杨沙沙 安 垚 孙 啸 张思杨 吴鑫鑫 陈妍君
(1.中国石油大学(北京)油气管道输送安全国家工程实验室;2.中国石油天然气股份有限公司西南管道分公司)
安全仪表系统的功能安全评估现状
杨沙沙1,2安 垚2孙 啸2张思杨2吴鑫鑫2陈妍君2
(1.中国石油大学(北京)油气管道输送安全国家工程实验室;2.中国石油天然气股份有限公司西南管道分公司)
通过对比国内外安全仪表系统功能安全评估的发展状况,从功能安全标准、HAZOP (Hazard and Operability)分析、SIL(Safety Integrity Level)定级、SIL验证和SIL评估与认证5个方面进行了研究。发现我国缺乏与自身实际情况相结合的功能安全标准;在HAZOP、SIL定级和SIL验证方面,仍处在定性研究阶段,缺乏相关的失效数据库和与实际相结合的研究;还没有建立与功能安全评估相关的认证与服务机构。研究结果可为功能安全评估今后的发展提供一定的指导作用。
安全仪表系统 功能安全 HAZOP分析 SIL定级 SIL验证 SIL评估与认证
安全仪表系统(Safety Instrumented System, SIS)是由传感器、逻辑控制器和执行器所组成的仪表系统,它能够实现一项或多项安全仪表功能[1]。而功能安全则是安全仪表系统的安全仪表功能能否被正确执行的体现[2]。在IEC61508中,安全相关系统的安全完整性被分为4个不同的等级(SIL1~SIL4),等级越高,安全仪表的可靠性也就越高,则系统发生危险失效的概率也就越低[3]。
自20世纪70年代以来,在生产过程中,由于安全仪表系统失效,使得火灾爆炸等严重事故时有发生,这不但给企业带来了巨大的财产损失,而且还导致了人员伤亡、环境污染等严峻的后果。例如,在1984年,由于安全设施失效等原因,导致印度博帕尔发生甲基异氰酸酯泄漏事故,造成2~4万人死亡,另有6万多人面临需接受长期治疗的惨重后果;在2005年,由于一个传感器发生了失效,导致某炼油厂发生了火灾爆炸事故,造成了15人死亡、170多人重伤的严重后果。作为重要的安全保障措施,安全仪表系统应能在生产过程出现危险时准确地执行自身的安全功能,从而避免事故的发生或减轻事故带来的影响。然而由于系统自身的结构、硬件或软件的特性以及周围环境的影响等因素,安全仪表系统存在着潜在的安全隐患。因此,提高管道等流程行业安全生产水平的重要方法就是确保安全仪表系统的功能安全,对安全仪表系统展开功能安全评估具有十分重要的意义[4]。
笔者将从功能安全标准、HAZOP(Hazard and Operability)分析、SIL(Sofety Integrity Level)定级、SIL验证、SIL评估与认证5个方面进行国内外对比研究。
1.1 国外功能安全标准
1994年,德国率先颁布了首个关于安全仪表系统的标准——DIN V 19250,标准中规定了具有保护功能的设备必须满足独立性要求。随后,德国又颁布了一个功能安全标准——DIN V VDE 0801,该标准主要是针对以计算机技术为核心的安全相关系统。1996年,美国发布了《安全仪表系统在过程工业中的应用》,即ANSI/ISA-S84.01-1996,该标准定义了安全生命周期,第一次明确地提出了安全仪表系统的概念,具有划时代的指导意义,直到现在仍被许多国家所采用[5]。
自2000年以来,国际电工委员会(International Electrotechnical Commission,IEC)接连发布了安全相关系统标准IEC61508、流程工业标准IEC61511、机械工业标准IEC62061以及核工业标准IEC61513等,在功能安全方面,逐步建立了国际标准体系[6]。作为基础通用性标准,IEC61508为其他行业或部门标准的制定提供了一定的指导作用。而在IEC61511标准颁布之后,各个国家与世界著名石油公司都将它与自身的实际情况相结合,制定出了该标准相应的应用指南来指导实际生产。例如:在挪威,海上石油开采业就将IEC61511标准与自身的情况相结合,在进行了一定的修改之后,对海洋平台的安全生产进行指导。
