某企業安全儀表系統(SIS)建設項目的評估設計

謝冬暉

(中國恩菲工程技術有限公司, 北京 100038)

0 引言

安全儀表系統(簡稱SIS)，是實現一個或多個安全儀表功能的儀表系統，一般由測量儀表、邏輯控制器和最終元件組成[1-2]。

按照《國家安全監管總局 住房城鄉建設部關于進一步加強危險化學品建設項目安全設計管理的通知》(安監總管三〔2013〕76號)、《國家安全監管總局關于加強化工安全儀表系統管理的指導意見》(安監總管三〔2014〕116號)等有關規定，生產多晶硅產品的某企業需要在其屬于“重點監管的危險化工工藝、重點監管的危險化學品和重大危險源(簡稱兩重點一重大)”的工藝單元上進行工藝、自控等專業的改造設計，建設和運行符合規范要求的安全儀表系統。

中國恩菲公司在2018年初與某企業簽訂了SIS建設項目的評估設計合同，主要工作范圍是：進行危險與可操作性分析(簡稱HAZOP)并出具相關報告；依據HAZOP報告中的分析結果，選擇需要設置SIS的工藝單元，依照相關法規和標準設置具有安全儀表功能(簡稱SIF)[3]的控制回路，并確定每個SIF的安全完整性等級(簡稱SIL)[3]；根據定級結果設計SIS實施技術方案；對SIS儀表和控制系統進行SIL驗證。

1 HAZOP分析

1.1 HAZOP分析概述

HAZOP分析由一個具有不同專業背景的專家組成的小組，通過系統的方法識別和評估工藝流程中的危險因素和可能引起的后果，并提出應對措施和辦法[4]。HAZOP分析基于小組成員的經驗基礎上進行，在分析過程中需要業主方具有操作經驗的專業人員參與，可以使得分析更加客觀和專業。在本項目中，HAZOP小組成員包括安全咨詢專家、工藝和自控專業設計負責人、某企業的各車間主管、工藝技術員、操作班長、安環部門技術員等。具有豐富經驗的安全咨詢專家擔任小組主席，負責掌控整個分析的過程和節奏，其他小組成員在主席的指導下參與分析，提出自己的觀點和意見。

由于本項目的最終目標是建立SIS系統，不是傳統意義上針對某個工程項目的工藝過程全方位、綜合性的分析，因此HAZOP分析的范圍僅限于針對某企業現有工藝裝置聯鎖保護的事故場景，以及對沒有設置聯鎖的關鍵設備設施進行偏差識別和風險分析。HAZOP分析的基礎材料主要包括PFD圖、P&ID圖、DCS聯鎖臺賬及相關資料等。

1.2 HAZOP分析方法

本項目的HAZOP分析以經驗法為主，結合傳統的HAZOP引導詞分析法，即將一個系統劃分成多個節點，并采用優選的引導詞。HAZOP小組主席采用引導詞(如無、多、少等)和關鍵工藝參數(如流量、液位、壓力等)，引導小組通過集體討論從操作和設計角度準確找出導致偏差的可能原因(如無流量、高液位、低壓力等)。每個節點都會以引導詞為線索依次分析，找出工藝偏離正常操作條件的原因。此方法要求徹底完全地分析每一個節點，以識別由于工藝偏差而導致的潛在安全問題和可操作性問題。HAZOP小組識別了所有原因后，必須確定最終可能導致的后果并評估其危險嚴重性，才能分析出現有的安全保護措施是否足夠控制風險，如果答案是否定的，就需要建議增加新的安全保護措施。

1.3 HAZOP分析記錄表

HAZOP分析過程中，記錄表是十分重要的過程文件，需要記錄劃分的每個節點的設計意圖、危險和可操性問題，由于已有安全措施不足以保護工藝系統而提出的降低危險的措施和建議也需要記錄在表中。典型的記錄表如表1所示。

