嚴春明，施建設，鄭勤

（中石化寧波工程有限公司，浙江 寧波315103）

近年來國內投建了若干大型甲醇裝置，如中海油海南800kt／a甲醇項目、重慶800kt／a甲醇項目和川維770kt／a整合甲醇裝置等。甲醇裝置大型化已經成為國內甲醇工業(yè)發(fā)展的趨勢。隨著甲醇生產裝置大型化，裝置的自動化水平越來越高，其安全儀表系統(tǒng)（SIS）對安全的重要性也日益突出。因此，根據IEC 61508［1］以及IEC 61511［2］對甲醇裝置的SIS進行安全完整性等級SIL（Safety Integrity Level）評估十分必要。此外國內甲醇裝置大多采用國外專利商的工藝包，通常在因果圖文件中規(guī)定了安全聯(lián)鎖回路所需達到的SIL。在引進合同的技術附件中，專利商要求業(yè)主根據采購的設備廠商提供的可靠性數據，驗證安全聯(lián)鎖回路的SIL能否滿足其提出的設計要求。

川維770kt／a整合甲醇裝置采用英國DAVY公司的甲醇工藝包，由中石化寧波工程有限公司（SNEC）承接設計，并在設計階段開展了功能安全評估工作，完成了按照DAVY公司SIL要求而實現的聯(lián)鎖回路的SIL分析計算工作。

本文通過介紹SIS的SIL評估技術在大型甲醇裝置中的實施過程和效果，討論相關的技術難點，探討設計階段開展SIS的SIL評估工作的特點。

1 SIL評估技術及流程

SIS對裝置的可靠性和安全運行影響極大。據殼牌和BP等多家國際石化大公司的統(tǒng)計，在現有石化裝置中安全聯(lián)鎖不足的占5%～10%，安全聯(lián)鎖過度的約占50%，聯(lián)鎖合理的只占40%～45%。在工業(yè)發(fā)達國家的流程工業(yè)中，早已大力開展聯(lián)鎖系統(tǒng)SIL等級定量評估工作。IEC于1999年和2003年分別制定了用于對通用電力、電子及可編程器件進行定量安全評估的IEC 61508和專門用于對流程工業(yè)聯(lián)鎖系統(tǒng)進行定量安全評估的IEC 61511。中國于2006年和2007年分別頒布了GB／T 20438［3］和 GB／T 21109［4］，分 別 對 應IEC 61508和IEC 61511。

SIL是用來描述SIS運行安全性能的指標，在一定時間、一定條件下，SIS能成功地執(zhí)行其安全功能的概率，其數值代表著SIS使國產風險降低的數量級。SIS的功能安全技術是通過對受控單元進行危險與后果分析，確定正確的安全功能，選擇恰當的目標SIL，設計滿足目標SIL的安全聯(lián)鎖功能（SIF）。通過對SIS的功能安全水平實行測試、評估、認證等，可以把受控過程的風險降至一個可接受的水平。SIL定量評估過程如圖1所示。

圖1 SIL定量評估過程的流程示意

2 甲醇裝置的SIS功能安全評估

2.1 SIS功能安全評估工作

SNEC是國內較早在設計階段開展SIS功能安全評估的單位之一。在該項目中著重完成了以下工作：

1）收集、消化、吸收國內外相關標準和文獻資料。研究國際上已有的各種有關SIS安全評估的標準、方法及相關數據庫，尤其是IEC 61511的背景和內容，充分理解并吸收這些標準和資料的內容。

2）裝置的定量風險識別與分析計算。以國際通用的安全風險分析方法為依據，根據裝置的實際情況，進行了定量風險評價。

3）聯(lián)鎖回路SIL等級計算。根據IEC 61511和相關數據資料，對選定聯(lián)鎖回路，按照合適評定計算方法，定量計算聯(lián)鎖回路的SIL和誤動作跳車的概率。

