呂永輝

(浙江醫(yī)藥股份有限公司，浙江 紹興 312000)

能源、基礎(chǔ)原材料、醫(yī)藥等化工行業(yè)，具有易燃易爆、有毒有害、高溫高壓、反應(yīng)過程復(fù)雜、反應(yīng)周期長等特點，這些因素導(dǎo)致出現(xiàn)安全事故的可能性較大。因此評估一些事故發(fā)生的可能性和后果，使用合理的保護(hù)層來削減事故發(fā)生的可能性，對提升企業(yè)的安全生產(chǎn)有很大的作用。隨著中國對安全的重視，對化工行業(yè)的安全生產(chǎn)提出了一系列的重大舉措，完善了化工行業(yè)所存在的各種安全管理漏洞。不合理的定級方法會導(dǎo)致安全完整性等級(SIL)偏高或偏低。SIL等級偏低，會導(dǎo)致保護(hù)層未能有效地覆蓋住風(fēng)險，仍然存在高于可接受標(biāo)準(zhǔn)的風(fēng)險；SIL等級偏高，會導(dǎo)致企業(yè)必須采購高SIL等級的元器件，無形中給企業(yè)增加了成本。由此可見，準(zhǔn)確、合理的定級方法是非常重要的。本文以液氨罐區(qū)為例，通過HAZOP分析，識別出系統(tǒng)所有潛在的風(fēng)險場景，確保識別出工藝生產(chǎn)過程中的潛在風(fēng)險并將其降低到合理水平內(nèi)。

1 定級流程

1.1 安全完整性等級

國際電工技術(shù)委員(IEC)發(fā)布的IEC61508和IEC61511標(biāo)準(zhǔn)建立了安全儀表系統(tǒng)(SIS)的管理體系，是安全系統(tǒng)在過程工業(yè)領(lǐng)域的指導(dǎo)性規(guī)范。在IEC61511中將SIS定義為用于執(zhí)行一個或多個安全儀表功能(SIF)的儀表系統(tǒng)[1-2]。SIS是由傳感器、邏輯控制器和執(zhí)行器三部分構(gòu)成[3]。其中，SIF被定義為由SIS執(zhí)行的、具有特定SIL等級的安全功能，用于應(yīng)對特定的危險事件，達(dá)到或保持過程的安全狀態(tài)。

SIL在IEC61508中的定義為在規(guī)定的條件下、規(guī)定的時間內(nèi)，安全相關(guān)系統(tǒng)成功實現(xiàn)所要求的安全功能的概率。IEC61511將SIF的操作模式分為要求操作模式(demand model of operation)和連續(xù)操作模式(continuous mode of operation)。要求操作模式與連續(xù)操作模式的區(qū)別主要是SIS聯(lián)鎖動作需求頻率的不同。要求操作模式的SIS聯(lián)鎖系統(tǒng)動作需求的頻率低于1次/a，而連續(xù)操作模式的頻率高于1次/a。對于化工這類流程工業(yè)中，SIS等系統(tǒng)在正常情況下，每年安全功能被執(zhí)行的次數(shù)是不會超過1次的，采用要求操作模式。SIL等級劃分見表1所列[4-5]。

表1 SIL等級劃分

1.2 SIL定級的意義

風(fēng)險矩陣是一種將定性或半定量的后果分級與產(chǎn)生一定水平的危險或風(fēng)險等級的可能性相結(jié)合的方式。通常，各個企業(yè)都會根據(jù)IEC61511的建議并結(jié)合企業(yè)內(nèi)部的情況，確定可能性和后果嚴(yán)重性，建立符合自身的風(fēng)險矩陣。通過風(fēng)險矩陣，可以確定哪些風(fēng)險會出現(xiàn)在可接受范圍外，采取一定的措施使發(fā)生特定事故的概率控制在能接受的頻率內(nèi)，措施包括基本控制、重要報警及人員干涉/調(diào)整及自動防護(hù)層。SIL定級的意義就是在基本控制與重要報警及人員干涉無法滿足保護(hù)層的需求時，來確定SIS中SIF回路相應(yīng)的級別，以用于覆蓋保護(hù)層不夠的風(fēng)險，如圖1所示[6]。

圖1 SIL定級的意義

通常一種工藝自身所存在的風(fēng)險，稱為工藝風(fēng)險；根據(jù)法律、法規(guī)等的規(guī)定明確可接受風(fēng)險的目標(biāo)，稱為可接受風(fēng)險。如果工藝風(fēng)險高于可接受風(fēng)險，則整個系統(tǒng)需要通過其他非SIS的預(yù)防、SIS保護(hù)層可覆蓋的部分風(fēng)險、其他保護(hù)層可覆蓋的部分風(fēng)險等保護(hù)層，從而使系統(tǒng)的工藝風(fēng)險降低到可接受風(fēng)險。即使存在的風(fēng)險有各種不同的保護(hù)層來抵抗，但是整個系統(tǒng)仍然會有剩余的風(fēng)險，由于剩余風(fēng)險遠(yuǎn)小于可接受風(fēng)險，可認(rèn)為已經(jīng)達(dá)到了安全的狀態(tài)。

