贫数据条件下油气站场安全仪表系统SIL等级评估
2023-02-16李冬辉
李冬辉
大庆油田有限责任公司第二采油厂数字化运维中心
随着经济发展和科技进步,油气站场向着大型化、橇装化和标准化的方向发展。站场内涉及油气等一系列易燃易爆介质,一旦发生失效或误操作,将会导致较为严重的后果。因此,保证工艺流程的安全性,保证装置在失效或误操作状态下平稳运行尤为重要[1-2]。紧急停车系统、高完整性压力保护系统、火灾报警及气体检测系统等统称为安全仪表系统(SIS),SIS 是继基本过程控制系统和关键报警系统之后的第一道保护措施,可以按照事先约定的逻辑运算,将装置复位至安全状态。目前,油气站场内的关键工艺和物流均要求设置SIS 系统,需在全生命周期内对SIS 系统进行安全完整性等级(SIL)评估[3-5]。
鉴于SIS 系统属于高可靠性系统,可用的历史失效数据较少,在SIL评估中通常依赖评估者的经验或国外相关数据,且传统算法中涉及较多的模型简化和参数假设,导致评估结果与现场差距较大[6-7]。基于此,通过Monte Carlo模拟对风险图法进行改进,完成SIL定级,利用有限差分法评估影响SIL 验证结果的参数,通过Monte Carlo 模拟建立不同冗余表决结构下的SIL验证模型,形成贫数据条件下的油气站场安全仪表系统SIL 等级评估方法,并进行实例验证。研究结果可减少数据缺乏对SIL评估结果的影响。
1 SIL评估方法
1.1 安全完整性等级
IEC 61508 将SIS 系统的运行模式分为低要求、高要求和连续要求等三种,低要求模式要求动作频率不大于1 a-1,高要求模式要求动作频率大于1 a-1,连续模式属于正常运行的一部分[8]。
SIL等级与要求时危险失效平均概率PFD及每小时危险失效概率PFH的关系见表1,公式如下:
表1 SIL与PFD、PFH 的关系Tab.1 Relationship among SIL and PFD and PFH
式中:PFDSYS和PFHSYS分别为系统的要求时危险失效平均概率和每小时危险失效概率;PFDS、PFDL和PFDFE分别为传感器、逻辑控制器和执行机构的要求时危险失效平均概率;PFHS、PFHL和PFHFE分别为传感器、逻辑控制器和执行机构的每小时危险失效概率。
在进行SIL 评估时,设备失效数据是评估结果准确与否的基础。根据SIS 系统设计、安全、运行和维护的全过程管理,数据主要来源于工业可靠性数据库、行业标准、设备厂商数据、站场失效数据和影响因素及诊断分析数据等[9-10]。其中,常用的工业数据库有挪威DNV 发布的OREDA(Off shore Reliability Data)数据库、美国化学工程师协会化工过程安全中心数据库、EXIDA公司的设备可靠性数据库和挪威科技工业研究所(SINTEF)的安全仪表系统可靠性数据库等。但这些数据均源于国外安全设备的失效数据,对于陆上油气站场的适用性有待验证,且一般现场工程师要将数据降低1~2个等级后使用。鉴于目前国内尚无安全仪表失效数据库,且现场设备的劣化程度不一,需进一步建立贫数据下的SIL评估方法。
1.2 SIL定级方法
IEC 61508 中将风险定义为事故后果严重程度和发生概率的综合度量,考虑到LOPA分析中初始事件发生频率、独立保护层失效概率存在随机性和不确定性,采用改进风险图法对安全仪表回路进行SIL定级,公式如下:
式中:Ft为场景允许的后果发生频率;Fnp为现有后果发生频率;C为危险事件后果参数;F为与暴露时间和频率有关的参数;P为未能避开危险事件的概率,即独立保护层的失效概率;W为初始事件发生概率。
风险图计算流程见图1,图中SILa表示无特殊安全需求,SILb 表示单一的安全仪表回路(SIF)无法满足安全需求。风险参数的取值范围见表2。
图1 风险图计算流程Fig.1 Calculation process of risk map
根据表2,各参数存在一定的浮动范围,鉴于表1 中SIL 等级相差一个数量级,故表2 中的数值取上限或下限对SIL定级结果影响较大。在此,对参数进行模糊和不确定性处理,根据可靠性理论,定义各参数的上限和下限分布为a和b,则令T=(ab)0.5,F=(a/b)0.5,则x0=T,均值μ=lnx0,P=erf(lnF/),方差σ=。其中,erf 为误差函数,是高斯概率密度的积分;inverf为反误差函数。根据上述运算,确定参数服从正态对数分布的值logN(μ,σ),在公式(3)-(4)上应用Monte Carlo 模拟,得到SIL 的均值和置信区间,形成改进风险图法,完成SIL定级。
