安全完整性等級評估技術在S Zorb裝置上的應用

,,,

(合肥通用機械研究院特種設備檢驗站有限公司，安徽 合肥 230031)

安全完整性等級(Safety Integrity Level, 簡稱SIL)是一種以安全聯鎖系統為對象，研究聯鎖系統安全與誤跳優化，以實現裝置安全為目標，保障裝置安全長周期運行的關鍵技術[1]。

近年來，涉及危險化學品生產及儲存的安全問題日益突出，對相關安全儀表系統(Safety Instrumented System，簡稱SIS)的要求也日益嚴格，國家安全監管總局于2014年專門下發了《關于加強化工安全儀表系統管理的指導意見》，明確提出了對新建項目以及在役裝置的安全儀表系統開展SIL評估等要求。

S Zorb技術原為ConocoPhillips公司開發的主要針對催化裂化汽油餾分的吸附脫硫技術，于2007年被中國石油化工股份有限公司(中國石化)整體購買[2]。該技術憑借脫硫率高(脫后硫質量分數10 μg/g以下)、辛烷值損失小、氫耗低及能耗低的優點，已經成為中國石化汽油質量升級的主要技術手段[3]。但是早期的S Zorb裝置生產周期大多只有3至6個月，難以滿足煉油裝置的長周期運行要求。因此,對S Zorb裝置進行SIL評估，從安全完整性的角度揭示其風險并提供改進的措施，對保障S Zorb裝置長周期安全運行具有一定的指導作用。

該文探討SIL評估技術在S Zorb裝置中的實施過程，找出了該裝置安全聯鎖系統存在的薄弱環節，提出了改善其安全可靠性的建議和措施。

1 SIL評估方法簡介

SIL評估是近年來興起的針對安全儀表系統的可靠性與安全性的風險評估技術。國際電工學會于2003年頒布了針對流程工業的安全儀表系統的功能安全標準IEC 61511，成為開展SIL評估的主要標準依據。國內也引用此標準并于2007年頒布了GB/T 21109標準。

SIS作為流程工業生產過程中重要的安全控制裝置，其SIL要求與生產過程存在的實際風險密切相關。裝置中存在重大風險的生產過程，其風險控制通常都依賴于SIS，故SIL評估已成為流程工業所關注的焦點。SIS在流程工業生產過程中的風險控制功能示意如圖1所示[4]。

圖1 SIS 在風險控制中的作用示意

2 S Zorb裝置的SIL評估

2.1 評估工作過程

評估工作的開展主要通過信息收集、調查統計、理論分析和現場討論相結合的方法，對裝置的SIL狀況進行調查分析，找出影響SIL可靠性和合理性的影響因素。以工藝危害分析(PHA)為手段，評估并提出安全聯鎖功能(SIF)改進的建議或方法。

評估工作流程如圖2所示。

圖2 評估工作流程

在評估過程中，充分進行現場交流與討論，確保評估工作符合現場實際,提出的結論及改進意見合理可行并能真正應用于裝置。

2.2 資料及數據的現場收集和梳理

SIL等級的評估是一個涉及多專業的系統分析工作，需將設備、工藝、儀表與風險控制目標相結合，所需收集的數據相當廣泛，主要包括：

(1)通用信息；

(2)工藝信息；

(3)設備信息；

(4)安全相關系統信息；

現代學徒制通過校企深度合作與教師、師傅的聯合傳授基于邊工作邊學習的職業教育制度，結合了學歷職業教育和在職職業培訓的優點，是理想的高等職業教育形式。

(5)工廠有關的管理措施。

SIL評估的質量很大程度上依賴采集數據的質量，數據收集貫穿于裝置評估的全過程。

2.3 過程風險分析

分析過程風險有多種方法，主要采用通用的工藝危害分析(PHA)[5]。通過PHA分析方法，識別采用安全聯鎖系統進行保護的充分性和必要性，為安全聯鎖設置是否合理提供判定依據。

2.4 安全聯鎖功能確認

IEC 61511中對SIF的定義為“由電子/電氣/可編程電子安全相關系統、其他技術安全相關系統或外部風險降低設施執行的功能，該功能針對某一特定危險事件使得或者維持受控設備處于安全狀態”。基于充分性和必要性原則，對SIF進行確認。其一，SIF應有足夠的能力，在危險情況發生時能有效確保裝置的安全；其二，聯鎖系統的安全功能中，重點對裝置的聯鎖系統開展分析。確定SIF時，應確認以下4種信息：

(1)SIF的描述；

(2)要防止的后果描述；

(3)造成后果的初始事件確定；

(4)其他能夠防止初始事件演變為事故的安全措施。

2.5 SIF的可靠性及后果分析

依據失效后果定量計算方法，結合裝置的工藝情況及設備的配置情況，定量分析裝置存在重大隱患的設備失效模式及失效后果，定量計算聯鎖失效后果，依據聯鎖的需求量，對照風險控制矩陣，確定SIF所需的SIL等級。

