★張振秀（中國石油哈爾濱石化公司，黑龍江哈爾濱150056）

★董偉東（北京安穩(wěn)優(yōu)自動化技術有限公司，北京102200）

摘要：隨著生產(chǎn)安全的重視程度不斷提升，安全儀表系統(tǒng)的應用日益廣泛，石化裝置中安全儀表功能的安全完整等級分析評估技術應用已逐步推廣。本文簡述了安全儀表系統(tǒng)全生命周期管理和安全完整性等級分析評估的技術路線，并以石化裝置常見的精餾塔為例，完整剖析了安全完整性等級分析評估的方法實踐。

關鍵詞：安全儀表；安全完整性等級；保護層分析；安全完整性等級分析

1 安全儀表全生命周期管理

生產(chǎn)過程的安全進行，都依賴于一套完善的管理系統(tǒng)。對于安全儀表系統(tǒng)，采用特定的安全儀表全生命周期管理能確保達到其功能安全所必要的全部步驟，并且可證明已按適當?shù)拇涡蛲瓿闪诉@些步驟。安全儀表系統(tǒng)的功能安全評估是以IEC 61508/IEC 61511標準作為指導的，這個標準介紹了安全功能管理的全過程，在GB/T-21109中所提及的安全儀表全生命周期管理可分為三個階段^[1]：

（1）風險分析

（2）設計和工程實施

（3）操作和維護

其中，風險分析階段包含工藝過程危險定性分析、安全儀表功能（Safety Instrumented Function，SIF）識別、安全完整性（Safety Integrity Level，SIL）等級確定，以及安全儀表規(guī)格書（Safety Requirement Specification）編制。

1.1 安全儀表系統(tǒng)（SIS）與安全儀表功能（SIF）

安全儀表系統(tǒng)(Safety Instrumented System,SIS）也稱為安全聯(lián)鎖系統(tǒng)（Safety Interlocks）、緊急停車系統(tǒng)（Emergency Shutdown System,Emergency Shutdown Device, ESD）等。它是由傳感器、邏輯控制器和最終控制元件組成，當系統(tǒng)預定的過程條件或狀態(tài)出現(xiàn)背離時，可將過程置于安全的狀態(tài)，或者將危險以及損失降低到最小，保證設備、財產(chǎn)、人員以及環(huán)境的安全。其結構如圖1所示。

圖1 安全儀表系統(tǒng)結構

對于SIF的概念，IEC 61511將其定義為：由SIS執(zhí)行的、具有特定安全完整性等級（Safety Integrity Level，SIL）的安全功能，是從功能的角度去定義的。安全儀表功能既包括安全儀表保護功能，也包括安全儀表控制功能。SIF的最根本特征是“應對特定的危險事件”并實現(xiàn)必要的風險降低。SIF是在過程危險和風險分析中辨識出來的，并根據(jù)必要的風險降低要求，確定其SIL要求，因此，SIF是進行SIL評估的基礎。

1.2 安全完整性等級SIL

安全完整性反映了SIS執(zhí)行SIF時，在規(guī)定的狀態(tài)和時間周期內(nèi)，圓滿完成SIF的績效能力和可靠性水平。IEC 61508將SIL定義為四個等級，即SIL1到SIL4。IEC 61511作為IEC 61508在過程工業(yè)領域的分支標準，保持了SIL1到SIL4的四個等級劃分，不過，除了極罕見的特殊應用，在過程工業(yè)一般的應用場合，SIL3是其最高級。表1給出了每一個等級對應的概率區(qū)間，采用低要求操作模式（PFDaverage）和高要求操作模式（PFDperhour）兩種。

表1 安全完整性等級要求(SIL)

安全完整性等級貫穿于安全儀表系統(tǒng)生命周期的始終，不僅是安全性能的度量標準，還是安全生命周期中的主線，將各個階段聯(lián)系起來，使得安全儀表系統(tǒng)整體在安全生命周期這個大框架下的所有活動能夠具有良好的一致性。

