《过程装置自控系统安全完整性研究与应用》

付建民 英国劳氏船级社认证HAZOP主席

德国莱茵T Ü V认证功能安全工程师

Mobile:18678916229 E-mail: fujianmin@upc.edu.cn

国家石油天然气安全生产工程技术研究中心

中国石油大学安全科学与工程系

中国石油大学海洋油气装备与安全技术研究中心

缩略词 翻译 缩略词及解释

ESD 紧急切断系统

STR 误停车率 英文全称

FTA 故障树法 Emergency Shut Down System

LOPA 保护层分析法 Spurious Trip Rate

MTTR 平均修复时间 Fault Tree Analysis

风险降低因子 Layer of Protection Analysis

01RRF 独立保护层 Mean Time to Repair

IPL 安全仪表系统 Risk Reduction Factor

SIS 安全仪表功能 Independent Protection Layer

SIF 安全完整性等级 Safety Instrumented System

SIL 平均要求时失效概率 Safety Instrumented Function

PFDavg 模糊集合法 Safety Integrity Level

Fuzzy Sets 蒙特卡罗法 Probability of Failure on Demand

MC 基本过程控制系统 Fuzzy Sets

BPCS 检验测试周期 Monte Carlo

TI 部分行程测试 Basic Process Control System

PST “尽可能合理降低”原则 Testing Interval

ALARP 平均误动作间隔时间 Partial Stroke Testing

MTTFs As Low as Reasonably Practicable

Mean Time to Failure spurious

2018\/3\/2

2

PY PC PI PSV b 自控系统功能安全评估

01 01 06 04 c

PV PFD1       PFD2      PFD3

01 PT PT 储气罐 d

01 06

HV

02

a HS

天然气入口 02

IPL1         IPL2        IPL3

2018\/3\/2 3

安全完整性等级(SIL)说明

IPL 说明 PFD

安全阀 （来自文献和工业）

爆破片

什 基本过程控制系统 防止系统超压 1×10-5~1×10-1

么 安全仪表功能

是 SIL1 防止系统超压 1×10-5~1×10-1

SIL1 如果与初始事件无关，BPCS可确认为一种IPL 1×10-2~1×10-1（IEC规定>1×10-1）

| SIL2 见IEC61508（IEC，2000）和IEC61511（IEC，2001）

SIL4

不 SIL3 典型结构：“多个”传感器（容错）；

同

等 防火堤 “多个”通道逻辑控制器（容错）； 1×10-2~1×10-1

级 地下排污系统 “多个”执行器（容错）。

？ 开式通风口

典型结构：“多个”传感器（容错）；

2018\/3\/2

“多个”通道逻辑控制器（容错）； 1×10-3~1×10-2

“多个”执行器（容错）。

典型结构：“多个”传感器（容错）；

“多个”通道逻辑控制器（容错）； 1×10-4~1×10-3

“多个”执行器（容错）。

降低储罐溢流、破裂、泄漏等严重后果（大面积扩 1×10-3~1×10-2

散）的频率。

降低储罐溢流、破裂、泄漏等严重后果（大面积扩 1×10-3~1×10-2

散）的频率。

防止超压。 1×10-3~1×10-2

耐火材料 减少热输入率，为降压\/消防等提供额外的响应时间。 1×10-3~1×10-2

防爆墙\/舱 1×10-3~1×10-2

阻火器或防爆器 通过限制冲击波，保护设备\/建筑物等，降低爆炸重 1×10-2~1×10-1

大后果的频率。

如果设计、安装和维护合适，这些设备能够消除通

过管道系统或进入容器或储罐内的潜在回火。

4

贫数据条件下SIL定级模型 1 项目概况

 研究背景：

1、随着数字化、智能化的普及发展，自动化技术在油气田生产中得到

广0泛1应用，并发挥了重要作用。特别是在气田开发建设中，自动化控制系统

