趙東風(fēng)，闞鈺烽，韓豐磊

(中國石油大學(xué)(華東) a. 化學(xué)工程學(xué)院；b. 機(jī)電工程學(xué)院，山東 青島 266580)

安全儀表系統(tǒng)(SIS)由傳感器、邏輯控制器、執(zhí)行器等構(gòu)成，是廣泛應(yīng)用于油品、化工等流程工業(yè)的一類安全系統(tǒng)[1]，它可以持續(xù)監(jiān)視工廠的生產(chǎn)運(yùn)行狀態(tài)，在危險(xiǎn)發(fā)生時(shí)可采取提前設(shè)定的措施，盡可能地減少或避免人員傷亡和財(cái)產(chǎn)損失[2]。

煉油工業(yè)中，加氫裝置的原料油緩沖罐是加氫裝置中的重要設(shè)備之一[3]。某公司原料油緩沖罐規(guī)格為φ3 400 mm×11 000 mm的立式罐，罐的參數(shù)見表1所列，其操作壓力為0.6 MPa，補(bǔ)氫壓力為14.5 MPa，若進(jìn)料系統(tǒng)動(dòng)力中斷，易發(fā)生高壓竄低壓現(xiàn)象。近年來由于各種原因發(fā)生竄壓而導(dǎo)致反應(yīng)罐爆炸的事故頻發(fā)，2018年3月12日16時(shí)14分，九江石化煉油運(yùn)行一部柴油加氫裝置發(fā)生一起爆炸火災(zāi)事故，事故造成2人死亡，1人灼傷。

為了保障原料油緩沖罐的正常運(yùn)行，防止竄壓事故的發(fā)生，許多企業(yè)都采取了一系列的附加聯(lián)鎖保護(hù)措施，但這些措施都是依據(jù)工程經(jīng)驗(yàn)添加的，不能科學(xué)地確定其合理性和可靠性。因此，本文依托exSILentia軟件對(duì)原料油緩沖罐進(jìn)行了安全完整性等級(jí)(SIL)的評(píng)估，并對(duì)此從安全儀表設(shè)計(jì)的合理性提出了建議。

表1 原料油緩沖罐參數(shù)

1 安全完整性等級(jí)的確定

安全儀表系統(tǒng)是被動(dòng)的、休眠的，它不會(huì)動(dòng)態(tài)的隨著工藝流程的改變而改變，而是一直監(jiān)視著工藝過程。當(dāng)工藝參數(shù)觸發(fā)預(yù)先設(shè)定的閾值時(shí)，就會(huì)執(zhí)行預(yù)先設(shè)計(jì)的動(dòng)作來阻止危險(xiǎn)事件的發(fā)生。SIL等級(jí)就是衡量安全儀表系統(tǒng)在一定時(shí)間、一定條件下能夠完成所要求的安全功能的概率[4]。但是，SIL也不是越高越好，過高的SIL會(huì)給企業(yè)造成經(jīng)濟(jì)負(fù)擔(dān)。所以，最好的安全儀表系統(tǒng)應(yīng)是風(fēng)險(xiǎn)與成本的平衡點(diǎn)。

對(duì)于安全儀表系統(tǒng)評(píng)估的指導(dǎo)，國外有許多相關(guān)標(biāo)準(zhǔn)，如IEC 61508[4]，IEC 61511[5]，ISA-TR84.00.02/ISA S84.00.01等。中國于2007年將IEC 61508[5]等同轉(zhuǎn)化為GB/T 20438—2006《電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全》，將IEC 61511[5]等同轉(zhuǎn)化為GB/T 21109《過程工業(yè)領(lǐng)域安全儀表系統(tǒng)的功能安全》[6]；在2017年將GB/T 20438—2006更新為GB/T 20438—2017，并于2018年7月1日施行，是國內(nèi)SIL評(píng)估工作的依據(jù)。此外，還有GB/T 50770—2013《石油化工安全儀表系統(tǒng)設(shè)計(jì)規(guī)范》，GB/T 32202—2015《油氣管道安全儀表系統(tǒng)的功能安全評(píng)估規(guī)范》，GB/T 32203—2015《油氣管道安全儀表系統(tǒng)的功能安全驗(yàn)收規(guī)范》，SY/T 10045—2003(等同采用ANSI/ISA 84.01—1996《工業(yè)生產(chǎn)過程中安全儀表系統(tǒng)的應(yīng)用》)，AQ 3054—2015《保護(hù)層分析(LOPA)方法應(yīng)用導(dǎo)則》，對(duì)于安全儀表系統(tǒng)的設(shè)計(jì)、評(píng)價(jià)有著非常重要的指導(dǎo)作用。

