黎暉 陳彬 田均 陳劍健 陳實(shí)

中海福建天然氣有限責(zé)任公司

LNG（液化天然氣）的氣化及輸送過(guò)程中存在易燃易爆介質(zhì)，而且具有連續(xù)化、自動(dòng)化和立體化特點(diǎn)，任何一個(gè)設(shè)備或部件出現(xiàn)故障，都有可能導(dǎo)致“連鎖反應(yīng)”，影響站場(chǎng)的安全運(yùn)行，因而迫切需要應(yīng)用先進(jìn)的管理理念對(duì)接收站實(shí)施管理。

安全儀表系統(tǒng)(Safety Instrumented System:SIS)是保障裝置工藝安全運(yùn)行的重要措施，但其安全聯(lián)鎖控制方案配置是否合理，需要采用安全完整性等級(jí)(Safety Integrity Level: SIL)評(píng)估技術(shù)進(jìn)行分析評(píng)估。本文探討了SIL分析在LNG接收站中的應(yīng)用。

1 安全完整性等級(jí)

國(guó)際電工委員會(huì)（IEC）發(fā)布的安全儀表系統(tǒng)（SIS）的標(biāo)準(zhǔn)定義是，專(zhuān)用于安全的控制系統(tǒng)。在生產(chǎn)裝置或是設(shè)備可能發(fā)生危險(xiǎn)或不采取措施危險(xiǎn)會(huì)惡化的狀態(tài)下，安全儀表系統(tǒng)可以控制聯(lián)鎖或使裝置停車(chē)，從而避免其進(jìn)入危險(xiǎn)工況，保證生產(chǎn)、設(shè)備、環(huán)境和人員的安全，使危險(xiǎn)和損失降到最低。

為了使安全相關(guān)系統(tǒng)達(dá)到相應(yīng)的要求，需用安全完整性等級(jí)（Safety Integrity Level，SIL）來(lái)衡量系統(tǒng)實(shí)現(xiàn)風(fēng)險(xiǎn)降低的能力。IEC61508中將SIL劃分為4級(jí)，SIL1表示能將風(fēng)險(xiǎn)降低1級(jí)，即使系統(tǒng)出現(xiàn)事故的概率降低為原來(lái)的十分之一；SIL4表示能將風(fēng)險(xiǎn)降低4級(jí)，也就是說(shuō)使系統(tǒng)發(fā)生事故的概率降低為原來(lái)的萬(wàn)分之一。安全完整性等級(jí)的級(jí)別越高，系統(tǒng)的結(jié)構(gòu)就越復(fù)雜，相應(yīng)出錯(cuò)的概率也就越低[1-2]。具體的安全完整性等級(jí)劃分見(jiàn)表1。

低要求操作模式是指，對(duì)一個(gè)安全相關(guān)系統(tǒng)提出的操作要求的頻率小于或等于每年1次并且小于或等于2倍的檢驗(yàn)測(cè)試頻率的安全儀表功能。其余為高要求操作模式。

2 SIL定級(jí)和驗(yàn)證

2.1 SIL定級(jí)

IEC61511-3(GB/T 21109-3)在附錄中推薦了4種SIL定級(jí)方法：半定量方法、安全層矩陣法、校正的風(fēng)險(xiǎn)圖及風(fēng)險(xiǎn)圖[3-4]。

其中，校正的風(fēng)險(xiǎn)圖法是指，在風(fēng)險(xiǎn)評(píng)估（如HAZOP）基礎(chǔ)上，采用風(fēng)險(xiǎn)圖表（RISKGRAPH）的方法確定安全儀表功能的完整性等級(jí)。風(fēng)險(xiǎn)圖表法通過(guò)4個(gè)參數(shù)之間的關(guān)系，反映出當(dāng)安全儀表系統(tǒng)故障或安全儀表系統(tǒng)未設(shè)置時(shí)可能出現(xiàn)的危險(xiǎn)狀態(tài)。這4個(gè)參數(shù)是：

S 危險(xiǎn)事件后果（后果參數(shù)）

F 人員在多次暴露的危險(xiǎn)區(qū)域的出現(xiàn)頻率（暴露參數(shù)）

P 避免危險(xiǎn)事件后果的可能性（避免參數(shù)）

W 有害事件發(fā)生概率（需求參數(shù)）

圖1為S、F、P、W 4個(gè)參數(shù)與SIL等級(jí)之間的對(duì)應(yīng)關(guān)系。評(píng)估出S、F、P、W 4個(gè)參數(shù)的級(jí)別，就可確定對(duì)應(yīng)的SIL等級(jí)。