表1 HAZOP分析記錄表

表1中各選項的詳細釋義如下：

(1)節點—選擇工藝系統中某個合適的環節；

(2)設計意圖—描述該節點的工藝設計目的；

(3)參數/引導詞—工藝參數結合引導詞產生的偏差作為小組分析的提示；

(4)詳細偏差—列出該節點內每一項需要分析的偏差；

(5)原因—識別出所有導致偏差出現的明確或潛在的原因；

(6)后果—不考慮已有安全措施的前提下，識別每個偏差導致的最終結果；

(7)保護措施—詳細列出每一條已有的安全措施，并評估其能否把后果從危險降低到安全級別；

(8)建議措施—如果保護措施不足，提出建議增加的安全措施。

HAZOP小組在完成一個參數/引導詞組合后，就可以進行該節點內其他參數/引導詞組合的分析，直至結束本節點所有分析，其他節點的分析也照此循環進行。

1.4 HAZOP分析規則

在HAZOP分析時，必須要制定好規則并嚴格遵守，以避免HAZOP分析過程出現偏離目標、重復工作、缺乏衡量標準等問題。本項目HAZOP小組分析過程中遵循的規則如下：

(1)原因和后果至少有一個必須是在相應的節點里面找；

(2)考慮后果時，不考慮已有的安全措施；

(3)如果某原因導致多種工藝偏差的出現，則不需要采用不同的引導詞進行分析；

(4)初始事件原因是安全措施失效，則該安全措施將不予采用；

(5)同一系統或設備同時出現兩種或以上故障的情況不予以考慮；

(6)對于兩個或更多相似的系統或設備，只分析其中一個。

1.5 HAZOP分析結果

經過詳細、準確的HAZOP分析后，HAZOP小組就所有的建議進行了充分的討論并最終達成一致意見，為某企業的SIS建設項目提出了175項建議措施。這些建議都是針對設計、安全和操作方面的，能夠解決潛在的安全或可操作性問題，有效降低多晶硅生產裝置的工藝風險。

通過本節內容可以看出，HAZOP報告是開展SIS系統SIL定級工作的基礎性文件和指南，具有十分重要的意義和作用。

2 SIF識別與SIL定級

2.1 有關概念

SIF包括安全保護功能和安全控制功能，由SIS(測量儀表、邏輯控制器、最終元件和軟件)實現，以防止、減少危險事件發生或保持過程安全狀態。

本項目的SIL定級采取了保護層分析(簡稱LOPA)方法。LOPA是對事故場景初始事件(簡稱IE)、后果和獨立保護層(簡稱IPL)進行分析，對其風險進行半定量評估的系統性方法。

SIL是在規定時間和條件內SIS完成SIF的平均概率的等級，由低到高為SIL1～SIL4。SIL在低要求操作模式時，采用要求時失效概率(簡稱PFD)進行衡量，也即當系統要求IPL起作用時，IPL發生失效不能完成一個具體功能的概率，如表2所示。

表2 低要求操作模式下的SIL等級

如果PFD數值位于[10-1，1)區間，可以將其SIL等級寫為SILa，該等級的SIF可采用如DCS、PLC等常規控制系統實現。

LOPA方法進行SIL定級的程序步驟，如圖1所示[5]。

圖1 LOPA基本程序

2.2 工作范圍

中國恩菲根據HAZOP報告和某企業的實際情況，明確了本項目的SIF識別和SIL定級工作的范圍為：

(1)針對現有聯鎖保護進行保護場景識別和保護層分析，明確其安全功能并確定SIL等級，判斷是否需要改為由SIS系統實現；

(2)針對沒有設置聯鎖的關鍵設備設施進行典型事故場景識別和保護層分析，確定是否需要新增聯鎖及相應的SIL等級，判斷是否需要由SIS系統實現；

(3)根據國家安監局相關文件要求，確定需要進入SIS系統實現的SIF(具有相應的SIL等級)和緊急切斷功能。

2.3 SIF的識別

對新建項目而言，SIF識別過程一般會依據如下文件：

·工藝管道和儀表流程圖(P&ID)；

·聯鎖邏輯圖；

·ESD因果矩陣；

·HAZOP分析結果。

由于本項目屬于現有設施運營多年后進行改造，其實際狀況和原始設計文件有差別和變動，因此中國恩菲和業主設計部協同工作，對P&ID、聯鎖臺賬等進行了更新，作為SIF識別的最終依據。