安全儀表功能(SIF)評(píng)估包括SIL定級(jí)和驗(yàn)證兩部分： 前者是進(jìn)行風(fēng)險(xiǎn)評(píng)估，明確安全儀表系統(tǒng)所需要承擔(dān)的風(fēng)險(xiǎn)值；后者是可靠性評(píng)估，明確現(xiàn)有安全儀表系統(tǒng)可以承擔(dān)的風(fēng)險(xiǎn)值。依據(jù)IEC 61508，安全儀表系統(tǒng)SIL的評(píng)估流程[7]如圖1所示。

1.1 SIL等級(jí)定級(jí)

SIL定級(jí)的意義在于： 合理分配儀表資源，提高安全儀表系統(tǒng)的利用率，減少非計(jì)劃停車次數(shù)，降低誤停車帶來的損失[8]；明確系統(tǒng)需要的SIL等級(jí)，降低過度保護(hù)帶來的經(jīng)濟(jì)投入。

圖1 安全儀表系統(tǒng)SIL評(píng)估流程示意

1) 根據(jù)GB/T 20438—2017，采用保護(hù)層分析法(LOPA)進(jìn)行SIL等級(jí)確定，LOPA可容忍概率根據(jù)表2確定。LOPA削減后事件頻率[9]為

(1)

表2 某公司風(fēng)險(xiǎn)可接受分析 a-1

2) 風(fēng)險(xiǎn)降低因子是消減后事件頻率與可容忍頻率的比值，依據(jù)LOPA確定SIL等級(jí)，IEC 61508[4]中對(duì)SIL等級(jí)的劃分見表3所列。

表3 SIL等級(jí)的確定

1.2 SIL等級(jí)驗(yàn)證

SIL等級(jí)常見的驗(yàn)證方法有馬爾科夫模型、故障樹法、可靠性框圖法。故障樹法和可靠性框圖法較為簡單，但是對(duì)系統(tǒng)狀態(tài)描述不精確；馬爾科夫模型認(rèn)為系統(tǒng)內(nèi)單元有3個(gè)不同的狀態(tài)： 正常、失效和中間狀態(tài)[10]，如圖2所示，一個(gè)圓圈指向另一個(gè)圓圈表示系統(tǒng)由一種狀態(tài)轉(zhuǎn)變?yōu)榱硪环N狀態(tài)，描述了系統(tǒng)隨時(shí)間變化的行為[10]，而且該變化只與系統(tǒng)當(dāng)前狀態(tài)有關(guān)，與系統(tǒng)歷史狀態(tài)無關(guān)。這與E/E/PE系統(tǒng)失效的指數(shù)概率密度相符合，即馬爾科夫模型非常適合用來計(jì)算E/E/PE系統(tǒng)的可靠性[10]。雖然馬爾科夫模型建模困難、計(jì)算復(fù)雜，但是exSILentia軟件[11]可以很好地解決該問題。exSILentia是由exida公司開發(fā)的一款軟件，主要用于SIL等級(jí)驗(yàn)證、工藝危害分析、生命周期成本估計(jì)等，目前國內(nèi)許多企業(yè)、高校均采用該軟件進(jìn)行功能安全相關(guān)的研究，在石油化工領(lǐng)域的認(rèn)可度極高。

圖2 馬爾科夫模型示意

以“1oo1”模型為例，根據(jù)馬爾科夫模型建立的模型如圖3所示，其對(duì)應(yīng)的馬爾科夫矩陣[12]為

(2)

(3)

(4)

使用exSILentia驗(yàn)證步驟如下：

1) 針對(duì)SIF回路，在exSILentia中建立對(duì)應(yīng)回路。

2) 在建立的SIF回路中選擇傳感器、邏輯處理器、執(zhí)行器對(duì)應(yīng)的元件規(guī)格。

3) 對(duì)于數(shù)據(jù)庫中沒有的失效數(shù)據(jù)可選擇自行創(chuàng)建。

4) 使用exSILentia完成最終的SIL計(jì)算，并與目標(biāo)等級(jí)對(duì)比；若不滿足，則可對(duì)應(yīng)提出改進(jìn)措施。

圖3 “1oo1”馬爾科夫模型示意

2 原料油緩沖罐SIL評(píng)估案例分析

2.1 SIL評(píng)估

原料油緩沖罐是加氫裝置中的重要設(shè)備之一，進(jìn)裝置原料油先進(jìn)入原料油緩沖罐，然后經(jīng)原料油升壓泵抽出升壓過濾后進(jìn)入濾后原料油緩沖罐，由反應(yīng)進(jìn)料泵升壓后與換熱后的混合氫混合。該過程中，反應(yīng)進(jìn)料泵故障停機(jī)，泵出口流量降低，或者控制閥故障，依據(jù)工程經(jīng)驗(yàn)，泵出口單向閥內(nèi)漏概率較高，無法保證其可靠性，因此若動(dòng)力系統(tǒng)中斷，氫氣極易反竄至濾后原料油緩沖罐，導(dǎo)致超壓泄漏，嚴(yán)重時(shí)發(fā)生火災(zāi)、爆炸事故，造成人員傷亡。為了防止此類事故的發(fā)生，濾后原料油緩沖罐一般設(shè)置1套反應(yīng)進(jìn)料泵出口流量低低信號(hào)聯(lián)鎖系統(tǒng)，反應(yīng)進(jìn)料泵出口流量低低，聯(lián)鎖關(guān)閉調(diào)節(jié)閥。反應(yīng)進(jìn)料系統(tǒng)聯(lián)鎖邏輯如圖4所示。

