楊放 李國斌 魏廣鋒 王明東

中油國際管道有限公司

天然氣壓氣站的緊急停車系統(tǒng)（ESD）作為壓氣站最重要的儀表安全系統(tǒng)，在壓氣站發(fā)生天然氣大量泄漏、火災等異常情況時，可自動完成對整個站場的隔離和放空以及重要設備的緊急停車，實現(xiàn)對站場財產(chǎn)和人員的保護功能。對緊急停車系統(tǒng)進行安全完整性等級（SIL）驗證，通過可靠性的建模分析來計算各安全功能回路是否滿足安全要求，對不滿足SIL 要求的功能回路進行針對性的改進，提出風險降低措施，以此有效提升系統(tǒng)安全性，進一步保證壓氣站的安全。

根據(jù)我國石油行業(yè)標準SY/T 6966—2103《輸油氣管道工程安全儀表系統(tǒng)設計規(guī)范》[1]中對于天然氣分輸站各安全功能SIL 的要求，輸氣站場的SIL 應為2 級。根據(jù)一些國家或行業(yè)的規(guī)定或標準規(guī)范要求，應對在役安全儀表系統(tǒng)（SIS）進行安全審查。為了避免因設備老化、人員變動等因素對SIS 安全運行造成不利影響，需要對SIS 運行和相關聯(lián)的項目每3～5 年進行1 次SIL 周期性復審[2]。另外，通過開展SIL 工作，建立一套符合站場的SIL計算模型，對于開展持續(xù)的SIL 周期性驗證、在其他使用類似系統(tǒng)的站場推廣，以及設備的全生命周期管理很有意義。

1 SIL 驗證原理和方法

遵循國際電工委員會發(fā)布的電氣和電子部件行業(yè)標準IEC 61508《Functional safety of electrical/electronic/programmable electronic safety-related systems》[3]，評估SIL 有三個判據(jù)：結構約束（Architectural Constraints）、部件的安全可靠性（PFDavg）以及系統(tǒng)能力（SC）。前兩項為硬件的安全完整性內(nèi)容，最后一項為系統(tǒng)性安全完整性。目前國內(nèi)對在役安全儀表系統(tǒng)進行SIL 驗證，主要是分析計算硬件安全完整性[2]。圖1 是針對硬件所有的功能回路（SIF）進行SIL 驗證的一般過程，即先對每一個功能回路進行結構約束的計算，再進行安全可靠性的計算（失效概率PFD計算），判斷其是否滿足指定SIL 的要求[4]。

圖1 SIL 驗證步驟Fig.1 Steps of SIL verification

1.1 相關概念

安全儀表系統(tǒng)的失效模式依賴于每一個功能回路的失效模式，其分為安全失效和危險失效。如果該失效可以被設備的自診斷功能檢測到，稱作檢測到的安全/危險失效，否則稱作未檢測到的安全/危險失效。

（1）安全狀態(tài)。指達到安全目標時工藝過程所處的狀態(tài)。如ESD 設計，選擇失電狀態(tài)作為安全狀態(tài)。

（2）危險失效。指可能使安全儀表系統(tǒng)處于潛在的危險狀態(tài)或功能故障狀態(tài)的失效，即阻止進入安全狀態(tài)的失效。例如站場發(fā)生火災，放空閥門無法執(zhí)行放空操作，可能導致站內(nèi)爆炸的危險，該閥門（執(zhí)行元件）的失效即為危險失效。

（3）安全失效。指不會使安全儀表系統(tǒng)處于潛在的危險狀態(tài)或功能故障狀態(tài)的失效。在IEC 61508 中定義為，只要不屬于危險失效的都是安全失效。例如站場在危險條件未出現(xiàn)時，由于安全儀表的誤動作，將系統(tǒng)置于某種安全狀態(tài)（誤停車、放空閥門誤打開等）。該失效雖然保證了安全，但同樣會對輸氣站場帶來極大的損失，影響到正常的生產(chǎn)。

（4）共因失效。一個以上的裝置因為同樣的原因失效，將這種失效模式歸為共因失效。例如冗余系統(tǒng)，保證了系統(tǒng)的容錯能力，也增加了多個設備的共因失效可能性。

1.2 結構性約束計算

結構約束的安全完整性由安全失效分數(shù)(SFF)和硬件故障裕度(HFT)共同決定，如果一個系統(tǒng)是SILn級別，那么SFF 和HFT 都應滿足相應SIL要求。

1.2.1 安全失效分數(shù)(SFF)

硬件故障裕度N意味著N+1 個故障會導致全功能的喪失。安全失效分數(shù)(SFF)是指導致安全失效率和可檢測出的危險失效率的總和除以總硬件隨機失效率。安全失效分數(shù)是對危險故障預發(fā)能力的一個表量，一定程度上反映著系統(tǒng)的診斷能力，計算公式為

