朱 健

（中國石油化工股份有限公司 揚子分公司，南京 210048）

安全儀表系統(tǒng)對工業(yè)生產領域具有重要的意義。設計合理、可靠性強的安全儀表系統(tǒng)能夠在危險條件下準確做出設計的聯鎖動作，從而避免了安全事故的發(fā)生，對相關人員、設備能夠做到有效保護，同時也可避免誤動作帶來的非計劃性停車。

SIL評估技術作為安全儀表系統(tǒng)全生命周期管理的重要組成部分，能夠針對SIS系統(tǒng)是否安全可靠等問題做出正確的分析。中國石油化工集團為了加強石化行業(yè)安全建設，陸續(xù)發(fā)布了相關指導意見，要求對在役裝置、改擴建及新建裝置要進行安全評估工作。近年來，SIL評估技術在石油化工裝置中也有較為廣泛的研究和應用。

1 安全儀表系統(tǒng)相關概念

1.1 安全儀表功能

安 全 儀 表功 能，即Safety Instrumented Function（SIF）。SIF是指對于可能發(fā)生的危險事件，能使過程轉變或者保持一個安全狀態(tài)，由安全儀表系統(tǒng)執(zhí)行的安全功能。

1.2 安全完整性等級

安全完整性等級，即Safety Integrity Level（SIL）。在國際標準IEC61508和IEC61511中，提出了SIL的定義，即衡量每一個SIF回路在需求時的失效概率。每個SIF回路都具有相應的SIL等級，因此一個SIS系統(tǒng)可能具有不同的SIL等級。標準中對SIL進行了等級劃分，共4個等級，即SIL1～SIL4。其中，SIL1是最低要求，在一般的應用場合中，SIL3是其最高等級。在低需求模式下，SIL等級劃分見表1。

表1 安全完整性等級Table 1 Safety integrity level

1.3 安全生命周期

安 全 生 命 周 期， 即Safety Life Cycle（SLC），要求“安全”貫穿于安全儀表系統(tǒng)在設計之初、測試運行以及最后的停用階段。SLC的管理概念可以保證安全儀表系統(tǒng)在每個階段都能夠按照標準執(zhí)行，保證了每個階段的功能安全。

2 SIL評估方法

2.1 LOPA分析法

對于一套生產裝置的SIL評估，首先需要進行SIL定級，通常是基于LOPA分析法進行聯鎖回路的定級。LOPA分析是事故場景的半定量分析方法[1]，主要通過引發(fā)原因、風險等級、促成后果條件，以及獨立保護層判斷等方面進行分析，具體分析內容包括[2]：

1）SIF識別。根據提供的相關技術材料，如聯鎖邏輯圖、聯鎖臺賬、P&ID圖紙等，確定SIS系統(tǒng)有多少個SIF回路。

2）風險程度。明確危險事件發(fā)生后帶來的后果以及引發(fā)原因，依據風險矩陣，確定后果對人員傷亡、健康環(huán)境和設備財產帶來的影響等級。

3）促成后果條件識別。明確促使安全事故發(fā)生的條件，如引火源、人員在現場、單向閥失效等條件。

4）識別IPLs。充分識別獨立保護層，如報警、BPCS、安全閥等，識別的過程要注意其獨立性和有效性，如安全閥要成為獨立保護層，需要有證明其釋放能力的計算書。

LOPA分析法具體流程如圖1所示。

圖1 LOPA分析法確定SIL等級的程序Fig.1 The procedure of LOPA analysis method to determine SIL level

因此，在對聯鎖回路進行SIL定級時，需要明確兩個方面的風險值：

危險事件目標風險。依據風險矩陣，確定危險事件在人員安全、環(huán)境影響和設備財產方面減緩事件的可能性，即風險可接受標準（TMEL）。

危險事件場景頻率。通過對引發(fā)原因頻率、促成后果頻率、IPLs的失效概率進行分析，確定場景頻率，計算公式如式（1）：

聯鎖回路的PFD，計算公式如式（2）：

2.2 可靠性框圖法

在對每條SIF回路進行定級后，需要根據每條SIF回路的硬件單元、冗余結構等方面進行驗證，對每條SIF回路的PFDavg、RRF和結構約束進行評估[3]。可靠性框圖法就是通過計算PFDavg、平均誤動作停車時間間隔（MTTFS）、硬件結構約束等方面進行評估的[4]。

每個SIF的PFDavg可以分為傳感單元PFDse、邏輯控制器PFDls、執(zhí)行機構PFDfe等模塊要求時的平均失效概率之和，而每個子模塊的PFDavg和元件的危險失效率、表決方式、檢測測試周期，以及共因因子等方面密切相關。確定PFDavg后，根據表1判斷該回路能夠達到的SIL級別。

SIF回路可用性評估指標為平均誤動作停車時間間隔（MTTFS），其計算公式如式（3）：

式（3）中：STR為誤動作停車率，它與系統(tǒng)的表決方式、共因失效因子、檢測測試周期等因素有關。

2.3 敏感性分析

敏感性分析是針對不滿足SIL定級結果的SIF回路進行解讀并優(yōu)化的方案分析。由于一個SIF回路的PFDavg由傳感單元、邏輯控制器、執(zhí)行機構3個模塊的PFDavg決定，因而對于不滿足要求的SIF回路，可從這3個模塊進行優(yōu)化，主要優(yōu)化方法有：

