何雪華

(浙江工業(yè)大學(xué)，杭州 310014)

安全儀表系統(tǒng)SIS(Safety Instrumented System)是一種自動(dòng)安全保護(hù)系統(tǒng)，是保證正常生產(chǎn)和人身、設(shè)備安全必不可少的措施，已發(fā)展成為工業(yè)自動(dòng)化的重要組成部分。作為化工過程中安全的最后一道屏障，SIS安全等級(jí)的高低直接影響流程工業(yè)的安全。由于SIS在過程安全中的重要作用，國際著名的石化公司均對(duì)重要裝置設(shè)立了SIS，并依據(jù)國際標(biāo)準(zhǔn)對(duì)SIS的安全性開展了定量評(píng)估，取得了很好的經(jīng)濟(jì)與社會(huì)效益。

筆者介紹了SIS安全完整性等級(jí)SIL(Safety Integrity Level)評(píng)估技術(shù)在合成氨裝置中的實(shí)施過程，并討論了相關(guān)的技術(shù)難點(diǎn)。該合成氨裝置采用HT-L粉煤加壓氣化爐制粗煤氣，粗煤氣經(jīng)變換裝置、低溫甲醇洗、液氮洗工藝精制出合成氨原料氣，再經(jīng)補(bǔ)氮調(diào)節(jié)氫氮比約為3∶1，壓縮至15．0 MPa 送入氨合成裝置。合成氨裝置在總控室設(shè)置集散控制系統(tǒng)(DCS)和安全聯(lián)鎖系統(tǒng)(ESD)，其中包括3套聯(lián)鎖裝置，即開工加熱爐故障停車聯(lián)鎖、氨分離器故障器停送液閥聯(lián)鎖和氨分離器故障器停車聯(lián)鎖。

1 SIL評(píng)估技術(shù)簡介

國際電工學(xué)會(huì)于1999年和2003年分別制定了用于對(duì)通用電力、電子及可編程器件進(jìn)行定量安全評(píng)估的IEC 61508[1]和專門用于對(duì)流程工業(yè)SIS進(jìn)行定量安全評(píng)估的IEC 61511[2]。中國于2007年 和2008年分別頒布了GB/T 20438—2006[3]和GB/T 21109—2007[4]，分別對(duì)應(yīng)IEC 61508和IEC 61511。

SIS作為流程工業(yè)生產(chǎn)過程中重要的安全控制裝置，其SIL要求與生產(chǎn)過程的風(fēng)險(xiǎn)密切相關(guān)。由于具有較大風(fēng)險(xiǎn)的生產(chǎn)過程的風(fēng)險(xiǎn)控制通常依賴于SIS的SIL，因而SIS的SIL評(píng)估已越來越成為流程工業(yè)所關(guān)注的焦點(diǎn)。SIS在流程工業(yè)生產(chǎn)過程中的風(fēng)險(xiǎn)控制功能如圖1所示。

圖1 SIS在流程工業(yè)生產(chǎn)過程風(fēng)險(xiǎn)控制中的作用

SIL是用來描述SIS運(yùn)行安全性能的指標(biāo)，在一定時(shí)間和條件下，SIS能成功地執(zhí)行其安全功能概率，其數(shù)值代表著SIS使風(fēng)險(xiǎn)降低的數(shù)量級(jí)。SIS的功能安全技術(shù)，是通過對(duì)受控單元EUC(Equipment Under Control)進(jìn)行危險(xiǎn)與后果分析，確定正確的安全功能，進(jìn)而選擇恰當(dāng)?shù)哪繕?biāo)SIL。通過對(duì)SIS的功能安全水平實(shí)行測試、評(píng)估、認(rèn)證等，可以把受控過程的風(fēng)險(xiǎn)降到一個(gè)可接受的水平。

2 合成氨裝置的SIS功能安全評(píng)估工作

由于評(píng)估的合成氨裝置是在用裝置，評(píng)估過程如下：

1) 收集合成氨裝置資料。收集合成氨裝置相關(guān)工藝、設(shè)備、操作等相關(guān)資料。

2) 制訂合成氨裝置的風(fēng)險(xiǎn)矩陣。根據(jù)企業(yè)風(fēng)險(xiǎn)可接受程度，按照人員傷亡、經(jīng)濟(jì)損失和環(huán)境影響制訂合成氨裝置的風(fēng)險(xiǎn)矩陣。

