何雪华

(浙江工业大学，杭州 310014)

安全仪表系统SIS(Safety Instrumented System)是一种自动安全保护系统，是保证正常生产和人身、设备安全必不可少的措施，已发展成为工业自动化的重要组成部分。作为化工过程中安全的最后一道屏障，SIS安全等级的高低直接影响流程工业的安全。由于SIS在过程安全中的重要作用，国际著名的石化公司均对重要装置设立了SIS，并依据国际标准对SIS的安全性开展了定量评估，取得了很好的经济与社会效益。

笔者介绍了SIS安全完整性等级SIL(Safety Integrity Level)评估技术在合成氨装置中的实施过程，并讨论了相关的技术难点。该合成氨装置采用HT-L粉煤加压气化炉制粗煤气，粗煤气经变换装置、低温甲醇洗、液氮洗工艺精制出合成氨原料气，再经补氮调节氢氮比约为3∶1，压缩至15．0 MPa 送入氨合成装置。合成氨装置在总控室设置集散控制系统(DCS)和安全联锁系统(ESD)，其中包括3套联锁装置，即开工加热炉故障停车联锁、氨分离器故障器停送液阀联锁和氨分离器故障器停车联锁。

1 SIL评估技术简介

国际电工学会于1999年和2003年分别制定了用于对通用电力、电子及可编程器件进行定量安全评估的IEC 61508[1]和专门用于对流程工业SIS进行定量安全评估的IEC 61511[2]。中国于2007年 和2008年分别颁布了GB/T 20438—2006[3]和GB/T 21109—2007[4]，分别对应IEC 61508和IEC 61511。

SIS作为流程工业生产过程中重要的安全控制装置，其SIL要求与生产过程的风险密切相关。由于具有较大风险的生产过程的风险控制通常依赖于SIS的SIL，因而SIS的SIL评估已越来越成为流程工业所关注的焦点。SIS在流程工业生产过程中的风险控制功能如图1所示。

图1 SIS在流程工业生产过程风险控制中的作用

SIL是用来描述SIS运行安全性能的指标，在一定时间和条件下，SIS能成功地执行其安全功能概率，其数值代表着SIS使风险降低的数量级。SIS的功能安全技术，是通过对受控单元EUC(Equipment Under Control)进行危险与后果分析，确定正确的安全功能，进而选择恰当的目标SIL。通过对SIS的功能安全水平实行测试、评估、认证等，可以把受控过程的风险降到一个可接受的水平。

2 合成氨装置的SIS功能安全评估工作

由于评估的合成氨装置是在用装置，评估过程如下：

1) 收集合成氨装置资料。收集合成氨装置相关工艺、设备、操作等相关资料。

2) 制订合成氨装置的风险矩阵。根据企业风险可接受程度，按照人员伤亡、经济损失和环境影响制订合成氨装置的风险矩阵。

3) 装置的定量风险识别与分析计算。以国际通用的安全风险分析方法为依据，根据装置的实际情况，进行定量风险评价。

4) 识别安全联锁功能(SIF)、确定SIL。根据功能安全要求和定量风险评价结果，识别SIF并根据风险矩阵，确定相应的SIL。

5) 联锁回路安全等级计算。根据IEC 61511和相关数据资料，对选定联锁回路，按照合适评定计算方法，定量计算联锁回路的SIL。

6) SIS回路系统评定。根据可接受的风险概率和可接受的经济损失标准，评估合成氨装置SIS回路是否符合SIL的要求。

通过对该合成氨装置的3套联锁装置、11个SIF进行SIL计算，满足风险矩阵要求的SIL要求。

3 SIL评估技术在化工行业应用的探讨

通过在用合成氨装置的SIS功能安全评估，需要对风险控制，SIF识别，DCS与SIS的共用问题等进行探讨。

3．1 风险矩阵及控制

一般来说，装置进行风险评估所执行的风险矩阵依据企业的事故管理规定而制订，并参照国家法规、赔偿制度以及企业所在当地的经济水平根据ALARP原则进行编制。风险矩阵中对人员伤亡、环境污染和经济损失的风险分别进行认定。以人员伤亡控制为例，各个国家对各个行业的伤亡情况的控制是不尽相同的，如荷兰和香港的可接受风险水平存在明显的差别，以发生事故死亡10人为例，荷兰认为10-5为其可允许的上限，而香港则是以10-4为其上限。这就说明各个国家和地区的风险控制水平是不尽相同的。而国内石化行业的人员死亡风险控制水平与香港的人员死亡风险控制水平较为接近。

假设在SIL的评估中，采用较高标准为基础的风险矩阵，会使得整个装置的SIL偏高。按照该风险矩阵设计建造的SIS，一方面会大幅提高装置的建设成本，另一方面在装置的实际运行中也会给装置带来很多的误跳车，严重影响装置的实际正常运行。根据以往的安全完整性定量评估经验表明[5]，一般情况下，“1oo1”结构的阀门执行机构在SIL1左右；“1oo2”结构的阀门执行机构在SIL2左右，要使执行机构达到SIL3的水平，必须进行周期性的测试。如果该测试是在线测试，就要求阀门必须带有智能限位器，一般大口径的紧急切断阀门价格比较昂贵，而此类带智能限位器阀门价格更是普通阀门的2～3倍。因此，SIL需求的提高，将会大幅增加装置的建设成本。

综上所述，提出合理的SIL要求是十分必要的，要在保证安全的前提下，合理地进行设置，尽可能地减少装置成本和误跳车的负面影响。无论从安全的角度或全面资产管理的角度，都必须建立一个合理的风险控制矩阵。企业的风险控制矩阵建立过程如图2所示。

