火氣系統與安全儀表系統探討

， ，

(中國五環工程有限公司，湖北 武漢 430223)

近年來，石化行業頻發重大安全事故，給人民群眾生命財產造成了重大損失，給社會發展造成了惡劣影響。可燃/有毒氣體的存在和泄漏是造成重大火災、爆炸和人身傷害事故的主要因素之一，對化工生產裝置中可燃/有毒氣體的有效監測和管控將預防事故的發生，或在事故發生后減輕事故造成的后果。

國家安全監管總局(現已納入中華人民共和國應急管理部)2014年11月發布的《關于加強化工安全儀表系統管理的指導意見》(安監總管三〔2014〕116號文)提出：“化工安全儀表系統(SIS)包括安全聯鎖系統、緊急停車系統和有毒有害、可燃氣體及火災檢測保護系統等”，將可燃/有毒氣體及火災檢測保護系統納入了安全儀表系統的管理范疇，對可燃/有毒氣體及火災檢測保護系統的設計、實施和管理提出了更高的要求，對安全儀表系統的一些傳統理念提出了挑戰。

1 火氣系統(FGS)

火災報警和氣體檢測系統FGS(Fire Alarm and Gas Detection System，簡稱火氣系統)將火災報警系統FAS(Fire Alarm System)和氣體檢測報警系統GDS(Gas Detection System)有機地組合在一起。根據ISA-TR84.00.07定義，FGS是工業自動化和控制系統的子系統，用來檢測工業過程中危險物質的泄漏并采取合適的措施來減緩泄漏事件產生的后果，可以直接通過探測器檢測現場泄漏氣體的濃度，或是根據泄漏的結果推算出來(比如燃燒時的熱輻射)。FGS可以檢測可燃氣體、毒性氣體、煙霧、火焰、聲發射、快速溫升等，檢測覆蓋率和能力取決于危險的場景。

FGS將傳統的消防系統的功能從火災事故減輕擴展到了火災事故預防，動作時間從著火后提前到了著火前，大大提高了石化生產裝置的安全性[1]。

FGS由傳感器、邏輯控制器和最終元件組成。傳感器用于探測可燃氣體、毒性氣體或者火警，包括火焰探測器、感煙火災探測器、感溫火災探測器以及可燃/有毒氣體探測器，并配置手動報警措施；邏輯控制器通常采用常規PLC、安全PLC、FGS專用的PLC或者專用的FGS多回路控制器，用于檢測信號的處理和邏輯控制；最終元件用于聲光報警器、消防聯動、消防滅火系統甚至工藝裝置聯動停車等[1-4]。典型的FGS結構組成見圖1。

圖1 典型的FGS結構示意

一旦出現異常狀態，FGS將采取以下動作：①提供狀態報警；②將工藝過程置于安全狀態；③執行預定動作，減輕危險事件的后果。

FGS作為一種將火災報警與可燃/有毒氣體檢測集成的系統[8]，當前國內還沒有一個完整的、綜合性的設計規范。同時，國內現行的一些標準規范和強制性產品認證制度也給FGS的搭建帶來了一些困擾。拘于早期火災報警器技術上的局限，GB 50116—2013《火災自動報警系統設計規范》便對氣體探測器接入火災報警器提出了限制。該規范的第8.1.2條規定：“可燃氣體探測報警系統應獨立組成，可燃氣體探測器不應接入火災報警控制器的探測器回路；當可燃氣體的報警信號需接入火災自動報警系統時，應由可燃氣體報警控制器接入”。

當前FGS的典型構成見圖2，其可靠性和經濟性都有局限。

圖2 FGS典型構成

較之FGS已在國外石化項目廣泛應用，目前在國內項目中的應用并不普遍。但隨著技術的成熟、安全需求的提高，FGS在國內項目的應用已開始逐漸多了起來。如目前大型LNG項目中多數采用FGS。

2 FGS與安全儀表系統(SIS)

根據GB/T 21109.1—2007/IEC 61511-1：2003的定義，安全儀表系統SIS(Safety Instrument System)是實現儀表安全功能(SIF)的儀表系統，由傳感器、邏輯解算器和最終元件組成。可包含儀表安全控制功能，也可包含儀表安全保護功能，或包含這兩者。

