基于HAZOP和SIL評估的聯鎖變更管理

哈向軍，李作財

（鄂爾多斯市烏蘭鑫瑞煤化工有限責任公司，內蒙古自治區 鄂爾多斯 017209）

0 引言

某熱電廠鍋爐液位高高停爐聯鎖的傳感器子系統為三取二邏輯，其中3 個差壓液位計三取中作為1 個輸入點，其他兩個輸入點是兩個相同型號的電接點液位計，3 個輸入點三取二輸出液位高高聯鎖停爐。

生產過程中因兩個電接點出現共因失效，導致聯鎖誤動作。經過分析，可能原因是鍋爐水質變化引起的共因失效。因聯鎖誤動作而造成的停爐對于下游裝置的平穩生產有很大的危害，停爐過程中也存在其他方面的風險。擬計劃將該聯鎖的傳感器子系統由三取二改為二取二，避免兩個電接點液位計出現共因失效導致的聯鎖誤動作。為保證修改的合理性和科學性，本文采用HAZOP+SIL 評估方法闡述變更的可行性。

1 分析方法

1.1 HAZOP方法

危險與可操作性分析（HAZOP）是以系統工程為基礎，針對裝置工藝過程開發的危害辨識技術，是目前工藝危害辨識中應用最廣泛的技術。HAZOP 分析是由各專業人員組成的分析組，以一系列會議的形式對裝置工藝過程的危險和操作性問題進行分析。HAZOP 分析的直接對象是工藝或操作的特殊點，這些特殊點稱為“分析節點”或工藝單元，或操作步驟。對于每一“分析節點”，HAZOP 分析組以正常操作運行的工藝（狀態）參數為標準值，分析運行過程中工藝（狀態）參數的變動（即偏離），同時分析出現偏離故障的原因、后果及應采取的措施。

HAZOP 分析實施過程可以分為以下3 個主要階段：分析準備、分析會議和分析報告[1]。

1.2 SIL評估方法

安全儀表系統（SIS）的安全完整性等級（SIL）代表了該聯鎖的失效概率，而聯鎖作為安全生產的一道重要的保護措施，從安全生產角度來說，聯鎖失效概率越低越好，而實際情況是聯鎖失效概率越低，SIS 系統的資金投入將非常巨大。因此，合理的聯鎖失效概率（SIL 等級）非常重要。SIL 等級與平均失效概率對照表見表1。本次分析所使用安全儀表系統（SIS）的SIL 定級方法為GB/T21109.3-2007《過程工業領域安全儀表系統的功能安全 第3 部分：確定要求的安全完整性等級的指南》中推薦使用的保護層分析（LOPA）方法[2-4]。

表1 SIL等級與平均失效概率對照表Table 1 SIL level and average failure probability comparison table

保護層分析法（Layer of Protection Analysis，LOPA）是在定性危害分析的基礎上，進一步評估保護層的有效性，并進行風險決策的系統方法，是基于事故場景的一種半定量分析方法。其主要目的是確定是否有足夠的保護層使風險降低到企業可接受標準。

根據Q/SH0560-2013《中石化HSE 風險矩陣標準》，本次保護層分析采用的風險矩陣及可接受風險標準見表3～表6[5]。該可接受風險標準符合《危險化學品生產、儲存裝置個人可接受風險標準和社會可接受風險標準（試行）》（國家安全生產監督管理總局2014年第13 號公告）的要求。

表3 A類子系統最低硬件故障裕度要求Table 3 Minimum hardware fault margin requirements for Class A subsystems

2 HAZOP和SIL評估過程

2.1 HAZOP分析結果

鍋爐液位高的主要后果是主蒸汽溫度下降、主蒸汽帶液，可能造成汽輪機損壞、裂解停車。主要后果是汽輪機葉片、轉子的損壞即財產損失。危險與風險分析詳細內容見表2。

表2 HAZOP分析記錄表Table 2 HAZOP Analysis record sheet

2.2 LOPA分析與SIL定級結果

依據HAZOP 分析的內容，針對鍋爐液位過高聯鎖停機回路，從事件后果、嚴重性、初始事件、現有消減措施等維度進行LOPA 分析及SIL 定級。依據LOPA 分析的結果，無鍋爐液位過高聯鎖時的風險缺口為2×10-2，依據SIF 需求時的平均失效率將鍋爐液位過高聯鎖的SIL 等級定義為SIL1。

