在役平臺安全儀表系統(tǒng)的SIL驗證

張春娥，嚴雪蓮，周曉艷，唐 敏，彭 宇

(海洋石油工程股份有限公司，天津 300451)

1 概述

常規(guī)油田設(shè)計年限為20 a，經(jīng)過多年開發(fā)，這些油田逐漸接近設(shè)計壽命并進入超期服役階段。但是部分油田所在區(qū)塊仍有較大儲量，具有較高的開采價值，因此需要這些平臺繼續(xù)生產(chǎn)。由于油田設(shè)備設(shè)施已經(jīng)進入超期服役期，部分設(shè)備設(shè)施老化嚴重，已經(jīng)不能滿足安全生產(chǎn)的需要，因此對其狀態(tài)評估(結(jié)構(gòu)、設(shè)備、安全儀表系統(tǒng)等)是非常必要的，對于不滿足要求的系統(tǒng)進行升級改造。

對于達到設(shè)計期限后擬進入超期服役階段的平臺的儀表系統(tǒng)，為滿足安全生產(chǎn)的需要，對其狀態(tài)進行延壽評估是非常必要的。隨著社會對工業(yè)過程安全的日益重視，安全儀表系統(tǒng)逐漸被社會認可，并被廣泛使用在平臺生產(chǎn)裝置。國家安全監(jiān)管總局的安監(jiān)總管三(2014)116號文件，印發(fā)了《國家安全監(jiān)管總局關(guān)于加強化工安全儀表系統(tǒng)管理的指導(dǎo)意見》，其中明確要求要“積極推進在役安全儀表系統(tǒng)的評估工作”。因此，對于達到設(shè)計期限擬進入超期服役的在役平臺的安全儀表系統(tǒng)，應(yīng)在裝置全面開展過程危險分析的基礎(chǔ)上，對安全儀表系統(tǒng)進行全面評估和SIL驗證計算，以確保安全儀表系統(tǒng)滿足所需要的的風(fēng)險降低要求。

2 SIL驗證

當(dāng)SIL等級評估完畢以后，需針對現(xiàn)有流程進行SIL驗證計算。SIL驗證即對工藝流程中安全儀表系統(tǒng)的安全完整性等級進行定量計算，以判斷現(xiàn)有安全儀表系統(tǒng)的配置是否能夠達到SIL定級時要求的SIL等級，對未達到SIL等級的安全儀表系統(tǒng)進行改進或優(yōu)化測試，提高系統(tǒng)的安全完整性等級，以確保工藝流程平穩(wěn)運行。

2.1 SIL驗證流程

(1)建立驗證標準和準則；

(2)確定結(jié)構(gòu)約束的SIL等級；

(3)確定隨機失效的SIL等級；

(4)SIL等級比較研究及修改。

2.2 建立SIL驗證的標準和準則

評判一個SIF所能達到的SIL，一是根據(jù)IEC61508/61511規(guī)定，評判其結(jié)構(gòu)約束安全完整性(SILac)。二是計算其要求時的平均失效概率，依據(jù)標準，判定隨機硬件完全完整性(SILpfd)；這也是國際上對SIF進行SIL驗證的通常做法。圖1為SIL驗證準則選取示意圖。

圖1 SIL 驗證示意圖Fig.1 SIL verification diagram

(1)結(jié)構(gòu)約束安全完整性(SILac)判定標準。

A類子系統(tǒng)的結(jié)構(gòu)約束安全完整性所能聲明的最高SILac見表1和表2。

表1 可編程電子(PE)邏輯控制器的最低硬件故障裕度Tab.1 Minimum hardware fault tolerance of programmable electronic logic controller

表2 傳感器、最終元件和非可編程電子(PE)邏輯控制器的最低硬件故障裕度Tab.2 Minimum hardware fault tolerance of Sensors, final components and non programmable electronic logic controllers

(2)隨機硬件安全完整性(SILpfd)判定標準。

隨機硬件安全完整性所能聲明的最高SILpfd見表3。

(3)確定結(jié)構(gòu)約束SIL等級。

查找安全回路中包含的傳感器、邏輯控制器、最終元件等器件相關(guān)的型號、規(guī)格，根據(jù)現(xiàn)場安全儀表系統(tǒng)的使用，運行及維護記錄等情況并綜合國際上可信數(shù)據(jù)庫確定各器件檢測到的危險失效率(λDD)、未檢測到的危險失效率(λDU)、檢測到的安全失效率(λSD)以及未檢測到的安全失效率(λSU)。計算出安全分數(shù)(SFF)、硬件故障裕度(HFT)，由表1和表2確定結(jié)構(gòu)約束安全完整性等級(SILac)。

