基于SIL定級技術(shù)在液氨罐區(qū)的應(yīng)用研究

呂永輝

(浙江醫(yī)藥股份有限公司，浙江 紹興 312000)

能源、基礎(chǔ)原材料、醫(yī)藥等化工行業(yè)，具有易燃易爆、有毒有害、高溫高壓、反應(yīng)過程復(fù)雜、反應(yīng)周期長等特點，這些因素導致出現(xiàn)安全事故的可能性較大。因此評估一些事故發(fā)生的可能性和后果，使用合理的保護層來削減事故發(fā)生的可能性，對提升企業(yè)的安全生產(chǎn)有很大的作用。隨著中國對安全的重視，對化工行業(yè)的安全生產(chǎn)提出了一系列的重大舉措，完善了化工行業(yè)所存在的各種安全管理漏洞。不合理的定級方法會導致安全完整性等級(SIL)偏高或偏低。SIL等級偏低，會導致保護層未能有效地覆蓋住風險，仍然存在高于可接受標準的風險；SIL等級偏高，會導致企業(yè)必須采購高SIL等級的元器件，無形中給企業(yè)增加了成本。由此可見，準確、合理的定級方法是非常重要的。本文以液氨罐區(qū)為例，通過HAZOP分析，識別出系統(tǒng)所有潛在的風險場景，確保識別出工藝生產(chǎn)過程中的潛在風險并將其降低到合理水平內(nèi)。

1 定級流程

1.1 安全完整性等級

國際電工技術(shù)委員(IEC)發(fā)布的IEC61508和IEC61511標準建立了安全儀表系統(tǒng)(SIS)的管理體系，是安全系統(tǒng)在過程工業(yè)領(lǐng)域的指導性規(guī)范。在IEC61511中將SIS定義為用于執(zhí)行一個或多個安全儀表功能(SIF)的儀表系統(tǒng)[1-2]。SIS是由傳感器、邏輯控制器和執(zhí)行器三部分構(gòu)成[3]。其中，SIF被定義為由SIS執(zhí)行的、具有特定SIL等級的安全功能，用于應(yīng)對特定的危險事件，達到或保持過程的安全狀態(tài)。

SIL在IEC61508中的定義為在規(guī)定的條件下、規(guī)定的時間內(nèi)，安全相關(guān)系統(tǒng)成功實現(xiàn)所要求的安全功能的概率。IEC61511將SIF的操作模式分為要求操作模式(demand model of operation)和連續(xù)操作模式(continuous mode of operation)。要求操作模式與連續(xù)操作模式的區(qū)別主要是SIS聯(lián)鎖動作需求頻率的不同。要求操作模式的SIS聯(lián)鎖系統(tǒng)動作需求的頻率低于1次/a，而連續(xù)操作模式的頻率高于1次/a。對于化工這類流程工業(yè)中，SIS等系統(tǒng)在正常情況下，每年安全功能被執(zhí)行的次數(shù)是不會超過1次的，采用要求操作模式。SIL等級劃分見表1所列[4-5]。

表1 SIL等級劃分

1.2 SIL定級的意義

風險矩陣是一種將定性或半定量的后果分級與產(chǎn)生一定水平的危險或風險等級的可能性相結(jié)合的方式。通常，各個企業(yè)都會根據(jù)IEC61511的建議并結(jié)合企業(yè)內(nèi)部的情況，確定可能性和后果嚴重性，建立符合自身的風險矩陣。通過風險矩陣，可以確定哪些風險會出現(xiàn)在可接受范圍外，采取一定的措施使發(fā)生特定事故的概率控制在能接受的頻率內(nèi)，措施包括基本控制、重要報警及人員干涉/調(diào)整及自動防護層。SIL定級的意義就是在基本控制與重要報警及人員干涉無法滿足保護層的需求時，來確定SIS中SIF回路相應(yīng)的級別，以用于覆蓋保護層不夠的風險，如圖1所示[6]。

圖1 SIL定級的意義

通常一種工藝自身所存在的風險，稱為工藝風險；根據(jù)法律、法規(guī)等的規(guī)定明確可接受風險的目標，稱為可接受風險。如果工藝風險高于可接受風險，則整個系統(tǒng)需要通過其他非SIS的預(yù)防、SIS保護層可覆蓋的部分風險、其他保護層可覆蓋的部分風險等保護層，從而使系統(tǒng)的工藝風險降低到可接受風險。即使存在的風險有各種不同的保護層來抵抗，但是整個系統(tǒng)仍然會有剩余的風險，由于剩余風險遠小于可接受風險，可認為已經(jīng)達到了安全的狀態(tài)。

