曹德舜，姜巍巍

(中国石化青岛安全工程研究院，山东青岛 266071)

为保证在油品储存及输送安全,安全控制系统起着至关重要的安全保护作用。安全控制系统是储运装置最为关键也是最后一道保护措施，它的有效性及可靠性直接关系到油品输送及储存的安全、稳定和长周期运行。近年来随着长输管道向长距离、高强度输送的趋势发展以及运行周期的延长,对安全仪表系统的有效性、可靠性提出了更为苛刻的要求。本文基于安全仪表系统(Safety Instrument System)相关国际国内标准IEC61508和IEC61511(GB/T20438和GB/T21109)，结合国外石油公司良好的工程实践，对大型在役储运装置进行了安全仪表系统SIL评估技术的研究与应用，提出了改善安全可靠性的建议措施。

1 在役储运装置安全控制系统设置现状及问题

对国内13家大型储油罐区、长输管道、站场等油品储运企业的安全系统进行了调研分析，安全控制系统设计多采用旧标准存在设计缺陷、使用时间长引起可靠性能降低、日常管理缺陷等问题主要表现在以下几方面。

a)安全保护方案缺陷。由于装置设计时间及建设时间的不同，所以采用的相关标准也不同。不同企业的相同生产装置安全控制方案不同。在风险较高的生产工艺单元缺乏相应的安全保护措施。

b)安全控制系统不独立。依据最新的国际国内标准规范要求，储运装置安全控制系统必须独立于过程控制系统SCADA系统设置，但目前国内大多数储运装置没有设置独立的安全控制系统，安全控制功能均通过SCADA系统完成。

c)现场安全仪表设置缺陷。现场传感器、执行器(阀门)在冗余结构、检验测试周期等方面不能满足功能安全要求，是引起目前储运装置误动率、拒动率高的主要原因。

d)大型储油罐根阀多采用手动操作模式。储罐根阀是防止储罐泄漏的最后一道保护措施，现场发生异常工况(火灾等)时，人员无法靠近现场手动关闭罐根阀，这也是近几年来火灾事故发生时不能有效控制后果事态的主要原因。

e)超压泄放保护不足。储油罐区收油过程中如管道堵塞、阀门误关闭时，由于超压保护措施不足，易引起输油臂、输油管线超压泄漏，近年来事故屡见不鲜。

2 在役储运装置安全控制系统可靠性评估过程

2.1 在役储运装置风险分析与安全仪表功能辨识

功能安全IEC61508/61511标准要求进行功能安全评估的第一步是清晰地了解与过程相联系的危险和风险。危险分析包括识别过程的危险和危险事件。本课题采用HAZOP分析方法对在役储运装置进行危险与风险评估。

根据HAZOP分析报告可以确定安全仪表功能。通过对HAZOP报告的分析能够发现已有的安全仪表功能和为了提高安全性需要增加的安全仪表功能。HAZOP报告通常以表格的形式给出。对于每一种识别出的危险有若干特征项，如已使用的安全措施或者提高安全性的建议。表格中安全措施这一列会包括过程中正在使用的SIF，建议这一列会包含该考虑增加的新SIF。因此，大部分情况下，HAZOP报告可以为确定SIF提供重要的信息。本研究通过对在役储运装置进行危险与风险分析，辨识了装置安全仪表功能。

2.2 安全仪表功能SIL分配

SIL分配方法主要有:风险矩阵、风险图、保护层分析LOPA，本研究运用LOPA分析方法对储运装置安全仪表功能进行目标SIL分配。

保护层分析方法(LOPA)从危险和可操作性分析导出的数据着手，通过文档化引发原因和预防或减轻危险的保护层计算每个识别的危险。于是就能确定风险降低的总量以及是否需要进一步降低所分析的风险。如需附加的风险降低并且是以一个仪表安全功能(SIF)的形式提供这种降低，LOPA方法允许确定合适的SIF的安全完整性等级(SIL)。通过对储运装置各安全仪表系统进行LOPA分析，确定了各安全仪表功能的目标SIL等级。见表1。

