呂永輝

(浙江醫(yī)藥股份有限公司，浙江 紹興 312000)

能源、基礎(chǔ)原材料、醫(yī)藥等化工行業(yè)，具有易燃易爆、有毒有害、高溫高壓、反應(yīng)過(guò)程復(fù)雜、反應(yīng)周期長(zhǎng)等特點(diǎn)，這些因素導(dǎo)致出現(xiàn)安全事故的可能性較大。因此評(píng)估一些事故發(fā)生的可能性和后果，使用合理的保護(hù)層來(lái)削減事故發(fā)生的可能性，對(duì)提升企業(yè)的安全生產(chǎn)有很大的作用。隨著中國(guó)對(duì)安全的重視，對(duì)化工行業(yè)的安全生產(chǎn)提出了一系列的重大舉措，完善了化工行業(yè)所存在的各種安全管理漏洞。不合理的定級(jí)方法會(huì)導(dǎo)致安全完整性等級(jí)(SIL)偏高或偏低。SIL等級(jí)偏低，會(huì)導(dǎo)致保護(hù)層未能有效地覆蓋住風(fēng)險(xiǎn)，仍然存在高于可接受標(biāo)準(zhǔn)的風(fēng)險(xiǎn)；SIL等級(jí)偏高，會(huì)導(dǎo)致企業(yè)必須采購(gòu)高SIL等級(jí)的元器件，無(wú)形中給企業(yè)增加了成本。由此可見，準(zhǔn)確、合理的定級(jí)方法是非常重要的。本文以液氨罐區(qū)為例，通過(guò)HAZOP分析，識(shí)別出系統(tǒng)所有潛在的風(fēng)險(xiǎn)場(chǎng)景，確保識(shí)別出工藝生產(chǎn)過(guò)程中的潛在風(fēng)險(xiǎn)并將其降低到合理水平內(nèi)。

1 定級(jí)流程

1.1 安全完整性等級(jí)

國(guó)際電工技術(shù)委員(IEC)發(fā)布的IEC61508和IEC61511標(biāo)準(zhǔn)建立了安全儀表系統(tǒng)(SIS)的管理體系，是安全系統(tǒng)在過(guò)程工業(yè)領(lǐng)域的指導(dǎo)性規(guī)范。在IEC61511中將SIS定義為用于執(zhí)行一個(gè)或多個(gè)安全儀表功能(SIF)的儀表系統(tǒng)[1-2]。SIS是由傳感器、邏輯控制器和執(zhí)行器三部分構(gòu)成[3]。其中，SIF被定義為由SIS執(zhí)行的、具有特定SIL等級(jí)的安全功能，用于應(yīng)對(duì)特定的危險(xiǎn)事件，達(dá)到或保持過(guò)程的安全狀態(tài)。

SIL在IEC61508中的定義為在規(guī)定的條件下、規(guī)定的時(shí)間內(nèi)，安全相關(guān)系統(tǒng)成功實(shí)現(xiàn)所要求的安全功能的概率。IEC61511將SIF的操作模式分為要求操作模式(demand model of operation)和連續(xù)操作模式(continuous mode of operation)。要求操作模式與連續(xù)操作模式的區(qū)別主要是SIS聯(lián)鎖動(dòng)作需求頻率的不同。要求操作模式的SIS聯(lián)鎖系統(tǒng)動(dòng)作需求的頻率低于1次/a，而連續(xù)操作模式的頻率高于1次/a。對(duì)于化工這類流程工業(yè)中，SIS等系統(tǒng)在正常情況下，每年安全功能被執(zhí)行的次數(shù)是不會(huì)超過(guò)1次的，采用要求操作模式。SIL等級(jí)劃分見表1所列[4-5]。

表1 SIL等級(jí)劃分

1.2 SIL定級(jí)的意義

風(fēng)險(xiǎn)矩陣是一種將定性或半定量的后果分級(jí)與產(chǎn)生一定水平的危險(xiǎn)或風(fēng)險(xiǎn)等級(jí)的可能性相結(jié)合的方式。通常，各個(gè)企業(yè)都會(huì)根據(jù)IEC61511的建議并結(jié)合企業(yè)內(nèi)部的情況，確定可能性和后果嚴(yán)重性，建立符合自身的風(fēng)險(xiǎn)矩陣。通過(guò)風(fēng)險(xiǎn)矩陣，可以確定哪些風(fēng)險(xiǎn)會(huì)出現(xiàn)在可接受范圍外，采取一定的措施使發(fā)生特定事故的概率控制在能接受的頻率內(nèi)，措施包括基本控制、重要報(bào)警及人員干涉/調(diào)整及自動(dòng)防護(hù)層。SIL定級(jí)的意義就是在基本控制與重要報(bào)警及人員干涉無(wú)法滿足保護(hù)層的需求時(shí)，來(lái)確定SIS中SIF回路相應(yīng)的級(jí)別，以用于覆蓋保護(hù)層不夠的風(fēng)險(xiǎn)，如圖1所示[6]。

