天然氣處理裝置中SIL軟件化評估方法應用研究①

夏太武 蔣 偉 宋 亮 袁樹海

(1.中國石油西南油氣田公司天然氣研究院 2.中國石油(土庫曼斯坦)阿姆河天然氣公司)

天然氣凈化處理廠(站)是涉及有高溫高壓裝置、易燃易爆物質的高危場所。為減少或避免意外事故的產生，達到生產可控的目標，工藝流程設計時會配置較為完善的安全儀表系統(tǒng)(Safety Instrumented System: SIS)。但配置的SIS系統(tǒng)是否真正滿足裝置安全生產的要求，還需要對其進行安全完整性等級(Safety Integrity Level: SIL)評估。傳統(tǒng)的SIL評估采用純會議形式，缺少專家?guī)斓幕A支撐，評估結果受參與人員的經驗豐富與否影響較大。據此，筆者擬在SIL常規(guī)評估方法的基礎上，探索出一種適合油氣田地面工程的SIL評估方法。

1 概 述

1.1 SIL概要

SIL是用來規(guī)定分配給安全儀表系統(tǒng)的儀表安全功能(Safety Instrumented Function：SIF)的安全完整性要求的離散等級，這種等級共設置有1～4級， 其中SIL 4是最高等級[1-2]。

SIL評估的總體思路是在不考慮現有SIS等防范措施的情況下，從人員傷亡、財產損失、環(huán)境影響、社會影響等角度分析受控設備(Equipment Under Control：EUC)可能產生的事故以及事故的危害程度，確定其所需的SIL等級，然后再逐一分析現有的安全防護措施是否達到EUC所需的SIL等級；若不能，則需要提高現有SIS系統(tǒng)的SIL等級，以確保EUC能在可接受的風險內安全運行。

開展SIL評估的重要意義可以從兩方面來考慮：一方面，安全防護措施SIL等級越高，意味著對應的防護措施可靠性越高，但也意味著更多的軟、硬件投資；通過SIL評估后，可根據EUC所需的等級來配置安全防護措施，減少或避免不必要的投資浪費。另一方面，由于設計上考慮不周導致其安全防護措施不能達到EUC所需的SIL等級或隨著裝置運行時間加長，系統(tǒng)的軟、硬件可靠性會隨之下降，加之天然氣凈化處理裝置會不斷地進行改造，導致現有的安全防護措施不能滿足EUC所需的SIL等級。通過SIL評估，可以識別出這類問題，為企業(yè)優(yōu)化投資或對在役裝置安全整改提供支撐。

1.2 SIL與HAZOP關系

危險與可操作性分析 (Hazard and Operability Analysis：HAZOP) 是一種系統(tǒng)化和結構化的風險評價手段[3]，采用分析會議的模式，在不考慮防護措施的情況下，根據引導詞分析參數偏離原設計的原因以及可能給生產裝置帶來的危害程度，然后綜合考慮現有的防護措施是否能將裝置運行參數控制在允許的范圍內。若不能，則需要提出相應的整改措施，以確保安全防護措施能使裝置運行在可接受的風險范圍內。

文獻[4]討論了SIL與HAZOP的關系，并得出了如圖1所示的結論。在圖1中，SIL評估與HAZOP分析以明確的界限分隔開來。

文獻[5]指出了SIL與HAZOP之間存在交叉關系。文獻[6]-[9]在確定安全防護措施的SIL等級分析過程中，均提到充分應用HAZOP分析過程中的相關結論，并通過HAZOP分析小組來確定部分SIL評估中可能用到的相關參數。

在開展HAZOP分析時，涉及到的安全防護措施包含了SIL評估的SIS，而在開展SIL評估的時候，安全防護措施也包含了HAZOP分析的人員操作、安全報警、基本控制回路等。目前，主流的HAZOP分析以定性分析為主，側重于工藝流程和基本的控制措施，不能定量或更深層次地探討SIS系統(tǒng)可能存在的問題，但它能最大限度地識別出裝置在不考慮現有防護措施情況下可能產生的危害程度，為SIL提供指導作用。另一方面，SIL評估側重SIS分析，無意中縮小了分析范圍，可能存在分析遺漏的情況；但若能充分利用HAZOP分析過程中的部分參數和結論，則能更為完整地分析各EUC。

1.3 SIL與資產完整性關系

文獻[10]認為資產完整性管理(Asset Integrity Management：AIM)的實質是針對不同屬性的設備采用不同的基于風險分析的評價方法。而AIM中基于風險分析的方法主要有：基于風險評估的設備檢驗(Risk Based Inspection：RBI)、以可靠性為中心的維修(Reliability Centered Maintenance：RCM)、SIL[11]。其中：

RBI：用于儲罐等靜設備與工藝管道的風險檢測，對在役裝置采用“高風險設備針對其特點進行重點檢驗”的方法，以提高設備可靠性、降低設備檢維修費用。

RCM：主要是用來確定動設備預防性維修需求、優(yōu)化維修制度的一種系統(tǒng)工程方法。其基本思路是：對系統(tǒng)功能、故障及系統(tǒng)內各故障后果進行分析，用規(guī)范化的邏輯決斷程序確定故障后果的預防性對策，在保證安全可靠的情況下，以最小的維修和資源消耗為目標來優(yōu)化系統(tǒng)的維修策略。

