基于SIL 評估的輸氣站場安全儀表系統現狀分析與改進

馬勇梧 張桂娟

1青海鹽湖鎂業有限公司

2青海鹽湖元品化工有限責任公司

隨著國內長距離輸氣管道管理模式的不斷優化，運行方式逐漸由粗放型向集約型轉變，管道行業在充分利用大數據、互聯網、云計算和人工智能等關鍵技術的基礎上，實現了管道和沿線站場運行的標準化、智能化、信息化和數字化，員工結構和用工數量更加精簡[1-3]。為適應智慧管網的建設，對輸氣站場內關鍵設備和工藝流程的可靠性提出了更高要求，其中安全儀表系統（SIS）的設置必不可少。國家安監總局《關于加強化工安全儀表系統管理的指導意見》中要求新建的“兩重點一重大”的化工裝置和危險化學品儲存設施要設計符合要求的安全儀表系統，確保其降低風險的能力，當站內生產參數超過閾值時，系統可迅速響應并啟動，使工藝恢復至安全狀態。

一個完整的安全儀表回路（SIF）包括傳感器、邏輯控制器和執行元件三部分，對于SIF 回路必須匹配與其對應的SIL，因此對SIF 回路進行安全完整性等級（SIL）評估具有重要意義，其作用貫穿咨詢、設計、使用、維護、變更等整個SIS 的安全生命周期。目前，諸多學者在SIL 評估上進行了大量工作，楊放等[4]對緊急停車（ESD）系統進行了SIL 驗證，王琴梅[5]對在役壓氣站的SIS 進行了定級與驗算，俞輝輝等[6]對采用LOPA 分析對輸氣站設計期間的SIS 進行了定級。以上研究多根據標準規范和人工經驗設置SIF 回路，且SIL 評估大多只單獨涉及SIL 定級或驗證，鮮見對SIL 評估進行整體分析，對于危險與可操作性（HAZOP）分析和保護層（LOPA）分析的評價流程分析也頗有不足。針對上述問題，選取典型輸氣站場開展SIL 評估工作，充分結合HAZOP 分析、LOPA 分析和馬爾科夫模型等方法，建立一套適合輸氣站場的SIL 周期性評估流程，為同類型站場的SIS 的設計和運營提供實際參考。

1 研究對象

該輸氣站屬于五級站場，主要負責對來氣進行分離、凈化、脫水和加壓，設計處理天然氣能力20×104m3，實際日處理天然氣量5×104m3，日產混合輕烴4.8 t。站場于2010 年投運，位于城市支路旁，周邊有民房、河流、汽車修理廠和大型倉庫等。

2 SIL 評估

2.1 SIF 辨識與SIL 定級

SIF 辨識與SIL 定級是指為滿足風險管控的要求，辨識出對應的SIF 回路，并確定其SIL 等級，分別采用HAZOP 和LOPA 結合的方法實施。

2.1.1 HAZOP 分析

HAZOP 分析是通過參數和引導詞的設置，找出工藝流程中存在的偏差，然后分析偏差產生的原因和后果，提出相應的改進措施。根據該輸氣站場的管道儀表流程圖（PID）將其劃分為壓縮機、儲罐、清管裝置、氣處理裝置等10 個分析節點，采用壓力、溫度、液位、流量等4 個參數，設低、高、大、小等4 個引導詞，對各節點中可能出現的偏差進行辨識。根據該企業制定的安全風險評價矩陣，從人員傷亡、財產損失、停工影響、環境影響和聲譽影響等幾方面確定初始風險（沒有任何保護措施）與剩余風險（現有保護措施下的殘余風險）[7-8]。針對剩余風險中仍為中風險及以上的偏差，應增加保護措施（如SIF 回路），并進一步開展LOPA 分析。

2.1.2 LOPA 分析

LOPA 分析中有一部分內容來源于HAZOP 分析報告，對應關系見表1。此外，還需要根據保護層的屬性（有效性、獨立性和可審查性）確定HAZOP 分析中的保護層是否為獨立保護層[9-10]。

表1 HAZOP 分析和LOPA 分析的對應關系Tab.1 Correspondence between HAZOP analysis and LOPA analysis

