LNG接收站中的SIL定級與驗證方法

劉 冰 畢曉星 吳健宏 邢 楠 任玉潔

(中海石油氣電集團有限責任公司,北京 100028)

LNG接收站中的SIL定級與驗證方法

劉 冰 畢曉星 吳健宏 邢 楠 任玉潔

(中海石油氣電集團有限責任公司,北京 100028)

以LNG接收站的典型回路為例介紹了常用的安全完整性等級(SIL)定級與驗證方法，并結合LNG接收站的可接受風險目標，論述保護層分析方法的半定量計算原則和SIL驗證的基本步驟。針對安全儀表系統設計的薄弱環節，總結并提出了提升SIL回路本質安全的幾個原則。

SIL定級與驗證 LNG接收站 安全儀表系統 保護層分析方法 本質安全

LNG接收站在我國增加天然氣進口量、加大清潔能源的開發與利用方面起到了重要作用。LNG接收站處理的天然氣量較大，無論是氣態還是液態天然氣都是易燃易爆品，在LNG卸船、儲存、輸送和汽化過程中極易發生泄漏和火災爆炸事故。目前，LNG接收站全部采用安全儀表系統(SIS)來確保工藝裝置的生產安全，SIS可在工藝生產過程發生危險故障時將系統自動或手動帶回到預先設計的安全狀態，避免重大人身傷害與設備損壞事故[1]。但是近年來，國內外的部分重大化工事故多與SIS失效或設置不當有關，雖然設置了SIS，但即使是SIS回路中的一個元件發生失效也可能造成災難性的后果。以LNG儲罐為例，在LNG卸船過程中，如果高高液位檢測儀表失效，將導致LNG充裝過量，大量LNG溢出內罐，進而造成外罐壓力上升破壞水泥外墻，不僅造成儲罐本體損壞甚至發生火災爆炸。

2014年，國家安監總局印發了關于《加強化工安全儀表系統管理的指導意見》，提出規范SIS管理工作亟待加強，應重點加強SIS全生命周期中3個關鍵節點的把控。一般，在分析設計階段可能存在危險與風險分析不足、安全完整性等級(Safety Integrity Level,SIL)定級過高或過低、冗余容錯結構不合理及缺乏明確的檢驗測試周期等問題；工程實施階段易發生產品設計選型不當、無法滿足SIL定級要求及安裝調試管理不規范等問題；操作運行階段易存在聯鎖回路擅自改停、SIS產品維護不合理及變更管理不規范等問題。

近年來，中海石油氣電集團有限責任公司(以下簡稱氣電集團)下屬全部LNG接收站均依據國家法律法規和標準規范，邀請第三方評估機構開展了危險與可操作性分析(Hazard and Operability Analysis,HAZOP)和SIL定級工作。針對SIL驗證評估結果，對不滿足SIL定級要求的回路，都已根據評估意見修改了測試周期或優化了冗余回路設計。氣電集團還通過配套開發適用于LNG接收站的SIL分析評估軟件和相關數據庫的手段，規范SIL定級與驗證方法及其引用數據的科學性和規范性；通過建立標準化的招標采辦文件規范產品選型與供應商標準要求，提高SIL回路的本質安全設計水平。在此，筆者根據SIL定級與驗證方法，結合LNG接收站的可接受風險目標，給出了保護層分析(Layer of Protection Analysis,LOPA)方法的半定量計算原則和SIL驗證的基本步驟。針對SIS的薄弱環節，給出了提升SIL回路本質安全的選型原則，為提升LNG接收站SIS的設計與安全分析水平提供思路。

1.1 SIL

LNG接收站設置SIS的目的是自動防止對人員、環境、廠房設備、生產和財產造成損失、損害或不良影響的情況發生。SIL的確定是SIS全生命周期管理的源頭，其數值代表SIS使過程風險降低的數量級，直接關系到SIS的安全性與可靠性，也影響到系統相關設備的選型、運行維護周期與成本。對于新建、擴建和改造的LNG接收站，通常在初步設計階段以HAZOP結果為基礎開展SIL定級工作，在詳細設計階段對SIS設計是否達到預期SIL要求進行驗證，進一步減少安全相關的人為失誤，減小系統故障風險[2]。

