岑 康，任國強(qiáng)，王政新，潘成軍，王泳龍，邵金鳳，李仁科，盧恩蒼

(1.西南石油大學(xué) 土木工程與測繪學(xué)院，四川 成都 610500； 2.四川川港燃?xì)庥邢挢?zé)任公司，四川 成都 610000；

3.重慶市渝川燃?xì)庥邢挢?zé)任公司，重慶 400021； 4.中國石油西南油氣田公司基建工程處，四川 成都 610051；5.成都華潤燃?xì)庠O(shè)計有限公司，四川 成都 610045)

0 引言

LNG是1種優(yōu)質(zhì)的車用燃料，具有高效、安全、潔凈、方便儲運(yùn)等優(yōu)點，近年來得到廣泛應(yīng)用[1-3]。作為車用LNG的主要供應(yīng)站點，LNG加氣站的建設(shè)也呈現(xiàn)出良好發(fā)展態(tài)勢。據(jù)統(tǒng)計，2011—2019年，我國建成的LNG加氣站從100余座增加到3 100余座[4]。其中，三級LNG加氣站最為常見。由于LNG加氣站內(nèi)的LNG屬于特別管控危險化學(xué)品[5]，且儲存量大，一旦發(fā)生LNG泄漏等緊急事件，極易造成災(zāi)難性后果[6-8]。為保證生產(chǎn)安全，LNG加氣站必須設(shè)置安全儀表系統(tǒng)(Safety Instrumented System，SIS)。當(dāng)站內(nèi)生產(chǎn)參數(shù)超出閾值，系統(tǒng)將迅速控制部分生產(chǎn)裝置或設(shè)備，使工藝系統(tǒng)恢復(fù)到安全狀態(tài)。

安全儀表系統(tǒng)由傳感器、邏輯控制器和執(zhí)行器組成。系統(tǒng)完成的安全儀表功能(Safety Instrumented Function，SIF)必須具備與工藝過程相適應(yīng)的可靠性水平，即安全完整性等級(Safety Integrity Level，SIL)。SIL評估包括SIF辨識、SIL定級和SIL驗證等工作[9-10]。在工藝過程的設(shè)計階段，SIL評估主要用于指導(dǎo)安全儀表功能設(shè)置、結(jié)構(gòu)設(shè)計以及設(shè)備選型等，以期以最小的投入獲得可靠的安全保證；而在運(yùn)營階段，SIL評估主要用于判斷現(xiàn)有安全儀表功能是否依然完備、安全儀表功能測試周期是否合理、SIL等級是否滿足風(fēng)險削減要求等。安全儀表系統(tǒng)SIL評估在石油化工行業(yè)已得到較為廣泛的應(yīng)用[11]，但LNG加氣站目前尚未引入，其安全儀表系統(tǒng)目前主要依據(jù)相關(guān)標(biāo)準(zhǔn)規(guī)范與經(jīng)驗進(jìn)行設(shè)計[12-15]。目前也鮮見關(guān)于LNG加氣站安全儀表系統(tǒng)功能完備性與可靠性評估方面的文獻(xiàn)報道。

針對上述問題，選取典型在役LNG加氣站開展SIL評估，分析安全儀表系統(tǒng)設(shè)置現(xiàn)狀及不足，以期為LNG加氣站安全儀表系統(tǒng)的設(shè)計與運(yùn)營管理提供依據(jù)。

1 研究對象

選取的3座在役LNG加氣站均為三級站，分別于2011年、2012年和2013年投運(yùn)，位于城市物流干道旁，周邊分布有民用、商業(yè)及工業(yè)建筑等，站場布置與周邊環(huán)境如圖1所示。3座LNG加氣站內(nèi)均設(shè)有1個60 m3的LNG儲罐、1套LNG潛液泵撬、1臺組合式氣化器和2～4臺加氣機(jī)，日銷售氣量約40～60 t。

圖1 3座LNG加氣站平面布置Fig.1 Plane layouts of three LNG fueling stations

2 SIL評估與問題分析

2.1 SIF辨識與SIL定級

SIF辨識與SIL定級是指辨識出為滿足風(fēng)險控制要求應(yīng)設(shè)置的安全儀表功能，同時確定其目標(biāo)SIL等級。目前SIF辨識與SIL定級常采用危險與可操作性分析(Hazard and Operability，HAZOP)與保護(hù)層分析(Layer of Protection Analysis，LOPA)相結(jié)合的方法[16]。

