廖朝陽

（中國石化巴陵石化分公司 湖南省岳陽市 414014）

1 安全儀表系統(tǒng)和SIL評估

安全儀表系統(tǒng)實際是一種自動安全保護系統(tǒng),是保證裝置正常生產(chǎn)和保護人身、設(shè)備安全的必要措施,是工業(yè)自動化的重要組成部分。如果安全儀表系統(tǒng)設(shè)計不當,可能的后果一種是該停車時不停,造成拒動作；可能的后果另一種是不該停車時停車,造成誤動作。誤動作的直接后果是造成生產(chǎn)裝置停車,甚至巨額的經(jīng)濟損失。拒動作則會造成更嚴重甚至災(zāi)難性的后果,比如火災(zāi)爆炸、人身傷害等。正因為安全儀表系統(tǒng)可能存在的隱患，所以安全儀表系統(tǒng)的SIL 評估就顯得尤為重要。

2 SIL等級的定義和劃分

2.1 SIL等級的定義

SIL 是Safety Integrity Level 的縮寫，中文稱之為安全完整性等級。1998年頒布的IEC61508 功能安全標準中首次提出了SIL 的概念，它是一種功能安全等級的劃分。IEC61508 將SIL 分為SIL1，SIL2，SIL3 和SIL44 個等級。安全相關(guān)系統(tǒng)的SIL 級別，是由風險分析計算得出來的，是通過分析風險暴露時間和頻率、風險后果嚴重程度、不能避開風險的概率和不期望事件發(fā)生概率等四個因素綜合得出。SIL 級別越高，它要求的危險失效概率就越低。SIL 等級越高，它所對應(yīng)的安全防護系統(tǒng)可靠性也就越高，這是企業(yè)希望看到的。但安全防護系統(tǒng)的高可靠性會帶來更多的資金投入。而且，隨著安全儀表系統(tǒng)服役年限延長，硬件的可靠性會必將降低，即這也意味著系統(tǒng)的安全完整性等級會下降。如果要保證系統(tǒng)使用過程中的安全完整性等級不下降，則必須適時對其進行風險評估，根據(jù)評估情況制訂相應(yīng)的維修和整改計劃，這就是安全完整性等級(SIL)評估。

2.2 SIL等級劃分

SIL1 級：生產(chǎn)裝置可能很少發(fā)生事故。即使發(fā)生事故，對裝置和產(chǎn)品只有輕微的影響，不會造成環(huán)境污染和人身傷害，經(jīng)濟損失不大。這類裝置的安全儀表系統(tǒng)，只需要取得SIL1 認證即可，安全儀表的實用性要求不高，一般為90%-99%。SIL2 級：生產(chǎn)裝置可能偶爾發(fā)生事故,一旦發(fā)生事故，對裝置和產(chǎn)品的影響比較大，甚至會造成環(huán)境污染和人身傷害，經(jīng)濟損失也會較大。這類裝置的安全儀表系統(tǒng)，安全等級需要取得SIL2 級認證，其安全儀表系統(tǒng)的實用性要求也會提高，一般要求為99%-99.9%。SIL3 級：生產(chǎn)裝置可能經(jīng)常發(fā)生事故。一旦發(fā)生事故，對裝置和產(chǎn)品會造成嚴重影響，并造成重大人員傷亡和嚴重環(huán)境污染，經(jīng)濟損失巨大。這類裝置的安全儀表系統(tǒng)，必須取得SIL3 級認證，其安全儀表系統(tǒng)的實用性更高，一般為99.9%-99.99%。SIL4 級：一般在核工業(yè)及航天工業(yè)應(yīng)用領(lǐng)域。一旦發(fā)生事故，對生產(chǎn)設(shè)備和人員將造成災(zāi)難性的傷害，經(jīng)濟損失和人員傷亡都極其嚴重。這一領(lǐng)域的安全儀表系統(tǒng)必須取得SIL4 級認證。其安全儀表系統(tǒng)的實用性要求必須大于99.99%。

3 安全儀表系統(tǒng)可能存在的問題

安全儀表系統(tǒng)廣泛應(yīng)用于石油石化行業(yè),如能保證其正常運行，裝置的風險可以大大降低，從而降低經(jīng)濟損失，減少人身傷害。但安全儀表系統(tǒng)存在的問題也很明顯，主要包括聯(lián)鎖拒動作和聯(lián)鎖誤動作兩種。

