， ，

(中國五環(huán)工程有限公司，湖北 武漢 430223)

近年來，石化行業(yè)頻發(fā)重大安全事故，給人民群眾生命財產(chǎn)造成了重大損失，給社會發(fā)展造成了惡劣影響?？扇?有毒氣體的存在和泄漏是造成重大火災(zāi)、爆炸和人身傷害事故的主要因素之一，對化工生產(chǎn)裝置中可燃/有毒氣體的有效監(jiān)測和管控將預(yù)防事故的發(fā)生，或在事故發(fā)生后減輕事故造成的后果。

國家安全監(jiān)管總局(現(xiàn)已納入中華人民共和國應(yīng)急管理部)2014年11月發(fā)布的《關(guān)于加強(qiáng)化工安全儀表系統(tǒng)管理的指導(dǎo)意見》(安監(jiān)總管三〔2014〕116號文)提出：“化工安全儀表系統(tǒng)(SIS)包括安全聯(lián)鎖系統(tǒng)、緊急停車系統(tǒng)和有毒有害、可燃?xì)怏w及火災(zāi)檢測保護(hù)系統(tǒng)等”，將可燃/有毒氣體及火災(zāi)檢測保護(hù)系統(tǒng)納入了安全儀表系統(tǒng)的管理范疇，對可燃/有毒氣體及火災(zāi)檢測保護(hù)系統(tǒng)的設(shè)計、實施和管理提出了更高的要求，對安全儀表系統(tǒng)的一些傳統(tǒng)理念提出了挑戰(zhàn)。

1 火氣系統(tǒng)(FGS)

火災(zāi)報警和氣體檢測系統(tǒng)FGS(Fire Alarm and Gas Detection System，簡稱火氣系統(tǒng))將火災(zāi)報警系統(tǒng)FAS(Fire Alarm System)和氣體檢測報警系統(tǒng)GDS(Gas Detection System)有機(jī)地組合在一起。根據(jù)ISA-TR84.00.07定義，F(xiàn)GS是工業(yè)自動化和控制系統(tǒng)的子系統(tǒng)，用來檢測工業(yè)過程中危險物質(zhì)的泄漏并采取合適的措施來減緩泄漏事件產(chǎn)生的后果，可以直接通過探測器檢測現(xiàn)場泄漏氣體的濃度，或是根據(jù)泄漏的結(jié)果推算出來(比如燃燒時的熱輻射)。FGS可以檢測可燃?xì)怏w、毒性氣體、煙霧、火焰、聲發(fā)射、快速溫升等，檢測覆蓋率和能力取決于危險的場景。

FGS將傳統(tǒng)的消防系統(tǒng)的功能從火災(zāi)事故減輕擴(kuò)展到了火災(zāi)事故預(yù)防，動作時間從著火后提前到了著火前，大大提高了石化生產(chǎn)裝置的安全性[1]。

FGS由傳感器、邏輯控制器和最終元件組成。傳感器用于探測可燃?xì)怏w、毒性氣體或者火警，包括火焰探測器、感煙火災(zāi)探測器、感溫火災(zāi)探測器以及可燃/有毒氣體探測器，并配置手動報警措施；邏輯控制器通常采用常規(guī)PLC、安全PLC、FGS專用的PLC或者專用的FGS多回路控制器，用于檢測信號的處理和邏輯控制；最終元件用于聲光報警器、消防聯(lián)動、消防滅火系統(tǒng)甚至工藝裝置聯(lián)動停車等[1-4]。典型的FGS結(jié)構(gòu)組成見圖1。

圖1 典型的FGS結(jié)構(gòu)示意

一旦出現(xiàn)異常狀態(tài)，F(xiàn)GS將采取以下動作：①提供狀態(tài)報警；②將工藝過程置于安全狀態(tài)；③執(zhí)行預(yù)定動作，減輕危險事件的后果。

