刘斌，贾志伟，刘万斗，黄耀，高满仓，梁昌晶

(1.青海油田诚信服务公司，甘肃 敦煌 736202；2.青海油田钻采工艺研究院，甘肃 敦煌 736202；3.中国石油华北油田公司 第五采油厂，河北 辛集 052360；4.青海油田勘探开发研究院，甘肃 敦煌 736202；5.中国石油集团渤海钻探工程有限公司 井下作业分公司，河北 任丘 062552)

管道是天然气储运最为经济可靠的运输方式之一，其中输气站场是输气管道系统的重要组成部分，承担着调压、过滤、计量、清管、增压、越站等功能，自动化程度高，控制系统功能复杂，同时站内介质具有高温、高压、易燃、易爆特点，一旦发生事故，将对人员、财产、环境等造成严重破坏。因此，对输气站场进行完整性管理显得尤为重要[1-2]。目前，站场完整性管理的技术主要有基于风险的检验(RBI)、以可靠性为中心的维修(RCM)和安全仪表系统(SIS)安全完整性等级(SIL)评估技术[3]。其中，SIL的定级与验证直接关系到现有站场SIS设计是否合理，若SIL评估过高，会造成系统采用冗余结构或可靠性较高的硬件设备，产生不必要的资金浪费；反之，会造成联锁反应不足，产生一定的安全隐患。廖柯熹[4]、赵东风[5]、曹开华[6]、陈硕[7]等分别针对站场SIS，原油缓冲罐SIS，井口高压力保护系统和石脑油吸附分离装置进行SIL定级与验证，但均针对单一设备回路，鲜有对输气站场整体进行SIL分析的。在此，以某典型输气站场为例，采用危险与可操作分析(HAZOP)筛选风险等级较高的事故场景，并结合保护层分析(LOPA)进行SIL定级[8-9]，采用马尔科夫(Markov)链进行SIL验证，并提出提高站场完整性管理水平的具体措施。

1 SIL等级

IEC 61508按操作模式将SIL等级分为低、高要求，石油石化行业多采用低要求，即SIS进入安全状态的频率不大于1次/年，低要求操作模式下的SIL等级见表1所列。

表1 低要求时SIL等级

2 SIL定级

对安全仪表功能(SIF)进行评估包括SIL定级与验证两部分，前者采用HAZOP和LOPA分析相结合的方式获取。HAZOP和LOPA分析之间具有一定的相关性，其中经HAZOP分析得到的风险较高的事故场景是进行LOPA分析的基础；HAZOP分析得到的后果和事故严重程度，为LOPA分析中初始事件和使能事件发生的概率提供基础信息；HAZOP分析得到的现有措施，为LOPA分析中独立保护层的设置提供有效依据。将两者结合形成SIL定级方法，步骤如下：

1)明确分析的物流回路及范围，收集工艺管道仪表流程图、逻辑图等，确定参数和引导词，进行HAZOP偏差分析。

2)将分析结果放入风险矩阵中，将中高等级的偏差作为LOPA分析的基础。

3)将HAZOP分析后果作为事故场景，造成偏差的原因作为初始事件，识别除SIS之外的独立保护层，独立保护层应具有专一性、独立性、可靠性和可审核性的特点。

4)确定初始事件和独立保护层的失效概率，判断该偏差是否需要设置SIS，通过剩余风险与偏差的可容忍发生概率之间的比值，确定所需的SIL等级，定级流程如图1所示。

图1 SIL定级流程示意

其中，风险消减后初始事件发生的概率如式(1)所示：

(1)

(2)

根据计算得到的RRF并结合表1，即可确定SIL等级。

3 SIL验证

SIL验证是根据目前SIS配置进行结构性约束和部件安全可靠性计算，验证计算结果是否符合安全完整性要求。其中，结构性约束计算取决于安全失效分数和硬件故障裕度两个指标，部件安全可靠性计算取决于PFD指标。计算失效概率主要有可靠性框图、故障树、事故树、Markov链等方法，由于Markov链模型可同时求取多个可靠性参数，具有较好的灵活性，故在SIL验证中采用该模型。

首先确定模型的状态转移矩阵Q如式(3)所示：

(3)

式中：λ——失效率，指单位时间内失效次数与设备总数的比值；μ——维修率，指单位时间内设备维修次数与设备总数的比值。确定模型中各元件的初始状态为S(0)，如计算步长取1 h，则模型在t时刻的状态如式(4)所示：

S(t)=S(t-1)Q

(4)

该模型在使用的过程中进行了多种假设，如设备失效按照失效模式应遵循“浴盆”效应，但在进行SIL验证的过程中往往将失效率定为常数，会对结果造成一定偏差；共因失效模型采用β因子模型，未考虑冗余表决结构和自诊断的影响；维修模式为理想模式，认为所有的维修队伍均能修理好所有的故障，维修率为常数，但在实际工况中理想维修模式会使结果的危险性更大。在此，对β因子模型进行修正，采用多重β因子模型，引进与表决结构相关的参数修正β因子。针对失效率为非常数和维修模式为非理想的问题，将Markov链中融合D-S证据理论，根据Bel函数和pl函数分别确定Markov链的状态转移矩阵PBel,Ppl，再根据初始状态计算PFD。

