王 凱

(海洋石油工程股份有限公司，天津 300451)

0 引言

隨著海上油氣田的不斷勘探開發(fā)，越來越多的石油平臺被投入使用。在油氣生產(chǎn)過程中，中央控制系統(tǒng)起著至關(guān)重要的作用[1-2]。它主要進行工藝參數(shù)的指示報警、數(shù)據(jù)處理、偏差調(diào)節(jié)以及關(guān)斷等操作。安全儀表系統(tǒng)(safety instrumentation system，SIS)作為中控系統(tǒng)的重要組成部分，其主要功能是在緊急情況下(如發(fā)生故障、火災(zāi))執(zhí)行相應(yīng)的操作，例如關(guān)斷閥關(guān)閉、放空閥打開、消防泵啟動等,從而保護工藝過程的正常運行和平臺的安全[3]。鑒于安全儀表系統(tǒng)的重要性，探討其設(shè)計流程及相關(guān)注意事項具有重要的現(xiàn)實意義。

1 安全儀表系統(tǒng)范圍

安全儀表系統(tǒng)包括傳感器、輸入電路、邏輯控制器、輸出電路、終端元件以及與其他系統(tǒng)的接口電路等。它的作用是在出現(xiàn)故障時，切斷危險源與系統(tǒng)的聯(lián)系，使工藝流程處于安全狀態(tài)。按測量參數(shù)分類，傳感器主要分壓力、溫度、流量、液位四種；輸入輸出信號主要包括模擬輸入(analog input，AI)、數(shù)字輸入(digital input,DI)、模擬輸出(analog output,AO)、數(shù)字輸出(digital output，DO)等；邏輯控制器大多采用PLC實現(xiàn)控制功能；而終端元件包括關(guān)斷閥、電磁閥、電機和泵等。

2 安全儀表系統(tǒng)設(shè)計流程

安全儀表系統(tǒng)的設(shè)計流程通常也稱為安全生命周期,即從開始、概念過程到該系統(tǒng)停止工作為止。安全儀表系統(tǒng)設(shè)計流程如圖1所示。

圖1 安全儀表系統(tǒng)設(shè)計流程圖

2.1 概念過程

概念過程是對受控設(shè)備(equipment under control，EUC)及環(huán)境情況有全面的認(rèn)識，從而保證整個安全生命周期的順利進行。它要求確定危險源和危險種類(如有毒性、易燃、腐蝕等)，收集設(shè)計需要的相關(guān)規(guī)范；另外還需要注意鄰近受控設(shè)備由于相互關(guān)聯(lián)而可能導(dǎo)致的危險。

2.2 總體范圍定義

總體范圍定義一方面包括受控設(shè)備和安全控制系統(tǒng)的界定，另一方面包括危險性和風(fēng)險性的分析。受控設(shè)備指根據(jù)生產(chǎn)過程的要求而需要進行參數(shù)控制的設(shè)備?？刂葡到y(tǒng)則包括從傳感器到執(zhí)行器的整個回路，它保證了控制功能的具體實現(xiàn)。危險性和風(fēng)險性的分析，既要考慮外部因素和子系統(tǒng)的工作狀況對系統(tǒng)的影響，又要考慮偶然性故障因素。

2.3 應(yīng)用非SIS保護

在實際生產(chǎn)中，工藝流程往往比較復(fù)雜，控制要求也很高，所以SIS的應(yīng)用是大勢所趨。

2.4 定義安全完整性等級

在確定需要采用SIS以后，必須先定義目標(biāo)系統(tǒng)的安全完整性等級(security integrity level，SIL)。儀表設(shè)備及系統(tǒng)的設(shè)計必須滿足安全完整性等級的要求。

2.4.1 期望故障率

期望故障率(probability of failure on demand，PFD)反映了正常情況下系統(tǒng)停止響應(yīng)的概率值。PFDavg是指系統(tǒng)在一定的時間間隔內(nèi)SIS的平均值。其通常采用以下公式計算：

PFDavg=∑PFDse+∑PFDls+∑PFDfe

(1)

