黎暉 陳彬 田均 陳劍健 陳實(shí)

中海福建天然氣有限責任公司

LNG（液化天然氣）的氣化及輸送過(guò)程中存在易燃易爆介質(zhì)，而且具有連續化、自動(dòng)化和立體化特點(diǎn)，任何一個(gè)設備或部件出現故障，都有可能導致“連鎖反應”，影響站場(chǎng)的安全運行，因而迫切需要應用先進(jìn)的管理理念對接收站實(shí)施管理。

安全儀表系統(Safety Instrumented System:SIS)是保障裝置工藝安全運行的重要措施，但其安全聯(lián)鎖控制方案配置是否合理，需要采用安全完整性等級(Safety Integrity Level: SIL)評估技術(shù)進(jìn)行分析評估。本文探討了SIL分析在LNG接收站中的應用。

1 安全完整性等級

國際電工委員會(huì )（IEC）發(fā)布的安全儀表系統（SIS）的標準定義是，專(zhuān)用于安全的控制系統。在生產(chǎn)裝置或是設備可能發(fā)生危險或不采取措施危險會(huì )惡化的狀態(tài)下，安全儀表系統可以控制聯(lián)鎖或使裝置停車(chē)，從而避免其進(jìn)入危險工況，保證生產(chǎn)、設備、環(huán)境和人員的安全，使危險和損失降到最低。

為了使安全相關(guān)系統達到相應的要求，需用安全完整性等級（Safety Integrity Level，SIL）來(lái)衡量系統實(shí)現風(fēng)險降低的能力。IEC61508中將SIL劃分為4級，SIL1表示能將風(fēng)險降低1級，即使系統出現事故的概率降低為原來(lái)的十分之一；SIL4表示能將風(fēng)險降低4級，也就是說(shuō)使系統發(fā)生事故的概率降低為原來(lái)的萬(wàn)分之一。安全完整性等級的級別越高，系統的結構就越復雜，相應出錯的概率也就越低[1-2]。具體的安全完整性等級劃分見(jiàn)表1。

低要求操作模式是指，對一個(gè)安全相關(guān)系統提出的操作要求的頻率小于或等于每年1次并且小于或等于2倍的檢驗測試頻率的安全儀表功能。其余為高要求操作模式。

2 SIL定級和驗證

2.1 SIL定級

IEC61511-3(GB/T 21109-3)在附錄中推薦了4種SIL定級方法：半定量方法、安全層矩陣法、校正的風(fēng)險圖及風(fēng)險圖[3-4]。

其中，校正的風(fēng)險圖法是指，在風(fēng)險評估（如HAZOP）基礎上，采用風(fēng)險圖表（RISKGRAPH）的方法確定安全儀表功能的完整性等級。風(fēng)險圖表法通過(guò)4個(gè)參數之間的關(guān)系，反映出當安全儀表系統故障或安全儀表系統未設置時(shí)可能出現的危險狀態(tài)。這4個(gè)參數是：

S 危險事件后果（后果參數）

F 人員在多次暴露的危險區域的出現頻率（暴露參數）

P 避免危險事件后果的可能性（避免參數）

W 有害事件發(fā)生概率（需求參數）

圖1為S、F、P、W 4個(gè)參數與SIL等級之間的對應關(guān)系。評估出S、F、P、W 4個(gè)參數的級別，就可確定對應的SIL等級。

圖1 安全風(fēng)險圖

2.2 SIL驗證

SIL驗證就是通過(guò)檢驗和測試，證明安裝完畢并調試了的安全儀表系統達到了安全要求規格書(shū)中規定的要求。

SIL驗證包含以下6個(gè)部分：①審查實(shí)際安全儀表系統與技術(shù)文檔的一致性。②檢查安全儀表系統的全部功能是否滿(mǎn)足規格書(shū)要求。③檢驗安全儀表系統的各項主要功能。④測試異常操作情況下安全儀表系統。⑤審查安全儀表系統的硬件結構是否符合IEC61508要求。⑥計算安全儀表系統中安全功能的安全完整性等級。

（1）IEC61508對硬件結構的約束

A型和B型相關(guān)子系統的結構約束將會(huì )依照IEC61508-2 中的相關(guān)表格（見(jiàn)表 2、表 3），SIL等級將會(huì )受限于安全失效分數（SFF）和硬件故障裕度（HFT）。

（2）安全失效分數

利用FMEA（Failure Mode Effect Analysis）分析方法可將儀表故障分為4種模式（見(jiàn)表4）：顯性安全故障λsd（如雷達液位計高頻模塊故障）、隱性安全故障λsu（如電流輸出短路）、顯性危險故障λdd（如壓力傳感器損壞）和隱性危險故障λdu（如電流輸出“凍結”）。

安全失效分數（Safe Failure Fraction SFF）計算公式如下：

SFF= (λsu + λsd + λdd )/( λsu + λsd + λdd + λdu )

（3）硬件故障裕度

硬件故障裕度（HFT）指部件或子系統在出現一個(gè)或幾個(gè)硬件故障的情況下，功能單元繼續執行所要求的儀表安全功能的能力。硬件故障裕度是對冗余程度的一種描述。一個(gè)硬件故障裕度(HFT)N意味著(zhù)N+1個(gè)故障將引起安全功能喪失。除了通過(guò)合適的設備選擇以外，還可以通過(guò)子系統冗余設計滿(mǎn)足所需要的安全等級。表5是ANSI/ISA-84.00.01給出的有關(guān)現場(chǎng)設備的最小故障裕度（HFT）與SIL等級的對應關(guān)系。

