基于SIL 评估的输气站场安全仪表系统现状分析与改进

马勇梧 张桂娟

1青海盐湖镁业有限公司

2青海盐湖元品化工有限责任公司

随着国内长距离输气管道管理模式的不断优化，运行方式逐渐由粗放型向集约型转变，管道行业在充分利用大数据、互联网、云计算和人工智能等关键技术的基础上，实现了管道和沿线站场运行的标准化、智能化、信息化和数字化，员工结构和用工数量更加精简[1-3]。为适应智慧管网的建设，对输气站场内关键设备和工艺流程的可靠性提出了更高要求，其中安全仪表系统（SIS）的设置必不可少。国家安监总局《关于加强化工安全仪表系统管理的指导意见》中要求新建的“两重点一重大”的化工装置和危险化学品储存设施要设计符合要求的安全仪表系统，确保其降低风险的能力，当站内生产参数超过阈值时，系统可迅速响应并启动，使工艺恢复至安全状态。

一个完整的安全仪表回路（SIF）包括传感器、逻辑控制器和执行元件三部分，对于SIF 回路必须匹配与其对应的SIL，因此对SIF 回路进行安全完整性等级（SIL）评估具有重要意义，其作用贯穿咨询、设计、使用、维护、变更等整个SIS 的安全生命周期。目前，诸多学者在SIL 评估上进行了大量工作，杨放等[4]对紧急停车（ESD）系统进行了SIL 验证，王琴梅[5]对在役压气站的SIS 进行了定级与验算，俞辉辉等[6]对采用LOPA 分析对输气站设计期间的SIS 进行了定级。以上研究多根据标准规范和人工经验设置SIF 回路，且SIL 评估大多只单独涉及SIL 定级或验证，鲜见对SIL 评估进行整体分析，对于危险与可操作性（HAZOP）分析和保护层（LOPA）分析的评价流程分析也颇有不足。针对上述问题，选取典型输气站场开展SIL 评估工作，充分结合HAZOP 分析、LOPA 分析和马尔科夫模型等方法，建立一套适合输气站场的SIL 周期性评估流程，为同类型站场的SIS 的设计和运营提供实际参考。

1 研究对象

该输气站属于五级站场，主要负责对来气进行分离、净化、脱水和加压，设计处理天然气能力20×104m3，实际日处理天然气量5×104m3，日产混合轻烃4.8 t。站场于2010 年投运，位于城市支路旁，周边有民房、河流、汽车修理厂和大型仓库等。

2 SIL 评估

2.1 SIF 辨识与SIL 定级

SIF 辨识与SIL 定级是指为满足风险管控的要求，辨识出对应的SIF 回路，并确定其SIL 等级，分别采用HAZOP 和LOPA 结合的方法实施。

2.1.1 HAZOP 分析

HAZOP 分析是通过参数和引导词的设置，找出工艺流程中存在的偏差，然后分析偏差产生的原因和后果，提出相应的改进措施。根据该输气站场的管道仪表流程图（PID）将其划分为压缩机、储罐、清管装置、气处理装置等10 个分析节点，采用压力、温度、液位、流量等4 个参数，设低、高、大、小等4 个引导词，对各节点中可能出现的偏差进行辨识。根据该企业制定的安全风险评价矩阵，从人员伤亡、财产损失、停工影响、环境影响和声誉影响等几方面确定初始风险（没有任何保护措施）与剩余风险（现有保护措施下的残余风险）[7-8]。针对剩余风险中仍为中风险及以上的偏差，应增加保护措施（如SIF 回路），并进一步开展LOPA 分析。

2.1.2 LOPA 分析

LOPA 分析中有一部分内容来源于HAZOP 分析报告，对应关系见表1。此外，还需要根据保护层的属性（有效性、独立性和可审查性）确定HAZOP 分析中的保护层是否为独立保护层[9-10]。

表1 HAZOP 分析和LOPA 分析的对应关系Tab.1 Correspondence between HAZOP analysis and LOPA analysis

