陳紹狀 中沙(天津)石化有限公司 天津 300271

安全儀表系統(tǒng)作為化工生產(chǎn)裝置最重要安全保護(hù)屏障之一，其設(shè)計(jì)必須滿足石油化工安全儀表系統(tǒng)設(shè)計(jì)規(guī)范以及國際電子電工組織標(biāo)準(zhǔn)最低要求，確保在建項(xiàng)目安全平穩(wěn)投產(chǎn)、運(yùn)行。本文根據(jù)石油化工行業(yè)標(biāo)準(zhǔn)，對某在建項(xiàng)目安全儀表系統(tǒng)設(shè)計(jì)進(jìn)行標(biāo)準(zhǔn)合規(guī)性核查，并在SIF回路硬件冗余、系統(tǒng)共用以及旁路管理方面提出個(gè)人見解。

1 概念

筆者結(jié)合石油化工行業(yè)相關(guān)標(biāo)準(zhǔn)及個(gè)人工作實(shí)踐，對安全儀表系統(tǒng)中的有關(guān)概念描述如下：

1.1 安全儀表系統(tǒng)(SIS)

實(shí)現(xiàn)一個(gè)或多個(gè)安全儀表功能的儀表系統(tǒng)稱為安全儀表系統(tǒng)，由測量儀表、邏輯控制器(及相關(guān)軟件)、最終執(zhí)行機(jī)構(gòu)三個(gè)環(huán)節(jié)構(gòu)成，同時(shí)還包含系統(tǒng)運(yùn)行相關(guān)的輔助設(shè)施，例如電源。

安全儀表系統(tǒng)最基本特征是故障安全型，即失電關(guān)停意味著不需要借助能源(電源、氣源)完成其安全功能。需要強(qiáng)調(diào)的是與日常所說的狹義概念不同，狹義SIS系統(tǒng)多指邏輯控制器及相關(guān)卡件與軟件合集，僅僅是廣義SIS系統(tǒng)的邏輯解算環(huán)節(jié)，本文所闡述的SIS系統(tǒng)指的是廣義安全儀表系統(tǒng)。

1.2 安全儀表功能(SIF)

安全儀表功能(SIF)是安全儀表系統(tǒng)的核心，具有特定SIL等級的獨(dú)立保護(hù)層將被保護(hù)裝置或設(shè)備置于特定安全狀態(tài)。

SIF的執(zhí)行載體是安全儀表系統(tǒng)，而安全儀表系統(tǒng)是由多個(gè)獨(dú)立SIF回路構(gòu)成。值得強(qiáng)調(diào)的是，SIF回路不完全等同于安全儀表系統(tǒng)聯(lián)鎖回路，SIF回路中所有的原因與結(jié)果都是安全的，具備SIL等級要求，而安全儀表系統(tǒng)的聯(lián)鎖回路并非所有原因或動作都具備SIL等級要求。

1.3 硬件故障裕度(HFT)

HFT=N-M(N代表執(zhí)行安全儀表功能的傳感器或最終元件總數(shù)，其中M個(gè)傳感器或最終元件即可實(shí)現(xiàn)回路安全儀表功能)，硬件故障裕度即是硬件冗余度，屬于結(jié)構(gòu)約束范疇概念，是SIF回路能夠達(dá)到SILn要求的必要條件之一。

1.4 風(fēng)險(xiǎn)

從風(fēng)險(xiǎn)矩陣角度理解，風(fēng)險(xiǎn)即是特定危險(xiǎn)事件發(fā)生的概率與所致后果危害(嚴(yán)重)程度的二維乘積。

風(fēng)險(xiǎn)降低可通過兩種途徑實(shí)現(xiàn)，一是通過降低后果的危害程度，比如通過火災(zāi)報(bào)報(bào)警與消防系統(tǒng)設(shè)計(jì)與配置；二是降低風(fēng)險(xiǎn)發(fā)生的概率，實(shí)質(zhì)是通過獨(dú)立保護(hù)層的識別、設(shè)計(jì)、配置來降低后果發(fā)生的概率。通常，HAZOP+LOPA分析方法將SIS保護(hù)層作為被保護(hù)裝置或設(shè)備最后保護(hù)措施，用于消減其它保護(hù)層作用之后仍無法消減的殘余風(fēng)險(xiǎn)，將風(fēng)險(xiǎn)降低至可接受風(fēng)險(xiǎn)區(qū)。根據(jù)殘余風(fēng)險(xiǎn)等級確定SIF保護(hù)層的SIL等級，參考模型見圖1。

