岑 康，任国强，王政新，潘成军，王泳龙，邵金凤，李仁科，卢恩苍

(1.西南石油大学 土木工程与测绘学院，四川 成都 610500； 2.四川川港燃气有限责任公司，四川 成都 610000；

3.重庆市渝川燃气有限责任公司，重庆 400021； 4.中国石油西南油气田公司基建工程处，四川 成都 610051；5.成都华润燃气设计有限公司，四川 成都 610045)

0 引言

LNG是1种优质的车用燃料，具有高效、安全、洁净、方便储运等优点，近年来得到广泛应用[1-3]。作为车用LNG的主要供应站点，LNG加气站的建设也呈现出良好发展态势。据统计，2011—2019年，我国建成的LNG加气站从100余座增加到3 100余座[4]。其中，三级LNG加气站最为常见。由于LNG加气站内的LNG属于特别管控危险化学品[5]，且储存量大，一旦发生LNG泄漏等紧急事件，极易造成灾难性后果[6-8]。为保证生产安全，LNG加气站必须设置安全仪表系统(Safety Instrumented System，SIS)。当站内生产参数超出阈值，系统将迅速控制部分生产装置或设备，使工艺系统恢复到安全状态。

安全仪表系统由传感器、逻辑控制器和执行器组成。系统完成的安全仪表功能(Safety Instrumented Function，SIF)必须具备与工艺过程相适应的可靠性水平，即安全完整性等级(Safety Integrity Level，SIL)。SIL评估包括SIF辨识、SIL定级和SIL验证等工作[9-10]。在工艺过程的设计阶段，SIL评估主要用于指导安全仪表功能设置、结构设计以及设备选型等，以期以最小的投入获得可靠的安全保证；而在运营阶段，SIL评估主要用于判断现有安全仪表功能是否依然完备、安全仪表功能测试周期是否合理、SIL等级是否满足风险削减要求等。安全仪表系统SIL评估在石油化工行业已得到较为广泛的应用[11]，但LNG加气站目前尚未引入，其安全仪表系统目前主要依据相关标准规范与经验进行设计[12-15]。目前也鲜见关于LNG加气站安全仪表系统功能完备性与可靠性评估方面的文献报道。

针对上述问题，选取典型在役LNG加气站开展SIL评估，分析安全仪表系统设置现状及不足，以期为LNG加气站安全仪表系统的设计与运营管理提供依据。

1 研究对象

选取的3座在役LNG加气站均为三级站，分别于2011年、2012年和2013年投运，位于城市物流干道旁，周边分布有民用、商业及工业建筑等，站场布置与周边环境如图1所示。3座LNG加气站内均设有1个60 m3的LNG储罐、1套LNG潜液泵撬、1台组合式气化器和2～4台加气机，日销售气量约40～60 t。

图1 3座LNG加气站平面布置Fig.1 Plane layouts of three LNG fueling stations

2 SIL评估与问题分析

2.1 SIF辨识与SIL定级

SIF辨识与SIL定级是指辨识出为满足风险控制要求应设置的安全仪表功能，同时确定其目标SIL等级。目前SIF辨识与SIL定级常采用危险与可操作性分析(Hazard and Operability，HAZOP)与保护层分析(Layer of Protection Analysis，LOPA)相结合的方法[16]。

1)HAZOP分析方法

首先采用HAZOP分析方法，识别事故场景。根据LNG加气站的管道仪表流程图将其划分为LNG卸车管线、潜液泵、储罐等13个分析节点，采用压力、温度等6项工艺参数和偏高、偏低等7项引导词的组合，辨识各节点中可能出现的所有偏差，分析每项偏差产生的原因及其对应的后果。根据制定的适用于LNG加气站的风险矩阵与可接受风险准则，分析每项偏差的发生频率等级，以及可能造成的人员伤亡、财产损失、环境影响和社会声誉的后果严重性等级，确定其原始风险等级[17]。辨识并分析已有防护措施的有效性，进而确定已有防护措施减缓后的残余风险等级。针对残余风险等级仍在中风险及以上的偏差项，提出可行的风险削减措施建议，并进一步开展LOPA分析。

2)LOPA分析方法

开展LOPA分析时，应在假设各独立保护层(Independent Protection Layer，IPL)失效的前提下，确定初始事件导致某一后果的发生频率，如式(1)所示[18]：

(1)

若初始事件i导致后果C的发生频率低于后果C的可容许事件频率，则说明已有的保护措施可以满足风险控制要求，可不设置安全仪表功能。否则，应给出可达到相应风险降低水平要求的安全仪表功能设置等建议。安全仪表功能提供的风险降低因子(Risk Reduction Factor，RRF)如式(2)所示[10]：

(2)

根据低要求操作模式下RRF与安全仪表功能SIL等级的对应关系，即可得到安全仪表功能的目标SIL等级。RRF与SIL等级的对应关系详见表1。

表1 低要求操作模式下RRF对应的SIL等级Table 1 SIL level corresponding to RRF in low demand operation mode

3)SIF辨识与SIL定级过程及结果

表2 A站LNG储罐的部分HAZOP分析过程及结果Table 2 Partial HAZOP analysis process and results for LNG storage tank in LNG fueling station A

