劉東輝，張國立，王鑫章，孫恪成，董海杰

（中海油能源發(fā)展股份有限公司采油服務(wù)分公司，天津 300450）

在生產(chǎn)過程中，安全系統(tǒng)可以在出現(xiàn)危險情況征兆的時候及時采取相應(yīng)措施，防止危險事件發(fā)生，避免潛在的危險對人身、設(shè)備、環(huán)境造成傷害，從而最大程度上減輕其后果造成的損失。在以石油、天然氣開采運輸、石油化工、發(fā)電和化工等為代表的過程工業(yè)領(lǐng)域，以安全保護和抑制減輕災(zāi)害為目的的安全儀表系統(tǒng)（SIS），現(xiàn)階段已廣泛應(yīng)用于各種工藝或設(shè)備防護場合。隨著自控技術(shù)和工業(yè)安全理念的深入人心，安全儀表系統(tǒng)已從傳統(tǒng)的過程控制概念中逐漸凸顯出來，與基本過程控制系統(tǒng)（如DCS）并駕齊驅(qū)，成為自控領(lǐng)域的一個重要分支。

當(dāng)前各大公司正在積極開展“資產(chǎn)完整性工作”。其實質(zhì)上就是針對不同屬性的設(shè)備采用不同的基于風(fēng)險分析的評價方法。而AIM中基于風(fēng)險評估方法主要有以下幾點。（1）基于風(fēng)險評估的設(shè)備檢驗RBI（Risk Base Inspection）。用于儲罐等設(shè)備與工藝管道的風(fēng)險檢測，以提高設(shè)備可靠性、降低設(shè)備的維修費用。（2）以可靠性為中心的維修RCM（Reliability Centered Maintenance）。用來確定動設(shè)備預(yù)防性維修需求、優(yōu)化維修制度的一種系統(tǒng)工程方法。以最小的維修和資源消耗為目標(biāo)來優(yōu)化系統(tǒng)的維修策略。（3）全完整性等級SIL。在一定時間、一定條件下，安全儀表系統(tǒng)能成功地執(zhí)行其安全功能的概率，其數(shù)值代表著安全儀表系統(tǒng)使過程風(fēng)險降低的數(shù)量級。

顯然SIL是資產(chǎn)完整性管理風(fēng)險評價體系中的一部分，對SIL的研究也是對AIM開展工作的支持。

1 SIL評估過程和結(jié)果分析

國內(nèi)外從事的SIL評估項目主要以會議為主，采用人工分析、記錄和整理，并編制評估報告，評估結(jié)果受參會人員的風(fēng)險評價能力影響較大。本文通過對海洋石油工業(yè)中FPSO安全儀表系統(tǒng)的SIL評估相關(guān)內(nèi)容，論述了SIL評估的一般方法，并對其結(jié)果進行了討論。

1.1 SIL的評估方法

對于不是專業(yè)研究安全儀表系統(tǒng)功能的技術(shù)人員來說，很難體會出SIL評估中的科學(xué)性和應(yīng)用價值。本文從關(guān)鍵步驟入手對SIL評估過程進行分析說明：SIL評估的總體思路是在不考慮現(xiàn)有SIS等防范措施的情況下，從人員傷亡、財產(chǎn)損失、環(huán)境影響和社會影響等角度分析受控設(shè)備（Equipment Under Control，EUC）可能產(chǎn)生的事故及事故的危害程度，確定其所需的SIL等級，然后再逐一分析現(xiàn)有的安全防護措施是否達到EUC所需的SIL等級，若不能，則需要提高現(xiàn)有SIS系統(tǒng)的SIL等級，以確保EUC能在可接受的風(fēng)險內(nèi)安全運行。

