SIL评估技术在甲醇装置中的应用

严春明，施建设，郑勤

（中石化宁波工程有限公司，浙江 宁波315103）

近年来国内投建了若干大型甲醇装置，如中海油海南800kt／a甲醇项目、重庆800kt／a甲醇项目和川维770kt／a整合甲醇装置等。甲醇装置大型化已经成为国内甲醇工业发展的趋势。随着甲醇生产装置大型化，装置的自动化水平越来越高，其安全仪表系统（SIS）对安全的重要性也日益突出。因此，根据IEC 61508［1］以及IEC 61511［2］对甲醇装置的SIS进行安全完整性等级SIL（Safety Integrity Level）评估十分必要。此外国内甲醇装置大多采用国外专利商的工艺包，通常在因果图文件中规定了安全联锁回路所需达到的SIL。在引进合同的技术附件中，专利商要求业主根据采购的设备厂商提供的可靠性数据，验证安全联锁回路的SIL能否满足其提出的设计要求。

川维770kt／a整合甲醇装置采用英国DAVY公司的甲醇工艺包，由中石化宁波工程有限公司（SNEC）承接设计，并在设计阶段开展了功能安全评估工作，完成了按照DAVY公司SIL要求而实现的联锁回路的SIL分析计算工作。

本文通过介绍SIS的SIL评估技术在大型甲醇装置中的实施过程和效果，讨论相关的技术难点，探讨设计阶段开展SIS的SIL评估工作的特点。

1 SIL评估技术及流程

SIS对装置的可靠性和安全运行影响极大。据壳牌和BP等多家国际石化大公司的统计，在现有石化装置中安全联锁不足的占5%～10%，安全联锁过度的约占50%，联锁合理的只占40%～45%。在工业发达国家的流程工业中，早已大力开展联锁系统SIL等级定量评估工作。IEC于1999年和2003年分别制定了用于对通用电力、电子及可编程器件进行定量安全评估的IEC 61508和专门用于对流程工业联锁系统进行定量安全评估的IEC 61511。中国于2006年和2007年分别颁布了GB／T 20438［3］和 GB／T 21109［4］，分 别 对 应IEC 61508和IEC 61511。

SIL是用来描述SIS运行安全性能的指标，在一定时间、一定条件下，SIS能成功地执行其安全功能的概率，其数值代表着SIS使国产风险降低的数量级。SIS的功能安全技术是通过对受控单元进行危险与后果分析，确定正确的安全功能，选择恰当的目标SIL，设计满足目标SIL的安全联锁功能（SIF）。通过对SIS的功能安全水平实行测试、评估、认证等，可以把受控过程的风险降至一个可接受的水平。SIL定量评估过程如图1所示。

图1 SIL定量评估过程的流程示意

2 甲醇装置的SIS功能安全评估

2.1 SIS功能安全评估工作

SNEC是国内较早在设计阶段开展SIS功能安全评估的单位之一。在该项目中着重完成了以下工作：

1）收集、消化、吸收国内外相关标准和文献资料。研究国际上已有的各种有关SIS安全评估的标准、方法及相关数据库，尤其是IEC 61511的背景和内容，充分理解并吸收这些标准和资料的内容。

2）装置的定量风险识别与分析计算。以国际通用的安全风险分析方法为依据，根据装置的实际情况，进行了定量风险评价。

3）联锁回路SIL等级计算。根据IEC 61511和相关数据资料，对选定联锁回路，按照合适评定计算方法，定量计算联锁回路的SIL和误动作跳车的概率。

4）安全联锁回路系统评定、优化和改进。根据可接受的风险概率和可接受的经济损失标准，评估甲醇装置安全联锁回路是否满足专利商的要求。对达不到最低安全要求的回路，提出具体可行的控制回路优化或者设备替换意见，并重新计算评估SIL，实现安全有效的联锁回路目标。

2.2 SIL验证与结果

依据IEC 61511对川维甲醇装置的84个联锁，共542个SIF进行了定量分析。根据因果图中专利商要求的SIL，SIL1联锁为25个（206个SIF），SIL2联锁为49个（289个SIF），SIL3联锁为6个（47个SIF），还有2个联锁（共5个SIF）未给出等级要求，如图2所示。

考虑了其他保护层后，实际能达到的SIL情况为：能达到SIL1的SIF为70个，SIL2的SIF为306个，SIL3的SIF为132个，SIL4的SIF为34个，都能满足专利商规定的SIL等级要求，如图3所示。