圖1 安全風(fēng)險(xiǎn)圖

2.2 SIL驗(yàn)證

SIL驗(yàn)證就是通過(guò)檢驗(yàn)和測(cè)試，證明安裝完畢并調(diào)試了的安全儀表系統(tǒng)達(dá)到了安全要求規(guī)格書(shū)中規(guī)定的要求。

SIL驗(yàn)證包含以下6個(gè)部分：①審查實(shí)際安全儀表系統(tǒng)與技術(shù)文檔的一致性。②檢查安全儀表系統(tǒng)的全部功能是否滿足規(guī)格書(shū)要求。③檢驗(yàn)安全儀表系統(tǒng)的各項(xiàng)主要功能。④測(cè)試異常操作情況下安全儀表系統(tǒng)。⑤審查安全儀表系統(tǒng)的硬件結(jié)構(gòu)是否符合IEC61508要求。⑥計(jì)算安全儀表系統(tǒng)中安全功能的安全完整性等級(jí)。

（1）IEC61508對(duì)硬件結(jié)構(gòu)的約束

A型和B型相關(guān)子系統(tǒng)的結(jié)構(gòu)約束將會(huì)依照IEC61508-2 中的相關(guān)表格（見(jiàn)表 2、表 3），SIL等級(jí)將會(huì)受限于安全失效分?jǐn)?shù)（SFF）和硬件故障裕度（HFT）。

（2）安全失效分?jǐn)?shù)

利用FMEA（Failure Mode Effect Analysis）分析方法可將儀表故障分為4種模式（見(jiàn)表4）：顯性安全故障λsd（如雷達(dá)液位計(jì)高頻模塊故障）、隱性安全故障λsu（如電流輸出短路）、顯性危險(xiǎn)故障λdd（如壓力傳感器損壞）和隱性危險(xiǎn)故障λdu（如電流輸出“凍結(jié)”）。

安全失效分?jǐn)?shù)（Safe Failure Fraction SFF）計(jì)算公式如下：

SFF= (λsu + λsd + λdd )/( λsu + λsd + λdd + λdu )

（3）硬件故障裕度

硬件故障裕度（HFT）指部件或子系統(tǒng)在出現(xiàn)一個(gè)或幾個(gè)硬件故障的情況下，功能單元繼續(xù)執(zhí)行所要求的儀表安全功能的能力。硬件故障裕度是對(duì)冗余程度的一種描述。一個(gè)硬件故障裕度(HFT)N意味著N+1個(gè)故障將引起安全功能喪失。除了通過(guò)合適的設(shè)備選擇以外，還可以通過(guò)子系統(tǒng)冗余設(shè)計(jì)滿足所需要的安全等級(jí)。表5是ANSI/ISA-84.00.01給出的有關(guān)現(xiàn)場(chǎng)設(shè)備的最小故障裕度（HFT）與SIL等級(jí)的對(duì)應(yīng)關(guān)系。

可以通過(guò)增加硬件故障裕度的方式來(lái)獲取較高的SIL等級(jí)。2.3  SIF回路的 PFD值計(jì)算

（1）整體計(jì)算思路

安全儀表功能的平均失效概率（PFD）由各元件相疊加，利用“故障樹(shù)”來(lái)完成，如圖 2所示。

圖2 安全儀表功能(SIF)的故障樹(shù)

每個(gè)元件的平均故障率為：

λ = 故障率；

TI = 功能測(cè)試間隔；

安全儀表回路的PFD值為：PFDSIF =PFD傳感器+PFD邏輯單位+PFD執(zhí)行單元

（2）共因失效的處理

儀表回路故障可分為2類(lèi)：硬件隨機(jī)故障和系統(tǒng)故障。

前者假定任何元件隨機(jī)發(fā)生導(dǎo)致儀表回路故障，獨(dú)立的硬件隨機(jī)故障的發(fā)生有一定的概率，這個(gè)概率是可以計(jì)算出來(lái)。來(lái)自于一個(gè)單個(gè)原因引起的共同原因故障，可能影響超過(guò)一個(gè)器件而導(dǎo)致儀表回路故障，這些故障叫作系統(tǒng)故障。這樣的故障包括設(shè)計(jì)或錯(cuò)誤的規(guī)范、制造錯(cuò)誤、維護(hù)能力差等。外部原因也可以導(dǎo)致系統(tǒng)故障（如火災(zāi)、水災(zāi)、電源故障或無(wú)儀表風(fēng)等）。

β系數(shù)方法適合用來(lái)估算儀表回路的共同原因故障。根據(jù)IEC61508-6 典型的共同原因故障的β值在1%～10%范圍內(nèi)。因此，10%可以作為共同原因故障導(dǎo)致危險(xiǎn)發(fā)生的β值。

β系數(shù)用于傳感器和最終元件PFD值的計(jì)算， PFD共因 = β×PFD器件

3 SIL在LNG接收站的應(yīng)用

3.1 資料準(zhǔn)備

（1）SIL定級(jí)

