袁小军，鲁毅，郑士富

（1风控 （北京）工程技术有限公司IRC，北京100025；2广东大鹏液化天然气有限公司，广东 深圳510848）

引 言

广东大鹏LNG接收站作为中国最早投用的LNG接收站，在5年的高负荷运行后中新增并改造了部分设备及安全仪表功能回路 （safety instrumented functions，SIF），为确保接收站功能安全仪表系统 （safety instrumented system，SIS）的完整性以及高负荷生产的安全性对所有生产设施及管线场站进行了危险及可操作性 （hazard and operability study，HAZOP）分析，并在HAZOP分析的基础上进行了SIL定级及再验证 （SIL classification and re－validation）工作。本文以SIL再验证工作为例介绍SIL验算／再验证在在役装置中的应用，以及如何通过敏感性分析优化SIS系统配置与校验管理，满足企业风险可接受标准，最后总结并展望了实施SIL验算工作中的技术难点和未来的技术方向。

1 介绍

石油天然气及流程工业具有高风险、高投资、流程连续且复杂的行业特点。随着装置的大型化、复杂化，国内外灾难性事故仍然时有发生。由于全球信息网络化的进展，这些事故往往引起全球性的关注，对生产企业造成前所未有的巨大压力。

近年来，随着AQ／T 3034—2011 《化工企业工艺安全管理实施导则》为代表的一系列工艺安全管理［1］标准及相应技术规范的引入及发布，危险及可操作性分析 （HAZOP）等分析方法在国内得到推广和广泛接受，石油天然气及流程工业的整体安全水平不断提高。作为一种风险分析方法，HAZOP分析可以系统地梳理工艺流程中各种潜在的危害，并提出合理可行的风险消减／缓解措施，以期将企业／装置的风险降低到企业风险可接受标准［2］之内。但是HAZOP作为定性分析方法存在局限性，即当识别出后果严重性较大的风险时，HAZOP分析无法判断各类措施对风险的削减程度，也无法判断剩余风险与风险可接受标准间的差距，因此需要通过保护层 （LOPA）分析［3］或其他半定量／定量风险分析方法帮助企业进行风险决策。

当识别出的风险场景涉及安全仪表系统 （SIS）时，通过SIL定级分析 （layers of protection analysis，LOPA方法）来评估独立保护层在削减事件可能性或事件严重性时的有效性，以此来确定SIS系统的风险降低目标，即安全完整性等级（safety integrity level，SIL）。通过SIL验算，根据SIF回路中各组成部分的PFDavg（probability of failure on demand，要求时平均失效概率）计算回路整体的要求时失效概率，并充分考虑SIF回路的硬件结构约束特性，确认SIF回路能否达到所需的SIL等级要求［4］。

本文以广东大鹏LNG接收站运行5年后的SIL定级与再验证工作为例介绍SIL分析 （SIL定级及验算）在在役装置分析中的方法及技术难点，以及如何通过敏感性分析方法优化系统配置，满足企业风险可接受标准。

2 HAZOP分析与SIL定级

在SIL验算工作开展前，先行对接收站现有设施及改造部分进行了危险与可操作性分析（HAZOP）以及SIL定级分析 （LOPA方法）。HAZOP作为一种系统化、结构化的危害识别工具，已经广泛用于识别装置在设计和操作阶段的工艺危害。HAZOP分析由一组多专业背景的人员，以会议的形式，将装置划分为若干小的节点，使用一系列参数和引导词构建偏差，采用头脑风暴的方式对工艺过程中危险和可操作性的问题进行分析研究。

本次 分 析 SIL 定 级 采 用 LOPA 法［5］，在HAZOP分析完成后由同一小组继续进行分析。LOPA分析过程基于HAZOP分析的内容［6］，针对每个可置信初始事件确定其后果严重程度，并对初始事件的发生概率［7］、使能条件、修正因子［8］、独立保护层等进行分析。SIL定级分析涵盖了LNG接收站、管线及阀室和改造部分内所有的初始事件。应用PSMSuite®软件中的LOPA模块对初始事件概率、独立保护层削减概率等进行赋值计算，确定SIF回路的SIL等级，并与设计阶段的SIL定级结果 （图表法）进行了对比。

