謝冬暉

(中國恩菲工程技術(shù)有限公司, 北京 100038)

0 引言

安全儀表系統(tǒng)(簡稱SIS)，是實(shí)現(xiàn)一個或多個安全儀表功能的儀表系統(tǒng)，一般由測量儀表、邏輯控制器和最終元件組成[1-2]。

按照《國家安全監(jiān)管總局 住房城鄉(xiāng)建設(shè)部關(guān)于進(jìn)一步加強(qiáng)危險化學(xué)品建設(shè)項(xiàng)目安全設(shè)計(jì)管理的通知》(安監(jiān)總管三〔2013〕76號)、《國家安全監(jiān)管總局關(guān)于加強(qiáng)化工安全儀表系統(tǒng)管理的指導(dǎo)意見》(安監(jiān)總管三〔2014〕116號)等有關(guān)規(guī)定，生產(chǎn)多晶硅產(chǎn)品的某企業(yè)需要在其屬于“重點(diǎn)監(jiān)管的危險化工工藝、重點(diǎn)監(jiān)管的危險化學(xué)品和重大危險源(簡稱兩重點(diǎn)一重大)”的工藝單元上進(jìn)行工藝、自控等專業(yè)的改造設(shè)計(jì)，建設(shè)和運(yùn)行符合規(guī)范要求的安全儀表系統(tǒng)。

中國恩菲公司在2018年初與某企業(yè)簽訂了SIS建設(shè)項(xiàng)目的評估設(shè)計(jì)合同，主要工作范圍是：進(jìn)行危險與可操作性分析(簡稱HAZOP)并出具相關(guān)報告；依據(jù)HAZOP報告中的分析結(jié)果，選擇需要設(shè)置SIS的工藝單元，依照相關(guān)法規(guī)和標(biāo)準(zhǔn)設(shè)置具有安全儀表功能(簡稱SIF)[3]的控制回路，并確定每個SIF的安全完整性等級(簡稱SIL)[3]；根據(jù)定級結(jié)果設(shè)計(jì)SIS實(shí)施技術(shù)方案；對SIS儀表和控制系統(tǒng)進(jìn)行SIL驗(yàn)證。

1 HAZOP分析

1.1 HAZOP分析概述

HAZOP分析由一個具有不同專業(yè)背景的專家組成的小組，通過系統(tǒng)的方法識別和評估工藝流程中的危險因素和可能引起的后果，并提出應(yīng)對措施和辦法[4]。HAZOP分析基于小組成員的經(jīng)驗(yàn)基礎(chǔ)上進(jìn)行，在分析過程中需要業(yè)主方具有操作經(jīng)驗(yàn)的專業(yè)人員參與，可以使得分析更加客觀和專業(yè)。在本項(xiàng)目中，HAZOP小組成員包括安全咨詢專家、工藝和自控專業(yè)設(shè)計(jì)負(fù)責(zé)人、某企業(yè)的各車間主管、工藝技術(shù)員、操作班長、安環(huán)部門技術(shù)員等。具有豐富經(jīng)驗(yàn)的安全咨詢專家擔(dān)任小組主席，負(fù)責(zé)掌控整個分析的過程和節(jié)奏，其他小組成員在主席的指導(dǎo)下參與分析，提出自己的觀點(diǎn)和意見。

由于本項(xiàng)目的最終目標(biāo)是建立SIS系統(tǒng)，不是傳統(tǒng)意義上針對某個工程項(xiàng)目的工藝過程全方位、綜合性的分析，因此HAZOP分析的范圍僅限于針對某企業(yè)現(xiàn)有工藝裝置聯(lián)鎖保護(hù)的事故場景，以及對沒有設(shè)置聯(lián)鎖的關(guān)鍵設(shè)備設(shè)施進(jìn)行偏差識別和風(fēng)險分析。HAZOP分析的基礎(chǔ)材料主要包括PFD圖、P&ID圖、DCS聯(lián)鎖臺賬及相關(guān)資料等。

1.2 HAZOP分析方法

本項(xiàng)目的HAZOP分析以經(jīng)驗(yàn)法為主，結(jié)合傳統(tǒng)的HAZOP引導(dǎo)詞分析法，即將一個系統(tǒng)劃分成多個節(jié)點(diǎn)，并采用優(yōu)選的引導(dǎo)詞。HAZOP小組主席采用引導(dǎo)詞(如無、多、少等)和關(guān)鍵工藝參數(shù)(如流量、液位、壓力等)，引導(dǎo)小組通過集體討論從操作和設(shè)計(jì)角度準(zhǔn)確找出導(dǎo)致偏差的可能原因(如無流量、高液位、低壓力等)。每個節(jié)點(diǎn)都會以引導(dǎo)詞為線索依次分析，找出工藝偏離正常操作條件的原因。此方法要求徹底完全地分析每一個節(jié)點(diǎn)，以識別由于工藝偏差而導(dǎo)致的潛在安全問題和可操作性問題。HAZOP小組識別了所有原因后，必須確定最終可能導(dǎo)致的后果并評估其危險嚴(yán)重性，才能分析出現(xiàn)有的安全保護(hù)措施是否足夠控制風(fēng)險，如果答案是否定的，就需要建議增加新的安全保護(hù)措施。