3.1 聯(lián)鎖拒動作

聯(lián)鎖拒動作的概念：就是在生產(chǎn)裝置需要聯(lián)鎖進行動作來保障安全時，聯(lián)鎖功能失效，不動作，不能完成指定的安全功能，從而引發(fā)重大安全事故，這是最危險的一種情況。要滿足生產(chǎn)裝置對安全的要求，聯(lián)鎖的拒動作概率必須降低,否則將被認為聯(lián)鎖無法適應(yīng)裝置安全運行要求。

傳感器、邏輯控制器和執(zhí)行器是聯(lián)鎖功能要動作必須通過的三個組成部分。因此，除了選擇可靠性高的元器件外，適當增加系統(tǒng)的冗余也可以減少聯(lián)鎖拒動作的概率，提高系統(tǒng)的安全性。比如本來傳感器是1oo1 的，可以改為1oo2，即只要其中一個傳感器正常發(fā)出信號或報警,聯(lián)鎖就會動作，這樣可以很大程度上提高系統(tǒng)的可靠性。執(zhí)行器也是同樣的道理，以緊急切斷閥為例,在需要切斷進料時，如果只有一個緊急切斷閥，很可能出現(xiàn)此閥在需要動作的時候拒動，但如果有兩個緊急切斷閥，同時拒動的概率會大大降低，從而提高系統(tǒng)的安全性。

3.2 聯(lián)鎖誤動作

聯(lián)鎖誤動作是指裝置在正常運行過程中，由于安全儀表系統(tǒng)本身元器件失效使聯(lián)鎖誤啟動。聯(lián)鎖誤動作的危害是引發(fā)裝置發(fā)生非計劃停工，造成生產(chǎn)波動和效益損失。如果聯(lián)鎖誤動作頻繁，企業(yè)對聯(lián)鎖可靠性信心會降低，從而采取摘除聯(lián)鎖來保證生產(chǎn)，這樣很可能埋下安全隱患。

聯(lián)鎖誤動作的概率也可以通過優(yōu)化執(zhí)行機構(gòu)和傳感器的布置和取法來降低。例如原本傳感器是1oo2 方式的可以改成2oo2 的方式,即必須兩個同時觸發(fā)聯(lián)鎖才會動作。這樣就可以很大程度上避免傳感器故障引起的誤動作。另外，可以把傳感器的失效狀態(tài)設(shè)定為非故障安全型，從而降低裝置誤停車的概率。

4 SIL案列分析

SIS 的安全完整性等級是由構(gòu)成SIS 系統(tǒng)的三個單元的SIL 等級來初步確定的，下面從SIL 傳感器、SIL 邏輯單元和SIL 執(zhí)行機構(gòu)三個部分進行案列分析：

案例：環(huán)己烷和富氧空氣（空氣+純氧）氧化成環(huán)己酮，空氣來源于美國庫伯的離心式壓縮機，純氧來自空分裝置，空氣和純氧在緩沖罐進行混合后進入氧化釜和環(huán)己烷進行反應(yīng)，反應(yīng)完后的氣體已尾氣形式外排。整個過程涉及到的聯(lián)鎖控制點主要包括：空氣和純氧的流量、富氧的氧氣濃度、反應(yīng)后的尾氣含氧濃度、反應(yīng)釜的壓力和溫度、空氣開關(guān)閥、純氧開關(guān)閥及聯(lián)鎖啟動后往氧化釜內(nèi)補充氮氣開關(guān)閥。

該裝置設(shè)置有獨立的SIS 系統(tǒng)和DCS 系統(tǒng)，現(xiàn)場儀表設(shè)備大部分已實現(xiàn)分離。

4.1 SIL傳感器

通過對聯(lián)鎖儀表（傳感器）的安全性分析得知：所有儀表均未采用SIL 等級的儀表，空氣和純氧的流量計各采用2 個差壓節(jié)流裝置進行流量監(jiān)測，均為冗余配置，一組信號進DCS 系統(tǒng)，另一組信號進SIS 系統(tǒng)做聯(lián)鎖信號；富氧濃度測量采用單臺在線分析儀進行測量，信號傳入SIS 系統(tǒng)，7 臺氧化釜的尾氣均采用獨立的在線分析儀測量尾氣含氧，尾氣排放總管也設(shè)置了獨立的總管尾氣含氧分析儀。反應(yīng)釜的壓力測量和溫度測量也設(shè)置的獨立的測量儀表?？傮w情況就是聯(lián)鎖儀表均獨立設(shè)置與dcs 分開，但未實現(xiàn)單個測量點的冗余配置。