1.2 国内功能安全标准
对于功能安全的研究,我国仍然处在初级阶段,一系列相关标准还处于形成的过程之中。在国家标准方面,2006年,我国颁布了采标IEC61508的GB/T 20438《电气/电子/可编程电子安全相关系统的功能安全》;紧接着,2007年,颁布了采标IEC61511的、适用于过程工业领域的GB/T 21109《过程工业领域安全仪表系统的功能安全》;2013年,我国颁布了GB/T 50770《石油化工安全仪表系统设计规范》;2015年又接连颁布了GB/T 32202《油气管道安全仪表系统的功能安全评估规范》和GB/T 32203《油气管道安全仪表系统的功能安全验收规范》。在行业标准方面,2003年,我国颁布了SH3018《石油化工安全仪表系统设计规范》和《工业生产过程中安全仪表系统的应用》;2013年,又发布了SY/T6966《输油气管道工程安全仪表系统设计规范》和AQ/T:3049《危险与可操作性分析(HAZOP分析)应用导则》。
在IEC61508的基础上,国外已经形成了比较完善的功能安全标准体系,并且能够对相关标准进行熟练地应用。而在国内,大多数标准都直接由国外标准采标得来,没有根据我国不同部门、不同行业的特点进行修改,也没有形成相应的应用指南,因而标准的指导意义没能得到很好的发挥,并且国内颁布的标准大多数都只是推荐性的,没有要求强制实施,这都给我国功能安全评估工作的展开带来了困难。
英国帝国化学工业公司(ICI)在 20 世纪60年代提出了一种安全分析方法——危险与可操作性分析(HAZOP分析)。在历经了五十多年的改进与完善之后,HAZOP分析已经在国内外工程项目上得到了广泛的应用,成为了一种被各行各业所采纳的通用安全分析方法[7]。
2.1 国外HAZOP分析
在2001年,国际电工委员会发布了IEC 61882,指导了各个行业对HAZOP分析的应用。HAZOP分析方法由于其全面性、系统性和结构性的特点,在工艺危害分析技术领域得到了广泛的应用,被许多知名公司采用,如:陶氏化学、拜尔、罗迪亚、BP及赛科等。具体应用情况见表1[8]。
表1 国外知名公司对于HAZOP分析的应用情况
近年来,HAZOP方法正在逐渐地向量化的方向发展,主要的方法是将HAZOP方法与风险矩阵、LOPA及SIL等定量评价方法相结合,进而更好地评估系统的安全性。2005年,Svandova Z等提出将静态/动态模拟与HAZOP方法相结合[9]。2006年,Eizenberg S等成功地将HAZOP方法与Matlab动态模拟相结合[10]。
2.2 国内HAZOP分析
我国对于HAZOP分析方法的应用相对较晚,一直到21世纪,我国学者才广泛地开始对HAZOP方法进行研究。 张东升将HAZOP分析方法应用于LNG接收站的风险评估中,辨别出了现有装置存在的风险[11]。李娜等概括介绍了HAZOP、LOPA和SIL 3种分析方法的特点,并总结出了它们之间的关系[12]。李秋娟等对输油泵进行了HAZOP分析,并总结出了在对油气管道系统进行HAZOP分析时需要注意的核心内容[13]。冯文兴等详细介绍了HAZOP分析的具体过程,并运用该方法对输油管道站场进行了分析,提出了风险降低的措施[14]。张志胜等对西气东输的典型站场、复杂工艺等进行HAZOP分析,找出当前设备设施存在的缺陷,为今后的改造提供依据[15]。王厚尚开发了HAZOP在线分析系统,提高了HAZOP分析方法的灵活性与实用性。
综上所述,国内对于HAZOP方法的研究大多都还处在定性的层面,虽然也有学者已经开始对HAZOP方法进行定量分析研究,但是还处于起步阶段。