1.3 HAZOP分析記錄表

HAZOP分析過程中，記錄表是十分重要的過程文件，需要記錄劃分的每個節(jié)點(diǎn)的設(shè)計(jì)意圖、危險和可操性問題，由于已有安全措施不足以保護(hù)工藝系統(tǒng)而提出的降低危險的措施和建議也需要記錄在表中。典型的記錄表如表1所示。

表1 HAZOP分析記錄表

表1中各選項(xiàng)的詳細(xì)釋義如下：

(1)節(jié)點(diǎn)—選擇工藝系統(tǒng)中某個合適的環(huán)節(jié)；

(2)設(shè)計(jì)意圖—描述該節(jié)點(diǎn)的工藝設(shè)計(jì)目的；

(3)參數(shù)/引導(dǎo)詞—工藝參數(shù)結(jié)合引導(dǎo)詞產(chǎn)生的偏差作為小組分析的提示；

(4)詳細(xì)偏差—列出該節(jié)點(diǎn)內(nèi)每一項(xiàng)需要分析的偏差；

(5)原因—識別出所有導(dǎo)致偏差出現(xiàn)的明確或潛在的原因；

(6)后果—不考慮已有安全措施的前提下，識別每個偏差導(dǎo)致的最終結(jié)果；

(7)保護(hù)措施—詳細(xì)列出每一條已有的安全措施，并評估其能否把后果從危險降低到安全級別；

(8)建議措施—如果保護(hù)措施不足，提出建議增加的安全措施。

HAZOP小組在完成一個參數(shù)/引導(dǎo)詞組合后，就可以進(jìn)行該節(jié)點(diǎn)內(nèi)其他參數(shù)/引導(dǎo)詞組合的分析，直至結(jié)束本節(jié)點(diǎn)所有分析，其他節(jié)點(diǎn)的分析也照此循環(huán)進(jìn)行。

1.4 HAZOP分析規(guī)則

在HAZOP分析時，必須要制定好規(guī)則并嚴(yán)格遵守，以避免HAZOP分析過程出現(xiàn)偏離目標(biāo)、重復(fù)工作、缺乏衡量標(biāo)準(zhǔn)等問題。本項(xiàng)目HAZOP小組分析過程中遵循的規(guī)則如下：

(1)原因和后果至少有一個必須是在相應(yīng)的節(jié)點(diǎn)里面找；

(2)考慮后果時，不考慮已有的安全措施；

(3)如果某原因?qū)е露喾N工藝偏差的出現(xiàn)，則不需要采用不同的引導(dǎo)詞進(jìn)行分析；

(4)初始事件原因是安全措施失效，則該安全措施將不予采用；

(5)同一系統(tǒng)或設(shè)備同時出現(xiàn)兩種或以上故障的情況不予以考慮；

(6)對于兩個或更多相似的系統(tǒng)或設(shè)備，只分析其中一個。

1.5 HAZOP分析結(jié)果

經(jīng)過詳細(xì)、準(zhǔn)確的HAZOP分析后，HAZOP小組就所有的建議進(jìn)行了充分的討論并最終達(dá)成一致意見，為某企業(yè)的SIS建設(shè)項(xiàng)目提出了175項(xiàng)建議措施。這些建議都是針對設(shè)計(jì)、安全和操作方面的，能夠解決潛在的安全或可操作性問題，有效降低多晶硅生產(chǎn)裝置的工藝風(fēng)險。

通過本節(jié)內(nèi)容可以看出，HAZOP報告是開展SIS系統(tǒng)SIL定級工作的基礎(chǔ)性文件和指南，具有十分重要的意義和作用。

2 SIF識別與SIL定級

2.1 有關(guān)概念

SIF包括安全保護(hù)功能和安全控制功能，由SIS(測量儀表、邏輯控制器、最終元件和軟件)實(shí)現(xiàn)，以防止、減少危險事件發(fā)生或保持過程安全狀態(tài)。

