SIS功能安全研究與應用

劉東輝，張國立，王鑫章，孫恪成，董海杰

（中海油能源發展股份有限公司采油服務分公司，天津 300450）

在生產過程中，安全系統可以在出現危險情況征兆的時候及時采取相應措施，防止危險事件發生，避免潛在的危險對人身、設備、環境造成傷害，從而最大程度上減輕其后果造成的損失。在以石油、天然氣開采運輸、石油化工、發電和化工等為代表的過程工業領域，以安全保護和抑制減輕災害為目的的安全儀表系統（SIS），現階段已廣泛應用于各種工藝或設備防護場合。隨著自控技術和工業安全理念的深入人心，安全儀表系統已從傳統的過程控制概念中逐漸凸顯出來，與基本過程控制系統（如DCS）并駕齊驅，成為自控領域的一個重要分支。

當前各大公司正在積極開展“資產完整性工作”。其實質上就是針對不同屬性的設備采用不同的基于風險分析的評價方法。而AIM中基于風險評估方法主要有以下幾點。（1）基于風險評估的設備檢驗RBI（Risk Base Inspection）。用于儲罐等設備與工藝管道的風險檢測，以提高設備可靠性、降低設備的維修費用。（2）以可靠性為中心的維修RCM（Reliability Centered Maintenance）。用來確定動設備預防性維修需求、優化維修制度的一種系統工程方法。以最小的維修和資源消耗為目標來優化系統的維修策略。（3）全完整性等級SIL。在一定時間、一定條件下，安全儀表系統能成功地執行其安全功能的概率，其數值代表著安全儀表系統使過程風險降低的數量級。

顯然SIL是資產完整性管理風險評價體系中的一部分，對SIL的研究也是對AIM開展工作的支持。

1 SIL評估過程和結果分析

國內外從事的SIL評估項目主要以會議為主，采用人工分析、記錄和整理，并編制評估報告，評估結果受參會人員的風險評價能力影響較大。本文通過對海洋石油工業中FPSO安全儀表系統的SIL評估相關內容，論述了SIL評估的一般方法，并對其結果進行了討論。

1.1 SIL的評估方法

對于不是專業研究安全儀表系統功能的技術人員來說，很難體會出SIL評估中的科學性和應用價值。本文從關鍵步驟入手對SIL評估過程進行分析說明：SIL評估的總體思路是在不考慮現有SIS等防范措施的情況下，從人員傷亡、財產損失、環境影響和社會影響等角度分析受控設備（Equipment Under Control，EUC）可能產生的事故及事故的危害程度，確定其所需的SIL等級，然后再逐一分析現有的安全防護措施是否達到EUC所需的SIL等級，若不能，則需要提高現有SIS系統的SIL等級，以確保EUC能在可接受的風險內安全運行。

1.1.1 SIL的等級分配

由SIL等級分配評估流程（圖1）可以看出在選擇完EUC后，就要識別安全儀表功能（safety instrumented function，SIF）。以圖2為例可以看出如果壓力容器的壓力過高SIS就將關閉ESD閥。圖1中的初始風險就是沒有SIS系統時，EUC可能產生的事故以及事故的危害程度。接著依據風險可接受準則來確定此SIF是否需要SIL等級。風險矩陣和可接受準則是在開始SIL分析之前，需根據公司現有的風險標準建立，該矩陣和風險準則需與公司的風險標準相一致。一般風險矩陣和風險準則見表1和表2，依據表1確定了風險的相應的分數，對照表2就可以知道哪些風險是可以接受的哪些風險是不能接受的。需要說明的是在表2中P2的風險區域，即按照適當可行的低投資回報（ALARP）的原則確定的系統的可容忍風險，這個指標顯然是有很大彈性的。

表1 風險矩陣和風險可接受準則

表2 風險等級定義

圖2 容器中壓力控制回路

由圖1可知，如果初始風險不滿足風險可接受準則，就要計算在安全儀表功能中的“獨立保護層”的要求時失效概率（Probability of Failure on Demand，PFD）。PFD在獨立保護層中的意義為：當過程中發生了危險情況需要保護層執行保護動作時，卻因失效而不能完成保護功能的概率。海洋石油工業中獨立保護層及其PFD值見表3。

表3 獨立保護層及其PFD值

圖1 SIL等級分配評估流程

顯然獨立的保護層會降低系統的初始風險，如果這時EUC中的獨立的保護層使得系統發生風險的概率達到了風險可接受準測的要求，那么說明該SIF不需要SIL等級，否則這時與風險可接受準則之間PFD的差距就要靠SIL等級來彌補。SIL的值代表了風險降低的數量級，可以通過平均要求時失效概率（PFDavg）計算安全完整性水平。報告中給出SIL等級劃分見表4。

表4 SIL等級劃分

1.1.2 SIL的等級驗證

在對每一個SIF確定了SIL等級要求后，通過定量計算，以驗證安全儀表系統是否能達所需SIL等級要求，對滿足要求的進一步確定相應的測試計劃，對不滿足要求的，則提出改進建議，并使用改進建議來重新進行驗算。流程如圖3所示。

