田 龍

(云南云天化紅磷化工有限公司，云南 開遠 661600)

0 引言

合成氨是化肥制造的基礎原料產(chǎn)品。合成氨生產(chǎn)工藝以煤為原料，經(jīng)過煤制氣、凈化、壓縮、脫碳、精煉、合成等工序生產(chǎn)合成氨。合成氨工藝具有易燃、易爆、高溫、高壓等危險特性，是國家安全監(jiān)管總局關于公布的首批重點監(jiān)管危險化工工藝。根據(jù)《國家安全監(jiān)管總局關于加強化工安全儀表系統(tǒng)管理的指導意見》(安監(jiān)總管三〔2014〕116號)要求，必須對在役合成氨裝置開展安全儀表系統(tǒng)(safety instrumented system，SIS)評估，加強SIS的生命周期管理，提升本質(zhì)安全水平。本文以合成氨裝置典型的安全儀表功能(safety instrumented function，SIF)回路進行安全整性等級(safety integrity level,SIL)定級為例，開展生產(chǎn)工藝過程危險與可操作性分析(hazard and operability study，HAZOP)分析和保護層分析(layer of protection analysis，LOPA)，確定現(xiàn)實安全風險等級。通過SIS的SIF回路的安全功能分配，達到降低風險的目的。

1 合成氨裝置的HAZOP

風險是某個規(guī)定的危險事件發(fā)生的頻率及其后果的一個度量[1]。在進行HAZOP之前，企業(yè)應制定風險矩陣，以明確風險的可能性和后果嚴重程度標準。后果嚴重程度分為1～5級，即低后果、較低后果、中后果、高后果、很高后果。分別從人員職業(yè)健康影響、財產(chǎn)損失影響、環(huán)境影響及企業(yè)聲譽影響四個維度評價后果的嚴重程度。風險發(fā)生的頻率分為1～7級，即發(fā)生頻率在10-6～1。識別出的高(很高)風險必須采取降低風險的措施，使之達到允許風險。低風險不需采取行動，中風險可選擇性的采取行動。

本文以合成氨造氣工序半水煤氣氣柜作為分析節(jié)點，開展HAZOP分析。造氣工序的主要工藝過程如下。

由蒸汽過熱器而來的過熱蒸汽，經(jīng)過煤氣發(fā)生爐上部進入爐內(nèi)。蒸汽在煤氣發(fā)生爐內(nèi)自上而下經(jīng)過高溫炭層，分解得到半水煤氣。溫度約350 ℃的半水煤氣由爐底引出后進入安全槽，通過半水煤氣總管送至造氣廢熱鍋爐回收熱量，使半水煤氣溫度降至140 ℃左右。最后，半水煤氣送入煤氣洗滌塔底部，與頂部噴淋下來的水逆流接觸除塵、降溫，再送往半水煤氣氣柜貯存使用。來自氣柜的半水煤氣(1.0～4.5 kPa)經(jīng)羅茨風機加壓送至半水煤氣凈化工序處理。本文主要分析的設備或分析參數(shù)包括氣柜腐蝕狀況、氣柜內(nèi)半水煤氣氧含量參數(shù)、氣柜的高度測量儀表及氣柜生產(chǎn)運行其他方面的參數(shù)等。本文通過引導詞分析其偏離可能原因、后果及現(xiàn)有的安全措施，從而給出建議措施，實現(xiàn)對氣柜高度參數(shù)偏差場景的分析。簡化的氣柜危險性分析如表1所示。

表1 氣柜危險性分析Tab.1 Hazard analysis of gas storage tank

通過分析可以看出：羅茨風機(碳氫壓縮機)故障停機或氣柜高度測量儀表故障測量值錯誤，可能導致氣柜升高，嚴重時甚至導致氣柜導軌脫軌，造成半水煤氣泄漏風險。此過程風險評估為中風險，需增加氣柜升高后的自動放空閥。當上游造氣工序產(chǎn)氣量低、無半水煤氣送入或氣柜高度測量儀表故障測量值錯誤時，下游設備繼續(xù)運行會導致氣柜高度降低，嚴重時會使氣柜抽負壓，造成設備損壞和有空氣竄入氣柜的風險。此過程風險評估等級為中，且現(xiàn)有的保護措施不足。對此，建議開展LOPA分析，進一步確定現(xiàn)有保護層是否達到過程安全目標。

2 SIL定級

LOPA是在定性危害分析的基礎上，進一步評估保護層的有效性，并進行風險決策的系統(tǒng)方法[2]。對現(xiàn)實風險和預防或減輕危險的保護層通過量化計算其發(fā)生危險事件的概率，確定風險降低是否達到目標風險要求。如果風險達不到過程安全目標，則能以SIF的形式實現(xiàn)風險的降低。SIF的SIL可以通過LOPA分析導出。根據(jù)表1的氣柜危險性分析場景繼續(xù)開展LOPA分析。

