探討合成氨裝置安全儀表系統中的SIL評估

何雪華

(浙江工業大學，杭州 310014)

安全儀表系統SIS(Safety Instrumented System)是一種自動安全保護系統，是保證正常生產和人身、設備安全必不可少的措施，已發展成為工業自動化的重要組成部分。作為化工過程中安全的最后一道屏障，SIS安全等級的高低直接影響流程工業的安全。由于SIS在過程安全中的重要作用，國際著名的石化公司均對重要裝置設立了SIS，并依據國際標準對SIS的安全性開展了定量評估，取得了很好的經濟與社會效益。

筆者介紹了SIS安全完整性等級SIL(Safety Integrity Level)評估技術在合成氨裝置中的實施過程，并討論了相關的技術難點。該合成氨裝置采用HT-L粉煤加壓氣化爐制粗煤氣，粗煤氣經變換裝置、低溫甲醇洗、液氮洗工藝精制出合成氨原料氣，再經補氮調節氫氮比約為3∶1，壓縮至15．0 MPa 送入氨合成裝置。合成氨裝置在總控室設置集散控制系統(DCS)和安全聯鎖系統(ESD)，其中包括3套聯鎖裝置，即開工加熱爐故障停車聯鎖、氨分離器故障器停送液閥聯鎖和氨分離器故障器停車聯鎖。

1 SIL評估技術簡介

國際電工學會于1999年和2003年分別制定了用于對通用電力、電子及可編程器件進行定量安全評估的IEC 61508[1]和專門用于對流程工業SIS進行定量安全評估的IEC 61511[2]。中國于2007年 和2008年分別頒布了GB/T 20438—2006[3]和GB/T 21109—2007[4]，分別對應IEC 61508和IEC 61511。

SIS作為流程工業生產過程中重要的安全控制裝置，其SIL要求與生產過程的風險密切相關。由于具有較大風險的生產過程的風險控制通常依賴于SIS的SIL，因而SIS的SIL評估已越來越成為流程工業所關注的焦點。SIS在流程工業生產過程中的風險控制功能如圖1所示。

圖1 SIS在流程工業生產過程風險控制中的作用

SIL是用來描述SIS運行安全性能的指標，在一定時間和條件下，SIS能成功地執行其安全功能概率，其數值代表著SIS使風險降低的數量級。SIS的功能安全技術，是通過對受控單元EUC(Equipment Under Control)進行危險與后果分析，確定正確的安全功能，進而選擇恰當的目標SIL。通過對SIS的功能安全水平實行測試、評估、認證等，可以把受控過程的風險降到一個可接受的水平。

