林 斌，刘 赟

（711研究所，上海 201108）

0 引 言

海洋工程平台的生产运行环境恶劣，工况复杂，一旦发生安全事故，不但会造成人员和装备的重大损失，往往还会对海洋环境造成不可逆转的严重破坏，甚至对整个社会生活秩序和国民经济的正常运作产生负面影响。

海洋工程平台的应急关断系统是在平台生产装置或设备可能发生危险或若不采取紧急措施情况将继续恶化时及时响应，使平台生产运行进入一个预定义的安全停车工况的系统。该系统在海洋工程平台的安全控制和管理中起着举足轻重的作用。因此，有必要对该系统的安全完整性进行分析。

1 系统功能安全相关标准

近年来，国际电工委员会先后出台了 IEC61508安全相关系统标准、IEC61511流程工业部门标准、IEC62061机械部门标准和IEC61513核工业部门标准，逐步形成了功能安全标准的国际体系。根据IEC61508及IEC61511标准的相关定义[1,2]，应急关断系统是执行安全功能的安全相关系统。功能安全是安全相关系统的关键属性，指安全相关系统执行的安全功能本身的安全性，取决于安全功能的正确执行。安全完整性水平是指安全相关系统实现某种安全功能的能力大小。根据IEC61508标准，安全完整性是指安全相关系统在规定的时间内、规定的条件下，成功实现所需安全功能的概率，即安全功能能够被有效执行的能力。而安全完整性等级（Safety Integrity Level，SIL）则用于衡量这种能力的大小。SIL等级的确定或评估以风险作为度量标准。SIL等级根据“平均要求时失效”概率（Probability of Failure on Demand，PFDavg）的值分为四个离散的等级，即SIL1～SIL4。表1是在低要求操作模式下，SIL等级与PFDavg的对应关系。

表1 SIL与PFDavg对应关系

海洋工程平台在设计之时需要对各种可能的危险和过程风险进行系统安全分析，危险性分析报告中包括了关于过程风险的各种信息，以及已有的保护层和为了提高安全性需要增加的安全功能。再根据危险事件发生的频率和后果严重程度最终确定应急关断系统所需要达到的SIL等级[3]。

2 海洋工程平台应急关断系统

图1为我所设计制造的某海洋工程平台应急关断系统。由安全传感器、应急关断按钮、安全控制器、安全执行机构和上位操作站组成，要求安全完整性等级达到SIL3。该应急关断系统的输入信号分为手动关断按钮信号和温度、压力等安全传感器信号；安全执行机构主要是应急关断阀门。上位机操作员站和工程师站通过冗余的以太网通信监控应急关断系统的状态。

图1 应急关断系统组成

选用ROCKWELL公司的AADvance安全控制器，其CPU模块和I/O模块使用双重冗余结构，安全控制器获得德国TUV认证，达到SIL3。其模块组成和布置如图2所示。其中灰色底的模块参与安全功能。

每个I/O模块都有微处理器并提供通讯诊断功能，输出和输入通道有电子保护功能。各自独立的安全控制器从每条总线上接受这些输入信号并对这些信号进行表决，两个安全控制器中的每一个 CPU通过总线将逻辑状态结果送至输出子系统，输出模块对结果进行表决后输出至执行单元。

3 安全完整性评估与验证

在该应急关断系统中选取一个典型的安全回路进行安全完整性水平评估，验证其PFDavg能够达到设计要求。安全回路一般由传感器、逻辑控制器、最终执行设备组成。该安全回路中，对应有一套压力传感器、一套冗余的安全控制器和两个冗余的应急关断阀门。压力传感器送出两路故障安全信号给安全控制器，两个应急关断阀门为气开式，串联布置在管道上，任何一个阀门关闭，都可以关闭管道。

图2 安全控制器模块结构

现采用可靠性方块图对安全控制器的可靠性进行分析。安全控制器输入配置为 1oo2方式，处理器环节采用双冗余结构，开关量输出环节配置为两个冗余的输出，他们分别驱动两套应急关断阀门。3个环节之间使用1oo2表决机制传输信号。图3为该安全控制器的可靠性方块图。

假设该应急关断系统平均离线测试间隔为1a，平均修复时间为8h。表2是根据Rockwell公司的安全控制器手册[4]查询得到的在上述条件下CPU模块和IO模块的PFDavg。

图3 安全控制器可靠性方块图

表2 安全回路中各个元件的PFDavg

根据控制器结构，进一步计算得到由这些模块组成的安全控制器的PFDc[5]：

根据压力传感器和控制阀门选型的相关参数，可将安全回路的传感器、安全控制器和执行机构的PFDavg列表如表3所示。

表3 安全回路中各个元件的PFDavg

最终，该安全回路的PFDavg为：得出最终的PFDavg为6.75×10-4，该安全回路达到了SIL3的要求。

4 结 语

海上工程平台应急关断系统作为平台安全系统工程的组成部分，是确保平台安全生产的关键环节。特别是对其安全完整性等级的评估，使整个平台的安全水平有了量化的指标，从而使安全控制系统的设计更加科学和完善。整个系统的安全完整性水平，不仅取决于回路主要元件的安全完整性等级，还与整个回路的设计、安装、施工和维修密切相关。

[1] IEC61508. Functional Safety of Electrical/Electronic/Programmable Electronic Safety-Related Systems. International Electrotechnical Commission[S].

[2] IEC61511.Functional Safety-Safety Instrumented Systems for the Process Industry Sector. International Electrotechnical Commission[S].

[3] 李园园，陈国明. 海洋平台安全监测与控制系统安全完整性评估技术研究[D]. 北京：中国石油大学硕士论文，2011.

[4] Rockwell Automation. AADvance Controller PFHavgand PFDavgData[R].U.S.

[5] 包 蕾. 浅析平均要求失效率PFDavg计算[J]. 中国石油和化工，2010(12): 62-64.