氣柜高度參數(shù)偏差場景分析結(jié)果為：氣柜高度降低，嚴重時氣柜抽負壓，設備損壞，空氣竄入，引起火災爆炸，造成人員傷亡。物位測量失效可能導致氣柜抽負壓、設備損壞，使空氣竄入遇明火引發(fā)爆炸，點火概率取1.0。人員暴露概率的計算方式為：如果人員在現(xiàn)場，則取1.0。但根據(jù)生產(chǎn)操作實際情況，主要為巡檢人員暴露在現(xiàn)場。按1人每2小時巡檢一次，一次0.25小時計算，人在影響區(qū)域的概率為(1人/次×4次×0.25小時/次)/8小時=0.125，取0.2?？紤]事故后果影響范圍和人員在事故現(xiàn)場時間的長短取致死概率，一般火災致死概率取0.5。另外，考慮獨立的氣柜高度報警可作為關鍵報警和人員響應，可作為獨立保護層，失效概率取0.1。

在不考慮現(xiàn)有保護層消減風險的情況下，綜合該場景下的初始事件、使能條件、點火概率、人員暴露概率及后果嚴重性等級,得到該場景的初始風險。初始風險計算公式見式(1)[3]。

f=PIE×λEN×λFI×λEP

(1)

式中：f為初始風險頻率；PIE為初始事件頻率；λEN為使能條件概率；λFI為點火概率；λEP為人員暴露概率[3]。

根據(jù)式氣柜高度參數(shù)偏差場景初始風險的頻率(1)，f=PIE×λEN×λFI×λEP=1×10-1×1×0.2×0.5=1×10-2。

考慮現(xiàn)有保護層消減風險的情況下，LOPA分析中場景頻率計算公式見式(2)[4]：

(2)

現(xiàn)有風險后果發(fā)生頻率為1×10-3?，F(xiàn)有風險等級為中，而保護層所取得的減輕和風險降低不足以滿足最低目標風險值1×10-5。因此，需引入SIF作為獨立保護層。所需要的SIF低要求模式下的平均失效概率最低需滿足1×10-2，即在SIS中增加一個SIL2的SIF回路。給出的建議措施為增加氣柜高度低低聯(lián)鎖停羅茨風機，以防止空氣進入系統(tǒng)設備。以類似的方法，從財產(chǎn)、環(huán)境和企業(yè)聲譽影響進行分析，現(xiàn)有的風險均為中風險，需采取進一步降低風險的措施。

3 SIL驗證

3.1 SIF回路設計

為實現(xiàn)氣柜高度控制回路的SIF達到SIL2級，氣柜高度低低聯(lián)鎖停羅茨風機安全聯(lián)鎖(SIF03 LSLL-502203)設計如下。

氣柜高度測量采用E+H超聲波物位計。為保證聯(lián)鎖的安全性和可用性，設置3臺測量儀表，分別為氣柜高度測量LT-502203A、氣柜高度測量LT-502203B、氣柜高度測量LT-502203C(新增)。3臺高度測量儀表中，任意2臺儀表測量值同時低低(小于10%)時，聯(lián)鎖停羅茨風機。

SIF概念設計模型如圖1所示。

圖1 SIF概念設計模型Fig.1 SIF conceptual design model

每個物位傳感器通過安全柵進入輸入模塊后再進入SIS;3個物位測量回路的輸入采用2oo3結(jié)構(gòu)；輸出為1oo2結(jié)構(gòu)，一路為控制羅茨風機的停車回路，另一路為控制停車回路的二次電源。

3.2 SIL驗證假設條件

為了進行SIF03 LSLL-502203的SIS驗證的可靠性計算，作以下假設。

①置設計使用年限為20年。

②各安全功能回路平均修復時間(mean time to repair，MTTR)假設為8 h。

③SIS各安全功能回路組件傳感器、邏輯控制器及相關執(zhí)行機構(gòu)檢驗測試周期T=2年(17 520 h)。

④操作模式為低要求操作模式。

⑤SIF回路劃分為：傳感器單元、邏輯控制器單元和執(zhí)行單元。其中：傳感器、安全柵劃歸傳感單元；邏輯控制器單元包括Al、AO、DI、DO、CPU及電源模塊；執(zhí)行單元包括繼電器、電動機等。

3.3 SIL驗證過程

SIL的驗證需要大量的數(shù)據(jù)支撐和復雜的算法，通常依賴專業(yè)軟件完成，如德國的exSILentia軟件、HIMA 公司的SILence 軟件以及西門子公司的SET 軟件等[5]。根據(jù)ISA-TR 84.00.02—2002介紹的低要求操作模式下SIF可靠性評估的簡化公式，可以為工程技術人員對SIF的初步評估提供依據(jù)。

