金龙 杨国栋 安如珠 杨凯 王学林 杨青霄

1河北华北石油工程建设有限公司

2青海油田采油一厂

3中国石油华北油田分公司二连分公司

4中国石油华北油田分公司

随着我国长输管道的迅猛发展，管道及沿线站场的完整性管理显得尤为重要。油气站场因工艺介质的特殊性、工业装置的大型化和处理流程的复杂化，一旦发生生产事故，容易造成灾难性后果[1]。因此，为保证油气站场安全平稳运行，常设置紧急停车系统（ESD）、高完整性压力保护系统（HIPPS）、火气系统（FGS）、燃烧器管理系统（BMS）等，这些系统可在一定程度上阻止事故发生或减小事故发生造成的后果，统称为安全仪表系统。安全仪表系统采用安全完整性等级（SIL）来衡量系统的管理水平，表征一定条件下安全仪表功能（SIF）可被成功执行的概率。

在SIL 评估中，SIL 等级的验证是评估现有SIF是否完备、测试周期是否合理、SIL 等级是否满足现有仪表系统的关键，也是研究人员重点关注的问题[2-3]。功能安全基础标准IEC61508.6提出了四种常用的SIL等级验证方法，分别为简易公式法、可靠性框图法、故障树分析法和马尔科夫模型法。MOORE等[4]采用区间法解决了马尔科夫建模过程中的参数不确定性，提高了马尔科夫的计算精度；SUMMERS[5]对比了故障树和可靠性框图法，结果表明，在复杂条件下前者的计算结果更为准确；MAHDI等[6]考虑了共因失效、修复率和诊断覆盖率的影响，完善了可靠性框图计算方法；唐平等[7]分别采用简易公式法和马尔科夫模型法对丙烯塔火炬泄放装置的SIF进行了SIL验证；杨放等[8]采用可靠性框图法计算了输气站场ESD系统的SIL等级；朱睿峰等[9]采用故障树分析法对海上油气处理模块的温度控制系统进行了SIL等级评估。从上述研究可见，每种计算方法均有应用，且部分研究人员对其进行了改进，其中简易公式法计算便捷，但无法反映执行机构的全部失效状态，计算结果偏小；可靠性框图法无法获得与时间序列相关的完整性评估指标，且对于冗余系统，无法描述因单通道失效引发的系统降级；故障树分析法同样也无法一次性获得与时间序列相关的完整性评估指标；马尔科夫模型法可描述系统状态转移时的动态变化，但转移矩阵的维数与表决结构的复杂性呈正比，计算量较大。随机Petri网（SPN）能够对所有的约束条件进行建模，可将复杂系统简单化，并具有扩展性，但对于中间状态和不确定参数的求解往往计算量较大，故引用蒙特卡洛进行辅助模拟，形成SPN-蒙特卡洛模型的SIL验证方法，研究结果可为油气站场完整性管理水平的提升提供理论依据。

1 随机Petri网

安全仪表系统是一个动态随机过程，系统中各种参数均会随时间发生改变，因此在SIL验证计算的过程中需考虑时间的延续性。随机Petri 网（SPN）通过在变迁中添加一定的延时数据，以增加对系统动态特征的描述[10]，相对于其余几种SIL验证方法，其优点如下：