可以通過(guò)增加硬件故障裕度的方式來(lái)獲取較高的SIL等級。2.3  SIF回路的 PFD值計算

（1）整體計算思路

安全儀表功能的平均失效概率（PFD）由各元件相疊加，利用“故障樹(shù)”來(lái)完成，如圖 2所示。

圖2 安全儀表功能(SIF)的故障樹(shù)

每個(gè)元件的平均故障率為：

λ = 故障率；

TI = 功能測試間隔；

安全儀表回路的PFD值為：PFDSIF =PFD傳感器+PFD邏輯單位+PFD執行單元

（2）共因失效的處理

儀表回路故障可分為2類(lèi)：硬件隨機故障和系統故障。

前者假定任何元件隨機發(fā)生導致儀表回路故障，獨立的硬件隨機故障的發(fā)生有一定的概率，這個(gè)概率是可以計算出來(lái)。來(lái)自于一個(gè)單個(gè)原因引起的共同原因故障，可能影響超過(guò)一個(gè)器件而導致儀表回路故障，這些故障叫作系統故障。這樣的故障包括設計或錯誤的規范、制造錯誤、維護能力差等。外部原因也可以導致系統故障（如火災、水災、電源故障或無(wú)儀表風(fēng)等）。

β系數方法適合用來(lái)估算儀表回路的共同原因故障。根據IEC61508-6 典型的共同原因故障的β值在1%～10%范圍內。因此，10%可以作為共同原因故障導致危險發(fā)生的β值。

β系數用于傳感器和最終元件PFD值的計算， PFD共因 = β×PFD器件

3 SIL在LNG接收站的應用

3.1 資料準備

（1）SIL定級

①管道和儀表流程圖（P&ID）。②設計基礎。③工藝控制說(shuō)明。④儀表控制邏輯圖或因果圖。⑤危險分析結果。⑥SIL主席要求提供的其他資料。

（2）SIL驗證

①管道和儀表流程圖（P&ID）。②工藝控制說(shuō)明。③安全儀表系統安全手冊、安全要求規格書(shū)。④安全儀表系統硬件設計圖、網(wǎng)絡(luò )結構圖。⑤安全儀表系統硬件失效參數。⑥安全儀表系統儀表控制邏輯圖、因果圖及說(shuō)明。⑦安全儀表系統調試記錄和報告。⑧安全儀表系統的變更和人員培訓記錄。⑨SIL主席要求提供的其他資料。

3.2 執行者

（1）SIL定級

經(jīng)過(guò)專(zhuān)業(yè)培訓的SIL主席、SIL秘書(shū)、儀表工程師、工藝工程師、安全工程師等組成SIL分析小組進(jìn)行SIL分析。其他專(zhuān)業(yè)人員（如檢維修人員、設備工程師等）必要時(shí)應參會(huì )解答相關(guān)問(wèn)題，幫助會(huì )議順利進(jìn)行。

（2）SIL驗證

經(jīng)過(guò)專(zhuān)業(yè)培訓的SIL主席和SIL秘書(shū)進(jìn)行資料收集、現場(chǎng)檢查及SIL驗證分析，編寫(xiě)SIL驗證報告，并提交SIL驗證小組審查。SIL驗證小組應至少包含儀表工程師、工藝工程師、安全工程師等各專(zhuān)業(yè)人員。3.3 SIL定級和驗證結果

本次SIL定級研究共針對64個(gè)SIF進(jìn)行了分析。分析過(guò)程中分別考慮了針對安全、環(huán)境和資產(chǎn)的SIL要求，從而確定總體的SIL要求。SIL定級分析的結果匯總見(jiàn)表6。

本次SIL驗證回路共51個(gè)，SIL等級要求分別為SIL1、SIL2二種。對于驗證無(wú)法通過(guò)的回路，提出了相應的整改方案。部分驗證結果見(jiàn)表7。

對于不滿(mǎn)足要求的14-PALL-0009，提出相關(guān)建議。

（1）分析聯(lián)鎖的基本功能要求，分析是否能夠減少回路中最終元件的數量。

（2）改變執行元件中01-XS-0032A 的檢驗周期，由1次/3月改為1次/月，計算PFDavg能不能滿(mǎn)足SIL2要求。4 結論

對福建LNG接收站安全儀表系統進(jìn)行安全完整性等級評估，及時(shí)發(fā)現安全儀表系統設計或應用的不足，提出改進(jìn)措施，保證安全儀表系統的合理性和有效性，對保證接收站的安全運行、防止發(fā)生重大事故具有重要意義。隨著(zhù)SIL分析在我國的推廣，必將在提升工業(yè)安全性能、降低用戶(hù)成本等方面發(fā)揮更大作用。

參考文獻：

[1]IEC61508:Function safetyelectrical, electronic,programmableelectronic safety-related systems,2010

[2] GB/T20438：電氣/電子/可編程電子安全相關(guān)系統的功能安全，2006

[3]IEC61511:Function safety: safety Instrumented Systems for the process industry sector, 2003

[4]GB/T21109：過(guò)程工業(yè)領(lǐng)域安全儀表系統的功能安全，2007

作者：黎暉，男，1972年生，碩士，中海福建天然氣有限責任公司副總經(jīng)理，主要研究方向為：LNG站線(xiàn)項目生產(chǎn)管理、設備設施完整性管理、長(cháng)輸管線(xiàn)建設、數字化管道建設與應用。

《管道保護》2017年第3期（總第34期）