对于站场内的工艺流程，追求绝对的安全是不现实的，只能尽可能地实现相对安全，消减不可接受的风险。使用LOPA 分析进行SIL 定级时，需计算某场景内在没有SIS 保护层条件下的场景发生频率，并与后果可接受频率对比，如大于后果可接受频率，则需要根据需达到的风险降低水平设置SIF回路；反之，则不需要设置SIF 回路。石油石化行业普遍执行SIS 运行模式中的低要求模式，即受保护的控制系统或设备要求SIS 的动作频率低于1 a-1，其场景导致后果发生频率的公式如下：式中：为初始事件i造成后果C的频率，a-1；fi为初始事件i的出现频率，a-1；PFDij为初始事件i在第j个独立保护层下的失效概率；Pi、Pe和Pd分别为点燃概率、人员暴露概率和人员死亡概率（如有必要还需考虑使能条件的影响）。SIS 采用风险降低因子(RRF)衡量风险降低水平，RRF与SIL 等级的关系见表2。

表2 RRF 与SIL 等级的关系Tab.2 Relationship between RRF and SIL levels

2.1.3 SIF 辨识与SIL 定级结果

在进行HAZOP 分析的过程中，为确保风险点未发生遗漏，除常规定性分析外，还需结合现场工作人员的实际经验对站场内具有联锁、控制、报警功能的回路进行分析。以压缩机入口流量低这一偏差为例，HAZOP 分析过程及结果见表3。从该风险点的后果严重性等级判定，发生事故后主要影响现场巡检和作业人员的人身安全，现场设施有经济损失，以及由于站内停机对下游造成气量不足的声誉影响，而对停工和环境的影响较小，因此在进行初始风险和剩余风险分析时，应重点关注人员伤亡、财产损失和声誉影响等三个方面。

表3 HAZOP 分析结果Tab.3 HAZOP analysis results

初始事件中上游来气压力高的剩余风险仍为“中”，因此应对这一场景进行LOPA 分析，结果见表4。后果可接受频率参照GB 36894—2018《危险化学品生产装置和储存设施风险基准》的个人风险和社会风险基准要求，但该规范只规定了人员伤亡的发生频率，对于其余后果类别的风险接受频率尚未规定。结合企业制定的安全风险评价矩阵，本着以人为本、人的生命为红线的管理理念，在同等严重性等级下，人员伤亡的后果可接受频率要明显小于其余后果可接受频率。

表4 LOPA 分析结果Tab.4 LOPA analysis results

以对人员伤亡这一后果为例进行分析，根据与该输气站场、管道公司生产和安全部门核实该初始事件是否在站场或公司范围内出现过，如发生过，可根据实际情况统计出现频率；如未出现，则根据企业或行业统计频率，参照信息扩散理论计算频率，最终确定fi为0.1 a-1。根据HAZOP 分析，参照独立保护层有效性、独立性和可审查性的特点，识别出过程控制系统、关键报警及人员干预、物理保护等三个独立保护层，其PFD分别为0.5、0.5和0.1。修正因子中点火概率根据化工过程安全中心推荐的延迟点火概率为0.3。根据现场调研，日常巡检人员的巡检频率为每小时一次，每次巡检时间10 min，确定人员暴露概率为0.16，保守估计取0.2。如站场发生爆炸事故，其超压覆盖整个站场区域，而人员巡检通常与设备的距离较近，死亡概率较高，故取1。

根据公式（1）计算为1.5×10-4，大于后果可接受频率1×10-5，根据表2 确定需增加SIF 回路，且该SIF 回路的SIL 等级为1，RRF不能低于15。同理，计算其他后果类别下的，财产损失、停工影响、环境影响和声誉影响等均在可接受范围内，无需增加SIF 回路。

综上所述，在压缩机入口处应设置超压保护系统，当上游来气压力高或憋压，压力传感器PT101将信号传至Honeywell PLC，经PLC 判断后，关闭进口紧急截断阀GV1、GV2，并打开放空阀GV3，逻辑关系见图1。

图1 压缩机入口超压保护逻辑框图Fig.1 Logic diagram of compressor inlet overpressure protection

根据以上步骤，得到该站场的SIF 辨识与SIL定级结果（表5）。为满足风险管控要求，输气站场内需设置11 个SIF 回路，但目前站内已设置的SIF 回路并不完善，存在一定的功能缺失。这是由于目前输气站场内的SIS 主要根据SY/T 7351—2016《油气田工程安全仪表系统设计规范》 和SY/T 6966—2013《输油气管道工程安全仪表系统设计规范》设计实施，但规范中对于SIS 的规定只是笼统意义上的，并未对细节进行完善。由于不同输气站场的站场等级、周边环境和安全防护措施有所不同，导致事故场景发生频率、后果类别与严重性等级和目标SIL 等级有所不同。因此，建议在站场设计阶段，综合利用HAZOP 分析和LOPA 分析进行SIF 辨识与SIL 定级，保证站内安全仪表系统和功能的完备性。