4）安全聯(lián)鎖回路系統(tǒng)評定、優(yōu)化和改進。根據可接受的風險概率和可接受的經濟損失標準，評估甲醇裝置安全聯(lián)鎖回路是否滿足專利商的要求。對達不到最低安全要求的回路，提出具體可行的控制回路優(yōu)化或者設備替換意見，并重新計算評估SIL，實現安全有效的聯(lián)鎖回路目標。

2.2 SIL驗證與結果

依據IEC 61511對川維甲醇裝置的84個聯(lián)鎖，共542個SIF進行了定量分析。根據因果圖中專利商要求的SIL，SIL1聯(lián)鎖為25個（206個SIF），SIL2聯(lián)鎖為49個（289個SIF），SIL3聯(lián)鎖為6個（47個SIF），還有2個聯(lián)鎖（共5個SIF）未給出等級要求，如圖2所示。

考慮了其他保護層后，實際能達到的SIL情況為：能達到SIL1的SIF為70個，SIL2的SIF為306個，SIL3的SIF為132個，SIL4的SIF為34個，都能滿足專利商規(guī)定的SIL等級要求，如圖3所示。

圖2 聯(lián)鎖回路專利商要求的SIL等級示意

圖3 聯(lián)鎖回路實際能達到的SIL等級示意

從評估結果看，專利商要求的安全聯(lián)鎖回路的SIL明顯偏高。

3 SIL評估技術探討

根據甲醇裝置設計階段開展的SIS的功能安全評估情況，需要對風險控制、SIF識別、DCS與SIS的共用問題、獨立保護層設置以及安全聯(lián)鎖的邏輯結構選擇等問題進行探討。

3.1 風險矩陣及控制

一般來說，裝置進行風險評估所執(zhí)行的風險矩陣依據企業(yè)的事故管理規(guī)定而制訂，并參照國家法規(guī)、賠償制度以及企業(yè)所在地的經濟水平，根據ALARP原則進行編制，對人員傷亡、環(huán)境污染和經濟損失的風險分別進行認定。通常專利商給出的安全聯(lián)鎖SIL要求是基于其風險控制策略，并未考慮裝置建造地的實際情況。以人員傷亡控制為例，各個國家對各個行業(yè)的傷亡情況的控制是不盡相同的。例如，荷蘭和香港的可接受風險水平也存在明顯的差別，以發(fā)生事故死亡10人為例，荷蘭認為10－5為其可允許的上限，超過10－5就屬于不可接受區(qū)域，而香港則是以10－4為其上限。假設在SIL的評估中，采用以歐盟標準為基礎的風險矩陣，會使得整個裝置的聯(lián)鎖系統(tǒng)SIL偏高［5］。

目前國內石化行業(yè)的人員死亡風險控制水平應與香港的人員死亡風險控制水平較為接近，如圖4所示。該項目依據實際情況，制訂了適用于該廠的聯(lián)鎖回路定量安全評估適用的風險矩陣。

4 國內石化行業(yè)人員死亡可接受風險水平示意［6］

3.2 SIF識別

SIF是指具有特定SIL的安全功能，它既可以是一個儀表安全保護功能，也可以是一個儀表安全控制功能。根據IEC 61511，SIF是為了達到功能安全所需的最少和充分的儀表，通常由傳感器、邏輯求解器和最終元件（執(zhí)行機構）組成。每一個SIF都有各自的SIL。因此，每個SIF必須針對一種特定的危險情況，預防特定的危險后果。而1個SIS可由多個安全功能組成，各安全功能針對的危險情況不同，所執(zhí)行的動作也不同，因而在復雜聯(lián)鎖系統(tǒng)中，對于聯(lián)鎖功能的識別顯得更加重要。筆者采用殼牌公司的方法識別SIF。