通过比较发现，对LNG行业来说，由于设计阶段对系统的安全性要求较高，绝大多数风险场景都有一个以上的风险减缓／消除措施。由于图表法自身的局限性［9］，对多个风险减缓／消除措施同时存在情况下的剩余风险评估不够准确，使用图表法分析得出的SIL等级相对保守，会导致过度设计，增加投资成本。因此，设计阶段及在役装置的SIL定级评估通常采用保护层LOPA分析方法。

表1 SIL等级Table 1 SIL Level

3 SIL验算方法概述

1998年，国际电工技术委员会 （IEC）针对自动化仪表产品开发应用提出了IEC 61508—1998［10］（GB 20438—2006《电气／电子／可编程电子安全相关系统的功能安全》）标准，2003年提出了IEC 61511—2003［11］（GB 21109—2007 《过程工业领域安全仪表系统的功能安全》）标准，对安全仪表系统 （SIS）的框架、定义、系统、硬件和软件，包括安全完整性等级 （SIL），提出了明确的要求。

根据IEC 61508标准规定，安全完整性等级（SIL）共分为4个等级 （SIL级别越高，完整性等级越高），并且涵盖了两种模式 （低需求模式及高需求模式）。低需求模式 （low demand mode）：由于工艺条件的变化 （如高液位、高压、高温或低温），并且达到一个指定的阈值，使得SIS联锁系统为了实现仪表安全功能而将工艺联锁至安全状态（如停车），而且这种SIS联锁系统动作需求的频率低于1年1次。高需求模式 （high demand mode）：SIS联锁系统动作需求的频率高于1年1次，或者在一个功能测试间隔中超过2次。对于流程工业中的紧急停车联锁 （emergency shutdown devices，ESD），考虑其需求频率，一般采用低需求模式进行分析。见表1。

3.1 安全仪表功能 （SIF）构成

SIF回路主要由以下部分构成：

· 检测单元 （传感器），用于指示操作条件是否超过设计允许范围的一个或一组设备 （如压力变送器）；

· 逻辑解算器 （控制器），用于SIS系统逻辑判断的电子电气或可编程设备 （PLC）；

· 执行单元 （执行器），用于干预流程削减风险的一个或一组设备 （如关断阀）。

安全仪表系统通常包括紧急停车系统 （ESD）、火焰燃烧管理系统 （burner management system，BMS）、高完整性压力保护系统 （high integrity pressure protection system，HIPPS）和火灾报警及可燃气检测系统 （fire and gas detection system，FGS）等。

3.2 验算方法选择

根据SIF系统的结构组成，对每一SIF回路的PFDavg（要求时平均失效概率）数值进行计算，并进一步审查硬件结构约束特性，以考察SIF是否能够达到IEC 61508／IEC 61511中对应SIL等级的可靠性的要求。PFDavg计算中需考虑失效率 （λ）、表决机制 （MooN）、检验测试覆盖率 （CTI）、检验测试间隔 （TI）、平均修复时间 （MTTR）、共因失效因子 （β）等因素［12］的影响。

目前普遍采用的SIL验算方法［13］主要包括以下几种：

·采用简化方程式确定安全仪表功能的SIL等级；

·采用故障树分析确定安全仪表功能的SIL等级；

·采用马尔可夫分析确定安全仪表功能的SIL等级。

其中马尔可夫模型 （Markov Model）具有计算精度高、顺序关联、动态反映、对设备之间依赖性影响小、考虑详细全面等优点，因此本次验算工作采用马尔可夫模型进行。

3.3 名词定义

3.3.1 操作模式 在以石化产业为代表的过程工业中，SIS系统通常用作基本过程控制系统 （basic process control system，BPCS）之外的独立保护层，如紧急停车系统 （ESD）。只有当BPCS的常规控制和操作员手动干预无效时才会产生对ESD系统的操作要求。如液位高报警时，通常BPCS的常规控制和操作员手动干预会通过关小进料阀和／或开大出料阀进行调整，如果调整无效，液位达到高高限 （操作要求），则会触发SIS系统发出联锁动作响应，关闭进料阀和／或打开出料阀。在SIS联锁动作中这种操作要求出现的频率非常低，在绝大部分运行时间内SIS是处于 “休眠”状态的。因此，可视其为低需求模式［14］。本次评估亦选定低需求模式。