2 合成氨裝置的SIS功能安全評估工作

由于評估的合成氨裝置是在用裝置，評估過程如下：

1) 收集合成氨裝置資料。收集合成氨裝置相關工藝、設備、操作等相關資料。

2) 制訂合成氨裝置的風險矩陣。根據企業風險可接受程度，按照人員傷亡、經濟損失和環境影響制訂合成氨裝置的風險矩陣。

3) 裝置的定量風險識別與分析計算。以國際通用的安全風險分析方法為依據，根據裝置的實際情況，進行定量風險評價。

4) 識別安全聯鎖功能(SIF)、確定SIL。根據功能安全要求和定量風險評價結果，識別SIF并根據風險矩陣，確定相應的SIL。

5) 聯鎖回路安全等級計算。根據IEC 61511和相關數據資料，對選定聯鎖回路，按照合適評定計算方法，定量計算聯鎖回路的SIL。

6) SIS回路系統評定。根據可接受的風險概率和可接受的經濟損失標準，評估合成氨裝置SIS回路是否符合SIL的要求。

通過對該合成氨裝置的3套聯鎖裝置、11個SIF進行SIL計算，滿足風險矩陣要求的SIL要求。

3 SIL評估技術在化工行業應用的探討

通過在用合成氨裝置的SIS功能安全評估，需要對風險控制，SIF識別，DCS與SIS的共用問題等進行探討。

3．1 風險矩陣及控制

一般來說，裝置進行風險評估所執行的風險矩陣依據企業的事故管理規定而制訂，并參照國家法規、賠償制度以及企業所在當地的經濟水平根據ALARP原則進行編制。風險矩陣中對人員傷亡、環境污染和經濟損失的風險分別進行認定。以人員傷亡控制為例，各個國家對各個行業的傷亡情況的控制是不盡相同的，如荷蘭和香港的可接受風險水平存在明顯的差別，以發生事故死亡10人為例，荷蘭認為10-5為其可允許的上限，而香港則是以10-4為其上限。這就說明各個國家和地區的風險控制水平是不盡相同的。而國內石化行業的人員死亡風險控制水平與香港的人員死亡風險控制水平較為接近。

假設在SIL的評估中，采用較高標準為基礎的風險矩陣，會使得整個裝置的SIL偏高。按照該風險矩陣設計建造的SIS，一方面會大幅提高裝置的建設成本，另一方面在裝置的實際運行中也會給裝置帶來很多的誤跳車，嚴重影響裝置的實際正常運行。根據以往的安全完整性定量評估經驗表明[5]，一般情況下，“1oo1”結構的閥門執行機構在SIL1左右；“1oo2”結構的閥門執行機構在SIL2左右，要使執行機構達到SIL3的水平，必須進行周期性的測試。如果該測試是在線測試，就要求閥門必須帶有智能限位器，一般大口徑的緊急切斷閥門價格比較昂貴，而此類帶智能限位器閥門價格更是普通閥門的2～3倍。因此，SIL需求的提高，將會大幅增加裝置的建設成本。

綜上所述，提出合理的SIL要求是十分必要的，要在保證安全的前提下，合理地進行設置，盡可能地減少裝置成本和誤跳車的負面影響。無論從安全的角度或全面資產管理的角度，都必須建立一個合理的風險控制矩陣。企業的風險控制矩陣建立過程如圖2所示。

圖2 企業的風險控制矩陣建立過程示意

3．2 SIF的識別

SIF是指具有特定SIL的安全功能，它既可以是一個儀表安全保護功能，也可以是一個儀表安全控制功能。根據IEC 61511，SIF是為了達到功能安全所需的最少和充分的儀表，通常由傳感器、邏輯求解器和最終元件(執行機構)組成。每一個SIF都有各自的SIL。因此，每一個SIF必須針對一種特定的危險情況，預防特定的危險后果。而1個SIS可由多個SIF組成，各SIF針對的危險情況不同，所執行的動作也不同。在復雜SIS中，對于SIF的識別顯得更加重要。

IEC 61511第二部分的10．3．1節對SIF的充分必要性進行了說明，指出SIF應“通過測量哪個參數來評估裝置的危險狀態”，應“采取何種措施來避免危險情況的發生”以及識別“采取何種措施對于控制風險具有輔助促進作用”。按照上述定義，SIS中SIF的分析必須考慮SIS的充分必要性，即必須識別何種措施對于避免裝置的危險后果是充分的，即“Good to have”和識別何種措施對于避免裝置的危險后果是必要的，可稱之為“Must have”。

SIS的失效概率及誤跳車的計算通常與連接方式和功能有直接關系。不同的失效模式也會導致計算方式的不同，對于冗余系統，指令模式失效概率通常與系統結構有關，而誤跳車的計算則大多與單個設備的失效模式有關。以“1oo2”的連接結構為例，PFD與MTTFS的計算并不總是依據設備的實際連接方式。例如合成氨裝置中采用“1oo2”的安全泄放裝置，當容器內的超壓達一定數值時，通常應立即打開安全閥進行泄放，以避免裝置超壓和出現火災等事故。當危險情況出現時，SIF需2只安全閥中的1只必須立即打開(Must have)，最好是2只同時進行泄放，保證裝置內的物料向火炬系統安全排放(Good to have)。當上述危險情況發生時，其SIF成功執行的計算方式為“1oo2”。假設，這里有一種特殊工況，例如容器內部超溫起火，必須要2只安全閥同時進行排放，才能滿足要求，則其功能安全成功執行的計算方式為“2oo2”。