以甲醇裝置的粗甲醇排污罐液位高高為例，如圖5所示。當傳感器檢測到粗甲醇中間罐液位高高時，根據因果圖的要求，需要同時切斷閃蒸氣通向燃料系統(tǒng)的閥門（PV 63030A）、閃蒸氣通向火炬系統(tǒng)的閥門（PV 63030B）和排污罐的噴淋水閥門（FV 65027）。根據SIF的定義，其功能為預防特定的危險后果，那么這里3只閥門的失效（未及時切斷）后果是完全不同的。顯然，如果排污罐的液體進入燃料系統(tǒng)或火炬系統(tǒng)都會導致較為嚴重的后果，而噴淋水閥門的關閉在這里顯然不是1個必要的動作，當通向燃料系統(tǒng)和火炬系統(tǒng)的閥門正常關閉時，即使噴淋水閥門未能及時切斷，也不會造成嚴重的后果，那么單從這1個SIF來考慮，將這3只閥門定為同一SIL是不合理的。因此，在SIL評估的過程中，必須對因果圖中的每一個執(zhí)行動作進行細致的充分必要性分析，以確定各個SIF。

圖5 粗甲醇中間罐液位高高的聯(lián)鎖回路識別示意

3.3 安全聯(lián)鎖邏輯結構的選擇

安全聯(lián)鎖的常用邏輯結構為“1oo1，1oo2，2oo2，2oo3”等。IEC 61508－2也規(guī)定了設備硬件冗余標準要求。從功能安全角度看“1oo2”較“1oo1”有更高的SIL，但操作可靠性較差（較易誤跳車）?！?oo3”較“1oo1”不僅有較高SIL，而且有較好的操作可靠性；而“2oo3”較“1oo2”，雖然其SIL略低于“1oo2”，但其操作可靠性比“1oo2”高。

此外，不同的邏輯結構在投資成本上也是不同的。根據以往的SIL定量評估經驗［7］，一般情況下，“1oo1”結構的閥門執(zhí)行機構，在SIL1左右；“1oo2”結構的閥門執(zhí)行機構，在SIL2左右；要使執(zhí)行機構達到SIL3的水平，必須進行周期性的測試。如果這種測試是在線測試，那么要求閥門必須帶有智能限位器，一般大口徑的緊急切斷閥門價格比較昂貴，而這種帶智能限位器的閥門價格為普通閥門的2～3倍。因此，SIL需求的提高，將會大幅增加裝置的建設成本。

合理選擇安全聯(lián)鎖的邏輯結構，在滿足SIS的SIL要求的前提下，宜盡可能地減少裝置成本和誤跳車，提高系統(tǒng)的操作可靠性和經濟性。

3.4 DCS與SIS的共用問題

目前，在SIS設計上與DCS存在一體化的問題。依據IEC 61508／IEC 61511，SIS應與DCS相互獨立，若無法實現相互獨立，則DCS作為聯(lián)鎖最高可以達到的等級只能為SIL1。DCS強調的是過程調節(jié)，而聯(lián)鎖強調的是隱性工作。DCS的現場設備（傳感器、執(zhí)行機構）發(fā)生故障時通?？赏ㄟ^其他量反映出來，而聯(lián)鎖用的現場設備發(fā)生故障時，一般無法通過其他量反映出來，直到聯(lián)鎖動作發(fā)生，兩者對于設備的可靠性存在著較為明顯的差異。

在某些情況下，將DCS與SIS共用可能會存在一定的安全隱患。例如，某塔底安裝有2臺液位調節(jié)閥（2條管線），當該塔出現液位低低時，需要切斷塔底部的2臺液位調節(jié)閥來保證液位不再繼續(xù)下降。此時必須考慮到造成液位低低的原因可能是由于這2臺液位調節(jié)閥的其中1只卡堵在某個開度較大的位置，無法進行DCS的正常調節(jié)而導致塔內的液位走低，那么此時液位低低的信號再送到SIS，通過SIS去切斷該閥門來保證液位不再下降，其失效概率接近100%，其后果很有可能是塔內的液位走空，高壓氣體串入低壓設備或損壞管線。

