SIS系统在丙烯罐区装置中的应用

翟羽鹏，张冬梅，王金昭

(1.中国石油吉林石化公司化肥厂，吉林吉林132022;2.中国石油吉林石化公司电石厂，吉林吉林132022)

随着炼化装置的大型化，液化烃(C3～C4组分)储罐无论是单罐容积还是成组布置的罐区日趋向大型化发展，也由于液化烃的物料特性，液化烃储罐的安全风险也在增大，国内液化烃罐区的安全事故近几年也时有发生，损失惨重.

为了削减风险，国内新出台及新修订了许多标准，从设备制造、工艺系统、自动控制、防火环保等方面对液化烃罐区做出来较为具体的规定.如GB5016—2008《石油化工企业设计防火规范》，GB150—2011《钢制压力容器》，SH3136—2003《液化烃球形储罐安全设计规范》，SH3007—2007《石油化工储运系统罐区设计规范》等.

目前，我厂运行的丙烯酸酯车间丙烯罐区能按上述标准进行设计及隐患整改，但在安全仪表系统［1-3，5-7］的设计方面尚存在不足，存在着不能完整和系统地按照IEC61508、61511等国际先进标准进行设计的问题，这一点也包括一些新设计的液化烃罐区.

问题存在的主要原因一是对 IEC61508、IEC61511等国际先进标准理解的不完整;二是出于经济方面的考虑.所以，完整的理解IEC61508、IEC61511等国际先进标准，寻求技术、安全、经济的平衡是执行好标准的关键所在.

1 丙烯罐区所需实现的安全仪表功能

以单体球罐为例，在工艺条件压力过高的情况下，调节阀自动打开通过火炬气管线排往火炬;如调节阀出现异常导致压力继续上升时，球罐顶部的安全阀会自动起跳，往火炬系统泄压;另有一个DN50的旁通，必要时，可以人工控制往火炬系统泄压.

液位过高时，控制室内有报警，同时自动切断进料阀;液位过低时，控制室内也有报警，并自动切断排出阀，以免罐被抽空［3］.

2 工艺过程风险分析及SIL等级确定

2.1 工艺过程风险分析

以单体丙烯罐为例，在工艺条件压力过高的情况下，可能引起的风险后果如下:

若该安全仪表功能失效，则导致的后果有:

(1)储罐压力过高而引起密封或部件失效，泄露着火.

(2)事故可造成装置重建.

(3)事故可导致人员伤亡3～5人.

若该安全仪表功能成功执行，则导致的后果有:

在罐内压力达到一定压力时，调节阀自动打开通过火炬气管线排往火炬;如调节阀出现异常导致压力继续上升时，球罐顶部的安全阀会自动起跳，往火炬系统泄压，避免事故发生.

根据相关的工业经验，认为事故的发生率为50年/次.

2.2 SIL 等级确定

丙烯罐压力过高将影响人员安全、环境安全并造成一定的经济损失，根据对可能产生的后果和事故发生频率的评估，确定出相应的安全功能应达到的安全等级，将风险控制到企业允许的范围之内.

根据人员安全、环境安全和经济损失三方面的后果影响，得出安全仪表功能应达到的SIL级别.

(1)安全仪表功能失效导致的人员伤亡3～5人，根据人员风险控制矩阵表，得出从人员安全方面考虑，该安全仪表功能需达到SIL2.

(2)安全仪表功能失效导致的一次环境污染可能造成公司级事故，根据环境风险控制矩阵表，得出从环境安全方面考虑，该安全仪表功能需达到DCS级.

(3)安全仪表功能失效导致的经济损失可达2 000万元以上，根据经济风险控制矩阵表，得出从经济损失方面考虑，该安全仪表功能需达到SIL2.

综合上述3个方面对安全仪表功能的要求，选择最高的SIL，即SIL2，对该压力仪表安全功能进行风险控制.

3 安全仪表系统设备选择

对于安全仪表系统，要考虑传感器单元、执行单元、逻辑解算器单元的综合SIL等级，最后确定是否为满足要求的SIL2等级.各单元逻辑结构适用不同的安全要求，设计过程中需要先进行安全度分析，然后根据分析结果选择不同逻辑结构，见表1.

表1 安全仪表系统逻辑结构选择表

对于SIL2级安全仪表系统，丙烯罐压力变送器选择冗余设置，变送器宜采用隔爆型，取消安全栅和报警设定器，尽量使安全仪表系统的中间环节最少.

