胡楠

(中海石油華鶴煤化有限公司，黑龍江 鶴崗 154100)

某煤化工公司現有1套300 kt/a合成氨、520 kt/a大顆粒尿素裝置，其中煤氣化裝置采用GE公司水煤漿氣化技術。根據原國家安全生產監(jiān)督管理總局安監(jiān)總管三〔2014〕116號文《關于加強化工安全儀表系統管理的指導意見》的要求： 涉及“兩重點一重大”在役生產裝置或設施的化工企業(yè)和危險化學品儲存單位，要在全面開展過程危險分析(如危險與可操作性分析)基礎上，對主生產裝置進行安全儀表系統(SIS)安全完整性等級(SIL)評估工作，SIL評估內容包括企業(yè)可接受風險標準的建立、安全儀表功能(SIF)分配、LOPA分析與SIL定級、SIF可靠性驗算/驗證、SIF誤停車分析。本文主要針對煤氣化裝置中SIL1及以上的SIF回路進行SIL可靠性驗算及敏感性分析。

1 SIL驗算方法

1.1 SIF回路構成

SIF回路主要由傳感器(如壓力變送器)、邏輯處理器(如ESD控制器)和執(zhí)行機構(如關斷閥)構成。

1.2 驗算方法選擇

根據SIF回路的結構，計算每一個SIF回路的要求時的平均失效概率(PFDavg)及平均誤動作停車時間間隔(MTTFS)，審查硬件結構約束特性，核算SIF能否達到IEC 61508： 2010/IEC 61511： 2016中對應SIL等級的可靠性要求。目前，SIL驗算中計算PFDavg的主要方法包括： 簡化方程式、故障樹分析和馬爾可夫模型分析[1]，考慮到馬爾可夫模型具有計算精度高、順序關聯、動態(tài)反映、詳細全面等優(yōu)點，因此該裝置SIF回路的SIL驗算采用馬爾可夫模型計算PFDavg。

1.3 相關術語

1.3.1要求時的平均失效概率

SIS的安全功能在要求時的平均失效概率(PFDSYS)通過計算和組合提供安全功能的所有子系統的PFD確定的[2]，計算公式如式(1)所示：

PFDSYS=PFDS+PFDL+PFDFE

(1)

式中：PFDS——傳感器子系統的要求時的平均失效概率；PFDL——邏輯子系統的要求時的平均失效概率；PFDFE——最終元件子系統要求時的平均失效概率。

如果安全功能依賴于傳感器或執(zhí)行器的多個表決組，則傳感器或最終元件子系統在要求時的組合平均失效概率PFDS或PFDFE計算公式如式(2)所示：

(2)

式中：PFDGi——傳感器的每個表決組在要求時的平均失效概率；PFDGj——最終元件的每個表決組在要求時的平均失效概率。

1.3.2平均誤動作停車時間間隔

平均誤動作停車時間間隔(MTTFS)反映的是SIF回路可用性指標，表示因SIF回路中任一元件的安全失效所導致裝置的誤停車，MTTFS取決于誤動作停車概率(STR)，其計算公式如式(3)所示：

MTTFS=1/STR

(3)

STR值取決于不可檢測到的安全失效率(λSU)、檢測周期(Ti)、共因失效(β)、測試覆蓋率(CTI)、平均修復時間(MTTR)等因素。STR值越小，表明該回路可用性越高[3]。

1.3.3硬件隨機失效率

硬件隨機失效概率是SIF回路SIL等級評估的基礎，主要包括：λ——子系統中1個通道的失效率，h-1；λD——子系統中通道的危險失效率，h-1；λS——子系統中通道的安全失效率，h-1；λDD——子系統中通道可檢測到的危險失效率，h-1；λDU——子系統中通道不可檢測到的危險失效率，h-1；λSD——子系統中通道可檢測到的安全失效率，h-1；λSU——子系統中通道不可檢測到的安全失效率，h-1。

1.3.4共因失效

共因失效(β)是指在一個系統中由于某種共同原因而引起2個或多個分離通道同時失效，從而導致系統失效，β用于計算SIF回路中各元件的PFD，如式(4)所示：

PFD共因=β·PFD元件

(4)

1.3.5硬件結構約束

硬件結構約束的安全完整性由兩個因素決定： 一是硬件故障裕度(HFT)，即容錯能力，例如：HFT=1，意味著一個危險故障發(fā)生時，不會導致安全功能喪失[4]；二是安全失效分數(SFF)，它是對危險故障預發(fā)現能力的一個表量，由安全失效和可被診斷測試檢測到的危險失效共同影響。