已逐渐成为生产过程的神经与核心，其本身存在缺陷或完整性管理不足等，

都将可能引发重大安全事故；2、满足国家安监总局《关于加强化工安全仪

表系统管理的指导意见》116号文要求。

外部 内部

1 01984年印度博帕尔农药厂毒气泄漏事故 1 2008年玛河处理站ESD异常启动事件

2 2012年玛河处理站DCS系统卡件因雷击

损坏事件

2 1986年前苏联切尔诺贝利核电站泄漏事 3 2015年1月储气库自控电脑突然断电事件

故 4 2015年6月克拉美丽ESD卡件故障事件

2018\/3\/2 5

2 取得成果—成果1

完善过程控制系统基础管

理考核标准

结合厂实际情况，梳理自控系统软、硬件设计、运行标准18项，根据标准要

求编制检查表共计10类166条，以此完善厂《自动化管理季度检查表》，目前已正

式下发使用。

2018\/3\/2 检查条款

内容全面

、有理有

据、管理

合法合规

6

2 取得成果—成果2

在国内外现状调研的基础上，结合相关标准、理论分析和厂生产实际，从安

全后果、环境后果、经济后果等方面综合考虑，建立了适用于过程装置自控系统

风险评估准则，为该项目顺利开展提供了理论基础和技术支持。

 GB\/T 20438和GB\/T 21109相关

标准

0  IEC61508和IEC61511标准

 AQ\/T3054-2015中关于LOPA

应用导则等

2018\/3\/2 7

2 取得成果—成果2

风险评估模型建立（项目主要采取定量评估模型）

可用性 可靠性能 使用性能 功能性 子系统类型 与功能无关性能

 定量评估模型建立  半定量评估模型建立  定性评估模型建立

根据子系统失效模式、故

在 FTA 、 可 靠 性 框 图 等 法 安全失效分数（SFF）作 障模式且失效数据不确定

性，把元件定义为A型\/B

基础上，建立定量风险评 为使用性能指标，硬件故 型子系统类型；与功能无

关的特性主要考虑自控系

估模型 ，其中需求时失效 障容错（HFT）作为功能 统日常维检护。

概率0（PFDavg）作为可靠 性指标。

性 指 标 ， 误 动 作 率 （ STR ） SFF  DD  S  S  DD

total S  D

作为可用性指标。 HFT=N-M（MooN）

2018\/3\/2 8

准 2 取得成果—成果2

则

体 9

系

框

架

2018\/3\/2

方法论：事故树模型。 SIL Solver软件介绍

数据来源：国外仪表根 10

据相似性原则，参考国

外相关数据库，国内仪

表使用贫数据法进行研

究（保守分析与最佳分

析）。

评估指标：平均需求时

失 效 概 率 （ PFDavg\/SIL

）、误动作率（

STR\/MTTFs）。

2018\/3\/2

2 取得成果—成果3

工业系统可靠性数据库： 信息充分 贫

海上可靠性数据库(OREDA)； 方法论：确定性方法 数

安 全 仪 表 系 统 可 靠 性 数 据 库 据

(PDS Handbook) ； 贫 部分信息 评

美国化工协会过程设备可靠性 数 方法论：MC仿真方法 估

数据库（PERD）; 据 方

安全设备可靠性手册(EXID)等。 法

极少信息

贫数据研究基础 方法论：区间均值法、

2018\/3\/2 fuzzy sets法研究

11

2 取得成果—成果3

在玛河气田自控系统中的玛纳1#井口

均值法与FTA结合的SIL评估模型 ESD1201系统中，由于远程监控系统失效率数据

假设元件失效率介于 [min,max]， 匮乏，因而对ESD1201系统进行最佳分析和保守

根据FTA模型计算保守情况下

PFDamvagx 和最佳情况下PFDamvign 。 分析时的PFDavg如下：

算术均值： 最佳分析：

保守分析：

基于以上计算结果，分别求系统PFDavg算数平

PFDamvgin  PFDamvgax 均值和几何平均值：

2

PFDavg = 算术平均数：PFDavg=7.00e-3

几何均值： 几何平均值：PFDavg =7.30e-3

由于 1  P F D max  100 ，因此取算术平均值作为该系

avg

D min

2 取得成果—成果3

参数 传感器（2oo3） 控制器（1oo1） 执行器（1oo2）

λD Logn.(-14.8,0.52) Logn.(-13.4,0.6) Logn.(-12.6,0.53)