本項(xiàng)目的SIL定級采取了保護(hù)層分析(簡稱LOPA)方法。LOPA是對事故場景初始事件(簡稱IE)、后果和獨(dú)立保護(hù)層(簡稱IPL)進(jìn)行分析，對其風(fēng)險進(jìn)行半定量評估的系統(tǒng)性方法。

SIL是在規(guī)定時間和條件內(nèi)SIS完成SIF的平均概率的等級，由低到高為SIL1～SIL4。SIL在低要求操作模式時，采用要求時失效概率(簡稱PFD)進(jìn)行衡量，也即當(dāng)系統(tǒng)要求IPL起作用時，IPL發(fā)生失效不能完成一個具體功能的概率，如表2所示。

表2 低要求操作模式下的SIL等級

如果PFD數(shù)值位于[10-1，1)區(qū)間，可以將其SIL等級寫為SILa，該等級的SIF可采用如DCS、PLC等常規(guī)控制系統(tǒng)實(shí)現(xiàn)。

LOPA方法進(jìn)行SIL定級的程序步驟，如圖1所示[5]。

圖1 LOPA基本程序

2.2 工作范圍

中國恩菲根據(jù)HAZOP報告和某企業(yè)的實(shí)際情況，明確了本項(xiàng)目的SIF識別和SIL定級工作的范圍為：

(1)針對現(xiàn)有聯(lián)鎖保護(hù)進(jìn)行保護(hù)場景識別和保護(hù)層分析，明確其安全功能并確定SIL等級，判斷是否需要改為由SIS系統(tǒng)實(shí)現(xiàn)；

(2)針對沒有設(shè)置聯(lián)鎖的關(guān)鍵設(shè)備設(shè)施進(jìn)行典型事故場景識別和保護(hù)層分析，確定是否需要新增聯(lián)鎖及相應(yīng)的SIL等級，判斷是否需要由SIS系統(tǒng)實(shí)現(xiàn)；

(3)根據(jù)國家安監(jiān)局相關(guān)文件要求，確定需要進(jìn)入SIS系統(tǒng)實(shí)現(xiàn)的SIF(具有相應(yīng)的SIL等級)和緊急切斷功能。

2.3 SIF的識別

對新建項(xiàng)目而言，SIF識別過程一般會依據(jù)如下文件：

·工藝管道和儀表流程圖(P&ID)；

·聯(lián)鎖邏輯圖；

·ESD因果矩陣；

·HAZOP分析結(jié)果。

由于本項(xiàng)目屬于現(xiàn)有設(shè)施運(yùn)營多年后進(jìn)行改造，其實(shí)際狀況和原始設(shè)計(jì)文件有差別和變動，因此中國恩菲和業(yè)主設(shè)計(jì)部協(xié)同工作，對P&ID、聯(lián)鎖臺賬等進(jìn)行了更新，作為SIF識別的最終依據(jù)。

2.4 用LOPA法進(jìn)行SIL定級

依據(jù)HAZOP報告結(jié)論，中國恩菲按照LOPA方法的程序步驟，確定了本項(xiàng)目各個SIF的SIL等級。下面用前文表1中的節(jié)點(diǎn)22“第三組分離1#塔”作為示例，展示進(jìn)行SIL定級的具體過程。

(1)建立事故風(fēng)險容許度標(biāo)準(zhǔn)

建立事故風(fēng)險容許度標(biāo)準(zhǔn)的目的是保護(hù)人員安全、防止環(huán)境破壞和財(cái)產(chǎn)損失。

中國恩菲結(jié)合國際/國內(nèi)同類公司采用的可容忍風(fēng)險等級，為某企業(yè)推薦了安全、環(huán)境、財(cái)產(chǎn)三類風(fēng)險事故后果的可接受頻率，得到了業(yè)主的認(rèn)可。表3為本項(xiàng)目中使用的安全風(fēng)險事故后果可接受頻率。

表3 安全與健康相關(guān)事故后果的可接受頻率

環(huán)境和財(cái)產(chǎn)兩類風(fēng)險事故后果的可接受頻率在本項(xiàng)目SIL定級中未列出，是對于同一SIF在保護(hù)不同類型的事故后果時，只分析風(fēng)險可接受頻率較低的類型。例如超過1 t石油外溢的環(huán)境破壞，業(yè)主的風(fēng)險可容忍頻率為1×10-4/年，而人員安全和財(cái)產(chǎn)風(fēng)險類型的可容忍頻率都是1×10-3/年，那么三種風(fēng)險類型選擇更低的1×10-4/年即可。

