海上平台SIS 系统功能安全评估的方法

张玉涛，张哲，武洋，韩世杰

(中海油安全技术服务有限公司，天津 300457)

0 引言

海上油气生产平台是海洋石油开采生产的重要设施，是一个孤立于海上的独立单元，具有工艺系统复杂、设备布置紧凑、应急救援困难等风险特征，因此，海上平台一般会采取更为严苛的风险防控措施，从而提升油气生产的安全性[1]。安全仪表系统(safety instrumented system, SIS)是一种常见的风控控制措施，当工艺系统出现偏差到一定阈值时，安全仪表系统会执行预定的安全功能。该安全功能的实现可以有效避免重大事故的出现或降低事故发生带来的影响，是事故发生前的最后一道保护措施[2-3]。

安全仪表系统由传感器、逻辑控制器和最终执行元件任何组合构成，SIS 可以执行一个或多个安全仪表功能，其可靠性应达到某个需求的安全完整性等级[4]。由于SIS 系统安全功能的重要作用，即当工艺流程参数出现重大偏差时自动调整流程至安全模式，因而对SIS 系统能否实现该安全仪表功能有一定的可靠性要求。而影响SIS 可靠性的因素较为复杂，比如SIS 系统的冗余结构设计、元器件的失效概率、系统的维护周期以及所处环境等[5]。为了保证SIS 能够正常执行功能安全，因此需要对SIS 系统开展功能安全评估。

1 SIS 系统功能安全评估现状

SIS 系统功能安全评估包括安全完整性等级(safety integrity level, SIL) 定级和安全完整性等级验证。在IEC61508 中，安全仪表系统共有4 级，即SIL1～SIL4，可靠性越高对应的安全完整性等级越高，SIS 系统的危险失效的概率越低，各安全完整性等级及对应的要求时失效概率(PFD)和风险降低因子(RRF)如表1 所示[6]。

表1 SIL 等级要求

在功能安全的国际标准方面，国际电工委员会(International Electrotechnical Commission，IEC) 制定了IEC61508 和IEC61511，分别介绍了安全相关系统及其在流程工业的应用，此两项标准已被熟练应用于各行业。在功能安全的国内标准方面，制定了GB/T 20438 《电气/ 电子/ 可编程电子安全相关系统的功能安全》和GB/T 21109 《过程工业领域安全仪表系统的功能安全》，同等采标IEC61508 和IEC61511，用于指导国内SIS 功能安全评估工作，政府部门也先后发布多个文件推动安全仪表系统评估工作[7]。

SIL 定级评估是通过半定量的分析方法对事故场景进行半定量的风险评估，结合某种确定或预期的风险可接受标准来确定相关SIF 回路应承担的风险降低程度，即目标风险降低因子，从而完成SIL 定级工作。目前应用较多的SIL 定级方法有风险矩阵法、风险图法、修正风险图表法、事件树法、保护层分析法(layer of protection analysis, LOPA) 等。邓锐等[8]分别对风险矩阵法、风险图法、修正风险图表法和保护层分析法的优缺点进行了对比，指出LOPA 具有易于理解、便于操作、准确性高、可信性强等优点，并以某海上平台的典型SIF 回路为例，介绍了使用LOPA 进行SIL 定级的工程应用。

SIL 验证评估是通过计算SIF 回路的要求时失效概率(PFD) 来确定被评估的SIS 系统配置情况能否满足设计的安全完整性等级要求。计算要求时失效概率的方法有可靠性框图法、故障树法和马尔可夫模型(Markov models)，其中马尔可夫模型可以灵活反映系统不同状态的转移过程，这种建模过程与SIS 系统的可维修性和可靠性高度匹配，但是要进行转换图建模和转移矩阵计算，其模型复杂，计算量大，因此需要计算软件辅助[9]。

李园园[2]采用LOPA 和故障树法对高完整性压力保护系统的安全完整性水平进行评估。刘彦昌[9]对青岛炼化硫磺回收装置进行了安全仪表系统SIL 定级和验证，SIL 定级采用HAZOP/LOPA 的评估方法，验证使用清华大学风险评估软件PSMSuite(马尔可夫模型)。芦媛[10]利用可靠性框图法建立了SIL 验证模型，并开发了评估软件。胡川等[11]对煤气化装置开展了安全仪表系统SIL 定级分析及SIL 验证，应用方法为LOPA 分析方法与可靠性框图验证方法。赵东风等[12]以加氢装置中的原料油缓冲罐为例开展了SIL评估方法研究，采用的是LOPA 分析与exSILentia 验证软件(马尔可夫模型)。刘斌等[13]以某典型输气站场为例，依次开展了高风险事故场景筛选，SIL 定级和验证，采用方法也是LOPA 分析与马尔可夫模型，并就如何提高SIL 等级提出建议措施。

2 SIL 定级方法介绍

根据上述文献研究，LOPA 分析是SIL 定级最常用的方法之一。作为一种半定量的分析方法，LOPA把将事故发生链上各环节的要素以频率/ 概率的形式体现，从而对评估场景的风险有较为准确的认知。为了使风险低于可接受水平，需要确定SIS 安全功能应承担的风险降低程度，即目标风险降低因子，从而确定SIL 等级。LOPA 定级步骤如图1 所示。

LOPA 分析的核心是事故链条的识别及量化，事故链条是指某一事件(即初始事件)发展到事故剧情过程中的种种事件，包括初始事件、修正因子、后果严重度和独立保护层(independent protection layers,IPLs)，其中修正因子如装置的使用率、可燃物质点火概率、人员出现在事件影响区的概率、有毒物质释放的暴露致死率等，独立保护层如本质安全设计、基本过程控制系统、关键报警及人员响应、安全仪表功能、物理防护层、释放后保护措施等。事件量化是指事故链条上所有事件都进行量化处理，从而计算出SIF 回路的风险降低因子(risk reduction factor, RRF)，对应SIL 等级划分表确定SIL 等级，计算如式(1)：