（1）采用图形表示系统逻辑关系，后续数据处理更加便捷。

（2）SPN模型规模随建模部件的数量呈线性增长，而马尔科夫模型法则呈指数增长。

（3）模型灵活多变，可使用各种约束条件的SIL验证模型，同时中间状态可采用蒙特卡洛模拟。

SPN 模型是由库所、变迁、有向弧和托肯组成[11]，通过图形的方式表示4 个基本元素相互关系，将变迁按照延时条件分为随机变迁和瞬态变迁，各元素的含义见表1。

表1 SPN模型元素符号及含义Tab.1 Symbol and meaning of SPN model elements

2 基于SPN的SIL验证模型

利用Time net 软件对“MooN”型（表示N 取M，如2oo3 为3 取2）的表决结构进行建模，模型中包括检测到的危险失效（DD）、未检测到的危险失效（DU）、检测到的安全失效（SD）、未检测到的安全失效（SU），同时考虑冗余结构中一个或多个事件导致设备同时失效的共因失效（CCF）；状态继续细分为检测到的共因危险失效（DDC）、未检测到的共因危险失效（DUC）、检测到的非共因危险失效（DDN）、未检测到的非共因危险失效（DUN）、检测到的共因安全失效（SDC）、未检测到的共因安全失效（SUC）、检测到的非共因安全失效（SDN）、未检测到的非共因安全失效（SUN）。模型见图1所示。

图1 “MOON”型Petri网模型Fig.1 "MOON"Type Petri net model

模型左右两侧分别为安全失效和危险失效，初始正常的工作状态为W，托肯在库所W 内。以右侧危险失效为例，经过一段时间，外界因素使变迁T0 发生改变，实施速率为λD（危险失效概率），此时托肯被转移至库所D 中，表示发生危险失效。由于目前智能设备内部带有自诊断功能，可检测出部分失效，故危险失效经过变迁T2和T3后，库所D 中的托肯进入DD 和DU 的概率分别为DC（诊断覆盖率）和（1-DC）。当托肯位于库所DD 中时，表示系统发生了检测到的危险失效，由于共因失效概率β的存在，托肯又以不同的概率立即转移至库所DDC 和DDN 中。经过时间的推移，通过对系统实施周期性功能检测，假设修复率为100%，系统经过不同的平均修复时间MTTR，变迁T17 和T19恢复到初始工作状态W，系统修复如新。当托肯位于DU 中时，表示系统发生了未检测到的危险失效，同理若失效由共因失效引起，托肯进入库所DUC，反之进入库所DUN。当托肯在库所DUC时，等同于系统的自诊断功能失效，此时系统不可修复；当托肯在库所DUN 时，只有N-M+1 个状态同时进入DUN 时才会导致系统失效，而单通道并不会引发危险失效，经过一个测试周期的检验，系统可恢复正常状态。

3 蒙特卡洛模拟

基于以上分析，SPN模型中存在较多的中间变量，且SIF回路因反馈数据缺失、运行状态待定和新子系统的应用会导致部分参数存在不确定性，主要参数有危险失效概率λD、安全失效概率λs、诊断覆盖率DC（危险失效和安全失效的诊断覆盖率相同）、共因失效概率β和平均修复时间MTTR等。在求解以上参数的精确解析解时计算量较大，故采用蒙特卡洛模拟降低计算量，使结果更加可靠。蒙特卡洛模拟是一种以概率论和统计理论方法为基础的计算方法，通过使用随机数解决参数的不确定性，以获得问题的近似解，当知道不确定参数符合某种概率分布时即可求解。SPN-蒙特卡洛模拟流程见图2，步骤如下：

图2 SPN-蒙特卡洛模拟流程Fig.2 SPN-Monte Carlo simulation process

（1）根据不确定参数特点，确定数据服从的概率分布类型（一般有Uniform 分布、Normal 分布、Beta分布和Lognormal 分布），采用Matlab软件生成仿真数据。

