在役壓氣站場SIS的SIL定級與驗算

王琴梅

（國家管網西部管道公司塔里木輸油氣分公司）

國家安監總局《關于加強化工安全儀表系統管理的指導意見》（安監總管三 ［2014］116號）要求對現有安全儀表系統（Safety Instrumented System，SIS）功能進行評估，確保其滿足風險降低的要求。 輪南壓氣站作為西氣東輸一線首站于2004年建設投產，在多年的運行過程中，SIS新增并改造了安全儀表功能（Safety Instrumented Function，SIF）。SIS在正常維護的情況下，由于監測覆蓋率、維修技術等原因，要求時失效概率（Probability of Failure on Demand，PFD）要隨著使用時間的推移而逐漸增大［1，2］。

為確保輪南壓氣站SIS的完整性， 對站場設備設施和管線進行危險及可操作性分析（Hazard and Operability Analysis，HAZOP），并在HAZOP的基礎上進行SIS的完全完整性等級（Safety Integrity Level，SIL）定級和驗算工作，通過分析，提出優化和改造建議， 以使SIS滿足企業風險可接受標準，并提高站場SIS的可靠性和可用性。

1 壓氣站SIS簡介

輪南壓氣站的主要任務是接收油田集氣站的來氣，經處理、加壓輸送至下游站場，最大輸氣能力170×108Nm3/a，設計壓力10MPa。

安全儀表回路用于監測現場工藝運行情況，一旦出現異常，發出報警信息、執行預定動作，將工藝過程和設備置于安全狀態，減輕危險事件的后果。

安全儀表回路主要由傳感器、邏輯控制器和最終執行單元組成， 傳感器包括可燃氣體探測器、火焰探測器、壓力變送器及溫度變送器等；邏輯控制器一般為安全型PLC； 最終執行單元包括聲光報警器、風機及壓縮機聯鎖停車等［3］（詳見IEC 61508和IEC 61511）。

2 壓氣站SIL定級

輪南壓氣站的SIL定級采取保護層分析（Layer of Protection Analysis，LOPA），主要是對后果嚴重度較高的場景進行半定量化分析，側重于對現有保護措施的識別和評價。 根據初始事件概率、后果嚴重性等級和獨立保護層失效概率來評估某一事故場景的風險，SIL定級過程中LOPA與HAZOP的關系如圖1所示［4］。

圖1 SIL定級過程中LOPA與HAZOP的關系

HAZOP的目標是辨識裝置工藝系統中可能產生的工藝危害偏差， 查找導致偏差的原因，分析該偏差可能導致的危害后果， 識別所有預防、檢測、控制和緩解后果的安全措施［4］。輪南壓氣站包括過濾增壓流程、放空流程、排污流程、燃料氣處理撬流程和清管流程。HAZOP小組將輪南壓氣站分為5個HAZOP節點，對風險點進行深入分析，確定可能存在的事故場景，通過識別初始事件發生的概率，評估每個場景造成的后果，同時考慮事件發生時造成影響的修正參數等，判斷現有保護層是否可以將風險降低到可接受水平。

本項目的安全儀表回路定級是從安全、環境、經濟和停輸4個方面評估后果的嚴重程度，根據風險矩陣確定事件發生的目標概率。 根據事件發生的概率和修正因素，確定安全儀表回路的風險削減因子，從而確定PFD。本項目的修正因素考慮火災發生的概率fifire和人員暴露概率fifireexposure：

J——保護層的層數；

Pignition——點火概率；

Ppersonpresent——人員出現在火災區域的概率；

PFDij——初始事件i中第j個獨立保護層的要求時失效概率。

3 壓氣站SIL驗算

根據IEC 61508《電氣/電子/可編程電子安全相關系統的功能安全》和IEC 61511《過程工業領域安全儀表系統的功能安全》的要求，評估硬件安全完整性主要考慮兩個方面：硬件的結構約束和隨機失效概率。

SIS硬件結構約束受到硬件故障裕度（Hardware Fault Tolerance，HFT） 和安全失效分數（Safe Failure Fraction，SFF）的制約。 硬件故障裕度表示設備或子系統的最低冗余水平，安全失效分數是指不會導致危險的失效與所有失效的比率。

