在役压气站场SIS的SIL定级与验算
2021-08-04王琴梅
王琴梅
(国家管网西部管道公司塔里木输油气分公司)
国家安监总局《关于加强化工安全仪表系统管理的指导意见》(安监总管三 [2014]116号)要求对现有安全仪表系统(Safety Instrumented System,SIS)功能进行评估,确保其满足风险降低的要求。 轮南压气站作为西气东输一线首站于2004年建设投产,在多年的运行过程中,SIS新增并改造了安全仪表功能(Safety Instrumented Function,SIF)。SIS在正常维护的情况下,由于监测覆盖率、维修技术等原因,要求时失效概率(Probability of Failure on Demand,PFD)要随着使用时间的推移而逐渐增大[1,2]。
为确保轮南压气站SIS的完整性, 对站场设备设施和管线进行危险及可操作性分析(Hazard and Operability Analysis,HAZOP),并在HAZOP的基础上进行SIS的完全完整性等级(Safety Integrity Level,SIL)定级和验算工作,通过分析,提出优化和改造建议, 以使SIS满足企业风险可接受标准,并提高站场SIS的可靠性和可用性。
1 压气站SIS简介
轮南压气站的主要任务是接收油田集气站的来气,经处理、加压输送至下游站场,最大输气能力170×108Nm3/a,设计压力10MPa。
安全仪表回路用于监测现场工艺运行情况,一旦出现异常,发出报警信息、执行预定动作,将工艺过程和设备置于安全状态,减轻危险事件的后果。
安全仪表回路主要由传感器、逻辑控制器和最终执行单元组成, 传感器包括可燃气体探测器、火焰探测器、压力变送器及温度变送器等;逻辑控制器一般为安全型PLC; 最终执行单元包括声光报警器、风机及压缩机联锁停车等[3](详见IEC 61508和IEC 61511)。
2 压气站SIL定级
轮南压气站的SIL定级采取保护层分析(Layer of Protection Analysis,LOPA),主要是对后果严重度较高的场景进行半定量化分析,侧重于对现有保护措施的识别和评价。 根据初始事件概率、后果严重性等级和独立保护层失效概率来评估某一事故场景的风险,SIL定级过程中LOPA与HAZOP的关系如图1所示[4]。
图1 SIL定级过程中LOPA与HAZOP的关系
HAZOP的目标是辨识装置工艺系统中可能产生的工艺危害偏差, 查找导致偏差的原因,分析该偏差可能导致的危害后果, 识别所有预防、检测、控制和缓解后果的安全措施[4]。轮南压气站包括过滤增压流程、放空流程、排污流程、燃料气处理撬流程和清管流程。HAZOP小组将轮南压气站分为5个HAZOP节点,对风险点进行深入分析,确定可能存在的事故场景,通过识别初始事件发生的概率,评估每个场景造成的后果,同时考虑事件发生时造成影响的修正参数等,判断现有保护层是否可以将风险降低到可接受水平。
本项目的安全仪表回路定级是从安全、环境、经济和停输4个方面评估后果的严重程度,根据风险矩阵确定事件发生的目标概率。 根据事件发生的概率和修正因素,确定安全仪表回路的风险削减因子,从而确定PFD。本项目的修正因素考虑火灾发生的概率fifire和人员暴露概率fifireexposure:
J——保护层的层数;
Pignition——点火概率;
Ppersonpresent——人员出现在火灾区域的概率;
PFDij——初始事件i中第j个独立保护层的要求时失效概率。
3 压气站SIL验算
根据IEC 61508《电气/电子/可编程电子安全相关系统的功能安全》和IEC 61511《过程工业领域安全仪表系统的功能安全》的要求,评估硬件安全完整性主要考虑两个方面:硬件的结构约束和随机失效概率。
SIS硬件结构约束受到硬件故障裕度(Hardware Fault Tolerance,HFT) 和安全失效分数(Safe Failure Fraction,SFF)的制约。 硬件故障裕度表示设备或子系统的最低冗余水平,安全失效分数是指不会导致危险的失效与所有失效的比率。
