林 斌，劉 赟

（711研究所，上海 201108）

0 引 言

海洋工程平臺(tái)的生產(chǎn)運(yùn)行環(huán)境惡劣，工況復(fù)雜，一旦發(fā)生安全事故，不但會(huì)造成人員和裝備的重大損失，往往還會(huì)對(duì)海洋環(huán)境造成不可逆轉(zhuǎn)的嚴(yán)重破壞，甚至對(duì)整個(gè)社會(huì)生活秩序和國民經(jīng)濟(jì)的正常運(yùn)作產(chǎn)生負(fù)面影響。

海洋工程平臺(tái)的應(yīng)急關(guān)斷系統(tǒng)是在平臺(tái)生產(chǎn)裝置或設(shè)備可能發(fā)生危險(xiǎn)或若不采取緊急措施情況將繼續(xù)惡化時(shí)及時(shí)響應(yīng)，使平臺(tái)生產(chǎn)運(yùn)行進(jìn)入一個(gè)預(yù)定義的安全停車工況的系統(tǒng)。該系統(tǒng)在海洋工程平臺(tái)的安全控制和管理中起著舉足輕重的作用。因此，有必要對(duì)該系統(tǒng)的安全完整性進(jìn)行分析。

1 系統(tǒng)功能安全相關(guān)標(biāo)準(zhǔn)

近年來，國際電工委員會(huì)先后出臺(tái)了 IEC61508安全相關(guān)系統(tǒng)標(biāo)準(zhǔn)、IEC61511流程工業(yè)部門標(biāo)準(zhǔn)、IEC62061機(jī)械部門標(biāo)準(zhǔn)和IEC61513核工業(yè)部門標(biāo)準(zhǔn)，逐步形成了功能安全標(biāo)準(zhǔn)的國際體系。根據(jù)IEC61508及IEC61511標(biāo)準(zhǔn)的相關(guān)定義[1,2]，應(yīng)急關(guān)斷系統(tǒng)是執(zhí)行安全功能的安全相關(guān)系統(tǒng)。功能安全是安全相關(guān)系統(tǒng)的關(guān)鍵屬性，指安全相關(guān)系統(tǒng)執(zhí)行的安全功能本身的安全性，取決于安全功能的正確執(zhí)行。安全完整性水平是指安全相關(guān)系統(tǒng)實(shí)現(xiàn)某種安全功能的能力大小。根據(jù)IEC61508標(biāo)準(zhǔn)，安全完整性是指安全相關(guān)系統(tǒng)在規(guī)定的時(shí)間內(nèi)、規(guī)定的條件下，成功實(shí)現(xiàn)所需安全功能的概率，即安全功能能夠被有效執(zhí)行的能力。而安全完整性等級(jí)（Safety Integrity Level，SIL）則用于衡量這種能力的大小。SIL等級(jí)的確定或評(píng)估以風(fēng)險(xiǎn)作為度量標(biāo)準(zhǔn)。SIL等級(jí)根據(jù)“平均要求時(shí)失效”概率（Probability of Failure on Demand，PFDavg）的值分為四個(gè)離散的等級(jí)，即SIL1～SIL4。表1是在低要求操作模式下，SIL等級(jí)與PFDavg的對(duì)應(yīng)關(guān)系。

表1 SIL與PFDavg對(duì)應(yīng)關(guān)系

海洋工程平臺(tái)在設(shè)計(jì)之時(shí)需要對(duì)各種可能的危險(xiǎn)和過程風(fēng)險(xiǎn)進(jìn)行系統(tǒng)安全分析，危險(xiǎn)性分析報(bào)告中包括了關(guān)于過程風(fēng)險(xiǎn)的各種信息，以及已有的保護(hù)層和為了提高安全性需要增加的安全功能。再根據(jù)危險(xiǎn)事件發(fā)生的頻率和后果嚴(yán)重程度最終確定應(yīng)急關(guān)斷系統(tǒng)所需要達(dá)到的SIL等級(jí)[3]。

2 海洋工程平臺(tái)應(yīng)急關(guān)斷系統(tǒng)

圖1為我所設(shè)計(jì)制造的某海洋工程平臺(tái)應(yīng)急關(guān)斷系統(tǒng)。由安全傳感器、應(yīng)急關(guān)斷按鈕、安全控制器、安全執(zhí)行機(jī)構(gòu)和上位操作站組成，要求安全完整性等級(jí)達(dá)到SIL3。該應(yīng)急關(guān)斷系統(tǒng)的輸入信號(hào)分為手動(dòng)關(guān)斷按鈕信號(hào)和溫度、壓力等安全傳感器信號(hào)；安全執(zhí)行機(jī)構(gòu)主要是應(yīng)急關(guān)斷閥門。上位機(jī)操作員站和工程師站通過冗余的以太網(wǎng)通信監(jiān)控應(yīng)急關(guān)斷系統(tǒng)的狀態(tài)。