λS

DC Logn.(-13.6,0.65) Logn.(-12.8,0.55) Logn.(-13.2,0.6)

T 0.8

克拉美丽气田火炬系统为例MC法研究 β 0.7 0.8 8760

MTTR

火炬火焰探测联锁控制系统：各元 SD 8760 8760 Gam.(3.7,0.03)

件危险失效率、安全失效率服从概 8

率分布，即部分信息，采用MC仿 0.5 ---

真方法进行SIL分析。

88

24 24 24

2018\/3\/2 结论：系统PFDavg=1.31e-2，即火焰探测系统

SIL为SIL1，且进行95%置信区间仿真结果满足

所需的SIL。

13

2 取得成果—成果3

克拉美丽气田火炬系统为例模糊集合法研究 参数 传感器（2oo3） 控制器（1oo1） 执行器（1oo2）

(5.6e-6,8e-6,9.2e-6) Logn.(-13.4,0.6) Logn.(-12.6,0.53)

λD

λS 6.5e-6 7.8e-6 5.7e-6

DC 0.7 0.8 0.8

T 8760 8760 8760

β 0.5 --- 0.5

MTTR 8 8 8

SD 24 24 24

模糊集合方法步骤 结论：隶属度为0.7时，系统PFDavg=1.42e-2，

即火焰探测系统SIL为SIL1。

2018\/3\/2

14

2 取得成果—成果3

为降低贫数据对系统完整性分析影响，建立自控设备故障统计表，用于贫数据

统计分析。

采气一厂自控设备故障统计表（贫数据统计分析）

序 设备大 设备型 生产厂 设备位 投运时 故障时 维修时 故障类型 消耗配 耗件 汇报单 情况简 汇报 记录

号 类 号（功 家 号 间 间 间 件或卡 费用 位 述人 人

能） 件

阀门 气动紧 罗斯蒙 ESDV- 2012.9.8 2013.6.6 24h 不动作\/阀 更换定 xxx 克 拉 美 更换或 XXX XXX

急切断 特 101 门卡住\/盘 位器 丽气田 维修？

示 球阀 根漏\/定位

例 器故障\/阀

动作不到

位\/阀门波

动等

1

2

3

4

…

2018\/3\/2 15

2 取得成果—成果4

 备品备件储存模式  备品备件数量确定模型

鉴于本项目气田和储气库特殊性，制定以 基于自控系统可靠性原理，兼顾风险等

下三级存储模式： 级R、系统冗余结构MooN、系统测试周

1）在气田和储气库仓库储存充分、全面 期T和使用寿命L因素，提出备品备件数

量确定模型：

的备件，主要对于易坏的常用备件；

2）对于站场不共用的备件，可采取少量 RispN0 ( t)k et

k 0 k!

