蘇曉妹

【摘要】本文介紹了SIS的組成、SIL評(píng)估依據(jù)、作用，并論述了一種在工程設(shè)計(jì)中最常用的安全分析方法-防護(hù)層分析（LOPA），該方法是危險(xiǎn)與可操作性分析（HAZOP）的繼續(xù)，本文介紹了其在SIL評(píng)估中的具體實(shí)施應(yīng)用。

1、引言

隨著石油、化工裝置的經(jīng)濟(jì)規(guī)模日趨大型化，生產(chǎn)裝置的密集程度越來越高，對(duì)操作、控制及安全的要求也越來越嚴(yán)格。石化裝置的產(chǎn)品一般都屬于易燃、易爆或有毒介質(zhì)，生產(chǎn)過程稍有閃失就會(huì)釀成災(zāi)難性的事故，造成生產(chǎn)、設(shè)備、人員等方面的重大損失。作為過程工業(yè)安全的重要保障，確保過程工業(yè)安全儀表系統(tǒng)本身的可靠性對(duì)于過程工業(yè)的安全具有重要意義。雖然大多數(shù)石油化工裝置均安裝了SIS，但由于SIS設(shè)置的合理性、針對(duì)性、有效性等方面存在問題，以至于當(dāng)災(zāi)難性事故發(fā)生時(shí)SIS卻失去了作用。在石油化工領(lǐng)域開展安全儀表系統(tǒng)安全完整性等級(jí)（safety integrity level，SIL）評(píng)估，合理、有效的設(shè)置SIS，實(shí)現(xiàn)SIS的安全功能，保障石油化工裝置的安全，已經(jīng)成為目前亟需解決的問題。

2、安全儀表系統(tǒng)及安全完整性等級(jí)

安全儀表系統(tǒng) （Safety instrumented systems，SIS）是一種自動(dòng)安全保護(hù)系統(tǒng)，它是保證正常生產(chǎn)和人身、設(shè)備安全的必不可少的措施，它已發(fā)展成為工業(yè)自動(dòng)化的重要組成部分。根據(jù)IEC61511中的定義，安全儀表系統(tǒng)是由傳感器、邏輯控制器、執(zhí)行器組成的，能夠執(zhí)行一項(xiàng)或多項(xiàng)安全儀表功能（Safety instrumented function，SIF）的系統(tǒng)，如緊急切斷系統(tǒng)、火災(zāi)報(bào)警系統(tǒng)、安全聯(lián)鎖等。所謂的SIF就是能感知危險(xiǎn)狀態(tài)，并能自動(dòng)的采取有效動(dòng)作，將過程轉(zhuǎn)變至安全狀態(tài)。每一個(gè)安全儀表功能針對(duì)特定的風(fēng)險(xiǎn)對(duì)生產(chǎn)過程進(jìn)行保護(hù)。SIS執(zhí)行SIF功能，是通過（a）一個(gè)或多個(gè)傳感器（如：溫度、壓力、液位、有毒或可燃?xì)怏w濃度）；（b）一個(gè)或多個(gè)電子邏輯運(yùn)算器（通常情況是，一個(gè)安全的可編程邏輯控制器，即PLC），（c）一個(gè)或多個(gè)過程控制最終元件（如切斷閥、電子開關(guān)等）SIS系統(tǒng)的設(shè)計(jì)分2個(gè)步驟：首先確定SIS系統(tǒng)將要做什么，也就是它需要實(shí)現(xiàn)哪些SIF功能；然后，確定對(duì)于每個(gè)SIF功能。為了確定SIS系統(tǒng)的SIL等級(jí)，首先需要知道企業(yè)對(duì)風(fēng)險(xiǎn)的可接受程度，及HAZOP分析報(bào)告表。然后基于LOPA分析方法，分析相關(guān)工藝安全措施的有效性，以確定工藝過程的安全保護(hù)措施是否足夠及有效，以確定過程的實(shí)際風(fēng)險(xiǎn)是否在可接受水平。如何確定一個(gè)SIF功能是否滿足工作要求，IEC61511劃分了4個(gè)安全完整性等級(jí)（SIL），等級(jí)劃分完全取決于SIF功能的失效概率（PFD），PFD的倒數(shù)又稱為風(fēng)險(xiǎn)降低因子（RRF）。表1列出了每個(gè)SIL等級(jí)的失效概率范圍及RRF范圍。

IEC61511構(gòu)建了SIS系統(tǒng)完整生命周期的必要條件，該“安全生命周期（SLC）”包括SIS系統(tǒng)從構(gòu)建到停用全過程的說明書、設(shè)計(jì)、安裝、操作、維護(hù)、變更等。但是SIS系統(tǒng)最重要是SLC階段是，a）判斷是否需要SIS系統(tǒng)，b）確定每個(gè)SIF功能的SIL等級(jí)（如果需要SIS系統(tǒng)）。