式中：λSD為檢測到的安全失效；λSU為未檢測到的安全失效；λDD為檢測到的危險失效；λDU為未檢測到的危險失效。

1.2.2 硬件故障裕度(HFT)

每個SIF 由觸發(fā)元件、執(zhí)行元件和邏輯控制單元組成。IEC 61511《Functional safty—Safety instrmented systems for the process industry sector》對 各組成的硬件裕度HFT 做出了要求[5]，如表1、表2所示。

對于觸發(fā)單元、執(zhí)行元件和非PE 邏輯控制單元來講，HFT一般情況應符合表2 要求，如果滿足以下幾個要求，可在表2 的基礎上減1：①裝置硬件的選擇是根據(jù)以往的使用情況決定的；②裝置只允許調(diào)整過程參數(shù)（如量程、上下限失效指示等）；③裝置過程參數(shù)的調(diào)整受到保護（如密碼、跳線等）；④功能的SIL 要求小于SIL4。

表1 PE 邏輯控制單元的最低硬件故障裕度Tab.1 Minimum hardware fault margin of PE logic control unit

表2 觸發(fā)單元、執(zhí)行元件和非PE 邏輯控制單元的最低硬件故障裕度Tab.2 Minimum hardware fault margin of trigger unit，actuator and non-PE logic control unit

在下列情況下，HFT應在表2 的基礎上加1：①占大多數(shù)的失效為危險失效；②危險失效不能被檢測出來。

1.3 部件的安全可靠性計算

開展部件的安全可靠性驗證，首先要確定安全儀表功能中各個元件的失效率，根據(jù)現(xiàn)有設備的結構對系統(tǒng)要求時平均失效概率進行定量計算，由結果判斷該SIF 是否能達到所需要的SIL 要求[6]。

1.3.1 失效率λ

失效率指瞬時失效概率，是單位時間內(nèi)失效的次數(shù)與設備總數(shù)的比值。因失效率服從指數(shù)分布，一般失效率λ為常數(shù)。失效率的單位是時間的倒數(shù)。

1.3.2 平均修復時間(MTTR)

平均修復時間也稱作平均恢復時間，是設備發(fā)生故障到重新正常工作的時間期望值，定義中包含檢測到失效發(fā)生所需的時間和發(fā)生并確定失效后維修所需的時間。

恢復率是單位時間內(nèi)的修復設備次數(shù)與設備總數(shù)的比值，通常用μ表示。維修概率密度為指數(shù)分布，維修率為常數(shù)的情況下，維修率等于MTTR的倒數(shù)，即

1.3.3 失效概率計算方法

常用的失效概率計算模型包括可靠性框圖（RBD）、故障樹（FTA）模型以及馬爾可夫（Markov）模型，本文使用常用的可靠性框圖進行計算。

可靠性框圖是用圖形的方式來表示系統(tǒng)內(nèi)部組件的串并聯(lián)關系，同時體現(xiàn)出表決方式的關系，對安全儀表系統(tǒng)的失效分布采用了指數(shù)模型[7]，由于建模簡單，做了各設備之間互斥的假設，并沒有考慮設備之間的相互影響[8-9]。IEC 64078 對該模型進行詳細說明。ESD 操作的要求頻率不大于1 a-1，屬于結構低要求，用平均失效概率PFDavg表征SIL，如表3 所示。

表3 低要求操作模式下目標失效量的安全完整性等級Tab.3 Safety integrity level of target failure in low requirement operation mode

常見的1oo1、2oo2、1oo2、1oo2D、2oo3 結構的可靠性框圖及低要求操作模式下PFDavg計算方法如下[10-11]：

（1）1oo1 結構可靠性框圖如圖2 所示。

圖2 1oo1 結構可靠性框圖Fig.2 1oo1 structural reliability block diagram

式中：tCE為概率值；λD=λDD+λDU；TI為功能測試周期，h。

（2）2oo2 結構可靠性框圖如圖3 所示。

圖3 2oo2 結構可靠性框圖Fig.3 2oo2 structural reliability block diagram

（3）1oo2 結構可靠性框圖如圖4 所示。

圖4 1oo2 結構可靠性框圖Fig.4 1oo2 structural reliability block diagram

式中：tCE為1oo2 結構中通道的等效平均停止工作時間，h；tGE為loo2 結構中表決組的等效平均停止工作時間，h；βD為具有共同原因的已被檢測到的失效分數(shù)；β為具有共同原因的沒有被檢測到的失效分數(shù)。