SIL定级是指将工业过程的原始风险与可容忍风险相对比,以确定安全仪表系统所能实现的风险降低能力,即SIS所要求的SIL等级。SIL定级的定性方法主要有风险矩阵法、风险图法和校正风险图法;定量方法主要有故障树法、事件树法和LOPA分析法;或者是将定性与定量方法相结合的方法。
3.1 国外SIL定级
早在1996年,Summers A E就总结出了企业授权的SIL、后果分析、风险矩阵、改良的HAZOP、风险图及定量评估6种SIL定级方法[16]。2002年,Marszal E M提出在采用保护层分析法进行功能安全评估时,需要将人员对评估结果的影响考虑在内,这样能够提高SIL定级的准确性[17]。2004年,Bingham K和Goteti P提出,在对SIL定级之前,要先建立起相应的失效数据库[18]。Dejmek K A和Wehrman K A指出,在确定SIL等级时,要合理地确定初始事件的可容忍发生的频率,采用定量风险分析法(如LOPA分析法)来使风险后果量化,以得到直观、可靠的分析结果[19]。2006年,Gowland P A等详细阐述了保护层分析法的原理,并将它应用于欧洲工业意外风险评估中[20]。
3.2 国内SIL定级
刘永和分别采用了半定量评估法与定性风险图法对天然气装置的安全完整性等级进行评估,并得到了相同的结果[21]。汪应红等利用HAZOP方法对天然气脱水撬进行危险与风险分析,接着确定了装置的SIL等级,最后提出建议来降低脱水装置的风险[22]。靳江红等根据重大危险源的安全仪表分类,归纳了不同SIL等级的常用场合,为SIL定级提供了新的方向[23]。西南石油大学吕路对校正风险图法和HAZOP/LOPA法进行了比选,并用第2种方法对输气站场进行了SIL定级。
国外很早就开始对SIL定级方法进行研究,并且已经建立起了初始事件发生频率和独立保护层失效频率等相关数据库,迈入了定量分析的阶段。而我国学者大多仍采用较为简单的定性方法来进行SIL定级,仍然处在初级阶段。虽然目前国内已有不少学者正在尝试进行定量评估,但由于缺乏失效数据库,定量方法的应用还有一定的难度。
4.1 国外SIL验证
1998年,Goble W M总结归纳了完整性等级的验证方法,并对可靠性框图法、故障树法、马尔可夫模型以及失效模式与影响分析法进行了详细地介绍[24]。2000年,Summers A E对比分析了可靠性框图法和故障树法,发现采用故障树法对较为复杂的系统进行评估,得到的结果将更加准确[25]。2010年,Oliveira L F和Abramovitch R N针对一些不确定问题提出了用FMEDA法来验证SIL等级,得到的结果更为保守[26]。由于可靠性框图法计算公式中有个别参数的取值难以获得,Catelani M等认为对于复杂系统应该用失效模式与影响分析法来验证SIL等级[27]。
4.2 国内SIL验证
Guo H T和Yang X H对IEC61508标准里提出的可靠性框图模型的计算公式进行了详细推导[28]。西南石油大学的杨艺针对输气站场的具体情况,建立了一套适用于站场的SIL验证流程,并编写了验证软件。芦媛建立了SIL验证所需的可靠性框图模型,并对SIL验证模型进行了软件编程[29]。基于白盒测试思想,沈学强和白焰对失效模式与影响分析、可靠性框图、故障树以及马尔可夫模型进行分析比较,总结了各评估方法的适用范围及其在特定环境下的置信度[30]。
虽然国内学者对于SIL验证方法已经展开了研究,但在针对我国具体行业实际情况的应用上研究较少,尚未有一套结合具体行业具体情况建立的验证流程。
5.1 国外SIL评估与认证
在国外,与功能安全评估相关的商业软件较多,大多数都已经具备SIL定级与SIL验证的功能。当前,比较有名的软件有德国的exSILentia软件、HIMA公司的SILence软件以及西门子公司的SET软件等。
在国外,功能安全相关的认证服务发展较早,第三方认证机构也得到了生产商、承包商以及广大用户的认可,目前比较著名的认证评估机构有美国的EXIDA和德国的TÜV。
5.2 国内SIL评估与认证