（2）根据一组输入数据，参照SPN模型，计算平均要求失效概率PFDavg(i)，i为模拟次数。

（3）重复前两个步骤，直至达到设定的模拟次数，输出n个PFDavg结果。

（4）计算n个PFDavg 结果的均值、95%置信区间及标准差，并通过累计密度函数（CDF）评价计算结果的有效性，公式如下：

式中：F为CDF 分布；p为仿真结果落入置信区间的概率。

当仿真次数n足够大时，不确定参数的算术平均值等于数学期望，即逼近真实值，则确定的SIL等级结果更加准确。

4 实例分析

4.1 基本情况

以某输气站场气液分离器高完整性压力保护系统（HIPPS）为例进行分析，HIPPS 可降低被保护对象的承压等级，切断危险压力源，防止下游设备或管道出现超压，同时可适当取消放空装置、防爆阀、安全阀等被动泄放设备，在提高设备安全性的同时减少资金投入[12-13]。该气液分离器超压的SIF回路为天然气进入气液分离器，液相从分离器底部由液相泵输出，气相从分离器上部输出并进入下游压缩机，当气相管道超过压缩机负荷时，气液分离器出现超压，此时压力传感器检测到超压并将信号传递至逻辑控制器，逻辑控制器PLC输出控制信号用于关闭执行器的任意阀门，从而切断物流，工艺流程见图3。SIS系统结构见图4，其中压力传感器为2oo3结构，即3个压力传感器同时工作，只要有任意2个传感器检测到气液分离器压力异常，逻辑控制器即可接收到信号；逻辑控制器为1oo1 结构；执行器为1oo2结构。

图3 气液分离器工艺流程Fig.3 Process flow of gas-liquid separator

图4 SIS系统结构图Fig.4 SIS system structure diagram

4.2 SIL验证结果

根据现场搜集到的基础数据，可初步确定各子系统参数的上下限，参照文献[14-15]的方法确定参数的概率分布。鉴于对数正态分布（LogN）长尾性、非负性的特点，分别对三个子系统进行建模和仿真，将HIPPS系统的通用可靠性数据转换为蒙特卡洛模拟所需的分布参数，其基本参数和仿真参数见表2，TI为周期性测试周期，h。

表2 子系统的基本参数和仿真参数Tab.2 Basic parameters and simulation parameters of the subsystem

仿真结果的直方图见图5，传感器子系统的PFDavg主要分布在[0.000 8，0.002]，逻辑控制器子系统的PFDavg 主要分布在[0.000 5，0.004]，执行器子系统的PFDavg主要分布在[0.0013，0.003]，总的HIPPS 系统的的PFDavg 主要分布在[0.000 3，0.005]。

图5 蒙特卡洛计算PFDavg结果的直方图Fig.5 Histogram of the results of Monte Carlo calculation of PFDavg

仿真的精确值见表3，将各子系统的PFDavg相加得到总的HIPPS 系统的PFDavg 值。SPN-蒙特卡洛模型的计算结果中PFDavg 均在95%的置信区间内，说明仿真结果满足SIL的计算要求。累计密度函数（CDF）包含了直方图相同的信息，但噪声更少，且不存在分段问题，可用CDF 检验结果是否包含在所需的SIL 等级内，经计算概率p(X＜0.01)=1，说明95%的仿真结果满足所需的SIL等级。

表3 HIPPS系统SIL验证计算结果Tab.3 SIL verification calculation results of HIPPS system

与可靠性框图法相比，各子系统的PFDavg 均在同一数量级上，说明两种方法的计算结果具有一致性，其SIL等级不会改变。但SPN-蒙特卡洛模型可在不改变原有模型结构的基础上扩展系统的状态，可考虑系统动态变化及维修计划实施的影响，也可进行部分功能测试周期的扩展，因此该模型具有更好的适用性和科学性。对比3个子系统，执行器系统的SIL 等级较高，但整个HIPPS 系统的SIL等级由传感器和执行器子系统决定，因此在进行仪表自控设计时应注重各子系统SIL 等级的分配（图6）。

图6 PFDavg的共享分布图Fig.6 Shared distribution map of PFDavg

5 结论

（1）建立基于SPN 模型的SIL 验证模型，解决了传统模型扩展能力和表达能力差的问题，在不改变原有模型结构的基础上可实现数据的动态分析。

（2）针对部分参数的不确定性，采用蒙特卡洛进行逼近模拟，以气液分离器HIPPS 系统进行分析，采用累积密度函数对SPN-蒙特卡洛计算结果中95%置信区间进行验证，仿真结果满足所需的SIL等级，说明本文算法具有一定的可靠性。

（3）整个HIPPS 系统中执行器系统的SIL 等级较高，最终的SIL 等级由传感器和执行器子系统决定。