對于安全儀表功能，傳感器、邏輯控制器和最終執行機構都應該具有最低的硬件故障裕度，相應的要求見表1。

表1 相關子系統的結構約束

目前，計算PFD值可靠性的方法有：可靠性框圖、故障樹和馬爾科夫模型。 因為輪南壓氣站的安全儀表回路數量較少，所用傳感器、邏輯控制器和閥門的失效模式都被定義過，所有故障狀態下的子系統能夠完全確定，而且有充足的故障數據，所以本項目采用可靠性框圖，用簡化方程式驗算SIL等級是否滿足要求。

可靠性框圖表示系統中各部件間的功能關系， 能直觀顯示安全儀表回路的配置和邏輯關系。 輪南壓氣站西一線1#、2#壓縮機廠房火焰探測 器報警安全儀表回路的可靠性框圖如圖2所示。

圖2 火焰探測器報警安全儀表回路的可靠性框圖

本次驗算采用ORBIT SIL 2014軟件， 該軟件的開發和應用符合IEC 61508和IEC 61105。 每個子系統的配置不同，其PFD值的計算式為：

式中 k——執行功能所需的最少通道數；

k-oo-n——表決機制；

MRT——平均修復時間；

MTTR——平均恢復時間；

n——總的通道數量；

PFDk-oo-n——冗余回路的安全儀表失效概率；

tCE——通道的等效平均停止工作時間；

T1——測試周期；

Tk-oo-n——k-oo-n回路的等效平均停止工作時間；

β——不可探測到的危險故障的共因失效系數；

βD——可探測到的危險故障的共因失效系數；

λD——危險失效率；

λDD——危險可探測失效率；

λDU——危險不可探測失效率。

通過對輪南壓氣站SIL回路的分析，共識別了8個SIF回路，采用LOPA對每個SIF回路進行SIL定級。分析結果表明，輪南壓氣站SIL1回路7個、SILa回路1個。 針對7個SIL1級的SIF回路，按照12個月功能測試周期開展SIL驗證計算。 根據驗算結果，有3個回路滿足要求的SIL等級，其余4個回路不能滿足要求的SIL等級。

根據實際情況提出以下5條改進建議：

a. 壓縮機本體的出口溫度超高與壓力超高聯鎖停單臺壓縮機，和出站溫度超高與出站壓氣超高聯鎖停所有壓縮機的功能重復，建議重新審核溫度和壓力聯鎖停單臺壓縮機功能的必要性，如無必要，建議取消該聯鎖，僅保留溫度高報警，同時審核該聯鎖的聯鎖值能否起到保護作用。

b. 將西一線1#、2#壓縮機組空壓機儲罐出口匯管壓力低低聯鎖停運，1#、2#壓縮機組改由SIS控制。

c. 將西一線3#壓縮機組空壓機儲罐出口匯管壓力低低聯鎖停運，3#壓縮機組改由SIS控制。

d. 壓縮機定期切換時間不得超過6個月。

e. 最少每6個月對所有壓縮機廠房的風機開關進行測試。

4 注意事項

輪南壓氣站SIS還包含了ESD按鈕觸發站場停運邏輯， 但筆者沒有分析該回路。 根據GB/T 32857—2016《保護層分析（LOPA）應用指南》A.6典型保護層可知，關鍵報警和人員干預屬于保護層中的第3層，參照表A.8，人員行動時間和人員崗位職能的情況，獨立保護層按照0.1的降險能力考慮，只要保證硬件回路的要求時失效概率按照10-3～10-2配置，即可滿足可靠性要求。

根據驗算結果， 縮短輪南壓氣站測試間隔，可修正SIL等級驗算結果，也就意味著需要增加停輸檢修頻率。 但輪南壓氣站是西氣東輸首站，對供氣的穩定性有較高的要求， 提出給ESD閥門增加部分行程測試功能， 在滿足生產運行的條件下，消除安全隱患。

在計算過程中，設備的可靠性數據主要來自于設備的SIL等級證書和FMEDA報告， 也參考了部分國際通用數據庫，但是設備的個體性能和使用環境不同，通用數據庫不能完全匹配，因此在計算中設置了一些假設條件。

部分傳感器或最終執行單元屬于多個安全儀表回路， 這些安全儀表回路的SIL等級不同，要求的測試周期也是不同的，因此傳感器或執行單元的測試周期應該按照最小測試周期進行計算。

5 結束語

對輪南壓氣站進行HAZOP分析、SIS定級和驗算工作，提出優化和改進建議，滿足了企業風險可接受標準，提高了SIS的可靠性和可用性。