表5 SIF 辨识与SIL 定级结果Tab.5 SIF identification and SIL grading results

2.2 SIL 验证

2.2.1 SIL 验证方法

对于SIL 验证主要依据结构约束、随机失效概率和系统能力等三方面，其中前两项属于硬件安全完整性，后一项属于系统安全完整性。目前对于现役安全仪表系统主要考察硬件安全完整性。结构约束受硬件故障裕度(HFT)和安全失效分数(SFF)影响。公式为

式中：λS为安全失效概率；λDD为检测出的危险失效概率；λD为危险失效概率。

国际电工委员会IEC 61508 标准中对传感器、执行元件和逻辑控制器的HFT 做了要求，根据设备对应的安全功能认证证书确定组件是否为A 类或B 类。

随机失效概率PFDavg采用马尔科夫模型计算，公式为

式中：TI为功能测试周期，h；S0为系统初始状态；Pi为转移矩阵；VD为危险失效向量。

最终根据SIF 回路的冗余表决结构确定HFT，通过文献[7]明确SIF 回路中HFT、SIL 等级和SFF 之间的关系，确定各组件满足结构约束所需的SIL 等级；根据低要求模式下PFDavg和SIL 等级的关系，对SIF 回路的SIL 等级进行计算。两者对应的最低SIL 等级即为SIL 验证结果，再与前文的SIL 定级结果进行对比，确定实际SIL 等级是否满足风险管控要求。

2.2.2 SIL 验证结果

以SIF4 为例，进行SIL 验证。TI 取12 个月，功能覆盖率取99%，共因失效因子取0.01，传感器、逻辑控制器和执行元件的平均修复时间分别取8、8 和12 h，设备失效数据见表6。

表6 设备失效数据Tab.6 Device failure data

传感器和执行元件组件定义为A 类，逻辑控制器组件定义为B 类，由于冗余表决结构均为1oo1（一对一，指将一个传感器或开关触点连接到安全模块的一个通道中），故硬件故障裕度均为0，根据公式（2）计算SFF，并确定满足结构约束的SIL 等级；根据公式（3）计算PFDavg，确定各子系统的SIL 等级和总的SIL 等级。因此，SIF4 的验证结果为SIL1，与SIL 定级结果相同（表7）。

表7 SIL 验证过程Tab.7 SIL validation process

3 改进措施

对其余现有的SIF 回路的SIL 等级进行验证，结果见表8。其中，SIF5、SIF7、SIF8 回路的传感器和执行元件未获得安全功能认证证书，缺乏相关失效概率数据，故无法进行SIL 验证工作，其SIL等级是否与SIL 定级的结果相符未知。因此建议在设计采购阶段，应选用获得安全功能认证的组件，并收集企业、行业和国际通用数据库，建立准确的失效数据，为准确定量SIL 评估提供基础。

表8 SIL 验证结果Tab.8 SIL validation results

针对SIF10 回路的定级与验证不符的情况，可以从以下几个方面进行有效改进：

（1）更改SIF10 回路中的传感器或执行元件冗余表决结构，从1oo1 变为1oo2 模式，改为并联或串联操作。

（2）缩短功能测试周期，将阀门的功能测试周期由1 a 变为0.5 a 后，执行元件的PFDavg缩小一个数量级，SIL 提升为2，可根据该要求修订设备的维护和测试周期计划。

（3）改进设备选型，选择失效概率更低的设备，减少PFDavg，提升SIL 等级。

4 结论

（1）针对目前输气站场内安全仪表设置不足的情况，对站场的安全仪表系统进行了SIL 评估，分别采用HAZOP 和LOPA 分析进行SIF 辨识和SIL 定级，并考察了SIF 回路的结构约束和随机失效概率，用于进行SIL 验证。

（2）该站场内需设置11 个SIF 回路，但由于安全功能认证证书缺失，缺乏相关失效概率数据，故无法对部分SIF 回路进行SIL 验证工作。

（3）对于设计阶段，应将HAZOP 和LOPA 分析相结合，确定满足站场风险控制要求的安全仪表功能和SIL 等级；对于运行阶段，应根据功能测试周期，定期开展SIL 等级验证，确保SIS 的安全性和可靠性。

（4）目前，失效数据未考虑不确定性带来的影响，今后可利用蒙特卡洛和数据分布验证相结合的方式，完善SIL 定级方法。