1.3 SIL定級流程

通常SIL等級的確定，需要通過做保護(hù)層分析(LOPA)的方法[7-8]，這是一種半定量的分析評估技術(shù)，也是IEC61511中推薦的方法，具體的分析流程如圖2所示。首先，需要確定所需的風(fēng)險矩陣，才能篩選出可接受的標(biāo)準(zhǔn)；其次通過HAZOP分析的方法，選取危險場景后，對每個辨識出的危險，用圖表列出其觸發(fā)原因；最后通過不同的數(shù)據(jù)可得到初始原因的發(fā)生頻率。根據(jù)工廠多層保護(hù)模型列出防護(hù)措施，或者抑止其危險后果的減災(zāi)措施。評估每一個觸發(fā)原因?qū)е碌暮蠊麌?yán)重性，得到可接受風(fēng)險，并對觸發(fā)事件的發(fā)生概率、修正值(包括暴露概率、使用率、點燃概率等)、獨立保護(hù)層的削減概率等值用數(shù)學(xué)的計算來評估風(fēng)險的水平[9]。如果工藝風(fēng)險仍然大于可接受風(fēng)險，則需要計算出SIF回路的SIL等級來覆蓋，也就是評估回路的失效概率，來確保所有的保護(hù)層在特定場景下的風(fēng)險能降低到可接受風(fēng)險標(biāo)準(zhǔn)的水平。在確認(rèn)SIL等級后，通常會做一個敏感性分析，用來測試有沒有可能新增簡單的保護(hù)層來削減潛在的風(fēng)險以達(dá)到目標(biāo)風(fēng)險。如果新增保護(hù)層后仍然達(dá)不到目標(biāo)風(fēng)險，則必須使用相應(yīng)SIL等級的SIF回路來覆蓋潛在的風(fēng)險。如此循環(huán)，進(jìn)入下一個風(fēng)險場景，開始分析。

圖2 SIL定級流程示意

2 液氨儲罐定級實例

液氨在工業(yè)中有著廣泛的應(yīng)用，它是第一批重點監(jiān)控的危險化學(xué)品之一，非常容易構(gòu)成重大危險源。液氨罐區(qū)物料的儲存量一般比較大，是潛在的危險源，假如發(fā)生意外，會造成非常大的事故，對人身安全及社會環(huán)境都會造成非常大的影響。本文以液氨罐區(qū)SIL定級為例，液氨罐區(qū)流程如圖3所示，風(fēng)險矩陣采用5×6風(fēng)險矩陣。

圖3 液氨罐區(qū)流程示意

2.1 液氨罐區(qū)的工藝簡介

生產(chǎn)所需的液氨由槽車運送至卸車地點，卸料至儲罐，在裝置需要時經(jīng)過輸送泵輸送至車間使用點。液氨罐區(qū)主要由卸料臂、輸送泵、儲罐及緊急泄氨器組成。在儲罐設(shè)置有雙重安全閥和緊急泄壓罐，在儲罐壓力高時采取雙重措施泄壓。

經(jīng)過充分的HAZOP分析后，根據(jù)不同的偏差原因，尋找潛在的后果，并列出措施。在以下分析中，僅采用液位過高做為偏差的原因，具體分析結(jié)果見表2所列。

表2 HAZOP分析結(jié)果

經(jīng)過分析和統(tǒng)計，在一定初始事件的情況下，液氨儲罐液位升高、壓力升高，可能超壓，液氨泄漏，發(fā)生火災(zāi)爆炸，造成人員傷亡。由此可見后果的嚴(yán)重性，所以需要評估XV1101的保護(hù)層(聯(lián)鎖回路LAHH 1101(2oo3))是否在DCS就能滿足可接受風(fēng)險標(biāo)準(zhǔn)，假如不滿足的話，需要以何種級別的SIL回路進(jìn)入SIS中。

2.2 SIL定級

在開展SIL定級時，需要以下幾個假設(shè)為前提：

1)多列平行裝置/設(shè)備，僅對其中的單列裝置/設(shè)備進(jìn)行SIL定級分析，定級結(jié)果及建議適用于其他列。

2)手動按鈕、FGS及DCS通常不做定級分析。

3)所有保護(hù)層應(yīng)符合標(biāo)準(zhǔn)中獨立保護(hù)層可審核、有效、獨立性的要求。

4)不存在不失效的保護(hù)層。

5)DCS在LOPA分析中不管是作為初始事件或獨立保護(hù)層最多使用2次。

6)圍堰獨立保護(hù)層僅適用于削減環(huán)境風(fēng)險。

7)人為失誤做為初始事件時，應(yīng)確認(rèn)失效概率規(guī)則。

具體的SIL定級結(jié)果見表3所列。根據(jù)表3中的計算，可以看出該液氨罐區(qū)液氨輸送泵P-1001故障停的情景假設(shè)下，這條回路需要進(jìn)入SIS且等級為SIL1級，假如這條回路在其他情景假設(shè)下達(dá)到SIL2的話，在設(shè)計中需按高的SIL等級來設(shè)計，回路的檢測單元、邏輯運算器以及執(zhí)行單元需經(jīng)過SIL驗算后，才能確認(rèn)是否達(dá)到相應(yīng)的SIL等級。

表3 SIL定級結(jié)果

3 結(jié)束語

SIS的設(shè)置能夠避免化工裝置中的潛在風(fēng)險，減少發(fā)生風(fēng)險的可能性。SIS的關(guān)鍵在于回路中SIL等級的確認(rèn)，目前國際上尚無一個統(tǒng)一的SIL定級方法。本文中使用的SIL定級方法首先在HAZOP分析結(jié)果的基礎(chǔ)上，分析每個危險以及它的觸發(fā)原因，并總結(jié)出已有的安全防護(hù)措施(保護(hù)層)，再根據(jù)實際情況修正觸發(fā)事件的概率以及保護(hù)層的削減概率，最后確定所需SIF回路的SIL等級，以確保整個系統(tǒng)的風(fēng)險達(dá)到可接受風(fēng)險的范圍。該SIL定級方法遵照了IEC-61511中推薦的步驟，符合規(guī)范的要求，能夠客觀、準(zhǔn)確、有效的對回路進(jìn)行定級。