基于SIL評估的LNG加氣站安全儀表系統問題分析及改進建議*

岑 康，任國強，王政新，潘成軍，王泳龍，邵金鳳，李仁科，盧恩蒼

(1.西南石油大學 土木工程與測繪學院，四川 成都 610500； 2.四川川港燃氣有限責任公司，四川 成都 610000；

3.重慶市渝川燃氣有限責任公司，重慶 400021； 4.中國石油西南油氣田公司基建工程處，四川 成都 610051；5.成都華潤燃氣設計有限公司，四川 成都 610045)

0 引言

LNG是1種優質的車用燃料，具有高效、安全、潔凈、方便儲運等優點，近年來得到廣泛應用[1-3]。作為車用LNG的主要供應站點，LNG加氣站的建設也呈現出良好發展態勢。據統計，2011—2019年，我國建成的LNG加氣站從100余座增加到3 100余座[4]。其中，三級LNG加氣站最為常見。由于LNG加氣站內的LNG屬于特別管控危險化學品[5]，且儲存量大，一旦發生LNG泄漏等緊急事件，極易造成災難性后果[6-8]。為保證生產安全，LNG加氣站必須設置安全儀表系統(Safety Instrumented System，SIS)。當站內生產參數超出閾值，系統將迅速控制部分生產裝置或設備，使工藝系統恢復到安全狀態。

安全儀表系統由傳感器、邏輯控制器和執行器組成。系統完成的安全儀表功能(Safety Instrumented Function，SIF)必須具備與工藝過程相適應的可靠性水平，即安全完整性等級(Safety Integrity Level，SIL)。SIL評估包括SIF辨識、SIL定級和SIL驗證等工作[9-10]。在工藝過程的設計階段，SIL評估主要用于指導安全儀表功能設置、結構設計以及設備選型等，以期以最小的投入獲得可靠的安全保證；而在運營階段，SIL評估主要用于判斷現有安全儀表功能是否依然完備、安全儀表功能測試周期是否合理、SIL等級是否滿足風險削減要求等。安全儀表系統SIL評估在石油化工行業已得到較為廣泛的應用[11]，但LNG加氣站目前尚未引入，其安全儀表系統目前主要依據相關標準規范與經驗進行設計[12-15]。目前也鮮見關于LNG加氣站安全儀表系統功能完備性與可靠性評估方面的文獻報道。

針對上述問題，選取典型在役LNG加氣站開展SIL評估，分析安全儀表系統設置現狀及不足，以期為LNG加氣站安全儀表系統的設計與運營管理提供依據。

1 研究對象

選取的3座在役LNG加氣站均為三級站，分別于2011年、2012年和2013年投運，位于城市物流干道旁，周邊分布有民用、商業及工業建筑等，站場布置與周邊環境如圖1所示。3座LNG加氣站內均設有1個60 m3的LNG儲罐、1套LNG潛液泵撬、1臺組合式氣化器和2～4臺加氣機，日銷售氣量約40～60 t。

圖1 3座LNG加氣站平面布置Fig.1 Plane layouts of three LNG fueling stations

2 SIL評估與問題分析

2.1 SIF辨識與SIL定級

SIF辨識與SIL定級是指辨識出為滿足風險控制要求應設置的安全儀表功能，同時確定其目標SIL等級。目前SIF辨識與SIL定級常采用危險與可操作性分析(Hazard and Operability，HAZOP)與保護層分析(Layer of Protection Analysis，LOPA)相結合的方法[16]。

1)HAZOP分析方法

首先采用HAZOP分析方法，識別事故場景。根據LNG加氣站的管道儀表流程圖將其劃分為LNG卸車管線、潛液泵、儲罐等13個分析節點，采用壓力、溫度等6項工藝參數和偏高、偏低等7項引導詞的組合，辨識各節點中可能出現的所有偏差，分析每項偏差產生的原因及其對應的后果。根據制定的適用于LNG加氣站的風險矩陣與可接受風險準則，分析每項偏差的發生頻率等級，以及可能造成的人員傷亡、財產損失、環境影響和社會聲譽的后果嚴重性等級，確定其原始風險等級[17]。辨識并分析已有防護措施的有效性，進而確定已有防護措施減緩后的殘余風險等級。針對殘余風險等級仍在中風險及以上的偏差項，提出可行的風險削減措施建議，并進一步開展LOPA分析。

2)LOPA分析方法

開展LOPA分析時，應在假設各獨立保護層(Independent Protection Layer，IPL)失效的前提下，確定初始事件導致某一后果的發生頻率，如式(1)所示[18]：

(1)

若初始事件i導致后果C的發生頻率低于后果C的可容許事件頻率，則說明已有的保護措施可以滿足風險控制要求，可不設置安全儀表功能。否則，應給出可達到相應風險降低水平要求的安全儀表功能設置等建議。安全儀表功能提供的風險降低因子(Risk Reduction Factor，RRF)如式(2)所示[10]：

(2)

根據低要求操作模式下RRF與安全儀表功能SIL等級的對應關系，即可得到安全儀表功能的目標SIL等級。RRF與SIL等級的對應關系詳見表1。

表1 低要求操作模式下RRF對應的SIL等級Table 1 SIL level corresponding to RRF in low demand operation mode

3)SIF辨識與SIL定級過程及結果

表2 A站LNG儲罐的部分HAZOP分析過程及結果Table 2 Partial HAZOP analysis process and results for LNG storage tank in LNG fueling station A

