谢冬晖

(中国恩菲工程技术有限公司, 北京 100038)

0 引言

安全仪表系统(简称SIS)，是实现一个或多个安全仪表功能的仪表系统，一般由测量仪表、逻辑控制器和最终元件组成[1-2]。

按照《国家安全监管总局 住房城乡建设部关于进一步加强危险化学品建设项目安全设计管理的通知》(安监总管三〔2013〕76号)、《国家安全监管总局关于加强化工安全仪表系统管理的指导意见》(安监总管三〔2014〕116号)等有关规定，生产多晶硅产品的某企业需要在其属于“重点监管的危险化工工艺、重点监管的危险化学品和重大危险源(简称两重点一重大)”的工艺单元上进行工艺、自控等专业的改造设计，建设和运行符合规范要求的安全仪表系统。

中国恩菲公司在2018年初与某企业签订了SIS建设项目的评估设计合同，主要工作范围是：进行危险与可操作性分析(简称HAZOP)并出具相关报告；依据HAZOP报告中的分析结果，选择需要设置SIS的工艺单元，依照相关法规和标准设置具有安全仪表功能(简称SIF)[3]的控制回路，并确定每个SIF的安全完整性等级(简称SIL)[3]；根据定级结果设计SIS实施技术方案；对SIS仪表和控制系统进行SIL验证。

1 HAZOP分析

1.1 HAZOP分析概述

HAZOP分析由一个具有不同专业背景的专家组成的小组，通过系统的方法识别和评估工艺流程中的危险因素和可能引起的后果，并提出应对措施和办法[4]。HAZOP分析基于小组成员的经验基础上进行，在分析过程中需要业主方具有操作经验的专业人员参与，可以使得分析更加客观和专业。在本项目中，HAZOP小组成员包括安全咨询专家、工艺和自控专业设计负责人、某企业的各车间主管、工艺技术员、操作班长、安环部门技术员等。具有丰富经验的安全咨询专家担任小组主席，负责掌控整个分析的过程和节奏，其他小组成员在主席的指导下参与分析，提出自己的观点和意见。

由于本项目的最终目标是建立SIS系统，不是传统意义上针对某个工程项目的工艺过程全方位、综合性的分析，因此HAZOP分析的范围仅限于针对某企业现有工艺装置联锁保护的事故场景，以及对没有设置联锁的关键设备设施进行偏差识别和风险分析。HAZOP分析的基础材料主要包括PFD图、P&ID图、DCS联锁台账及相关资料等。

1.2 HAZOP分析方法

本项目的HAZOP分析以经验法为主，结合传统的HAZOP引导词分析法，即将一个系统划分成多个节点，并采用优选的引导词。HAZOP小组主席采用引导词(如无、多、少等)和关键工艺参数(如流量、液位、压力等)，引导小组通过集体讨论从操作和设计角度准确找出导致偏差的可能原因(如无流量、高液位、低压力等)。每个节点都会以引导词为线索依次分析，找出工艺偏离正常操作条件的原因。此方法要求彻底完全地分析每一个节点，以识别由于工艺偏差而导致的潜在安全问题和可操作性问题。HAZOP小组识别了所有原因后，必须确定最终可能导致的后果并评估其危险严重性，才能分析出现有的安全保护措施是否足够控制风险，如果答案是否定的，就需要建议增加新的安全保护措施。

1.3 HAZOP分析记录表

HAZOP分析过程中，记录表是十分重要的过程文件，需要记录划分的每个节点的设计意图、危险和可操性问题，由于已有安全措施不足以保护工艺系统而提出的降低危险的措施和建议也需要记录在表中。典型的记录表如表1所示。

表1 HAZOP分析记录表

表1中各选项的详细释义如下：

(1)节点—选择工艺系统中某个合适的环节；

(2)设计意图—描述该节点的工艺设计目的；

(3)参数/引导词—工艺参数结合引导词产生的偏差作为小组分析的提示；

(4)详细偏差—列出该节点内每一项需要分析的偏差；

(5)原因—识别出所有导致偏差出现的明确或潜在的原因；

(6)后果—不考虑已有安全措施的前提下，识别每个偏差导致的最终结果；

(7)保护措施—详细列出每一条已有的安全措施，并评估其能否把后果从危险降低到安全级别；

(8)建议措施—如果保护措施不足，提出建议增加的安全措施。

HAZOP小组在完成一个参数/引导词组合后，就可以进行该节点内其他参数/引导词组合的分析，直至结束本节点所有分析，其他节点的分析也照此循环进行。

1.4 HAZOP分析规则

在HAZOP分析时，必须要制定好规则并严格遵守，以避免HAZOP分析过程出现偏离目标、重复工作、缺乏衡量标准等问题。本项目HAZOP小组分析过程中遵循的规则如下：

(1)原因和后果至少有一个必须是在相应的节点里面找；

(2)考虑后果时，不考虑已有的安全措施；

(3)如果某原因导致多种工艺偏差的出现，则不需要采用不同的引导词进行分析；

(4)初始事件原因是安全措施失效，则该安全措施将不予采用；

(5)同一系统或设备同时出现两种或以上故障的情况不予以考虑；

(6)对于两个或更多相似的系统或设备，只分析其中一个。

1.5 HAZOP分析结果

经过详细、准确的HAZOP分析后，HAZOP小组就所有的建议进行了充分的讨论并最终达成一致意见，为某企业的SIS建设项目提出了175项建议措施。这些建议都是针对设计、安全和操作方面的，能够解决潜在的安全或可操作性问题，有效降低多晶硅生产装置的工艺风险。