（4）1oo2D 結構可靠性框圖如圖5 所示。

圖5 1oo2D 結構可靠性框圖Fig.5 1oo2D structural reliability block diagram

式中：t′CE為loo2D 結構中通道的等效平均停止工作時間，h；t′GE為loo2D 結構中表決組的等效平均停止工作時間，h。

（5）2oo3 結構可靠性框圖如圖6 所示。

圖6 2oo3 結構可靠性框圖Fig.6 2oo3 structural reliability block diagram

2 SIL 驗證結果與討論

某壓氣站設置的獨立緊急停車系統(tǒng)包括傳感器、邏輯控制器、執(zhí)行器三部分。當傳感器探測到現(xiàn)場發(fā)生意外情況時，觸發(fā)緊急停車信號，并將信號傳入PLC 控制邏輯，經(jīng)過邏輯判斷，使相應的執(zhí)行器動作，達到阻止危險事件發(fā)生的目的。本文以最高等級的ESD 功能為例進行SIL 驗證。

2.1 SIL 驗證的假設

設備的可靠性數(shù)據(jù)可以從工業(yè)數(shù)據(jù)庫、生產(chǎn)商或第三方機構的FMEDA 分析、生產(chǎn)商現(xiàn)場失效研究、工廠失效記錄或其他途徑獲得。本文選取的可靠性參數(shù)依據(jù)如下：

（1）對于結構冗余的子系統(tǒng)，對傳感器、控制閥門部分的共因失效因子β值保守選取為1%～2%，作為共同原因故障導致危險發(fā)生的值[11]。

（2）根據(jù)現(xiàn)場實際，選取站場安全儀表功能測試周期(TI)為12 個月，能夠覆蓋關鍵功能，考慮到人為操作最低失效概率為0.01，所以功能測試覆蓋率(CTI)取99%。

（3）傳感器的平均修復時間取8 h，邏輯控制器取8 h，執(zhí)行器取12 h。設備服役時間為25 a。

設備的失效數(shù)據(jù)如表4 所示。

2.2 SIL 驗證過程

以SIF-1 為例，站場工作人員觸發(fā)ESD 手報時，觸發(fā)HS_0601 信號，傳入Honeywell SM 控制器內(nèi)，控制器發(fā)出命令，關斷進出站閥門ESDV1101、ESDV1201、ESDV1102、ESDV1202；打開緊急放空閥GHV7101、GHV8101、GHV8201、GHV8301；關斷調(diào)壓橇安全切斷閥ssv7109、ssv7209、ssv7309、ssv7310、ssv7409、ssv7410 及燃料氣閥門GHV7102；向所有壓縮機組發(fā)出泄壓停機；向所有燃氣發(fā)電機發(fā)出ESD 停機信號。圖7為該邏輯的簡單示意圖。

以下是SIF-1 SIL 驗證的過程：

2.2.1 結構性約束

首先考慮結構性約束是否滿足SIL2 級要求。SIF-1 內(nèi)的邏輯控制器SFF＞99%，且為冗余配置，滿足表1 的要求。而觸發(fā)元件和執(zhí)行元件滿足特殊條件，可在表2 基礎上減1，即可不需要冗余配置。說明SIF-1 的結構性約束滿足SIL2 級別要求。

表4 設備的失效數(shù)據(jù)Tab.4 Failure data of equipment

圖7 SIF-1 的邏輯圖Fig.7 Logic diagram of SIF-1

2.2.2 部件的安全可靠性計算

（1）傳感器部分指標參數(shù)及計算結果如表5、表6 所示。

那么SIF-1 要求的平均失效率為

查表3 確定SIF-1 的SIL 等級為1 級，不滿足設計的SIL2 級要求。

表5 傳感器部分的指標參數(shù)Tab.5 Parameters of sensor section

表6 傳感器部分的計算結果Tab.6 Calculation results of sensor section

（2）邏輯控制器部分指標參數(shù)及計算結果如表7、表8 所示。

表7 邏輯控制器部分的指標參數(shù)Tab.7 Parameters of logic controller section

表8 邏輯控制器部分的計算結果Tab.8 Calculation results of logic controller section

（3）執(zhí)行元件部分指標參數(shù)及計算結果見表9、表10。

各系統(tǒng)對全回路的PFDavg共享分布如圖8所示。

分析幾個安全儀表功能可知，盡管傳感器和邏輯控制器單個設備的SIL 達到了SIL2，但整個系統(tǒng)的等級是SIL1。通過圖8 可以看出，安全儀表的SIL 取決于安全完整性水平最低的執(zhí)行部件。對執(zhí)行部件進行分析，占比最大的執(zhí)行部件的PFDavg共享分布如圖9 所示。