3、基于LOPA分析的SIL的評(píng)估

保護(hù)層分析方法是一種半定量的評(píng)估方法，也是目前最常用的方法。LOPA從危險(xiǎn)和可操作性分析的數(shù)據(jù)著手，通過起始事件和預(yù)防或減輕危險(xiǎn)的保護(hù)層計(jì)算每個(gè)危險(xiǎn)，確定風(fēng)險(xiǎn)降低的總量以及是否需要進(jìn)一步降低風(fēng)險(xiǎn)。

3.1 LOPA原則

LOPA是一種非常系統(tǒng)、詳盡的分析程序，它涉及到工藝過程的每一個(gè)細(xì)節(jié)，但在具體分析時(shí)有許多不正常狀態(tài)是不會(huì)引致事故的，因此，為了保證分析工作做到切實(shí)有效、重點(diǎn)突出，只對(duì)能產(chǎn)生下列后果的事故進(jìn)行風(fēng)險(xiǎn)分析：①人員（職工、公眾）傷害②環(huán)境破壞③財(cái)產(chǎn)損失對(duì)不產(chǎn)生上述后果的非正常狀態(tài)只進(jìn)行一般的HAZOP危害分析。首先應(yīng)該確定后果嚴(yán)重等級(jí)和初始事件頻率，查風(fēng)險(xiǎn)矩陣表，確定是否需要風(fēng)險(xiǎn)降低，然后進(jìn)行獨(dú)立保護(hù)層識(shí)別，確定風(fēng)險(xiǎn)降低的頻率等級(jí)，反查矩陣表，在不需要SIS的情況下，是否達(dá)到了可接受的風(fēng)險(xiǎn)水平，需要SIS降低的風(fēng)險(xiǎn)等級(jí)即是目標(biāo)SIL等級(jí)。

3.2 風(fēng)險(xiǎn)矩陣確定

進(jìn)行保護(hù)層分析，首先應(yīng)該確定事故后果的嚴(yán)重等級(jí)，事故后果的等級(jí)隨著不同的國家、不同的公司對(duì)風(fēng)險(xiǎn)可接受的標(biāo)準(zhǔn)不同，我們可以根據(jù)實(shí)際情況進(jìn)行調(diào)整，如下表為某公司事故后果嚴(yán)重度分級(jí)。

其次，確定潛在事故頻率等級(jí)，潛在事故后果的發(fā)生頻率，由初始原因事件頻率、促使原因事件發(fā)展為后果事件的條件事故發(fā)生的概率共同決定。最后，確定后果事故頻率等級(jí)，其分類如表3所示。

經(jīng)過以上幾步，確定了后果的嚴(yán)重程度和事故發(fā)生的頻率，根據(jù)表4風(fēng)險(xiǎn)等級(jí)矩陣，就能查出相應(yīng)的風(fēng)險(xiǎn)等級(jí)。

由于我們只能降低風(fēng)險(xiǎn)發(fā)生的頻率，而不能減小風(fēng)險(xiǎn)降低的后果，因此風(fēng)險(xiǎn)矩陣中縱坐標(biāo)是一定的，橫坐標(biāo)向左移動(dòng)一個(gè)單元格，說明降低了一個(gè)SIL等級(jí)，由此就能夠確定出SIF回路的目標(biāo)SIL等級(jí)。

3.3 獨(dú)立保護(hù)層（IPL）識(shí)別

LOPA 的主要目的是確定對(duì)于特定的事故情形，所采用的保護(hù)層是否足夠。根據(jù)過程的復(fù)雜程度和潛在危險(xiǎn)性大小來確定需要一個(gè)或是多個(gè)保護(hù)層次。但是，對(duì)于某一給定的情形，必須至少有一個(gè)保護(hù)層成功的發(fā)揮作用，這樣才能防止事故的發(fā)生。沒有任何保護(hù)層是完全有效的，因此，要想降低風(fēng)險(xiǎn)就必須添加足夠多的保護(hù)層，而添加保護(hù)層的多少也需考慮經(jīng)濟(jì)承受能力。

由于每個(gè)保護(hù)層的功能不同，作用也有強(qiáng)弱之分，每個(gè)獨(dú)立保護(hù)層的PFD分別在10-5～10-1之間變化。我國對(duì)失效概率數(shù)據(jù)信息的收集整理和分析工作的還沒有系統(tǒng)展開，還沒建立可供使用的工業(yè)失效數(shù)據(jù)庫，在失效概率數(shù)據(jù)的獲取、計(jì)算與分析等方面的技術(shù)方法也缺乏，在實(shí)際分析過程中，失效概率數(shù)據(jù)主要借鑒國外數(shù)據(jù)，如挪威DNV發(fā)布的OREDA數(shù)據(jù)庫；美國可靠性分析中心發(fā)布的《失效模式/機(jī)制分布》（FMD-97）和《非電子部分可靠性數(shù)據(jù)》（NPRD-95）數(shù)據(jù)手冊(cè)；美國化工過程安全中心發(fā)布的《過程設(shè)備可靠性數(shù)據(jù)指南》（附帶數(shù)據(jù)表）等等，但是這些數(shù)據(jù)在使用時(shí)要根據(jù)我國國情進(jìn)行校正。

