油气处理模块安全仪表系统SIL验证

，，

(南通中远船务工程有限公司，江苏 南通 226000)

第7代钻井船凭借卓越的超深水钻井能力和原油试采处理功能，已得到诸多石油公司的重视和认可。为了有效保障海洋油气开采作业人员和设备的安全，针对目标钻井船油气处理模块开展安全仪表系统的安全完整性验证评估，此举极大地降低了油气泄漏污染海洋环境的风险，具有重要研究应用价值。

目前，在海洋工程行业，新建或改建的海洋石油平台一般都要开展风险评估并配置相应安全等级的安全仪表系统。国际上专门制定了一系列相关标准，比如面向安全仪表系统制造和供应商的标准IEC61508[1]，面向安全仪表系统设计、集成和用户的 ISA-S84.01[2]和 IEC61511[3]。为了评估方便，国际上通过引入“要求时平均失效概率”(average probability of failure on demand， PFDavg)这一评估安全完整性的指标。

基于前期对研发钻井船油气处理模块装置开展的危险和风险分析，辨识安全仪表功能，并确定安全仪表功能应具有的目标安全完整性等级(SIL)。本文考虑通过计算油气处理模块执行安全仪表功能(SIF)回路的PFDavg和安全失效分数(SFF)，进而验证某个执行仪表安全功能的安全仪表系统(SIS)其安全完整性是否达到该仪表安全功能的SIL要求。

1 验证要求

为了保证执行某个仪表安全功能的SIS其安全完整性满足该仪表安全功能的SIL要求，IEC 61508(1-7)给出了相应SIS设计和操作规范的安全要求。

IEC 61508规范依据PFDavg值，将安全完整性分为离散的4个等级，安全完整性等级1为最低，安全完整性等级4为最高，见表1。

表1 低要求操作模式下安全功能的目标失效量

3)安全完整性的结构约束要求：按照子系统类型(划分为类型A或B)，由硬件故障裕度(HWFT)和安全失效分数(SFF)以确定系统的安全完整性等级，进而从半定量角度验证构成执行安全仪表功能(SIF)的回路是否整体达到设计的SIL要求。安全回路中的设备在对应类型下系统结构SIL要求见表2。

2 验证方法

2.1 PFDavg计算方法(定量要求)

基于PDS方法[4]对执行SIF回路的PFDavg值进行计算，进而完成定量角度的SIL验证评估。

通常PDS方法简化计算PFDavg时，一般包含共因部分和独立部分。针对目前常用的安全回路结构总结对应的计算公式见表3。

表2 系统结构约束要求

表3 MooN 结构下PFD独立部分 和 PFD共因部分 简化计算公式

注*： 对于NooN结构，其PFDavg中共因部分和独立部分均包含在计算式中

表中，修正因子CMooN由下式计算获得。

(1)

j=2,3,,N

(2)

β2为1oo3冗余结构下3个元件中2个发生共因失效时，第3个元件发生失效的概率。通常定义：β2=0.5，β3=0.6，β4=0.7，β5=0.8，β6=0.9和βk=1.0(k≥7)，因此，修正因子CMooN体现了表决结构对共因失效强度的影响，统计结果见表4。

表4 表决结构修正因子CMooN统计结果

λDU为未检测到的总危险失效率；β为未检测到的危险失效共因失效因子；τ为功能测试时间间隔，h。

进一步考虑IEC 61508规范要求，依据《PDS方法手册》中5.2.4章节所述，IEC 61508规范中要求时失效概率(PFDIEC)数值等于PDS方法中要求时失效概率(PFDPDS)与修复期间的系统安全功能失效概率(DTUR)之和。

PFDIEC=PFDPDS+DTUR

(3)

修复期间的系统安全功能失效概率(DTUR)是指设备维修期间发生的危险失效而导致的系统安全功能失效。设备维修期间内系统的平均不可用时间为MTTR(mean time to failure)，包括从发现设备失效到维修完成这段时间，这段时间内，设备失效是已知的，系统的安全功能失效也是已知的。

