黃會(huì)偉 袁印實(shí) 史玉穎

(1.中國(guó)寰球工程公司，北京 100012；2.北京化工大學(xué)，北京 100029)

安全完整性等級(jí)(Safety Integrity Level，SIL)評(píng)價(jià)技術(shù)最初源于英荷殼牌石油公司在對(duì)下屬各煉廠的管理技術(shù)進(jìn)行深入總結(jié)后，提出的儀表安全功能和完整性等級(jí)要求的相關(guān)概念。1996年美國(guó)頒布ANSI/ISA S84.01-1996國(guó)家標(biāo)準(zhǔn)，用于指導(dǎo)安全聯(lián)鎖系統(tǒng)的設(shè)計(jì)，該標(biāo)準(zhǔn)于2003年被國(guó)際電工學(xué)會(huì)采納，并收入到新推出的流程工業(yè)安全聯(lián)鎖系統(tǒng)的功能安全標(biāo)準(zhǔn)IEC61511-2004中。由于其在流程工業(yè)安全聯(lián)鎖系統(tǒng)的功能安全方面的作用，2004年先后被美國(guó)、歐盟、新加坡及挪威等國(guó)采納為國(guó)內(nèi)標(biāo)準(zhǔn)，我國(guó)與IEC61511對(duì)應(yīng)的標(biāo)準(zhǔn)本地化工作于2007年完成[1]。安全完整性等級(jí)評(píng)價(jià)是以安全儀表系統(tǒng)為對(duì)象，以實(shí)現(xiàn)裝置安全生產(chǎn)為目的，研究安全儀表系統(tǒng)的可靠性，保障裝置安全、長(zhǎng)周期運(yùn)行的分析技術(shù)，目前國(guó)內(nèi)SIL等級(jí)分析的標(biāo)準(zhǔn)和方法主要是參照IEC61508及IEC61511等國(guó)際標(biāo)準(zhǔn)編制的[2，3]。近年來(lái)，SIL評(píng)價(jià)技術(shù)作為一種工藝安全管理的重要方法，在國(guó)內(nèi)石油化工行業(yè)中被推廣應(yīng)用，SIL分析技術(shù)在裝置的全生命周期都發(fā)揮著重要作用，尤其在提高新建裝置的安全儀表可靠性及裝置本質(zhì)安全設(shè)計(jì)水平等方面起著重要作用[4]。

常壓儲(chǔ)罐是油品的主要儲(chǔ)存設(shè)備，其安全性和經(jīng)濟(jì)性深得關(guān)注[5]，在儲(chǔ)罐服役過(guò)程中，由于儲(chǔ)存各種有害的、腐蝕性介質(zhì)而導(dǎo)致的安全運(yùn)行問(wèn)題也日益凸顯[6]。在此，筆者將以某汽油儲(chǔ)罐的一路超壓保護(hù)安全儀表系統(tǒng)為例，從風(fēng)險(xiǎn)管理的角度出發(fā)，給出采用風(fēng)險(xiǎn)圖表法進(jìn)行安全完整性等級(jí)分析的后果參數(shù)、暴露參數(shù)、避免參數(shù)和需求參數(shù)的賦值方法，并結(jié)合保護(hù)層分析對(duì)完全完整性等級(jí)進(jìn)行核算，最終確定其所需的安全完整性等級(jí)。

1 SIL分析技術(shù)綜述①

1.1 SIL定義

按照IEC61511的定義，安全儀表系統(tǒng)是由傳感器、邏輯控制器和執(zhí)行器組成，并能行使一項(xiàng)或多項(xiàng)安全儀表功能的儀表系統(tǒng)，是一種自動(dòng)安全保護(hù)系統(tǒng)，它已發(fā)展成為工業(yè)自動(dòng)化的重要組成部分。

SIL是指規(guī)定分配給安全儀表系統(tǒng)的安全功能的完整性要求，其要求是有根據(jù)的，必須先對(duì)相關(guān)的安全系統(tǒng)所針對(duì)的危險(xiǎn)點(diǎn)進(jìn)行風(fēng)險(xiǎn)分析，提出安全完整性等級(jí)要求，再反過(guò)來(lái)對(duì)每個(gè)系統(tǒng)、每個(gè)構(gòu)成系統(tǒng)的組件、每個(gè)系統(tǒng)/子系統(tǒng)的構(gòu)成方式、每個(gè)系統(tǒng)的設(shè)計(jì)、調(diào)試、安裝和維護(hù)、對(duì)系統(tǒng)的驗(yàn)證與評(píng)價(jià)以及操作人員的操作資質(zhì)等提出安全完整性的要求[7]。參照IEC61511-3的規(guī)定，根據(jù)所要求的平均故障概率將其分成從1～4的離散等級(jí)(表1)，SIL1具有最低的安全完整性等級(jí)，SIL4具有最高的安全完整性等級(jí)。