對(duì)某一系統(tǒng)或IPL的作用進(jìn)行分類需遵循三個(gè)準(zhǔn)則：1）只有當(dāng)IPL以其設(shè)計(jì)時(shí)的功效發(fā)生作用時(shí)，其在防止后果時(shí)才是有效的。2）IPL獨(dú)立地對(duì)初始事件及其他所有的被用于相同情形的IPL的組件發(fā)揮作用。3）IPL是可以審查的，即IPL的PFD必須能夠確認(rèn)，包括檢查、測試和文檔資料。表7為保護(hù)層分析的一個(gè)典型表格。

例如某事故發(fā)生的起始失效事件有3個(gè)，各起始事件引發(fā)可能性，及各保護(hù)層設(shè)計(jì)情況如表7所示，事故發(fā)生的可能性為7.3E-4，如果我們?cè)O(shè)定可接受風(fēng)險(xiǎn)目標(biāo)為1E-5，則安全功能平均要求時(shí)失效概率PFDavg=Ft/Fnp=1E-5/7.3E-4=1.37E-2，因此要求我們的SIF回路在整體上應(yīng)該達(dá)到SIL1，也即是目標(biāo)SIL值為SIL1。

4、小結(jié)

安全完整性等級(jí)評(píng)估可分為定性的和定量的方法，定性的方法使用個(gè)人經(jīng)驗(yàn)和工程判斷做出選擇，它不是根據(jù)精確的數(shù)值分類，而是將一些關(guān)鍵風(fēng)險(xiǎn)的描述性參數(shù)進(jìn)行分類，此方法比較主觀，有時(shí)會(huì)導(dǎo)致嚴(yán)重的錯(cuò)誤；定量的方法要求安全功能要求的后果和動(dòng)作頻率通過定量的方式給出，同時(shí)允許風(fēng)險(xiǎn)也是定量的，將系統(tǒng)風(fēng)險(xiǎn)定量地計(jì)算出來，然后同定量的允許風(fēng)險(xiǎn)相比較得到風(fēng)險(xiǎn)降低量，再計(jì)算出PFD，從而可得到SIL。定性方法的優(yōu)點(diǎn)是省時(shí)、簡單、所需資源少，而缺點(diǎn)就是太過于依賴人的經(jīng)驗(yàn)和主觀判斷。定量的方法具有更加準(zhǔn)確的確定SIL，不足之處是所需資源大，對(duì)于特定過程的可靠性數(shù)據(jù)缺乏，安全完整性的選擇相對(duì)比較耗時(shí)。而LOPA分析介于定性的和定量的方法之間，屬于半定量的風(fēng)險(xiǎn)分析方法，相對(duì)于定量風(fēng)險(xiǎn)分析，LOPA花費(fèi)的時(shí)間少，同時(shí)適用對(duì)于定性風(fēng)險(xiǎn)評(píng)估來說過于復(fù)雜的場景，而且LOPA提供了更具可靠性的風(fēng)險(xiǎn)判斷，基于以上優(yōu)點(diǎn)，采用LOPA分析方法來確定安全儀表功能的完全完整性等級(jí)有廣闊的應(yīng)用前景。

參考文獻(xiàn)

[1]IEC 61511，F(xiàn)unctional Safety： Safety Instrumented Systems for the Process Industry Sector [S].International ElectrotechNIcalCommission， Geneva， Switzerland.

[2]黃安清.實(shí)施HAZOP、LOPA、SIL分析的關(guān)鍵問題[J].廣東化工，2013，40（21）：104-106.

[3]吳重光.危險(xiǎn)與操作性分析（HAZOP）應(yīng)用指南[M].中國石化出版社，2012.

[4]GB/T 21109-2007.過程工業(yè)領(lǐng)域安全儀表系統(tǒng)的功能安全[S].北京：中國標(biāo)準(zhǔn)出版社，2008.

[5]李娜，孫文勇，寧信道.HAZOP、LOPA和SIL方法的應(yīng)用分析[J].中國安全生產(chǎn)科學(xué)技術(shù)，2012，8（5）：101～105.

[6]吳重光，張貝殼，馬昕.過程工業(yè)安全設(shè)計(jì)的防護(hù)層分析（LOPA）[J].石油化工自動(dòng)化，2007，4：1～3.

[7]袁樹海，宋彬，李范書，夏太武.安全完整性等級(jí)SIL應(yīng)用研究與實(shí)踐[J].石油與天然氣化工，2012，41（1）：107～109.