在役罐区安全仪表系统设计方案的研究

2019-11-08宋蓓

石油化工自动化 2019年5期

宋蓓

(中海油石化工程有限公司，山东青岛 266100)

安全仪表系统及其相关安全保护措施依然存在诸多缺陷，如设计选型不合理、危险与风险分析不充分、冗余容错结构不恰当、缺少明确的检验测试周期等，这些问题普遍存在于设计、安装、操作、维护管理等安全仪表系统生命周期的各个阶段。对于石油化工罐区项目中安全仪表系统的设置，目前还没有可参照执行的相关规范或标准。

基于该现状，原国家安全生产监督管理总局于2011年和2014年相继发布了40号令和116号令，明确涉毒的一、二级重大危险源应配备独立的安全仪表系统，对于在役安全仪表系统要制订相关维护方案和整改计划，并于2019年底前完成安全仪表系统的评估和完善工作。据此，石化企业必须对在役罐区进行安全评估并根据评估结果改造安全仪表系统。

在役罐区安全仪表系统的改造过程中，常常遇到储罐没有预留足够的安装接口、影响罐区正常生产、投资过大、参与联锁的液位计或液位开关可靠性不高等问题，如何高效、经济、可靠、实用地完成在役罐区的安全仪表系统改造是本文研究的重点。

1 安全仪表系统概述

1.1 定义

根据IEC 61511中的描述，安全仪表系统是用来完成一个或多个安全仪表功能(SIF)的仪表系统[1]。安全仪表系统独立于过程控制系统，例如分散控制系统等，正常生产时，安全仪表系统处于休眠或静止状态；当设施或生产装置出现异常时，安全仪表系统能够瞬间准确动作，使生产过程自动导入预定的安全状态或者使生产过程安全地停止运行。

1.2 构成

安全仪表系统由逻辑解算器、传感器、最终控制部件等构成[1]。逻辑解算器接收现场传感器检测到的参数信号，并与预先设定好的设定值比较，当检测信号值高于设定值时，根据编程设定好的特定功能，将工艺过程恢复到安全状态[2]；传感器将检测到的工艺过程参数信号传递给逻辑解算器，检测值是启动安全仪表功能、中断工艺生产、将工艺过程恢复到安全状态的依据[2]；最终控制元件负责完成逻辑解算器的动作。安全仪表系统可以包含软件，也可以不包含软件[1]。

1.3 设计依据

目前，安全仪表系统执行的主要标准包括： IEC 61508《电气/电子/可编程电子安全相关系统的功能安全》(等同GB/T 20438—2017)；IEC 61511《过程工业领域安全仪表系统的功能安全》(等同GB/T 21109—2007)；GB/T 50770—2013《石油化工安全仪表系统设计规范》。上述3个标准按不同的行业应用，对安全仪表系统设计进行了规定[3]。

1.4 改造步骤

石化项目罐区安全仪表系统的改造一般包括以下步骤：

1)设计单位首先要提出初步设计方案及安全仪表系统的联锁逻辑关系，并同时提供工艺及仪表流程图(P&ID)。

2)专业的安全评估单位根据设计单位提出的初步设计方案和联锁逻辑关系进行危险与可操作性分析(HAZOP)、保护层分析(LOPA)，确定安全仪表等级(SIL)。

3)设计单位根据HAZOP分析、LOPA分析、SIL等级的最终报告进行详细设计。

4)建设单位根据设计单位详细设计阶段提供的数据表采购仪表和设备。

5)结合建设单位采购仪表及设备的实际情况，由专业的评估单位验算设计单位的设计文件，看是否满足SIL等级。如果满足，由建设单位组织施工；如果不满足，给出整改意见，由设计单位继续完善设计，并由建设单位组织完善仪表和设备的采购工作。

6)建设单位组织施工。

7)相关单位进行项目验收。

本文重点探讨设计阶段的内容。

2 在役罐区安全仪表系统改造的设计方案

2.1 概述

罐区安全仪表系统的设置既要满足原国家安全生产监督管理总局发布的第40号令和116号令，又要满足GB/T 50770—2013《石油化工安全仪表系统设计规范》的要求。在进行仪表选型和配置时，鉴于罐区改造的特殊性，要充分考虑新增仪表、开关阀等安装的可实施性。

根据规范和工艺专业的要求，在需要设置安全仪表系统的场合，为了防止储罐发生冒罐和抽空事故，通常将液位参数作为罐区安全仪表系统的主要控制对象。液位计和液位开关应分别独立设置，不共用取源点，并分别进行高低液位报警，当液位达到联锁设定值时进行紧急事故联锁。

2.2 SIL等级的确定

SIL等级确定的目的是为了确定单个SIF回路最低的可靠性要求，以减少生产过程的风险。SIL等级的确定依照IEC 61508和IEC 61511，以LOPA分析为基础，以风险矩阵为依据，对每个SIF回路进行分析，再依据相关标准计算出相应的SIL等级。