表1 儀表安全完整性等級(jí)劃分

1.2 分析過(guò)程

進(jìn)行SIL分析時(shí)，首先選定在聯(lián)鎖邏輯圖和危險(xiǎn)與可操作性(Hazard and Operability Analysis，HAZOP)新增加的建議措施中出現(xiàn)的SIS控制回路，并描述其安全儀表功能；其次分析需要安全儀表功能發(fā)揮作用時(shí)可能會(huì)出現(xiàn)的工藝偏離工況，然后根據(jù)該偏離工況發(fā)生時(shí)對(duì)人身安全、環(huán)境和資產(chǎn)產(chǎn)生的影響，對(duì)后果參數(shù)、暴露參數(shù)、避免參數(shù)和需求參數(shù)進(jìn)行賦值，根據(jù)安全風(fēng)險(xiǎn)圖表、環(huán)境風(fēng)險(xiǎn)圖表和資產(chǎn)風(fēng)險(xiǎn)圖表分別判定安全儀表功能應(yīng)具備的個(gè)人安全完整性等級(jí)、環(huán)境完整性等級(jí)和資產(chǎn)完整性等級(jí)，最后利用保護(hù)層分析(Layer of Protection Analysis，LOPA)方法對(duì)SIL等級(jí)進(jìn)行核算，取其中最高等級(jí)值作為需求的完整性等級(jí)值。

在此，筆者以個(gè)人安全完整性等級(jí)評(píng)價(jià)為例進(jìn)行說(shuō)明，其環(huán)境完整性等級(jí)和資產(chǎn)完整性等級(jí)評(píng)價(jià)方法與之類似。

2 應(yīng)用風(fēng)險(xiǎn)圖表法進(jìn)行SIL等級(jí)評(píng)價(jià)

選取某企業(yè)汽油儲(chǔ)罐的一路超壓泄放安全儀表系統(tǒng)為分析對(duì)象。該安全儀表系統(tǒng)與基本過(guò)程控制系統(tǒng)(DCS)在功能上完全獨(dú)立。正常操作時(shí)，儲(chǔ)罐壓力由基于DCS的壓力控制回路控制出口氣相管線壓控閥的開(kāi)度來(lái)穩(wěn)定罐內(nèi)壓力。如果控制回路發(fā)生故障，閥門就會(huì)關(guān)閉，可能導(dǎo)致儲(chǔ)罐壓力升高；如果儲(chǔ)罐壓力高于或等于觸發(fā)聯(lián)鎖動(dòng)作的設(shè)定值，安全儀表系統(tǒng)將關(guān)閉汽油產(chǎn)品入口管線上的緊急切斷閥，防止儲(chǔ)罐超壓。另外，儲(chǔ)罐設(shè)有安全閥等緊急泄壓設(shè)備。

2.1 確定風(fēng)險(xiǎn)參數(shù)

2.1.1后果參數(shù)

后果參數(shù)是指由事故發(fā)生引起的致死和/或嚴(yán)重傷害的人數(shù)，通過(guò)計(jì)算事件發(fā)生時(shí)在暴露區(qū)域(受事件影響的區(qū)域占全廠的百分?jǐn)?shù))中的人數(shù)得出，并考慮致命率[8]。設(shè)：N為潛在危險(xiǎn)區(qū)域的人員數(shù)量，A為本課題研究中特定危險(xiǎn)區(qū)域面積占全廠面積的比例，V為致命率，筆者將后果參數(shù)的等級(jí)劃分列于表2。致命率V是由被保護(hù)環(huán)境的危險(xiǎn)性所決定的，致命率的取值與相應(yīng)的危險(xiǎn)性見(jiàn)表3。

在汽油產(chǎn)品罐區(qū)，一般安排兩名操作人員巡檢，罐區(qū)面積僅為全裝置區(qū)面積的13%。如果儲(chǔ)罐超壓，可能導(dǎo)致汽油產(chǎn)品泄漏，甚至是大范圍的泄漏，泄漏后形成的蒸氣云遇到明火可能發(fā)生爆炸，所以其后果參數(shù)C=N×A×V=2×13%×0.1=0.026，參照表2中的數(shù)值范圍，此處的后果參數(shù)取C2。

