海上平臺SIS 系統功能安全評估的方法

張玉濤，張哲，武洋，韓世杰

(中海油安全技術服務有限公司，天津 300457)

0 引言

海上油氣生產平臺是海洋石油開采生產的重要設施，是一個孤立于海上的獨立單元，具有工藝系統復雜、設備布置緊湊、應急救援困難等風險特征，因此，海上平臺一般會采取更為嚴苛的風險防控措施，從而提升油氣生產的安全性[1]。安全儀表系統(safety instrumented system, SIS)是一種常見的風控控制措施，當工藝系統出現偏差到一定閾值時，安全儀表系統會執行預定的安全功能。該安全功能的實現可以有效避免重大事故的出現或降低事故發生帶來的影響，是事故發生前的最后一道保護措施[2-3]。

安全儀表系統由傳感器、邏輯控制器和最終執行元件任何組合構成，SIS 可以執行一個或多個安全儀表功能，其可靠性應達到某個需求的安全完整性等級[4]。由于SIS 系統安全功能的重要作用，即當工藝流程參數出現重大偏差時自動調整流程至安全模式，因而對SIS 系統能否實現該安全儀表功能有一定的可靠性要求。而影響SIS 可靠性的因素較為復雜，比如SIS 系統的冗余結構設計、元器件的失效概率、系統的維護周期以及所處環境等[5]。為了保證SIS 能夠正常執行功能安全，因此需要對SIS 系統開展功能安全評估。

1 SIS 系統功能安全評估現狀

SIS 系統功能安全評估包括安全完整性等級(safety integrity level, SIL) 定級和安全完整性等級驗證。在IEC61508 中，安全儀表系統共有4 級，即SIL1～SIL4，可靠性越高對應的安全完整性等級越高，SIS 系統的危險失效的概率越低，各安全完整性等級及對應的要求時失效概率(PFD)和風險降低因子(RRF)如表1 所示[6]。

表1 SIL 等級要求

在功能安全的國際標準方面，國際電工委員會(International Electrotechnical Commission，IEC) 制定了IEC61508 和IEC61511，分別介紹了安全相關系統及其在流程工業的應用，此兩項標準已被熟練應用于各行業。在功能安全的國內標準方面，制定了GB/T 20438 《電氣/ 電子/ 可編程電子安全相關系統的功能安全》和GB/T 21109 《過程工業領域安全儀表系統的功能安全》，同等采標IEC61508 和IEC61511，用于指導國內SIS 功能安全評估工作，政府部門也先后發布多個文件推動安全儀表系統評估工作[7]。

SIL 定級評估是通過半定量的分析方法對事故場景進行半定量的風險評估，結合某種確定或預期的風險可接受標準來確定相關SIF 回路應承擔的風險降低程度，即目標風險降低因子，從而完成SIL 定級工作。目前應用較多的SIL 定級方法有風險矩陣法、風險圖法、修正風險圖表法、事件樹法、保護層分析法(layer of protection analysis, LOPA) 等。鄧銳等[8]分別對風險矩陣法、風險圖法、修正風險圖表法和保護層分析法的優缺點進行了對比，指出LOPA 具有易于理解、便于操作、準確性高、可信性強等優點，并以某海上平臺的典型SIF 回路為例，介紹了使用LOPA 進行SIL 定級的工程應用。

SIL 驗證評估是通過計算SIF 回路的要求時失效概率(PFD) 來確定被評估的SIS 系統配置情況能否滿足設計的安全完整性等級要求。計算要求時失效概率的方法有可靠性框圖法、故障樹法和馬爾可夫模型(Markov models)，其中馬爾可夫模型可以靈活反映系統不同狀態的轉移過程，這種建模過程與SIS 系統的可維修性和可靠性高度匹配，但是要進行轉換圖建模和轉移矩陣計算，其模型復雜，計算量大，因此需要計算軟件輔助[9]。