图2 联锁回路专利商要求的SIL等级示意

图3 联锁回路实际能达到的SIL等级示意

从评估结果看，专利商要求的安全联锁回路的SIL明显偏高。

3 SIL评估技术探讨

根据甲醇装置设计阶段开展的SIS的功能安全评估情况，需要对风险控制、SIF识别、DCS与SIS的共用问题、独立保护层设置以及安全联锁的逻辑结构选择等问题进行探讨。

3.1 风险矩阵及控制

一般来说，装置进行风险评估所执行的风险矩阵依据企业的事故管理规定而制订，并参照国家法规、赔偿制度以及企业所在地的经济水平，根据ALARP原则进行编制，对人员伤亡、环境污染和经济损失的风险分别进行认定。通常专利商给出的安全联锁SIL要求是基于其风险控制策略，并未考虑装置建造地的实际情况。以人员伤亡控制为例，各个国家对各个行业的伤亡情况的控制是不尽相同的。例如，荷兰和香港的可接受风险水平也存在明显的差别，以发生事故死亡10人为例，荷兰认为10－5为其可允许的上限，超过10－5就属于不可接受区域，而香港则是以10－4为其上限。假设在SIL的评估中，采用以欧盟标准为基础的风险矩阵，会使得整个装置的联锁系统SIL偏高［5］。

目前国内石化行业的人员死亡风险控制水平应与香港的人员死亡风险控制水平较为接近，如图4所示。该项目依据实际情况，制订了适用于该厂的联锁回路定量安全评估适用的风险矩阵。

4 国内石化行业人员死亡可接受风险水平示意［6］

3.2 SIF识别

SIF是指具有特定SIL的安全功能，它既可以是一个仪表安全保护功能，也可以是一个仪表安全控制功能。根据IEC 61511，SIF是为了达到功能安全所需的最少和充分的仪表，通常由传感器、逻辑求解器和最终元件（执行机构）组成。每一个SIF都有各自的SIL。因此，每个SIF必须针对一种特定的危险情况，预防特定的危险后果。而1个SIS可由多个安全功能组成，各安全功能针对的危险情况不同，所执行的动作也不同，因而在复杂联锁系统中，对于联锁功能的识别显得更加重要。笔者采用壳牌公司的方法识别SIF。

以甲醇装置的粗甲醇排污罐液位高高为例，如图5所示。当传感器检测到粗甲醇中间罐液位高高时，根据因果图的要求，需要同时切断闪蒸气通向燃料系统的阀门（PV 63030A）、闪蒸气通向火炬系统的阀门（PV 63030B）和排污罐的喷淋水阀门（FV 65027）。根据SIF的定义，其功能为预防特定的危险后果，那么这里3只阀门的失效（未及时切断）后果是完全不同的。显然，如果排污罐的液体进入燃料系统或火炬系统都会导致较为严重的后果，而喷淋水阀门的关闭在这里显然不是1个必要的动作，当通向燃料系统和火炬系统的阀门正常关闭时，即使喷淋水阀门未能及时切断，也不会造成严重的后果，那么单从这1个SIF来考虑，将这3只阀门定为同一SIL是不合理的。因此，在SIL评估的过程中，必须对因果图中的每一个执行动作进行细致的充分必要性分析，以确定各个SIF。

图5 粗甲醇中间罐液位高高的联锁回路识别示意

3.3 安全联锁逻辑结构的选择

安全联锁的常用逻辑结构为“1oo1，1oo2，2oo2，2oo3”等。IEC 61508－2也规定了设备硬件冗余标准要求。从功能安全角度看“1oo2”较“1oo1”有更高的SIL，但操作可靠性较差（较易误跳车）。“2oo3”较“1oo1”不仅有较高SIL，而且有较好的操作可靠性；而“2oo3”较“1oo2”，虽然其SIL略低于“1oo2”，但其操作可靠性比“1oo2”高。

此外，不同的逻辑结构在投资成本上也是不同的。根据以往的SIL定量评估经验［7］，一般情况下，“1oo1”结构的阀门执行机构，在SIL1左右；“1oo2”结构的阀门执行机构，在SIL2左右；要使执行机构达到SIL3的水平，必须进行周期性的测试。如果这种测试是在线测试，那么要求阀门必须带有智能限位器，一般大口径的紧急切断阀门价格比较昂贵，而这种带智能限位器的阀门价格为普通阀门的2～3倍。因此，SIL需求的提高，将会大幅增加装置的建设成本。

合理选择安全联锁的逻辑结构，在满足SIS的SIL要求的前提下，宜尽可能地减少装置成本和误跳车，提高系统的操作可靠性和经济性。

3.4 DCS与SIS的共用问题

目前，在SIS设计上与DCS存在一体化的问题。依据IEC 61508／IEC 61511，SIS应与DCS相互独立，若无法实现相互独立，则DCS作为联锁最高可以达到的等级只能为SIL1。DCS强调的是过程调节，而联锁强调的是隐性工作。DCS的现场设备（传感器、执行机构）发生故障时通常可通过其他量反映出来，而联锁用的现场设备发生故障时，一般无法通过其他量反映出来，直到联锁动作发生，两者对于设备的可靠性存在着较为明显的差异。