式中：fic为初始事件i引发后果C的发生频率(次/年)；fiI为初始事件i发生的频率(次/年)；Pic为初始事件i发生的各修正因子之乘积，假如没有任何条件修正，则取1；PiIPL为初始事件i发生后阻止后果C出现的各独立保护层的要求时危险失效概率PFD 之乘积。

3 SIL 验证方法介绍

SIL 验证采用计算精度高的马尔可夫模型，马尔科夫模型通过描述了系统不同状态的转移情况，转换图用3 种不同的状态来表示这种转变，分别是正常(初始状态)、失效(危险失效)和中间状态(安全失效，待修复)。一种状态有某种概率转变为另一种状态，而且该变化只与系统当前状态有关，与系统历史状态无关[14]。1oo1 结构的马尔科夫模型转移状态如图2所示。

图2 1oo1 结构的马尔科夫模型

根据图2 的模型，建立转移矩阵P，转移矩阵是马尔科夫模型的核心，假设系统初始状态S0，因系统的下一个状态仅取决于当前状态，则n次系统状态为Sn。

在1oo1 结构中发生任何一种危险失效(包括检测到的和未检测到的)，系统都会发生危险失效，故在系统的寿命周期(LT)内，1oo1 结构的PFD 为FDD、FDU1 和FDU2 概率之和[15]，计算公式如下：

由于马尔可夫模型计算过程较为复杂，使用相关软件辅助可以大幅提升工作效率，本次分析选用的exSILentia 软件，该软件内置了EXIDA 安全设备失效数据库，采用马尔科夫模型进行SIF 回路的平均失效概率计算，在国内企业和高校中应用广泛，认可度较高[12]。

4 登平台海管压力高高联锁回路功能安全评估

某海上气田为高压气藏，经水下采气树节流后压力在10 MPa 左右，为了保护生产平台，在海管登平台处设计了压力高高联锁关闭登平台海管紧急切断阀，压力监测与控制逻辑设置情况如图3 所示。对该SIF开展功能安全评估，利用LOPA 对其SIL 定级，并在exSILentia 软件中验证其是否满足要求。

图3 登平台海管压力监测与控制逻辑示意图

首先，登平台海管压力偏高将导致平台设备超压，高压天然气从薄弱环节泄漏，造成火灾爆炸事故，对照风险可接受标准，该事故后果定为5 级，可容许概率为1.00×10-6，海上平台因其人员密集、逃生困难、造价高昂的特点，风险可接受标准的要求相比陆地要求更高。造成压力偏高的初始事件为后路阀门误动作关小，发生频率为0.1。在修正条件中，设备为连续运行，使用率为1；泄漏介质为高压天然气，点火概率取1；现场巡检要求为每1 h 1 次，每次停留约10 min，则人员暴露为0.17，因此，Pc=0.17。根据图3 识别可知，对海管超压的事故剧情，可作为独立保护层的有PAH 压力高报警和HIPPS 高完整性压力保护系统，经了解现场操作人员对该报警有清晰可靠的指示和充足的响应时间，PAH 压力高报警的PFD 值可取0.1；HIPPS 按照美国石油行业标准API 14C 的要求配置，其完整性等级为SIL3，根据表1 的对应关系选择保守值，则HIPPS 系统的PFD 值0.001[16]，因此，可得参数为1.00×10-4。将上述参数代入式(1)，该事故剧情消减后的事故频率为1.7×10-6，目标风险降低因子RRF 为1.7，小于SIL1 对应的RRF，因此，定级结果为SILa 级。

对本回路进行SIL 验证需要设定必要的输入条件，根据现场调研这些输入条件分别为安全仪表设备的设计使用寿命为15 a，检测检验周期为1 a，故障平均修复时间MTTR 为8 h，共因失效因子β取值0.1。利用exSILentia 软件开展SIL 验证工作，输入上述条件参数，分别选择计算传感器、逻辑控制器和终端执行机构的品牌型号，利用软件内置的exida 工业数据库中的失效数据计算其PFDavg，进而确定该SIF 回路的PFDavg为3.36×10-2，达到的RRF 为29.7，满足SIL 定级的要求，计算结果如表2 所示，各组成部分对回路PFDavg值的贡献率如图4 所示。

图4 各组成部分对回路PFDavg值的贡献率

表2 SIL 等级要求

5 结语

本文介绍了海上平台的安全仪表系统功能安全评估方法，分别是用于SIL 定级评估的保护层分析法和用于SIL 验证评估的马尔科夫模型，并对海上平台典型场景登平台海管压力高高联锁回路展开分析。经SIL 定级评估，该联锁回路目标风险降低因子RRF 为1.7，定级结果为SILa 级；经SIL 验证评估，现有联锁回路的配置情况和管理参数可以达到的RRF 为29.7，验证结果为SIL1 级，高于SIL 定级的等级。评估结果显示该回路的配置情况可以满足预定的功能安全需求。

该研究表明保护层分析法和马尔科夫模型对海上平台的安全仪表系统设计和使用具有重要指导意义，开展SIL 评估时可以采用这种组合方法进行SIL定级和验证。同时，良好的维护对保持SIS 系统安全功能有重大影响，建议平台运营方根据功能安全评估结果和相关规范的要求制定具体的SIS 系统维保计划，以保证SIS 系统的安全完整性。