對于站場內的工藝流程，追求絕對的安全是不現實的，只能盡可能地實現相對安全，消減不可接受的風險。使用LOPA 分析進行SIL 定級時，需計算某場景內在沒有SIS 保護層條件下的場景發生頻率，并與后果可接受頻率對比，如大于后果可接受頻率，則需要根據需達到的風險降低水平設置SIF回路；反之，則不需要設置SIF 回路。石油石化行業普遍執行SIS 運行模式中的低要求模式，即受保護的控制系統或設備要求SIS 的動作頻率低于1 a-1，其場景導致后果發生頻率的公式如下：式中：為初始事件i造成后果C的頻率，a-1；fi為初始事件i的出現頻率，a-1；PFDij為初始事件i在第j個獨立保護層下的失效概率；Pi、Pe和Pd分別為點燃概率、人員暴露概率和人員死亡概率（如有必要還需考慮使能條件的影響）。SIS 采用風險降低因子(RRF)衡量風險降低水平，RRF與SIL 等級的關系見表2。

表2 RRF 與SIL 等級的關系Tab.2 Relationship between RRF and SIL levels

2.1.3 SIF 辨識與SIL 定級結果

在進行HAZOP 分析的過程中，為確保風險點未發生遺漏，除常規定性分析外，還需結合現場工作人員的實際經驗對站場內具有聯鎖、控制、報警功能的回路進行分析。以壓縮機入口流量低這一偏差為例，HAZOP 分析過程及結果見表3。從該風險點的后果嚴重性等級判定，發生事故后主要影響現場巡檢和作業人員的人身安全，現場設施有經濟損失，以及由于站內停機對下游造成氣量不足的聲譽影響，而對停工和環境的影響較小，因此在進行初始風險和剩余風險分析時，應重點關注人員傷亡、財產損失和聲譽影響等三個方面。

表3 HAZOP 分析結果Tab.3 HAZOP analysis results

初始事件中上游來氣壓力高的剩余風險仍為“中”，因此應對這一場景進行LOPA 分析，結果見表4。后果可接受頻率參照GB 36894—2018《危險化學品生產裝置和儲存設施風險基準》的個人風險和社會風險基準要求，但該規范只規定了人員傷亡的發生頻率，對于其余后果類別的風險接受頻率尚未規定。結合企業制定的安全風險評價矩陣，本著以人為本、人的生命為紅線的管理理念，在同等嚴重性等級下，人員傷亡的后果可接受頻率要明顯小于其余后果可接受頻率。

表4 LOPA 分析結果Tab.4 LOPA analysis results

以對人員傷亡這一后果為例進行分析，根據與該輸氣站場、管道公司生產和安全部門核實該初始事件是否在站場或公司范圍內出現過，如發生過，可根據實際情況統計出現頻率；如未出現，則根據企業或行業統計頻率，參照信息擴散理論計算頻率，最終確定fi為0.1 a-1。根據HAZOP 分析，參照獨立保護層有效性、獨立性和可審查性的特點，識別出過程控制系統、關鍵報警及人員干預、物理保護等三個獨立保護層，其PFD分別為0.5、0.5和0.1。修正因子中點火概率根據化工過程安全中心推薦的延遲點火概率為0.3。根據現場調研，日常巡檢人員的巡檢頻率為每小時一次，每次巡檢時間10 min，確定人員暴露概率為0.16，保守估計取0.2。如站場發生爆炸事故，其超壓覆蓋整個站場區域，而人員巡檢通常與設備的距離較近，死亡概率較高，故取1。

根據公式（1）計算為1.5×10-4，大于后果可接受頻率1×10-5，根據表2 確定需增加SIF 回路，且該SIF 回路的SIL 等級為1，RRF不能低于15。同理，計算其他后果類別下的，財產損失、停工影響、環境影響和聲譽影響等均在可接受范圍內，無需增加SIF 回路。

綜上所述，在壓縮機入口處應設置超壓保護系統，當上游來氣壓力高或憋壓，壓力傳感器PT101將信號傳至Honeywell PLC，經PLC 判斷后，關閉進口緊急截斷閥GV1、GV2，并打開放空閥GV3，邏輯關系見圖1。

圖1 壓縮機入口超壓保護邏輯框圖Fig.1 Logic diagram of compressor inlet overpressure protection

根據以上步驟，得到該站場的SIF 辨識與SIL定級結果（表5）。為滿足風險管控要求，輸氣站場內需設置11 個SIF 回路，但目前站內已設置的SIF 回路并不完善，存在一定的功能缺失。這是由于目前輸氣站場內的SIS 主要根據SY/T 7351—2016《油氣田工程安全儀表系統設計規范》 和SY/T 6966—2013《輸油氣管道工程安全儀表系統設計規范》設計實施，但規范中對于SIS 的規定只是籠統意義上的，并未對細節進行完善。由于不同輸氣站場的站場等級、周邊環境和安全防護措施有所不同，導致事故場景發生頻率、后果類別與嚴重性等級和目標SIL 等級有所不同。因此，建議在站場設計階段，綜合利用HAZOP 分析和LOPA 分析進行SIF 辨識與SIL 定級，保證站內安全儀表系統和功能的完備性。