李園園[2]采用LOPA 和故障樹法對高完整性壓力保護系統的安全完整性水平進行評估。劉彥昌[9]對青島煉化硫磺回收裝置進行了安全儀表系統SIL 定級和驗證，SIL 定級采用HAZOP/LOPA 的評估方法，驗證使用清華大學風險評估軟件PSMSuite(馬爾可夫模型)。蘆媛[10]利用可靠性框圖法建立了SIL 驗證模型，并開發了評估軟件。胡川等[11]對煤氣化裝置開展了安全儀表系統SIL 定級分析及SIL 驗證，應用方法為LOPA 分析方法與可靠性框圖驗證方法。趙東風等[12]以加氫裝置中的原料油緩沖罐為例開展了SIL評估方法研究，采用的是LOPA 分析與exSILentia 驗證軟件(馬爾可夫模型)。劉斌等[13]以某典型輸氣站場為例，依次開展了高風險事故場景篩選，SIL 定級和驗證，采用方法也是LOPA 分析與馬爾可夫模型，并就如何提高SIL 等級提出建議措施。

2 SIL 定級方法介紹

根據上述文獻研究，LOPA 分析是SIL 定級最常用的方法之一。作為一種半定量的分析方法，LOPA把將事故發生鏈上各環節的要素以頻率/ 概率的形式體現，從而對評估場景的風險有較為準確的認知。為了使風險低于可接受水平，需要確定SIS 安全功能應承擔的風險降低程度，即目標風險降低因子，從而確定SIL 等級。LOPA 定級步驟如圖1 所示。

LOPA 分析的核心是事故鏈條的識別及量化，事故鏈條是指某一事件(即初始事件)發展到事故劇情過程中的種種事件，包括初始事件、修正因子、后果嚴重度和獨立保護層(independent protection layers,IPLs)，其中修正因子如裝置的使用率、可燃物質點火概率、人員出現在事件影響區的概率、有毒物質釋放的暴露致死率等，獨立保護層如本質安全設計、基本過程控制系統、關鍵報警及人員響應、安全儀表功能、物理防護層、釋放后保護措施等。事件量化是指事故鏈條上所有事件都進行量化處理，從而計算出SIF 回路的風險降低因子(risk reduction factor, RRF)，對應SIL 等級劃分表確定SIL 等級，計算如式(1)：

式中：fic為初始事件i引發后果C的發生頻率(次/年)；fiI為初始事件i發生的頻率(次/年)；Pic為初始事件i發生的各修正因子之乘積，假如沒有任何條件修正，則取1；PiIPL為初始事件i發生后阻止后果C出現的各獨立保護層的要求時危險失效概率PFD 之乘積。

3 SIL 驗證方法介紹

SIL 驗證采用計算精度高的馬爾可夫模型，馬爾科夫模型通過描述了系統不同狀態的轉移情況，轉換圖用3 種不同的狀態來表示這種轉變，分別是正常(初始狀態)、失效(危險失效)和中間狀態(安全失效，待修復)。一種狀態有某種概率轉變為另一種狀態，而且該變化只與系統當前狀態有關，與系統歷史狀態無關[14]。1oo1 結構的馬爾科夫模型轉移狀態如圖2所示。

圖2 1oo1 結構的馬爾科夫模型

根據圖2 的模型，建立轉移矩陣P，轉移矩陣是馬爾科夫模型的核心，假設系統初始狀態S0，因系統的下一個狀態僅取決于當前狀態，則n次系統狀態為Sn。

在1oo1 結構中發生任何一種危險失效(包括檢測到的和未檢測到的)，系統都會發生危險失效，故在系統的壽命周期(LT)內，1oo1 結構的PFD 為FDD、FDU1 和FDU2 概率之和[15]，計算公式如下：

由于馬爾可夫模型計算過程較為復雜，使用相關軟件輔助可以大幅提升工作效率，本次分析選用的exSILentia 軟件，該軟件內置了EXIDA 安全設備失效數據庫，采用馬爾科夫模型進行SIF 回路的平均失效概率計算，在國內企業和高校中應用廣泛，認可度較高[12]。