1)HAZOP分析方法

首先采用HAZOP分析方法，識別事故場景。根據(jù)LNG加氣站的管道儀表流程圖將其劃分為LNG卸車管線、潛液泵、儲罐等13個分析節(jié)點，采用壓力、溫度等6項工藝參數(shù)和偏高、偏低等7項引導(dǎo)詞的組合，辨識各節(jié)點中可能出現(xiàn)的所有偏差，分析每項偏差產(chǎn)生的原因及其對應(yīng)的后果。根據(jù)制定的適用于LNG加氣站的風(fēng)險矩陣與可接受風(fēng)險準(zhǔn)則，分析每項偏差的發(fā)生頻率等級，以及可能造成的人員傷亡、財產(chǎn)損失、環(huán)境影響和社會聲譽(yù)的后果嚴(yán)重性等級，確定其原始風(fēng)險等級[17]。辨識并分析已有防護(hù)措施的有效性，進(jìn)而確定已有防護(hù)措施減緩后的殘余風(fēng)險等級。針對殘余風(fēng)險等級仍在中風(fēng)險及以上的偏差項，提出可行的風(fēng)險削減措施建議，并進(jìn)一步開展LOPA分析。

2)LOPA分析方法

開展LOPA分析時，應(yīng)在假設(shè)各獨立保護(hù)層(Independent Protection Layer，IPL)失效的前提下，確定初始事件導(dǎo)致某一后果的發(fā)生頻率，如式(1)所示[18]：

(1)

若初始事件i導(dǎo)致后果C的發(fā)生頻率低于后果C的可容許事件頻率，則說明已有的保護(hù)措施可以滿足風(fēng)險控制要求，可不設(shè)置安全儀表功能。否則，應(yīng)給出可達(dá)到相應(yīng)風(fēng)險降低水平要求的安全儀表功能設(shè)置等建議。安全儀表功能提供的風(fēng)險降低因子(Risk Reduction Factor，RRF)如式(2)所示[10]：

(2)

根據(jù)低要求操作模式下RRF與安全儀表功能SIL等級的對應(yīng)關(guān)系，即可得到安全儀表功能的目標(biāo)SIL等級。RRF與SIL等級的對應(yīng)關(guān)系詳見表1。

表1 低要求操作模式下RRF對應(yīng)的SIL等級Table 1 SIL level corresponding to RRF in low demand operation mode

3)SIF辨識與SIL定級過程及結(jié)果

表2 A站LNG儲罐的部分HAZOP分析過程及結(jié)果Table 2 Partial HAZOP analysis process and results for LNG storage tank in LNG fueling station A

表3 基于HAZOP的LOPA分析結(jié)果Table 3 LOPA analysis results based on HAZOP

圖2 LNG儲罐超壓保護(hù)功能回路結(jié)構(gòu)Fig.2 Loop structure of overpressure protection function for LNG storage tank

3座LNG加氣站的SIF辨識與SIL定級結(jié)果，詳見表4～5。為滿足風(fēng)險控制要求，3座LNG加氣站均需設(shè)置15個安全儀表功能。但目前站內(nèi)已設(shè)置的安全儀表系統(tǒng)均不完善，存在功能缺失。這是因為目前LNG加氣站安全儀表系統(tǒng)主要依據(jù)相關(guān)標(biāo)準(zhǔn)規(guī)范和經(jīng)驗進(jìn)行設(shè)計。但相關(guān)標(biāo)準(zhǔn)規(guī)范中對安全儀表系統(tǒng)的規(guī)定并不全面，經(jīng)驗慣例又因人而異，造成安全儀表系統(tǒng)功能不全、設(shè)置混亂。由于不同LNG加氣站的站場等級、周邊環(huán)境、安全防護(hù)措施設(shè)置等存在差別，導(dǎo)致事故后果發(fā)生頻率、可容許事件頻率以及目標(biāo)SIL等級也有所差別。因此，建議在LNG加氣站的設(shè)計階段，應(yīng)綜合采用HAZOP與LOPA分析方法，確定滿足LNG加氣站風(fēng)險控制要求的安全儀表功能及其對應(yīng)的目標(biāo)SIL等級，以確保其完備性。

表4 安全儀表功能辨識結(jié)果Table 4 Identification results of SIFs

表5 安全儀表功能目標(biāo)SIL等級Table 5 Target SIL levels of SIFs

2.2 SIL驗證

1)SIL驗證方法

SIL驗證是從軟件安全完整性、硬件安全完整性和系統(tǒng)性安全完整性3個方面，綜合驗證安全儀表功能的可靠性。其中：軟件安全完整性和系統(tǒng)性安全完整性一般通過管理、流程、文檔等技術(shù)措施來定性評估；而硬件安全完整性包括結(jié)構(gòu)約束和隨機(jī)失效2個方面，分別通過計算安全失效分?jǐn)?shù)(Safe Failure Fraction，SFF)和要求時平均危險失效概率(Average Probability of DangerousFailures on Demand，PFDavg)進(jìn)行定量評價。其中，SFF計算公式如式(3)所示[9]：

(3)

