周 亮
(中国石化上海石油化工股份有限公司仪控中心,上海 200540)
中国石化上海石油化工股份有限公司储运部(以下简称储运部)现拥有41座液态烃球罐和2座低温乙、丙烯储罐,总容积达到8.72×104m3,各罐区均属于一级重大危险源。最早的球罐于1984年建成,最新的也已于2002年建成,罐区当时的设计安全理念相对现在的标准与规范要求已显落后,原仪表联锁系统均通过分布式控制系统(DCS)实现,未采用独立的安全仪表系统(SIS),因此装置的安全稳定生产存在较大的保护失效风险。
根据中国石油化工集团有限公司(以下简称中国石化)的《罐区隐患整改攻坚战指导意见》,储罐区的SIS系统应根据安全评估的安全完整性等级(SIL)进行设置,并应符合GB/T 50770—2013《石油化工安全仪表设计规范》的相关规定;未进行危险与可操作性分析(HAZOP)研究和安全完整性等级(SIL)评估的(涉及毒性气体、液化气体;剧毒液体的一级或二级重在危险源)在役罐区,应配备独立的SIS系统,每个回路的检测元件和执行元件均宜独立设置,安全仪表等级应按SIL2考虑。根据国家安全监管总局规定的《化工和危险化学品生产经营单位重大生产安全事故隐患判定标准(试行)》,将“涉及毒性气体、液化气体、剧毒液体的一级、二级重大危险源的危险化学品罐区未配备独立的安全仪表系统”作为重大事故隐患的判定依据之一,目前储运部液化烃罐区未配备独立的SIS系统,已列为中国石化的集团公司级重大安全事故隐患。在设计、安装、操作和维护管理等生命周期各阶段,其相关保护措施还存在危险与风险分析不足、设计选型不当、冗余容错结构不合理、缺乏明确的检验测试周期、预防性维护策略针对性不强等问题。因此,有必要在罐区新增独立的SIS系统,提高安全联锁功能的可靠性,消除罐区的安全隐患,确保长周期安稳运行。
采用系统、全面的危险因素辨识工具——HAZOP,从生产系统中的工艺参数出发对液态烃罐区危险因素进行辨识,通过分析工艺参数偏差对整个系统的影响,全面系统地辨识液态烃球罐区运行所存在安全风险,以风险的系统防控为出发点,提出必要的削减风险的安全控制措施建议。
辨识液态烃球罐正常工艺或操作条件下产生的偏差造成的不良后果;评估现存安全设计及仪表系统是否可以达到避免或减缓后果的严重程度;如有必要,确定进一步的保护措施以避免或减缓后果的严重程度。
对储运部液态烃球罐区的相关工艺流程、设备、管道以及配套公用工程进行HAZOP分析。
HAZOP是一种系统化的分析技术,用以辨识工艺设计中潜在的危险和操作问题,并对工艺系统中现存安全设计的可靠性进行评估,当现存安全设计无法满足需求时,提出进一步的保护措施。
HAZOP分析是通过HAZOP分析小组完成的。HAZOP分析小组由多学科工程技术人员及操作人员、具有丰富HAZOP经验且独立于项目组的HAZOP组长以及记录员组成,HAZOP小组中包括工艺工程师、项目工程师、仪表、电气工程师和高级操作人员。
HAZOP分析通常是基于带控制点的工艺流程图(PID)进行的,并辅以工艺物料平衡图(PFD)、联锁逻辑图、总图等资料,在HAZOP分析过程中,将PID划分为若干分析节点,以分析节点为单位进行分析工作。
HAZOP分析流程如下:
(1)择一个分析节点;
(2)描述设计目的及操作要求;
(3)选择一个引导词,与相关工艺参数组成偏差;
(4)分析所有可能导致偏差的原因;
(5)分析每一个原因可能造成的所有后果(不考虑现存安全措施);
(6)分析已有安全措施是否满足需求;
