杨放 李国斌 魏广锋 王明东

中油国际管道有限公司

天然气压气站的紧急停车系统（ESD）作为压气站最重要的仪表安全系统，在压气站发生天然气大量泄漏、火灾等异常情况时，可自动完成对整个站场的隔离和放空以及重要设备的紧急停车，实现对站场财产和人员的保护功能。对紧急停车系统进行安全完整性等级（SIL）验证，通过可靠性的建模分析来计算各安全功能回路是否满足安全要求，对不满足SIL 要求的功能回路进行针对性的改进，提出风险降低措施，以此有效提升系统安全性，进一步保证压气站的安全。

根据我国石油行业标准SY/T 6966—2103《输油气管道工程安全仪表系统设计规范》[1]中对于天然气分输站各安全功能SIL 的要求，输气站场的SIL 应为2 级。根据一些国家或行业的规定或标准规范要求，应对在役安全仪表系统（SIS）进行安全审查。为了避免因设备老化、人员变动等因素对SIS 安全运行造成不利影响，需要对SIS 运行和相关联的项目每3～5 年进行1 次SIL 周期性复审[2]。另外，通过开展SIL 工作，建立一套符合站场的SIL计算模型，对于开展持续的SIL 周期性验证、在其他使用类似系统的站场推广，以及设备的全生命周期管理很有意义。

1 SIL 验证原理和方法

遵循国际电工委员会发布的电气和电子部件行业标准IEC 61508《Functional safety of electrical/electronic/programmable electronic safety-related systems》[3]，评估SIL 有三个判据：结构约束（Architectural Constraints）、部件的安全可靠性（PFDavg）以及系统能力（SC）。前两项为硬件的安全完整性内容，最后一项为系统性安全完整性。目前国内对在役安全仪表系统进行SIL 验证，主要是分析计算硬件安全完整性[2]。图1 是针对硬件所有的功能回路（SIF）进行SIL 验证的一般过程，即先对每一个功能回路进行结构约束的计算，再进行安全可靠性的计算（失效概率PFD计算），判断其是否满足指定SIL 的要求[4]。

图1 SIL 验证步骤Fig.1 Steps of SIL verification

1.1 相关概念

安全仪表系统的失效模式依赖于每一个功能回路的失效模式，其分为安全失效和危险失效。如果该失效可以被设备的自诊断功能检测到，称作检测到的安全/危险失效，否则称作未检测到的安全/危险失效。

（1）安全状态。指达到安全目标时工艺过程所处的状态。如ESD 设计，选择失电状态作为安全状态。

（2）危险失效。指可能使安全仪表系统处于潜在的危险状态或功能故障状态的失效，即阻止进入安全状态的失效。例如站场发生火灾，放空阀门无法执行放空操作，可能导致站内爆炸的危险，该阀门（执行元件）的失效即为危险失效。

（3）安全失效。指不会使安全仪表系统处于潜在的危险状态或功能故障状态的失效。在IEC 61508 中定义为，只要不属于危险失效的都是安全失效。例如站场在危险条件未出现时，由于安全仪表的误动作，将系统置于某种安全状态（误停车、放空阀门误打开等）。该失效虽然保证了安全，但同样会对输气站场带来极大的损失，影响到正常的生产。

（4）共因失效。一个以上的装置因为同样的原因失效，将这种失效模式归为共因失效。例如冗余系统，保证了系统的容错能力，也增加了多个设备的共因失效可能性。

1.2 结构性约束计算

结构约束的安全完整性由安全失效分数(SFF)和硬件故障裕度(HFT)共同决定，如果一个系统是SILn级别，那么SFF 和HFT 都应满足相应SIL要求。

1.2.1 安全失效分数(SFF)

硬件故障裕度N意味着N+1 个故障会导致全功能的丧失。安全失效分数(SFF)是指导致安全失效率和可检测出的危险失效率的总和除以总硬件随机失效率。安全失效分数是对危险故障预发能力的一个表量，一定程度上反映着系统的诊断能力，计算公式为