圖1 SIL定級(jí)的意義

通常一種工藝自身所存在的風(fēng)險(xiǎn)，稱為工藝風(fēng)險(xiǎn)；根據(jù)法律、法規(guī)等的規(guī)定明確可接受風(fēng)險(xiǎn)的目標(biāo)，稱為可接受風(fēng)險(xiǎn)。如果工藝風(fēng)險(xiǎn)高于可接受風(fēng)險(xiǎn)，則整個(gè)系統(tǒng)需要通過(guò)其他非SIS的預(yù)防、SIS保護(hù)層可覆蓋的部分風(fēng)險(xiǎn)、其他保護(hù)層可覆蓋的部分風(fēng)險(xiǎn)等保護(hù)層，從而使系統(tǒng)的工藝風(fēng)險(xiǎn)降低到可接受風(fēng)險(xiǎn)。即使存在的風(fēng)險(xiǎn)有各種不同的保護(hù)層來(lái)抵抗，但是整個(gè)系統(tǒng)仍然會(huì)有剩余的風(fēng)險(xiǎn)，由于剩余風(fēng)險(xiǎn)遠(yuǎn)小于可接受風(fēng)險(xiǎn)，可認(rèn)為已經(jīng)達(dá)到了安全的狀態(tài)。

1.3 SIL定級(jí)流程

通常SIL等級(jí)的確定，需要通過(guò)做保護(hù)層分析(LOPA)的方法[7-8]，這是一種半定量的分析評(píng)估技術(shù)，也是IEC61511中推薦的方法，具體的分析流程如圖2所示。首先，需要確定所需的風(fēng)險(xiǎn)矩陣，才能篩選出可接受的標(biāo)準(zhǔn)；其次通過(guò)HAZOP分析的方法，選取危險(xiǎn)場(chǎng)景后，對(duì)每個(gè)辨識(shí)出的危險(xiǎn)，用圖表列出其觸發(fā)原因；最后通過(guò)不同的數(shù)據(jù)可得到初始原因的發(fā)生頻率。根據(jù)工廠多層保護(hù)模型列出防護(hù)措施，或者抑止其危險(xiǎn)后果的減災(zāi)措施。評(píng)估每一個(gè)觸發(fā)原因?qū)е碌暮蠊麌?yán)重性，得到可接受風(fēng)險(xiǎn)，并對(duì)觸發(fā)事件的發(fā)生概率、修正值(包括暴露概率、使用率、點(diǎn)燃概率等)、獨(dú)立保護(hù)層的削減概率等值用數(shù)學(xué)的計(jì)算來(lái)評(píng)估風(fēng)險(xiǎn)的水平[9]。如果工藝風(fēng)險(xiǎn)仍然大于可接受風(fēng)險(xiǎn)，則需要計(jì)算出SIF回路的SIL等級(jí)來(lái)覆蓋，也就是評(píng)估回路的失效概率，來(lái)確保所有的保護(hù)層在特定場(chǎng)景下的風(fēng)險(xiǎn)能降低到可接受風(fēng)險(xiǎn)標(biāo)準(zhǔn)的水平。在確認(rèn)SIL等級(jí)后，通常會(huì)做一個(gè)敏感性分析，用來(lái)測(cè)試有沒(méi)有可能新增簡(jiǎn)單的保護(hù)層來(lái)削減潛在的風(fēng)險(xiǎn)以達(dá)到目標(biāo)風(fēng)險(xiǎn)。如果新增保護(hù)層后仍然達(dá)不到目標(biāo)風(fēng)險(xiǎn)，則必須使用相應(yīng)SIL等級(jí)的SIF回路來(lái)覆蓋潛在的風(fēng)險(xiǎn)。如此循環(huán)，進(jìn)入下一個(gè)風(fēng)險(xiǎn)場(chǎng)景，開始分析。

圖2 SIL定級(jí)流程示意

2 液氨儲(chǔ)罐定級(jí)實(shí)例

液氨在工業(yè)中有著廣泛的應(yīng)用，它是第一批重點(diǎn)監(jiān)控的危險(xiǎn)化學(xué)品之一，非常容易構(gòu)成重大危險(xiǎn)源。液氨罐區(qū)物料的儲(chǔ)存量一般比較大，是潛在的危險(xiǎn)源，假如發(fā)生意外，會(huì)造成非常大的事故，對(duì)人身安全及社會(huì)環(huán)境都會(huì)造成非常大的影響。本文以液氨罐區(qū)SIL定級(jí)為例，液氨罐區(qū)流程如圖3所示，風(fēng)險(xiǎn)矩陣采用5×6風(fēng)險(xiǎn)矩陣。