1.2SIL定級方法

LNG接收站中普遍采用的SIL定級方法有校正風險圖法和LOPA方法。校正風險圖法根據原因發生頻率與后果的嚴重等級，以人員、環境和財產3個風險圖評估出的最高SIL為準，是定性分析，大部分評估依賴于分析人員的經驗和知識，分析結果偏保守。LOPA方法是一種半定量分析方法，通過逐層計算各個獨立保護層對風險的消減，并將風險消減之和與企業可接受風險標準進行比較，進而確定SIS的SIL等級。LOPA方法更少受限于人員經驗的差異性，對保護層的分解更加精細，并且有原因發生頻率、中間事件失效概率等經驗數據的支撐，因此該方法正逐漸成為LNG接收站SIL定級的主要方法[3]。

1.3軟件平臺

國際上知名的第三方評估機構均為SIL定級與驗證開發了軟件平臺，如BV公司的VeriSIL、DNV的Orbit SIL及勞式的故障樹軟件RiskSpectrum等。目前，我國相關技術支持方也正在積極打造專用于LNG接收站的一體化分析平臺，該平臺在已建LNG接收站歷史分析流程和分析結果的基礎上，集HAZOP、SIL定級與SIL驗證于一體。同時，LOPA方法用初始原因與發生頻率數據庫按工藝單元劃分節點，匯總各工藝單元的常見風險、觸發原因與常用的安全儀表功能(Safety Instrumented Function,SIF)。企業可容許風險矩陣根據LNG行業風險類型與評價標準，制定最基本的可接受風險矩陣。獨立保護層失效頻率數據庫匯總了LNG接收站常用的保護層類型及其失效概率，為確定SIL提供快速決策，為科學指導并規范LNG行業SIL定級與驗證提供輔助信息。

2 LNG接收站可接受風險目標

LNG接收站(年產200萬t以上)的風險后果與觸發原因的識別體系建立后，LNG作為低溫介質，對人員傷亡、環境破壞、關鍵設備損壞、閃蒸汽放空及外輸中斷等帶來的經濟損失程度也逐漸清晰。LNG接收站普遍采用的可接受風險目標見表1。

表1 可接受的風險目標

當涉及到一個以上人員死亡或LNG泄漏至收集池外造成持續性破壞等時，嚴重性等級將上升至最高的5級，導致此后果的原因可能是多個，如儀表失效、多個人員同時操作失效或儲罐的持續性損壞等。在此風險降低目標的約束下，LNG接收站對SIL要求較高的回路主要有LNG儲罐液位高高、再冷凝器壓力高高、汽化器出口溫度低低、海水流量低低(適用于海水介質汽化器)、壓縮機入口吸入罐液位高高、燃料氣電加熱器出口天然氣溫度低低及火炬分液罐高高液位等，以上回路的最低SIL要求為SIL2。

3 LOPA的應用方法

LNG接收站中，SIL較高的回路主要集中在碼頭、LNG存儲及汽化外輸等工藝單元。下面以LNG儲罐壓力低低PALL為例介紹LOPA的應用方法。

劇情識別與篩選。劇情由影響事件與后果組成，從HAZOP的分析后果中篩選出需要SIF的劇情，得到LNG儲罐壓力低低回路失效將導致LNG儲罐受損這一劇情；嚴重后果是LNG儲罐損壞、大量LNG外泄造成火災爆炸及外輸停產等。

觸發原因分析。針對每個辨識出的危險，用圖表列出其觸發原因。導致LNG儲罐壓力低低的兩個原因是壓力控制回路失效和人員操作失誤(如，當需啟動一臺壓縮機時啟動了兩臺)。

獨立保護層(Independent Protection Layer,IPL)分析。通過圖表分析防護措施或抑制危險后果的減災措施，具體見表2。

在IPL辨識階段，首先應確定基本過程控制系統(Basic Process Control System,BPCS)應獨立于SIS設計，如果BPCS回路的失效會觸發初始原因，則該BPCS回路不應作為IPL。當LNG儲罐處于壓力低報PAL時，自動補氣控制回路啟動，該回路各元件與SIS中的PALL回路完全獨立，因此補氣控制回路可作為IPL。在確定失效概率時，由于除PAL回路外，沒有再單獨設置控制回路來防止壓力測量的共因失效，因此，該IPL的失效概率應選擇GB/T 21109-2007中推薦的0.10以上值(對應SIL1以下)，又考慮到回路失效也有人員操作維護的因素，因此最終IPL失效概率取0.11。針對操作和報警，應分析該報警是否來自獨立的壓力變送器、壓力報警設定器和報警裝置。如果BPCS的失效導致報警異常，則該報警與響應不能作為IPL，并且在一個事故中只允許有一個報警和人員干預。此外，在防護層中，由于儲罐設置了真空閥機械保護系統，因此真空閥應作為IPL參與分析。在分析時應考慮真空閥吸入量和設定壓力能否完全阻止危險向后傳播，因此，在LOPA計算時有必要核實真空閥的設計依據。最后，根據GB/T 21109-2007和AIChE給出的推薦數據，得出PALL應定級為SIL1回路[3～5]。