1）縮短檢驗測試周期。

2）改變冗余結構。

3）完善測試方式。

4）更換可靠性高的硬件。

3 SIL評估技術在乙烯裝置的應用

3.1 工藝流程

本次分析的乙烯裝置工藝流程主要為：裂解原料在裂解爐中進行裂解，得到的裂解氣急冷后，進入裂解氣壓縮機脫除部分水和重烴，經過裂解氣干燥器深度干燥后，進入冷箱系統(tǒng)，分離氫氣后，進入脫甲烷塔分離甲烷，后依次按碳一、碳二、碳三等順序先后分離，最終在乙烯精餾塔中得到乙烯產品。

3.2 乙烯裝置的SIL定級

由工藝、儀表、設備、安全等專業(yè)人員組成的分析小組，采用LOPA分析法對乙烯裝置進行SIL定級。

首先，根據提供的HAZOP分析報告、聯鎖邏輯圖、聯鎖臺賬，以及P&ID圖紙等技術文件，完成乙烯裝置所有SIF回路的識別，并明確SIF標識、SIF描述，以及最終執(zhí)行機構等信息。本次分析的乙烯裝置，其中一條SIF回路 的 信 息 為SIF標 識：“SIF1002 XZS102M1(1oo1)”，SIF描述：“燃燒爐正壓，火焰外竄，爐膛內缺氧燃燒，局部火嘴滅火，形成爆炸性氛圍，發(fā)生閃爆，人員傷亡”，執(zhí)行機構：“關閉XZV102A/L(2oo2)”。

其次，分析每條SIF回路的初始原因，并依據《中國石化安全風險評估指導意見》[2018]38號中的風險矩陣，結合現場實際情況，對每條SIF回路的人員傷亡（S）、財產損失（A）、環(huán)境影響（E），以及非財產性與社會影響（R）進行風險分析，確定相應的后果等級。SIF1002回路的初始原因為：“電機或部件故障”和“斷電”兩個原因，后果等級為（按“SARE”順序）：D、C、C、C。

最后，分析條件概率和獨立保護層，從而完成SIL定級工作。SIF1002回路“人員暴露”的概率為0.1，IPLs為“報警”，概率為0.1。SIF1002回路的LOPA分析表見表2，由人員傷亡（S）計算出的目標等級為1.00E-02，即RRF值為100，由“斷電”原因計算的RRF值和表中數據一致。因此，SIF1002回路最終的RRF值為兩種原因RRF值之和，即200。根據表1可知，該回路安全完整性等級為SIL2。

表2 SIF1002回路LOPA分析表Table 2 SIF1002 Loop LOPA analysis table

乙烯裝置中，部分SIF回路的安全完整性等級見表3。

表3 乙烯裝置部分SIF回路SIL等級表Table 3 SIL grade table of part of SIF loop of ethylene plant

3.3 乙烯裝置SIL驗證

本次乙烯裝置SIL驗證基于可靠性框圖驗證方法，借助專業(yè)驗證軟件，對該裝置SIF回路的PFDavg和結構約束進行分析計算。

該裝置驗證條件為：低需求模式，檢測測試周期為48個月，設備使用壽命為12年，故障修復時間為8h，下面給出表3中SIF回路的驗證結果，詳見表4。

表4 乙烯裝置部分SIF回路SIL驗證結果表Table 4 SIL verification results of some SIF loops of ethylene plant

3.4 優(yōu)化分析

由表4可知，SIF03回路的需求SIL為SIL1，需求RRF為30，驗證SIL為SIL1，驗證RRF為70.1，該回路PFDavg和結構約束均滿足要求。

由表3可知，SIF04是由財產損失（A）方面定為SIL2和SIL1。由表4可知，SIF04驗證SIL等級和RRF值均不滿足要求，但均能滿足人員傷亡（S）方面的需求SIL等級和RRF值。因此，對于財產損失確定的不滿足SIL等級要求的回路，由企業(yè)按照ALARP（在合理可行的前提下盡可能低）原則，盡可能將其降低到低風險區(qū)域。

對于SIF01和SIF02回路，由表3、表4可知不滿足要求，要針對這兩條回路提出針對性建議進行整改。

由表5可知，SIF01回路的傳感器單元和邏輯控制器單元的PFDavg足夠滿足要求，而執(zhí)行元件的PFDavg較大，對應的SIL結構約束為SIL1。因此，針對執(zhí)行元件部分提出優(yōu)化建議：

表5 SIF01回路驗證數據表Table 5 SIF01 Loop verification data sheet

1）建議增加切斷閥與原切斷閥搭建串聯結構，聯鎖動作時兩臺切斷閥同時關閉。

2）聯鎖觸發(fā)時，DCS輸出置零關閉PV105A。

由表6可知，SIF02回路的邏輯控制器單元的PFDavg足夠滿足要求，而傳感器和執(zhí)行元件結構約束方面不能滿足要求。因此，針對傳感器和執(zhí)行元件提出優(yōu)化建議：

表6 SIF06回路驗證數據表Table 6 SIF06 Loop verification data sheet

a）建議傳感單元采用1oo2或者2oo3冗余結構。

b）建議增加切斷閥與原切斷閥搭建串聯結構，聯鎖動作時兩臺切斷閥同時關閉。

4 結束語

通過對乙烯裝置SIS系統(tǒng)的功能安全評估，明確裝置所有聯鎖回路的安全完整性等級和目標風險因子；通過SIL驗證，明確聯鎖回路是否滿足定級要求，對存在的不足提出針對性的優(yōu)化建議，保證裝置安全運行。