FGS作為一種將火災(zāi)報警與可燃/有毒氣體檢測集成的系統(tǒng)[8]，當(dāng)前國內(nèi)還沒有一個完整的、綜合性的設(shè)計規(guī)范。同時，國內(nèi)現(xiàn)行的一些標(biāo)準(zhǔn)規(guī)范和強(qiáng)制性產(chǎn)品認(rèn)證制度也給FGS的搭建帶來了一些困擾。拘于早期火災(zāi)報警器技術(shù)上的局限，GB 50116—2013《火災(zāi)自動報警系統(tǒng)設(shè)計規(guī)范》便對氣體探測器接入火災(zāi)報警器提出了限制。該規(guī)范的第8.1.2條規(guī)定：“可燃?xì)怏w探測報警系統(tǒng)應(yīng)獨立組成，可燃?xì)怏w探測器不應(yīng)接入火災(zāi)報警控制器的探測器回路；當(dāng)可燃?xì)怏w的報警信號需接入火災(zāi)自動報警系統(tǒng)時，應(yīng)由可燃?xì)怏w報警控制器接入”。

當(dāng)前FGS的典型構(gòu)成見圖2，其可靠性和經(jīng)濟(jì)性都有局限。

圖2 FGS典型構(gòu)成

較之FGS已在國外石化項目廣泛應(yīng)用，目前在國內(nèi)項目中的應(yīng)用并不普遍。但隨著技術(shù)的成熟、安全需求的提高，F(xiàn)GS在國內(nèi)項目的應(yīng)用已開始逐漸多了起來。如目前大型LNG項目中多數(shù)采用FGS。

2 FGS與安全儀表系統(tǒng)(SIS)

根據(jù)GB/T 21109.1—2007/IEC 61511-1：2003的定義，安全儀表系統(tǒng)SIS(Safety Instrument System)是實現(xiàn)儀表安全功能(SIF)的儀表系統(tǒng)，由傳感器、邏輯解算器和最終元件組成?？砂瑑x表安全控制功能，也可包含儀表安全保護(hù)功能，或包含這兩者。

SIS用于降低風(fēng)險，將風(fēng)險控制在可接受的范圍內(nèi)。對于過程工業(yè)領(lǐng)域而言，SIS主要執(zhí)行儀表安全保護(hù)功能。

GB/T 21109.1—2007/IEC 61511-1：2003中給出了過程工業(yè)領(lǐng)域中常見的典型風(fēng)險降低方法(見圖3)。

圖3 過程工業(yè)領(lǐng)域中常見的典型風(fēng)險降低方法

從圖3可以看出，SIS處于預(yù)防層和減輕層，用于預(yù)防危險事件的發(fā)生，或減小危險事件的后果。

FGS在可燃/有毒氣體泄漏時通過報警或聯(lián)鎖減少由于氣體泄漏而可能造成的更大的危險事件的發(fā)生，如爆炸、火災(zāi)或人員中毒等，在風(fēng)險降低方法中屬于典型的風(fēng)險減輕。在GB/T 21109.1—2007/IEC 61511-1：2003對“減輕”的定義中，也將“根據(jù)已證實的著火或氣體泄漏的檢測所采取的緊急減壓”作為“減輕”的示例。

FGS與SIS在過程工業(yè)領(lǐng)域中均起著風(fēng)險降低的作用，對化工生產(chǎn)裝置的安全保障至關(guān)重要。由此也就不難理解安監(jiān)總管三〔2014〕116號文中將FGS納入安全儀表系統(tǒng)進(jìn)行管理的要求。

根據(jù)安全儀表系統(tǒng)相關(guān)術(shù)語的定義，當(dāng)生產(chǎn)裝置出現(xiàn)異常時，SIS通過儀表系統(tǒng)的作用將生產(chǎn)裝置置于安全狀態(tài)或減輕其后果。也就是說，F(xiàn)GS并非完全等同于SIS，只有具有儀表安全功能(SIF)的FGS才是SIS。對參與工藝裝置聯(lián)動的FGS應(yīng)按照安全儀表系統(tǒng)的相關(guān)規(guī)范進(jìn)行設(shè)計、實施和管理[5，6]。

在安監(jiān)總管三〔2014〕116號文宣講中，主要起草人員也反復(fù)強(qiáng)調(diào)，該文并不是說所有FGS都是安全儀表系統(tǒng)，而是強(qiáng)調(diào)對“有毒有害、可燃?xì)怏w及火災(zāi)檢測保護(hù)系統(tǒng)”應(yīng)根據(jù)安全儀表系統(tǒng)的相關(guān)規(guī)范進(jìn)行安全完整性等級(SIL)分析定級，并根據(jù)分析結(jié)果進(jìn)行設(shè)計和管理。