圖3 液氨罐區(qū)流程示意

2.1 液氨罐區(qū)的工藝簡(jiǎn)介

生產(chǎn)所需的液氨由槽車運(yùn)送至卸車地點(diǎn)，卸料至儲(chǔ)罐，在裝置需要時(shí)經(jīng)過(guò)輸送泵輸送至車間使用點(diǎn)。液氨罐區(qū)主要由卸料臂、輸送泵、儲(chǔ)罐及緊急泄氨器組成。在儲(chǔ)罐設(shè)置有雙重安全閥和緊急泄壓罐，在儲(chǔ)罐壓力高時(shí)采取雙重措施泄壓。

經(jīng)過(guò)充分的HAZOP分析后，根據(jù)不同的偏差原因，尋找潛在的后果，并列出措施。在以下分析中，僅采用液位過(guò)高做為偏差的原因，具體分析結(jié)果見表2所列。

表2 HAZOP分析結(jié)果

經(jīng)過(guò)分析和統(tǒng)計(jì)，在一定初始事件的情況下，液氨儲(chǔ)罐液位升高、壓力升高，可能超壓，液氨泄漏，發(fā)生火災(zāi)爆炸，造成人員傷亡。由此可見后果的嚴(yán)重性，所以需要評(píng)估XV1101的保護(hù)層(聯(lián)鎖回路LAHH 1101(2oo3))是否在DCS就能滿足可接受風(fēng)險(xiǎn)標(biāo)準(zhǔn)，假如不滿足的話，需要以何種級(jí)別的SIL回路進(jìn)入SIS中。

2.2 SIL定級(jí)

在開展SIL定級(jí)時(shí)，需要以下幾個(gè)假設(shè)為前提：

1)多列平行裝置/設(shè)備，僅對(duì)其中的單列裝置/設(shè)備進(jìn)行SIL定級(jí)分析，定級(jí)結(jié)果及建議適用于其他列。

2)手動(dòng)按鈕、FGS及DCS通常不做定級(jí)分析。

3)所有保護(hù)層應(yīng)符合標(biāo)準(zhǔn)中獨(dú)立保護(hù)層可審核、有效、獨(dú)立性的要求。

4)不存在不失效的保護(hù)層。

5)DCS在LOPA分析中不管是作為初始事件或獨(dú)立保護(hù)層最多使用2次。

6)圍堰獨(dú)立保護(hù)層僅適用于削減環(huán)境風(fēng)險(xiǎn)。

7)人為失誤做為初始事件時(shí)，應(yīng)確認(rèn)失效概率規(guī)則。

具體的SIL定級(jí)結(jié)果見表3所列。根據(jù)表3中的計(jì)算，可以看出該液氨罐區(qū)液氨輸送泵P-1001故障停的情景假設(shè)下，這條回路需要進(jìn)入SIS且等級(jí)為SIL1級(jí)，假如這條回路在其他情景假設(shè)下達(dá)到SIL2的話，在設(shè)計(jì)中需按高的SIL等級(jí)來(lái)設(shè)計(jì)，回路的檢測(cè)單元、邏輯運(yùn)算器以及執(zhí)行單元需經(jīng)過(guò)SIL驗(yàn)算后，才能確認(rèn)是否達(dá)到相應(yīng)的SIL等級(jí)。

表3 SIL定級(jí)結(jié)果

3 結(jié)束語(yǔ)

SIS的設(shè)置能夠避免化工裝置中的潛在風(fēng)險(xiǎn)，減少發(fā)生風(fēng)險(xiǎn)的可能性。SIS的關(guān)鍵在于回路中SIL等級(jí)的確認(rèn)，目前國(guó)際上尚無(wú)一個(gè)統(tǒng)一的SIL定級(jí)方法。本文中使用的SIL定級(jí)方法首先在HAZOP分析結(jié)果的基礎(chǔ)上，分析每個(gè)危險(xiǎn)以及它的觸發(fā)原因，并總結(jié)出已有的安全防護(hù)措施(保護(hù)層)，再根據(jù)實(shí)際情況修正觸發(fā)事件的概率以及保護(hù)層的削減概率，最后確定所需SIF回路的SIL等級(jí)，以確保整個(gè)系統(tǒng)的風(fēng)險(xiǎn)達(dá)到可接受風(fēng)險(xiǎn)的范圍。該SIL定級(jí)方法遵照了IEC-61511中推薦的步驟，符合規(guī)范的要求，能夠客觀、準(zhǔn)確、有效的對(duì)回路進(jìn)行定級(jí)。