黃會偉 袁印實 史玉穎

(1.中國寰球工程公司，北京 100012；2.北京化工大學，北京 100029)

安全完整性等級(Safety Integrity Level，SIL)評價技術最初源于英荷殼牌石油公司在對下屬各煉廠的管理技術進行深入總結后，提出的儀表安全功能和完整性等級要求的相關概念。1996年美國頒布ANSI/ISA S84.01-1996國家標準，用于指導安全聯(lián)鎖系統(tǒng)的設計，該標準于2003年被國際電工學會采納，并收入到新推出的流程工業(yè)安全聯(lián)鎖系統(tǒng)的功能安全標準IEC61511-2004中。由于其在流程工業(yè)安全聯(lián)鎖系統(tǒng)的功能安全方面的作用，2004年先后被美國、歐盟、新加坡及挪威等國采納為國內(nèi)標準，我國與IEC61511對應的標準本地化工作于2007年完成[1]。安全完整性等級評價是以安全儀表系統(tǒng)為對象，以實現(xiàn)裝置安全生產(chǎn)為目的，研究安全儀表系統(tǒng)的可靠性，保障裝置安全、長周期運行的分析技術，目前國內(nèi)SIL等級分析的標準和方法主要是參照IEC61508及IEC61511等國際標準編制的[2，3]。近年來，SIL評價技術作為一種工藝安全管理的重要方法，在國內(nèi)石油化工行業(yè)中被推廣應用，SIL分析技術在裝置的全生命周期都發(fā)揮著重要作用，尤其在提高新建裝置的安全儀表可靠性及裝置本質安全設計水平等方面起著重要作用[4]。

常壓儲罐是油品的主要儲存設備，其安全性和經(jīng)濟性深得關注[5]，在儲罐服役過程中，由于儲存各種有害的、腐蝕性介質而導致的安全運行問題也日益凸顯[6]。在此，筆者將以某汽油儲罐的一路超壓保護安全儀表系統(tǒng)為例，從風險管理的角度出發(fā)，給出采用風險圖表法進行安全完整性等級分析的后果參數(shù)、暴露參數(shù)、避免參數(shù)和需求參數(shù)的賦值方法，并結合保護層分析對完全完整性等級進行核算，最終確定其所需的安全完整性等級。

1 SIL分析技術綜述①

1.1 SIL定義

按照IEC61511的定義，安全儀表系統(tǒng)是由傳感器、邏輯控制器和執(zhí)行器組成，并能行使一項或多項安全儀表功能的儀表系統(tǒng)，是一種自動安全保護系統(tǒng)，它已發(fā)展成為工業(yè)自動化的重要組成部分。

SIL是指規(guī)定分配給安全儀表系統(tǒng)的安全功能的完整性要求，其要求是有根據(jù)的，必須先對相關的安全系統(tǒng)所針對的危險點進行風險分析，提出安全完整性等級要求，再反過來對每個系統(tǒng)、每個構成系統(tǒng)的組件、每個系統(tǒng)/子系統(tǒng)的構成方式、每個系統(tǒng)的設計、調試、安裝和維護、對系統(tǒng)的驗證與評價以及操作人員的操作資質等提出安全完整性的要求[7]。參照IEC61511-3的規(guī)定，根據(jù)所要求的平均故障概率將其分成從1～4的離散等級(表1)，SIL1具有最低的安全完整性等級，SIL4具有最高的安全完整性等級。

表1 儀表安全完整性等級劃分

1.2 分析過程

進行SIL分析時，首先選定在聯(lián)鎖邏輯圖和危險與可操作性(Hazard and Operability Analysis，HAZOP)新增加的建議措施中出現(xiàn)的SIS控制回路，并描述其安全儀表功能；其次分析需要安全儀表功能發(fā)揮作用時可能會出現(xiàn)的工藝偏離工況，然后根據(jù)該偏離工況發(fā)生時對人身安全、環(huán)境和資產(chǎn)產(chǎn)生的影響，對后果參數(shù)、暴露參數(shù)、避免參數(shù)和需求參數(shù)進行賦值，根據(jù)安全風險圖表、環(huán)境風險圖表和資產(chǎn)風險圖表分別判定安全儀表功能應具備的個人安全完整性等級、環(huán)境完整性等級和資產(chǎn)完整性等級，最后利用保護層分析(Layer of Protection Analysis，LOPA)方法對SIL等級進行核算，取其中最高等級值作為需求的完整性等級值。

