李冬輝

大慶油田有限責(zé)任公司第二采油廠數(shù)字化運(yùn)維中心

隨著經(jīng)濟(jì)發(fā)展和科技進(jìn)步，油氣站場(chǎng)向著大型化、橇裝化和標(biāo)準(zhǔn)化的方向發(fā)展。站場(chǎng)內(nèi)涉及油氣等一系列易燃易爆介質(zhì)，一旦發(fā)生失效或誤操作，將會(huì)導(dǎo)致較為嚴(yán)重的后果。因此，保證工藝流程的安全性，保證裝置在失效或誤操作狀態(tài)下平穩(wěn)運(yùn)行尤為重要[1-2]。緊急停車系統(tǒng)、高完整性壓力保護(hù)系統(tǒng)、火災(zāi)報(bào)警及氣體檢測(cè)系統(tǒng)等統(tǒng)稱為安全儀表系統(tǒng)（SIS），SIS 是繼基本過程控制系統(tǒng)和關(guān)鍵報(bào)警系統(tǒng)之后的第一道保護(hù)措施，可以按照事先約定的邏輯運(yùn)算，將裝置復(fù)位至安全狀態(tài)。目前，油氣站場(chǎng)內(nèi)的關(guān)鍵工藝和物流均要求設(shè)置SIS 系統(tǒng)，需在全生命周期內(nèi)對(duì)SIS 系統(tǒng)進(jìn)行安全完整性等級(jí)（SIL）評(píng)估[3-5]。

鑒于SIS 系統(tǒng)屬于高可靠性系統(tǒng)，可用的歷史失效數(shù)據(jù)較少，在SIL評(píng)估中通常依賴評(píng)估者的經(jīng)驗(yàn)或國外相關(guān)數(shù)據(jù)，且傳統(tǒng)算法中涉及較多的模型簡化和參數(shù)假設(shè)，導(dǎo)致評(píng)估結(jié)果與現(xiàn)場(chǎng)差距較大[6-7]?；诖?，通過Monte Carlo模擬對(duì)風(fēng)險(xiǎn)圖法進(jìn)行改進(jìn)，完成SIL定級(jí)，利用有限差分法評(píng)估影響SIL 驗(yàn)證結(jié)果的參數(shù)，通過Monte Carlo 模擬建立不同冗余表決結(jié)構(gòu)下的SIL驗(yàn)證模型，形成貧數(shù)據(jù)條件下的油氣站場(chǎng)安全儀表系統(tǒng)SIL 等級(jí)評(píng)估方法，并進(jìn)行實(shí)例驗(yàn)證。研究結(jié)果可減少數(shù)據(jù)缺乏對(duì)SIL評(píng)估結(jié)果的影響。

1 SIL評(píng)估方法

1.1 安全完整性等級(jí)

IEC 61508 將SIS 系統(tǒng)的運(yùn)行模式分為低要求、高要求和連續(xù)要求等三種，低要求模式要求動(dòng)作頻率不大于1 a-1，高要求模式要求動(dòng)作頻率大于1 a-1，連續(xù)模式屬于正常運(yùn)行的一部分[8]。

SIL等級(jí)與要求時(shí)危險(xiǎn)失效平均概率PFD及每小時(shí)危險(xiǎn)失效概率PFH的關(guān)系見表1，公式如下：

表1 SIL與PFD、PFH 的關(guān)系Tab.1 Relationship among SIL and PFD and PFH

式中：PFDSYS和PFHSYS分別為系統(tǒng)的要求時(shí)危險(xiǎn)失效平均概率和每小時(shí)危險(xiǎn)失效概率；PFDS、PFDL和PFDFE分別為傳感器、邏輯控制器和執(zhí)行機(jī)構(gòu)的要求時(shí)危險(xiǎn)失效平均概率；PFHS、PFHL和PFHFE分別為傳感器、邏輯控制器和執(zhí)行機(jī)構(gòu)的每小時(shí)危險(xiǎn)失效概率。