通常情况下，HAZOP分析及SIL等级评估由用户牵头组织，整个过程需要用户、工程公司、设计院、供应商共同参与，最终根据协商结果形成相应的报告。

2.3 仪表的选择

根据IEC 61511中11.5.2条款的描述，用户有如下两种途径选择仪表(包括传感器和最终控制部件)：

1)安全仪表系统部件和子系统应用于SIL1～SIL3时，应符合IEC 61508部分2和部分3[1]的要求。

2)符合IEC 61511条款11.4和条款11.5.3～11.5.6的要求，基于使用经验选择部件和子系统的要求[1]。

罐区安全仪表系统中仪表的选型与配置，应在完成HAZOP分析和LOPA分析并确定相应的SIL等级后进行，根据安全评估单位最终分析报告中给出的各罐组SIF回路的SIL等级确定相应罐组仪表的选型与配置。

在役罐区安全仪表系统的改造过程中，液位计和液位开关的选择是实现安全联锁的关键。对于新增或需要更换为具有SIL认证的液位仪表时，常遇到储罐没有预留过程接口的情况，该情况下可以考虑采用射线式、外测式液位测量仪表。某品牌的声纳式外测液位计取得了SIL3的认证，无需在罐壁上开孔，也无需接触罐内的介质，特别适用于罐区改造项目中储罐没有预留开口的情况。

另外，罐区仪表的选型应综合考虑经济合理、可选择范围广、技术成熟、维护及校验方便、免维护或售后服务优良等因素，同时还应兼顾介质的特性、项目的投资情况、项目的整体自动化水平等[5]。

2.4 安全仪表系统回路的配置

安全仪表系统回路的配置应满足独立设置、中间环节最少、故障安全、可靠性、可用性等原则，其中故障安全原则是指当安全仪表系统内部发生故障时，安全仪表系统应能按照设计的预定方式，将过程转入安全状态。具体体现如下：

1)开关量测量仪表。故障安全型指正常工况时触点应处于闭合状态，异常工况时触点应处于断开状态，必要时仪表应采用“二取一”“二取二”“三取二”的配置。

2)传感器。故障安全型通常指发生断电、CPU故障、断线等故障时，传感器传输的信号可以执行联锁动作，使设备/单元/装置等达到安全状态。

3)最终元件。故障安全型通常指断电、断气、断信号时，最终元件的状态或位置应该保证设备/单元/装置处于安全状态。

4)非可编程序控制器。通常指继电器构成的逻辑电路，故障安全型是指工艺正常时继电器线圈带电励磁，工艺异常时继电器线圈失电非励磁联锁动作。

5)开/停电机信号。开/停电机的接点信号在送往电气配电室时应加中间继电器隔离，根据故障安全原则，其励磁电路一般设计成启动信号为常开触点，停机信号根据电机功率的高低设计为对低压小功率电机的常闭触点或对高压大功率电机的常开触点。

2.5 SIL认证

随着安全仪表系统的普及，仪表的SIL认证成为能否满足SIF的最基本要求，因此SIL认证机构也如雨后春笋般遍地发芽，国外有美国的Exida，德国TUV，法国BV等；国内有上海所、北京所等。各个机构出具的SIL认证，由于认证周期、应用范围、机构影响力等的不同，价格也相差悬殊。

一份规范的SIL认证证书至少应包含以下内容：认证产品的SIL等级；认证产品的名称，是变送器、阀门，还是其他仪表；认证参考的标准号；认证产品的类别；认证产品的重要参数等。

采用取得SIL认证的仪表，也不能保证整个SIF回路满足SIL等级的要求，只能说明该仪表可以应用到相应等级的安全联锁回路中。

3 应用案例

3.1 项目概况

某石化公司储运车间对汽油组分罐进行了改造，改造后的流程如图1所示。在安全仪表系统改造过程中，经HAZOP分析及SIL等级评估后，将以下SIF回路定级为SIL1：

1)储罐的高高液位开关联锁关闭相应进罐线的气动切断阀。

2)储罐的低低液位开关联锁关闭相应出罐线的气动切断阀并联锁停泵。

图1 改造后的汽油组分罐流程示意

3.2 改造内容

根据GB/T 50770—2013《石油化工安全仪表系统设计规范》[6]和《中国石化易燃和可燃液体常压储罐区整改指导意见》4.1.3和4.1.4条款，该项目参与安全联锁的进出罐管线气动开关阀在原气动开关阀的电磁阀回路中串联1只新的电磁阀。根据SIL等级评估，新增电磁阀应满足SIL1的要求，电磁阀配置如图2所示。新电磁阀在紧急状态下实现安全仪表系统紧急联锁切断功能，原电磁阀在正常工况时用于阀门的开关控制；新电磁阀的DO信号来自安全仪表系统，原电磁阀的DO信号来自SCADA系统。气动开关阀的阀位回讯信号接入安全仪表系统，再通信至SCADA系统上显示，阀位回讯信号电缆原物利用。

考虑到污油罐没有预留安装接口，综合考虑成本控制及工期因素等，参与安全联锁的液位开关更换为具有SIL认证的外测式产品。

用户根据设计重新配置的安全仪表功能回路满足了SIL1的要求，降低了罐区事故的风险值，提高了罐区的安全性。