1.3 SIL定級流程

通常SIL等級的確定，需要通過做保護層分析(LOPA)的方法[7-8]，這是一種半定量的分析評估技術(shù)，也是IEC61511中推薦的方法，具體的分析流程如圖2所示。首先，需要確定所需的風險矩陣，才能篩選出可接受的標準；其次通過HAZOP分析的方法，選取危險場景后，對每個辨識出的危險，用圖表列出其觸發(fā)原因；最后通過不同的數(shù)據(jù)可得到初始原因的發(fā)生頻率。根據(jù)工廠多層保護模型列出防護措施，或者抑止其危險后果的減災(zāi)措施。評估每一個觸發(fā)原因?qū)е碌暮蠊麌乐匦?，得到可接受風險，并對觸發(fā)事件的發(fā)生概率、修正值(包括暴露概率、使用率、點燃概率等)、獨立保護層的削減概率等值用數(shù)學的計算來評估風險的水平[9]。如果工藝風險仍然大于可接受風險，則需要計算出SIF回路的SIL等級來覆蓋，也就是評估回路的失效概率，來確保所有的保護層在特定場景下的風險能降低到可接受風險標準的水平。在確認SIL等級后，通常會做一個敏感性分析，用來測試有沒有可能新增簡單的保護層來削減潛在的風險以達到目標風險。如果新增保護層后仍然達不到目標風險，則必須使用相應(yīng)SIL等級的SIF回路來覆蓋潛在的風險。如此循環(huán)，進入下一個風險場景，開始分析。

圖2 SIL定級流程示意

2 液氨儲罐定級實例

液氨在工業(yè)中有著廣泛的應(yīng)用，它是第一批重點監(jiān)控的危險化學品之一，非常容易構(gòu)成重大危險源。液氨罐區(qū)物料的儲存量一般比較大，是潛在的危險源，假如發(fā)生意外，會造成非常大的事故，對人身安全及社會環(huán)境都會造成非常大的影響。本文以液氨罐區(qū)SIL定級為例，液氨罐區(qū)流程如圖3所示，風險矩陣采用5×6風險矩陣。

圖3 液氨罐區(qū)流程示意

2.1 液氨罐區(qū)的工藝簡介

生產(chǎn)所需的液氨由槽車運送至卸車地點，卸料至儲罐，在裝置需要時經(jīng)過輸送泵輸送至車間使用點。液氨罐區(qū)主要由卸料臂、輸送泵、儲罐及緊急泄氨器組成。在儲罐設(shè)置有雙重安全閥和緊急泄壓罐，在儲罐壓力高時采取雙重措施泄壓。

經(jīng)過充分的HAZOP分析后，根據(jù)不同的偏差原因，尋找潛在的后果，并列出措施。在以下分析中，僅采用液位過高做為偏差的原因，具體分析結(jié)果見表2所列。

表2 HAZOP分析結(jié)果

經(jīng)過分析和統(tǒng)計，在一定初始事件的情況下，液氨儲罐液位升高、壓力升高，可能超壓，液氨泄漏，發(fā)生火災(zāi)爆炸，造成人員傷亡。由此可見后果的嚴重性，所以需要評估XV1101的保護層(聯(lián)鎖回路LAHH 1101(2oo3))是否在DCS就能滿足可接受風險標準，假如不滿足的話，需要以何種級別的SIL回路進入SIS中。

2.2 SIL定級

在開展SIL定級時，需要以下幾個假設(shè)為前提：

1)多列平行裝置/設(shè)備，僅對其中的單列裝置/設(shè)備進行SIL定級分析，定級結(jié)果及建議適用于其他列。

2)手動按鈕、FGS及DCS通常不做定級分析。

3)所有保護層應(yīng)符合標準中獨立保護層可審核、有效、獨立性的要求。

4)不存在不失效的保護層。

5)DCS在LOPA分析中不管是作為初始事件或獨立保護層最多使用2次。

6)圍堰獨立保護層僅適用于削減環(huán)境風險。

7)人為失誤做為初始事件時，應(yīng)確認失效概率規(guī)則。

具體的SIL定級結(jié)果見表3所列。根據(jù)表3中的計算，可以看出該液氨罐區(qū)液氨輸送泵P-1001故障停的情景假設(shè)下，這條回路需要進入SIS且等級為SIL1級，假如這條回路在其他情景假設(shè)下達到SIL2的話，在設(shè)計中需按高的SIL等級來設(shè)計，回路的檢測單元、邏輯運算器以及執(zhí)行單元需經(jīng)過SIL驗算后，才能確認是否達到相應(yīng)的SIL等級。

表3 SIL定級結(jié)果

3 結(jié)束語

SIS的設(shè)置能夠避免化工裝置中的潛在風險，減少發(fā)生風險的可能性。SIS的關(guān)鍵在于回路中SIL等級的確認，目前國際上尚無一個統(tǒng)一的SIL定級方法。本文中使用的SIL定級方法首先在HAZOP分析結(jié)果的基礎(chǔ)上，分析每個危險以及它的觸發(fā)原因，并總結(jié)出已有的安全防護措施(保護層)，再根據(jù)實際情況修正觸發(fā)事件的概率以及保護層的削減概率，最后確定所需SIF回路的SIL等級，以確保整個系統(tǒng)的風險達到可接受風險的范圍。該SIL定級方法遵照了IEC-61511中推薦的步驟，符合規(guī)范的要求，能夠客觀、準確、有效的對回路進行定級。