在其他工程項(xiàng)目中，應(yīng)根據(jù)業(yè)主意愿、項(xiàng)目具體情況、內(nèi)外部有關(guān)影響因素等綜合選擇風(fēng)險事故。特別需要注意的是事故風(fēng)險容許度標(biāo)準(zhǔn)在不同國家、地區(qū)、行業(yè)、項(xiàng)目中會有所不同，在提出該標(biāo)準(zhǔn)時一定要滿足有關(guān)規(guī)定并經(jīng)業(yè)主確認(rèn)。

(2)事故場景和后果

節(jié)點(diǎn)22的事故場景是“第三組分離1#塔塔頂壓力突然上升，會超過塔的設(shè)計(jì)壓力，塔頂二氯二氫硅泄漏，可能發(fā)生爆炸”，事故后果是“造成1人死亡”。根據(jù)表3可知該事故后果的頻率不高于1×10-4/年，屬于業(yè)主的可容忍接受范圍。

(3)IE

IE是事故場景的初始事件原因，一般分為三種類型，包括外部事件、設(shè)備故障以及人員失誤，其發(fā)生頻率或頻率范圍以“年”為單位。外部事件主要包括自然災(zāi)害、廠區(qū)外鄰近區(qū)域重大事故和火災(zāi)爆炸、破壞恐怖活動等；設(shè)備故障主要包括控制系統(tǒng)故障、機(jī)械故障、閥門故障、管道和儲罐失效泄漏，以及停水、停電、停氣等公輔設(shè)施故障；人員失誤主要包括操作、維護(hù)、關(guān)鍵響應(yīng)、作業(yè)程序等失誤。

節(jié)點(diǎn)22事故場景的初始事件有兩個，一是“第三組分離1#塔塔頂冷卻失效”，二是“PV10T01故障，T75.再沸器加熱過度”，均屬于設(shè)備故障。

根據(jù)有關(guān)中國安全標(biāo)準(zhǔn)和國際認(rèn)可的數(shù)據(jù)，可將節(jié)點(diǎn)22的IE1“冷卻失效”的頻率取值設(shè)為1×10-1/年，將IE2“PV10T01故障”的取值設(shè)為1×10-1/年。

(4)IPL

IPL是指獨(dú)立于場景初始事件或別的保護(hù)層的系統(tǒng)、行動、設(shè)備等，能夠阻止事故場景發(fā)展為不期望后果。

對一個生產(chǎn)企業(yè)來說，“本質(zhì)安全設(shè)計(jì)”“基本過程控制系統(tǒng)BPCS”“報警&人員響應(yīng)”“安全儀表功能SIF”“物理保護(hù)”“釋放后保護(hù)設(shè)施”以及“工廠和社區(qū)應(yīng)急響應(yīng)”都是典型的保護(hù)層，但是否能夠作為IPL，則需要滿足一定的具體要求。比如BPCS要作為IPL，就需要滿足和安全儀表系統(tǒng)分離(物理層面)、其故障不是造成IE的原因、多個回路視作一個IPL等具體要求，又比如一般的報警&人員響應(yīng)很難被視為IPL。一個標(biāo)準(zhǔn)的IPL應(yīng)滿足獨(dú)立性、有效性、安全性的要求，同時可變更管理和可審查。

節(jié)點(diǎn)22在項(xiàng)目改造前沒有符合條件的IPL，在項(xiàng)目HAZOP分析過程中，業(yè)主決定在有關(guān)塔(包括節(jié)點(diǎn)22在內(nèi))的塔頂增加工藝安全閥，因此中國恩菲將安全閥作為IPL引入SIL定級，并取值為1×10-2/年。

(5)確定SIL等級

節(jié)點(diǎn)22的SIL定級分為兩部分，一是對現(xiàn)有聯(lián)鎖保護(hù)進(jìn)行分析，判斷其SIL等級并決定是否需要由DCS改為SIS實(shí)現(xiàn)；二是判斷新增聯(lián)鎖由SIS實(shí)現(xiàn)所需的SIL等級。這兩部分的SIL定級通過定級計(jì)算表完成，如表4、表5所示。

表4 SIL定級計(jì)算表1

表5 SIL定級計(jì)算表2

SIL定級計(jì)算表中有“觸發(fā)事件或條件”“后果條件修正”兩選項(xiàng)，其作用是對事件場景進(jìn)行修正，節(jié)點(diǎn)22雖未予采用，但對定級結(jié)果沒有影響。這兩個在其他項(xiàng)目中，建議根據(jù)具體情況決定是否采用和賦值。

將事故風(fēng)險降至業(yè)主的可容忍風(fēng)險以下所需的數(shù)值，即為該SIF的PFD值，用PFDSIF表示，可通過公式(1)計(jì)算：

(1)

