安全仪表系统SIL分析技术在S-Zorb装置的应用

李荣强,李乐宁,姜巍巍,曹德舜

(1.中国石化青岛安全工程研究院，山东青岛 266071 2.青岛诺安机电科技有限公司，山东青岛 266071)

安全仪表系统是由IEC61508—2010[1]和IEC61511—2016[2]提出的重要概念，主要由传感器、逻辑控制器和最终执行机构构成。设计合理、可靠的安全仪表系统能够有效地避免事故发生，并尽可能减少误动作所带来的非计划停工。建设一套完整的安全仪表系统，并进行安全完整性等级评估，对于确保石化装置长周期安稳运行具有重要意义。

1 安全完整性等级划分

安全完整性等级(Safety Integrity Level, SIL)是用于规定分配给安全仪表系统的安全仪表功能(Safety Instrument Function, SIF)的安全完整性要求(从等级1至等级4)，代表安全仪表系统使过程风险降低的数量级。安全完整性等级4对安全仪表系统要求最高，需要安全仪表系统给该SIF回路降低4个数量级；安全完整性等级1对安全仪表系统要求最低，需要安全仪表系统给该SIF回路降低1个数量级，如表1所示。表1给出了低要求模式下每个SIL等级所对应的需求时的失效概率(Probability of Failure on Demand, PFD)范围及相应的风险降低因子(Risk Reduction Factor, RRF)范围。

表1 安全完整性等级及相应的PFD及RRF

2 保护层分析

保护层分析(Layer of Protection Analysis, LOPA)是一种半定量的风险分析技术，是过程危险分析的延续。保护层分析技术用于分析保护措施是否充分，是用于评估安全完整性等级要求的常用方法。

独立保护层(Independent Protection Layer, IPL)是指可以独立行使自己的安全保护功能而不受其它保护层失效影响的安全保护措施，图1为保护层示意。

图1 保护层示意

3 安全仪表系统SIL评估方法

3.1 安全完整性等级(SIL)定级

采用保护层分析法(LOPA法)进行安全完整性等级定级，主要包含：SIF辨识、初始风险确定、促成条件分析、独立保护层识别、判断剩余风险是否可接受等工作，步骤如图2所示。

图2 SIL定级步骤

3.2 安全完整性等级(SIL)验证

安全完整性等级验证是指根据安全仪表功能回路现有的配置进行结构约束和要求时失效概率计算，验证计算结果是否符合安全完整性等级定级要求。其中要求失效概率可采用概率方程、故障树、方框图法、Markov模型计算。Markov模型是以系统状态之间的转化为基础，以时间为计算步长的要求时失效概率计算模型。简单的Markov模型如图3所示。

图3 简单Markov模型

图3所示Markov模型求解过程为根据建立的Markov模型，确定模型状态转移矩阵Q：

(1)

式中：λ——失效率；

μ——修复率。

确定模型中各状态的初始状态概率矩阵S(0)：

S(0)=[1 0]

(2)

a)假设模型计算步长为1小时，则模型在t时刻各状态的概率S(t)：

S(t)=S(t-1)·Q

(3)

式中：t——运行时间，h。

b)计算模型t时刻的PFD：

PFD=S(t)[2]

(4)

式中：S(t)[2]——t时刻状态2的概率。

4 安全完整性等级(SIL)在S-Zorb装置的应用

4.1 工艺简介

S-Zorb装置的主要任务是处理来自上游的含硫汽油，使汽油产品的硫含量满足排放标准对硫含量的严格要求。S-Zorb装置进行汽油脱硫过程主要涉及3个化学反应：硫吸附反应、吸附剂氧化反应和吸附剂还原反应。由于上述反应需在高温、高压的操作环境下进行，所以对安全仪表系统要求较高，故选择S-Zorb装置开展安全仪表系统安全完整性等级分析工作。

4.2 安全完整性等级(SIL)定级

采用推荐的保护层分析方法对90×104t/a的S-Zorb装置开展了安全完整性等级定级工作，工作步骤如3.1节所述。通过安全完整性等级定级工作，每条安全仪表功能回路的传感单元、执行单元、安全仪表功能等信息均被识别出来，并且每条安全仪表功能回路对安全仪表系统在安全方面、环境方面和财产损失方面要求的安全完整性等级及最终要求的安全完整性等级也被确定出来。表2列出了90×104t/a S-Zorb装置安全仪表系统部分安全仪表功能回路的安全完整性等级定级结果。

表2 S-Zorb装置SIS系统SIL分级一览表

4.3 安全完整性等级(SIL)验证

依据GB/T20438—2017[3]、GB/T21109—2007[6]中对安全完整性等级验证的要求，采用Markov模型对90×104t/a S-Zorb装置各个安全仪表功能回路的结构约束和要求时的失效概率进行了验证计算。结合装置实际运行情况，安全完整性等级验证过程中部分参数设置如下：操作模式为低需求模式、设备使用寿命为12年、检验测试周期为4年、故障修复时间(MTTR)为8 h。表3列举了90×104t/a S-Zorb装置部分安全仪表功能回路的安全完整性等级验证计算结果。

表3 90×104 t/a S-Zorb装置部分安全仪表功能回路的安全完整性等级验证计算结果

以SIF编号SIF01为例，根据现有回路配置验证计算结果为结构约束安全完整性等级为SIL1、要求时的失效概率为0.0367、目标风险降低因子为27，而安全完整性等级定级结果最终要求的安全完整性等级为SIL2、目标风险降低因子为200，所以SIF01回路不满足要求，需要提出相应的建议措施进行整改。对90×104t/a S-Zorb装置各个安全仪表功能回路的验证计算与定级结果比较，判断出共有2条安全仪表功能回路不满足要求，为表2中SIF编号SIF01和SIF05。

4.4 建议措施

基于功能安全相关标准、SIL符合性评价结果以及行业经验和做法，对上述不满足安全完整性等级要求的2条安全仪表功能回路及评估过程中发现的问题提出以下建议措施：

a) SIF01：反应进料流量(FSLL1101A/B(2oo2))低于35 t/h，触发反应进料联锁，SIL验证不满足RRF要求，建议措施如下：①FT1101A/B与FI1103(现有质量流量计)构成2oo3结构；②FV1101增设电磁阀，实现SIS切断。

b) SIF05：燃料气压力PSLL1602A/B(2oo2)低于30 kPa，触发加热炉联锁，依据SIL评估结果和《炼油装置管式加热炉联锁保护系统设置指导意见》，建议如下：①PT1602A/B取压点设置在阻火器后的主管道上；②加热炉增设长明灯燃料气压力低低联锁，并满足下列要求：压力测量仪表设置在长明灯燃料气阻火器后的主管道上；长明灯使用的燃料气从燃料气压控阀上游单独引出。

c) SIF新增：热产物气液分离罐D-104液位低低或无液位会导致高压窜低压的危险工况，建议增设热产物气液分离罐D-104液位低低联锁。

d) SIF新增：冷产物气液分离罐D-121液位低低或无液位会导致高压窜低压的危险工况，建议增设冷产物气液分离罐D-121液位低低联锁。

5 结论

安全仪表系统安全完整性等级分析技术能够有效地发现石化装置安全仪表系统存在的薄弱环节，从而针对性提出建议措施，可以提高装置安全仪表系统的可靠性和可用性，防止由于装置安全仪表系统故障引发的安全事故和非计划停车，在保障装置长周期安全稳定运行方面发挥着重要意义。