在進(jìn)行SIL 評(píng)估時(shí)，設(shè)備失效數(shù)據(jù)是評(píng)估結(jié)果準(zhǔn)確與否的基礎(chǔ)。根據(jù)SIS 系統(tǒng)設(shè)計(jì)、安全、運(yùn)行和維護(hù)的全過程管理，數(shù)據(jù)主要來源于工業(yè)可靠性數(shù)據(jù)庫、行業(yè)標(biāo)準(zhǔn)、設(shè)備廠商數(shù)據(jù)、站場(chǎng)失效數(shù)據(jù)和影響因素及診斷分析數(shù)據(jù)等[9-10]。其中，常用的工業(yè)數(shù)據(jù)庫有挪威DNV 發(fā)布的OREDA（Off shore Reliability Data）數(shù)據(jù)庫、美國化學(xué)工程師協(xié)會(huì)化工過程安全中心數(shù)據(jù)庫、EXIDA公司的設(shè)備可靠性數(shù)據(jù)庫和挪威科技工業(yè)研究所（SINTEF）的安全儀表系統(tǒng)可靠性數(shù)據(jù)庫等。但這些數(shù)據(jù)均源于國外安全設(shè)備的失效數(shù)據(jù)，對(duì)于陸上油氣站場(chǎng)的適用性有待驗(yàn)證，且一般現(xiàn)場(chǎng)工程師要將數(shù)據(jù)降低1～2個(gè)等級(jí)后使用。鑒于目前國內(nèi)尚無安全儀表失效數(shù)據(jù)庫，且現(xiàn)場(chǎng)設(shè)備的劣化程度不一，需進(jìn)一步建立貧數(shù)據(jù)下的SIL評(píng)估方法。

1.2 SIL定級(jí)方法

IEC 61508 中將風(fēng)險(xiǎn)定義為事故后果嚴(yán)重程度和發(fā)生概率的綜合度量，考慮到LOPA分析中初始事件發(fā)生頻率、獨(dú)立保護(hù)層失效概率存在隨機(jī)性和不確定性，采用改進(jìn)風(fēng)險(xiǎn)圖法對(duì)安全儀表回路進(jìn)行SIL定級(jí)，公式如下：

式中：Ft為場(chǎng)景允許的后果發(fā)生頻率；Fnp為現(xiàn)有后果發(fā)生頻率；C為危險(xiǎn)事件后果參數(shù)；F為與暴露時(shí)間和頻率有關(guān)的參數(shù)；P為未能避開危險(xiǎn)事件的概率，即獨(dú)立保護(hù)層的失效概率；W為初始事件發(fā)生概率。

風(fēng)險(xiǎn)圖計(jì)算流程見圖1，圖中SILa表示無特殊安全需求，SILb 表示單一的安全儀表回路（SIF）無法滿足安全需求。風(fēng)險(xiǎn)參數(shù)的取值范圍見表2。

圖1 風(fēng)險(xiǎn)圖計(jì)算流程Fig.1 Calculation process of risk map

根據(jù)表2，各參數(shù)存在一定的浮動(dòng)范圍，鑒于表1 中SIL 等級(jí)相差一個(gè)數(shù)量級(jí)，故表2 中的數(shù)值取上限或下限對(duì)SIL定級(jí)結(jié)果影響較大。在此，對(duì)參數(shù)進(jìn)行模糊和不確定性處理，根據(jù)可靠性理論，定義各參數(shù)的上限和下限分布為a和b，則令T=(ab)0.5，F(xiàn)=(a/b)0.5，則x0=T，均值μ=lnx0，P=erf(lnF/)，方差σ=。其中，erf 為誤差函數(shù)，是高斯概率密度的積分；inverf為反誤差函數(shù)。根據(jù)上述運(yùn)算，確定參數(shù)服從正態(tài)對(duì)數(shù)分布的值logN(μ，σ)，在公式（3）-（4）上應(yīng)用Monte Carlo 模擬，得到SIL 的均值和置信區(qū)間，形成改進(jìn)風(fēng)險(xiǎn)圖法，完成SIL定級(jí)。