3．3 DCS與SIS的閥門共用問題

目前，SIS與DCS存在一體化的問題。依據IEC 61508/IEC 61511，SIS應與DCS相互獨立，若無法實現相互獨立，則DCS作為聯鎖最高可以達到SIL1。DCS強調的是過程調節，而SIS強調的是隱性工作。DCS的現場設備(傳感器、執行機構)發生故障時通常可通過其他量反映出來，而SIS的現場設備發生故障時，一般無法通過其他量反映出來，因而需要聯鎖動作，兩者對于設備可靠性的存在具有較為明顯的差異。在有些情況下，將DCS與SIS共用可能會存在一定的安全隱患。例如，合成氨裝置中某塔底安裝有2只液位調節閥(2條管線)，當該塔出現液位過低時，需要切斷塔底部的2只液位調節閥來保證液位不再繼續下降。此時必須考慮： 造成液位低低的原因極有可能是這2只液位調節閥的其中1只，卡堵在一個開度較大的位置，無法進行DCS的正常調節而導致塔內的液位走低，那么此時液位低低的信號再送到SIS，通過SIS去切斷該閥門來保證液位不再下降，其失效概率接近100%，其后果很有可能是塔內的液位走空，高壓氣體串入低壓設備或管線導致損壞。

4 結束語

SIF評估已越來越成為提高化工行業SIL水平的重要手段，圍繞SIF評估頒布的相關標準已成為推動流程工業SIF評估的重要力量。在國內化工行業中，SIS的設計和應用還存在一定的盲目性與誤區，如何采用科學的評估與分析手段對裝置SIS開展SIF分析，提高SIS的安全性與合理性仍是安全技術發展中亟待解決的問題。

參考文獻：

[1] IEC． IEC 61508 Functional Safety of Electrical/Electronic/Programmable Electronic Safety-related Systems[S]．IEC, 2010．

[2] IEC．IEC 61511 Functional Safety — safety Instrumented Systems for the Process Industry Sector[S]．IEC,2003．

[3] 機械工業儀器儀表綜合技術研究所．GB/T 20438—2006 電氣/電子/可編程電子安全相關系統的功能安全[S]．北京： 中國標準出版社，2007．

[4] 機械工業儀器儀表綜合技術經濟研究所，上海自動化儀表股份有限公司技術中心．GB/T 21109—2007 過程工業領域安全儀表系統的功能安全[S]．北京： 中國標準出版社，2008．

[5] 朱建新, 王莉君, 高增梁． IEC 61511標準及在石化行業安全管理中的應用[J]．中國安全科學學報, 2007, 17(02)： 105-109．

[6] 朱建新, 高增梁, 王偉, 等． 我國石化工業聯鎖系統應用現狀及功能安全評估進展[C]//第四屆石化裝置工程風險分析技術應用研討會論文集． 南昌： 中國機械工程學會壓力容器分會, 2008： 269-278．

[7] SAM M． Lees’ Loss Prevention in the Process Industries, Hazard Identification, Assessment and Control [M]．3rd ed．Oxford： Elsevier Butterworth Heinemann, 2005．

[8] 沈學強,白焰．安全儀表系統的功能安全評估方法性能分析[J]．化工自動化及儀表,2012,39(06)： 703-706．

[9] 范詠峰，李平．石油化工裝置中安全度等級的評定與實施[J]．石油化工自動化，2005，41(02)： 8-12．

[10] 何俊．我國石化工業聯鎖系統應用現狀及功能安全評估[J]．壓力容器， 2009(09)： 49-53．

[11] 吳寧，盧峰．安全聯鎖系統設計思路及在EB/SM裝置的應用[J]．測控技術，2003，22(07)： 14-17．