式中：λSD为检测到的安全失效；λSU为未检测到的安全失效；λDD为检测到的危险失效；λDU为未检测到的危险失效。

1.2.2 硬件故障裕度(HFT)

每个SIF 由触发元件、执行元件和逻辑控制单元组成。IEC 61511《Functional safty—Safety instrmented systems for the process industry sector》对 各组成的硬件裕度HFT 做出了要求[5]，如表1、表2所示。

对于触发单元、执行元件和非PE 逻辑控制单元来讲，HFT一般情况应符合表2 要求，如果满足以下几个要求，可在表2 的基础上减1：①装置硬件的选择是根据以往的使用情况决定的；②装置只允许调整过程参数（如量程、上下限失效指示等）；③装置过程参数的调整受到保护（如密码、跳线等）；④功能的SIL 要求小于SIL4。

表1 PE 逻辑控制单元的最低硬件故障裕度Tab.1 Minimum hardware fault margin of PE logic control unit

表2 触发单元、执行元件和非PE 逻辑控制单元的最低硬件故障裕度Tab.2 Minimum hardware fault margin of trigger unit，actuator and non-PE logic control unit

在下列情况下，HFT应在表2 的基础上加1：①占大多数的失效为危险失效；②危险失效不能被检测出来。

1.3 部件的安全可靠性计算

开展部件的安全可靠性验证，首先要确定安全仪表功能中各个元件的失效率，根据现有设备的结构对系统要求时平均失效概率进行定量计算，由结果判断该SIF 是否能达到所需要的SIL 要求[6]。

1.3.1 失效率λ

失效率指瞬时失效概率，是单位时间内失效的次数与设备总数的比值。因失效率服从指数分布，一般失效率λ为常数。失效率的单位是时间的倒数。

1.3.2 平均修复时间(MTTR)

平均修复时间也称作平均恢复时间，是设备发生故障到重新正常工作的时间期望值，定义中包含检测到失效发生所需的时间和发生并确定失效后维修所需的时间。

恢复率是单位时间内的修复设备次数与设备总数的比值，通常用μ表示。维修概率密度为指数分布，维修率为常数的情况下，维修率等于MTTR的倒数，即

1.3.3 失效概率计算方法

常用的失效概率计算模型包括可靠性框图（RBD）、故障树（FTA）模型以及马尔可夫（Markov）模型，本文使用常用的可靠性框图进行计算。

可靠性框图是用图形的方式来表示系统内部组件的串并联关系，同时体现出表决方式的关系，对安全仪表系统的失效分布采用了指数模型[7]，由于建模简单，做了各设备之间互斥的假设，并没有考虑设备之间的相互影响[8-9]。IEC 64078 对该模型进行详细说明。ESD 操作的要求频率不大于1 a-1，属于结构低要求，用平均失效概率PFDavg表征SIL，如表3 所示。

表3 低要求操作模式下目标失效量的安全完整性等级Tab.3 Safety integrity level of target failure in low requirement operation mode

常见的1oo1、2oo2、1oo2、1oo2D、2oo3 结构的可靠性框图及低要求操作模式下PFDavg计算方法如下[10-11]：

（1）1oo1 结构可靠性框图如图2 所示。

图2 1oo1 结构可靠性框图Fig.2 1oo1 structural reliability block diagram

式中：tCE为概率值；λD=λDD+λDU；TI为功能测试周期，h。

（2）2oo2 结构可靠性框图如图3 所示。

图3 2oo2 结构可靠性框图Fig.3 2oo2 structural reliability block diagram

（3）1oo2 结构可靠性框图如图4 所示。

图4 1oo2 结构可靠性框图Fig.4 1oo2 structural reliability block diagram

式中：tCE为1oo2 结构中通道的等效平均停止工作时间，h；tGE为loo2 结构中表决组的等效平均停止工作时间，h；βD为具有共同原因的已被检测到的失效分数；β为具有共同原因的没有被检测到的失效分数。