在某些情况下，将DCS与SIS共用可能会存在一定的安全隐患。例如，某塔底安装有2台液位调节阀（2条管线），当该塔出现液位低低时，需要切断塔底部的2台液位调节阀来保证液位不再继续下降。此时必须考虑到造成液位低低的原因可能是由于这2台液位调节阀的其中1只卡堵在某个开度较大的位置，无法进行DCS的正常调节而导致塔内的液位走低，那么此时液位低低的信号再送到SIS，通过SIS去切断该阀门来保证液位不再下降，其失效概率接近100%，其后果很有可能是塔内的液位走空，高压气体串入低压设备或损坏管线。

3.5 独立保护层设置

依据美国化学工程师学会过程安全中心CCPS（Center for Chemical Process Safety）有关石油化工过程安全开展的研究，石油化工过程的SIL通常由工艺设计、安全控制装置及其他管理程序共同构成［3］。这些确保石化过程安全的装置及措施通常被视为安全保护层，各保护层对石化过程提供层层保护，以确保石化过程的风险处于可接受的范围。除工艺设计及管理程序外，石化过程安全控制装置依据其功能及对安全的作用，可以分为三类：用于过程控制的基本过程控制系统、用于实现主动安全保护的安全控制装置（如安全联锁装置）以及用于实现被动安全保护的安全控制装置（如安全阀、爆破片等）。三类不同的安全控制装置对安全的作用不同，SIL要求也各不相同。

国外专利商提供的安全联锁回路的SIL要求中，通常认为操作工不能成为独立保护层；而国内业主根据多年经验，认为操作工可以作为一个独立保护层。在具体评估过程中，根据文献［5］，认为1个操作工在控制室有超过10min以上的反应时间，或者一个操作工在现场有超过20min以上的反应时间，可以起到SIL1的保护（或者说风险降低因子为10）。此处反应时间为操作工从发现报警—做出判断—开始动作的时间。

4 结束语

功能安全评估已越来越成为提高石化行业SIL水平的重要手段，围绕功能安全评估颁布的相关标准已成为推动流程工业功能安全评估的重要力量。在国内石化行业中，SIS的设计和应用还存在一定的盲目性与误区，如何采用科学的评估与分析手段对装置SIS开展功能安全分析，提高联锁系统的安全性与合理性仍是安全技术发展亟待解决的问题。

笔者通过论述川维甲醇装置SIS进行SIL定量评估的过程及其成果，讨论了SIL评估技术中需注意的事项，总结了甲醇装置联锁系统SIL定量评估的经验，为在设计阶段实施SIS的SIL定量评估工作提供借鉴。

［1］IEC.IEC 61508Functional Safety of Electrical／Electronic／Programmable Electronic Safety－Related Systems ［S］.IEC，2010.

［2］IEC.IEC 61511Functional Safety—Safety Instrumented Systems for the Process Industry Sector［S］.IEC，2003.

［3］机械工业仪器仪表综合技术研究所.GB／T 20438—2005电气／电子／可编程电子安全相关系统的功能安全［S］.北京：中国标准出版社，2006.

［4］机械工业仪器仪表综合技术经济研究所，上海自动化仪表股份有限公司技术中心.GB／T 21109—2007过程工业领域安全仪表系统的功能安全［S］.北京：中国标准出版社，2007.

［5］MANNAN S.Lees'Loss Prevention in the Process Industries：Hazard Identification，Assessment and Control［M］.3th ed.Oxford：Elsevier Butterworth Heinemann，2005.

［6］朱建新，高增梁，王伟，等.我国石化工业联锁系统应用现状及功能安全评估进展［C］／／第四届石化装置工程风险分析技术应用研讨会论文集.南昌：中国机械工程学会压力容器分会，2008：269－278.

［7］朱建新，王莉君，高增梁.IEC 61511标准及在石化行业安全管理中的应用［J］.中国安全科学学报，2007，17（02）：105－109.

［8］沈学强，白焰.安全仪表系统的功能安全评估方法性能分析［J］.化工自动化及仪表，2012，39（06）：703－706.

［9］范咏峰，李平.石油化工装置中安全度等级的评定与实施［J］.石油化工自动化，2005，41（02）：8－12.

［10］SHELL.DEP 32.80.10.10Classification and Implementation of Instrumented Protective Functions［S］.SHELL，2008.