表2 风险参数取值范围Tab.2 Value range of risk parameters
1.3 SIL验证方法
对于SIL 验证主要从硬件完整性和失效概率两个方面衡量,在此重点考察失效概率。PFD和PFH的不确定性来源于模型和参数的不确定性,这与SIS 系统失效数据较少,对失效模式判断失误或对影响决策的敏感因素不确定等条件相关[11-12]。IEC 61508 中总结了不同冗余表决结构下的失效概率计算方法,见表3、表4。表中,λDD为检测出的危险失效概率,h-1;λDU为未检测出的危险失效概率,h-1;λD为危险失效概率,h-1,λD=λDD+λDU;tCE为通道等效平均停止时间,h;tGE为系统等效平均停止时间,h;TI为功能测试周期,h;MTTR为平均恢复时间,h;βD为检测到的危险故障共因失效系数;β为未检测到的危险故障共因失效系数。
根据表3和表4可知,SIL验证涉及的计算参数有λDD、λDU、βD、β等,在现场中很多仪表和设备没有安全功能认证证书,即无确定的失效参数,需引用OREDA 或PDS 等工业通用可靠性数据的失效数据,但由于参数与所评估的SIF回路缺乏关联性,故SIL验证存在偏差。
表3 不同表决结构PFD 计算公式Tab.3 PFD calculation formula for different voting structures
表4 不同表决结构PFH 计算公式Tab.4 PFH calculation formula for different voting structures
SIL 验证流程如下:①确定目标SIL 等级、回路结构和失效模式,采用有限差分法对影响SIL验证结果的参数进行敏感性分析,筛选影响程度较高的参数;②确定重要参数服从的概率分布函数,并在Matlab中采用超拉丁立方抽样的方式形成随机样本;③根据表3、表4 定义预测公式,计算PFD 或PFH的均值和标准差,得到置信区间。
有限差分法公式如下:
式中:SY为失效量大于PSILx的失效概率累计值;PSILx为表1 中失效量的上限;SILx为SIL 定级的结果;fY(y)为输出值的密度函数;Xi为输入参数;为预测参数;M为重要度,M越大,表示参数对SIL验证结果的影响越大。
2 案例分析
三相分离器是进行油、气、水分离的重要设备,危险性较大,当气相出口超压时,会严重影响下游轻烃回收装置的安全运行,造成安全事故。为此,以某站场三相分离器超压为例对三相分离器气相超压联锁工艺进行分析。分离器进料为油、气、水三相混合,分离器分离后的污水经泵送至水区处理,油相送至油气区进行沉降,气相送至压缩机前端增压后外输。当BPCS 系统失效时,分离器气相超压,会造成压缩机入口憋压,烃类气体释放,导致火灾及爆炸事故发生。现对气相物流设置超压SIF回路,动作为关闭压缩机入口阀门V1,打开放空阀V2,同时设置安全阀和爆破片作为独立保护层。PID流程见图2。
图2 分离器PID流程图Fig.2 PID flow chart of separator
2.1 SIL定级
设BPCS系统失效概率为0.1,安全阀和爆破片串联使用时的失效概率为0.1,点火概率、人员暴露概率和人员伤亡概率分别为0.2、0.5、0.5,则根据LOPA 分析模型,该场景下的后果发生频率为0.1×0.1×0.2×0.5×0.5=5×10-4。规定允许的后果发生频率为10-5,则SIL定级为1。
同理,根据公式(3)、公式(4),按照图1采用传统风险图进行SIL 定级,Fnp=CC·FB·PB·W2,则SIL定级为3。
根据SIL定级的方法对参数CC、FB、PB、W2的上、下限进行模糊和不确定性处理,上下限见表2。得 到CC为 logN(-1.15,0.59),FB为logN(-1.15,0.59),PB为logN(-1.15,0.59),W2为logN(-3.45,0.59),位置参数统一取-5,利用Monte Carlo模拟进行仿真计算,Fnp分布函数的直方图见图3,PFD分布函数直方图见图4,定级结果见表5。由表5可知,该场景未考虑SIS系统保护下的Fnp均值为2.51×10-4,在允许的后果发生频率为10-5的条件下,SIL 定级结果为2。由直方图可知,SIL1 区域占比50%,SIL2 区域占比44.5%,SIL3 区域占比5.5%,且均值和中间值位于SIL2 区域,因此建议该SIF回路的SIL等级为2。