储油罐的液位高高/低低相关安全仪表功能的SIL等级都为SIL≥1，运行存在的主要风险是由于油品溢罐造成的火灾爆炸事故。

2.3 安全仪表功能SIL验证计算

目前，普遍采用的SIL等级计算方法，是来自ISA的技术报告“ISA-TR84.00.02-2002”。

该技术文件主要包括以下几种SIL等级计算方法：①采用简化方程式确定SIF的SIL；②采用故障树分析确定SIF的SIL；③采用马尔可夫分析确定SIF的SIL；④采用可靠性方块图确定SIF的PFD。

本研究采用故障树可靠性建模技术方法于20世纪80年代开始用于过程工业领域的潜在意外事故的评估，包括安全仪表功能的失效评估。实践证明，FTA对于确定由于各种设备或元件的故障导致SIF功能失效的概率，是非常好的技术之一。

故障树采用逻辑符号，并用可靠性框图的方式将这些逻辑门按照发生的逻辑条件连接起来，形成树状结构。

本研究利用故障树建模方法，对每条SIF回路硬件进行可靠性计算，最终计算结果如下表2所示。

3 在役储运装置安全控制系统改造方案

3.1 方案思路

原油储罐收油过程中液位高高时如不采取有效措施切断进料阀，易造成原油储罐冒顶，形成可燃气蒸气云，遇点火源发生火灾爆炸，定级结果为SIL1，风险等级较高。目前液位高高联锁是通过SCADA系统进行逻辑控制，不满足风险降低要求，建议设置独立于SCADA系统的安全仪表系统(SIS系统)，实现储罐液位高高/低低安全仪表保护功能，具体内容包括：①在机柜间设置1套SIS系统硬件，完成储罐高高/低低安全仪表保护功能；②实现SIS系统与SCADA系统的系统互通。

3.2 改造方案

进行现场安全仪表设备现场改造，具体改造方案见图1。

a)将储罐现有的液位高高传感器更换为SIL2认证液位传感器，并利用现有信号电缆将液位高高信号传输至机柜间SIS系统，实现液位高高停进料安全仪表功能。当液位高高时，关闭进料阀MOV-8944及MOV-8943。前期通过调研市场上现有液位传感器产品结果，部分高可靠性液位开关已取得SIL2产品认证，满足本建议措施提出的技术方案。

b)将储罐现有的液位低低传感器信号传输至SIS系统，实现液位低低停出料安全仪表功能,当液位低低时，关闭出料阀MOV-8944、MOV-8943及MOV-8843。

c)罐区如发生火灾等异常工况时，操作人员无法靠近储罐手动关闭罐根阀8043及8044(目前为手操阀)，建议将罐根手动阀8043、8044改造为远控电动阀，增设3号泵房控制室操作台紧急关阀硬按钮，实现紧急关阀功能。并将罐根阀的开、关、停控制和全开、全关、就地/远控、故障状态全部进SIS系统。

表1 典型在役大型储油罐区装置安全仪表功能定级

表2 在役大型储油罐区装置安全仪表功能验证

图1 储罐6029#改造前后方案

d)罐前操作阀(MOV-8944、MOV-8943及MOV-8843)及罐根阀(8043、8044)宜采用故障安全型,即失电时阀门自动关闭。

e)罐前切断阀紧急关闭时，为防止输油管线超压，建议船岸对接系统需要同时关停船方输油泵，如无法关停，船岸对接管线增设超压泄放保护装置。

通过以上改造方案的实施，提高了罐区安全仪表系统可靠性要求，满足国家、行业及企业标准要求，防止由于罐区安全仪表系统故障引发的非计划停车及安全事故。

4 结语

以上阐述了在役储运装置安全仪表系统SIL等级评估的具体步骤及应注意的问题。安全仪表设计是仪表设计中的新领域，在安全仪表系统导入石化装置的整个项目过程中，研究、设计、校对以及验证的项目非常多，在安全生命周期内是否能完成它的安全功能，依赖于设计人员、工程实施过程中的相关人员及维护人员能否共同遵照安全仪表系统建立、操作及维护各阶段中的相关要求，完成各自工作。随着技术的进步，安全仪表系统的规范会进一步细化、完善，形成一个完整的体系。