油氣處理模塊安全儀表系統SIL驗證

，，

(南通中遠船務工程有限公司，江蘇 南通 226000)

第7代鉆井船憑借卓越的超深水鉆井能力和原油試采處理功能，已得到諸多石油公司的重視和認可。為了有效保障海洋油氣開采作業人員和設備的安全，針對目標鉆井船油氣處理模塊開展安全儀表系統的安全完整性驗證評估，此舉極大地降低了油氣泄漏污染海洋環境的風險，具有重要研究應用價值。

目前，在海洋工程行業，新建或改建的海洋石油平臺一般都要開展風險評估并配置相應安全等級的安全儀表系統。國際上專門制定了一系列相關標準，比如面向安全儀表系統制造和供應商的標準IEC61508[1]，面向安全儀表系統設計、集成和用戶的 ISA-S84.01[2]和 IEC61511[3]。為了評估方便，國際上通過引入“要求時平均失效概率”(average probability of failure on demand， PFDavg)這一評估安全完整性的指標。

基于前期對研發鉆井船油氣處理模塊裝置開展的危險和風險分析，辨識安全儀表功能，并確定安全儀表功能應具有的目標安全完整性等級(SIL)。本文考慮通過計算油氣處理模塊執行安全儀表功能(SIF)回路的PFDavg和安全失效分數(SFF)，進而驗證某個執行儀表安全功能的安全儀表系統(SIS)其安全完整性是否達到該儀表安全功能的SIL要求。

1 驗證要求

為了保證執行某個儀表安全功能的SIS其安全完整性滿足該儀表安全功能的SIL要求，IEC 61508(1-7)給出了相應SIS設計和操作規范的安全要求。

IEC 61508規范依據PFDavg值，將安全完整性分為離散的4個等級，安全完整性等級1為最低，安全完整性等級4為最高，見表1。

表1 低要求操作模式下安全功能的目標失效量

3)安全完整性的結構約束要求：按照子系統類型(劃分為類型A或B)，由硬件故障裕度(HWFT)和安全失效分數(SFF)以確定系統的安全完整性等級，進而從半定量角度驗證構成執行安全儀表功能(SIF)的回路是否整體達到設計的SIL要求。安全回路中的設備在對應類型下系統結構SIL要求見表2。

2 驗證方法

2.1 PFDavg計算方法(定量要求)

基于PDS方法[4]對執行SIF回路的PFDavg值進行計算，進而完成定量角度的SIL驗證評估。

通常PDS方法簡化計算PFDavg時，一般包含共因部分和獨立部分。針對目前常用的安全回路結構總結對應的計算公式見表3。

表2 系統結構約束要求

表3 MooN 結構下PFD獨立部分 和 PFD共因部分 簡化計算公式

注*： 對于NooN結構，其PFDavg中共因部分和獨立部分均包含在計算式中

表中，修正因子CMooN由下式計算獲得。

(1)

j=2,3,,N

(2)

β2為1oo3冗余結構下3個元件中2個發生共因失效時，第3個元件發生失效的概率。通常定義：β2=0.5，β3=0.6，β4=0.7，β5=0.8，β6=0.9和βk=1.0(k≥7)，因此，修正因子CMooN體現了表決結構對共因失效強度的影響，統計結果見表4。

表4 表決結構修正因子CMooN統計結果

λDU為未檢測到的總危險失效率；β為未檢測到的危險失效共因失效因子；τ為功能測試時間間隔，h。

進一步考慮IEC 61508規范要求，依據《PDS方法手冊》中5.2.4章節所述，IEC 61508規范中要求時失效概率(PFDIEC)數值等于PDS方法中要求時失效概率(PFDPDS)與修復期間的系統安全功能失效概率(DTUR)之和。

PFDIEC=PFDPDS+DTUR

(3)

修復期間的系統安全功能失效概率(DTUR)是指設備維修期間發生的危險失效而導致的系統安全功能失效。設備維修期間內系統的平均不可用時間為MTTR(mean time to failure)，包括從發現設備失效到維修完成這段時間，這段時間內，設備失效是已知的，系統的安全功能失效也是已知的。

