王爱平， 沈立明

(中国化学赛鼎宁波工程有限公司，浙江 宁波 315000)

安全仪表系统(SIS)已经广泛应用于石油化工、医药化工及储运设施等行业。通过过程危害分析(PHA)，将SIS作为一种保护措施用于降低生产过程中潜在风险发生事故的概率。在石油化工领域，一个项目的安全仪表功能(SIF)需求通常来自三个方面，即工艺包提供的因果表(cause & effect)或联锁逻辑图；法律法规、标准规范或企业标准里的特定要求；基于过程危害分析后，为了预防潜在风险所需的SIF。但是工艺包给出的因果表或联锁逻辑图，一般不仅是基于安全需求的联锁，还包括了基于工艺自身需求的联锁及基于设备保护的联锁等；且联锁执行动作亦不明确哪些是主要动作，哪些是次要动作。PHA最常用的方法是HAZOP，虽然HAZOP是识别过程危害的一种非常有效的方法，但它只是一种定性的识别，并没有涉及后续相关活动(例如SIL评估)，也存在SIF被遗漏或定义不明确的可能。所以SIF的识别是非常必要也是重要的，SIF的识别及确定也是SIS全生命周期中重要的一环，若SIF设置不合适，则不但无法实现风险削减的目的，还可能会对生产过程的安全运行造成潜在威胁或发生不期望的安全事故。

下面以某氧化工艺中的关键工段中氧气与乙烯气体混合单元的联锁为例，来说明SIF回路的识别及其SIL等级的确定。

1 氧气与乙烯气体混合单元的工艺流程简介

该氧化工艺以氧气和乙烯为原料生产环氧乙烷，其中乙烯气体使用离心式压缩机被输送至混合器，氧气以高压的形式被输送至混合器与乙烯气体均匀混合。该工艺重点监控的参数是混合气中的氧浓度，氧含量太低，则反应效率低下，影响环氧乙烷的产出质量及总量；氧含量太高，则会达到乙烯气体的爆炸极限，有爆炸的风险。为了确保生产过程的安全，该工艺设置了高压氮气保护系统。装置在开车和停车阶段，氧气和乙烯气体必须在混合器M-101下游混合。当生产过程出现异常时，将联锁切断氧气管线停止供氧，并开启高压氮气保护系统对混合器单元吹扫保护，以防止乙烯气体经混合器M-101喷嘴进入氧气管道。在开车和停产阶段也必须用氮气进行保护。氧气与乙烯气体混合单元的简化流程如图1所示。

图1 氧气与乙烯气体混合单元简化流程示意

2 氧气与乙烯气体混合单元的联锁

该段工艺联锁的主要目的是在生产过程出现异常的情况下，切断氧气进料系统，停止供氧。当联锁启动时，将执行以下动作： 控制阀FV-1202，切断阀SDV-1201与SDV-1203关闭，且切断阀的关闭时间必须小于1 s；放空阀SDV-1202与SDV-1204打开，以释放FV-1202和SDV-1201，SDV-1201和SDV-1203之间管线中的氧气，通过泄放管线排放至安全区域；氮气吹扫阀SDV-1205及SDV-1206打开，使缓冲罐V-101中的高压氮气直接进入最后一道氧气切断阀SDV-1203的下游，从而保证乙烯气体不会进入氧气管道。同时，打开缓释剂阀HV-1208。氧气与乙烯气体混合单元简化联锁逻辑如图2所示。

图2 氧气与乙烯气体混合单元简化联锁逻辑示意

3 氧气与乙烯气体混合单元的HAZOP分析

依据工艺包提供的联锁逻辑图及因果表，结合其流程图，利用HAZOP方法对该段工艺流程进行过程危害分析，从而辨识出该段工艺可能存在的风险。以混合器及其上下游为节点，利用表1～表5相关资料及相关标准进行分析，HAZOP分析工作见表5所列。

表1 风险评估矩阵

表2 风险级别分类

表3 后果严重性分类

表4 事故发生的可能性分类

表5 HAZOP 分析

4 基于HAZOP分析的LOPA分析

LOPA 分析是一种在定性危害评估( 如 HAZOP，PHA)基础上，基于事故场景的半定量风险分析和评估方法。LOPA分析是通过对现有独立保护措施的可靠性进行量化评估，确定降低风险的能力，从而判断是否有足够的保护层使风险满足企业的风险可接受标准。

因为HAZOP与LOPA存在一定的对应关系，在实际的工程项目中LOPA分析通常和HAZOP分析一起使用。其对应关系见表6所列。

LOPA分析与HAZOP分析的对应关系并不是严格对应的，因为独立保护层(IPL)是独立于初始事件(IE)，独立于该场景其他保护层的有效保护措施。故IPL一定是保护措施，但保护措施不一定能作为IPL。

表6 HAZOP 分析结果与LOPA的对应关系

LOPA分析是针对单一场景进行的，一般情况下每个场景只有1个唯一的初始事件及对应的单一后果。下面利用LOPA方法对表1中的危险场景进行分析，LOPA分析见表7所列。

表7 LOPA分析结果

依据上述对调节回路FIC-1202故障导致阀门开度变大，使混合器M-101出口氧含量增高而发生爆炸事故场景的分析，在该联锁中无论氧气流量变化率高高、氧浓度高高、氧气流量高高均可通过联锁切断氧气进料，来达到阻止事故发生的目的。由于其独立于初始事件及其他保护措施，所以可定义为独立保护层，该独立保护层是安全仪表功能保护层，这就是针对该场景而识别出的SIF，可降低因FIC-1202故障导致阀门开度变大，使混合器M-101出口氧含量增高而发生爆炸事故的频率。对于工艺包联锁简述中的打开氧气放空阀及打开氮气吹扫阀等措施，虽然能够减缓或避免连带事故的发生，但不能直接降低或阻止该场景导致的后果，所以该措施不属于该SIF的主要动作，应属于该联锁的连带动作；对于工艺包联锁简述中的打开缓释剂阀HV-1208，其目的只是保护催化剂，对于该场景无任何保护效果，所以不属于该SIF的主要动作，亦属于该联锁的连带动作。

由上述分析可知，切断氧气管线进料阀是为阻止因调节回路FIC-1202故障阀门开度变大导致M-101出口氧含量增大而发生爆炸事故场景的主要动作，联锁打开氮气吹扫阀、氧气放空阀及打开缓释剂阀门是连带动作。所以在该场景中只对能阻止事故发生的主要动作进行SIL定级。

5 结束语

通过案例分析，笔者简单地介绍了SIF回路的识别过程。从中可以看出，并不是所有的联锁动作属于SIF，其中大部分与安全无关，仅作为连带动作在执行。在实际工程项目中，识别SIF回路是一个系统工程，识别的方法有很多种，都有其各自的流程及特点，识别结果也和参与工程项目技术人员的工作经验有密切的关系。只要把握住SIF是一种安全功能或安全措施，是为了降低某个特定危险场景的发生频率而设立的原则，对生产工艺进行严格的风险评估，一定能准确地识别出生产过程需要的SIF，从而达到使生产过程安全、平稳运行的目的。