圖4 反應(yīng)進(jìn)料系統(tǒng)聯(lián)鎖邏輯示意

表4 SIL定級(jí)分析結(jié)果

采用exSILentia軟件進(jìn)行驗(yàn)證，得到傳感器、邏輯控制器和執(zhí)行機(jī)構(gòu)的PFDavg和MTTFS分別見表5和表6所列，各元件對(duì)PFDavg和MTTFS的貢獻(xiàn)率如圖5所示。

從表5和表6可以看出，傳感器、邏輯控制器和執(zhí)行機(jī)構(gòu)的SIL均可以達(dá)到SIL2，但是原料油緩沖罐的SIL仍為SIL1。從圖5可看出，傳感器和邏輯控制器的安全度較低，是整個(gè)安全儀表系統(tǒng)的薄弱環(huán)節(jié)。而且，傳感器對(duì)于PFDavg的貢獻(xiàn)率為16.67%，對(duì)于MTTFS的貢獻(xiàn)率為33.38%，這表明傳感器在該SIF中對(duì)誤停車造成的影響比功能安全要明顯。

表5 傳感器、邏輯控制器和執(zhí)行機(jī)構(gòu)的PFDavg和MTTFS

表6 功能安全參數(shù)

圖5 各元件對(duì)PFDavg和MTTFS的貢獻(xiàn)率

2.2 SIL評(píng)估后的改進(jìn)措施

依據(jù)SIL評(píng)估結(jié)果，提出以下建議：

1) 對(duì)聯(lián)鎖回路的執(zhí)行機(jī)構(gòu)增設(shè)冗余結(jié)構(gòu)，在反應(yīng)進(jìn)料泵出口增設(shè)關(guān)斷閥，與調(diào)節(jié)閥構(gòu)成冗余結(jié)構(gòu)，經(jīng)驗(yàn)算，滿足SIL2要求。

2) 分析企業(yè)安全閥泄放量高壓串入工況計(jì)算書或者更換安全閥，若滿足高壓串入工況，則可將SIL等級(jí)降為SIL1。

3) 換用可靠度高的執(zhí)行機(jī)構(gòu)，將調(diào)節(jié)閥LV2302替換為FC型(故障關(guān))調(diào)節(jié)閥。

4) 分析各元件對(duì)PFDavg的貢獻(xiàn)率，縮短檢測(cè)周期為1 a，經(jīng)驗(yàn)算，可滿足SIL2。

5) 依據(jù)GB 50770—2013《石油化工安全儀表系統(tǒng)設(shè)計(jì)規(guī)范》7.3.4條款，調(diào)節(jié)閥加切斷閥或者

2臺(tái)切斷閥可構(gòu)成控制閥冗余，因此可在聯(lián)鎖中加裝1臺(tái)切斷閥與調(diào)節(jié)閥LV2302構(gòu)成冗余，經(jīng)驗(yàn)算，滿足SIL2要求。

3 結(jié)束語

為解決加氫裝置中常見的竄壓問題，以加氫裝置原料油緩沖罐為研究對(duì)象進(jìn)行SIL評(píng)估，找出聯(lián)鎖系統(tǒng)中的薄弱環(huán)節(jié)，并從安全儀表角度提出了解決竄壓問題的措施。目前發(fā)生竄壓事故的石化企業(yè)中，普遍存在采用人工聯(lián)鎖或安全儀表聯(lián)鎖系統(tǒng)設(shè)置錯(cuò)誤等問題。通過對(duì)多個(gè)廠區(qū)多套加氫裝置SIL評(píng)估以及結(jié)合現(xiàn)場(chǎng)實(shí)踐經(jīng)驗(yàn)，加氫裝置防止高壓竄低壓事故發(fā)生的主要保護(hù)措施多為重要聯(lián)鎖的設(shè)置。在企業(yè)的實(shí)際生產(chǎn)運(yùn)行中需保證該類重要聯(lián)鎖的投用，宜可通過設(shè)置冗余結(jié)構(gòu)提高聯(lián)鎖的可靠性。在接受報(bào)警信號(hào)或聯(lián)鎖觸發(fā)時(shí)，相關(guān)人員應(yīng)嚴(yán)格執(zhí)行操作規(guī)程中的相關(guān)要求，積極響應(yīng)，重點(diǎn)檢查關(guān)鍵閥門的關(guān)閉情況，防止加氫裝置中高壓物料竄入低壓系統(tǒng)引發(fā)火災(zāi)爆炸事故的發(fā)生。