在国内,目前还没有比较成熟的SIL评估软件,大多都只能实现一部分功能,还不够完善,如浙江大学的吴宁宁等将VB 6.0与Matlab相结合,利用马尔可夫模型,开发了可对不同冗余表决结构的PFD值进行计算的验证软件[31]。
国外在产品、认证以及应用软件等方面已经形成了一个良好的功能安全评估系统。而国内发展相对较晚,目前尚无成熟的评估认证机构,也没有建立自己的失效数据库。
6.1 在功能安全标准方面,国外已经形成了完备的标准体系,而我国还没有建立符合自身实际情况的标准指南,需要加快立法的脚步。
6.2 在HAZOP分析方面,我国的学者大多数还停留在定性的层面上,需要继续加深对于定量层面上的研究。
6.3 在SIL定级与验证方面,由于缺乏失效数据库,我国的研究还处于基础阶段,并且缺乏结合行业实际情况的研究。
6.4 在SIL评估与认证方面,我国还没有相应的评估软件与认证机构,需要尽快建立。
[1] 张怡.分散控制系统I/O模件的可靠性分析及安全评估[D].北京:华北电力大学,2011.
[2] 龙飞.安全仪表系统及其SIL评估技术在歧化装置中的应用[D].上海:华东理工大学,2014.
[3] 姜巍巍,李玉明,王春利,等.石化行业安全仪表系统及其安全完整性等级确定方法[J].安全、健康和环境,2009,9(6):18~20.
[4] 吕路.基于SIL的玉成输气站场仪表功能安全评价[D].成都:西南石油大学,2013.
[5] 杨艺.输气站场控制系统SIL分析与应用研究[D].成都:西南石油大学,2015.
[6] 李园园.海洋平台安全监测与控制系统安全完整性评估技术研究[D].青岛:中国石油大学(华东),2011.
[7] 王厚尚.HAZOP在线分析系统开发研究[D].青岛:中国石油大学(华东),2013.
[8] 王力勇.CNG加气母站HAZOP分析技术研究[D].成都:西南石油大学,2015.
[9] Svandova Z, Jelemensky L, Markos J, et al. Steady States Analysis and Dynamic Simulation as a Complement in the HAZOP Study of Chemical Reactors [J]. Process Safety and Environmental Protection, 2005, 83(5):463~471.
[10] Eizenberg S, Shacham M, Brauner N. Combining HAZOP with Dynamic Simulation-applications for Safety Education [J]. Journal of Loss Prevention in the Process Industries, 2006, 19(6):754~761.
[11] 张东升. HAZOP分析方法在天然气接收站的应用[J].化工自动化及仪表,2014,41(11):1281~1286.
[12] 李娜,孙文勇,宁信道,等.HAZOP、LOPA和SIL方法的应用分析[J].中国安全生产科学技术,2012,5(8):101~106.
[13] 李秋娟,余冬,史威,等.HAZOP分析方法在油气管道系统中的应用研究[J].中国仪器仪表,2010,(11):52~55.
[14] 冯兴文,贾光明,谷雨雷,等.HAZOP分析技术在输油管道站场的应用[J].油气储运,2012,31(12):903~905.
[15] 张志胜,杨洪兵. HAZOP分析在西气东输管道工程中的应用[J].现代职业安全,2010,(6):72~75.
[16] Summers A E. Techniques for Assigning a Target Safety Integrity Level[J]. ISA Transactions, 1998, 37(2):95~104.
