基于保護層分析法的安全完整性等級評估方法研究及應用

趙東風，闞鈺烽，韓豐磊

(中國石油大學(華東) a. 化學工程學院；b. 機電工程學院，山東 青島 266580)

安全儀表系統(SIS)由傳感器、邏輯控制器、執行器等構成，是廣泛應用于油品、化工等流程工業的一類安全系統[1]，它可以持續監視工廠的生產運行狀態，在危險發生時可采取提前設定的措施，盡可能地減少或避免人員傷亡和財產損失[2]。

煉油工業中，加氫裝置的原料油緩沖罐是加氫裝置中的重要設備之一[3]。某公司原料油緩沖罐規格為φ3 400 mm×11 000 mm的立式罐，罐的參數見表1所列，其操作壓力為0.6 MPa，補氫壓力為14.5 MPa，若進料系統動力中斷，易發生高壓竄低壓現象。近年來由于各種原因發生竄壓而導致反應罐爆炸的事故頻發，2018年3月12日16時14分，九江石化煉油運行一部柴油加氫裝置發生一起爆炸火災事故，事故造成2人死亡，1人灼傷。

為了保障原料油緩沖罐的正常運行，防止竄壓事故的發生，許多企業都采取了一系列的附加聯鎖保護措施，但這些措施都是依據工程經驗添加的，不能科學地確定其合理性和可靠性。因此，本文依托exSILentia軟件對原料油緩沖罐進行了安全完整性等級(SIL)的評估，并對此從安全儀表設計的合理性提出了建議。

表1 原料油緩沖罐參數

1 安全完整性等級的確定

安全儀表系統是被動的、休眠的，它不會動態的隨著工藝流程的改變而改變，而是一直監視著工藝過程。當工藝參數觸發預先設定的閾值時，就會執行預先設計的動作來阻止危險事件的發生。SIL等級就是衡量安全儀表系統在一定時間、一定條件下能夠完成所要求的安全功能的概率[4]。但是，SIL也不是越高越好，過高的SIL會給企業造成經濟負擔。所以，最好的安全儀表系統應是風險與成本的平衡點。

對于安全儀表系統評估的指導，國外有許多相關標準，如IEC 61508[4]，IEC 61511[5]，ISA-TR84.00.02/ISA S84.00.01等。中國于2007年將IEC 61508[5]等同轉化為GB/T 20438—2006《電氣/電子/可編程電子安全相關系統的功能安全》，將IEC 61511[5]等同轉化為GB/T 21109《過程工業領域安全儀表系統的功能安全》[6]；在2017年將GB/T 20438—2006更新為GB/T 20438—2017，并于2018年7月1日施行，是國內SIL評估工作的依據。此外，還有GB/T 50770—2013《石油化工安全儀表系統設計規范》，GB/T 32202—2015《油氣管道安全儀表系統的功能安全評估規范》，GB/T 32203—2015《油氣管道安全儀表系統的功能安全驗收規范》，SY/T 10045—2003(等同采用ANSI/ISA 84.01—1996《工業生產過程中安全儀表系統的應用》)，AQ 3054—2015《保護層分析(LOPA)方法應用導則》，對于安全儀表系統的設計、評價有著非常重要的指導作用。

安全儀表功能(SIF)評估包括SIL定級和驗證兩部分： 前者是進行風險評估，明確安全儀表系統所需要承擔的風險值；后者是可靠性評估，明確現有安全儀表系統可以承擔的風險值。依據IEC 61508，安全儀表系統SIL的評估流程[7]如圖1所示。

1.1 SIL等級定級

SIL定級的意義在于： 合理分配儀表資源，提高安全儀表系統的利用率，減少非計劃停車次數，降低誤停車帶來的損失[8]；明確系統需要的SIL等級，降低過度保護帶來的經濟投入。

圖1 安全儀表系統SIL評估流程示意

1) 根據GB/T 20438—2017，采用保護層分析法(LOPA)進行SIL等級確定，LOPA可容忍概率根據表2確定。LOPA削減后事件頻率[9]為

(1)

表2 某公司風險可接受分析 a-1

2) 風險降低因子是消減后事件頻率與可容忍頻率的比值，依據LOPA確定SIL等級，IEC 61508[4]中對SIL等級的劃分見表3所列。

表3 SIL等級的確定

1.2 SIL等級驗證

SIL等級常見的驗證方法有馬爾科夫模型、故障樹法、可靠性框圖法。故障樹法和可靠性框圖法較為簡單，但是對系統狀態描述不精確；馬爾科夫模型認為系統內單元有3個不同的狀態： 正常、失效和中間狀態[10]，如圖2所示，一個圓圈指向另一個圓圈表示系統由一種狀態轉變為另一種狀態，描述了系統隨時間變化的行為[10]，而且該變化只與系統當前狀態有關，與系統歷史狀態無關。這與E/E/PE系統失效的指數概率密度相符合，即馬爾科夫模型非常適合用來計算E/E/PE系統的可靠性[10]。雖然馬爾科夫模型建模困難、計算復雜，但是exSILentia軟件[11]可以很好地解決該問題。exSILentia是由exida公司開發的一款軟件，主要用于SIL等級驗證、工藝危害分析、生命周期成本估計等，目前國內許多企業、高校均采用該軟件進行功能安全相關的研究，在石油化工領域的認可度極高。