1.1.1 SIL的等級分配

由SIL等級分配評估流程（圖1）可以看出在選擇完EUC后，就要識別安全儀表功能（safety instrumented function，SIF）。以圖2為例可以看出如果壓力容器的壓力過高SIS就將關(guān)閉ESD閥。圖1中的初始風(fēng)險就是沒有SIS系統(tǒng)時，EUC可能產(chǎn)生的事故以及事故的危害程度。接著依據(jù)風(fēng)險可接受準(zhǔn)則來確定此SIF是否需要SIL等級。風(fēng)險矩陣和可接受準(zhǔn)則是在開始SIL分析之前，需根據(jù)公司現(xiàn)有的風(fēng)險標(biāo)準(zhǔn)建立，該矩陣和風(fēng)險準(zhǔn)則需與公司的風(fēng)險標(biāo)準(zhǔn)相一致。一般風(fēng)險矩陣和風(fēng)險準(zhǔn)則見表1和表2，依據(jù)表1確定了風(fēng)險的相應(yīng)的分數(shù)，對照表2就可以知道哪些風(fēng)險是可以接受的哪些風(fēng)險是不能接受的。需要說明的是在表2中P2的風(fēng)險區(qū)域，即按照適當(dāng)可行的低投資回報（ALARP）的原則確定的系統(tǒng)的可容忍風(fēng)險，這個指標(biāo)顯然是有很大彈性的。

表1 風(fēng)險矩陣和風(fēng)險可接受準(zhǔn)則

表2 風(fēng)險等級定義

圖2 容器中壓力控制回路

由圖1可知，如果初始風(fēng)險不滿足風(fēng)險可接受準(zhǔn)則，就要計算在安全儀表功能中的“獨立保護層”的要求時失效概率（Probability of Failure on Demand，PFD）。PFD在獨立保護層中的意義為：當(dāng)過程中發(fā)生了危險情況需要保護層執(zhí)行保護動作時，卻因失效而不能完成保護功能的概率。海洋石油工業(yè)中獨立保護層及其PFD值見表3。

表3 獨立保護層及其PFD值

圖1 SIL等級分配評估流程

顯然獨立的保護層會降低系統(tǒng)的初始風(fēng)險，如果這時EUC中的獨立的保護層使得系統(tǒng)發(fā)生風(fēng)險的概率達到了風(fēng)險可接受準(zhǔn)測的要求，那么說明該SIF不需要SIL等級，否則這時與風(fēng)險可接受準(zhǔn)則之間PFD的差距就要靠SIL等級來彌補。SIL的值代表了風(fēng)險降低的數(shù)量級，可以通過平均要求時失效概率（PFDavg）計算安全完整性水平。報告中給出SIL等級劃分見表4。

表4 SIL等級劃分

1.1.2 SIL的等級驗證

在對每一個SIF確定了SIL等級要求后，通過定量計算，以驗證安全儀表系統(tǒng)是否能達所需SIL等級要求，對滿足要求的進一步確定相應(yīng)的測試計劃，對不滿足要求的，則提出改進建議，并使用改進建議來重新進行驗算。流程如圖3所示。

SIL的驗證過程主要是計算SIF中各個部件的可靠性數(shù)據(jù)，然后選定一年為測試周期計算整個回路的PFD值。在圖3中如果第一次計算的PFD值不滿足SIL在上節(jié)中的等級要求時，其做法是縮短測試的周期然后再次計算?？s短測試周期然后重新計算顯然得到的PFD值要小一些，然而測試周期越小則測試越頻繁，這也會對企業(yè)帶來相應(yīng)的成本上升。功能測試周期對系統(tǒng)的整體性能有著重要的影響。定量的求出最優(yōu)功能測試頻率是可以實現(xiàn)的，同時也可以繪制出系統(tǒng)性能隨功能測試頻率變化的曲線，可以直觀的看出功能測試周期與風(fēng)險降低的關(guān)系。如參考文獻[7]給出的一個目標(biāo)性能指標(biāo)隨功能測試間隔變化的曲線的例子（圖4）。由圖4可以看出，在功能測試間隔為8個月的時候，其RRF的值最大，也就是說系統(tǒng)的PFD值最低，并不是典型值1年或者3年。

圖3 SIL等級驗證流程

圖4 測試間隔與風(fēng)險降低關(guān)系曲線

1.2 SIL評估結(jié)果分析與討論

以常見的FPSO單點SIL分析報告為例，其中根據(jù)SIL等級分配結(jié)果（表5）和SIL驗算的結(jié)果（表6），給出了建議。報告中根據(jù)SIL等級分配結(jié)果給出的建議為：（1）建議1號氣滑環(huán)的就地重油罐的溢流管線閥門鎖關(guān)。（2）建議在新增的1100 L的LRU罐上增加液位變送器并產(chǎn)生LAHH聯(lián)鎖，以減少誤動作率。（3）如果可燃氣探頭誤動作率較高，建議考慮SPM上2個可燃氣探頭同時給出關(guān)斷信號時，才啟動ESD；一個探測到只給出高高報警。