SIS用于降低風險，將風險控制在可接受的范圍內。對于過程工業領域而言，SIS主要執行儀表安全保護功能。

GB/T 21109.1—2007/IEC 61511-1：2003中給出了過程工業領域中常見的典型風險降低方法(見圖3)。

圖3 過程工業領域中常見的典型風險降低方法

從圖3可以看出，SIS處于預防層和減輕層，用于預防危險事件的發生，或減小危險事件的后果。

FGS在可燃/有毒氣體泄漏時通過報警或聯鎖減少由于氣體泄漏而可能造成的更大的危險事件的發生，如爆炸、火災或人員中毒等，在風險降低方法中屬于典型的風險減輕。在GB/T 21109.1—2007/IEC 61511-1：2003對“減輕”的定義中，也將“根據已證實的著火或氣體泄漏的檢測所采取的緊急減壓”作為“減輕”的示例。

FGS與SIS在過程工業領域中均起著風險降低的作用，對化工生產裝置的安全保障至關重要。由此也就不難理解安監總管三〔2014〕116號文中將FGS納入安全儀表系統進行管理的要求。

根據安全儀表系統相關術語的定義，當生產裝置出現異常時，SIS通過儀表系統的作用將生產裝置置于安全狀態或減輕其后果。也就是說，FGS并非完全等同于SIS，只有具有儀表安全功能(SIF)的FGS才是SIS。對參與工藝裝置聯動的FGS應按照安全儀表系統的相關規范進行設計、實施和管理[5，6]。

在安監總管三〔2014〕116號文宣講中，主要起草人員也反復強調，該文并不是說所有FGS都是安全儀表系統，而是強調對“有毒有害、可燃氣體及火災檢測保護系統”應根據安全儀表系統的相關規范進行安全完整性等級(SIL)分析定級，并根據分析結果進行設計和管理。

3 FGS與ESD

在傳統觀念中，石油化工企業中的SIS往往特指緊急停車系統ESD(Emergency shutdown)。從前面的分析可以看出，FGS也可以和ESD一樣具有安全功能，是安全儀表系統(SIS)的一個重要應用領域，但FGS與ESD存在較多的差異。

3.1 預防層與減輕層

ESD既可以實現預防層的功能，也可以實現減輕層功能。當生產裝置出現異常時，ESD將生產裝置置于安全狀態，預防危險事件的發生，同時，ESD還可以在危險事件發生后，減小事件的后果，實現減輕層的功能。而FGS只在危險事件(氣體泄漏)發生后起作用，減輕事件發生的后果，實現減輕層的功能。

圖4所示場景一為ESD典型的預防層功能應用。本場景中，如果合成氨裝置的冷氨產品泵出現故障，出口流量過低，導致冷氨產品泵吸入口的常壓氨分離器液氨滿液，并有可能流入氨壓縮機，導致壓縮機損壞。

正常時1臺冷氨產品泵運行，當檢測到冷氨產品泵出口壓力低低(PSLL-001)或常壓氨分離器液位高高(LSHH-001)時，啟動冷氨產品備用泵，將常壓氨分離器液位置于正常狀態，預防液氨流入氨壓縮機事故的發生，保障生產裝置安全運行。在SIL分析定級時，該SIF回路的SIL等級通常要求為SIL1，由ESD實現。

圖4 場景一

圖5所示場景二則為ESD典型的減輕層功能應用。如果合成氨裝置中甲烷化反應器溫度超高，導致反應器破裂，持續釋放可燃介質(H2和CH4)以及有毒介質CO，可能導致現場燃爆和人員中毒。

圖5 場景二注：X代表A/B/C共3套

當檢測到甲烷化反應器溫度高高(TSHH-001X，TSHH-002X，TSHH-003X)，ESD將聯鎖關閉甲烷化反應器入口閥(MOV-001和XV-001)，打開工藝氣放空閥(PV-001)，防止事故的蔓延，同時聯鎖停止合成氣壓縮機和氨壓縮機運行，停止裝置的運行，減輕事故的后果。