表5 SIF 辨識與SIL 定級結果Tab.5 SIF identification and SIL grading results

2.2 SIL 驗證

2.2.1 SIL 驗證方法

對于SIL 驗證主要依據結構約束、隨機失效概率和系統能力等三方面，其中前兩項屬于硬件安全完整性，后一項屬于系統安全完整性。目前對于現役安全儀表系統主要考察硬件安全完整性。結構約束受硬件故障裕度(HFT)和安全失效分數(SFF)影響。公式為

式中：λS為安全失效概率；λDD為檢測出的危險失效概率；λD為危險失效概率。

國際電工委員會IEC 61508 標準中對傳感器、執行元件和邏輯控制器的HFT 做了要求，根據設備對應的安全功能認證證書確定組件是否為A 類或B 類。

隨機失效概率PFDavg采用馬爾科夫模型計算，公式為

式中：TI為功能測試周期，h；S0為系統初始狀態；Pi為轉移矩陣；VD為危險失效向量。

最終根據SIF 回路的冗余表決結構確定HFT，通過文獻[7]明確SIF 回路中HFT、SIL 等級和SFF 之間的關系，確定各組件滿足結構約束所需的SIL 等級；根據低要求模式下PFDavg和SIL 等級的關系，對SIF 回路的SIL 等級進行計算。兩者對應的最低SIL 等級即為SIL 驗證結果，再與前文的SIL 定級結果進行對比，確定實際SIL 等級是否滿足風險管控要求。

2.2.2 SIL 驗證結果

以SIF4 為例，進行SIL 驗證。TI 取12 個月，功能覆蓋率取99%，共因失效因子取0.01，傳感器、邏輯控制器和執行元件的平均修復時間分別取8、8 和12 h，設備失效數據見表6。

表6 設備失效數據Tab.6 Device failure data

傳感器和執行元件組件定義為A 類，邏輯控制器組件定義為B 類，由于冗余表決結構均為1oo1（一對一，指將一個傳感器或開關觸點連接到安全模塊的一個通道中），故硬件故障裕度均為0，根據公式（2）計算SFF，并確定滿足結構約束的SIL 等級；根據公式（3）計算PFDavg，確定各子系統的SIL 等級和總的SIL 等級。因此，SIF4 的驗證結果為SIL1，與SIL 定級結果相同（表7）。

表7 SIL 驗證過程Tab.7 SIL validation process

3 改進措施

對其余現有的SIF 回路的SIL 等級進行驗證，結果見表8。其中，SIF5、SIF7、SIF8 回路的傳感器和執行元件未獲得安全功能認證證書，缺乏相關失效概率數據，故無法進行SIL 驗證工作，其SIL等級是否與SIL 定級的結果相符未知。因此建議在設計采購階段，應選用獲得安全功能認證的組件，并收集企業、行業和國際通用數據庫，建立準確的失效數據，為準確定量SIL 評估提供基礎。

表8 SIL 驗證結果Tab.8 SIL validation results

針對SIF10 回路的定級與驗證不符的情況，可以從以下幾個方面進行有效改進：

（1）更改SIF10 回路中的傳感器或執行元件冗余表決結構，從1oo1 變為1oo2 模式，改為并聯或串聯操作。

（2）縮短功能測試周期，將閥門的功能測試周期由1 a 變為0.5 a 后，執行元件的PFDavg縮小一個數量級，SIL 提升為2，可根據該要求修訂設備的維護和測試周期計劃。

（3）改進設備選型，選擇失效概率更低的設備，減少PFDavg，提升SIL 等級。

4 結論

（1）針對目前輸氣站場內安全儀表設置不足的情況，對站場的安全儀表系統進行了SIL 評估，分別采用HAZOP 和LOPA 分析進行SIF 辨識和SIL 定級，并考察了SIF 回路的結構約束和隨機失效概率，用于進行SIL 驗證。

（2）該站場內需設置11 個SIF 回路，但由于安全功能認證證書缺失，缺乏相關失效概率數據，故無法對部分SIF 回路進行SIL 驗證工作。

（3）對于設計階段，應將HAZOP 和LOPA 分析相結合，確定滿足站場風險控制要求的安全儀表功能和SIL 等級；對于運行階段，應根據功能測試周期，定期開展SIL 等級驗證，確保SIS 的安全性和可靠性。

（4）目前，失效數據未考慮不確定性帶來的影響，今后可利用蒙特卡洛和數據分布驗證相結合的方式，完善SIL 定級方法。