頭，企業進行收集后再交由行業協會整理發布。隨著SIL分析在國內的推廣，希望國內也能逐步建立起自己的可靠的失效數據庫，使未來SIL分析的結論更加符合國內實際安全生產管理水平和設備維護水平。

（5）隨著國家安全生產監督總局在2014年11月發布的116號文 《加強化工安全儀表系統管理的指導意見》中對新建裝置及在役裝置設計建立安全儀表系統的相關要求以及安全生產標準化工作的進一步推廣 （設置合規的安全儀表系統為一級企業達標的A級要素否決項），安全儀表系統的應用及發展必將為流程工業企業安全長穩優的生產運營提供一道新的保障。

Peferences

［1］ Lees F P.Loss Prevention for the Process Industries［M］.London：Butterworth and Heinemann，1992.

［2］ Chastain J W.Ensuring consistency of corporate risk criteria／／6th Global Congress on Process Safety ［C］.San Antonio，Texas，2010.

［3］ Layer of Protection Analysis—Simplified Process Risk Assessment［M］.New York：Center for Chemical Process Safety of the American Institute of Chemical Engineers，2003.

［4］ Curt Miller.Win－Win：a Manager's Guide to Functional Safety［M］.Exida.com L.L.C.，2008.

［5］ Edward M Marszal，Eric W Scharpf.Safety Integrity Level Selection Including Layer of Protection Analysis［M］.NC：Research Triangle Park，ISA，2003.

［6］ Johnson R W.Beyond－compliance uses of HAZOP／LOPA studies［J］.JournalofLossPreventionintheProcess Industries，2010，23 （6）：727－733.

［7］ Gubinelli G，Zanelli S，Cozzani V.A simplified model for the assessment of the impact probability of fragments ［J］.JournalofHazardousMaterials，2004，A116：175－187.

［8］ Guidelines for Enabling Conditions and Conditional Modifiers in Layer of Protection Analysis［M］.New York：Center for Chemical Process Safety，2014.

［9］ TR84.00.02－2002，Technical Report.Safety Instrumented System （SIS） －Safety Integrity Level（SIL）Evaluation Techniques［R］，NC：Research Triangle Park，ISA，2002.

［10］ IEC 61508. Functional Safety of Electrical／Electronic／Programmable Electronic Safety－related Systems ［S］.2010.

［11］ ANSI／ISA－84.00.01－2004. Functional Safety： Safety Instrumented Systems for the Process Industry Sector－Part 1，2and 3 ［S］（IEC 61511Mod）.2004.

［12］ Goble W M，Bukowski J V.Verifying common cause reduction rules for fault tolerant systemsviasimulation using a stress－strength failure model ［J ］.ISA Transactions，2000.

［13］ William M Goble，Harry Cheddie.Safety Instrumented Systems Verification：Practical Probabilistic Calculations［M］. The Instrumentation，Systems and Automation Society，2005.

［14］ Roy Billinton，Ronald N Allan.Reliability Evaluation of Engineering Systems：Concepts and Techniques ［M］.New York：Plenum Press，1983.

［15］ Henley E J，Kumamoto H.Probabilistic Risk Assessment：Reliability Engineering，Design，and Analysis ［M］.NJ：Piscataway，IEEE Press，1992.

［16］ Goble W M. Control Systems Safety Evaluation and Reliability ［M］.2nd ed.NC：Research Triangle Park，ISA，1998.

［17］ Bukowski J V.Modeling and analyzing the effects of periodic inspection on the performance of safety－critical systems ［J］.IEEETransactionsofReliability，2001，50 （3）：321－329.

［18］ Arner D C，Angstadt W C.Where for art thou failure rate data ［EB］／／Proceedings for ISA 2001－Houston. NC：Research Triangle Park，ISA，2001.

［19］ Goble W M. Accurate failure metrics for mechanical instruments ［C］／／Proceedings of the IEC 61508Conference（Augsberg，Germany），RWTUV，Jan 2003.

［20］ Dhillon B S.Reliability Engineering in Systems Design and Operation ［M］：New York：Van Nostrand Reinhold，1983.

［21］ Brombacher A C.Reliability by Design ［M］.Chichester：John Wiley and Sons，1992.