1.4 取值建議

根據公司設備管理制度要求，該裝置SIL驗算所選用數值如下：

1)所有SIF回路傳感器、邏輯處理器及執(zhí)行機構校驗周期分別為4個月、12個月、4個月。

2)ESD系統運行設計壽命為15 a。

3)傳感器、邏輯處理器和執(zhí)行機構的CTI選取95%，98%，95%。

4)結合SIS配置圖、聯鎖邏輯表及接線表等資料，所有冗余配置組件的β取值0.02。

5)該裝置所有SIF回路傳感器、邏輯處理器及執(zhí)行機構的MTTR假設分別為2 h，4 h，2 h，開車時間假設為8 h。

部分回路中的元件不具有SIL證書或數據表的，選用EXIDA數據庫中相近類型的儀表或閥門數據做驗算，標準中推薦企業(yè)根據使用經驗加以修正。但常出現驗算結果不通過時，一些企業(yè)希望通過人為強制調整上述取值使其通過驗算，從而減少整改的投入，這一點筆者認為不可取。實際工程的取值一定要依據管理的實際情況，當驗算不通過時，證明存在安全風險，應從薄弱環(huán)節(jié)分析入手，不應“為了通過而通過”。

2 驗算工作流程

SIL驗算工作流程參照IEC 61511，IEC 61508的相關要求[5]，SIL驗算工作流程如圖1所示。

圖1 SIL驗算工作流程示意

3 驗算結果示例

以高壓煤漿泵聯鎖回路YSL-P031信號丟失觸發(fā)聯鎖停氣化爐為例，該回路SIL驗算通過的示例見表1所列，各元件MTTFS的計算占比為傳感器84%，邏輯處理器9%，執(zhí)行機構7%；PFDavg的計算占比為傳感器67%，邏輯處理器22%，執(zhí)行機構11%。

表1 SIL驗算通過的示例

以氣化爐激冷室液位低低LSLL03201/03202/03203(2oo3)聯鎖回路觸發(fā)停氣化爐，關斷黑水閥(XV032)，鎖斗安全閥(KV032)為例，該回路SIL驗算未通過的示例見表2所列。各元件MTTFS的計算占比為傳感器1%，邏輯處理器5%，執(zhí)行機構94%；PFDavg的計算占比為傳感器0，邏輯處理器8%，執(zhí)行機構92%。

表2 SIL驗算未通過的示例

4 敏感性分析及改進方案

4.1 敏感性分析

對于未通過驗算的SIF回路進行敏感性分析，驗算記錄見表3所列。當企業(yè)拿到驗算不通過的數據表時，要首先分析其取值的合理性，可以粗略再次核算PFDavg的準確性，如無問題則再詳細核查每個元件的取值表。

為保證SIL回路通過驗算，通?？刹扇∫韵麓胧﹣斫档蚐IF回路的PFDavg[6]：

1)增加在線檢測能力，即執(zhí)行元件增加行程測試(PST)功能。

2)提高測試覆蓋率CTI。

3)優(yōu)化SIF回路配置，可選用“2oo3”傳感器結構或不同類型的雙電磁閥等。

4)安裝、測試時應注意選取安全性能較好的元器件，如失效概率較低的執(zhí)行元件。

4.2 改進方案分析

分析SIF回路各環(huán)節(jié)中PFDavg，執(zhí)行機構對于整個回路的PFDavg貢獻率最大，結合上述4種措施，由于繼電器未提供SIL等級證書，故選用EXIDA數據庫中通用繼電器的數據進行計算[7]，考慮現役裝置改造成本，優(yōu)先考慮更換失效數據λDU≤1.50×10-7的繼電器，即可滿足該回路目標SIL等級。

表3 未通過驗算的SIF回路敏感性分析驗算記錄

5 結束語

目前?；髽I(yè)需每三年開展一次SIS的SIL評估，行業(yè)及相關政策都鼓勵企業(yè)建立自己的檢維修數據庫，但就目前國內現狀而言，較難實現[8]。對于現役裝置，隨著設備運行時間增加，SIF回路的SIL等級會越來越多出現驗算通不過的問題，為確保在運行期間SIF回路的完整性，有如下兩點建議：

1)企業(yè)仍需持續(xù)加大SIL評估技術人員的培訓，不能完全依賴評估機構，且SIS評估工作其本質是安全管理，不應僅是儀表專業(yè)人員學習，建議具備條件的企業(yè)應建立自己的評估團隊，團隊成員要具備定級、驗算及敏感性分析的能力[9]。

2)在役裝置經過工藝改造、變更以及檢維修策略的變化，導致其實際工藝風險也可能發(fā)生變化。因此，驗證工作應與HAZOP工作相結合，個別企業(yè)SIL評估和HAZOP分析屬兩個部門管理，可能存在脫節(jié)問題。因此，企業(yè)對于變更管理要建立從上至下的管理，也要有從下至上的更新機制[10]。