3.3.2 PFDavg（要求时平均失效概率） 根据IEC标准，E／E／PE （电气／电子／可编程电子）安全相关系统的安全功能PFDavg［15］是通过计算和组合提供安全功能的所有子系统PFDavg确定的，它可以表示为：

·PFDSYS——E／E／PE安全相关系统的安全功能PFDavg；

·PFDS——传感器子系统PFDavg；

·PFDL——逻辑子系统PFDavg；

·PFDFE——最终元件子系统PFDavg。

3.4 分析流程

分析流程如图1所示。

3.5 敏感性分析

一个SIF回路的SIL等级是由SIF中3个单元（即传感器、逻辑处理器和执行机构）的PFD共同确定的。每个单元的PFD受以下参数影响和制约［16］：①失效率；②表决机制；③检验测试覆盖率；④检验测试间隔 （TI）；⑤平均修复时间（MTTR）；⑥共因失效因子 （β）等。

验算结果不满足SIL等级要求的SIF回路可以调整优化其中部分参数，例如缩短检验测试间隔（TI）［17］；完善测试方法，提高检验测试覆盖率；增加最终执行机构 （关断阀）的部分行程测试PST功能等；对SIF回路重新进行冗余配置；或选择高可靠性的硬件，并基于优化后的参数再次验算是否满足SIL定级的要求。

优化后的参数不仅可以指导SIF的设计，也将成为SIS系统未来运行中测试、校验、维护的依据。

3.6 分析软件

本次验算采用工艺安全管理软件PSMSuite®中的SIL验算模块 （安全完整性等级验算），基于马尔可夫模型。

软件的开发与应用符合：

·IEC 61508Functional Safety of Electrical／Electronic／Programmable Electronic Safety－related Systems；

·IEC 61511Functional Safety －Safety Instrumented Systems for the Process Industry Sector；

· 美国OSHA PSM 29CFR 1910.119。

4 分析结果

一般来说，对在役装置进行SIL验算，最为可靠也最能反映系统真实现状的方法是考虑使用装置运行阶段各元器件的失效、测试相关数据［18］用于分析。但是，在实际分析过程中，虽然企业自身的数据收集及记录已经相对较为完善，但由于失效数据样本数量不足，其标准差过大，不适宜直接使用［19］。虽然提取了测试程序、文件及相关记录，但是记录不完整。通过对数据的分析整理，参考部分国际通用数据库的数据，做出一系列假设，以保证分析结果在偏保守的前提下能够更加贴近装置实际运行情况。

本次SIL验算工作中管线新建分输站及阀室选取2个代表性SIF回路，改造项目新增设备共计7个SIF回路，接收站内SIL定级要求在2级及3级的关键SIF回路共计3个。验算结果见表2。

图1 SIL验算分析流程Fig.1 SIL verification workflow

图2 敏感性分析前SIF－1回路PFD分布及趋势图Fig.2 SIF－1loop PFD distribution and trend before sensitivity analysis

表2 SIL验算结果Table 2 SIL Verification Result

其中管线及阀室部分有1个SIF回路验算结果不满足SIL定级要求，改造项目新增SIF回路中有1个SIF回路验算结果不满足要求，LNG接收站各关键回路SIF回路验算结果均满足要求，并且存在一定程度的过保护 （SIL验算结果高于SIL定级的等级要求）。出现这样的结果，其主要原因可能包括：①原设计时进行了SIL定级分析，但由于采用的是图表法，相对而言评估出的结果较为保守；②接收站内主要设备设施由于对其失效机理及后果相对较为了解，而且相对而言不管是设计方还是业主都对这部分系统更为重视，在设计时已考虑了较高的安全配置。这些常规认为容易出问题的地方反而由于补强由系统的 “短板”变成了相对来说安全可靠性更高的部分［20］。

一般来说，在SIS验算结果无法满足SIL定级需求时，企业应当通过更新SIF回路中PFDavg主要贡献者的硬件配置来提升整个SIF回路的SIL等级，以达到要求［21］。对下面两个实例来说，分别是最终执行机构 （切断阀）以及检测单元 （传感器）。通过更新SIF回路的硬件配置 （往往也意味着项目一次性投资的增加），如采购可靠性等级更高的阀门或采用冗余配置的传感器 （由1oo1改为2oo3）等措施，来提高SIL等级，以满足系统风险要求。