(7)对于不满足需求的安全措施,建议采取新的安全措施;
(8)重复步骤4~8,对下一个偏差进行分析;
(9)重复步骤3~9,直到该分析节点内的所有偏差得到分析;
(10)对下一个分析节点进行分析,重复步骤1~10。
通过HAZOP分析,针对液态烃球罐区中的风险控制、可操作性及其他问题,根据危害产生、发展的条件,对可能造成的后果进行分析,提出了安全对策措施和建议:
(1)液态烃球罐在接收界外来料、而管道阀门误操作导致关闭的情况下存在管线超压损坏的风险,建议加强相关阀门的管理,降低误操作的风险;
(2)建议球罐增设液位低低联锁停泵并关闭切断阀,或建议业主制定高质量的管理程序,将该风险纳入风险管控清单;
(3)当储罐的低低液位设置自动联锁停泵时,会使下游正在生产的装置断料,低液位报警时手动或自动快速开启另一座储罐的出料阀;
(4)当球罐发往码头或灌装站时,储罐低液位联锁停泵进SIS系统。此时不会对下游造成重大影响,停泵后经人员确认,将低液位联锁切出外送系统,软旁路该低液位储罐,低液位联锁后再进行其他储罐的外送工作。因此建议与该泵相关的储罐设置低液位联锁停泵。
SIL评估基于GB/T 20438/21109功能安全标准、国外行业导则及经验做法,结合储运部液态烃球罐区装置PID、工艺技术规程、联锁逻辑图等资料,进行危险与风险分析,辨识安全仪表功能(SIF);应用保护层分析法(LOPA)来评估各种危险事件发生时所造成的人员伤亡风险、环境影响风险及经济损失风险,综合确定每一个SIF回路所需求的安全完整性等级。
SIS系统是化工生产装置的重要保护措施,在危险情况出现时要求可靠动作,使装置或设备进入安全状态。实施SIL评估的目的是明确安全仪表功能及其风险降低要求,以便于安全仪表系统(包含用于实现安全仪表功能的相关仪表和逻辑控制器)的合理设计和维护管理,达到其应有的风险降低要求,提升过程安全管理水平。为确保所设计的安全仪表系统满足过程安全对该保护层的风险降低要求,对SIS系统进行可靠性结构分析和安全完整性等级SIL验证计算。
使用风险矩阵法,对各液态烃球罐区液位过高或过低所产生的后果严重程度完成SIL评估。通过分析,建议球罐两种不同测量方式的液位信号进SIS系统,其联锁等级为SIL2。高液位联锁触发切断进料切断阀,避免造成可燃介质罐满罐憋压、物料泄漏、火灾爆炸等危险工况。同时,低液位联锁触发停泵、关出料切断阀,避免造成泵气蚀损坏,密封损坏,介质泄漏,有火灾爆炸的危险工况。
储运部三车间共有15座液态烃球罐,每个球罐有2台液位测量仪表、2台液位开关和进出口各1台紧急切断阀。
根据HAZOP分析,液态烃球罐联锁控制如下:利用液态烃球罐原有2台液位计和高液位开关实现“三取二”联锁关闭进料切断阀,并在球罐区防火堤外增设紧急关阀按钮,按钮动作信号返回SIS系统。当液位低低时,通过2套液位计和低液位开关实现“三取二”联锁停泵和并闭球罐出料阀。
储运部原液态烃球罐部分采用SAAB雷达液位通讯信号检测液位,球罐进出料阀门不满足紧急切断阀SIL2等级要求。所以要对原有雷达液位计进行升级改造,新增雷达到hub2410的一段现场总线(FF)电缆,新增hub输出到SIS系统4~20 mA+可寻址远程传感器高速通道的开放通信协议(hart)电缆。控制室的通讯单元2160升级为最新通讯单元2460。同时对原有球罐进出料阀进行更换,阀门选用单作用切断球阀,防火要求API607,阀门整体安全等级满足SIL2要求,气缸带易熔塞,在250 ℃时自动熔断。
3.3.1 改造原则