1.3 定期檢測與維護

對于安全儀表的檢測維修，國內(nèi)外的化工廠存在諸多差異。自1996年美國儀器儀表協(xié)會頒布ANSI/ISA-S84.01以來，西方各國的安全儀表系統(tǒng)及維護管理有了大幅發(fā)展。各工廠內(nèi)儀表失效率數(shù)據(jù)庫及相關配套系統(tǒng)相對完善，儀表工程師可以將每個儀表的檢修周期進行進一步的精確，有效提高了安全儀表系統(tǒng)的可靠性。國內(nèi)的石化企業(yè)儀表測試維修大部分在裝置大檢修時進行且維護水平一般，長時間運行儀表及閥門的可靠性必然會有所下降，裝置的誤停車率也會增加。為解決此類問題，首先應當結合企業(yè)自身生產(chǎn)一線數(shù)據(jù)及經(jīng)驗，建立符合企業(yè)自身的失效率數(shù)據(jù)庫；其次應當對化工廠工藝及儀表人員進行安全儀表專業(yè)培訓，將功能安全的理論應用到實際生產(chǎn)及管理當中。

2 SIL分析評估

安全儀表系統(tǒng)SIS（Safety Instrumented System）在GB/T-21109中的定義為用于執(zhí)行一個或多個安全儀表功能SIF（Safety Instrumented Function）的儀表系統(tǒng)，即當危險事件發(fā)生時，安全儀表系統(tǒng)可將生產(chǎn)裝置通過預設的安全儀表功能導入既定的安全狀態(tài)，從而保證人員生命、環(huán)境及財產(chǎn)安全。因其具有高可靠性、高靈敏度的特點，在人們陸續(xù)的生產(chǎn)實踐中被廣泛使。功能安全評估的目的在于確定過程安全所需的安全儀表功能，并確定其相關性能（SIL等級）。GB/T-21109中列出了半定量方法、安全層矩陣法、保護層層分析（LOPA）等方法。國內(nèi)功能安全評估目前以保護層分析（LOPA）和安全層矩陣法兩種分析方法為主，保護層分析法的優(yōu)勢在于對初始事件（IE）的討論較為詳細，適合復雜場景的SIL定級，安全矩陣法對后果討論的較多，適合初始事件較少的場景。

以保護層分析法為例功能安全評估的步驟如下：

（1）確定工作范圍及目標；

（2）根據(jù)國家或地方標準制定可接受風險基準；

（3）根據(jù)儀表安全功能或設計目的，篩選待評估場景及后果；

（4）確定初始事件（IE）確定發(fā)生頻率；

（5）識別獨立保護層（IPL），并確定各保護層平均失效概率（PFD）；

（6）計算場景頻率，確定風險降低因子；

（7）確定目標SIL等級要求并提出建議措施。

2.1 初始事件（IE）的確定

初始事件的選擇直接關系到最終的SIL等級，初始事件可分為三大類：外部事件、設備失效、人的失效，在確定初始事件時應當結合各裝置實際情況。即使不同地區(qū)的相同裝置，其初始事件選擇和頻率也會有差異。對于一些復雜的原因，應當將其拆分成數(shù)個離散的失效事件作為初始事件，例如循環(huán)水中斷，可能是由循環(huán)水泵故障、控制回路失效等引起的，不同的初始事件對應不同的獨立保護層。

2.2 獨立保護層（IPL）的識別

LOPA已經(jīng)成為確定安全儀表完整性水平十分成熟的一種方法，依據(jù)初始原因?qū)蠊脑瓌t展開分析，其核心任務就是識別場景中的獨立保護層IPL（Independent Protection Layer），獨立保護層的選取和判定需要遵循以下幾個原則：

專一性：只被設計用來防止或減輕一個潛在的危險事件的后果，由于多種原因都可能導致同一危險事件，因此，多個事件情景都可由一個IPL來啟動動作。

獨立性：IPL應獨立于初始事件的發(fā)生及其后果；應獨立于同一危險場景中的其他獨立保護層。

有效性：應能檢測到響應的條件；在有效的時間內(nèi)，應能及時響應；在可用的時間內(nèi)，應有足夠的能力采取所要求的行動；應滿足所選擇的PFD的要求。

可審核性：應有可用的信息、文檔和程序可查，以說明保護層的設計、檢查、維護、測試和運行活動能夠使保護層達到獨立保護層的要求。

獨立保護層可以是一個裝置或系統(tǒng)，無論初始事件或其他的保護層是否動作，都應有效地阻止嚴重后果的發(fā)生。獨立保護層的有效性根據(jù)保護層平均失效概率（PFDavg）進行量化，PFD介于0到1之間，數(shù)值越小失效率就越低，保護能力就越強。