表5 部分SIL等級分配結(jié)果

表6 部分SIL計算結(jié)果

從第一條建議可知“就地重油罐的溢流管線閥門鎖關(guān)”是防止閥門改變其狀態(tài)的一種處理手段，往往這樣的處理是要結(jié)合現(xiàn)場經(jīng)驗的，同時按照閥門狀態(tài)計算其SIL等級也一定是滿足要求的。第二條和第三條建議是為了減少安全儀表系統(tǒng)誤報而采取的措施。報告中沒有對為什么要減少誤報和誤動作進行定量的計算說明，特別的建議（3）中說：“如果可燃氣探頭誤動作率較高，建議考慮……”顯然這樣的語言是不嚴謹?shù)?。在SIL分析中有一個與要求時失效概率PFD并列存在的概率就是安全失效概率（Probalility of Failing Safely，PFS）。PFS是指安全儀表功能失效造成過誤停車的概率。PFS通俗講就是危險條件還沒有出現(xiàn)時就將系統(tǒng)置于某種安全狀態(tài)的失效概率。人們不但希望安全儀表系統(tǒng)是安全的，而且也希望由安全儀表系統(tǒng)所造成的誤停車越低越好。報告沒有PFS的計算，只是依據(jù)常識2oo2的雙通道系統(tǒng)來降低可燃氣體探頭的誤動作率是缺乏依據(jù)的，報告中應(yīng)該加入PFS的定量計算的內(nèi)容，來判斷安全儀表系統(tǒng)的誤操作情況。

報告中根據(jù)SIL驗證計算結(jié)果建議如下：（1）建議M74-PT-4013每3個月測試一次，M74-SDV-410每月進行PST測試（部分行程測試），每年進行全行程測試，則M74-PALL401回路的SIL等級可滿足要求。（2）SPM系統(tǒng)中的其他安全儀表系統(tǒng)，包括變送器、PLC和SDV閥門，原則上須每年進行測試。

由表6可以看出除氣體外輸管線上的PALL回路計算不滿足要求外，其余均滿足達到或超過評估的SIL等級。其給出的改造建議就是增加測試的頻率，本文認為對M74-PT-401可以討論是否可以使用1oo2或者2oo2的雙通道結(jié)構(gòu)，這樣可以增大其相關(guān)安全儀表設(shè)備的測試周期，減少工作量和節(jié)省測試成本。

3 結(jié)束語

通過對常見的單點SIL分析報告的研究，在解釋其評估流程圖的同時提出了完善SIL評估過程的建議。

（1）按照適當(dāng)可行的低投資回報（ALARP）的原則確定的系統(tǒng)的可容忍風(fēng)險，應(yīng)給予量化計算，以行業(yè)經(jīng)驗或者計算最壞的情況，SIL等級是否滿足其要求的PFD。

（2）對于功能測試計劃計算求出最優(yōu)功能測試頻率，同時繪制出系統(tǒng)性能隨功能測試頻率變化的曲線，以便直觀地看出功能測試周期與風(fēng)險降低的關(guān)系。

（3）在進行PFD計算的同時也應(yīng)當(dāng)進行PFS的計算，進行SIS冗余設(shè)計的時候充分考慮誤停車帶來一些影響，避免由于誤停車而帶來的生產(chǎn)中斷的情況。

（4）在給出SIL評估建議時，應(yīng)該計算至少2種方案，比較給出最佳的SIS設(shè)計和改造方案。

通過對現(xiàn)場安全儀表設(shè)備失效數(shù)據(jù)的長時間的積累，形成SIS相關(guān)數(shù)據(jù)庫，同時還應(yīng)該不斷收集現(xiàn)場關(guān)于線路改造和事故原因的經(jīng)驗，這樣就能逐漸形成企業(yè)自己的SIS設(shè)計能力，做好“資產(chǎn)完整性工作”。