表3 基于HAZOP的LOPA分析结果Table 3 LOPA analysis results based on HAZOP

图2 LNG储罐超压保护功能回路结构Fig.2 Loop structure of overpressure protection function for LNG storage tank

3座LNG加气站的SIF辨识与SIL定级结果，详见表4～5。为满足风险控制要求，3座LNG加气站均需设置15个安全仪表功能。但目前站内已设置的安全仪表系统均不完善，存在功能缺失。这是因为目前LNG加气站安全仪表系统主要依据相关标准规范和经验进行设计。但相关标准规范中对安全仪表系统的规定并不全面，经验惯例又因人而异，造成安全仪表系统功能不全、设置混乱。由于不同LNG加气站的站场等级、周边环境、安全防护措施设置等存在差别，导致事故后果发生频率、可容许事件频率以及目标SIL等级也有所差别。因此，建议在LNG加气站的设计阶段，应综合采用HAZOP与LOPA分析方法，确定满足LNG加气站风险控制要求的安全仪表功能及其对应的目标SIL等级，以确保其完备性。

表4 安全仪表功能辨识结果Table 4 Identification results of SIFs

表5 安全仪表功能目标SIL等级Table 5 Target SIL levels of SIFs

2.2 SIL验证

1)SIL验证方法

SIL验证是从软件安全完整性、硬件安全完整性和系统性安全完整性3个方面，综合验证安全仪表功能的可靠性。其中：软件安全完整性和系统性安全完整性一般通过管理、流程、文档等技术措施来定性评估；而硬件安全完整性包括结构约束和随机失效2个方面，分别通过计算安全失效分数(Safe Failure Fraction，SFF)和要求时平均危险失效概率(Average Probability of DangerousFailures on Demand，PFDavg)进行定量评价。其中，SFF计算公式如式(3)所示[9]：

(3)

式中：λSD为检测到的安全失效率；λSU为未检测到的安全失效率；λDD为检测到的危险失效率；λDU为未检测到的危险失效率。

PFDavg常采用Markov模型计算得到，如式(4)所示[9]：

(4)

式中：TI为设备组件功能测试周期，h；S0为状态初始向量；Pi为状态转移矩阵；VD为危险失效向量。

根据安全仪表功能的冗余结构确定设备组件的硬件故障裕度，通过文献[9]中硬件故障裕度、SFF与SIL等级的对应关系可确定安全仪表功能中各设备组件结构约束所达到的SIL等级；而根据低要求操作模式下PFDavg与SIL等级的对应关系，可确定安全仪表功能随机失效所达到的SIL等级。其对应的最低SIL等级即为安全仪表功能达到的实际SIL等级。再与对应的目标SIL等级进行对比，即可确定其实际SIL等级是否满足风险控制要求。

2)SIL验证过程及结果

仍以A站新增的储罐超压保护功能(SIF-07)为例，说明SIL验证过程。SIF-07采用1oo1结构，TI为8 760 h，其回路结构详见图2。假设其设备组件均获得功能安全认证，相应失效数据详见表6[20]。传感器和执行器组件为A类，逻辑控制器组件为B类，硬件故障裕度均为0，则根据式(3)计算得到SIF-07各设备组件的SFF，其对应的最低SIL等级为SIL1级。根据式(4)计算得到SIF-07各子系统的PFDavg以及总PFDavg，其对应的SIL等级仍为SIL1级。因此，SIF-07达到的实际SIL等级为SIL1级，满足表5中目标SIL等级要求。SIF-07等级验证结果详见表7。

表6 设备组件失效数据Table 6 Failure data of equipment components

表7 SIF-07等级验证结果Table 7 Grade verification results of SIF-07

然而，本文分析的3座LNG加气站已有安全仪表系统中的传感器和执行器均未获得功能安全认证，缺乏相关失效数据，无法开展SIL定量验证工作，其实际SIL等级是否达到表5中的目标SIL等级，尚不可知。因此，建议在LNG加气站安全仪表系统的设备选型阶段，应选用获得功能安全认证的设备组件。此外，国内相关机构应开展设备组件失效数据的采集、统计和整理等工作，建立准确、可靠、公开的设备组件失效数据库，为安全仪表系统的定量评估提供基础数据。

3 结论

1)目前国内LNG加气站安全仪表系统仍未引入SIL评估，3座三级LNG加气站设置的安全仪表系统均不完善，安全功能存在缺失。由于缺少设备组件的失效数据，无法对已有的安全仪表功能开展SIL定量验证。

2)为满足风险控制需求，3座三级LNG加气站均需设置15个安全仪表功能。其中，“仪表风压力低低联锁全站停车”功能需达到SIL2等级，“站控室急停按钮联锁全站停车”等14个安全仪表功能需达到SIL1等级。

3)建议相关部门完善LNG加气站安全仪表系统的设计标准，并明确要求LNG加气站应开展安全仪表系统SIL评估。在LNG加气站的设计阶段，宜综合采用HAZOP与LOPA分析方法，确定满足LNG加气站风险控制要求的安全仪表功能及其目标SIL等级。安全仪表系统应选用获得功能安全认证的设备组件，同时在运营阶段定期开展SIL等级验证，确保安全仪表系统始终处于可靠状态。