3.3.1 傳感器單元

傳感器單元失效數(shù)據(jù)如表2所示。表2中：λDD為檢測到的危險失效概率；λDU為未檢測到的危險失效概率；λSD為檢測到的安全失效概率；λSU為未檢測到的安全失效概率[6]。

表2 傳感器單元失效數(shù)據(jù)Tab.2 Failure data of sensor unit

對于每一個物位輸入回路，有λDU=1.35×10-6+3.4×10-8=1.38×10-6。

物位測量2oo3結(jié)構(gòu)在低要求模式下的平均失效概率Pavg-l簡化計算公式如下[7]：

Pavg-l=(λdu)2×T2

(3)

式中：T為檢驗測試周期，h;Pavg-l為低要求模式下的平均失效概率。

根據(jù)式(3)，傳感器的Pavg-l=(1.38×10-6)2×17 5202=5.85×10-4。

3.3.2 邏輯控制器單元

邏輯控制器單元包括模擬量輸入模塊[7]、邏輯控制器、電源模塊、數(shù)字量輸出模塊等。根據(jù)TCS-900通用數(shù)據(jù)庫的數(shù)據(jù)，邏輯控制器單元的Pavg約為1.33×10-4。

3.3.3 執(zhí)行單元

聯(lián)鎖動作后同時停止羅茨風機，同時輸出繼電器分斷羅茨機的控制回路二次電源。執(zhí)行單元為2個獨立的子系統(tǒng)SIF回路，分別驗證總回路的平均失效率。執(zhí)行單元總的結(jié)構(gòu)為1oo2。執(zhí)行單元1為安全繼電器和高壓電動機。執(zhí)行單元2為安全繼電器控制的二次回路電源。

執(zhí)行單元的失效數(shù)據(jù)如表3所示。

表3 執(zhí)行單元失效數(shù)據(jù)Tab.3 Failure data of execute unit

執(zhí)行單元1聯(lián)鎖輸出回路λdu=1.14×10-10+6.0×10-7=6.0×10-7。

執(zhí)行單元1為1oo1結(jié)構(gòu),Pavg簡化計算公式如下[8]：

(4)

SIF03 LSLL-502203回路的總的平均失效率為:

Psis=Ps+PL+PA

(5)

式中：Psis為SIS中特定SIF的平均失效概率；Ps為特定SIF傳感器的平均失效概率；PL為邏輯控制器的平均失效概率；PA為特定SIF最終原件的平均失效概念率。

則執(zhí)行單元1的Psis=Ps+PL+PA=5.85×10-4+1.33×10-4+5.26×10-3=5.97×10-3，達到SIL2等級要求。

執(zhí)行單元2聯(lián)鎖輸出回路λdu=1.14×10-10。

執(zhí)行單元2為1oo1結(jié)構(gòu)，Pavg簡化計算公式同式(4)[8]。

則執(zhí)行單元2的Psis=Ps+PL+PA=5.85×10-4+1.33×10-4+1.13×10-16=7.18×10-4，達到SIL3等級要求。

總上所述，SIF03 LSLL-l502203回路的SIL達到SIL2，達到所需的目標完整性等級SIL2，即SIF回路的設計滿足等級要求。

3.4 結(jié)構(gòu)約束

根據(jù)IEC 61511要求，SIF回路的傳感器、邏輯控制器和執(zhí)行單元應有最小的硬件故障裕度(hardware fault tolerance，HFT)。通過SIF回路失效概率的計算，結(jié)合HFT，得出結(jié)構(gòu)約束的SIF[9]。定義最小的HFT是為了防止因SIF設計中一系列的假設和失效率數(shù)據(jù)選擇不正確而導致的潛在缺陷。因此，需對子系統(tǒng)的HFT進行校核。

結(jié)構(gòu)約束要求如表4所示。

表4 結(jié)構(gòu)約束要求Tab.4 Structural constraint requirements

由表4可知，SIL能力取傳感器單元、邏輯控制單元和執(zhí)行單元最小值，即SIL能力達到SIL2。

4 結(jié)論

本文以合成氨裝置造氣工序氣柜高度控制過程安全分析為例，通過生產(chǎn)工藝過程HAZOP分析和LOPA分析，確定現(xiàn)實安全風險等級。增加SIS的SIF回路安全功能設計，能夠達到降低風險的目的。

本文根據(jù)ISA-TR 84.00.02—2002介紹的低要求操作模式下SIF可靠性評估的簡化公式，初步對SIF回路的SIL開展驗證。將HAZOP、LOPA和SIL驗證有機地結(jié)合起來，使工藝危害分析可以達到一個較為深入的水平[10-11]，從而提高過程安全的本質(zhì)水平。

該研究對化工工藝過程的安全風險控制起到積極的作用，其安全分析過程、方法對其他類似項目具有借鑒和推廣作用。