3.5 獨立保護層設置

依據美國化學工程師學會過程安全中心CCPS（Center for Chemical Process Safety）有關石油化工過程安全開展的研究，石油化工過程的SIL通常由工藝設計、安全控制裝置及其他管理程序共同構成［3］。這些確保石化過程安全的裝置及措施通常被視為安全保護層，各保護層對石化過程提供層層保護，以確保石化過程的風險處于可接受的范圍。除工藝設計及管理程序外，石化過程安全控制裝置依據其功能及對安全的作用，可以分為三類：用于過程控制的基本過程控制系統(tǒng)、用于實現主動安全保護的安全控制裝置（如安全聯(lián)鎖裝置）以及用于實現被動安全保護的安全控制裝置（如安全閥、爆破片等）。三類不同的安全控制裝置對安全的作用不同，SIL要求也各不相同。

國外專利商提供的安全聯(lián)鎖回路的SIL要求中，通常認為操作工不能成為獨立保護層；而國內業(yè)主根據多年經驗，認為操作工可以作為一個獨立保護層。在具體評估過程中，根據文獻［5］，認為1個操作工在控制室有超過10min以上的反應時間，或者一個操作工在現場有超過20min以上的反應時間，可以起到SIL1的保護（或者說風險降低因子為10）。此處反應時間為操作工從發(fā)現報警—做出判斷—開始動作的時間。

4 結束語

功能安全評估已越來越成為提高石化行業(yè)SIL水平的重要手段，圍繞功能安全評估頒布的相關標準已成為推動流程工業(yè)功能安全評估的重要力量。在國內石化行業(yè)中，SIS的設計和應用還存在一定的盲目性與誤區(qū)，如何采用科學的評估與分析手段對裝置SIS開展功能安全分析，提高聯(lián)鎖系統(tǒng)的安全性與合理性仍是安全技術發(fā)展亟待解決的問題。

筆者通過論述川維甲醇裝置SIS進行SIL定量評估的過程及其成果，討論了SIL評估技術中需注意的事項，總結了甲醇裝置聯(lián)鎖系統(tǒng)SIL定量評估的經驗，為在設計階段實施SIS的SIL定量評估工作提供借鑒。

［1］IEC.IEC 61508Functional Safety of Electrical／Electronic／Programmable Electronic Safety－Related Systems ［S］.IEC，2010.

［2］IEC.IEC 61511Functional Safety—Safety Instrumented Systems for the Process Industry Sector［S］.IEC，2003.

［3］機械工業(yè)儀器儀表綜合技術研究所.GB／T 20438—2005電氣／電子／可編程電子安全相關系統(tǒng)的功能安全［S］.北京：中國標準出版社，2006.

［4］機械工業(yè)儀器儀表綜合技術經濟研究所，上海自動化儀表股份有限公司技術中心.GB／T 21109—2007過程工業(yè)領域安全儀表系統(tǒng)的功能安全［S］.北京：中國標準出版社，2007.

［5］MANNAN S.Lees'Loss Prevention in the Process Industries：Hazard Identification，Assessment and Control［M］.3th ed.Oxford：Elsevier Butterworth Heinemann，2005.

［6］朱建新，高增梁，王偉，等.我國石化工業(yè)聯(lián)鎖系統(tǒng)應用現狀及功能安全評估進展［C］／／第四屆石化裝置工程風險分析技術應用研討會論文集.南昌：中國機械工程學會壓力容器分會，2008：269－278.

［7］朱建新，王莉君，高增梁.IEC 61511標準及在石化行業(yè)安全管理中的應用［J］.中國安全科學學報，2007，17（02）：105－109.

［8］沈學強，白焰.安全儀表系統(tǒng)的功能安全評估方法性能分析［J］.化工自動化及儀表，2012，39（06）：703－706.

［9］范詠峰，李平.石油化工裝置中安全度等級的評定與實施［J］.石油化工自動化，2005，41（02）：8－12.

［10］SHELL.DEP 32.80.10.10Classification and Implementation of Instrumented Protective Functions［S］.SHELL，2008.