3) 裝置的定量風(fēng)險(xiǎn)識(shí)別與分析計(jì)算。以國際通用的安全風(fēng)險(xiǎn)分析方法為依據(jù)，根據(jù)裝置的實(shí)際情況，進(jìn)行定量風(fēng)險(xiǎn)評(píng)價(jià)。

4) 識(shí)別安全聯(lián)鎖功能(SIF)、確定SIL。根據(jù)功能安全要求和定量風(fēng)險(xiǎn)評(píng)價(jià)結(jié)果，識(shí)別SIF并根據(jù)風(fēng)險(xiǎn)矩陣，確定相應(yīng)的SIL。

5) 聯(lián)鎖回路安全等級(jí)計(jì)算。根據(jù)IEC 61511和相關(guān)數(shù)據(jù)資料，對(duì)選定聯(lián)鎖回路，按照合適評(píng)定計(jì)算方法，定量計(jì)算聯(lián)鎖回路的SIL。

6) SIS回路系統(tǒng)評(píng)定。根據(jù)可接受的風(fēng)險(xiǎn)概率和可接受的經(jīng)濟(jì)損失標(biāo)準(zhǔn)，評(píng)估合成氨裝置SIS回路是否符合SIL的要求。

通過對(duì)該合成氨裝置的3套聯(lián)鎖裝置、11個(gè)SIF進(jìn)行SIL計(jì)算，滿足風(fēng)險(xiǎn)矩陣要求的SIL要求。

3 SIL評(píng)估技術(shù)在化工行業(yè)應(yīng)用的探討

通過在用合成氨裝置的SIS功能安全評(píng)估，需要對(duì)風(fēng)險(xiǎn)控制，SIF識(shí)別，DCS與SIS的共用問題等進(jìn)行探討。

3．1 風(fēng)險(xiǎn)矩陣及控制

一般來說，裝置進(jìn)行風(fēng)險(xiǎn)評(píng)估所執(zhí)行的風(fēng)險(xiǎn)矩陣依據(jù)企業(yè)的事故管理規(guī)定而制訂，并參照國家法規(guī)、賠償制度以及企業(yè)所在當(dāng)?shù)氐慕?jīng)濟(jì)水平根據(jù)ALARP原則進(jìn)行編制。風(fēng)險(xiǎn)矩陣中對(duì)人員傷亡、環(huán)境污染和經(jīng)濟(jì)損失的風(fēng)險(xiǎn)分別進(jìn)行認(rèn)定。以人員傷亡控制為例，各個(gè)國家對(duì)各個(gè)行業(yè)的傷亡情況的控制是不盡相同的，如荷蘭和香港的可接受風(fēng)險(xiǎn)水平存在明顯的差別，以發(fā)生事故死亡10人為例，荷蘭認(rèn)為10-5為其可允許的上限，而香港則是以10-4為其上限。這就說明各個(gè)國家和地區(qū)的風(fēng)險(xiǎn)控制水平是不盡相同的。而國內(nèi)石化行業(yè)的人員死亡風(fēng)險(xiǎn)控制水平與香港的人員死亡風(fēng)險(xiǎn)控制水平較為接近。

假設(shè)在SIL的評(píng)估中，采用較高標(biāo)準(zhǔn)為基礎(chǔ)的風(fēng)險(xiǎn)矩陣，會(huì)使得整個(gè)裝置的SIL偏高。按照該風(fēng)險(xiǎn)矩陣設(shè)計(jì)建造的SIS，一方面會(huì)大幅提高裝置的建設(shè)成本，另一方面在裝置的實(shí)際運(yùn)行中也會(huì)給裝置帶來很多的誤跳車，嚴(yán)重影響裝置的實(shí)際正常運(yùn)行。根據(jù)以往的安全完整性定量評(píng)估經(jīng)驗(yàn)表明[5]，一般情況下，“1oo1”結(jié)構(gòu)的閥門執(zhí)行機(jī)構(gòu)在SIL1左右；“1oo2”結(jié)構(gòu)的閥門執(zhí)行機(jī)構(gòu)在SIL2左右，要使執(zhí)行機(jī)構(gòu)達(dá)到SIL3的水平，必須進(jìn)行周期性的測試。如果該測試是在線測試，就要求閥門必須帶有智能限位器，一般大口徑的緊急切斷閥門價(jià)格比較昂貴，而此類帶智能限位器閥門價(jià)格更是普通閥門的2～3倍。因此，SIL需求的提高，將會(huì)大幅增加裝置的建設(shè)成本。