3 FGS與ESD

在傳統(tǒng)觀念中，石油化工企業(yè)中的SIS往往特指緊急停車系統(tǒng)ESD(Emergency shutdown)。從前面的分析可以看出，F(xiàn)GS也可以和ESD一樣具有安全功能，是安全儀表系統(tǒng)(SIS)的一個重要應(yīng)用領(lǐng)域，但FGS與ESD存在較多的差異。

3.1 預(yù)防層與減輕層

ESD既可以實現(xiàn)預(yù)防層的功能，也可以實現(xiàn)減輕層功能。當(dāng)生產(chǎn)裝置出現(xiàn)異常時，ESD將生產(chǎn)裝置置于安全狀態(tài)，預(yù)防危險事件的發(fā)生，同時，ESD還可以在危險事件發(fā)生后，減小事件的后果，實現(xiàn)減輕層的功能。而FGS只在危險事件(氣體泄漏)發(fā)生后起作用，減輕事件發(fā)生的后果，實現(xiàn)減輕層的功能。

圖4所示場景一為ESD典型的預(yù)防層功能應(yīng)用。本場景中，如果合成氨裝置的冷氨產(chǎn)品泵出現(xiàn)故障，出口流量過低，導(dǎo)致冷氨產(chǎn)品泵吸入口的常壓氨分離器液氨滿液，并有可能流入氨壓縮機(jī)，導(dǎo)致壓縮機(jī)損壞。

正常時1臺冷氨產(chǎn)品泵運(yùn)行，當(dāng)檢測到冷氨產(chǎn)品泵出口壓力低低(PSLL-001)或常壓氨分離器液位高高(LSHH-001)時，啟動冷氨產(chǎn)品備用泵，將常壓氨分離器液位置于正常狀態(tài)，預(yù)防液氨流入氨壓縮機(jī)事故的發(fā)生，保障生產(chǎn)裝置安全運(yùn)行。在SIL分析定級時，該SIF回路的SIL等級通常要求為SIL1，由ESD實現(xiàn)。

圖4 場景一

圖5所示場景二則為ESD典型的減輕層功能應(yīng)用。如果合成氨裝置中甲烷化反應(yīng)器溫度超高，導(dǎo)致反應(yīng)器破裂，持續(xù)釋放可燃介質(zhì)(H2和CH4)以及有毒介質(zhì)CO，可能導(dǎo)致現(xiàn)場燃爆和人員中毒。

圖5 場景二注：X代表A/B/C共3套

當(dāng)檢測到甲烷化反應(yīng)器溫度高高(TSHH-001X，TSHH-002X，TSHH-003X)，ESD將聯(lián)鎖關(guān)閉甲烷化反應(yīng)器入口閥(MOV-001和XV-001)，打開工藝氣放空閥(PV-001)，防止事故的蔓延，同時聯(lián)鎖停止合成氣壓縮機(jī)和氨壓縮機(jī)運(yùn)行，停止裝置的運(yùn)行，減輕事故的后果。

通常在SIL分析定級時，該SIF回路的SIL等級要求為SIL2。

場景二中，當(dāng)可燃介質(zhì)(H2和CH4)以及有毒介質(zhì)CO泄漏時，F(xiàn)GS通過報警裝置通知相關(guān)人員及時處理，預(yù)防火災(zāi)和人員中毒事件的發(fā)生。也可啟動消防聯(lián)動裝置(自動噴水滅火系統(tǒng)或氣體/泡沫滅火系統(tǒng))，在火災(zāi)發(fā)生時，及時滅火，減輕事故發(fā)生的后果。即使FGS不啟動消防聯(lián)動裝置，但觸發(fā)聲光報警，也能實現(xiàn)減輕層中“操作員監(jiān)督”的功能，因為通過迅速將現(xiàn)場人員從危險區(qū)域撤離和實施其他應(yīng)急處理措施，能減輕人員傷害和事故后果的擴(kuò)大或蔓延。此時FGS實現(xiàn)了減輕層的功能。

3.2 故障安全型與非故障安全型

ESD通常為故障安全型。ESD系統(tǒng)正常時是勵磁的，失電時非勵磁，自動將生產(chǎn)裝置置于預(yù)設(shè)定的安全狀態(tài)或停車。因此，要求所有的現(xiàn)場回路均具有斷路、短路、接地故障等檢測功能。