圖1 SIL等級設(shè)計(jì)依據(jù)示意圖

風(fēng)險(xiǎn)不可能完全消除，但是可以盡可能降低。若要考慮將殘余風(fēng)險(xiǎn)盡可能接近完全消除，將消耗無限時(shí)間、金錢，因此最低合理可行原則(ALARP)被視為效益與風(fēng)險(xiǎn)之間平衡的切實(shí)有效基本原則，即殘余風(fēng)險(xiǎn)需要降到合理可行范圍之內(nèi)的最低程度。

2 項(xiàng)目案例分析及操作建議

本文以某在建項(xiàng)目為例進(jìn)行分析及提出相關(guān)建議。該項(xiàng)目中，可燃?xì)怏w與助燃?xì)怏w作為原料或燃料被多個(gè)生產(chǎn)過程使用，因此相關(guān)安全儀表設(shè)計(jì)與配置應(yīng)該嚴(yán)格遵循石油化工安全儀表標(biāo)準(zhǔn)要求，且同時(shí)兼顧最低合理可行原則。

2.1 SIS系統(tǒng)冗余問題

2.1.1 項(xiàng)目案例 IL8101A/B分析

SIF回路IL8101A/B設(shè)計(jì)要求安全完整性等級是SIL3，用于CO裝置POX爐開車預(yù)熱階段。當(dāng)檢測到爐內(nèi)失火時(shí)，SIF回路立即通過關(guān)閉天然氣切斷閥切斷天然氣供應(yīng)，從而防止天然氣在預(yù)熱燒嘴熄滅，及天然氣和空氣混合積聚導(dǎo)致的爐膛爆炸。

根據(jù)《石油化工安全儀表設(shè)計(jì)規(guī)范》6.3.3， SIL3的SIF應(yīng)采用冗余測量儀表，同時(shí)根據(jù)IEC61508 7.4.3，通常情況下單臺檢測儀表最高能夠達(dá)到SIL2，SIL3回路必須滿足檢測儀表達(dá)到冗余配置，硬件故障裕度大于等于1。

目前，IL8101A/B回路僅設(shè)計(jì)一臺火檢探測器，滿足不了SIL3等級硬件結(jié)構(gòu)約束要求，建議如下：

(1)進(jìn)行HAZOP/LOPA分析，對此危險(xiǎn)場景及后果進(jìn)行再分析論證，確定是否需要SIL3保護(hù)回路。

(2)如果SIL3等級回路需求確立后，配置冗余火檢探測器，實(shí)現(xiàn)2取1表決或3取2表決邏輯。

(3)如果不需要SIL3等級回路，保留目前配置即可以滿足標(biāo)準(zhǔn)要求。

2.2 SIS系統(tǒng)與BPCS系統(tǒng)共用問題

2.2.1 項(xiàng)目案例 IL8201分析

SIF回路IL8201設(shè)計(jì)要求安全完整性等級是SIL3，用于在碳酸二甲酯裝置反應(yīng)器正常運(yùn)行期間。 當(dāng)檢測到出入口氧氣含量HH時(shí)，SIF回路立即通過關(guān)閉氧氣切斷閥和調(diào)節(jié)閥切斷氧氣供應(yīng)，從而防止在反應(yīng)器出入口氧氣含量超限導(dǎo)致后系統(tǒng)氧氣含量高發(fā)生爆炸。

本SIF回路原始設(shè)計(jì)關(guān)于切斷氧氣的動作是通過關(guān)閉一個(gè)切斷閥與一個(gè)控制閥實(shí)現(xiàn)。根據(jù)《石油化工安全儀表設(shè)計(jì)規(guī)范》7.2.3及IEC61511-1 11.2.9的要求，SIL3的SIF回路不能與基本過程控制系統(tǒng)共用最終執(zhí)行機(jī)構(gòu)。