备用的特点；

3）对于ESD阀等这种大型设备，应采取 N0  min{N0|Risp  Ri}

失效时供应商直接供应的形式进行管理。 Nall  A

2 取得成果—成果4

 基于模型计算，分别得到克拉美丽、玛河气田和储气库备品备件数量

清单，且提供了Excel计算表，为现场新旧自控系统备品备件数量提供

技术指导。

2018\/3\/2 17

2 取得成果—成果4

 为确定备品备件（配件或卡件）采购数量，制定采购清单记录表及采

购数量确定原则：

配件或卡件采购清单（确定采购数量）

编号 采购日期 设备大类 设备型号 采购配件\/卡 生产厂家 采购数量 单价（元） 订单号 库存仓位

2012.9.8 阀门 件描述 罗斯蒙特 S xxxxxx

示例 气动调节

阀 阀门配件： 10 xxx xxxxxxx

1 阀座环

2

... 1U285346172

5



数量确定原则： S i （即以5年为一个滚动周期，统计分析确定后一年

2 取得成果—成果5

 分别在克拉美丽、玛河气田和储气库自控系统进行SIL分析基础上，从

容错性、测试策略角度对其进行完整性敏感性研究，为现场自控系统

提供了提高完整性日常维检护策略及维持现有完整性建议。

 克拉美丽气田52个SIS和52个其他自控系统维检护及改善SIL建议；

 玛河气田44个SIS和59个其他自控系统维检护及改善SIL建议；

 呼图壁储气库125个ESD系统维检护及改善SIL建议。

指 工艺区 SIF编号 控制回路 需求 SIL验 是否满足 STR 容错性与测试策略优化建议

SIL 证 SIL需求

导 1.74e-1 因PFDavg=9.24e-3，介于SIL1与SIL2之

SIL2 SIL2 是 间，建议：1. 增加在线测试PST=6m提

实 集注站注气单 SIF1-1 西二线来气 高系统可靠性；2.1oo2压力变送器可用

例 元ESD系统 管线进站压 性低，可优化为2oo3；3.定期巡检压力

力联锁控制

变送器是否异常并定期校准。

2018\/3\/2 19

2 取得成果—成果6

气田整个SIS系统完整性分析结论

整个气田共52个SIS联锁系统功能； 井口进站ESD定级SIL2原因

SIL2需求有26个，仅1个SIS满足SIL2； 1）发生超压泄漏事故时，人员

SIL1需求有26个，其中全满足SIL1需求； 响应不能作为独立有效保护层；

即整个SIS达标率为52%； 2）无其他独立保护层，比如：

SIS联锁功能的误动作率STR介于[9.8e-2 BPCS、物理保护措施等；

，2.53e-1] 之 间 ， 即 误 动 作 间 隔 时 间 为 3）井口井下未设安全阀。

3.95-10.2年。

2018\/3\/2 20

2 取得成果—成果6

集气站共34个SIS系统，24 提高系统SIL措施：

个SIS未满足SIL需求（井口

进站ESD），达标率29.4%。  操作规程规定，定期记录并比对井口压力，发生超

压异常时，及时响应；

处理站共18个SIS系统，1个

SIS未满足SIL需求，达标率  对ESD阀增设部分行程测试PST=3m；

94.4%。  可通过改变压力传感器为2oo3冗余结构和PST=6m；

 ESD阀增设旁通，改变功能测试周期T=0.5y；

2018\/3\/2  井口井下增设安全阀，发生超压事故时可作为独立

保护层（要求安全阀具有检测报告）。

提高系统可靠性\/可用性措施：

严格执行日常巡检、维检护策略来维持联锁系统安全

完整性，比如功能测试周期T=1y，增设部分行程测试

PST=6m等；

日常预防性维护，比如压力变定期检验校对、系统润

滑保养等。

21

2 取得成果—成果6

气田SIS完整性分析结论

整个气田共44个SIS联锁系统功能；

系统SIL2需求有13个，其中验证满足

SIL2有6个；系统SIL1需求31个且全满足； 井口进站ESD定级SIL2原因

即系统达标率为84.1%；

误动作率介于[9.8e-2，2.88e-1]之间， 1）001#井井下设有安全阀，可作

为 独 立 有 效 保 护 层 ， 故 该 ESD 定

即误动作间隔时间为3.47-10.2年。

级为SIL1；

2）其他井口井下未设安全阀，且

无独立保护层，比如：BPCS、物

2018\/3\/2 理保护措施等。 22

集气站共16个SIS系统，6个 2 取得成果—成果6

SIS未满足SIL需求（井口进

站ESD），达标率62.5%。 提高系统SIL措施：