2.4 用LOPA法進行SIL定級

依據HAZOP報告結論，中國恩菲按照LOPA方法的程序步驟，確定了本項目各個SIF的SIL等級。下面用前文表1中的節點22“第三組分離1#塔”作為示例，展示進行SIL定級的具體過程。

(1)建立事故風險容許度標準

建立事故風險容許度標準的目的是保護人員安全、防止環境破壞和財產損失。

中國恩菲結合國際/國內同類公司采用的可容忍風險等級，為某企業推薦了安全、環境、財產三類風險事故后果的可接受頻率，得到了業主的認可。表3為本項目中使用的安全風險事故后果可接受頻率。

表3 安全與健康相關事故后果的可接受頻率

環境和財產兩類風險事故后果的可接受頻率在本項目SIL定級中未列出，是對于同一SIF在保護不同類型的事故后果時，只分析風險可接受頻率較低的類型。例如超過1 t石油外溢的環境破壞，業主的風險可容忍頻率為1×10-4/年，而人員安全和財產風險類型的可容忍頻率都是1×10-3/年，那么三種風險類型選擇更低的1×10-4/年即可。

在其他工程項目中，應根據業主意愿、項目具體情況、內外部有關影響因素等綜合選擇風險事故。特別需要注意的是事故風險容許度標準在不同國家、地區、行業、項目中會有所不同，在提出該標準時一定要滿足有關規定并經業主確認。

(2)事故場景和后果

節點22的事故場景是“第三組分離1#塔塔頂壓力突然上升，會超過塔的設計壓力，塔頂二氯二氫硅泄漏，可能發生爆炸”，事故后果是“造成1人死亡”。根據表3可知該事故后果的頻率不高于1×10-4/年，屬于業主的可容忍接受范圍。

(3)IE

IE是事故場景的初始事件原因，一般分為三種類型，包括外部事件、設備故障以及人員失誤，其發生頻率或頻率范圍以“年”為單位。外部事件主要包括自然災害、廠區外鄰近區域重大事故和火災爆炸、破壞恐怖活動等；設備故障主要包括控制系統故障、機械故障、閥門故障、管道和儲罐失效泄漏，以及停水、停電、停氣等公輔設施故障；人員失誤主要包括操作、維護、關鍵響應、作業程序等失誤。

節點22事故場景的初始事件有兩個，一是“第三組分離1#塔塔頂冷卻失效”，二是“PV10T01故障，T75.再沸器加熱過度”，均屬于設備故障。

根據有關中國安全標準和國際認可的數據，可將節點22的IE1“冷卻失效”的頻率取值設為1×10-1/年，將IE2“PV10T01故障”的取值設為1×10-1/年。

(4)IPL

IPL是指獨立于場景初始事件或別的保護層的系統、行動、設備等，能夠阻止事故場景發展為不期望后果。

對一個生產企業來說，“本質安全設計”“基本過程控制系統BPCS”“報警&人員響應”“安全儀表功能SIF”“物理保護”“釋放后保護設施”以及“工廠和社區應急響應”都是典型的保護層，但是否能夠作為IPL，則需要滿足一定的具體要求。比如BPCS要作為IPL，就需要滿足和安全儀表系統分離(物理層面)、其故障不是造成IE的原因、多個回路視作一個IPL等具體要求，又比如一般的報警&人員響應很難被視為IPL。一個標準的IPL應滿足獨立性、有效性、安全性的要求，同時可變更管理和可審查。

節點22在項目改造前沒有符合條件的IPL，在項目HAZOP分析過程中，業主決定在有關塔(包括節點22在內)的塔頂增加工藝安全閥，因此中國恩菲將安全閥作為IPL引入SIL定級，并取值為1×10-2/年。