針對目標鉆井船油氣處理模塊安全儀表系統，結合實際建造生產情況，假設：功能測試并非完全理想，無法100%發現所有失效，即功能測試覆蓋率PTC<1。

未檢測到的危險失效λDU假設部分在功能測試期間被檢測到，則檢測到失效率為PTC·λDU，測試間隔時間為τ，而剩下部分假設在(子)系統的壽命期內完全被檢測到，即對應的檢測到失效率為(1-PTC)λDU，測試間隔時間為T。

由于MTTR≤τ，依據《PDS方法手冊》5.3.2章節所述：PTC<1時，DTUR影響小，可忽略不計。因此，得出常用安全回路結構的PFDavg計算公式，見表5。

表中PTC為功能測試覆蓋率；T為(子)系統的壽命期內測試間隔時間，h。

表5 MooN結構下PFDavg計算公式

2.2 安全失效分數SFF計算方法(半定量要求)

硬件故障裕度N是指當出現N+1個錯誤會導致安全功能的喪失，而安全失效分數(SFF)的定義見下式。

(4)

式中：λS為安全總失效率；λD為危險總失效率；λCritical為總失效率(影響安全功能)；λDD為檢測到的總危險失效率；λDU為未檢測到的總危險失效率。

依據設備商提供的功能安全認證證書及相關材料，獲取對應元件的系統類型(A或B)、硬件故障裕度(HWFT)及相關計算參數，結合安全失效分數(SFF)和表2以確定執行SIF回路的安全完整性等級，進而完成油氣處理模塊SIS的SIL半定量驗證評估。

3 應用實例

依據HAZOP(hazard and operability analysis)分析結果可知，當啟動原油工藝處理單元時，需對一級分離器體內先進行注氣增壓。為了保證注入氣體溫度不低于罐體設計最低溫度，此處通過增設溫度傳感器來預警注入氣體溫度低的情形，并由邏輯控制器處理信號，最終執行切斷注氣的關閥操作。

為證明系統能夠實現上述功能，基于HAZOP、LOPA(layers of protection analysis)分析結果，結合流程工藝和儀表功能設計，確定元件的結構和型號，運用上述SIL驗證方法，完成該執行SIF回路的SIL驗證評估，步驟如下。

第一步。確定執行SIF回路的元件和結構，見圖1。

第二步。確定執行SIF回路的目標SIL。基于HAZOP、LOPA(layers of protection analysis)分析結果，該SIF回路的SIL 要求為SIL2，目標PFDavg值為2.00×10-3。

第三步：確定執行SIF回路各元件可靠性數據(依據廠商提供的安全功能認證證書及相關資料)。

第四步：執行SIF回路的SIL 等級的驗證計算評估，見表6。

由表6可知：①該執行SIF的回路整體PFDavg為1.73×10-3(小于目標值2.00×10-3)，故滿足SIL2等級要求；②選用元件其SIL等級均達到SIL2及以上水平。

因此，無論從定量驗證角度還是半定量驗證角度，該執行SIF的回路均可滿足SIL2等級要求，說明該回路硬件選型及結構的合理性，可確保整個SIF回路的安全功能實現。

4 結論

1)從SIL驗證角度分析來看，提高SIS安全等級的途徑有：硬件結構確定、測試間隔τ確定、硬件選型等，即通過采用適當的冗余結構或多樣性設計，開展頻繁的驗證測試，選用高可靠性的設備，特別是具有高診斷覆蓋率的產品等。

2)從硬件設備選型來看，在優選符合安全要求的硬件設備時，盡量選擇經過實踐證明或具有安全認證(Exida、TUV、FM Global等)證書的產品。

表6 執行SIF回路的SIL等級的驗證計算評估

3)對于執行SIF回路的硬件來講，危險失效風險總是存在的，倘若硬件SIL評估過低，則易造成系統采用不必要的冗余結構或硬件設備，會增加系統成本；反之，則易造成安全隱患，使過程風險概率增加。因此，SIS設計須兼顧安全性和經濟性，從而最大限度地將過程風險控制在容許風險以內。