井口和处理站分别有7个和  操作规程规定，定期记录并比对井口进站压力，发

2 1 个 SIS 系 统 ， 全 满 足 SIL1 生超压异常时，及时响应；

或 SIL2 需 求 ， 即 达 标 率 为

100%。  井口进站管线增设压力调节系统，发生超压事故时

可作为独立保护层。

2018\/3\/2

 可通过改变压力传感器为2oo3冗余结构和PST=6m；

 ESD阀增设旁通，改变功能测试周期T=0.25y。

提高系统可靠性\/可用性措施：

 井口ESD系统无表决逻辑（引压管直接联锁ESD阀），

虽满足SIL2需求，条件允许，定期对ESD阀进行部

分行程测试PST=6m，避免ESD阀“拒动作” ；

 严格执行日常巡检、维检护策略来维持联锁系统安

全完整性，比如功能测试周期T=1y，压力表校对等。

23

呼图壁ESD系统完整性分析结论 2 取得成果—成果6

整 个 储 气 库 共 有 125 个 ESD 系 统 联 占SIF数量比重

锁功能；

SIL2需求有1个，且该系统SIL验证 不满足

达到SIL2；其他124个全满足SIL1需 0%

求；即达标率为100%； 满足

系 统 误 动 作 率 介 于 [3.1e-2,2.53e-1] 100%

之间，即误动作时间间隔为3.95-31.3

年。 井口进站ESD定级SIL1原因

储气库井口井下均设有安全阀

（要求安全阀具有定期检测报

告），可作为独立有效保护层，

故该ESD定级为SIL1。

2018\/3\/2 24

2 取得成果—成果6

集注站共47个SIS系统，仅1 提高系统SIL措施：

个系统SIL介于SIL1-SIL2之

间（西二线进站ESD），其  操作规程规定，定期记录并比对井口进站压力，发

他SIS均满足SIL需求，即达 生超压异常时，及时响应；

标率100%。

 对于ESD系统而言，增加ESD阀部分行程测试，即

集配站分别有78个SIS系统， PST=6m；

全满足SIL1需求，即达标率

为100%。  ESD阀增设旁通，改变功能测试周期T=0.5y。

2018\/3\/2 提高系统可靠性\/可用性措施：

 定期检测井下安全阀有效性，确保该保护层有效性；

 严格执行日常巡检、维检护策略来维持SIS系统SIL，

比如功能测试周期T=1y，压力表校对等；

 鉴于1oo2压力传感器可用性不好，建议选用2oo3的

传感器来提高系统可用性；

 定期对ESD阀进行部分行程测试PST=6m，避免ESD

阀“拒动作” 。 25

2 取得成果—成果6

完整性分析（气田\/储气库） 提高系统可用性措施：

 增加DCS与PLC系统软件与硬件测试（增

克拉美丽、玛河气田和

储气库自控系统误动作 设自诊断测试），避免“误动作”事故；

间隔时间为4-10年（无相  对UPS电源状态进行监控，并设报警显示

关标准要求，其他企业

一般为3-10年），其中逻 功能，以便及时发现故障并维修；

辑 控 制 系 统 （ DCS\/PLC ）  严格确保控制系统运行环境，避免高温、

的STR占整个系统比重较

大，即可用性低。（与 低温或灰尘，使之高效运行；

故障台账记录显示一致）  操作规程规定，定期巡检控制系统运行状

态，并记录比对，发现异常及时上报维护。

2018\/3\/2 26

2 取得成果—成果7

基于气田和储气库可能存在的过程风险，从容错性、测试策略角度对

自控系统进行完整性敏感性分析，分别提出气田和呼图壁储气库自控系

统设计标准，确保系统完整性达到安全要求且最优。

过程风险确定：综合考虑井下是否设安全阀、物料理化性质、产量等

因素，从人员伤害、财产损失、环境污染、声誉和法规五个方面确定。

工艺区 SIF编号 控制回路 位号 设计 原因 备注

设 西二线来气 方案一：压力变送器2oo3，支持 原设计满足SIL2设计要求。但由于 详细分析

管线进站压 系统气动1oo1，紧急切断球阀 PFDavg接近SIL1区域且切断阀失效 见报告

计 集注站注 力联锁控制 1oo1； 概率占整个系统比重大，故建议：1 4.2.1.1

实 气 单 元 SIF1-1 方案二：压力变送器2oo3，支持 ）增设ESD阀部分行程测试PST=6m

例 ESD系统 ESD30101 系统气动1oo1，紧急切断球阀 ；2）2oo3冗余结构压力变送器可靠

1oo1，PST=6m。 性与可用性最优；3）设置旁通管线

，可缩短测试周期或发生故障时可

随时检修。

2018\/3\/2 27

2018\/3\/2 28