而FGS通常為非故障安全型。FGS系統(tǒng)正常時是非勵磁的(即得電執(zhí)行動作)。研究表明，很多意外事故發(fā)生在停車期間。FGS系統(tǒng)被設(shè)計用于保護(hù)設(shè)備和人員，這些系統(tǒng)的誤操作有可能損害某些設(shè)備單元并且甚至可能造成傷亡，因此要求FGS輸出信號為非故障安全型，以防止設(shè)備故障或失電時自動觸發(fā)報警和聯(lián)鎖。

3.3 確定性與不確定性

ESD對工藝過程具有已知的因果關(guān)系，可以檢測到危險產(chǎn)生的原因，并使工藝過程達(dá)到安全狀態(tài)。ESD所針對的工藝對象往往是易檢測的，如工藝物料的溫度、壓力、物位、流量等，采取的措施是有效的，如通過控制閥控制溫度、壓力等。決定安全完整性等級的因素往往是儀表的本身，因此，ESD的安全完整性等級(SIL)可依據(jù)直接的(包括傳感器、邏輯解算器以及最終元件)平均失效概率(PFDavg)計算。

而FGS具有不確定性。FGS的安全功能更多地取決于現(xiàn)場條件而不是控制系統(tǒng)。比如，探測器布置的覆蓋率、布置位置是否合理將影響泄漏氣體的檢測率；現(xiàn)場條件，如風(fēng)向、氣壓等會影響FGS對泄漏氣體的探測效果；減輕措施的有效性，如消防聯(lián)動設(shè)施的設(shè)置、處置預(yù)案的優(yōu)劣、現(xiàn)場人員的素質(zhì)等將影響FGS的減輕效果等[7]。

4 FGS的有效性和安全完整性等級

FGS作為工廠風(fēng)險降低措施之一，與安全儀表系統(tǒng)一樣具有安全功能，同樣也應(yīng)具有與安全儀表系統(tǒng)一樣的安全完整性和有效性的需求[8，9]。然而，基于以下因素，傳統(tǒng)的風(fēng)險分析方法很難應(yīng)用于FGS。事實上，目前我們從事的工程項目在進(jìn)行Hazop審查和SIL定級評估時也沒有涉及到FGS。

(1)傳統(tǒng)的分析方法適合于當(dāng)工藝過程偏離正常操作而引起的危險。這些工藝過程具有已知的因果關(guān)系，安全儀表系統(tǒng)可以檢測到危險產(chǎn)生的原因，并使工藝過程達(dá)到安全狀態(tài)。FGS用于減輕由于氣體泄漏而造成的風(fēng)險，由于前述的不確定性，需采用高級風(fēng)險分析技術(shù)，諸如給定場景中氣體或火災(zāi)擴(kuò)散模型等。

(2)FGS不能預(yù)防危險的發(fā)生，只能減輕危險的嚴(yán)重程度而不是消除它。典型的危險和風(fēng)險分析是辨識風(fēng)險并消除可能引起的后果。

(3)受探頭覆蓋率和減輕措施的有效性的影響，再好的設(shè)計和管理，F(xiàn)GS的風(fēng)險減輕效果也是有限的。

目前一些國際或國外的標(biāo)準(zhǔn)規(guī)范對FGS或GDS的有效性和安全完整性等級提出了要求。

ISA-TR84.00.07-2010主要針對FGS的有效性，說明了FGS的風(fēng)險分析方法，并對FGS的安全生命周期提出了要求。

BS EN 50402：2017則主要針對GDS的安全完整性等級(SIL)的需求，提出了SIL能力(SIL-capability)的概念。與IEC 61508相對應(yīng)，該規(guī)范將GDS的SIL能力分為從1～3三個等級，并針對不同的SIL能力需求，從采樣、信號采集、信號處理、電源、冗余、診斷等各個方面對GDS的組成提出了要求。

5 結(jié)語

GDS或FGS是保障石油化工生產(chǎn)裝置安全的一個重要環(huán)節(jié)，處于過程工業(yè)領(lǐng)域中常見的典型風(fēng)險降低方法中的減輕層，功能上與安全儀表系統(tǒng)有一定的重合，同樣具有有效性和安全完整性等級的需求。因此，我們在功能需求定義、設(shè)計、安裝、維護(hù)時應(yīng)充分考慮系統(tǒng)的有效性和安全完整性等級，強(qiáng)調(diào)安全生命周期的管理，真正發(fā)揮其應(yīng)有的作用。