独立设置原则:整个SIS系统包括逻辑运算处理、输入/输出信号、检测单元、执行单元和不间断电源(UPS)供电单元,独立于分布式控制系统(DCS),以降低系统控制功能和安全同时失效的概率。
中间环节最少原则:构成SIS整个系统的各环节尽量不用或少用接线箱、端子柜、端子板、转换器、隔离器、继电器等,且逻辑运算组态优化简洁,以尽可能减少故障点。
故障安全原则:作为输出用的开关信号采用常闭触点,正常时触点闭合,达到安全极限时触点断开。执行单元电磁阀采用正常线圈带电励磁,断电时联锁动作。内部或外部原因使SIS系统失效时,液态烃球罐进出口阀门关闭,自动转为安全状态。
3.3.2 回路接线改造
该项目在原有DCS基础上改造,仪表、配线利旧,不得破坏原仪表系统的防爆配管;同时,在球罐区防火堤外增设防爆按钮控制箱,每个按钮选用常闭触点串入联锁回路,用于球罐进出口阀门紧急关闭。现场需进入SIS系统的仪表,在原接入该仪表信号的接线箱上做好标识,所有接入SIS系统相关仪表的接线箱纳入SIS系统相关管理。
所有参与联锁、控制的输入/输出(I/O)点均采用硬接线方式实施,为了降低施工难度、减少作业时间和节约成本,除新增点需补放电缆外,原有点均继续利旧使用,涉及需从DCS机柜转移至SIS机柜的仪表点,将原DCS机柜内接线拆除,将电缆接至SIS机柜。原有电缆长度不足以接至SIS机柜,采用在端子柜中转接方式,将仪表信号接入SIS系统。由于个别信号既要引入DCS控制,又要引入SIS参与联锁保护,为了减少投资,采用信号分配器实现,信号分配器选用SIL认证产品。其他SIS系统中的I/O点通过Modbus方式通讯至DCS监视。
液态烃罐区原有DCS系统均为横河(中国)股份有限公司的产品,且现有操作及维护人员对当前系统非常熟悉,因此采用横河ProSafe-RS安全仪表系统,系统配置、操作风格、流程画面可以与原DCS系统一致。符合国际安全标准TUV安全认证,四重化可编程序控制器,同时满足根据IEC6158/IEC61511所定义的SIL3安全度等级,确保液态烃球罐区运行的安全和可靠。
对现有DCS机房进行扩建改造,增设1台SIS操作员站置于操作室内,用于显示联锁逻辑状态、联锁复位和维护旁路操作和远程关闭进、出料阀等。增设1台系统工程师站置于机柜内的相对独立空间,用于系统的组态、调试及日常系统维护。增设1台工程师站、1台操作站,工程师站用于组态、调试、查看日常事件记录及日常维护,三车间轻油和金地区域各新增1个控制站,各自独立工作,互不干扰。系统电源、中央处理器(CPU)网络均冗余配置,IO模块冗余配置,其中AI卡件选用带Hart功能型号,信号接线采用端子板方式,采用专用信号电缆与卡件连接。对现场设备供电的24 V直流电源、继电器、信号分配器,选用SIL3等级且符合G3防腐标准。SIS系统网络结构如图1所示。
图1 SIS系统网络结构
3.6.1 系统IO点配置
系统电源、IO卡件、通讯卡件、通讯部件等均采用1∶1冗余配置。基于设计需求点数及20%的余量要求,其输入/输出通道数及IO卡件配置如表1所示。
表1 IO通道数及IO卡件配置
SIS系统排布原则:系统柜、电源柜、安全栅柜、继电器柜需独立设置,同一联锁中AI/DI信号放置在不同的IO模块,每块卡件至少留一个空余通道,来自电气的信号需增加中间继电器进行隔离。
3.6.2 操作站/工程师站