表3 安全完整性等級Tab.3 Safety integrity level

(4)確定隨機硬件安全完整性SIL等級。

查找安全回路中包含的傳感器、邏輯控制器、最終元件等器件相關(guān)的型號、規(guī)格，根據(jù)現(xiàn)場安全儀表系統(tǒng)的使用，運行及維護記錄等情況并綜合國際上可信數(shù)據(jù)庫確定各器件檢測到的危險失效率(λDD)、未檢測到的危險失效率(λDU)、檢測到的安全失效率(λSD)以及未檢測到的安全失效率(λSU)。計算PFD值，確定隨機失效安全完整性等級SILpfd。

SIS的安全功能在要求時的平均失效概率是通過計算和組合提供安全功能的所有子系統(tǒng)在要求時的平均失效概率按式1計算得到的。傳感器、邏輯控制器、最終元件的要求時平均失效概率按其冗余表決結(jié)構(gòu)類型，由建模方法計算得到。建模方法主要有可靠性框圖、故障樹和馬爾科夫等幾種方法。根據(jù)PFDSIS由表3即可判斷SIS所對應(yīng)的SILpfd。

PFDSIS=PFDS+PFDL+PFDPE

(1)

式中:PFDSIS——SIS的安全功能在要求時的平均失效概率；PFDS——傳感器子系統(tǒng)要求時的平均失效概率；PFDL——邏輯控制器子系統(tǒng)要求時的平均失效概率；PFDFE——最終元件子系統(tǒng)要求時的平均失效概率。

(5)SIL等級對比及結(jié)論。

選取結(jié)構(gòu)約束的SIL等級、隨機失效的SIL等級兩者的最小值作為評估的SIF當(dāng)前能達到的SIL等級，與要求達到的SIL等級進行對比。

3 實例

以某海洋平臺生產(chǎn)分離器的液位高高為例進行分析。生產(chǎn)分離器為被保護設(shè)備。識別情景為生產(chǎn)分離器液位LT-2002高高引起液體竄到火炬系統(tǒng)，引起火雨、原油泄漏，造成環(huán)境污染和經(jīng)濟損失。根據(jù)SIL分析結(jié)果其SIL要求為SIL2。液位SIF回路的輸入輸出結(jié)構(gòu)見表4。

SIL驗證可靠性數(shù)據(jù)見表5。

根據(jù)可靠性數(shù)據(jù)以及IEC 61508中提供的可靠性框圖法分別結(jié)構(gòu)約束的SILac和隨機失效SILpfd，SILac計算見表6，SILpfd計算見表7。

表4 SIF回路的輸入輸出Tab.4 Input and output of SIF loop

表5 SIL驗證可靠性數(shù)據(jù)Tab.5 SIL verification reliability data

表6 各子系統(tǒng)結(jié)構(gòu)約束的SILTab.6 SIL of subsystem structure constraints

表7 隨機失效的SILTab.7 SIL with random failure

由表6和表7可知，液位回路硬件安全完整性結(jié)構(gòu)約束的SIL能力為SIL1，隨機失效的SIL能力為SIL1，因此整體回路目前能達到的SIL等級為SIL1，未達到要求的SIL2能力。

根據(jù)計算可知，影響安全功能回路SIL結(jié)果的主要原因是回路的硬件安全完整性結(jié)構(gòu)約束SIL不滿足，傳感器和執(zhí)行機構(gòu)制約了回路的結(jié)構(gòu)約束SIL能力。若要提高該SIF的SIL等級，必須對傳感器和執(zhí)行器同時做一定的改進。提高SIL等級主要有三方面措施：縮短功能測試周期、增加系統(tǒng)冗余配置與提高單個設(shè)備可靠性。提高單個設(shè)備可靠性不僅初期投資較大，后期維護成本也較高，通常不采用。通過分析，縮短功能測試周期并不能改變此安全儀表系統(tǒng)的結(jié)構(gòu)約束SILac；因此，首先增加傳感器和執(zhí)行機構(gòu)的冗余配置先提高硬件故障裕度，使結(jié)構(gòu)約束SILac滿足，再核算隨機失效PFDavg，若SILpfd不滿足，再縮短測試周期進一步分析。該項目調(diào)整措施見表8、表9。

表8 各子系統(tǒng)結(jié)構(gòu)約束的SILTab.8 SIL of subsystem structure constraints

表9 改進冗余配置后的隨機失效的SILTab.9 SIL with random failure after improved redundancy configuration

通過表8和表9可知，測試周期仍為1 a，將傳感器和執(zhí)行機構(gòu)配置改成1oo2可以使SIF等級提高到SIL2。

4 結(jié)束語

SIL等級驗證就是系統(tǒng)的結(jié)構(gòu)約束SILac和隨機失效SILpfd均要達到要求的SIL等級。對于在役平臺SIL等級驗證工作，若驗證出的SIL等級高于要求的SIL等級，分析計算結(jié)果，可以適當(dāng)增加檢驗測試周期；若驗證出的SIL等級低于要求的SIL等級，分析計算結(jié)果，找出限制SIL等級的原因進行調(diào)整，可以通過縮短功能測試周期、增加系統(tǒng)冗余配置與提高單個設(shè)備可靠性等一種方式或幾種方式結(jié)合運用使其達到要求的SIL等級。