①管道和儀表流程圖（P&ID）。②設(shè)計(jì)基礎(chǔ)。③工藝控制說(shuō)明。④儀表控制邏輯圖或因果圖。⑤危險(xiǎn)分析結(jié)果。⑥SIL主席要求提供的其他資料。

（2）SIL驗(yàn)證

①管道和儀表流程圖（P&ID）。②工藝控制說(shuō)明。③安全儀表系統(tǒng)安全手冊(cè)、安全要求規(guī)格書(shū)。④安全儀表系統(tǒng)硬件設(shè)計(jì)圖、網(wǎng)絡(luò)結(jié)構(gòu)圖。⑤安全儀表系統(tǒng)硬件失效參數(shù)。⑥安全儀表系統(tǒng)儀表控制邏輯圖、因果圖及說(shuō)明。⑦安全儀表系統(tǒng)調(diào)試記錄和報(bào)告。⑧安全儀表系統(tǒng)的變更和人員培訓(xùn)記錄。⑨SIL主席要求提供的其他資料。

3.2 執(zhí)行者

（1）SIL定級(jí)

經(jīng)過(guò)專(zhuān)業(yè)培訓(xùn)的SIL主席、SIL秘書(shū)、儀表工程師、工藝工程師、安全工程師等組成SIL分析小組進(jìn)行SIL分析。其他專(zhuān)業(yè)人員（如檢維修人員、設(shè)備工程師等）必要時(shí)應(yīng)參會(huì)解答相關(guān)問(wèn)題，幫助會(huì)議順利進(jìn)行。

（2）SIL驗(yàn)證

經(jīng)過(guò)專(zhuān)業(yè)培訓(xùn)的SIL主席和SIL秘書(shū)進(jìn)行資料收集、現(xiàn)場(chǎng)檢查及SIL驗(yàn)證分析，編寫(xiě)SIL驗(yàn)證報(bào)告，并提交SIL驗(yàn)證小組審查。SIL驗(yàn)證小組應(yīng)至少包含儀表工程師、工藝工程師、安全工程師等各專(zhuān)業(yè)人員。3.3 SIL定級(jí)和驗(yàn)證結(jié)果

本次SIL定級(jí)研究共針對(duì)64個(gè)SIF進(jìn)行了分析。分析過(guò)程中分別考慮了針對(duì)安全、環(huán)境和資產(chǎn)的SIL要求，從而確定總體的SIL要求。SIL定級(jí)分析的結(jié)果匯總見(jiàn)表6。

本次SIL驗(yàn)證回路共51個(gè)，SIL等級(jí)要求分別為SIL1、SIL2二種。對(duì)于驗(yàn)證無(wú)法通過(guò)的回路，提出了相應(yīng)的整改方案。部分驗(yàn)證結(jié)果見(jiàn)表7。

對(duì)于不滿足要求的14-PALL-0009，提出相關(guān)建議。

（1）分析聯(lián)鎖的基本功能要求，分析是否能夠減少回路中最終元件的數(shù)量。

（2）改變執(zhí)行元件中01-XS-0032A 的檢驗(yàn)周期，由1次/3月改為1次/月，計(jì)算PFDavg能不能滿足SIL2要求。4 結(jié)論

對(duì)福建LNG接收站安全儀表系統(tǒng)進(jìn)行安全完整性等級(jí)評(píng)估，及時(shí)發(fā)現(xiàn)安全儀表系統(tǒng)設(shè)計(jì)或應(yīng)用的不足，提出改進(jìn)措施，保證安全儀表系統(tǒng)的合理性和有效性，對(duì)保證接收站的安全運(yùn)行、防止發(fā)生重大事故具有重要意義。隨著SIL分析在我國(guó)的推廣，必將在提升工業(yè)安全性能、降低用戶成本等方面發(fā)揮更大作用。

參考文獻(xiàn)：

[1]IEC61508:Function safetyelectrical, electronic,programmableelectronic safety-related systems,2010

[2] GB/T20438：電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全，2006

[3]IEC61511:Function safety: safety Instrumented Systems for the process industry sector, 2003

[4]GB/T21109：過(guò)程工業(yè)領(lǐng)域安全儀表系統(tǒng)的功能安全，2007

作者：黎暉，男，1972年生，碩士，中海福建天然氣有限責(zé)任公司副總經(jīng)理，主要研究方向?yàn)椋篖NG站線項(xiàng)目生產(chǎn)管理、設(shè)備設(shè)施完整性管理、長(zhǎng)輸管線建設(shè)、數(shù)字化管道建設(shè)與應(yīng)用。

《管道保護(hù)》2017年第3期（總第34期）