結合SIL主要針對EUC安全防護措施進行分析的特點，將RBI、RCM、SIL等風險評價方法融合在一起，就構成了資產完整性管理的風險評價體系。

2 SIL評估方法分析

2.1 SIL評估適應性分析

從SIL與其他風險評估方法的關系可推斷出：

(1) 新、改、擴建工程的設計階段：風險評估主要以HAZOP為主的前提下，對整座天然氣凈化處理廠(站)進行系統(tǒng)地分析。如果這個階段融入SIL評估，將使得識別風險的范圍更廣、更深入，并能彌補HAZOP目前只能定性分析的不足。

(2) 在役裝置連續(xù)運行階段：開展HAZOP分析，主要針對前期設計階段未進行HAZOP分析或經多次改造而未進行HAZOP分析的裝置進行系統(tǒng)性的風險評估，此時融入SIL評估，將彌補HAZOP分析“重工藝流程、輕SIS系統(tǒng)”的不足，識別出在役裝置SIS系統(tǒng)存在的不足。

(3) 在役裝置連續(xù)運行階段：前期設計階段開展過HAZOP等風險評價的裝置，在役評估時將SIL評估融入RBI、RCM評估，可組建成完整的AIM風險評價體系，為企業(yè)資產完整性管理提供支撐。

單從SIL評估方法而言，其方法較多，也不復雜，但在確定EUC可能存在的風險程度時，受評價師對裝置運行情況了解的程度影響較大，而在驗證EUC安全防護措施時，受評價師對在役SIS系統(tǒng)各組成元件性能把控程度的影響也較大。

2.2 SIL評估方法

在SIL相關的標準和規(guī)范中，可以采用的評估方法主要有：

(1) GB/T 20438-2006《電氣/電子/可編程電子安全相關系統(tǒng)的功能安全》[8]規(guī)定的定量風險評估、風險圖表法(定性)、風險矩陣法(定性)等分析方法；

(2) GB/T 21109-2007《 過程工業(yè)安全儀表系統(tǒng)的功能安全》[9]規(guī)定的定量方法、安全保護層矩陣法(定性)、風險圖表法(定性)、修正風險圖表法(半定性)、保護層分析(半定量)等分析方法。

目前，國內外從事的SIL評估項目主要以會議為主，采用人工分析、記錄、整理，并編制評估報告，評估結果受參會人員的風險評價能力影響較大。也有部分國外咨詢機構開展SIL評估項目時采用了SIL評估軟件，但是這類由咨詢機構開發(fā)的評估軟件數據庫來源于國外油氣田的經驗積累，其數據庫與對國內油氣田的適用性、軟件算法與相關標準的符合程度還有待考證。

3 天然氣處理裝置SIL軟件化評估方法應用

3.1 軟件化SIL評估方法淺析

軟件化SIL評估的目標就是將人工分析、記錄、數據整理及報告編制采用計算機來完成，在半人工/半計算機分析的前提下，彌補人工分析、記錄、數據整理存在的不足，盡可能減少主觀性因素對評估結果的影響力。為此，軟件化SIL評估方法研究的側重點主要在對標準的理解和數據庫組建上。

SIL評估的方法較多，筆者僅以目前最常用的風險圖表法和防護層及防護層分析(Layers of Protection Analysis: LOPA)來確定EUC所需要的SIL等級，結合HAZOP分析，探討基于LOPA的軟件化SIL評估方法[7]。

(1) 采用風險圖標法確定SIL等級。在使用風險圖表法選擇參數(如表1所示)時，可將參數固定成一張表，通過計算機程序來實現事故產生的可能性及事故后果的嚴重性，并通過表2的對應關系，判定出EUC所需的SIL等級(如圖2所示)。

表1 與風險圖相關的參數

表2 SIL對應表

為降低人為因素對判定結果的影響力，可結合實際生產情況將各參數的分級細化，使其在保持相對客觀的前提下，具有更強的操作性。

(2) 采用LOPA方法確定SIL等級。采用LOPA方法來確定EUC所需的SIL等級時，首先應明確EUC具備哪些保護層，如圖3[12]所示。

根據HAZOP分析結論確定EUC的防護層，然后由HAZOP分析確定機械、人員操作、報警等防護措施的失效概率，再根據事故發(fā)生的臨界點來確定EUC所需SIS系統(tǒng)的失效率，從而判定EUC所需SIS系統(tǒng)的SIL等級。

該分析方法需要HAZOP分析的基礎資料，采用計算機輔助分析時，有兩種方式可以實現：一是采用人工輸入，另一種是形成HAZOP分析專家?guī)?，由計算機從專家?guī)熘姓{取HAZOP分析的相關數據。