在此，筆者以個人安全完整性等級評價為例進行說明，其環(huán)境完整性等級和資產(chǎn)完整性等級評價方法與之類似。

2 應用風險圖表法進行SIL等級評價

選取某企業(yè)汽油儲罐的一路超壓泄放安全儀表系統(tǒng)為分析對象。該安全儀表系統(tǒng)與基本過程控制系統(tǒng)(DCS)在功能上完全獨立。正常操作時，儲罐壓力由基于DCS的壓力控制回路控制出口氣相管線壓控閥的開度來穩(wěn)定罐內(nèi)壓力。如果控制回路發(fā)生故障，閥門就會關閉，可能導致儲罐壓力升高；如果儲罐壓力高于或等于觸發(fā)聯(lián)鎖動作的設定值，安全儀表系統(tǒng)將關閉汽油產(chǎn)品入口管線上的緊急切斷閥，防止儲罐超壓。另外，儲罐設有安全閥等緊急泄壓設備。

2.1 確定風險參數(shù)

2.1.1后果參數(shù)

后果參數(shù)是指由事故發(fā)生引起的致死和/或嚴重傷害的人數(shù)，通過計算事件發(fā)生時在暴露區(qū)域(受事件影響的區(qū)域占全廠的百分數(shù))中的人數(shù)得出，并考慮致命率[8]。設：N為潛在危險區(qū)域的人員數(shù)量，A為本課題研究中特定危險區(qū)域面積占全廠面積的比例，V為致命率，筆者將后果參數(shù)的等級劃分列于表2。致命率V是由被保護環(huán)境的危險性所決定的，致命率的取值與相應的危險性見表3。

在汽油產(chǎn)品罐區(qū)，一般安排兩名操作人員巡檢，罐區(qū)面積僅為全裝置區(qū)面積的13%。如果儲罐超壓，可能導致汽油產(chǎn)品泄漏，甚至是大范圍的泄漏，泄漏后形成的蒸氣云遇到明火可能發(fā)生爆炸，所以其后果參數(shù)C=N×A×V=2×13%×0.1=0.026，參照表2中的數(shù)值范圍，此處的后果參數(shù)取C2。

表2 后果參數(shù)等級劃分

表3 致命率取值與危險性描述

2.1.2暴露參數(shù)

暴露參數(shù)指事故發(fā)生時，人員出現(xiàn)在暴露區(qū)域內(nèi)的概率，通過計算人員在暴露區(qū)域內(nèi)的時間與事件發(fā)生的時間的比值來確定，同時要考慮事故工況時前往現(xiàn)場查看的人員的暴露概率，這也可能增加致死和/或嚴重傷害的數(shù)量，暴露參數(shù)的等級劃分詳見表4，每名操作工一天在該罐區(qū)內(nèi)的停留時間約為20min，所以暴露參數(shù)F=20min/(24×60min)=0.013。參照表4的數(shù)值范圍，某企業(yè)汽油儲罐的暴露后果參數(shù)取F1。

表4 暴露參數(shù)等級劃分

2.1.3避免參數(shù)

避免參數(shù)指儀表功能故障時，工作人員可以避免危險的概率，這取決于是否能夠運用獨立的方法在危險事故發(fā)生之前預警操作人員，并且要求操作人員掌握正確的逃生方式。避免參數(shù)等級劃分見表5。一般情況下，只有在滿足以下所有前提假設條件時，才可以選擇P1：

a. 在SIS保護已經(jīng)故障失效時，還有設施保證向操作人員發(fā)出警報；

b. 有獨立的設施可以實現(xiàn)停車，以避免危險的發(fā)生或能夠確保所有人員逃離到安全區(qū)；

c. 向操作人員發(fā)出警報與危險事件發(fā)生之間的時間間隔超過30min。

實際操作中，安全儀表系統(tǒng)發(fā)生故障后，仍然可以通過儲罐上安裝的壓力報警裝置向操作人員發(fā)出警報，但是從操作人員得到報警至啟動裝置安全停車的時間超過30min，因此避免參數(shù)取P2。

表5 避免參數(shù)等級劃分

2.1.4需求參數(shù)