2.3 SIL驗算

2.3.1 結構約束驗證

安全儀表功能的結構約束驗證依據GB T20438（IEC 61508）《電氣/電子/可編程電子安全系統的功能安全》或者GB T21109（IEC 61511）《過程工業領域安全儀表系統的功能安全》。GB T20438（IEC 61508）對于SIF 結構上影響SIL 等級的因素界定為組件的安全失效分數（Safe Failure Fraction，SFF）及硬件故障裕度（Hardware Fault Tolerance，HFT）[6]。根據GB T20438（IEC 61508），不同安全失效分數的A 類/B 類子系統所對應的最低硬件故障裕度見表3和表4。

根據表3和表4結構約束要求，原聯鎖結構和修改后的結構約束均滿足要求：

表4 B類子系統最低硬件故障裕度要求Table 4 Minimum hardware fault margin requirements for class B subsystems

1）原鍋爐液位高高聯鎖停爐的結構約束

傳感器子系統：壓差液位計三取中（1oo3）與兩個電接點液位計（2oo3）。

邏輯解算器：Tricon（2oo3）。

執行機構：EMV103/XV7101（2oo2）。

根據表3和表4要求，原鍋爐液位高高聯鎖停爐的結構約束為SIL1。

2）修改后的鍋爐液位高高聯鎖停爐的結構約束

傳感器子系統：壓差液位計三取中（1oo3）與一個電接點液位計（2oo2）。

邏輯解算器：Tricon（2oo3）。

執行機構：EMV103/XV7101（2oo2）。

根據表3和表4要求，修改后的鍋爐液位高高聯鎖停爐的結構約束為SIL1。

本次鍋爐液位過高聯鎖的變更內容主要是將傳感器子系統由2oo3 結構變更為2oo2 結構，綜合上述幾個表格可以得出結論如下：從結構約束角度，原設計方案符合要求，本次聯鎖變更的內容不影響該安全儀表功能的安全完整性等級。

2.3.2 SIF需求時平均失效率（PFDAVG）計算

安全儀表系統的安全功能在要求時的平均失效概率，是計算和組合所有提供安全功能的子系統的平均失效概率來確定的，安全儀表系統的平均失效概率計算公式如下：

PFDavg=PFDavg,s ＋PFDavg,ls ＋PFDavg,fe

其中：PFDavg 為安全儀表系統在要求時的平均失效概率；PFDavg,s 為傳感器子系統在要求時的平均失效概率；PFDavg,ls 為邏輯控制器在要求時的平均失效概率；PFDavg,fe 是最終執行元件在要求時的平均失效概率。

子系統的平均失效概率采用GB T21109（IEC 61511）附錄A 中的A.3 簡化公式。該鍋爐的檢修周期為1年，因此安全儀表系統（SIS）的檢驗測試周期為1年（8760 h）。本項目的失效數據來源[7]于幾個方面：①設備制造廠家提供的失效數據；②EXIDA 公司出版的失效數據庫；③現場使用經驗及專家經驗。

1）針對SIF 回路失效率計算

原鍋爐液位過高聯鎖停機回路的失效率計算，見表5。

表5 原鍋爐液位過高聯鎖停機回路的失效率Table 5 Failure rate of the original boiler liquid level too high interlock shutdown circuit

聯鎖變更后，鍋爐液位過高聯鎖停爐回路的失效率計算，見表6。

表6 變更后鍋爐液位過高聯鎖停機回路的失效率Table 6 The failure rate of the interlock shutdown circuit after the boiler liquid level is too high after the change

2）各SIF 回路驗算結果

本次鍋爐汽包液位高高停爐聯鎖的變更內容主要是將傳感器子系統由2oo3 結構變更為2oo2 結構，綜合上述幾個表格可以得出結論如下：原設計方案中，該SIF 符合SIL1 的要求，聯鎖變更后傳感器子系統的失效率明顯增加，但變更后SIF 的失效率依然可以滿足SIL1 的要求，因此本次聯鎖變更的內容不影響該安全儀表功能的安全完整性等級。