2.3 安全完整性等級驗算

安全完整性驗證是對已經(jīng)確定等級的安全儀表功能是否能達到所需的SIL等級進行理論計算。常用的SIL驗證方法包括簡化方程式法、馬爾科夫矩陣法和故障樹分析法。驗證結果包括但不限于平均失效概率（PFDavg）和平均誤停車時間間隔（MTTFs）。

3 石化裝置SIL分析評估示例

以圖2所示精餾塔為例，該精餾塔原預設聯(lián)鎖塔底液位低低關塔底出料閥并停外送泵，以此為風險場景，進行SIL分析評估。

圖2 精餾塔流程圖

首先，對塔底液位低低聯(lián)鎖進行SIL定級分析：

（1）確定設計目的：該聯(lián)鎖的設計目的為防止外送泵抽空損壞，物料泄漏及潛在的火災爆炸風險。

（2）確定事故初始事件及發(fā)生頻率：塔底液位控制失效，0.1次/年。

（3）識別獨立保護層：離心泵雙端面密封設計，可降低離心泵抽空損壞后物料泄漏的風險，0.1。精餾塔塔底液位低報警，0.1。以巡檢頻率為參考的人員占空比，0.25。

根據(jù)GB 36894危險化學品生產(chǎn)裝置和儲存設施風險基準，發(fā)生火災爆炸事故造成1人死亡，可接受的風險基準為10-5/年。經(jīng)過計算，該場景所需聯(lián)鎖等級為SIL 1。

通過馬爾科夫矩陣，以行業(yè)內(nèi)通用數(shù)據(jù)進行SIL驗證。

對精餾塔底液位低低進行SIL驗證，精餾塔液位傳感器為1oo1，SIL2認證；邏輯控制器采用Tricon系統(tǒng)，SIL3；出料泵入口切斷閥，無SIL認證。

經(jīng)建模計算可得該SIF回路的平均失效概率PFDavg為1.26*10-2，平均誤停車時間間隔MTTFs為72.71年可滿足該場景的風險需求。

4 總結

經(jīng)過十多年的發(fā)展，國內(nèi)的安全儀表系統(tǒng)設計已有長足進步，國家標準日趨完善，但是仍和西方國家存在一定的差距。為了彌補這些差距，首先可以借鑒西方先進的安全管理經(jīng)驗，提高安全儀表系統(tǒng)的管理水平；其次應當從自身出發(fā)，在配備符合要求的安全儀表系統(tǒng)的前提下，建立健全失效率數(shù)據(jù)庫，提高儀表維護水平；并在此基礎上按時進行功能安全評估，及時發(fā)現(xiàn)潛在的安全隱患，采取相應措施進行優(yōu)化和升級、增強企業(yè)安全生產(chǎn)意識，促進企業(yè)安全平穩(wěn)運行。

作者簡介：

張振秀（1970-），男，黑龍江哈爾濱人，高級工程師，學士，現(xiàn)就職于中國石油哈爾濱石化公司，研究方向是石油化工工藝過程與安全。

參考文獻：

[1] 張建國. 安全儀表系統(tǒng)在過程工業(yè)中的應用[M]. 北京: 中國電力出版社, 2010.6

[2] CCPS. Layer of Protection Analysis-Simplified Process Risk Assessment[M]．New York: WiIey,2001.

[3] 殷衛(wèi)兵, 左信, 保護層分析中獨立保護層的識別與應用[J], 化工自動化及儀表, 2015, 42 (2) : 436 - 439.

[4] Wei C Y, Rogers W J, Mannan M S, Layel of Protection Analysis for Reactive Chemical Risk Assessment, [J]. Journal of Hazardous Materials,2008, 159 (1) : 19 - 24．

[5] Markowski AS, Mannan M S. ExSys-LOPA for the Chemical Process Industry[J], Journal of Loss Prevention in the Process Industries, 2010, (23) : 688 - 696

[6] 昊重光, 張貝克, 馬昕. 過程工業(yè)安全設計的防護層分析(LOPA)[J]．石油化工自動化, 2007, 43 (4) : 1 - 3.

摘自《自動化博覽》2022年11月刊