表2 風(fēng)險(xiǎn)參數(shù)取值范圍Tab.2 Value range of risk parameters

1.3 SIL驗(yàn)證方法

對(duì)于SIL 驗(yàn)證主要從硬件完整性和失效概率兩個(gè)方面衡量，在此重點(diǎn)考察失效概率。PFD和PFH的不確定性來源于模型和參數(shù)的不確定性，這與SIS 系統(tǒng)失效數(shù)據(jù)較少，對(duì)失效模式判斷失誤或?qū)τ绊憶Q策的敏感因素不確定等條件相關(guān)[11-12]。IEC 61508 中總結(jié)了不同冗余表決結(jié)構(gòu)下的失效概率計(jì)算方法，見表3、表4。表中，λDD為檢測(cè)出的危險(xiǎn)失效概率，h-1；λDU為未檢測(cè)出的危險(xiǎn)失效概率，h-1；λD為危險(xiǎn)失效概率，h-1，λD=λDD+λDU；tCE為通道等效平均停止時(shí)間，h；tGE為系統(tǒng)等效平均停止時(shí)間，h；TI為功能測(cè)試周期，h；MTTR為平均恢復(fù)時(shí)間，h；βD為檢測(cè)到的危險(xiǎn)故障共因失效系數(shù)；β為未檢測(cè)到的危險(xiǎn)故障共因失效系數(shù)。

根據(jù)表3和表4可知，SIL驗(yàn)證涉及的計(jì)算參數(shù)有λDD、λDU、βD、β等，在現(xiàn)場(chǎng)中很多儀表和設(shè)備沒有安全功能認(rèn)證證書，即無確定的失效參數(shù)，需引用OREDA 或PDS 等工業(yè)通用可靠性數(shù)據(jù)的失效數(shù)據(jù)，但由于參數(shù)與所評(píng)估的SIF回路缺乏關(guān)聯(lián)性，故SIL驗(yàn)證存在偏差。

表3 不同表決結(jié)構(gòu)PFD 計(jì)算公式Tab.3 PFD calculation formula for different voting structures

表4 不同表決結(jié)構(gòu)PFH 計(jì)算公式Tab.4 PFH calculation formula for different voting structures

SIL 驗(yàn)證流程如下：①確定目標(biāo)SIL 等級(jí)、回路結(jié)構(gòu)和失效模式，采用有限差分法對(duì)影響SIL驗(yàn)證結(jié)果的參數(shù)進(jìn)行敏感性分析，篩選影響程度較高的參數(shù)；②確定重要參數(shù)服從的概率分布函數(shù)，并在Matlab中采用超拉丁立方抽樣的方式形成隨機(jī)樣本；③根據(jù)表3、表4 定義預(yù)測(cè)公式，計(jì)算PFD 或PFH的均值和標(biāo)準(zhǔn)差，得到置信區(qū)間。

有限差分法公式如下：

式中：SY為失效量大于PSILx的失效概率累計(jì)值；PSILx為表1 中失效量的上限；SILx為SIL 定級(jí)的結(jié)果；fY(y)為輸出值的密度函數(shù)；Xi為輸入?yún)?shù)；為預(yù)測(cè)參數(shù)；M為重要度，M越大，表示參數(shù)對(duì)SIL驗(yàn)證結(jié)果的影響越大。

2 案例分析

三相分離器是進(jìn)行油、氣、水分離的重要設(shè)備，危險(xiǎn)性較大，當(dāng)氣相出口超壓時(shí)，會(huì)嚴(yán)重影響下游輕烴回收裝置的安全運(yùn)行，造成安全事故。為此，以某站場(chǎng)三相分離器超壓為例對(duì)三相分離器氣相超壓聯(lián)鎖工藝進(jìn)行分析。分離器進(jìn)料為油、氣、水三相混合，分離器分離后的污水經(jīng)泵送至水區(qū)處理，油相送至油氣區(qū)進(jìn)行沉降，氣相送至壓縮機(jī)前端增壓后外輸。當(dāng)BPCS 系統(tǒng)失效時(shí)，分離器氣相超壓，會(huì)造成壓縮機(jī)入口憋壓，烴類氣體釋放，導(dǎo)致火災(zāi)及爆炸事故發(fā)生。現(xiàn)對(duì)氣相物流設(shè)置超壓SIF回路，動(dòng)作為關(guān)閉壓縮機(jī)入口閥門V1，打開放空閥V2，同時(shí)設(shè)置安全閥和爆破片作為獨(dú)立保護(hù)層。PID流程見圖2。