由于本次验算结果中的PFD值较为接近下一SIL等级的PFD要求，本次分析尝试了在不额外增加硬件配置费用的情况下通过合理调整测试周期和测试覆盖率来使SIS系统的SIL等级满足SIL要求。

4.1 敏感性分析

4.1.1 LNG管线压力高高联锁保护 因LNG接收站系统需保证向下游连续供气，目前全站测试间隔 （执行机构）为12个月，计算中输入的执行机构测试覆盖率为50%，SIL验算结果为SIL 2。SIF回路的PFD分布及趋势如图2所示。

敏感性分析：由图2可以看出，SIF－1回路中PFD的主要贡献来自执行机构。经与业主讨论确认，提高执行机构 （关断阀）的测试覆盖率，在大修周期内严格按预先编制好的测试程序进行严格测试，提高测试覆盖率到90%，从而确保SIL 3的完整性。敏感性分析后的SIF回路PFD趋势如图3所示。

4.1.2 高压泵出口流量低低联锁保护 高压泵出口设有双流量计，两者可以互相比对，通过设置两个流量计间的偏差报警对流量计的λDU及λSU数据进行修正。但目前的12个月测试间隔无法保证整个SIF回路达到SIL 2，PFD值略高，SIL为1。SIF回路的PFD分布及趋势如图4所示。

图3 敏感性分析后SIF－1回路PFD分布及趋势图Fig.3 SIF－1loop PFD distribution and trend after sensitivity analysis

图4 敏感性分析前SIF－3回路PFD分布及趋势图Fig.4 SIF－3loop PFD distribution and trend before sensitivity analysis

敏感性分析：由图4可见，SIF－3回路中PFD的主要贡献来自检测单元 （传感器）。由于流量计及停泵继电器可以在线测试，对其测试间隔和测试覆盖率进行优化。根据分析结果，提高流量计的测试覆盖率到99%，测试间隔改为6个月；停泵继电器为简单元器件，测试覆盖率提高到100%，测试间隔6个月后可将SIL等级提高到SIL 2。敏感性分析后的SIF回路PFD趋势如图5所示。

5 结 论

（1）SIF回路校验测试计划与程序文件应符合IEC 61511／61508的要求。建议进一步在SIF回路校验测试计划与程序文件中明确测试时间、测试内容、测试程序、能力要求、记录要求及偏差处理规定等具体要求。

（2）通过进行敏感性分析，缩短测试间隔和提高测试覆盖率，可以在一定程度上降低SIF回路的PFDavg，并可以在一定程度上修正SIL等级验算结果。但是LNG行业下游用户往往对供气的稳定性有较高的要求，缩短测试间隔往往意味着增加停车检修频率，而提高测试覆盖率可能会造成大修周期的延长。企业应根据自身实际情况谨慎调整这些参数，避免由于实际生产需求而无法达到上述要求造成的安全隐患。

图5 敏感性分析后SIF－3回路PFD分布及趋势图Fig.5 SIF－3loop PFD distribution and trend after sensitivity analysis

（3）在分析过程中发现，在接收站内存在着部分系统过保护、部分系统保护不足的现象。据国外相关统计，一般来说，装置内SIS系统保护不足或缺失仅占5%～10%的比例，超过50%的装置存在SIS系统过保护的情况。因此，在设计阶段就进行SIS系统的评估是相当有必要的。目前通行的做法是在初步设计阶段实施SIL定级工作，与危险及可操作性分析 （HAZOP分析）采用同一组人，紧接着HAZOP分析完成执行SIL定级。在详细设计阶段SIS系统冗余结构、选型初步确认后即开展SIL验算工作。在项目建设阶段完成SIS系统的设计与评估，节约不必要的投资，并将花费集中于系统的相对薄弱环节，优化投资产出比。

（4）失效数据的取用。企业自身收集的元器件失效数据由于相对数据样本较少，无法在分析中直接使用，在分析中较多地采用了通用数据库中的相关失效数据。但由于现场实际使用元器件型号与通用数据库不能完全匹配，工作环境也存在一定的差异性，选取失效数据只能采用相对保守的取值方式，并应用了一些假设。国外数据库的收集建立一般是由行业协会牵头，企业进行收集后再交由行业协会整理发布。随着SIL分析在国内的推广，希望国内也能逐步建立起自己的可靠的失效数据库，使未来SIL分析的结论更加符合国内实际安全生产管理水平和设备维护水平。