针对目标钻井船油气处理模块安全仪表系统，结合实际建造生产情况，假设：功能测试并非完全理想，无法100%发现所有失效，即功能测试覆盖率PTC<1。

未检测到的危险失效λDU假设部分在功能测试期间被检测到，则检测到失效率为PTC·λDU，测试间隔时间为τ，而剩下部分假设在(子)系统的寿命期内完全被检测到，即对应的检测到失效率为(1-PTC)λDU，测试间隔时间为T。

由于MTTR≤τ，依据《PDS方法手册》5.3.2章节所述：PTC<1时，DTUR影响小，可忽略不计。因此，得出常用安全回路结构的PFDavg计算公式，见表5。

表中PTC为功能测试覆盖率；T为(子)系统的寿命期内测试间隔时间，h。

表5 MooN结构下PFDavg计算公式

2.2 安全失效分数SFF计算方法(半定量要求)

硬件故障裕度N是指当出现N+1个错误会导致安全功能的丧失，而安全失效分数(SFF)的定义见下式。

(4)

式中：λS为安全总失效率；λD为危险总失效率；λCritical为总失效率(影响安全功能)；λDD为检测到的总危险失效率；λDU为未检测到的总危险失效率。

依据设备商提供的功能安全认证证书及相关材料，获取对应元件的系统类型(A或B)、硬件故障裕度(HWFT)及相关计算参数，结合安全失效分数(SFF)和表2以确定执行SIF回路的安全完整性等级，进而完成油气处理模块SIS的SIL半定量验证评估。

3 应用实例

依据HAZOP(hazard and operability analysis)分析结果可知，当启动原油工艺处理单元时，需对一级分离器体内先进行注气增压。为了保证注入气体温度不低于罐体设计最低温度，此处通过增设温度传感器来预警注入气体温度低的情形，并由逻辑控制器处理信号，最终执行切断注气的关阀操作。

为证明系统能够实现上述功能，基于HAZOP、LOPA(layers of protection analysis)分析结果，结合流程工艺和仪表功能设计，确定元件的结构和型号，运用上述SIL验证方法，完成该执行SIF回路的SIL验证评估，步骤如下。

第一步。确定执行SIF回路的元件和结构，见图1。

第二步。确定执行SIF回路的目标SIL。基于HAZOP、LOPA(layers of protection analysis)分析结果，该SIF回路的SIL 要求为SIL2，目标PFDavg值为2.00×10-3。

第三步：确定执行SIF回路各元件可靠性数据(依据厂商提供的安全功能认证证书及相关资料)。

第四步：执行SIF回路的SIL 等级的验证计算评估，见表6。

由表6可知：①该执行SIF的回路整体PFDavg为1.73×10-3(小于目标值2.00×10-3)，故满足SIL2等级要求；②选用元件其SIL等级均达到SIL2及以上水平。

因此，无论从定量验证角度还是半定量验证角度，该执行SIF的回路均可满足SIL2等级要求，说明该回路硬件选型及结构的合理性，可确保整个SIF回路的安全功能实现。

4 结论

1)从SIL验证角度分析来看，提高SIS安全等级的途径有：硬件结构确定、测试间隔τ确定、硬件选型等，即通过采用适当的冗余结构或多样性设计，开展频繁的验证测试，选用高可靠性的设备，特别是具有高诊断覆盖率的产品等。

2)从硬件设备选型来看，在优选符合安全要求的硬件设备时，尽量选择经过实践证明或具有安全认证(Exida、TUV、FM Global等)证书的产品。

表6 执行SIF回路的SIL等级的验证计算评估

3)对于执行SIF回路的硬件来讲，危险失效风险总是存在的，倘若硬件SIL评估过低，则易造成系统采用不必要的冗余结构或硬件设备，会增加系统成本；反之，则易造成安全隐患，使过程风险概率增加。因此，SIS设计须兼顾安全性和经济性，从而最大限度地将过程风险控制在容许风险以内。