表5 SIL定级结果Tab.5 SIL grading results
图3 Fnp 分布函数的直方图Fig.3 Histogram of Fnp distribution function
图4 PFD 分布函数的直方图Fig.4 Histogram of PFD distribution function
与LOPA 分析和传统风险图计算结果相比,LOPA 分析的计算结果过于乐观,一般对于超压保护这类SIF回路,其SIL等级通常在1以上,可能是由于LOPA分析对于使能条件和修正因子的取值不恰当,且安全阀和爆破片的失效概率也与管道是否堵塞、是否进行吹扫有关;传统风险图的计算结果过于保守,这是由于该方法将暴露时间和频率合并成一个F参数考虑,相当于取风险值的下限进行计算,造成结果偏差较大。
2.2 SIL验证
IEC 61508 中规定了部分参数的取值范围(表6)。对表中参数进行不确定性处理,假设分别存在50%的危险失效和安全失效,得到λDD为logN(-13.01,1.59),λDU为logN(-13.01,1.59),βD为logN(-3.45,0.59),β为logN(-2.76,0.59),MTTR为logN(2.62,0.46),TI为logN(14.67,0.62),以表3、表4 中公式为基础,采用有限差分法进行敏感性分析,结果见图5。其中,1oo1和2oo2公式中未涉及βD和β,故这两个参数的重要度为0。可见无论是低要求模式还是高要求模式,λDD和λDU的重要度最高,即危险失效概率λD对SIL 验证结果的影响最大,其次为β。
图5 参数敏感性分析Fig.5 Parameter sensitivity analysis
表6 参数取值范围Tab.6 Parameter value ranges
鉴于λD和β对SIL 验证结果的影响较大,以OREDA 数据库为基础,同时参考同类型设备的过往失效数据,系统指标参数(表6),对分离超压设置的SIF 回路进行SIL 验证。传感器为2oo3 结构,λDD为logN(8,1.6),βD为logN(0.03,2.5);逻辑控制器为1oo2 结构,λDD为logN(1.8,9),βD为logN(0.04,2.5);执行机构为1oo1 结构,λDD为logN(2.2,9),βD为logN(0.04,2.5)。其余参数按照表7 执行,按照低要求模式计算三者的PFD,直方图结果见图6。
表7 SIS系统指标参数Tab.7 SIS system indicator parameters
由图6 可知,传感器的PFD主要集中在(0.000 5,0.002);逻辑控制器的PFD主要集中在(0.001 8,0.006);执行机构的PFD主要集中在(0.000 1,0.001);系统的PFD主要集中在(0.003,0.010)。Monte Carlo 模拟后的精确计算结果见表8,各元件的均值和中间值均落在95%的置信区间内,说明有95%的仿真结果满足要求。传感器、逻辑控制器、执行机构的SIL 验证结果分别为2、2、3,系统的SIL等级为2,PFD均值为3.75×10-3,小于SIL定级中的PFD均值3.99×10-3,说明该SIF回路的SIL等级满足需求,可在分离器超压时提供足够的保护机制。
图6 SIL验证函数的直方图Fig.6 Histogram of SIL validation function
表8 SIL验证结果Tab.8 SIL validation results
3 结论
(1)针对SIL 评估中数据缺失或不确定的情况,采用Monte Carlo 模拟分别对SIL 定级与验证进行模型改进,通过实例分析验证了评估结果的准确性。与LOPA 分析和传统风险图的SIL 定级结果相比,基于改进风险图的结果更为准确,可完成模糊条件下的SIL定级。
(2)基于有限差分法对影响SIL验证结果的参数进行敏感性分析,得到λDD和λDU的重要度最高,其次为β,其余参数对SIL验证结果几乎无影响。
(3)对于SIL 评估,除参数不确定外,模型、完整性、人因及环境的不确定性也会对SIL评估结果造成影响,应对其进一步研究,以保证安全仪表系统最大程度地发挥保护机制。