式中：PFDse為傳感器和輸入接口電路的期望故障率；PFDls為邏輯控制器的期望故障率；PFDfe為執(zhí)行元件和輸出電路的期望故障率。

SIL與平均故障率關(guān)系如表1所示。

表1 SIL與平均故障率關(guān)系

在某安全系統(tǒng)中，∑PFDse=0.01、∑PFDls=0.02、∑PFDfe=0.01，那么平均故障率為：

PFDavg=0.01+0.02+0.01=0.04

(2)

根據(jù)表1 可知，該系統(tǒng)屬于SIL1。

2.4.2 確定SIL的具體操作

SIL的具體定義工作主要由專門的過程安全小組完成，參與人員包含直接負(fù)責(zé)設(shè)備操作和具有豐富維修經(jīng)驗的人員。小組人員還應(yīng)了解過程及設(shè)備操作的基本技術(shù)、設(shè)備或者復(fù)雜過程系統(tǒng)的工作原理。

2.4.3 安全完整性等級的確定方法

①安全保護層矩陣法。

基于對過程危險的定性理解，需要對后果危害及影響有一個定性的評估[4]。安全保護層矩陣法需要識別各種發(fā)生的事件及其潛在的后果。

②故障樹法。

故障樹是一種表示故障后果的邏輯圖表[5]。從傳感器故障等基本事件開始一直到頂級事件故障或事故，都被列在圖表上。

③改進HAZOP法。

改進HAZOP法的本質(zhì)是對工藝圖紙和操作規(guī)程進行分析[6]。它包括了對后果的嚴(yán)重性、發(fā)生的可能性以及其他相關(guān)風(fēng)險因素的考慮。從有效性方面評估降低風(fēng)險的建議。基于這些評估過程，過程安全小組決定是否采用這些推薦意見，或者決定現(xiàn)在的風(fēng)險控制措施是否足夠。

2.5 編制安全要求說明書

安全要求說明書由安全功能要求和安全完整性要求兩部分組成[7]。安全功能包括定義已確定事件的過程安全狀態(tài)、SIS輸入及動作設(shè)定點、SIS的輸出及作用和復(fù)位功能等許多方面[8]。安全完整性要求包括安全系統(tǒng)的SIL等級及其診斷、維修、試驗和可靠性方面的要求。

2.6 概念設(shè)計與詳細(xì)設(shè)計

概念設(shè)計是根據(jù)安全要求說明書，對SIS的理論設(shè)計進行驗證，以保證其滿足安全要求規(guī)格書[9]。詳細(xì)設(shè)計是整個設(shè)計過程的重要環(huán)節(jié)。設(shè)計不僅要考慮滿足安全完整性等級要求、SIS動作前后的狀態(tài)和手自動復(fù)位等方面，還要考慮環(huán)境和危險區(qū)域劃分對安全儀表系統(tǒng)的影響等。

2.6.1 傳感器要求

傳感器主要負(fù)責(zé)工藝參數(shù)的檢測。傳感器的工作穩(wěn)定性直接決定了整個控制回路的質(zhì)量。

在一些設(shè)計中，基礎(chǔ)過程控制系統(tǒng)(basic process control system，BPCS)通常與SIS共用一個傳感器。對于要求不高的場合，如SIL1時，其平均故障率范圍為10-1～10-2，故共用傳感器的做法是合適的。但是對于等級要求較高的場合，如SIL2 時，BPCS與SIS都應(yīng)該設(shè)置單獨的傳感器。如果采用公用傳感器，一旦傳感器在過程控制系統(tǒng)的設(shè)定點以下范圍失效，而此時實際控制參數(shù)已經(jīng)超過設(shè)定值，出現(xiàn)的情況可能是BPCS系統(tǒng)根據(jù)檢測元件故障前的值進行反方向的調(diào)節(jié)，這就加大了工藝參數(shù)與設(shè)定點的偏差；而SIS卻得不到控制參數(shù)超出或低于安全限的信號，這就導(dǎo)致了安全系統(tǒng)的動作失敗。因此，傳感器分離是必要的。對于SIL3，系統(tǒng)對傳感器提出了更高的要求，有時要求采用不同的傳感器，從而防止同一產(chǎn)品存在相同故障或隱患。