表2 后果參數(shù)等級(jí)劃分

表3 致命率取值與危險(xiǎn)性描述

2.1.2暴露參數(shù)

暴露參數(shù)指事故發(fā)生時(shí)，人員出現(xiàn)在暴露區(qū)域內(nèi)的概率，通過(guò)計(jì)算人員在暴露區(qū)域內(nèi)的時(shí)間與事件發(fā)生的時(shí)間的比值來(lái)確定，同時(shí)要考慮事故工況時(shí)前往現(xiàn)場(chǎng)查看的人員的暴露概率，這也可能增加致死和/或嚴(yán)重傷害的數(shù)量，暴露參數(shù)的等級(jí)劃分詳見(jiàn)表4，每名操作工一天在該罐區(qū)內(nèi)的停留時(shí)間約為20min，所以暴露參數(shù)F=20min/(24×60min)=0.013。參照表4的數(shù)值范圍，某企業(yè)汽油儲(chǔ)罐的暴露后果參數(shù)取F1。

表4 暴露參數(shù)等級(jí)劃分

2.1.3避免參數(shù)

避免參數(shù)指儀表功能故障時(shí)，工作人員可以避免危險(xiǎn)的概率，這取決于是否能夠運(yùn)用獨(dú)立的方法在危險(xiǎn)事故發(fā)生之前預(yù)警操作人員，并且要求操作人員掌握正確的逃生方式。避免參數(shù)等級(jí)劃分見(jiàn)表5。一般情況下，只有在滿足以下所有前提假設(shè)條件時(shí)，才可以選擇P1：

a. 在SIS保護(hù)已經(jīng)故障失效時(shí)，還有設(shè)施保證向操作人員發(fā)出警報(bào)；

b. 有獨(dú)立的設(shè)施可以實(shí)現(xiàn)停車，以避免危險(xiǎn)的發(fā)生或能夠確保所有人員逃離到安全區(qū)；

c. 向操作人員發(fā)出警報(bào)與危險(xiǎn)事件發(fā)生之間的時(shí)間間隔超過(guò)30min。

實(shí)際操作中，安全儀表系統(tǒng)發(fā)生故障后，仍然可以通過(guò)儲(chǔ)罐上安裝的壓力報(bào)警裝置向操作人員發(fā)出警報(bào)，但是從操作人員得到報(bào)警至啟動(dòng)裝置安全停車的時(shí)間超過(guò)30min，因此避免參數(shù)取P2。

表5 避免參數(shù)等級(jí)劃分

2.1.4需求參數(shù)

需求參數(shù)是假定無(wú)安全儀表功能保護(hù)時(shí)事故的發(fā)生概率，也就是需要該安全儀表功能的頻率，需要考慮所有可能導(dǎo)致事故發(fā)生的故障工況。需求概率的定級(jí)是在考慮故障工況下(包括控制回路故障，如：DCS故障及閥門失效等；泵及風(fēng)機(jī)等設(shè)備故障，發(fā)生泄漏、破裂、爆炸及火災(zāi)等)需要該安全儀表系統(tǒng)使控制系統(tǒng)實(shí)現(xiàn)其功能的概率。在決定其數(shù)量級(jí)時(shí)，不考慮控制系統(tǒng)或其他保護(hù)層。需求參數(shù)等級(jí)劃分的范圍要根據(jù)裝置的特點(diǎn)和風(fēng)險(xiǎn)可接受程度，由SIL分析小組在進(jìn)行SIL分析之前確定。需求參數(shù)的等級(jí)劃分見(jiàn)表6。本項(xiàng)目中，根據(jù)IEC61511的規(guī)定，結(jié)合裝置特點(diǎn)和風(fēng)險(xiǎn)可接受程度，將需求參數(shù)劃分范圍定為W1≤0.03、0.030.30。其中W1表示每超過(guò)33年才需要該安全儀表系統(tǒng)發(fā)揮其功能一次，W2表示在3～33年這段時(shí)間里才需要該安全儀表系統(tǒng)發(fā)揮其功能一次，而W3則表示在不到3年的時(shí)間里就需要該安全儀表系統(tǒng)發(fā)揮其功能。