將表4、表5中數(shù)值代入公式(1)后計(jì)算可得，節(jié)點(diǎn)22的SIF1(現(xiàn)有DCS聯(lián)鎖)的PFDSIF值為1.00E-01，SIF2(新增聯(lián)鎖)的PFDSIF值為1.00E-01。通過對照表2的SIL等級區(qū)間，可得出“SIF1和SIF2的等級為SILa，采用常規(guī)DCS系統(tǒng)即可實(shí)現(xiàn)該功能”的初步結(jié)論。

但是《危險化學(xué)品重大危險源監(jiān)督管理暫行規(guī)定》(國家安全生產(chǎn)監(jiān)督管理總局令第40號)中第十三條中要求：涉及毒性氣體、液化氣體、劇毒液體的一級或者二級重大危險源，配備獨(dú)立的安全儀表系統(tǒng)(SIS)。根據(jù)某企業(yè)提供的危險化學(xué)品重大危險源分級結(jié)果，節(jié)點(diǎn)22所屬工藝裝置已構(gòu)成一級重大危險源。因此節(jié)點(diǎn)22的最終SIL定級結(jié)果為：一、SIF1(現(xiàn)有DCS聯(lián)鎖)等級為SILa，功能保留，在DCS上實(shí)現(xiàn)；二、SIF2(新增聯(lián)鎖)等級為SILa，按40號令進(jìn)SIS系統(tǒng)，功能在SIS上實(shí)現(xiàn)。

3 SIS實(shí)施技術(shù)方案

中國恩菲在完成該項(xiàng)目的HAZOP報告、SIF確定與SIL定級報告后，以報告內(nèi)容為依據(jù)，進(jìn)行了項(xiàng)目實(shí)施技術(shù)方案(包括工藝專業(yè)和自控專業(yè))的設(shè)計(jì)。該項(xiàng)目屬于現(xiàn)有設(shè)施改造，業(yè)主根據(jù)技術(shù)方案自行組織了采購、施工等工作。下面仍舊以節(jié)點(diǎn)22為示例進(jìn)行展示，如表6所示。

表6 SIS系統(tǒng)改造明細(xì)表

4 SIL驗(yàn)證

進(jìn)行SIL驗(yàn)證的目的是：分析構(gòu)成SIF回路的硬件安全完整性的結(jié)構(gòu)約束，以及硬件隨機(jī)失效的安全完整性等級要求，確定該SIF目前能達(dá)到的SIL等級，與SIL定級結(jié)果進(jìn)行比較。如果該SIF未達(dá)到定級結(jié)果要求，則應(yīng)重新進(jìn)行硬件設(shè)計(jì)選型工作以使其達(dá)到SIL等級要求。

在本項(xiàng)目中，中國恩菲主要是基于業(yè)主提供的現(xiàn)場儀表設(shè)備和邏輯控制器的SIL認(rèn)證證書(報告)和相關(guān)同類設(shè)備失效數(shù)據(jù)庫，將各SIF表示為傳感器子系統(tǒng)(輸入)、邏輯子系統(tǒng)和最終元件子系統(tǒng)(輸出)，利用國際流行的安全完整性等級評估軟件exSILentia進(jìn)行數(shù)據(jù)處理和驗(yàn)證計(jì)算，完成了SIL驗(yàn)證工作。

示例節(jié)點(diǎn)22- SIF2的SIL等級要求為SILa，經(jīng)驗(yàn)證計(jì)算其PFDavg為1.47E-02，結(jié)構(gòu)約束為SIL2，綜合達(dá)到SIL1，能夠滿足等級要求。具體內(nèi)容如表7所示。

表7 SIL驗(yàn)證工作表

5 結(jié)束語

SIS系統(tǒng)在工程項(xiàng)目中的正確應(yīng)用，離不開“安全生命周期”這一概念?！鞍踩芷凇笔侵笍囊粋€項(xiàng)目的工程方案設(shè)計(jì)直至所有安全儀表功能停用的全部階段[6]。除了前文論述的內(nèi)容外，還應(yīng)加上SIS工程設(shè)計(jì)、SIS集成調(diào)試驗(yàn)收、SIS操作維護(hù)變更、SIS功能測試和SIS停用等后續(xù)工作，才能構(gòu)成一個完整的SIS系統(tǒng)安全生命周期，也意味著完成了一個真正意義上的SIS系統(tǒng)。這些后續(xù)工作需要設(shè)計(jì)院、系統(tǒng)集成商、業(yè)主等多方參與，有大量復(fù)雜的管理和技術(shù)活動，限于篇幅原因本文不進(jìn)行描述，希望以后有機(jī)會再與各位專家、同行一起學(xué)習(xí)交流。