（5）随着国家安全生产监督总局在2014年11月发布的116号文 《加强化工安全仪表系统管理的指导意见》中对新建装置及在役装置设计建立安全仪表系统的相关要求以及安全生产标准化工作的进一步推广 （设置合规的安全仪表系统为一级企业达标的A级要素否决项），安全仪表系统的应用及发展必将为流程工业企业安全长稳优的生产运营提供一道新的保障。

Peferences

［1］ Lees F P.Loss Prevention for the Process Industries［M］.London：Butterworth and Heinemann，1992.

［2］ Chastain J W.Ensuring consistency of corporate risk criteria／／6th Global Congress on Process Safety ［C］.San Antonio，Texas，2010.

［3］ Layer of Protection Analysis—Simplified Process Risk Assessment［M］.New York：Center for Chemical Process Safety of the American Institute of Chemical Engineers，2003.

［4］ Curt Miller.Win－Win：a Manager's Guide to Functional Safety［M］.Exida.com L.L.C.，2008.

［5］ Edward M Marszal，Eric W Scharpf.Safety Integrity Level Selection Including Layer of Protection Analysis［M］.NC：Research Triangle Park，ISA，2003.

［6］ Johnson R W.Beyond－compliance uses of HAZOP／LOPA studies［J］.JournalofLossPreventionintheProcess Industries，2010，23 （6）：727－733.

［7］ Gubinelli G，Zanelli S，Cozzani V.A simplified model for the assessment of the impact probability of fragments ［J］.JournalofHazardousMaterials，2004，A116：175－187.

［8］ Guidelines for Enabling Conditions and Conditional Modifiers in Layer of Protection Analysis［M］.New York：Center for Chemical Process Safety，2014.

［9］ TR84.00.02－2002，Technical Report.Safety Instrumented System （SIS） －Safety Integrity Level（SIL）Evaluation Techniques［R］，NC：Research Triangle Park，ISA，2002.

［10］ IEC 61508. Functional Safety of Electrical／Electronic／Programmable Electronic Safety－related Systems ［S］.2010.

［11］ ANSI／ISA－84.00.01－2004. Functional Safety： Safety Instrumented Systems for the Process Industry Sector－Part 1，2and 3 ［S］（IEC 61511Mod）.2004.

［12］ Goble W M，Bukowski J V.Verifying common cause reduction rules for fault tolerant systemsviasimulation using a stress－strength failure model ［J ］.ISA Transactions，2000.

［13］ William M Goble，Harry Cheddie.Safety Instrumented Systems Verification：Practical Probabilistic Calculations［M］. The Instrumentation，Systems and Automation Society，2005.

［14］ Roy Billinton，Ronald N Allan.Reliability Evaluation of Engineering Systems：Concepts and Techniques ［M］.New York：Plenum Press，1983.

［15］ Henley E J，Kumamoto H.Probabilistic Risk Assessment：Reliability Engineering，Design，and Analysis ［M］.NJ：Piscataway，IEEE Press，1992.

［16］ Goble W M. Control Systems Safety Evaluation and Reliability ［M］.2nd ed.NC：Research Triangle Park，ISA，1998.

［17］ Bukowski J V.Modeling and analyzing the effects of periodic inspection on the performance of safety－critical systems ［J］.IEEETransactionsofReliability，2001，50 （3）：321－329.

［18］ Arner D C，Angstadt W C.Where for art thou failure rate data ［EB］／／Proceedings for ISA 2001－Houston. NC：Research Triangle Park，ISA，2001.

［19］ Goble W M. Accurate failure metrics for mechanical instruments ［C］／／Proceedings of the IEC 61508Conference（Augsberg，Germany），RWTUV，Jan 2003.

［20］ Dhillon B S.Reliability Engineering in Systems Design and Operation ［M］：New York：Van Nostrand Reinhold，1983.

［21］ Brombacher A C.Reliability by Design ［M］.Chichester：John Wiley and Sons，1992.