4 实例验证

以某典型输气站为例，设计压力为6.5 MPa，设计输量为1×107m3/d，站内的设备有旋风分离器、压缩机、放空阀、紧急截断阀等，具有过滤除尘、分输、计量、调压、放空等多种工艺。通过分析将SIS划分为进站系统(保护进站区域和站场)、FAS系统(保护配电室和发电机房)和过滤系统(保护过滤器)等，对照系统节点定义引导词，采用偏差=参数+引导词，最终确定了10个风险诱因，通过HAZOP分析得到4个风险诱因为高风险，1个风险诱因为中风险，其余为低风险，其中进站系统的HAZOP分析记录见表2所列。

表2 进站系统HAZOP分析记录

随后，针对5个中高风险诱因进行LOPA分析，通过系统划分、受保护设备确定、SIF确定、SIF辨识等步骤，将其划分为7个SIF回路，其中设备均为连续运行，点火概率为1，人员暴露概率为0.5，人员伤亡概率为0.5，初始事件概率参照AQ/T 3054—2015《保护层分析(LOPA)方法应用导则》中附录E的数值[10]。根据HAZOP分析结果识别非SIS的独立保护层，数值参照GB/T 32857—2016《保护层分析(LOPA)应用指南》中表A.8进行选取[11]。

根据事故发展趋势，将可量化的风险指标分为人员伤亡、财产损失和环境污染，以SIF回路4上游压力高为例，人员伤亡参照ALARP原则，该站场平时巡检人员为2人，因此确定后果等级为3(一般事故，造成3人以下死亡)，可容忍概率为10-3；财产损失参照P-L曲线确定后果等级为4(事故后果不严重，设备损坏程度不超过50%，财产损失为财产总价值的10%)，可容忍概率为10-4；环境污染参照气体泄漏后造成的后果，只考虑恢复正常生产的恢复期，不考虑泄漏形式，确定后果定级为4，可容忍概率为10-4。综上所述，SIF回路4的事故后果等级定为4级，偏差的可容忍发生概率为10-4，SIF回路4的SIL定级分析见表3所列。依次类推，得到其余SIF回路的偏差可容忍发生概率。根据表3结果，SIF回路4的RRF为250，其SIL等级为2。同理，获得其余SIF回路的SIL等级，见表4所列。

表3 SIF回路4的SIL定级分析

表4 SIF回路的SIL等级

由表4可知，进站系统中有3个SIF回路为SIL2，一个SIF回路无等级要求；FAS中有一个SIF回路为SIL1，一个SIF回路无等级要求；过滤系统中SIF回路为SIL1。

同样，以SIF回路4为例，确定进站系统的逻辑关系，添加SIF回路，当上游来气压力过高时，压力传感器检测到压力信号，将信号送至逻辑控制器，逻辑控制器将指令下发至执行器，关断进口截断阀门，其传感器、逻辑控制器和执行器为串联关系，冗余表决结构均为“1oo1”。设置站场安全仪表系统功能检测周期为12个月，传感器、逻辑控制器和执行器的平均恢复时间为8 h，24 h，24 h，考虑到人为操作的最低失效概率为5%，则功能测试覆盖率取95%。最终，采用软件计算SIF回路4的PFD，见表5所列。考虑到中国SIL发展并不成熟，缺乏有效的历史失效数据，故保守选择SIL等级的上限值进行评价，SIF回路4验证后为SIL2，与其要求的SIL等级相同，满足要求。此外，分析各部分对全回路PFD共享分布的影响，如图2所示。其中执行器占的比例最大，其次为传感器和逻辑控制器，说明逻辑控制器对SIL等级验证的影响最小。同理，计算出其余SIF回路的验证结果，见表6所列。

表5 SIF回路4计算结果

图2 各元件对全回路PFD共享分布示意

表6 所有SIF回路验证结果

比较表4和表6可知，只有进站系统中的SIF回路1的验证与定级结果不符，需要改进。提高SIL等级的手段有：缩短功能检测周期、改变系统冗余表决结构和增加单个设备可靠性。针对SIF回路1，从以下几个方面进行改进：

1)将测试周期缩短为3个月，验证后传感器、逻辑控制器和执行器的SIL等级分别为2，3，2，总的SIL等级为2，满足要求。

2)将执行器的冗余配置从“1oo1”改为“1oo2”，验证后传感器、逻辑控制器和执行器的SIL等级分别为2，3，2，总的SIL等级为2，满足要求。

3)改进设备选型，选择失效概率更低的进、出站气液联动阀门，减小设备的PFD，提高SIL验证等级。

5 结束语

针对本次SIL评估，在对SIS的设备位号进行确认时，发现P&ID和现场实际设备标号均不一致，建议对所有相关图纸和现场的设备位号进行统一，以便于管理；针对SIS所建立的设备台账信息不全，建议进行完善；SIF涉及的阀门在现场均未进行标号，建议补充完善；本次SIL评估中SIF的可靠性数据均来自于通用数据库EXDIA SERH和SINTEF OREDA，建议补充相关数据，并在今后的工作中注意收集相关资料。