对于安全仪表功能,传感器、逻辑控制器和最终执行机构都应该具有最低的硬件故障裕度,相应的要求见表1。
表1 相关子系统的结构约束
目前,计算PFD值可靠性的方法有:可靠性框图、故障树和马尔科夫模型。 因为轮南压气站的安全仪表回路数量较少,所用传感器、逻辑控制器和阀门的失效模式都被定义过,所有故障状态下的子系统能够完全确定,而且有充足的故障数据,所以本项目采用可靠性框图,用简化方程式验算SIL等级是否满足要求。
可靠性框图表示系统中各部件间的功能关系, 能直观显示安全仪表回路的配置和逻辑关系。 轮南压气站西一线1#、2#压缩机厂房火焰探测 器报警安全仪表回路的可靠性框图如图2所示。
图2 火焰探测器报警安全仪表回路的可靠性框图
本次验算采用ORBIT SIL 2014软件, 该软件的开发和应用符合IEC 61508和IEC 61105。 每个子系统的配置不同,其PFD值的计算式为:
式中 k——执行功能所需的最少通道数;
k-oo-n——表决机制;
MRT——平均修复时间;
MTTR——平均恢复时间;
n——总的通道数量;
PFDk-oo-n——冗余回路的安全仪表失效概率;
tCE——通道的等效平均停止工作时间;
T1——测试周期;
Tk-oo-n——k-oo-n回路的等效平均停止工作时间;
β——不可探测到的危险故障的共因失效系数;
βD——可探测到的危险故障的共因失效系数;
λD——危险失效率;
λDD——危险可探测失效率;
λDU——危险不可探测失效率。
通过对轮南压气站SIL回路的分析,共识别了8个SIF回路,采用LOPA对每个SIF回路进行SIL定级。分析结果表明,轮南压气站SIL1回路7个、SILa回路1个。 针对7个SIL1级的SIF回路,按照12个月功能测试周期开展SIL验证计算。 根据验算结果,有3个回路满足要求的SIL等级,其余4个回路不能满足要求的SIL等级。
根据实际情况提出以下5条改进建议:
a. 压缩机本体的出口温度超高与压力超高联锁停单台压缩机,和出站温度超高与出站压气超高联锁停所有压缩机的功能重复,建议重新审核温度和压力联锁停单台压缩机功能的必要性,如无必要,建议取消该联锁,仅保留温度高报警,同时审核该联锁的联锁值能否起到保护作用。
b. 将西一线1#、2#压缩机组空压机储罐出口汇管压力低低联锁停运,1#、2#压缩机组改由SIS控制。
c. 将西一线3#压缩机组空压机储罐出口汇管压力低低联锁停运,3#压缩机组改由SIS控制。
d. 压缩机定期切换时间不得超过6个月。
e. 最少每6个月对所有压缩机厂房的风机开关进行测试。
4 注意事项
轮南压气站SIS还包含了ESD按钮触发站场停运逻辑, 但笔者没有分析该回路。 根据GB/T 32857—2016《保护层分析(LOPA)应用指南》A.6典型保护层可知,关键报警和人员干预属于保护层中的第3层,参照表A.8,人员行动时间和人员岗位职能的情况,独立保护层按照0.1的降险能力考虑,只要保证硬件回路的要求时失效概率按照10-3~10-2配置,即可满足可靠性要求。
根据验算结果, 缩短轮南压气站测试间隔,可修正SIL等级验算结果,也就意味着需要增加停输检修频率。 但轮南压气站是西气东输首站,对供气的稳定性有较高的要求, 提出给ESD阀门增加部分行程测试功能, 在满足生产运行的条件下,消除安全隐患。
在计算过程中,设备的可靠性数据主要来自于设备的SIL等级证书和FMEDA报告, 也参考了部分国际通用数据库,但是设备的个体性能和使用环境不同,通用数据库不能完全匹配,因此在计算中设置了一些假设条件。
部分传感器或最终执行单元属于多个安全仪表回路, 这些安全仪表回路的SIL等级不同,要求的测试周期也是不同的,因此传感器或执行单元的测试周期应该按照最小测试周期进行计算。
5 结束语
对轮南压气站进行HAZOP分析、SIS定级和验算工作,提出优化和改进建议,满足了企业风险可接受标准,提高了SIS的可靠性和可用性。