圖1 應(yīng)急關(guān)斷系統(tǒng)組成

選用ROCKWELL公司的AADvance安全控制器，其CPU模塊和I/O模塊使用雙重冗余結(jié)構(gòu)，安全控制器獲得德國TUV認(rèn)證，達(dá)到SIL3。其模塊組成和布置如圖2所示。其中灰色底的模塊參與安全功能。

每個(gè)I/O模塊都有微處理器并提供通訊診斷功能，輸出和輸入通道有電子保護(hù)功能。各自獨(dú)立的安全控制器從每條總線上接受這些輸入信號(hào)并對(duì)這些信號(hào)進(jìn)行表決，兩個(gè)安全控制器中的每一個(gè) CPU通過總線將邏輯狀態(tài)結(jié)果送至輸出子系統(tǒng)，輸出模塊對(duì)結(jié)果進(jìn)行表決后輸出至執(zhí)行單元。

3 安全完整性評(píng)估與驗(yàn)證

在該應(yīng)急關(guān)斷系統(tǒng)中選取一個(gè)典型的安全回路進(jìn)行安全完整性水平評(píng)估，驗(yàn)證其PFDavg能夠達(dá)到設(shè)計(jì)要求。安全回路一般由傳感器、邏輯控制器、最終執(zhí)行設(shè)備組成。該安全回路中，對(duì)應(yīng)有一套壓力傳感器、一套冗余的安全控制器和兩個(gè)冗余的應(yīng)急關(guān)斷閥門。壓力傳感器送出兩路故障安全信號(hào)給安全控制器，兩個(gè)應(yīng)急關(guān)斷閥門為氣開式，串聯(lián)布置在管道上，任何一個(gè)閥門關(guān)閉，都可以關(guān)閉管道。

圖2 安全控制器模塊結(jié)構(gòu)

現(xiàn)采用可靠性方塊圖對(duì)安全控制器的可靠性進(jìn)行分析。安全控制器輸入配置為 1oo2方式，處理器環(huán)節(jié)采用雙冗余結(jié)構(gòu)，開關(guān)量輸出環(huán)節(jié)配置為兩個(gè)冗余的輸出，他們分別驅(qū)動(dòng)兩套應(yīng)急關(guān)斷閥門。3個(gè)環(huán)節(jié)之間使用1oo2表決機(jī)制傳輸信號(hào)。圖3為該安全控制器的可靠性方塊圖。

假設(shè)該應(yīng)急關(guān)斷系統(tǒng)平均離線測(cè)試間隔為1a，平均修復(fù)時(shí)間為8h。表2是根據(jù)Rockwell公司的安全控制器手冊(cè)[4]查詢得到的在上述條件下CPU模塊和IO模塊的PFDavg。

圖3 安全控制器可靠性方塊圖

表2 安全回路中各個(gè)元件的PFDavg

根據(jù)控制器結(jié)構(gòu)，進(jìn)一步計(jì)算得到由這些模塊組成的安全控制器的PFDc[5]：

根據(jù)壓力傳感器和控制閥門選型的相關(guān)參數(shù)，可將安全回路的傳感器、安全控制器和執(zhí)行機(jī)構(gòu)的PFDavg列表如表3所示。

表3 安全回路中各個(gè)元件的PFDavg

最終，該安全回路的PFDavg為：得出最終的PFDavg為6.75×10-4，該安全回路達(dá)到了SIL3的要求。

4 結(jié) 語

海上工程平臺(tái)應(yīng)急關(guān)斷系統(tǒng)作為平臺(tái)安全系統(tǒng)工程的組成部分，是確保平臺(tái)安全生產(chǎn)的關(guān)鍵環(huán)節(jié)。特別是對(duì)其安全完整性等級(jí)的評(píng)估，使整個(gè)平臺(tái)的安全水平有了量化的指標(biāo)，從而使安全控制系統(tǒng)的設(shè)計(jì)更加科學(xué)和完善。整個(gè)系統(tǒng)的安全完整性水平，不僅取決于回路主要元件的安全完整性等級(jí)，還與整個(gè)回路的設(shè)計(jì)、安裝、施工和維修密切相關(guān)。

[1] IEC61508. Functional Safety of Electrical/Electronic/Programmable Electronic Safety-Related Systems. International Electrotechnical Commission[S].

[2] IEC61511.Functional Safety-Safety Instrumented Systems for the Process Industry Sector. International Electrotechnical Commission[S].

[3] 李園園，陳國明. 海洋平臺(tái)安全監(jiān)測(cè)與控制系統(tǒng)安全完整性評(píng)估技術(shù)研究[D]. 北京：中國石油大學(xué)碩士論文，2011.

[4] Rockwell Automation. AADvance Controller PFHavgand PFDavgData[R].U.S.

[5] 包 蕾. 淺析平均要求失效率PFDavg計(jì)算[J]. 中國石油和化工，2010(12): 62-64.