表3 基于HAZOP的LOPA分析結果Table 3 LOPA analysis results based on HAZOP

圖2 LNG儲罐超壓保護功能回路結構Fig.2 Loop structure of overpressure protection function for LNG storage tank

3座LNG加氣站的SIF辨識與SIL定級結果，詳見表4～5。為滿足風險控制要求，3座LNG加氣站均需設置15個安全儀表功能。但目前站內已設置的安全儀表系統均不完善，存在功能缺失。這是因為目前LNG加氣站安全儀表系統主要依據相關標準規范和經驗進行設計。但相關標準規范中對安全儀表系統的規定并不全面，經驗慣例又因人而異，造成安全儀表系統功能不全、設置混亂。由于不同LNG加氣站的站場等級、周邊環境、安全防護措施設置等存在差別，導致事故后果發生頻率、可容許事件頻率以及目標SIL等級也有所差別。因此，建議在LNG加氣站的設計階段，應綜合采用HAZOP與LOPA分析方法，確定滿足LNG加氣站風險控制要求的安全儀表功能及其對應的目標SIL等級，以確保其完備性。

表4 安全儀表功能辨識結果Table 4 Identification results of SIFs

表5 安全儀表功能目標SIL等級Table 5 Target SIL levels of SIFs

2.2 SIL驗證

1)SIL驗證方法

SIL驗證是從軟件安全完整性、硬件安全完整性和系統性安全完整性3個方面，綜合驗證安全儀表功能的可靠性。其中：軟件安全完整性和系統性安全完整性一般通過管理、流程、文檔等技術措施來定性評估；而硬件安全完整性包括結構約束和隨機失效2個方面，分別通過計算安全失效分數(Safe Failure Fraction，SFF)和要求時平均危險失效概率(Average Probability of DangerousFailures on Demand，PFDavg)進行定量評價。其中，SFF計算公式如式(3)所示[9]：

(3)

式中：λSD為檢測到的安全失效率；λSU為未檢測到的安全失效率；λDD為檢測到的危險失效率；λDU為未檢測到的危險失效率。

PFDavg常采用Markov模型計算得到，如式(4)所示[9]：

(4)

式中：TI為設備組件功能測試周期，h；S0為狀態初始向量；Pi為狀態轉移矩陣；VD為危險失效向量。

根據安全儀表功能的冗余結構確定設備組件的硬件故障裕度，通過文獻[9]中硬件故障裕度、SFF與SIL等級的對應關系可確定安全儀表功能中各設備組件結構約束所達到的SIL等級；而根據低要求操作模式下PFDavg與SIL等級的對應關系，可確定安全儀表功能隨機失效所達到的SIL等級。其對應的最低SIL等級即為安全儀表功能達到的實際SIL等級。再與對應的目標SIL等級進行對比，即可確定其實際SIL等級是否滿足風險控制要求。

2)SIL驗證過程及結果

仍以A站新增的儲罐超壓保護功能(SIF-07)為例，說明SIL驗證過程。SIF-07采用1oo1結構，TI為8 760 h，其回路結構詳見圖2。假設其設備組件均獲得功能安全認證，相應失效數據詳見表6[20]。傳感器和執行器組件為A類，邏輯控制器組件為B類，硬件故障裕度均為0，則根據式(3)計算得到SIF-07各設備組件的SFF，其對應的最低SIL等級為SIL1級。根據式(4)計算得到SIF-07各子系統的PFDavg以及總PFDavg，其對應的SIL等級仍為SIL1級。因此，SIF-07達到的實際SIL等級為SIL1級，滿足表5中目標SIL等級要求。SIF-07等級驗證結果詳見表7。

表6 設備組件失效數據Table 6 Failure data of equipment components

表7 SIF-07等級驗證結果Table 7 Grade verification results of SIF-07

然而，本文分析的3座LNG加氣站已有安全儀表系統中的傳感器和執行器均未獲得功能安全認證，缺乏相關失效數據，無法開展SIL定量驗證工作，其實際SIL等級是否達到表5中的目標SIL等級，尚不可知。因此，建議在LNG加氣站安全儀表系統的設備選型階段，應選用獲得功能安全認證的設備組件。此外，國內相關機構應開展設備組件失效數據的采集、統計和整理等工作，建立準確、可靠、公開的設備組件失效數據庫，為安全儀表系統的定量評估提供基礎數據。

3 結論

1)目前國內LNG加氣站安全儀表系統仍未引入SIL評估，3座三級LNG加氣站設置的安全儀表系統均不完善，安全功能存在缺失。由于缺少設備組件的失效數據，無法對已有的安全儀表功能開展SIL定量驗證。

2)為滿足風險控制需求，3座三級LNG加氣站均需設置15個安全儀表功能。其中，“儀表風壓力低低聯鎖全站停車”功能需達到SIL2等級，“站控室急停按鈕聯鎖全站停車”等14個安全儀表功能需達到SIL1等級。

3)建議相關部門完善LNG加氣站安全儀表系統的設計標準，并明確要求LNG加氣站應開展安全儀表系統SIL評估。在LNG加氣站的設計階段，宜綜合采用HAZOP與LOPA分析方法，確定滿足LNG加氣站風險控制要求的安全儀表功能及其目標SIL等級。安全儀表系統應選用獲得功能安全認證的設備組件，同時在運營階段定期開展SIL等級驗證，確保安全儀表系統始終處于可靠狀態。