2.6.2 SIS執(zhí)行元件的要求

大多數(shù)系統(tǒng)的執(zhí)行功能是由關(guān)斷閥來實現(xiàn)的。對于SIL1，只要閥的平均故障率滿足安全等級要求，調(diào)節(jié)閥(帶電磁閥的)可同時應(yīng)用于過程控制系統(tǒng)和安全系統(tǒng)。需要明確的是，調(diào)節(jié)閥對安全系統(tǒng)的響應(yīng)不僅要快于控制系統(tǒng)，而且要具有足夠的優(yōu)先權(quán)，這樣才能保證安全方面的要求。對于SIL2和SIL3，調(diào)節(jié)閥(關(guān)斷閥)的分離就顯得非常重要。例如在某個工藝過程，BPCS和SIS共用調(diào)節(jié)閥。正常情況下，調(diào)節(jié)閥根據(jù)控制器的輸出對流量進行調(diào)節(jié)，安全系統(tǒng)在緊急情況下能夠?qū)崿F(xiàn)調(diào)節(jié)閥完全關(guān)閉，以保證后續(xù)工藝過程的安全。極端情況下，當(dāng)調(diào)節(jié)閥在開的狀態(tài)時發(fā)生故障，例如被卡住，而此時恰巧發(fā)生了危險，要求SIS關(guān)閉該調(diào)節(jié)閥，這就產(chǎn)生了矛盾。目前，海洋石油平臺通常采用調(diào)節(jié)閥與關(guān)斷閥(或放空閥)分離的方法。

在PY30-1項目中，安全完整性等級為3級。因此，在設(shè)計中對于同一參數(shù)的測量，控制系統(tǒng)與安全系統(tǒng)的傳感器采用了不同的分離設(shè)計。例如在燃料氣洗滌器的液位控制中，當(dāng)液位太高時，液體有可能被燃料氣從洗滌器的頂部帶走，對后續(xù)的工藝過程產(chǎn)生不利影響，因此設(shè)置了液位的高限報警。當(dāng)液位過低時，燃料氣會從洗滌器的底部進入壓力較低的火炬分液罐。為滿足工藝要求，采用了兩個液位傳感器。一個傳感器用于緊急停車(emergency shutdown device,ESD)系統(tǒng)。當(dāng)液位過高時，ESD系統(tǒng)發(fā)出信號使燃料氣入口管路的關(guān)斷閥動作，以防止液體溢流；當(dāng)液位過低時，ESD系統(tǒng)發(fā)出關(guān)斷信號至火炬分液罐管線上的關(guān)斷閥，防止氣體進入火炬分液罐。另一個傳感器用于過程控制系統(tǒng)，傳感器信號進入分布式控制系統(tǒng)(distributed control system，DCS)，控制器根據(jù)設(shè)定液位，在偏差運算后，輸出調(diào)節(jié)信號至調(diào)節(jié)閥，以此來控制液位高度。即使BPCS 系統(tǒng)的液位變送器故障或調(diào)節(jié)閥故障，ESD系統(tǒng)由于采用分離液位變送器和關(guān)斷閥，在緊急情況下能迅速關(guān)斷，從而保證系統(tǒng)安全。

2.6.3 SIS控制器的要求

邏輯控制器的內(nèi)部設(shè)計主要由廠商來完成。首先，應(yīng)了解邏輯控制器的有關(guān)接口設(shè)備和軟件等方面的情況，如輸入、輸出模塊，通信和公用軟件等。其次，廠商應(yīng)提供控制器的平均無故障時間(mean time to failure，MTTF)、隱性故障模式清單等。邏輯控制器負(fù)責(zé)信息的處理和動作指令的發(fā)出，它是SIS的關(guān)鍵環(huán)節(jié)；同時，由于它又是軟件和硬件的結(jié)合體，這就決定了邏輯控制器具有更高的故障率或更多的隱患。因此，對SIL1、SIL2和SIL3來說，安全系統(tǒng)和過程控制系統(tǒng)相互獨立是比較普遍的。為了進一步提高安全等級，經(jīng)常采用控制器的冗余設(shè)計。

2.6.4 輸入/輸出接口電路要求

輸入/輸出接口是聯(lián)系現(xiàn)場與控制器的橋梁，它們通過輸入/輸出模塊來實現(xiàn)數(shù)據(jù)的傳輸功能。通常情況下，輸入/輸出通道由廠商來完成其設(shè)計工作，能滿足不同的SIL等級要求，而且要得到第三方機構(gòu)認(rèn)證。