2.3.3 其他可行性方案研究

依據本項目變更的原因，是鍋爐水質導致的電接點液位計共因失效引起了聯鎖的誤動作，雖然將該聯鎖的傳感器子系統由三取二改為二取二，可以避免兩個電接點液位計出現共因失效導致的聯鎖誤動作，但犧牲了該聯鎖的可靠性。因此，提出以下兩種可行性變更方案加以分析探討：

1）方案1：將傳感器子系統中3 個壓差液位計中的兩個與兩個電接點液位計中的一個組合成三取二（2oo3）模式作為該聯鎖觸發條件，見表7。

表7 方案1失效率計算Table 7 Calculation of failure rate of scheme 1

2）方案2：將傳感器子系統中的兩個電接點液位計做二取一（1oo2）邏輯再與3 個壓差液位計三取中組合成二取二（2oo2）模式作為該聯鎖觸發條件，見表8。

表8 方案2失效率計算Table 8 Calculation of failure rate of scheme 2

從結構約束和失效率計算角度看兩個方案的結果如下：

將傳感器子系統中3 個壓差液位計中的兩個與兩個電接點液位計中的一個組合成三取二（2oo3）模式，作為該聯鎖觸發條件的結構約束。

傳感器子系統：壓差液位計與一個電接點液位計（2oo3）。

邏輯解算器：Tricon（2oo3）。

執行機構：EMV103/XV7101（2oo2）。

根據表3和表4要求，結構約束為SIL1。

將傳感器子系統中3 個壓差液位計中的兩個與兩個電接點液位計中的一個組合成三取二（2oo3）模式，作為該聯鎖觸發條件的失效率計算。

傳感器子系統中的兩個電接點液位計做二取一（1oo2）邏輯再與3 個壓差液位計三取中組合成二取二（2oo2）模式，作為該聯鎖觸發條件的結構約束。

傳感器子系統：壓差液位計三取中（1oo3）與兩個電接點液位計（1oo2）組合（2oo2）。

邏輯解算器：Tricon（2oo3）。

執行機構：EMV103/XV7101（2oo2）。

根據表3和表4要求，結構約束為SIL1。

傳感器子系統中的兩個電接點液位計做二取一（1oo2）邏輯，再與3 個壓差液位計三取中組合成二取二（2oo2）模式作為該聯鎖觸發條件。

綜上所述，上述兩種將鍋爐液位高高聯鎖回路的傳感器子系統變更的方案從結構約束和失效率的角度均能符合要求，并且可靠性要比原變更方案高。

3 評估結果及建議

3.1 SIL評估結果

通過對鍋爐液位高高聯鎖停爐的HAZOP 分析、LOPA分析、SIL 定級、SIL 驗證以及其他可行性方案的研究，可得到如下結論：鍋爐液位高高聯鎖停爐回路應為SIL1 級。因鍋爐水質變化引起的聯鎖誤動作，通過修改傳感器子系統的邏輯無法解決根本問題，通過變更方案可行性研究，將傳感器子系統由2oo3 結構變更為2oo2 或者其他結構后，該SIF 的SIL 等級雖然仍然為SIL1 級，但必然會降低部分該聯鎖的可靠性。因此，需要慎重選擇該聯鎖的變更方案。

3.2 SIL評估建議

本次聯鎖變更SIL 評估過程中將設備檢驗測試周期定為1年，在此基礎上進行評估驗證得出相應的結論。因此，在實際操作維護中應遵循該檢驗測試周期進行檢驗測試。檢驗測試時，應制定周密的檢驗測試方案，防止在檢驗測試過程中，由于誤操作、管線隔離不徹底等原因造成事故。聯鎖變更操作時亦應該制定詳細的施工方案，通知并對相關人員進行培訓，使相關人員掌握該聯鎖變更的具體情況，降低人為失誤帶來的系統失效風險。

通過采用HAZOP+SIL 評估可以避免聯鎖變更的盲目性，選擇較為穩妥的變更方案，確保功能安全的可靠性得到有效保障。