安全儀表系統SIL定級及LOPA的應用研究

鄧銳，劉美佳，平洋，付勃昌，杜剛

(1. 海洋石油工程股份有限公司，天津 300451；2. 中海石油(中國)有限公司 天津分公司，天津 300452)

安全儀表系統(SIS)用于監控生產工藝流程的狀態，判斷危險產生的條件，并在危險出現時采取相應的動作防止危險的發生或危險進一步的擴大，為防止生產裝置損壞、人員損傷以及環境污染等造成的重大損失起到了至關重要的作用，而SIS的可靠性則是重中之重。在IEC 61511： 2016[1]和IEC 61508： 2010[2]中對SIS可靠性的衡量進行了量化，即安全完整性等級(SIL)。在SIS設計過程中正確的SIL定級是系統設計的基礎。

1 SIL定級

通常SIS由測量儀表、邏輯控制器以及最終元件組成。測量儀表負責測量監控工藝流程中各項指標，如壓力、溫度、液位等；邏輯控制器相當于SIS的“大腦”，對測量值進行邏輯判斷，并決定是否做出相應保護動作；最終元件執行邏輯控制器發出的指令，防止危險的發生或進一步擴大化。SIS功能的好壞，直接關系到生產、人員、環境等的安全，確定一個合理評價SIS安全可靠性的衡量方法至關重要。

1.1 安全完整性等級

IEC 61508規定了衡量SIS可靠性的一項重要量化指標為SIL，SIL是指為規定SIS應達到的安全完整性要求而分配給安全儀表功能(SIF)的離散等級。SIL等級越高，設備安全性越高，故障發生概率越低。

參照IEC 61511中要求，SIL等級劃分為SIL4，SIL3，SIL2，SIL1共4個等級，在低要求模式下運行的SIF，SIL與要求時危險失效平均概率(PFDavg)和目標風險降低因子(RRF)關系見表1所列。

表1 低要求模式下安全完整性等級劃分

1.2 SIL定級的方法

SIL定級應確定每個SIF及其所需要的SIL等級，通常根據分析控制回路中設備故障導致的對人員、財產、環境影響后果的嚴重性來確定。進行SIF的SIL定級時，一般先假設沒有設置SIS，只考慮過程控制系統、預報警和機械防護設備等對危險的降低作用，然后根據危險發生的概率及其所產生后果的危害程度，依據公認的判定方法，確定相應的SIL等級。當前石化行業中常用的分析方法為安全層矩陣法、風險圖表法、修正風險圖表法、保護層分析法。

1.2.1 安全層矩陣法

安全層矩陣法是基于分類的方法，首先要辨識出保護對象具有的獨立保護層，然后確定風險發生的可能性以及風險造成后果的嚴重程度，最后依據獨立保護層與事件后果、可能性構成的矩陣確定SIL等級。安全層矩陣法示例如圖1所示，矩陣中縱坐標表示具有的獨立保護層數，橫坐標為后果嚴重程度與發生概率的組合。將危險事件發生的概率分為低、中以及高概率，根據嚴重程度及發生概率確定危險事件后果嚴重程度。矩陣中每個單元格代表的是在相應危險事件后果和可能性下，分析SIF所需達到的SIL等級。

圖1 安全層矩陣法示意a)——不需要獨立SIS保護層；b)——一個SIL3的SIF可能不能提供足夠的風險降低，需附加復審；c)——一個SIL3的SIF不能提供足夠的風險降低，為了降低風險需附加修改

1.2.2 修正風險圖表法

修正風險圖表法是一種半定性的分析方法，在風險圖表法的基礎上對評價參數進行了一定的量化修正，如圖2所示。

圖2 修正風險圖表法示意1)——無特殊安全要求；2)——單獨一個SIF不夠

圖2中，C為后果參數，包括人員安全影響后果、環境影響后果以及財產損失影響后果；F為暴露在危險區域的頻率，僅在對人員安全影響評估時用；P為避免危險事件的概率；W為在考慮SIF不存在時，每年發生危險事件的次數。

該分析方法采用以上4個參數確定SIL等級，在確定評價參數的分類之后，根據對人員安全、財產損失、環境污染的后果分析，可判定出各后果所對應的SIL等級，取級別較高者作為被分析SIF需達到的SIL等級。