（4）1oo2D 结构可靠性框图如图5 所示。

图5 1oo2D 结构可靠性框图Fig.5 1oo2D structural reliability block diagram

式中：t′CE为loo2D 结构中通道的等效平均停止工作时间，h；t′GE为loo2D 结构中表决组的等效平均停止工作时间，h。

（5）2oo3 结构可靠性框图如图6 所示。

图6 2oo3 结构可靠性框图Fig.6 2oo3 structural reliability block diagram

2 SIL 验证结果与讨论

某压气站设置的独立紧急停车系统包括传感器、逻辑控制器、执行器三部分。当传感器探测到现场发生意外情况时，触发紧急停车信号，并将信号传入PLC 控制逻辑，经过逻辑判断，使相应的执行器动作，达到阻止危险事件发生的目的。本文以最高等级的ESD 功能为例进行SIL 验证。

2.1 SIL 验证的假设

设备的可靠性数据可以从工业数据库、生产商或第三方机构的FMEDA 分析、生产商现场失效研究、工厂失效记录或其他途径获得。本文选取的可靠性参数依据如下：

（1）对于结构冗余的子系统，对传感器、控制阀门部分的共因失效因子β值保守选取为1%～2%，作为共同原因故障导致危险发生的值[11]。

（2）根据现场实际，选取站场安全仪表功能测试周期(TI)为12 个月，能够覆盖关键功能，考虑到人为操作最低失效概率为0.01，所以功能测试覆盖率(CTI)取99%。

（3）传感器的平均修复时间取8 h，逻辑控制器取8 h，执行器取12 h。设备服役时间为25 a。

设备的失效数据如表4 所示。

2.2 SIL 验证过程

以SIF-1 为例，站场工作人员触发ESD 手报时，触发HS_0601 信号，传入Honeywell SM 控制器内，控制器发出命令，关断进出站阀门ESDV1101、ESDV1201、ESDV1102、ESDV1202；打开紧急放空阀GHV7101、GHV8101、GHV8201、GHV8301；关断调压橇安全切断阀ssv7109、ssv7209、ssv7309、ssv7310、ssv7409、ssv7410 及燃料气阀门GHV7102；向所有压缩机组发出泄压停机；向所有燃气发电机发出ESD 停机信号。图7为该逻辑的简单示意图。

以下是SIF-1 SIL 验证的过程：

2.2.1 结构性约束

首先考虑结构性约束是否满足SIL2 级要求。SIF-1 内的逻辑控制器SFF＞99%，且为冗余配置，满足表1 的要求。而触发元件和执行元件满足特殊条件，可在表2 基础上减1，即可不需要冗余配置。说明SIF-1 的结构性约束满足SIL2 级别要求。

表4 设备的失效数据Tab.4 Failure data of equipment

图7 SIF-1 的逻辑图Fig.7 Logic diagram of SIF-1

2.2.2 部件的安全可靠性计算

（1）传感器部分指标参数及计算结果如表5、表6 所示。

那么SIF-1 要求的平均失效率为

查表3 确定SIF-1 的SIL 等级为1 级，不满足设计的SIL2 级要求。

表5 传感器部分的指标参数Tab.5 Parameters of sensor section

表6 传感器部分的计算结果Tab.6 Calculation results of sensor section

（2）逻辑控制器部分指标参数及计算结果如表7、表8 所示。

表7 逻辑控制器部分的指标参数Tab.7 Parameters of logic controller section

表8 逻辑控制器部分的计算结果Tab.8 Calculation results of logic controller section

（3）执行元件部分指标参数及计算结果见表9、表10。

各系统对全回路的PFDavg共享分布如图8所示。

分析几个安全仪表功能可知，尽管传感器和逻辑控制器单个设备的SIL 达到了SIL2，但整个系统的等级是SIL1。通过图8 可以看出，安全仪表的SIL 取决于安全完整性水平最低的执行部件。对执行部件进行分析，占比最大的执行部件的PFDavg共享分布如图9 所示。