環(huán)己烷富氧氧化氧化反應(yīng)是比較危險，一旦富氧濃度過高則可能導致氧化反應(yīng)的失控，引發(fā)爆炸等嚴重后果，所以控制進入氧化釜的富氧空氣流量、濃度和反應(yīng)后的尾氣氧含量是極為重要的?，F(xiàn)有的檢測已經(jīng)涵蓋了所有的關(guān)鍵測量點，唯一不足之處是缺失冗余測量點，如果按照簡單的1oo1 來設(shè)置聯(lián)鎖條件，再配合完善的邏輯單元和執(zhí)行機構(gòu)，其完整性等級雖然能達到SIL1，保證裝置的安全，但是存在較大的誤動作可能，一旦出現(xiàn)儀表故障，信號電纜故障等則會導致非計劃停車，影響流程化生產(chǎn)的連續(xù)性，造成較大的經(jīng)濟損失。通過對現(xiàn)有聯(lián)鎖儀表配置情況進行分析，我們設(shè)置了2oo2 的邏輯以降低無停車幾率，如通過進氧化釜的空氣和純氧氣體流量計算處氧氣含量，再結(jié)合混合后的氧氣含量來確認是否啟動聯(lián)鎖，通過單個氧化的尾氧含量和總管尾氧含量來確定是否啟動聯(lián)鎖等，這樣設(shè)置雖然平均危險故障失效概率（PFDavg）有所增加，但仍然滿足聯(lián)鎖回路的SIL 等級，在保證安全的前提下，能有效的降低誤停車的可能性，我裝置的長周期生產(chǎn)提供保證。

4.2 SIL邏輯單元

邏輯單元主要指SIS 系統(tǒng)。以我單位環(huán)己酮裝置的SIS 系統(tǒng)為例，采用了TRICON TMR 系統(tǒng)硬件，其控制系統(tǒng)是三重冗余容錯結(jié)構(gòu)的控制器，有三個獨立的控制器，卡件的每個點也是三重冗余，電源和網(wǎng)絡(luò)均為雙重冗余配置，安全完整性等級達到SIL3。所以對于系統(tǒng)硬件本身基本上不需要做改進。

4.3 SIL執(zhí)行機構(gòu)

執(zhí)行機構(gòu)的冗余配置是提升SIL 等級的重要手段，在同一個管路上，一般的情況下DCS 系統(tǒng)控制管路上的調(diào)節(jié)閥，SIS 系統(tǒng)控制管路上的開關(guān)閥。為提升SIL 等級，可在管路上裝2 個開關(guān)閥，當聯(lián)鎖啟動后，SIS 同時控制2 個開關(guān)閥的緊急切斷或打開，但在實施中往往因投資后安裝位置所限，只會安裝一個開關(guān)閥，這種配置在我單位環(huán)己酮裝置上極為普遍，但一旦出現(xiàn)開關(guān)閥卡死（平時難以察覺），聯(lián)鎖動作時則會出現(xiàn)很大的隱患。若受到投資或位置的影響不能安裝冗余的開關(guān)閥，也可以在調(diào)節(jié)閥上增加一個電磁閥來實現(xiàn)執(zhí)行機構(gòu)的冗余，也可以提升SIL 等級。

但是執(zhí)行機構(gòu)的冗余提升了安全完整性等級，但同時增加了更多的故障點，一旦氣源管路或電磁閥故障或電纜故障都會導致閥門的誤動作導致裝置非計劃停車。在實施中，我們可以采用兩個電磁閥并聯(lián)連接，以避免其中一路電磁閥因上述原因失效導致安全儀表系統(tǒng)誤動作。兩個電磁閥并聯(lián)連接方式，不管哪個電磁閥故障，只要有一個正常，一個閥門就能正常運行，這種方式可用性好，安全性稍差，可以有效防止因任一電磁閥故障而導致SIS 系統(tǒng)誤動作。

5 結(jié)論

通過對石化工藝危險性的定量分析，確定安全儀表系統(tǒng)的SIL等級。SIL 等級越高，其對應(yīng)的安全防護系統(tǒng)可靠性越高，但會增加軟硬件投資，合理的評估一個安全儀表系統(tǒng)的SIL 等級，既能確保裝置的安全平穩(wěn)運行，又能保持合理投資。從可靠性工程的發(fā)展分析，對生產(chǎn)裝置安全儀表系統(tǒng)的SIL 等級進行定量分析將是今后設(shè)計工作的一個趨勢，尤其是在新裝置的設(shè)計過程中更要注重SIL等級的安全評估。在化工裝置開展安全儀表系統(tǒng)SIL 等級評估，并根據(jù)評估情況有效設(shè)置聯(lián)鎖系統(tǒng)，最大程度發(fā)揮儀表安全功能，從而提高化工裝置的整體安全性。