SIL的驗證過程主要是計算SIF中各個部件的可靠性數據，然后選定一年為測試周期計算整個回路的PFD值。在圖3中如果第一次計算的PFD值不滿足SIL在上節中的等級要求時，其做法是縮短測試的周期然后再次計算?？s短測試周期然后重新計算顯然得到的PFD值要小一些，然而測試周期越小則測試越頻繁，這也會對企業帶來相應的成本上升。功能測試周期對系統的整體性能有著重要的影響。定量的求出最優功能測試頻率是可以實現的，同時也可以繪制出系統性能隨功能測試頻率變化的曲線，可以直觀的看出功能測試周期與風險降低的關系。如參考文獻[7]給出的一個目標性能指標隨功能測試間隔變化的曲線的例子（圖4）。由圖4可以看出，在功能測試間隔為8個月的時候，其RRF的值最大，也就是說系統的PFD值最低，并不是典型值1年或者3年。

圖3 SIL等級驗證流程

圖4 測試間隔與風險降低關系曲線

1.2 SIL評估結果分析與討論

以常見的FPSO單點SIL分析報告為例，其中根據SIL等級分配結果（表5）和SIL驗算的結果（表6），給出了建議。報告中根據SIL等級分配結果給出的建議為：（1）建議1號氣滑環的就地重油罐的溢流管線閥門鎖關。（2）建議在新增的1100 L的LRU罐上增加液位變送器并產生LAHH聯鎖，以減少誤動作率。（3）如果可燃氣探頭誤動作率較高，建議考慮SPM上2個可燃氣探頭同時給出關斷信號時，才啟動ESD；一個探測到只給出高高報警。

表5 部分SIL等級分配結果

表6 部分SIL計算結果

從第一條建議可知“就地重油罐的溢流管線閥門鎖關”是防止閥門改變其狀態的一種處理手段，往往這樣的處理是要結合現場經驗的，同時按照閥門狀態計算其SIL等級也一定是滿足要求的。第二條和第三條建議是為了減少安全儀表系統誤報而采取的措施。報告中沒有對為什么要減少誤報和誤動作進行定量的計算說明，特別的建議（3）中說：“如果可燃氣探頭誤動作率較高，建議考慮……”顯然這樣的語言是不嚴謹的。在SIL分析中有一個與要求時失效概率PFD并列存在的概率就是安全失效概率（Probalility of Failing Safely，PFS）。PFS是指安全儀表功能失效造成過誤停車的概率。PFS通俗講就是危險條件還沒有出現時就將系統置于某種安全狀態的失效概率。人們不但希望安全儀表系統是安全的，而且也希望由安全儀表系統所造成的誤停車越低越好。報告沒有PFS的計算，只是依據常識2oo2的雙通道系統來降低可燃氣體探頭的誤動作率是缺乏依據的，報告中應該加入PFS的定量計算的內容，來判斷安全儀表系統的誤操作情況。

報告中根據SIL驗證計算結果建議如下：（1）建議M74-PT-4013每3個月測試一次，M74-SDV-410每月進行PST測試（部分行程測試），每年進行全行程測試，則M74-PALL401回路的SIL等級可滿足要求。（2）SPM系統中的其他安全儀表系統，包括變送器、PLC和SDV閥門，原則上須每年進行測試。

由表6可以看出除氣體外輸管線上的PALL回路計算不滿足要求外，其余均滿足達到或超過評估的SIL等級。其給出的改造建議就是增加測試的頻率，本文認為對M74-PT-401可以討論是否可以使用1oo2或者2oo2的雙通道結構，這樣可以增大其相關安全儀表設備的測試周期，減少工作量和節省測試成本。

3 結束語

通過對常見的單點SIL分析報告的研究，在解釋其評估流程圖的同時提出了完善SIL評估過程的建議。

（1）按照適當可行的低投資回報（ALARP）的原則確定的系統的可容忍風險，應給予量化計算，以行業經驗或者計算最壞的情況，SIL等級是否滿足其要求的PFD。

（2）對于功能測試計劃計算求出最優功能測試頻率，同時繪制出系統性能隨功能測試頻率變化的曲線，以便直觀地看出功能測試周期與風險降低的關系。

（3）在進行PFD計算的同時也應當進行PFS的計算，進行SIS冗余設計的時候充分考慮誤停車帶來一些影響，避免由于誤停車而帶來的生產中斷的情況。

（4）在給出SIL評估建議時，應該計算至少2種方案，比較給出最佳的SIS設計和改造方案。

通過對現場安全儀表設備失效數據的長時間的積累，形成SIS相關數據庫，同時還應該不斷收集現場關于線路改造和事故原因的經驗，這樣就能逐漸形成企業自己的SIS設計能力，做好“資產完整性工作”。