操作站为SIS系统的人机接口,通过ProSafe-RS组态实现权限分级管理(操作员权限、班长权限、工程师权限),显示因果表及逻辑画面,主要包括:全部输入装置状态、全部输出装置状态、全部开车开关状态、全部仪表维护旁路开关状态和联锁设定值;工艺操作旁路开关状态、停车信号、SIS系统故障以及24 h内全部的停车历史记录、开关状态历史记录、按钮状态历史记录和工艺操作旁路开关记时器设定。操作员可在SIS系统调出因果表或状态显示画面,在屏幕上方可以实时显示当前报警信息,并进行确认操作。
联锁逻辑动态画面可以通过红、绿色变来显示各输入、输入状态及联锁说明等。当操作站失效时,安全仪表系统的逻辑处理功能不受影响。
工程师站用于编程、生成、调试、编辑和维护,具有SOS事件的监控及管理功能。通过口令密码限定访问操作,每次访问操作的开始和结束时间、操作动作均可以记录存档,事件记录的分辨率小于10 ms。SIS系统设置独立的工程师站,实现编程和事件报警记录、打印等功能,同时SIS系统具备在线修改、在线下载、卡件插拔等功能。
3.6.3 数据通讯
SIS独立于DCS系统和其他子系统单独设置,采用故障安全型设计,具有全冗余的工业化数字通信系统,通信系统为控制站与控制站之间、控制器与工程师站之间、控制器与操作站之间提供可靠的高速数据传送,传送速率大于100 Mb。通过ModBus RTU RS-485接口与DCS进行数据通讯,DCS系统为主站,SIS系统为从站。数据通信系统能够自动切换,并进行系统诊断报警,切换时不会丢失数据。所有的SIS过程变量、过程报警、旁路、复位等信号能在DCS操作站上显示。
3.6.4 自诊断
系统全部模件具有自诊断功能,每个故障诊断汇总画面显示,也可形成故障报表并打印。诊断内容如下:输入/输出短路或开路、输出无负载或过负载、熔断器熔断指示、硬件和软件兼容性、软件故障、电源故障、通信故障等。
3.6.5 旁路开关
旁路开关分为维护旁路和操作旁路,旁路状态及操作旁路开关的动作在SIS操作站进行显示、报警、记录,并通过通信至DCS操作站显示。
维护旁路:维护旁路采用软开关式,维护旁路开关由SIS操作站通过软件实现,通过独立的操作画面显示,并设置操作级别;维护开关旁路时设置动作时间限制并在时间到达时报警,如未解除旁路应按预设周期报警直到旁路解除。安全联锁单元在辅操台上设置“允许/禁止旁路”硬开关。只有在“允许旁路”条件满足的情况下,软旁路开关才能生效。
操作旁路:工艺操作旁路开关设置在辅操台上,与SIS硬线连接,为有钥匙的两位式开关。辅操台设计旁路指示灯(黄色),当有现场回路切换至旁路状态时,SIS系统发出一个DO信号触发旁路指示灯亮。
3.6.6 时钟同步
SIS系统具有时钟同步性能,SIS系统控制器的时钟在系统上电和更换时钟卡件后,能够自动进行同步。ES/OS与SIS控制器内部时钟同步,与原有DCS系统的时钟也保持同步。
由于现场无全球定位系统(GPS)时钟源设备,为保证DCS与SIS系统统一性,增加时钟同步程序,即DCS系统时间作为时钟源,约定每天上午8时整向SIS出发一个脉冲信号(D0),SIS系统接受到该信号(DI)脉冲时将SIS系统时间同步为相同的时间(上午8时整)。
为了减少对液态烃球罐区生产的影响,生产部门排出每个球罐工艺切出计划,仪表专业根据计划完成施工准备。在每个联锁回路调试过程中,通过和车间工艺操作操持密切沟通并进行双方确认,顺利完成各联锁条件和联锁动作确认,达到预期的效果。
通过“两重点一重大”的在役液态烃罐区安全仪表系统功能改造,安全联锁系统满足风险降低的要求,消除了液态烃罐区重大事故隐患,避免重大经济损失和危及生产人员的安全,为安全生产提供保障。