安全仪表系统的逻辑控制器可由继电器系统或可编程序电子系统及其混合构成.继电器系统用于输入输出点少、逻辑功能简单的场合;可编程序电子系统可用于输入输出点较多、逻辑功能复杂、与过程控制系统进行数据通信的场合.本装置由于输入输出点不超过40个，出于经济投资考虑，使用继电器组件，与控制系统分开，采取2取1输入表决联锁.

最终执行元件部分一般是安全仪表系统中可靠性最低的设备.对于SIL2级回路，根据《石油化工安全仪表系统设计规范》［5］，切断阀选择单独设立，与控制系统分开，冗余配置.

4 PFD计算

SIS系统设计完成之后，其可靠性和安全性的评价标准就是要求时失效概率PFD［4］.其SIL等级应该通过计算平均失效概率PFDavg［6］来验证.根据我们上述丙烯罐区安全仪表系统的选择，利用故障树法［4］算出 PFDavg.

失效率数据可以从工业数据库、生产商的FMEDA(Failure Modes Effects and Diagnostic Analysis)分析、生产商现场失效研究、工厂失效记录或其它途径获得.工业数据库中的数据一般包括了系统失效等，数据相对较大.近来有一些分析机构综合了各种数据源得到相应的数据库供使用.本文相关仪表的失效率数据如表3所示.涉及计算的相关符号及公式如表2所示［7］.

表2 失效率符号及计算方法

续表2

表3 失效率数据表

RT为平均修复时间，设仪表故障的在线修复时间为8 h;

TI为测试周期，该装置的检修周期作为测试周期，为3y;

一次无故障停车后装置重启的时间(SD-shut down)SD=24 h;

假设测试是理想的，即;

共因失效系数β取值:β=0.05

为方便今后的设计计算，下文的计算采用简化方法，即对 进行泰勒级数展开，取前2项，即 ，得:.

对于罐区压力变送器1oo2逻辑时传感器部分的平均危险失效率为:

PFDavg1oo2=253*10－9*0.05*365*24*3/2+(253*10－9*(1 －0.05)*365*24*3)2/3=1.80*10－4

假设逻辑控制器部分的安全失效率为0，则平均危险失效率为:

PFDavg=2.18*10－5

执行器冗余设置，采用二取一(1oo2)逻辑，切断阀和电磁阀的失效率代入下式，.则平均危险失效率为:PFDavg1oo2=3.8*10－3

整个安全仪表功能的平均危险失效率:PFDavg=PFDavg传感器 +PFDavg控制器 +PFDavg执行器 =4.0*10－3满足 SIL2 等级.

5 满足安全仪表功能的方法

当执行器和传感器的平均危险失效率不能达到安全仪表功能的要求时，可采用的方法有:

(1)缩短测试周期TI;

(2)选用带危险自诊断的仪表;

(3)选用平均危险失效率小的仪表;

(4)冗余配置仪表.

当其中1个方法不能达到预期目标时，可以采用多种方法组合的方式.也可以根据投资经济等方面选择合适的方法达到安全仪表功能要求.

6 系统维护管理

确定完SIL等级之后将进行安装、调试和试运行，保存可证实检验测试和检查已按要求完成的记录.日常维护中，应用逻辑的任何改变都需要进行全面的检验测试;SOE软件要打开，SOE事件记录要定期导出，也可以在SOE中设置每个星期自动导出，如果不导出，事件过多就会淹没以前的事件不便查询;每日巡检要查看自动诊断信息，以便及时发现存在的隐患;每周要备份事件记录作为以后分析的依据.装置风险水平发生变化时，需要重新对安全仪表系统进行SIL等级评估和确定.

7 结 论

在罐区的安全生产管理中，安全仪表系统是非常特殊的控制系统，在选型、改造、使用与维护中必须遵循严格的安全标准和规范，综合多种安全可靠的措施，实施正确操作，确保安全系统功能安全的实现，使企业人身设备安全得到充分的保障.

［1］ IEC 61508.Functional Safety of Electrical/Electronic/Programmable Electronic Safety-Related Systems，International Electrotechnical Commission［S］.

［2］ ANSIASA-84.01.Application of Safety Instrumented Systems for the Process Industries［S］.

［3］ IEC 61511.FunctionalSafety-Safety Instrumented Systems for the Process Industry Secto［S］.

［4］ GBT 20438-2006.电气/电子/可编程电子安全相关系统的功能要求［S］.

［5］ SH/T3018-2003.石油化工安全仪表系统设计规范［S］.

［6］ SHB-Z06-1999.石油化工紧急停车及安全联锁系统设计导则［S］.

［7］ William M.Goble，Harry Cheddie.Safety Instrumented Systems Verification:Practical Probabilistic Calculations［J］.ISA—The Instrumentation，Systems，and Automation Society，2005.