基于SIL分析的輸氣站場安全儀表系統定級與驗證

劉斌，賈志偉，劉萬斗，黃耀，高滿倉，梁昌晶

(1.青海油田誠信服務公司，甘肅 敦煌 736202；2.青海油田鉆采工藝研究院，甘肅 敦煌 736202；3.中國石油華北油田公司 第五采油廠，河北 辛集 052360；4.青海油田勘探開發研究院，甘肅 敦煌 736202；5.中國石油集團渤海鉆探工程有限公司 井下作業分公司，河北 任丘 062552)

管道是天然氣儲運最為經濟可靠的運輸方式之一，其中輸氣站場是輸氣管道系統的重要組成部分，承擔著調壓、過濾、計量、清管、增壓、越站等功能，自動化程度高，控制系統功能復雜，同時站內介質具有高溫、高壓、易燃、易爆特點，一旦發生事故，將對人員、財產、環境等造成嚴重破壞。因此，對輸氣站場進行完整性管理顯得尤為重要[1-2]。目前，站場完整性管理的技術主要有基于風險的檢驗(RBI)、以可靠性為中心的維修(RCM)和安全儀表系統(SIS)安全完整性等級(SIL)評估技術[3]。其中，SIL的定級與驗證直接關系到現有站場SIS設計是否合理，若SIL評估過高，會造成系統采用冗余結構或可靠性較高的硬件設備，產生不必要的資金浪費；反之，會造成聯鎖反應不足，產生一定的安全隱患。廖柯熹[4]、趙東風[5]、曹開華[6]、陳碩[7]等分別針對站場SIS，原油緩沖罐SIS，井口高壓力保護系統和石腦油吸附分離裝置進行SIL定級與驗證，但均針對單一設備回路，鮮有對輸氣站場整體進行SIL分析的。在此，以某典型輸氣站場為例，采用危險與可操作分析(HAZOP)篩選風險等級較高的事故場景，并結合保護層分析(LOPA)進行SIL定級[8-9]，采用馬爾科夫(Markov)鏈進行SIL驗證，并提出提高站場完整性管理水平的具體措施。

1 SIL等級

IEC 61508按操作模式將SIL等級分為低、高要求，石油石化行業多采用低要求，即SIS進入安全狀態的頻率不大于1次/年，低要求操作模式下的SIL等級見表1所列。

表1 低要求時SIL等級

2 SIL定級

對安全儀表功能(SIF)進行評估包括SIL定級與驗證兩部分，前者采用HAZOP和LOPA分析相結合的方式獲取。HAZOP和LOPA分析之間具有一定的相關性，其中經HAZOP分析得到的風險較高的事故場景是進行LOPA分析的基礎；HAZOP分析得到的后果和事故嚴重程度，為LOPA分析中初始事件和使能事件發生的概率提供基礎信息；HAZOP分析得到的現有措施，為LOPA分析中獨立保護層的設置提供有效依據。將兩者結合形成SIL定級方法，步驟如下：

1)明確分析的物流回路及范圍，收集工藝管道儀表流程圖、邏輯圖等，確定參數和引導詞，進行HAZOP偏差分析。

2)將分析結果放入風險矩陣中，將中高等級的偏差作為LOPA分析的基礎。

3)將HAZOP分析后果作為事故場景，造成偏差的原因作為初始事件，識別除SIS之外的獨立保護層，獨立保護層應具有專一性、獨立性、可靠性和可審核性的特點。

4)確定初始事件和獨立保護層的失效概率，判斷該偏差是否需要設置SIS，通過剩余風險與偏差的可容忍發生概率之間的比值，確定所需的SIL等級，定級流程如圖1所示。

圖1 SIL定級流程示意

其中，風險消減后初始事件發生的概率如式(1)所示：

(1)

(2)

根據計算得到的RRF并結合表1，即可確定SIL等級。

3 SIL驗證

SIL驗證是根據目前SIS配置進行結構性約束和部件安全可靠性計算，驗證計算結果是否符合安全完整性要求。其中，結構性約束計算取決于安全失效分數和硬件故障裕度兩個指標，部件安全可靠性計算取決于PFD指標。計算失效概率主要有可靠性框圖、故障樹、事故樹、Markov鏈等方法，由于Markov鏈模型可同時求取多個可靠性參數，具有較好的靈活性，故在SIL驗證中采用該模型。

首先確定模型的狀態轉移矩陣Q如式(3)所示：

(3)

式中：λ——失效率，指單位時間內失效次數與設備總數的比值；μ——維修率，指單位時間內設備維修次數與設備總數的比值。確定模型中各元件的初始狀態為S(0)，如計算步長取1 h，則模型在t時刻的狀態如式(4)所示：

S(t)=S(t-1)Q

(4)

該模型在使用的過程中進行了多種假設，如設備失效按照失效模式應遵循“浴盆”效應，但在進行SIL驗證的過程中往往將失效率定為常數，會對結果造成一定偏差；共因失效模型采用β因子模型，未考慮冗余表決結構和自診斷的影響；維修模式為理想模式，認為所有的維修隊伍均能修理好所有的故障，維修率為常數，但在實際工況中理想維修模式會使結果的危險性更大。在此，對β因子模型進行修正，采用多重β因子模型，引進與表決結構相關的參數修正β因子。針對失效率為非常數和維修模式為非理想的問題，將Markov鏈中融合D-S證據理論，根據Bel函數和pl函數分別確定Markov鏈的狀態轉移矩陣PBel,Ppl，再根據初始狀態計算PFD。