表2 壓力低低導致儲罐損壞的LOPA列表

注：*代表真空補氣回路；中間事件概率是頻率、BPCS、操作和報警、IPL額外措施的乘積。

4 SIL驗證方法

LNG接收站通常采用故障樹方法進行SIL驗證。GB/T 20438-2006根據安全功能被要求的頻率定義了兩種評估SIL的量化指標，同時考慮到LNG接收站屬于低要求模式，即要求頻率小于每年一次，因此采用平均失效概率(PFDavg)對SIL進行評估。根據GB/T 20438-2006提供的簡化公式可計算相關元件的PFDavg，計算所需的具體參數包括每個通道的危險失效率、危險診斷覆蓋率、公因失效率、設備平均修復時間和檢測周期。數據來源主要以產品供應商提供的基礎失效數據為主，如果此部分數據不完全，通常采用權威發布的基本工業統計數據和相應的假設條件，并聲明和討論可能由此產生的偏差。表3為儲罐PALL回路SIL驗證的計算結果，可以看出SIL1的定級滿足要求。

表3 儲罐PALL回路的SIL驗證結果

5 SIS各環節的選型

SIS是由檢測元件、各種I/O卡件、控制單元、執行機構或元件及它們之間的信號傳輸構成的完整系統。系統整體的可靠性和可用性與構成系統的各個環節密切相關，因此，在確定SIL后應重點關注各環節元件的設計選型和配置的合規性與合理性，使每個SIL回路的設計與執行切實滿足工藝過程安全要求。

針對檢測元件，應嚴格選擇具有安全等級認證的變送器產品，并要求廠家提供TUV、Exida等權威機構的SIL認證、危險失效率等關鍵參數。在產品選型上，應優先采用模擬量變送器信號作為檢測信號，避免開關類儀表由于長期不動作而發生觸點粘合等異常情況，導致系統誤動作。選擇本安型儀表時，應額外考慮引入安全柵風險對SIL的影響。由于執行元件出現故障的比率最高，因此，在選擇電磁閥時應選擇絕緣耐用型線圈，切斷閥門尤其是低溫閥門的抗低溫性能應格外注意，避免因材料選擇不合理導致后期變形卡死、因材料加工和低溫試驗不合格為后期埋下隱患。在對SIS關斷閥執行機構進行選型時，應嚴格要求其輸出是最大設計扭矩的兩倍，以滿足閥門在最小供氣壓力下、最壞情況時的操作需要。對于關鍵部位的執行機構，可選擇多電磁閥、多執行機構的冗余設置。對于邏輯設計單元與I/O卡件的設置，雖然它們出現故障的概率較小，但也應選擇技術先進可靠的產品，以提高整個系統回路的可靠性。

6 結束語

筆者針對SIS設計的關鍵環節，結合LNG行業安全功能分析與SIS的設計經驗，介紹了LNG接收站功能安全分析和SIL定級與驗證方法。通過總結LNG接收站以往的設計經驗，提出需要注意的有關本質安全設計的幾點原則，為SIS的后生命周期管理奠定基礎。

[1] 莊力健,朱建新,方向榮,等.典型石化裝置加熱爐聯鎖系統安全完整性評估與現狀[J].化工自動化及儀表,2015,42(1):31～35.

[2] 朱春麗,洪毅,丁傳暉.海洋石油平臺安全儀表系統安全完整性等級評估[J].化工自動化及儀表,2014,41(4):410～413.

[3] 張建國.安全儀表系統在過程工業中的應用[M].北京:中國電力出版社,2010.

[4] GB/T 20438-2006,電氣/電子/可編程電子安全相關系統的功能安全[S].北京:中華人民共和國國家質量監督檢驗檢疫總局,2006.

[5] GB/T 21109-2007,過程工業領域安全儀表系統的功能安全[S].北京:中華人民共和國國家質量監督檢驗檢疫總局,2007.

TH862+.7

B

1000-3932(2016)06-0665-04

2016-05-12(修改稿)