基本過程控制系統(tǒng)調(diào)節(jié)閥不能被定義為獨(dú)立的安全儀表系統(tǒng)閥門，即使部分配件具備SIL認(rèn)證，但仍屬帶有安全動作的過程控制閥門；經(jīng)過SIL驗(yàn)證分析(如表1)，確定當(dāng)前執(zhí)行機(jī)構(gòu)配置無法滿足SIL3回路要求。因此，建議額外增加獨(dú)立于基本過程控制系統(tǒng)的切斷閥，且切斷閥PFDavg滿足SIL3回路要求。執(zhí)行機(jī)構(gòu)配置前、后對比見圖2，建議前、后SIF回路PFDavg驗(yàn)證結(jié)果對比見表1。

表1 建議前、后SIL回路PFDavg驗(yàn)證結(jié)果對比

圖2 執(zhí)行機(jī)構(gòu)配置前、后對比圖

2.3 開車階段旁路管理

開車旁路用于過程工藝開車過程中。輸入信號還未到正常值之前，將其暫時(shí)旁路。安全儀表邏輯不受被旁路輸入信號的影響，當(dāng)開車完成后應(yīng)立即將旁路移除。正確的操作與合規(guī)化管理決定了被保護(hù)的生產(chǎn)裝置或設(shè)備是否能夠在危險(xiǎn)場景下處于安全狀態(tài)。

下面，基于《石油化工安全儀表系統(tǒng)設(shè)計(jì)規(guī)范》第10章與IEC61511-1 16.2要求，對開車旁路操作提出建議。

2.3.1 旁路操作前操作建議

(1)獲取旁路許可，旁路許可具備完善、合規(guī)的審批流程。

(2)確認(rèn)工藝流程、確認(rèn)安全儀表回路功能(即確認(rèn)SIF回路條件與結(jié)果)。

(3)確認(rèn)安全儀表回路中相關(guān)條件的旁路前后表決方式。因表決方式設(shè)計(jì)約束，旁路后安全儀表功能回路行為必然發(fā)生變化，裝置工藝人員確認(rèn)旁路后的聯(lián)鎖行為是否可被接受。檢測元件旁路前、后回路表決示意圖見圖3。

圖3 檢測元件旁路前、后回路表決示意圖

2取2表決方式SIF回路，若設(shè)計(jì)要求條件旁路后表決停車數(shù)不變，那么旁路其中一個(gè)條件時(shí)表決方式將變成1取2，即使未被旁路的檢測點(diǎn)已經(jīng)真實(shí)檢測到滿足聯(lián)鎖觸發(fā)條件，此回路將不會觸發(fā)聯(lián)鎖動作，從而達(dá)到順利開車的目的。這種表決好處在于避免因未被旁路儀表出現(xiàn)壞點(diǎn)或者誤報(bào)導(dǎo)致誤停車，但是必須強(qiáng)調(diào)的是這種旁路行為將使裝置或設(shè)備在真正處于危險(xiǎn)狀態(tài)時(shí)無法被有效保護(hù)，從而引發(fā)安全事故，因此僅用于開車工況，在工藝操作人員監(jiān)管下才能使用。

2.3.2 執(zhí)行旁路過程中的操作建議

執(zhí)行旁路過程中，建議一人操作，一人確認(rèn)，確保旁路按計(jì)劃正確執(zhí)行。

2.3.3 旁路操作后操作建議

(1)實(shí)時(shí)監(jiān)控被保護(hù)裝置或設(shè)備的運(yùn)行狀態(tài)，跟蹤旁路狀態(tài)，確保在出現(xiàn)異常狀態(tài)時(shí)及時(shí)根據(jù)預(yù)先制定應(yīng)急方案處理。

(2)實(shí)時(shí)監(jiān)控旁路狀態(tài)，確保旁路操作需求結(jié)束后，及時(shí)恢復(fù)條件監(jiān)控功能。

3 結(jié)語

安全儀表系統(tǒng)作為化工生產(chǎn)裝置最重要的安全保護(hù)屏障之一，其設(shè)計(jì)必須滿足石油化工安全儀表系統(tǒng)設(shè)計(jì)規(guī)范以及國際電子電工組織標(biāo)準(zhǔn)最低要求。筆者從專業(yè)設(shè)計(jì)角度出發(fā)，對安全儀表系統(tǒng)設(shè)計(jì)的具體實(shí)例進(jìn)行分析，供設(shè)計(jì)參考。