图2 企业的风险控制矩阵建立过程示意

3．2 SIF的识别

SIF是指具有特定SIL的安全功能，它既可以是一个仪表安全保护功能，也可以是一个仪表安全控制功能。根据IEC 61511，SIF是为了达到功能安全所需的最少和充分的仪表，通常由传感器、逻辑求解器和最终元件(执行机构)组成。每一个SIF都有各自的SIL。因此，每一个SIF必须针对一种特定的危险情况，预防特定的危险后果。而1个SIS可由多个SIF组成，各SIF针对的危险情况不同，所执行的动作也不同。在复杂SIS中，对于SIF的识别显得更加重要。

IEC 61511第二部分的10．3．1节对SIF的充分必要性进行了说明，指出SIF应“通过测量哪个参数来评估装置的危险状态”，应“采取何种措施来避免危险情况的发生”以及识别“采取何种措施对于控制风险具有辅助促进作用”。按照上述定义，SIS中SIF的分析必须考虑SIS的充分必要性，即必须识别何种措施对于避免装置的危险后果是充分的，即“Good to have”和识别何种措施对于避免装置的危险后果是必要的，可称之为“Must have”。

SIS的失效概率及误跳车的计算通常与连接方式和功能有直接关系。不同的失效模式也会导致计算方式的不同，对于冗余系统，指令模式失效概率通常与系统结构有关，而误跳车的计算则大多与单个设备的失效模式有关。以“1oo2”的连接结构为例，PFD与MTTFS的计算并不总是依据设备的实际连接方式。例如合成氨装置中采用“1oo2”的安全泄放装置，当容器内的超压达一定数值时，通常应立即打开安全阀进行泄放，以避免装置超压和出现火灾等事故。当危险情况出现时，SIF需2只安全阀中的1只必须立即打开(Must have)，最好是2只同时进行泄放，保证装置内的物料向火炬系统安全排放(Good to have)。当上述危险情况发生时，其SIF成功执行的计算方式为“1oo2”。假设，这里有一种特殊工况，例如容器内部超温起火，必须要2只安全阀同时进行排放，才能满足要求，则其功能安全成功执行的计算方式为“2oo2”。

3．3 DCS与SIS的阀门共用问题

目前，SIS与DCS存在一体化的问题。依据IEC 61508/IEC 61511，SIS应与DCS相互独立，若无法实现相互独立，则DCS作为联锁最高可以达到SIL1。DCS强调的是过程调节，而SIS强调的是隐性工作。DCS的现场设备(传感器、执行机构)发生故障时通常可通过其他量反映出来，而SIS的现场设备发生故障时，一般无法通过其他量反映出来，因而需要联锁动作，两者对于设备可靠性的存在具有较为明显的差异。在有些情况下，将DCS与SIS共用可能会存在一定的安全隐患。例如，合成氨装置中某塔底安装有2只液位调节阀(2条管线)，当该塔出现液位过低时，需要切断塔底部的2只液位调节阀来保证液位不再继续下降。此时必须考虑： 造成液位低低的原因极有可能是这2只液位调节阀的其中1只，卡堵在一个开度较大的位置，无法进行DCS的正常调节而导致塔内的液位走低，那么此时液位低低的信号再送到SIS，通过SIS去切断该阀门来保证液位不再下降，其失效概率接近100%，其后果很有可能是塔内的液位走空，高压气体串入低压设备或管线导致损坏。

4 结束语

SIF评估已越来越成为提高化工行业SIL水平的重要手段，围绕SIF评估颁布的相关标准已成为推动流程工业SIF评估的重要力量。在国内化工行业中，SIS的设计和应用还存在一定的盲目性与误区，如何采用科学的评估与分析手段对装置SIS开展SIF分析，提高SIS的安全性与合理性仍是安全技术发展中亟待解决的问题。

参考文献：

[1] IEC． IEC 61508 Functional Safety of Electrical/Electronic/Programmable Electronic Safety-related Systems[S]．IEC, 2010．

[2] IEC．IEC 61511 Functional Safety — safety Instrumented Systems for the Process Industry Sector[S]．IEC,2003．

[3] 机械工业仪器仪表综合技术研究所．GB/T 20438—2006 电气/电子/可编程电子安全相关系统的功能安全[S]．北京： 中国标准出版社，2007．

[4] 机械工业仪器仪表综合技术经济研究所，上海自动化仪表股份有限公司技术中心．GB/T 21109—2007 过程工业领域安全仪表系统的功能安全[S]．北京： 中国标准出版社，2008．

[5] 朱建新, 王莉君, 高增梁． IEC 61511标准及在石化行业安全管理中的应用[J]．中国安全科学学报, 2007, 17(02)： 105-109．

[6] 朱建新, 高增梁, 王伟, 等． 我国石化工业联锁系统应用现状及功能安全评估进展[C]//第四届石化装置工程风险分析技术应用研讨会论文集． 南昌： 中国机械工程学会压力容器分会, 2008： 269-278．

[7] SAM M． Lees’ Loss Prevention in the Process Industries, Hazard Identification, Assessment and Control [M]．3rd ed．Oxford： Elsevier Butterworth Heinemann, 2005．

[8] 沈学强,白焰．安全仪表系统的功能安全评估方法性能分析[J]．化工自动化及仪表,2012,39(06)： 703-706．

[9] 范咏峰，李平．石油化工装置中安全度等级的评定与实施[J]．石油化工自动化，2005，41(02)： 8-12．

[10] 何俊．我国石化工业联锁系统应用现状及功能安全评估[J]．压力容器， 2009(09)： 49-53．

[11] 吴宁，卢峰．安全联锁系统设计思路及在EB/SM装置的应用[J]．测控技术，2003，22(07)： 14-17．