4 登平臺海管壓力高高聯鎖回路功能安全評估

某海上氣田為高壓氣藏，經水下采氣樹節流后壓力在10 MPa 左右，為了保護生產平臺，在海管登平臺處設計了壓力高高聯鎖關閉登平臺海管緊急切斷閥，壓力監測與控制邏輯設置情況如圖3 所示。對該SIF開展功能安全評估，利用LOPA 對其SIL 定級，并在exSILentia 軟件中驗證其是否滿足要求。

圖3 登平臺海管壓力監測與控制邏輯示意圖

首先，登平臺海管壓力偏高將導致平臺設備超壓，高壓天然氣從薄弱環節泄漏，造成火災爆炸事故，對照風險可接受標準，該事故后果定為5 級，可容許概率為1.00×10-6，海上平臺因其人員密集、逃生困難、造價高昂的特點，風險可接受標準的要求相比陸地要求更高。造成壓力偏高的初始事件為后路閥門誤動作關小，發生頻率為0.1。在修正條件中，設備為連續運行，使用率為1；泄漏介質為高壓天然氣，點火概率取1；現場巡檢要求為每1 h 1 次，每次停留約10 min，則人員暴露為0.17，因此，Pc=0.17。根據圖3 識別可知，對海管超壓的事故劇情，可作為獨立保護層的有PAH 壓力高報警和HIPPS 高完整性壓力保護系統，經了解現場操作人員對該報警有清晰可靠的指示和充足的響應時間，PAH 壓力高報警的PFD 值可取0.1；HIPPS 按照美國石油行業標準API 14C 的要求配置，其完整性等級為SIL3，根據表1 的對應關系選擇保守值，則HIPPS 系統的PFD 值0.001[16]，因此，可得參數為1.00×10-4。將上述參數代入式(1)，該事故劇情消減后的事故頻率為1.7×10-6，目標風險降低因子RRF 為1.7，小于SIL1 對應的RRF，因此，定級結果為SILa 級。

對本回路進行SIL 驗證需要設定必要的輸入條件，根據現場調研這些輸入條件分別為安全儀表設備的設計使用壽命為15 a，檢測檢驗周期為1 a，故障平均修復時間MTTR 為8 h，共因失效因子β取值0.1。利用exSILentia 軟件開展SIL 驗證工作，輸入上述條件參數，分別選擇計算傳感器、邏輯控制器和終端執行機構的品牌型號，利用軟件內置的exida 工業數據庫中的失效數據計算其PFDavg，進而確定該SIF 回路的PFDavg為3.36×10-2，達到的RRF 為29.7，滿足SIL 定級的要求，計算結果如表2 所示，各組成部分對回路PFDavg值的貢獻率如圖4 所示。

圖4 各組成部分對回路PFDavg值的貢獻率

表2 SIL 等級要求

5 結語

本文介紹了海上平臺的安全儀表系統功能安全評估方法，分別是用于SIL 定級評估的保護層分析法和用于SIL 驗證評估的馬爾科夫模型，并對海上平臺典型場景登平臺海管壓力高高聯鎖回路展開分析。經SIL 定級評估，該聯鎖回路目標風險降低因子RRF 為1.7，定級結果為SILa 級；經SIL 驗證評估，現有聯鎖回路的配置情況和管理參數可以達到的RRF 為29.7，驗證結果為SIL1 級，高于SIL 定級的等級。評估結果顯示該回路的配置情況可以滿足預定的功能安全需求。

該研究表明保護層分析法和馬爾科夫模型對海上平臺的安全儀表系統設計和使用具有重要指導意義，開展SIL 評估時可以采用這種組合方法進行SIL定級和驗證。同時，良好的維護對保持SIS 系統安全功能有重大影響，建議平臺運營方根據功能安全評估結果和相關規范的要求制定具體的SIS 系統維保計劃，以保證SIS 系統的安全完整性。