SIS的主要部分設(shè)計涉及冗余理論的應(yīng)用，而且冗余也在系統(tǒng)安全中扮演了十分重要的角色。下面將詳細(xì)介紹冗余的結(jié)構(gòu)形式及具體功能的實現(xiàn)。

2.6.5 冗余的幾種形式

表2列出了幾種常見的冗余形式。

表2 幾種常見的冗余形式

2.7 安全儀表系統(tǒng)的安裝和調(diào)試

根據(jù)詳細(xì)設(shè)計，對安全儀表系統(tǒng)進行安裝、調(diào)試和預(yù)啟動試驗，使其性能符合安全要求規(guī)格書。主要內(nèi)容包括檢查設(shè)備接線、動力源、安全設(shè)備設(shè)定點，關(guān)斷順序動作、旁通及復(fù)位，手動關(guān)斷流程以及相關(guān)文件的整理。

在這個過程中，需要設(shè)計人員的參與，以便協(xié)調(diào)設(shè)計與現(xiàn)場施工的銜接問題，保證系統(tǒng)的順利應(yīng)用。

2.8 安全儀表系統(tǒng)操作和維護

SIS投入使用后，操作人員經(jīng)過培訓(xùn)或通過對操作手冊的學(xué)習(xí)，進行安全儀表的操作和維護以及周期性的功能試驗等工作。當(dāng)SIS需要修改時，設(shè)計人員應(yīng)根據(jù)現(xiàn)場的要求，對SIS系統(tǒng)的概念過程或者其他環(huán)節(jié)進行分析和設(shè)計。

2.9 安全儀表系統(tǒng)的停運

在SIS失效或系統(tǒng)沒有安全要求的情況下，安全系統(tǒng)停運，但必須要評估停運SIS對相鄰操作單元和設(shè)備的影響。

3 結(jié)束語

目前，工藝過程對系統(tǒng)安全性能的要求不斷提高，這也對儀表的設(shè)計工作提出了更高的要求，而設(shè)計工作的優(yōu)劣直接影響生產(chǎn)能否安全、平穩(wěn)地運行。因此，在進行安全儀表設(shè)計時，設(shè)計人員應(yīng)以國際標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn)作為指導(dǎo)，不斷學(xué)習(xí)新的技術(shù)，優(yōu)化整體設(shè)計。同時，在進行儀表選型時，應(yīng)充分考慮后期維護和維修的成本，盡可能選取標(biāo)準(zhǔn)產(chǎn)品，減少項目的整體投資。

[1] 朱春麗,洪毅,丁傳暉.海洋石油平臺安全儀表系統(tǒng)安全完整性等級評估缺[J].化工自動化及儀表,2014,41(4):410-413.

[2] 聶炳林,張劍波,林波.海洋石油平臺自控儀表系統(tǒng)的安全設(shè)計[J].石油工程建設(shè),2003,29(3):23-24.

[3] 張雙亮,李慶濤.海洋石油平臺安全儀表系統(tǒng)的設(shè)計與應(yīng)用[J].自動化儀表,2011,32(9):83-86.

[4] 朱常龍,蔣軍成,袁雄軍.保護層分析方法探討[J].工業(yè)安全與環(huán)保,2013,39(11):39-41.

[5] 許榮,車建國,楊作賓,等.故障樹分析法及其在系統(tǒng)可靠性分析中的應(yīng)用[J].指揮控制與仿真,2010,32(1):112-115.

[6] 張艷輝,陳曉春.改進的HAZOP風(fēng)險評價方法[J].中國安全生產(chǎn)科學(xué)技術(shù),2011(7):174-178.

[7] 劉宇,王惠平.介紹海洋石油平臺安全儀表系統(tǒng)的功能安全評估技術(shù)方法[J].自動化應(yīng)用,2016(3):33-35.

[8] 沈?qū)W強,白焰.安全儀表系統(tǒng)的功能安全評估方法性能分析[J].化工自動化及儀表,2012,39(6):703-706.

[9] 李菲.海洋石油平臺安全儀表系統(tǒng)分析[J].工程技術(shù),2016(34):181.