[17] Marszal E M. Human Reliability Analysis for SIL Selection[C].ISA TECH/EXPO Technology Update Conference Proceedings. North Carolina:ISA, 2002:935~942.
[18] Bingham K, Goteti P.Integrating HAZOP and SIL/LOPA Analysis: Best Practice Recommendations [C].4th Annual Emerging Technologies Conference. North Carolina:ISA,2004:55~64.
[19] Dejmek K A, Wehrman K A. The assignment of SIL targets to overpressure protection in reactive systems [C]. 2004 ASME/JSME Pressure Vessels and Piping Conference. New York, NY: American Society of Mechanical Engineers, 2004:199~205.
[20] Gowland P A, Walter K, Georg B, et al. Special issue: MR Safety[J].Journal of Magnetic Resonance Imaging, 2010, 26(5): 1177~1178.
[21] 刘永和.SIL等级确定方法在天然气脱水装置中的应用[J].能源与节能,2013,(1):56~58.
[22] 汪应红,王群英,付晓恒.SIL确认在天然气脱水撬安全仪表设计中的应用[J].化工自动化及仪表,2012,39(1):103~107.
[23] 靳江红,吴宗之,胡玢,等.重大危险源安全仪表系统的分类研究[J].中国安全生产科学技术,2008,4(5):121~125.
[24] Goble W M. Control Systems Safety Evaluation and Reliability[M].NC: Instrument Society of America, 1998:196~198.
[25] Summers A E. Viewpoint on ISA TR84.0.02-simplied Methods and Fault Tree Analysis[J]. ISA Transactions, 2000, 39(2): 125~131.
[26] Oliveira L F, Abramovitch R N. Extension of ISA TR84.00.02 PFD Equations to KooN Architectures[J]. Reliability Engineering and System Safety, 2010, 95(7): 707~715.
[27] Catelani M, Ciani L, Luongo V. The FMEDA Approach to Improve the Safety Assessment According to the IEC61508 [J]. Microelectronics Reliability, 2010, 50 (9): 1230~1235.
[28] Guo H T, Yang X H.A Simple Reliability Block Diagram Method for Safety Integrity Verification[J]. Reliability Engineering and System Safety, 2007, 92(9): 1267~1273.
[29] 芦媛.天然气净化厂安全完整性等级(SIL)分析与技术研究[D].重庆:重庆科技学院,2016.
[30] 沈学强,白焰.安全仪表系统的功能安全评估方法性能分析[J].化工自动化及仪表,2012,39(6):703~706.
[31] 吴宁宁,陈瞭,吴明光,等.安全仪表系统的Markov建模方法研究[J].计算机与应用化学,2009,26(6):821~824.
CurrentStatusofFunctionalSafetyAssessmentofPipelineSafetyInstrumentedSystem
YANG Sha-sha1, 2, AN Yao2, SUN Xiao2, ZHANG Si-yang2, WU Xin-xin2, CHEN Yan-jun2
(1.NationalEngineeringLaboratoryofOilandGasPipelineTransportationSafety,ChinaUniversityofPetroleum(Beijing); 2.SouthwestPipelineCompany,ChinaNationalPetroleumCorporation)
Through comparing the development status of functional safety assessment of safety instrumented system at home and abroad, the studies concerned were carried out in five aspects of functional safety standards, HAZOP analysis, SIL rating, SIL verification and SIL evaluation and certification. It is found that China lacks functional safety standards which coinciding with actual situation at home. In the HAZOP analysis, SIL grading and SIL verification, it is still in the stage of qualitative research and lacks the relevant failure database and the research on the actual situation; and both certification and service agencies related to the function safety assessment has not been established. The results of the study provide the guidance for the future development of functional safety assessment.
safety instrumented system, functional safety, HAZOP, SIL rating, SIL verification,SIL evaluation and certification
X924
A
1000-3932(2017)09-0813-05
2017-03-28,
2017-07-18)
杨沙沙(1993-),硕士研究生,从事石油与天然气工程的研究,anneyss@126.com。