綜上所述，提出合理的SIL要求是十分必要的，要在保證安全的前提下，合理地進(jìn)行設(shè)置，盡可能地減少裝置成本和誤跳車的負(fù)面影響。無論從安全的角度或全面資產(chǎn)管理的角度，都必須建立一個(gè)合理的風(fēng)險(xiǎn)控制矩陣。企業(yè)的風(fēng)險(xiǎn)控制矩陣建立過程如圖2所示。

圖2 企業(yè)的風(fēng)險(xiǎn)控制矩陣建立過程示意

3．2 SIF的識(shí)別

SIF是指具有特定SIL的安全功能，它既可以是一個(gè)儀表安全保護(hù)功能，也可以是一個(gè)儀表安全控制功能。根據(jù)IEC 61511，SIF是為了達(dá)到功能安全所需的最少和充分的儀表，通常由傳感器、邏輯求解器和最終元件(執(zhí)行機(jī)構(gòu))組成。每一個(gè)SIF都有各自的SIL。因此，每一個(gè)SIF必須針對(duì)一種特定的危險(xiǎn)情況，預(yù)防特定的危險(xiǎn)后果。而1個(gè)SIS可由多個(gè)SIF組成，各SIF針對(duì)的危險(xiǎn)情況不同，所執(zhí)行的動(dòng)作也不同。在復(fù)雜SIS中，對(duì)于SIF的識(shí)別顯得更加重要。

IEC 61511第二部分的10．3．1節(jié)對(duì)SIF的充分必要性進(jìn)行了說明，指出SIF應(yīng)“通過測量哪個(gè)參數(shù)來評(píng)估裝置的危險(xiǎn)狀態(tài)”，應(yīng)“采取何種措施來避免危險(xiǎn)情況的發(fā)生”以及識(shí)別“采取何種措施對(duì)于控制風(fēng)險(xiǎn)具有輔助促進(jìn)作用”。按照上述定義，SIS中SIF的分析必須考慮SIS的充分必要性，即必須識(shí)別何種措施對(duì)于避免裝置的危險(xiǎn)后果是充分的，即“Good to have”和識(shí)別何種措施對(duì)于避免裝置的危險(xiǎn)后果是必要的，可稱之為“Must have”。

SIS的失效概率及誤跳車的計(jì)算通常與連接方式和功能有直接關(guān)系。不同的失效模式也會(huì)導(dǎo)致計(jì)算方式的不同，對(duì)于冗余系統(tǒng)，指令模式失效概率通常與系統(tǒng)結(jié)構(gòu)有關(guān)，而誤跳車的計(jì)算則大多與單個(gè)設(shè)備的失效模式有關(guān)。以“1oo2”的連接結(jié)構(gòu)為例，PFD與MTTFS的計(jì)算并不總是依據(jù)設(shè)備的實(shí)際連接方式。例如合成氨裝置中采用“1oo2”的安全泄放裝置，當(dāng)容器內(nèi)的超壓達(dá)一定數(shù)值時(shí)，通常應(yīng)立即打開安全閥進(jìn)行泄放，以避免裝置超壓和出現(xiàn)火災(zāi)等事故。當(dāng)危險(xiǎn)情況出現(xiàn)時(shí)，SIF需2只安全閥中的1只必須立即打開(Must have)，最好是2只同時(shí)進(jìn)行泄放，保證裝置內(nèi)的物料向火炬系統(tǒng)安全排放(Good to have)。當(dāng)上述危險(xiǎn)情況發(fā)生時(shí)，其SIF成功執(zhí)行的計(jì)算方式為“1oo2”。假設(shè)，這里有一種特殊工況，例如容器內(nèi)部超溫起火，必須要2只安全閥同時(shí)進(jìn)行排放，才能滿足要求，則其功能安全成功執(zhí)行的計(jì)算方式為“2oo2”。