式中：λSD為檢測到的安全失效率；λSU為未檢測到的安全失效率；λDD為檢測到的危險失效率；λDU為未檢測到的危險失效率。

PFDavg常采用Markov模型計算得到，如式(4)所示[9]：

(4)

式中：TI為設(shè)備組件功能測試周期，h；S0為狀態(tài)初始向量；Pi為狀態(tài)轉(zhuǎn)移矩陣；VD為危險失效向量。

根據(jù)安全儀表功能的冗余結(jié)構(gòu)確定設(shè)備組件的硬件故障裕度，通過文獻(xiàn)[9]中硬件故障裕度、SFF與SIL等級的對應(yīng)關(guān)系可確定安全儀表功能中各設(shè)備組件結(jié)構(gòu)約束所達(dá)到的SIL等級；而根據(jù)低要求操作模式下PFDavg與SIL等級的對應(yīng)關(guān)系，可確定安全儀表功能隨機(jī)失效所達(dá)到的SIL等級。其對應(yīng)的最低SIL等級即為安全儀表功能達(dá)到的實際SIL等級。再與對應(yīng)的目標(biāo)SIL等級進(jìn)行對比，即可確定其實際SIL等級是否滿足風(fēng)險控制要求。

2)SIL驗證過程及結(jié)果

仍以A站新增的儲罐超壓保護(hù)功能(SIF-07)為例，說明SIL驗證過程。SIF-07采用1oo1結(jié)構(gòu)，TI為8 760 h，其回路結(jié)構(gòu)詳見圖2。假設(shè)其設(shè)備組件均獲得功能安全認(rèn)證，相應(yīng)失效數(shù)據(jù)詳見表6[20]。傳感器和執(zhí)行器組件為A類，邏輯控制器組件為B類，硬件故障裕度均為0，則根據(jù)式(3)計算得到SIF-07各設(shè)備組件的SFF，其對應(yīng)的最低SIL等級為SIL1級。根據(jù)式(4)計算得到SIF-07各子系統(tǒng)的PFDavg以及總PFDavg，其對應(yīng)的SIL等級仍為SIL1級。因此，SIF-07達(dá)到的實際SIL等級為SIL1級，滿足表5中目標(biāo)SIL等級要求。SIF-07等級驗證結(jié)果詳見表7。

表6 設(shè)備組件失效數(shù)據(jù)Table 6 Failure data of equipment components

表7 SIF-07等級驗證結(jié)果Table 7 Grade verification results of SIF-07

然而，本文分析的3座LNG加氣站已有安全儀表系統(tǒng)中的傳感器和執(zhí)行器均未獲得功能安全認(rèn)證，缺乏相關(guān)失效數(shù)據(jù)，無法開展SIL定量驗證工作，其實際SIL等級是否達(dá)到表5中的目標(biāo)SIL等級，尚不可知。因此，建議在LNG加氣站安全儀表系統(tǒng)的設(shè)備選型階段，應(yīng)選用獲得功能安全認(rèn)證的設(shè)備組件。此外，國內(nèi)相關(guān)機(jī)構(gòu)應(yīng)開展設(shè)備組件失效數(shù)據(jù)的采集、統(tǒng)計和整理等工作，建立準(zhǔn)確、可靠、公開的設(shè)備組件失效數(shù)據(jù)庫，為安全儀表系統(tǒng)的定量評估提供基礎(chǔ)數(shù)據(jù)。

3 結(jié)論

1)目前國內(nèi)LNG加氣站安全儀表系統(tǒng)仍未引入SIL評估，3座三級LNG加氣站設(shè)置的安全儀表系統(tǒng)均不完善，安全功能存在缺失。由于缺少設(shè)備組件的失效數(shù)據(jù)，無法對已有的安全儀表功能開展SIL定量驗證。

2)為滿足風(fēng)險控制需求，3座三級LNG加氣站均需設(shè)置15個安全儀表功能。其中，“儀表風(fēng)壓力低低聯(lián)鎖全站停車”功能需達(dá)到SIL2等級，“站控室急停按鈕聯(lián)鎖全站停車”等14個安全儀表功能需達(dá)到SIL1等級。

3)建議相關(guān)部門完善LNG加氣站安全儀表系統(tǒng)的設(shè)計標(biāo)準(zhǔn)，并明確要求LNG加氣站應(yīng)開展安全儀表系統(tǒng)SIL評估。在LNG加氣站的設(shè)計階段，宜綜合采用HAZOP與LOPA分析方法，確定滿足LNG加氣站風(fēng)險控制要求的安全儀表功能及其目標(biāo)SIL等級。安全儀表系統(tǒng)應(yīng)選用獲得功能安全認(rèn)證的設(shè)備組件，同時在運(yùn)營階段定期開展SIL等級驗證，確保安全儀表系統(tǒng)始終處于可靠狀態(tài)。