(3) 驗證SIL等級。驗證EUC現有SIS系統(tǒng)的SIL等級是否滿足其要求的SIL等級時，需要對SIS控制回路的檢測元件、控制器、執(zhí)行元件進行評估，綜合分析其失效率，并計算冗余情況下的失效率，最終由式(1)求得該控制回路的失效率，對照表2[1]，可得到該回路的SIL等級。

PDF總=PDF檢測元件+PDF控制器+PDF執(zhí)行元件

(1)

需要說明的是，控制回路的失效率計算相對比較復雜，且與各元件的質量和使用期限有關，為達到計算機輔助驗證的目標，需補充各元件失效率的專家?guī)?，由計算機根據失效率的計算方法來完成這部分工作。

3.2 SIL評估軟件

根據3.1分析的結果，SIL評估軟件應具備以下功能：

(1) 分析EUC所需的SIL等級。

(2) 驗證EUC現有防護措施的SIL等級。

(3) 指出并定量給出現有防護措施中某局部元件配置的不足。

(4) 部分參數既可由軟件推理生成，也可由人工直接輸入，且能通過人工輸入擴充軟件數據庫。

(5) 軟件具備其他SIL評估方法的植入，且植入的方法簡單可行。

(6) 配置專家?guī)?，通過人工錄入或軟件自學習功能，不斷完善或充實數據庫資源。

軟件的總體架構如圖4所示。

從圖4來看，軟件開發(fā)并不復雜，但實際上專家知識庫的算法，以及與HAZOP、RBI、RCM、AIM之間的數據交互都要作深入的分析才能確定。本文僅提出軟件開發(fā)構想，具體實施還需進一步的研究。

4 結 論

(1) SIL評估與HAZOP分析在設計階段和在役裝置結合使用，可以彌補二者的不足，能更完整、徹底識別裝置中可能潛在的風險。

(2) SIL評估可與RBI、RCM配套使用，構建成企業(yè)資產完整性管理的風險評價體系。

(3) 通過SIL評估，可以識別出前期設計和在役裝置中EUC防護措施存在的不足或防護措施高于EUC需求的SIL等級，為企業(yè)領導層決策時提供支撐。

(4) 理論上，SIL評估方法較為簡單，將常規(guī)的人工SIL評估方法軟件化是可行的，只是軟件參數設置和數據庫組建還需要大量的后續(xù)工作來充實。

(5) 適用于天然氣處理裝置的SIL評估軟件將大大降低SIL評估投入的人力、財力，也能降低個別主觀因素對SIL評估結果的影響力，增強SIL評估結論的可信性和可操作性。

參考文獻

[1] 中華人民共和國質量監(jiān)督檢驗檢疫總局.GB/T 21109.1-2007 過程工業(yè)領域安全儀表系統(tǒng)的功能安全 第1部分：框架、定義、系統(tǒng)、硬件和軟件要求[S]. 北京：中國標準出版社，2007-11-01.

[2] 陳懷龍,夏太武,袁樹海,等.安全完整性等級在天然氣處理裝置中的應用[J].石油與天然氣化工,2010,39(6):538-541,547.

[3] IEC 61882：2001 Hazard and operability studies(HAZOP studies)-Application guide[S].Petroliam National Berhad, 01,October 2003.

[4] 繆煜新. 石油化工裝置中SIS的安全功能[J]. 石油化工自動化，2004，40(3)：10-12.

[5] 夏太武,袁樹海,宋彬,等.SIL在天然氣凈化廠中的應用研究[J].天然氣化工, 2011,30(3):1-5.

[6] 中華人民共和國質量監(jiān)督檢驗檢疫總局. GB/T 20438.5-2006 電氣/電子/可編程電子安全系統(tǒng)的功能安全. 第5部分：確定安全完整性等級的示例[S]. 北京：中國標準出版社，2007-01-01.

[7] 中華人民共和國質量監(jiān)督檢驗檢疫總局. GB/T 21109.3-2007 過程工業(yè)領域安全儀表系統(tǒng)的功能安全 第3部分：確定要求的安全完整性等級的指南[S]. 北京：機械工業(yè)出版社，2007-11-01.

[8] 中國機械工業(yè)聯(lián)合會. GB/T 20438-2006電氣/電子/可編程電子安全相關系統(tǒng)的功能安全[S], 北京:中國標準出版社, 2007-07-01.

[9] 中國機械工業(yè)聯(lián)合會. GB/T 21109-2007過程工業(yè)領域安全儀表系統(tǒng)的功能安全[S]. 北京:中國標準出版社, 2007-11-01.

[10] 稅碧垣,艾慕陽,馮慶善.油氣站場完整性管理技術思路[J].油氣儲運, 2009,28(7):11-14.

[11] 馮曉東,趙忠剛,白世武,等.站場完整性管理技術研究[J]. 管道技術與設備, 2011,8(4):15-20.

[12] 吳重光, 張貝克,馬昕. 過程工業(yè)安全設計的防護層分析(LOPA)[J]. 石油化工自動化, 2007,43(4):1-3.