表9 执行元件部分的指标参数Tab.9 Parameters of actuator section

图8 SIF-1 全回路的PFD 共享分布Fig.8 PFD shared distribution in SIF-1 loop

执行部件内占比最大的是1 组（37.45%）和2组（62.41%），主要是因为通用液压球阀的PFD高造成的。主要有两个原因：一是通用液压球阀的失效率为1×10-6，明显高于其他部件；第二个原因是在1 组内3 个通用液压球阀采用1oo1 的方式，在2 组内5 个阀门也采用1oo1 方式，即在安全状态下，1 组和2 组内的所有阀门都须切断，在没有任何冗余配置的情况下，造成了PFD值的过高。这是不符合仪表功能SIL2 级要求的关键，因此，必须对这几个安全仪表子系统进行改进。

表10 执行元件部分的计算结果Tab.10 Calculation resurts of actuator section

图9 执行元件部分的PFD 共享分布Fig.9 PFD shared distribution of actuator section

2.3 改进措施讨论

目前压气站ESD 功能涉及的进出站阀门和放空阀门均为1oo1 结构，一旦任何一个阀门失效，将影响整个ESD 功能的完成，无法将站场工艺导入安全状态。此外，目前进出站阀门与SCADA 系统共用，肩负有正常的工艺调节功能，一旦失效，极易导致ESD 功能同时失效，无法实现有效截断。

根据SIL 计算公式，从以下几个方面进行有效改进[12-13]：

（1）改进执行器的冗余配置。将进站阀门和放空阀门由1oo1 模式改为1oo2 模式，如图10 所示。由于进站阀门安全状态是关断状态，所以1oo2 模式采用图10a 的方式；放空阀门的安全状态是打开状态，1oo2 模式采用图10b 的方式。

采用1oo2 的冗余模式后，对执行部件进行PFDavg计算，结果如表11 所示。改进后执行元件部分的PFDavg提升为7.91×10-4，SIL 从1 级提升到3 级，满足了整体SIL2 的要求。

（2）改进功能测试周期。缩短阀门的功能测试周 期，从1 a（8 760 h）减 小 为45 d（1 095 h）后，执行部件整体的PFDavg值减小为9.06×10-3，SIL 提升为2 级。可考虑按照此要求修订设备的测试和维护计划，并开展相关工作。

图10 阀门的冗余改进方式Fig.10 Redundancy improvement of valves

（3）改进设备选型。选择失效概率更低的阀门，更换进出站阀门和放空阀门，能够有效减小PFDavg值，提升SIL 等级。

3 结论

通过对某天然气站场ESD 开展SIL 计算，确定该ESD 安全功能回路SIL 不满足相关标准和设计要求，说明对天然气站场开展SIL 验证是非常有必要的。本文根据分析出的安全功能回路中不符合SIL要求的原因，提出采用改进执行器的冗余配置、改进功能测试周期及改进设备选型三种方式，来有效提升安全仪表系统的安全性，为压气站下一步开展管理和技术提升提供了有效建议。

以下几个问题需做进一步的探索：

（1）本文在评估过程中仅参考了一些国际通行的数据库进行定量，各运行单位还没有收集事故相关数据、设备运行参数的好的做法。如果可以将生产运行中的数据作为国际通用数据库的补充和完善，那么验证结果将更加准确，更加地符合现场实际情况。在如何甄别使用数据上，也需要进一步地开展研究和实践。

表11 执行元件部分的计算结果Tab.11 Calculation resalts of actuator section

（2）在计算方法的选择上，多采用上文提到的IEC 61508 和IEC 61511，而实际安全回路更加复杂，如何选择计算模型使计算结果更加准确值得进一步开展研究。此外，在计算软件上，有些机构提出了更加全面和丰富的SIL 计算和评价方法，如在计算时考虑Mission Time 和Mantainance Capacity 对计算结果的影响，也值得探讨。

（3）国内的SIL 评价主要考虑硬件部分，而根据标准，如果一个系统达到SILn级别，应要求结构约束、部件的安全可靠性以及系统能力三者均达到n级。运行单位应更多地关注以下几点：①软件；②安全要求规格书（SRS）；③设计、安装、使用、维护等遵循安全手册；④质量管理体系；⑤适时开展功能安全评估和审核；⑥人员的能力和培训情况等。