3．3 DCS與SIS的閥門共用問題

目前，SIS與DCS存在一體化的問題。依據(jù)IEC 61508/IEC 61511，SIS應(yīng)與DCS相互獨(dú)立，若無法實(shí)現(xiàn)相互獨(dú)立，則DCS作為聯(lián)鎖最高可以達(dá)到SIL1。DCS強(qiáng)調(diào)的是過程調(diào)節(jié)，而SIS強(qiáng)調(diào)的是隱性工作。DCS的現(xiàn)場設(shè)備(傳感器、執(zhí)行機(jī)構(gòu))發(fā)生故障時(shí)通?？赏ㄟ^其他量反映出來，而SIS的現(xiàn)場設(shè)備發(fā)生故障時(shí)，一般無法通過其他量反映出來，因而需要聯(lián)鎖動(dòng)作，兩者對(duì)于設(shè)備可靠性的存在具有較為明顯的差異。在有些情況下，將DCS與SIS共用可能會(huì)存在一定的安全隱患。例如，合成氨裝置中某塔底安裝有2只液位調(diào)節(jié)閥(2條管線)，當(dāng)該塔出現(xiàn)液位過低時(shí)，需要切斷塔底部的2只液位調(diào)節(jié)閥來保證液位不再繼續(xù)下降。此時(shí)必須考慮： 造成液位低低的原因極有可能是這2只液位調(diào)節(jié)閥的其中1只，卡堵在一個(gè)開度較大的位置，無法進(jìn)行DCS的正常調(diào)節(jié)而導(dǎo)致塔內(nèi)的液位走低，那么此時(shí)液位低低的信號(hào)再送到SIS，通過SIS去切斷該閥門來保證液位不再下降，其失效概率接近100%，其后果很有可能是塔內(nèi)的液位走空，高壓氣體串入低壓設(shè)備或管線導(dǎo)致?lián)p壞。

4 結(jié)束語

SIF評(píng)估已越來越成為提高化工行業(yè)SIL水平的重要手段，圍繞SIF評(píng)估頒布的相關(guān)標(biāo)準(zhǔn)已成為推動(dòng)流程工業(yè)SIF評(píng)估的重要力量。在國內(nèi)化工行業(yè)中，SIS的設(shè)計(jì)和應(yīng)用還存在一定的盲目性與誤區(qū)，如何采用科學(xué)的評(píng)估與分析手段對(duì)裝置SIS開展SIF分析，提高SIS的安全性與合理性仍是安全技術(shù)發(fā)展中亟待解決的問題。

參考文獻(xiàn)：

[1] IEC． IEC 61508 Functional Safety of Electrical/Electronic/Programmable Electronic Safety-related Systems[S]．IEC, 2010．

[2] IEC．IEC 61511 Functional Safety — safety Instrumented Systems for the Process Industry Sector[S]．IEC,2003．

[3] 機(jī)械工業(yè)儀器儀表綜合技術(shù)研究所．GB/T 20438—2006 電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全[S]．北京： 中國標(biāo)準(zhǔn)出版社，2007．

[4] 機(jī)械工業(yè)儀器儀表綜合技術(shù)經(jīng)濟(jì)研究所，上海自動(dòng)化儀表股份有限公司技術(shù)中心．GB/T 21109—2007 過程工業(yè)領(lǐng)域安全儀表系統(tǒng)的功能安全[S]．北京： 中國標(biāo)準(zhǔn)出版社，2008．

[5] 朱建新, 王莉君, 高增梁． IEC 61511標(biāo)準(zhǔn)及在石化行業(yè)安全管理中的應(yīng)用[J]．中國安全科學(xué)學(xué)報(bào), 2007, 17(02)： 105-109．

[6] 朱建新, 高增梁, 王偉, 等． 我國石化工業(yè)聯(lián)鎖系統(tǒng)應(yīng)用現(xiàn)狀及功能安全評(píng)估進(jìn)展[C]//第四屆石化裝置工程風(fēng)險(xiǎn)分析技術(shù)應(yīng)用研討會(huì)論文集． 南昌： 中國機(jī)械工程學(xué)會(huì)壓力容器分會(huì), 2008： 269-278．

[7] SAM M． Lees’ Loss Prevention in the Process Industries, Hazard Identification, Assessment and Control [M]．3rd ed．Oxford： Elsevier Butterworth Heinemann, 2005．

[8] 沈?qū)W強(qiáng),白焰．安全儀表系統(tǒng)的功能安全評(píng)估方法性能分析[J]．化工自動(dòng)化及儀表,2012,39(06)： 703-706．

[9] 范詠峰，李平．石油化工裝置中安全度等級(jí)的評(píng)定與實(shí)施[J]．石油化工自動(dòng)化，2005，41(02)： 8-12．

[10] 何俊．我國石化工業(yè)聯(lián)鎖系統(tǒng)應(yīng)用現(xiàn)狀及功能安全評(píng)估[J]．壓力容器， 2009(09)： 49-53．

[11] 吳寧，盧峰．安全聯(lián)鎖系統(tǒng)設(shè)計(jì)思路及在EB/SM裝置的應(yīng)用[J]．測控技術(shù)，2003，22(07)： 14-17．