2.6 安全保護層分析

保護層指具有檢測、預防或減緩事故和潛在危險事件的保護措施。保護層應具有獨立性、可依賴性及審核性特點。

在SIL技術的研究以及工程應用中，考慮到安全完整性要求保護層分析，應采用通用的處理方法原則分析石化裝置常見的安全保護層及其安全保護能力(見表1)。

2.7 評估聯鎖回路的SIL

操作模式的確定。在IEC61508中，定義了兩種操作模式：指令操作模式和連續操作模式。在S Zorb裝置中，聯鎖系統在BPCS(基本過程控制系統)常規控制失效、人工操作失誤及工藝異常等工況下均會出現操作要求。對于S Zorb裝置，聯鎖系統的操作模式均為指令式操作模式。

表1 安全保護層級及安全保護能力

SIF的SIL計算。通過《通用過程工業功能安全完整性評估系統》計算得到各聯鎖功能可達到的SIL及平均無故障工作時間等參數，從而最終確定聯鎖回路的SIL[6]。

2.8 評估聯鎖回路的優化和改進建議

基于計算的結果，確定各聯鎖回路SIL，評估裝置各安全聯鎖回路是否滿足裝置長周期安全生產的要求，是否有聯鎖過度或者不足。對達不到最低安全要求或者聯鎖過度的回路，提出合理可行的改進建議及措施，并對改進后聯鎖回路重新計算聯鎖可靠性，確定安全等級，直至滿足要求為止。

2.9 評估結果簡介

針對S Zorb裝置的實際情況，評估主要涉及15個對裝置正常生產運行影響較大的聯鎖回路，涵蓋42個安全聯鎖功能。總體情況如圖3所示。

圖3 聯鎖回路安全與誤跳統計

對聯鎖回路的評估結果統計表明,占總數62%的SIF設計合理能夠滿足安全要求，24%的SIF存在安全改進空間，14%的SIF可做出降低誤跳的改進。針對評估中反映的問題，技術人員和評估機構進行了交流討論，形成了最終的改進建議。依據建議改進后，可使所有聯鎖回路的SIL滿足安全要求，并進一步降低聯鎖的誤跳概率。

3 典型評估結果示例

3.1 安全不足聯鎖的改進

3.1.1 原料油緩沖罐的液位低低聯鎖

S Zorb裝置設計中原料油緩沖罐有液位高、低報警，未設置自動聯鎖，實際由操作工完成，但原設計中底部電動閥無閥位回訊。考慮到需要緊急切斷時無法及時切斷，可能會導致嚴重的事故后果，故建議增設電動閥門回訊信號至中控。

3.1.2 反吹氫/新氫壓差低低聯鎖

原設計中為避免反吹氫壓力過低無法完成過濾器及其他相關儀表反吹造成儀表或安全閥堵塞，設置了檢測到壓差低低開閥補充氫的聯鎖。由于目前執行機構閥門上無跨線，一旦發生故障，影響主流程安全。建議在該執行機構閥門儀表風罐上設置壓力低報警，并確認儀表風罐的容量能夠滿足開關3次的要求，以保證此閥門在極端工況下可以有足夠的動力源打開,從而保障工藝安全。

3.2 誤跳聯鎖的改進

3.2.1 反應過濾器壓差高高聯鎖

該裝置設計了反應過濾器壓力差高高聯鎖功能。考慮到過濾器壓力差很難突變的實際情況，從經濟性、聯鎖設置的必要性方面考慮，此設置可改進為報警，并由操作工處理。要求將操作工的正確處理程序寫入操作規程。

3.2.2 原料油緩沖罐的液位低低聯鎖

現場調研該處液位計測量液位采用的原理為2個壓力相減得到壓力差反算液位。通過PHA分析，此處液位一旦出現異常，將會導致反應進料泵停止工作，從而最終導致裝置停車的嚴重后果。當前設計存在裝置誤跳的風險，同時裝置出現過液位控制失靈的情形。建議增設不同型號的液位計，并且設置當其中一個傳感器信號長期無變化時發出報警,提醒操作工注意，以保證安全。

3.3 其他改進

原設計中地下污油罐液位高高聯鎖。根據工藝危害性分析，考慮到特殊工況下污油泵所需處理量較大的情況，此時出口閥平常只保持一定開度，需要操作工去現場手動操作。為有效降低滿罐風險，建議采取增設污油罐信號遠傳及報警,同時在泵出口增加一只流量控制閥以保證安全。

4 結 語

采用IEC61511標準提供的SIL評估技術，分析了S Zorb裝置重要聯鎖的充分性和必要性，給出了該裝置SIL評估情況。針對可優化改進的SIF，提出了相應的改進建議。評估結果對保障裝置的長周期安全運行和誤跳問題具有指導作用。