通常在SIL分析定級時，該SIF回路的SIL等級要求為SIL2。

場景二中，當可燃介質(H2和CH4)以及有毒介質CO泄漏時，FGS通過報警裝置通知相關人員及時處理，預防火災和人員中毒事件的發生。也可啟動消防聯動裝置(自動噴水滅火系統或氣體/泡沫滅火系統)，在火災發生時，及時滅火，減輕事故發生的后果。即使FGS不啟動消防聯動裝置，但觸發聲光報警，也能實現減輕層中“操作員監督”的功能，因為通過迅速將現場人員從危險區域撤離和實施其他應急處理措施，能減輕人員傷害和事故后果的擴大或蔓延。此時FGS實現了減輕層的功能。

3.2 故障安全型與非故障安全型

ESD通常為故障安全型。ESD系統正常時是勵磁的，失電時非勵磁，自動將生產裝置置于預設定的安全狀態或停車。因此，要求所有的現場回路均具有斷路、短路、接地故障等檢測功能。

而FGS通常為非故障安全型。FGS系統正常時是非勵磁的(即得電執行動作)。研究表明，很多意外事故發生在停車期間。FGS系統被設計用于保護設備和人員，這些系統的誤操作有可能損害某些設備單元并且甚至可能造成傷亡，因此要求FGS輸出信號為非故障安全型，以防止設備故障或失電時自動觸發報警和聯鎖。

3.3 確定性與不確定性

ESD對工藝過程具有已知的因果關系，可以檢測到危險產生的原因，并使工藝過程達到安全狀態。ESD所針對的工藝對象往往是易檢測的，如工藝物料的溫度、壓力、物位、流量等，采取的措施是有效的，如通過控制閥控制溫度、壓力等。決定安全完整性等級的因素往往是儀表的本身，因此，ESD的安全完整性等級(SIL)可依據直接的(包括傳感器、邏輯解算器以及最終元件)平均失效概率(PFDavg)計算。

而FGS具有不確定性。FGS的安全功能更多地取決于現場條件而不是控制系統。比如，探測器布置的覆蓋率、布置位置是否合理將影響泄漏氣體的檢測率；現場條件，如風向、氣壓等會影響FGS對泄漏氣體的探測效果；減輕措施的有效性，如消防聯動設施的設置、處置預案的優劣、現場人員的素質等將影響FGS的減輕效果等[7]。

4 FGS的有效性和安全完整性等級

FGS作為工廠風險降低措施之一，與安全儀表系統一樣具有安全功能，同樣也應具有與安全儀表系統一樣的安全完整性和有效性的需求[8，9]。然而，基于以下因素，傳統的風險分析方法很難應用于FGS。事實上，目前我們從事的工程項目在進行Hazop審查和SIL定級評估時也沒有涉及到FGS。

(1)傳統的分析方法適合于當工藝過程偏離正常操作而引起的危險。這些工藝過程具有已知的因果關系，安全儀表系統可以檢測到危險產生的原因，并使工藝過程達到安全狀態。FGS用于減輕由于氣體泄漏而造成的風險，由于前述的不確定性，需采用高級風險分析技術，諸如給定場景中氣體或火災擴散模型等。

(2)FGS不能預防危險的發生，只能減輕危險的嚴重程度而不是消除它。典型的危險和風險分析是辨識風險并消除可能引起的后果。

(3)受探頭覆蓋率和減輕措施的有效性的影響，再好的設計和管理，FGS的風險減輕效果也是有限的。

目前一些國際或國外的標準規范對FGS或GDS的有效性和安全完整性等級提出了要求。

ISA-TR84.00.07-2010主要針對FGS的有效性，說明了FGS的風險分析方法，并對FGS的安全生命周期提出了要求。

BS EN 50402：2017則主要針對GDS的安全完整性等級(SIL)的需求，提出了SIL能力(SIL-capability)的概念。與IEC 61508相對應，該規范將GDS的SIL能力分為從1～3三個等級，并針對不同的SIL能力需求，從采樣、信號采集、信號處理、電源、冗余、診斷等各個方面對GDS的組成提出了要求。

5 結語

GDS或FGS是保障石油化工生產裝置安全的一個重要環節，處于過程工業領域中常見的典型風險降低方法中的減輕層，功能上與安全儀表系統有一定的重合，同樣具有有效性和安全完整性等級的需求。因此，我們在功能需求定義、設計、安裝、維護時應充分考慮系統的有效性和安全完整性等級，強調安全生命周期的管理，真正發揮其應有的作用。