表9 執(zhí)行元件部分的指標參數(shù)Tab.9 Parameters of actuator section

圖8 SIF-1 全回路的PFD 共享分布Fig.8 PFD shared distribution in SIF-1 loop

執(zhí)行部件內(nèi)占比最大的是1 組（37.45%）和2組（62.41%），主要是因為通用液壓球閥的PFD高造成的。主要有兩個原因：一是通用液壓球閥的失效率為1×10-6，明顯高于其他部件；第二個原因是在1 組內(nèi)3 個通用液壓球閥采用1oo1 的方式，在2 組內(nèi)5 個閥門也采用1oo1 方式，即在安全狀態(tài)下，1 組和2 組內(nèi)的所有閥門都須切斷，在沒有任何冗余配置的情況下，造成了PFD值的過高。這是不符合儀表功能SIL2 級要求的關鍵，因此，必須對這幾個安全儀表子系統(tǒng)進行改進。

表10 執(zhí)行元件部分的計算結果Tab.10 Calculation resurts of actuator section

圖9 執(zhí)行元件部分的PFD 共享分布Fig.9 PFD shared distribution of actuator section

2.3 改進措施討論

目前壓氣站ESD 功能涉及的進出站閥門和放空閥門均為1oo1 結構，一旦任何一個閥門失效，將影響整個ESD 功能的完成，無法將站場工藝導入安全狀態(tài)。此外，目前進出站閥門與SCADA 系統(tǒng)共用，肩負有正常的工藝調(diào)節(jié)功能，一旦失效，極易導致ESD 功能同時失效，無法實現(xiàn)有效截斷。

根據(jù)SIL 計算公式，從以下幾個方面進行有效改進[12-13]：

（1）改進執(zhí)行器的冗余配置。將進站閥門和放空閥門由1oo1 模式改為1oo2 模式，如圖10 所示。由于進站閥門安全狀態(tài)是關斷狀態(tài)，所以1oo2 模式采用圖10a 的方式；放空閥門的安全狀態(tài)是打開狀態(tài)，1oo2 模式采用圖10b 的方式。

采用1oo2 的冗余模式后，對執(zhí)行部件進行PFDavg計算，結果如表11 所示。改進后執(zhí)行元件部分的PFDavg提升為7.91×10-4，SIL 從1 級提升到3 級，滿足了整體SIL2 的要求。

（2）改進功能測試周期?？s短閥門的功能測試周 期，從1 a（8 760 h）減 小 為45 d（1 095 h）后，執(zhí)行部件整體的PFDavg值減小為9.06×10-3，SIL 提升為2 級。可考慮按照此要求修訂設備的測試和維護計劃，并開展相關工作。

圖10 閥門的冗余改進方式Fig.10 Redundancy improvement of valves

（3）改進設備選型。選擇失效概率更低的閥門，更換進出站閥門和放空閥門，能夠有效減小PFDavg值，提升SIL 等級。

3 結論

通過對某天然氣站場ESD 開展SIL 計算，確定該ESD 安全功能回路SIL 不滿足相關標準和設計要求，說明對天然氣站場開展SIL 驗證是非常有必要的。本文根據(jù)分析出的安全功能回路中不符合SIL要求的原因，提出采用改進執(zhí)行器的冗余配置、改進功能測試周期及改進設備選型三種方式，來有效提升安全儀表系統(tǒng)的安全性，為壓氣站下一步開展管理和技術提升提供了有效建議。

以下幾個問題需做進一步的探索：

（1）本文在評估過程中僅參考了一些國際通行的數(shù)據(jù)庫進行定量，各運行單位還沒有收集事故相關數(shù)據(jù)、設備運行參數(shù)的好的做法。如果可以將生產(chǎn)運行中的數(shù)據(jù)作為國際通用數(shù)據(jù)庫的補充和完善，那么驗證結果將更加準確，更加地符合現(xiàn)場實際情況。在如何甄別使用數(shù)據(jù)上，也需要進一步地開展研究和實踐。

表11 執(zhí)行元件部分的計算結果Tab.11 Calculation resalts of actuator section

（2）在計算方法的選擇上，多采用上文提到的IEC 61508 和IEC 61511，而實際安全回路更加復雜，如何選擇計算模型使計算結果更加準確值得進一步開展研究。此外，在計算軟件上，有些機構提出了更加全面和豐富的SIL 計算和評價方法，如在計算時考慮Mission Time 和Mantainance Capacity 對計算結果的影響，也值得探討。

（3）國內(nèi)的SIL 評價主要考慮硬件部分，而根據(jù)標準，如果一個系統(tǒng)達到SILn級別，應要求結構約束、部件的安全可靠性以及系統(tǒng)能力三者均達到n級。運行單位應更多地關注以下幾點：①軟件；②安全要求規(guī)格書（SRS）；③設計、安裝、使用、維護等遵循安全手冊；④質(zhì)量管理體系；⑤適時開展功能安全評估和審核；⑥人員的能力和培訓情況等。