需求參數(shù)是假定無安全儀表功能保護時事故的發(fā)生概率，也就是需要該安全儀表功能的頻率，需要考慮所有可能導致事故發(fā)生的故障工況。需求概率的定級是在考慮故障工況下(包括控制回路故障，如：DCS故障及閥門失效等；泵及風機等設備故障，發(fā)生泄漏、破裂、爆炸及火災等)需要該安全儀表系統(tǒng)使控制系統(tǒng)實現(xiàn)其功能的概率。在決定其數(shù)量級時，不考慮控制系統(tǒng)或其他保護層。需求參數(shù)等級劃分的范圍要根據(jù)裝置的特點和風險可接受程度，由SIL分析小組在進行SIL分析之前確定。需求參數(shù)的等級劃分見表6。本項目中，根據(jù)IEC61511的規(guī)定，結合裝置特點和風險可接受程度，將需求參數(shù)劃分范圍定為W1≤0.03、0.030.30。其中W1表示每超過33年才需要該安全儀表系統(tǒng)發(fā)揮其功能一次，W2表示在3～33年這段時間里才需要該安全儀表系統(tǒng)發(fā)揮其功能一次，而W3則表示在不到3年的時間里就需要該安全儀表系統(tǒng)發(fā)揮其功能。

表6 需求參數(shù)等級劃分

對于該罐區(qū)內(nèi)的安全儀表系統(tǒng)，需要該回路在3～33年這段時間里才需要安全儀表系統(tǒng)發(fā)揮其功能一次，因此其需求參數(shù)確定為W2。

2.2 確定完整性等級

進行賦值之后，后果參數(shù)取C2，暴露參數(shù)取F1，避免參數(shù)取P2，需求參數(shù)取W2，對應風險圖表中的數(shù)值，初步確定安全儀表系統(tǒng)的安全完整性等級為SIL1，其中個人風險圖如圖1所示，圖中“…”表示沒有安全要求，a表示沒有特別的安全要求，b表示一個單獨的安全儀表系統(tǒng)不能滿足安全要求，1～4分別表示SIL1～SIL4的離散等級。

圖1 個人風險圖

3 利用保護層分析對SIL等級進行適當削減

保護層分析(LOPA)也是一種風險評估方法，首先分析未采取安全保護措施之前的風險水平，然后分析各種安全保護措施將風險水平降低的程度。進行LOPA分析，既可以確定是否需要設置安全儀表系統(tǒng)來降低系統(tǒng)的風險，也可以確定增加的安全儀表系統(tǒng)的風險降低目標。LOPA分析的思想，可以用一個“洋蔥”來形象地描述其模型[9,10]，每一層“洋蔥皮”就相當于一個保護層，由于所有的“洋蔥皮”對內(nèi)核都起到獨立保護作用，因而“洋蔥”內(nèi)核遭受外侵的風險就會大幅下降。在對某個事故場景進行保護層分析時，確定哪些保護層措施能夠起到預防事故的目的尤為重要[11,12]。LOPA設計流程如圖2所示。

圖2 LOPA設計流程

該汽油產(chǎn)品儲罐罐頂設有起到超壓保護作用的安全閥。經(jīng)核實安全閥的泄放量之后，確認該安全閥可以滿足壓控閥全關引起的儲罐超壓工況，因此將安全閥的泄壓保護視為獨立的保護層設計。重新校核后，該回路的SIL等級由“SIL1”降為“a”，即在儲罐設有安全閥的情況下對安全儀表完整性無特殊要求。

4 結束語

安全儀表系統(tǒng)的安全評估對提高國內(nèi)石化行業(yè)的安全防護等級和安全層次非常重要。風險圖表法作為安全儀表系統(tǒng)完整性等級評價的一種常用方法，雖然得到了廣泛應用，但是由于國內(nèi)石化行業(yè)內(nèi)沒有統(tǒng)一的風險接受標準以及后果嚴重性等級劃分尺度要求，所以某些人為客觀因素在一定程度上影響了SIL等級劃分的準確性。另外，HAZOP分析已經(jīng)在國內(nèi)大中型石化企業(yè)得到推廣應用，LOPA分析也已經(jīng)逐漸登上國內(nèi)工藝安全管理的舞臺，一個好的SIL等級評價應當以HAZOP的分析報告為輸入資料，以LOPA的分析結果為校正依據(jù)，進行合理、科學、準確的分析。