圖2 分離器PID流程圖Fig.2 PID flow chart of separator

2.1 SIL定級(jí)

設(shè)BPCS系統(tǒng)失效概率為0.1，安全閥和爆破片串聯(lián)使用時(shí)的失效概率為0.1，點(diǎn)火概率、人員暴露概率和人員傷亡概率分別為0.2、0.5、0.5，則根據(jù)LOPA 分析模型，該場(chǎng)景下的后果發(fā)生頻率為0.1×0.1×0.2×0.5×0.5=5×10-4。規(guī)定允許的后果發(fā)生頻率為10-5，則SIL定級(jí)為1。

同理，根據(jù)公式（3）、公式（4），按照?qǐng)D1采用傳統(tǒng)風(fēng)險(xiǎn)圖進(jìn)行SIL 定級(jí)，F(xiàn)np=CC·FB·PB·W2，則SIL定級(jí)為3。

根據(jù)SIL定級(jí)的方法對(duì)參數(shù)CC、FB、PB、W2的上、下限進(jìn)行模糊和不確定性處理，上下限見表2。得 到CC為 logN(-1.15，0.59)，F(xiàn)B為logN(-1.15，0.59)，PB為logN(-1.15，0.59)，W2為logN(-3.45，0.59)，位置參數(shù)統(tǒng)一取-5，利用Monte Carlo模擬進(jìn)行仿真計(jì)算，F(xiàn)np分布函數(shù)的直方圖見圖3，PFD分布函數(shù)直方圖見圖4，定級(jí)結(jié)果見表5。由表5可知，該場(chǎng)景未考慮SIS系統(tǒng)保護(hù)下的Fnp均值為2.51×10-4，在允許的后果發(fā)生頻率為10-5的條件下，SIL 定級(jí)結(jié)果為2。由直方圖可知，SIL1 區(qū)域占比50%，SIL2 區(qū)域占比44.5%，SIL3 區(qū)域占比5.5%，且均值和中間值位于SIL2 區(qū)域，因此建議該SIF回路的SIL等級(jí)為2。

表5 SIL定級(jí)結(jié)果Tab.5 SIL grading results

圖3 Fnp 分布函數(shù)的直方圖Fig.3 Histogram of Fnp distribution function

圖4 PFD 分布函數(shù)的直方圖Fig.4 Histogram of PFD distribution function

與LOPA 分析和傳統(tǒng)風(fēng)險(xiǎn)圖計(jì)算結(jié)果相比，LOPA 分析的計(jì)算結(jié)果過于樂觀，一般對(duì)于超壓保護(hù)這類SIF回路，其SIL等級(jí)通常在1以上，可能是由于LOPA分析對(duì)于使能條件和修正因子的取值不恰當(dāng)，且安全閥和爆破片的失效概率也與管道是否堵塞、是否進(jìn)行吹掃有關(guān)；傳統(tǒng)風(fēng)險(xiǎn)圖的計(jì)算結(jié)果過于保守，這是由于該方法將暴露時(shí)間和頻率合并成一個(gè)F參數(shù)考慮，相當(dāng)于取風(fēng)險(xiǎn)值的下限進(jìn)行計(jì)算，造成結(jié)果偏差較大。

2.2 SIL驗(yàn)證

IEC 61508 中規(guī)定了部分參數(shù)的取值范圍（表6）。對(duì)表中參數(shù)進(jìn)行不確定性處理，假設(shè)分別存在50%的危險(xiǎn)失效和安全失效，得到λDD為logN(-13.01，1.59)，λDU為logN(-13.01，1.59)，βD為logN(-3.45，0.59)，β為logN(-2.76，0.59)，MTTR為logN(2.62，0.46)，TI為logN(14.67，0.62)，以表3、表4 中公式為基礎(chǔ)，采用有限差分法進(jìn)行敏感性分析，結(jié)果見圖5。其中，1oo1和2oo2公式中未涉及βD和β，故這兩個(gè)參數(shù)的重要度為0?？梢姛o論是低要求模式還是高要求模式，λDD和λDU的重要度最高，即危險(xiǎn)失效概率λD對(duì)SIL 驗(yàn)證結(jié)果的影響最大，其次為β。