4 實例驗證

以某典型輸氣站為例，設計壓力為6.5 MPa，設計輸量為1×107m3/d，站內的設備有旋風分離器、壓縮機、放空閥、緊急截斷閥等，具有過濾除塵、分輸、計量、調壓、放空等多種工藝。通過分析將SIS劃分為進站系統(保護進站區域和站場)、FAS系統(保護配電室和發電機房)和過濾系統(保護過濾器)等，對照系統節點定義引導詞，采用偏差=參數+引導詞，最終確定了10個風險誘因，通過HAZOP分析得到4個風險誘因為高風險，1個風險誘因為中風險，其余為低風險，其中進站系統的HAZOP分析記錄見表2所列。

表2 進站系統HAZOP分析記錄

隨后，針對5個中高風險誘因進行LOPA分析，通過系統劃分、受保護設備確定、SIF確定、SIF辨識等步驟，將其劃分為7個SIF回路，其中設備均為連續運行，點火概率為1，人員暴露概率為0.5，人員傷亡概率為0.5，初始事件概率參照AQ/T 3054—2015《保護層分析(LOPA)方法應用導則》中附錄E的數值[10]。根據HAZOP分析結果識別非SIS的獨立保護層，數值參照GB/T 32857—2016《保護層分析(LOPA)應用指南》中表A.8進行選取[11]。

根據事故發展趨勢，將可量化的風險指標分為人員傷亡、財產損失和環境污染，以SIF回路4上游壓力高為例，人員傷亡參照ALARP原則，該站場平時巡檢人員為2人，因此確定后果等級為3(一般事故，造成3人以下死亡)，可容忍概率為10-3；財產損失參照P-L曲線確定后果等級為4(事故后果不嚴重，設備損壞程度不超過50%，財產損失為財產總價值的10%)，可容忍概率為10-4；環境污染參照氣體泄漏后造成的后果，只考慮恢復正常生產的恢復期，不考慮泄漏形式，確定后果定級為4，可容忍概率為10-4。綜上所述，SIF回路4的事故后果等級定為4級，偏差的可容忍發生概率為10-4，SIF回路4的SIL定級分析見表3所列。依次類推，得到其余SIF回路的偏差可容忍發生概率。根據表3結果，SIF回路4的RRF為250，其SIL等級為2。同理，獲得其余SIF回路的SIL等級，見表4所列。

表3 SIF回路4的SIL定級分析

表4 SIF回路的SIL等級

由表4可知，進站系統中有3個SIF回路為SIL2，一個SIF回路無等級要求；FAS中有一個SIF回路為SIL1，一個SIF回路無等級要求；過濾系統中SIF回路為SIL1。

同樣，以SIF回路4為例，確定進站系統的邏輯關系，添加SIF回路，當上游來氣壓力過高時，壓力傳感器檢測到壓力信號，將信號送至邏輯控制器，邏輯控制器將指令下發至執行器，關斷進口截斷閥門，其傳感器、邏輯控制器和執行器為串聯關系，冗余表決結構均為“1oo1”。設置站場安全儀表系統功能檢測周期為12個月，傳感器、邏輯控制器和執行器的平均恢復時間為8 h，24 h，24 h，考慮到人為操作的最低失效概率為5%，則功能測試覆蓋率取95%。最終，采用軟件計算SIF回路4的PFD，見表5所列。考慮到中國SIL發展并不成熟，缺乏有效的歷史失效數據，故保守選擇SIL等級的上限值進行評價，SIF回路4驗證后為SIL2，與其要求的SIL等級相同，滿足要求。此外，分析各部分對全回路PFD共享分布的影響，如圖2所示。其中執行器占的比例最大，其次為傳感器和邏輯控制器，說明邏輯控制器對SIL等級驗證的影響最小。同理，計算出其余SIF回路的驗證結果，見表6所列。

表5 SIF回路4計算結果

圖2 各元件對全回路PFD共享分布示意

表6 所有SIF回路驗證結果

比較表4和表6可知，只有進站系統中的SIF回路1的驗證與定級結果不符，需要改進。提高SIL等級的手段有：縮短功能檢測周期、改變系統冗余表決結構和增加單個設備可靠性。針對SIF回路1，從以下幾個方面進行改進：

1)將測試周期縮短為3個月，驗證后傳感器、邏輯控制器和執行器的SIL等級分別為2，3，2，總的SIL等級為2，滿足要求。

2)將執行器的冗余配置從“1oo1”改為“1oo2”，驗證后傳感器、邏輯控制器和執行器的SIL等級分別為2，3，2，總的SIL等級為2，滿足要求。

3)改進設備選型，選擇失效概率更低的進、出站氣液聯動閥門，減小設備的PFD，提高SIL驗證等級。

5 結束語

針對本次SIL評估，在對SIS的設備位號進行確認時，發現P&ID和現場實際設備標號均不一致，建議對所有相關圖紙和現場的設備位號進行統一，以便于管理；針對SIS所建立的設備臺賬信息不全，建議進行完善；SIF涉及的閥門在現場均未進行標號，建議補充完善；本次SIL評估中SIF的可靠性數據均來自于通用數據庫EXDIA SERH和SINTEF OREDA，建議補充相關數據，并在今后的工作中注意收集相關資料。