圖2 馬爾科夫模型示意

以“1oo1”模型為例，根據馬爾科夫模型建立的模型如圖3所示，其對應的馬爾科夫矩陣[12]為

(2)

(3)

(4)

使用exSILentia驗證步驟如下：

1) 針對SIF回路，在exSILentia中建立對應回路。

2) 在建立的SIF回路中選擇傳感器、邏輯處理器、執行器對應的元件規格。

3) 對于數據庫中沒有的失效數據可選擇自行創建。

4) 使用exSILentia完成最終的SIL計算，并與目標等級對比；若不滿足，則可對應提出改進措施。

圖3 “1oo1”馬爾科夫模型示意

2 原料油緩沖罐SIL評估案例分析

2.1 SIL評估

原料油緩沖罐是加氫裝置中的重要設備之一，進裝置原料油先進入原料油緩沖罐，然后經原料油升壓泵抽出升壓過濾后進入濾后原料油緩沖罐，由反應進料泵升壓后與換熱后的混合氫混合。該過程中，反應進料泵故障停機，泵出口流量降低，或者控制閥故障，依據工程經驗，泵出口單向閥內漏概率較高，無法保證其可靠性，因此若動力系統中斷，氫氣極易反竄至濾后原料油緩沖罐，導致超壓泄漏，嚴重時發生火災、爆炸事故，造成人員傷亡。為了防止此類事故的發生，濾后原料油緩沖罐一般設置1套反應進料泵出口流量低低信號聯鎖系統，反應進料泵出口流量低低，聯鎖關閉調節閥。反應進料系統聯鎖邏輯如圖4所示。

圖4 反應進料系統聯鎖邏輯示意

表4 SIL定級分析結果

采用exSILentia軟件進行驗證，得到傳感器、邏輯控制器和執行機構的PFDavg和MTTFS分別見表5和表6所列，各元件對PFDavg和MTTFS的貢獻率如圖5所示。

從表5和表6可以看出，傳感器、邏輯控制器和執行機構的SIL均可以達到SIL2，但是原料油緩沖罐的SIL仍為SIL1。從圖5可看出，傳感器和邏輯控制器的安全度較低，是整個安全儀表系統的薄弱環節。而且，傳感器對于PFDavg的貢獻率為16.67%，對于MTTFS的貢獻率為33.38%，這表明傳感器在該SIF中對誤停車造成的影響比功能安全要明顯。

表5 傳感器、邏輯控制器和執行機構的PFDavg和MTTFS

表6 功能安全參數

圖5 各元件對PFDavg和MTTFS的貢獻率

2.2 SIL評估后的改進措施

依據SIL評估結果，提出以下建議：

1) 對聯鎖回路的執行機構增設冗余結構，在反應進料泵出口增設關斷閥，與調節閥構成冗余結構，經驗算，滿足SIL2要求。

2) 分析企業安全閥泄放量高壓串入工況計算書或者更換安全閥，若滿足高壓串入工況，則可將SIL等級降為SIL1。

3) 換用可靠度高的執行機構，將調節閥LV2302替換為FC型(故障關)調節閥。

4) 分析各元件對PFDavg的貢獻率，縮短檢測周期為1 a，經驗算，可滿足SIL2。

5) 依據GB 50770—2013《石油化工安全儀表系統設計規范》7.3.4條款，調節閥加切斷閥或者

2臺切斷閥可構成控制閥冗余，因此可在聯鎖中加裝1臺切斷閥與調節閥LV2302構成冗余，經驗算，滿足SIL2要求。

3 結束語

為解決加氫裝置中常見的竄壓問題，以加氫裝置原料油緩沖罐為研究對象進行SIL評估，找出聯鎖系統中的薄弱環節，并從安全儀表角度提出了解決竄壓問題的措施。目前發生竄壓事故的石化企業中，普遍存在采用人工聯鎖或安全儀表聯鎖系統設置錯誤等問題。通過對多個廠區多套加氫裝置SIL評估以及結合現場實踐經驗，加氫裝置防止高壓竄低壓事故發生的主要保護措施多為重要聯鎖的設置。在企業的實際生產運行中需保證該類重要聯鎖的投用，宜可通過設置冗余結構提高聯鎖的可靠性。在接受報警信號或聯鎖觸發時，相關人員應嚴格執行操作規程中的相關要求，積極響應，重點檢查關鍵閥門的關閉情況，防止加氫裝置中高壓物料竄入低壓系統引發火災爆炸事故的發生。