圖5 參數(shù)敏感性分析Fig.5 Parameter sensitivity analysis

表6 參數(shù)取值范圍Tab.6 Parameter value ranges

鑒于λD和β對(duì)SIL 驗(yàn)證結(jié)果的影響較大，以O(shè)REDA 數(shù)據(jù)庫為基礎(chǔ)，同時(shí)參考同類型設(shè)備的過往失效數(shù)據(jù)，系統(tǒng)指標(biāo)參數(shù)（表6），對(duì)分離超壓設(shè)置的SIF 回路進(jìn)行SIL 驗(yàn)證。傳感器為2oo3 結(jié)構(gòu)，λDD為logN(8，1.6)，βD為logN(0.03，2.5)；邏輯控制器為1oo2 結(jié)構(gòu)，λDD為logN(1.8，9)，βD為logN(0.04，2.5)；執(zhí)行機(jī)構(gòu)為1oo1 結(jié)構(gòu)，λDD為logN(2.2，9)，βD為logN(0.04，2.5)。其余參數(shù)按照表7 執(zhí)行，按照低要求模式計(jì)算三者的PFD，直方圖結(jié)果見圖6。

表7 SIS系統(tǒng)指標(biāo)參數(shù)Tab.7 SIS system indicator parameters

由圖6 可知，傳感器的PFD主要集中在(0.000 5，0.002)；邏輯控制器的PFD主要集中在(0.001 8，0.006)；執(zhí)行機(jī)構(gòu)的PFD主要集中在(0.000 1，0.001)；系統(tǒng)的PFD主要集中在(0.003，0.010)。Monte Carlo 模擬后的精確計(jì)算結(jié)果見表8，各元件的均值和中間值均落在95%的置信區(qū)間內(nèi)，說明有95%的仿真結(jié)果滿足要求。傳感器、邏輯控制器、執(zhí)行機(jī)構(gòu)的SIL 驗(yàn)證結(jié)果分別為2、2、3，系統(tǒng)的SIL等級(jí)為2，PFD均值為3.75×10-3，小于SIL定級(jí)中的PFD均值3.99×10-3，說明該SIF回路的SIL等級(jí)滿足需求，可在分離器超壓時(shí)提供足夠的保護(hù)機(jī)制。

圖6 SIL驗(yàn)證函數(shù)的直方圖Fig.6 Histogram of SIL validation function

表8 SIL驗(yàn)證結(jié)果Tab.8 SIL validation results

3 結(jié)論

（1）針對(duì)SIL 評(píng)估中數(shù)據(jù)缺失或不確定的情況，采用Monte Carlo 模擬分別對(duì)SIL 定級(jí)與驗(yàn)證進(jìn)行模型改進(jìn)，通過實(shí)例分析驗(yàn)證了評(píng)估結(jié)果的準(zhǔn)確性。與LOPA 分析和傳統(tǒng)風(fēng)險(xiǎn)圖的SIL 定級(jí)結(jié)果相比，基于改進(jìn)風(fēng)險(xiǎn)圖的結(jié)果更為準(zhǔn)確，可完成模糊條件下的SIL定級(jí)。

（2）基于有限差分法對(duì)影響SIL驗(yàn)證結(jié)果的參數(shù)進(jìn)行敏感性分析，得到λDD和λDU的重要度最高，其次為β，其余參數(shù)對(duì)SIL驗(yàn)證結(jié)果幾乎無影響。

（3）對(duì)于SIL 評(píng)估，除參數(shù)不確定外，模型、完整性、人因及環(huán)境的不確定性也會(huì)對(duì)SIL評(píng)估結(jié)果造成影響，應(yīng)對(duì)其進(jìn)一步研究，以保證安全儀表系統(tǒng)最大程度地發(fā)揮保護(hù)機(jī)制。