(5)確定SIL等級

節點22的SIL定級分為兩部分，一是對現有聯鎖保護進行分析，判斷其SIL等級并決定是否需要由DCS改為SIS實現；二是判斷新增聯鎖由SIS實現所需的SIL等級。這兩部分的SIL定級通過定級計算表完成，如表4、表5所示。

表4 SIL定級計算表1

表5 SIL定級計算表2

SIL定級計算表中有“觸發事件或條件”“后果條件修正”兩選項，其作用是對事件場景進行修正，節點22雖未予采用，但對定級結果沒有影響。這兩個在其他項目中，建議根據具體情況決定是否采用和賦值。

將事故風險降至業主的可容忍風險以下所需的數值，即為該SIF的PFD值，用PFDSIF表示，可通過公式(1)計算：

(1)

將表4、表5中數值代入公式(1)后計算可得，節點22的SIF1(現有DCS聯鎖)的PFDSIF值為1.00E-01，SIF2(新增聯鎖)的PFDSIF值為1.00E-01。通過對照表2的SIL等級區間，可得出“SIF1和SIF2的等級為SILa，采用常規DCS系統即可實現該功能”的初步結論。

但是《危險化學品重大危險源監督管理暫行規定》(國家安全生產監督管理總局令第40號)中第十三條中要求：涉及毒性氣體、液化氣體、劇毒液體的一級或者二級重大危險源，配備獨立的安全儀表系統(SIS)。根據某企業提供的危險化學品重大危險源分級結果，節點22所屬工藝裝置已構成一級重大危險源。因此節點22的最終SIL定級結果為：一、SIF1(現有DCS聯鎖)等級為SILa，功能保留，在DCS上實現；二、SIF2(新增聯鎖)等級為SILa，按40號令進SIS系統，功能在SIS上實現。

3 SIS實施技術方案

中國恩菲在完成該項目的HAZOP報告、SIF確定與SIL定級報告后，以報告內容為依據，進行了項目實施技術方案(包括工藝專業和自控專業)的設計。該項目屬于現有設施改造，業主根據技術方案自行組織了采購、施工等工作。下面仍舊以節點22為示例進行展示，如表6所示。

表6 SIS系統改造明細表

4 SIL驗證

進行SIL驗證的目的是：分析構成SIF回路的硬件安全完整性的結構約束，以及硬件隨機失效的安全完整性等級要求，確定該SIF目前能達到的SIL等級，與SIL定級結果進行比較。如果該SIF未達到定級結果要求，則應重新進行硬件設計選型工作以使其達到SIL等級要求。

在本項目中，中國恩菲主要是基于業主提供的現場儀表設備和邏輯控制器的SIL認證證書(報告)和相關同類設備失效數據庫，將各SIF表示為傳感器子系統(輸入)、邏輯子系統和最終元件子系統(輸出)，利用國際流行的安全完整性等級評估軟件exSILentia進行數據處理和驗證計算，完成了SIL驗證工作。

示例節點22- SIF2的SIL等級要求為SILa，經驗證計算其PFDavg為1.47E-02，結構約束為SIL2，綜合達到SIL1，能夠滿足等級要求。具體內容如表7所示。

表7 SIL驗證工作表

5 結束語

SIS系統在工程項目中的正確應用，離不開“安全生命周期”這一概念?！鞍踩芷凇笔侵笍囊粋€項目的工程方案設計直至所有安全儀表功能停用的全部階段[6]。除了前文論述的內容外，還應加上SIS工程設計、SIS集成調試驗收、SIS操作維護變更、SIS功能測試和SIS停用等后續工作，才能構成一個完整的SIS系統安全生命周期，也意味著完成了一個真正意義上的SIS系統。這些后續工作需要設計院、系統集成商、業主等多方參與，有大量復雜的管理和技術活動，限于篇幅原因本文不進行描述，希望以后有機會再與各位專家、同行一起學習交流。