表6 需求參數(shù)等級(jí)劃分

對(duì)于該罐區(qū)內(nèi)的安全儀表系統(tǒng)，需要該回路在3～33年這段時(shí)間里才需要安全儀表系統(tǒng)發(fā)揮其功能一次，因此其需求參數(shù)確定為W2。

2.2 確定完整性等級(jí)

進(jìn)行賦值之后，后果參數(shù)取C2，暴露參數(shù)取F1，避免參數(shù)取P2，需求參數(shù)取W2，對(duì)應(yīng)風(fēng)險(xiǎn)圖表中的數(shù)值，初步確定安全儀表系統(tǒng)的安全完整性等級(jí)為SIL1，其中個(gè)人風(fēng)險(xiǎn)圖如圖1所示，圖中“…”表示沒(méi)有安全要求，a表示沒(méi)有特別的安全要求，b表示一個(gè)單獨(dú)的安全儀表系統(tǒng)不能滿足安全要求，1～4分別表示SIL1～SIL4的離散等級(jí)。

圖1 個(gè)人風(fēng)險(xiǎn)圖

3 利用保護(hù)層分析對(duì)SIL等級(jí)進(jìn)行適當(dāng)削減

保護(hù)層分析(LOPA)也是一種風(fēng)險(xiǎn)評(píng)估方法，首先分析未采取安全保護(hù)措施之前的風(fēng)險(xiǎn)水平，然后分析各種安全保護(hù)措施將風(fēng)險(xiǎn)水平降低的程度。進(jìn)行LOPA分析，既可以確定是否需要設(shè)置安全儀表系統(tǒng)來(lái)降低系統(tǒng)的風(fēng)險(xiǎn)，也可以確定增加的安全儀表系統(tǒng)的風(fēng)險(xiǎn)降低目標(biāo)。LOPA分析的思想，可以用一個(gè)“洋蔥”來(lái)形象地描述其模型[9,10]，每一層“洋蔥皮”就相當(dāng)于一個(gè)保護(hù)層，由于所有的“洋蔥皮”對(duì)內(nèi)核都起到獨(dú)立保護(hù)作用，因而“洋蔥”內(nèi)核遭受外侵的風(fēng)險(xiǎn)就會(huì)大幅下降。在對(duì)某個(gè)事故場(chǎng)景進(jìn)行保護(hù)層分析時(shí)，確定哪些保護(hù)層措施能夠起到預(yù)防事故的目的尤為重要[11,12]。LOPA設(shè)計(jì)流程如圖2所示。

圖2 LOPA設(shè)計(jì)流程

該汽油產(chǎn)品儲(chǔ)罐罐頂設(shè)有起到超壓保護(hù)作用的安全閥。經(jīng)核實(shí)安全閥的泄放量之后，確認(rèn)該安全閥可以滿足壓控閥全關(guān)引起的儲(chǔ)罐超壓工況，因此將安全閥的泄壓保護(hù)視為獨(dú)立的保護(hù)層設(shè)計(jì)。重新校核后，該回路的SIL等級(jí)由“SIL1”降為“a”，即在儲(chǔ)罐設(shè)有安全閥的情況下對(duì)安全儀表完整性無(wú)特殊要求。

4 結(jié)束語(yǔ)

安全儀表系統(tǒng)的安全評(píng)估對(duì)提高國(guó)內(nèi)石化行業(yè)的安全防護(hù)等級(jí)和安全層次非常重要。風(fēng)險(xiǎn)圖表法作為安全儀表系統(tǒng)完整性等級(jí)評(píng)價(jià)的一種常用方法，雖然得到了廣泛應(yīng)用，但是由于國(guó)內(nèi)石化行業(yè)內(nèi)沒(méi)有統(tǒng)一的風(fēng)險(xiǎn)接受標(biāo)準(zhǔn)以及后果嚴(yán)重性等級(jí)劃分尺度要求，所以某些人為客觀因素在一定程度上影響了SIL等級(jí)劃分的準(zhǔn)確性。另外，HAZOP分析已經(jīng)在國(guó)內(nèi)大中型石化企業(yè)得到推廣應(yīng)用，LOPA分析也已經(jīng)逐漸登上國(guó)內(nèi)工藝安全管理的舞臺(tái)，一個(gè)好的SIL等級(jí)評(píng)價(jià)應(yīng)當(dāng)以HAZOP的分析報(bào)告為輸入資料，以LOPA的分析結(jié)果為校正依據(jù)，進(jìn)行合理、科學(xué)、準(zhǔn)確的分析。