1.2.3 保護層分析法

LOPA分析法是一種半定量的分析方法，需要從HAZOP分析結果中導出數據，從初始事件開始，根據安全保護在時間發展過程中是否起作用，分析是否達到要求的安全等級。

LOPA分析法在分析過程中涉及到定性分析和定量計算兩個方面，定性分析包括危險事件產生的后果，依據該后果參照相關標準確定危險事件可接受的發生頻率F可接受，參照工業數據庫確定其他保護層故障概率PFDN以及觸發事件的頻率F觸發事件。定量計算得出SIF回路的故障概率，從而得到SIL等級。計算如式(1)所示：

(1)

1.2.4 三種分析方法的比較

以上提到的三種分析方法，各具優缺點，總結分析并對比了三種典型SIL定級分析方法，見表2所列，由表2看出，LOPA分析法具有明顯優勢。

表2 三種典型SIL定級分析方法對比

2 LOPA分析法在海上某油氣生產平臺中的應用案例

2.1 分析步驟

采用LOPA分析法對海上某油氣生產平臺的SIF進行了SIL定級，定級主要步驟如下：

1)系統劃分并確定受控設備。

2)確定SIF。

3)情景辨識分析，識別觸發事件，確定觸發事件發生的頻率以及分析危險事件產生的后果。

4)辨識獨立保護層，并確定獨立保護層的平均故障概率。

5)計算確定SIF的SIL等級。

2.2 可靠性數據的確定

采用LOPA方法分析過程中，可靠性數據是安全儀表系統 SIL定級的基礎，可靠性數據的確定一方面主要來自典型的工業數據庫，包括： 由挪威船級社(DNV)提供的海上設備可靠性數據庫(ORADA)，由美國化學工程師協會(CCPS)提供的過程設備可靠性數據庫(PERD)，由艾思達(EXIDA)提供的安全設備可靠性手冊(SERH)以及由挪威科學和工業研究所(SINTEF)提供的SIS可靠性數據(PDS)；另一方面來自現場積累的失效數據，作為補充。

需要明確的可靠性數據主要包括： 觸發事件的發生頻率以及獨立保護層平均故障率。結合該平臺實際情況并參照相應數據庫，觸發事件發生頻率及數據來源見表3所列，獨立保護層PFD及數據來源見表4所列。

表3 觸發事件發生頻率及數據來源

表4 獨立保護層PFD及數據來源

2.3 計算舉例

以一級分離器上壓力高高報警SIF回路的應用為例，詳述LOPA分析計算過程。受控設備一級分離器壓力高高監控如圖3所示，所分析的SIF回路由壓力變送器(測量儀表)、ESD系統(邏輯控制器)以及關斷閥(最終元件)組成。

圖3 一級分離器壓力高高報警監控示意

對于壓力高高報警SIF回路(PSHH202A)，情景辨識為在容器超壓時會導致原油大量外泄，依據相關參考標準及可忍受程度確定出現該情景的可接受頻率為1×10-6。辨識出的獨立保護層包括： 安全閥、氮氣控制回路以及壓力報警三層，危害事件發生的起因為壓力控制回路失效或井口控制閥錯誤全開或下游關斷閥誤關，對應的觸發事件概率P為： 壓力控制回路失效概率P1，井口控制閥錯誤全開概率P2，關斷閥誤關概率P3。壓力高高報警SIF回路LOPA分析數據見表5所列。

表5 壓力高高報警SIF回路LOPA分析數據

P的計算過程如下所示：

P=P1+P2+P3=
0.10+0.10+0.01=0.21

由于所求得的SIF回路的PFDSIF值處于10-4～10-3，最終定義該SIF的SIL等級為SIL3。

3 結束語

SIS的概念已深入并廣泛應用于海洋石油生產系統的設計之中，嚴格按標準規范設計SIS，能有效降低可能存在的風險，保證生產平臺安全平穩運行。對于SIS設計基礎——SIF的SIL定級，相較于安全層矩陣法和修正風險圖表法，LOPA分析法基于HAZOP結果及工業數據庫，既保證了整個項目安全分析的連貫性，在參數選定上基于大數據更準確，目前在海洋油氣平臺的設計過程中，大量用于SIS的SIL定級分析過程中，取得了較好的應用效果。