通过本节内容可以看出，HAZOP报告是开展SIS系统SIL定级工作的基础性文件和指南，具有十分重要的意义和作用。

2 SIF识别与SIL定级

2.1 有关概念

SIF包括安全保护功能和安全控制功能，由SIS(测量仪表、逻辑控制器、最终元件和软件)实现，以防止、减少危险事件发生或保持过程安全状态。

本项目的SIL定级采取了保护层分析(简称LOPA)方法。LOPA是对事故场景初始事件(简称IE)、后果和独立保护层(简称IPL)进行分析，对其风险进行半定量评估的系统性方法。

SIL是在规定时间和条件内SIS完成SIF的平均概率的等级，由低到高为SIL1～SIL4。SIL在低要求操作模式时，采用要求时失效概率(简称PFD)进行衡量，也即当系统要求IPL起作用时，IPL发生失效不能完成一个具体功能的概率，如表2所示。

表2 低要求操作模式下的SIL等级

如果PFD数值位于[10-1，1)区间，可以将其SIL等级写为SILa，该等级的SIF可采用如DCS、PLC等常规控制系统实现。

LOPA方法进行SIL定级的程序步骤，如图1所示[5]。

图1 LOPA基本程序

2.2 工作范围

中国恩菲根据HAZOP报告和某企业的实际情况，明确了本项目的SIF识别和SIL定级工作的范围为：

(1)针对现有联锁保护进行保护场景识别和保护层分析，明确其安全功能并确定SIL等级，判断是否需要改为由SIS系统实现；

(2)针对没有设置联锁的关键设备设施进行典型事故场景识别和保护层分析，确定是否需要新增联锁及相应的SIL等级，判断是否需要由SIS系统实现；

(3)根据国家安监局相关文件要求，确定需要进入SIS系统实现的SIF(具有相应的SIL等级)和紧急切断功能。

2.3 SIF的识别

对新建项目而言，SIF识别过程一般会依据如下文件：

·工艺管道和仪表流程图(P&ID)；

·联锁逻辑图；

·ESD因果矩阵；

·HAZOP分析结果。

由于本项目属于现有设施运营多年后进行改造，其实际状况和原始设计文件有差别和变动，因此中国恩菲和业主设计部协同工作，对P&ID、联锁台账等进行了更新，作为SIF识别的最终依据。

2.4 用LOPA法进行SIL定级

依据HAZOP报告结论，中国恩菲按照LOPA方法的程序步骤，确定了本项目各个SIF的SIL等级。下面用前文表1中的节点22“第三组分离1#塔”作为示例，展示进行SIL定级的具体过程。

(1)建立事故风险容许度标准

建立事故风险容许度标准的目的是保护人员安全、防止环境破坏和财产损失。

中国恩菲结合国际/国内同类公司采用的可容忍风险等级，为某企业推荐了安全、环境、财产三类风险事故后果的可接受频率，得到了业主的认可。表3为本项目中使用的安全风险事故后果可接受频率。

表3 安全与健康相关事故后果的可接受频率

环境和财产两类风险事故后果的可接受频率在本项目SIL定级中未列出，是对于同一SIF在保护不同类型的事故后果时，只分析风险可接受频率较低的类型。例如超过1 t石油外溢的环境破坏，业主的风险可容忍频率为1×10-4/年，而人员安全和财产风险类型的可容忍频率都是1×10-3/年，那么三种风险类型选择更低的1×10-4/年即可。

在其他工程项目中，应根据业主意愿、项目具体情况、内外部有关影响因素等综合选择风险事故。特别需要注意的是事故风险容许度标准在不同国家、地区、行业、项目中会有所不同，在提出该标准时一定要满足有关规定并经业主确认。

(2)事故场景和后果

节点22的事故场景是“第三组分离1#塔塔顶压力突然上升，会超过塔的设计压力，塔顶二氯二氢硅泄漏，可能发生爆炸”，事故后果是“造成1人死亡”。根据表3可知该事故后果的频率不高于1×10-4/年，属于业主的可容忍接受范围。

(3)IE

IE是事故场景的初始事件原因，一般分为三种类型，包括外部事件、设备故障以及人员失误，其发生频率或频率范围以“年”为单位。外部事件主要包括自然灾害、厂区外邻近区域重大事故和火灾爆炸、破坏恐怖活动等；设备故障主要包括控制系统故障、机械故障、阀门故障、管道和储罐失效泄漏，以及停水、停电、停气等公辅设施故障；人员失误主要包括操作、维护、关键响应、作业程序等失误。

节点22事故场景的初始事件有两个，一是“第三组分离1#塔塔顶冷却失效”，二是“PV10T01故障，T75.再沸器加热过度”，均属于设备故障。

根据有关中国安全标准和国际认可的数据，可将节点22的IE1“冷却失效”的频率取值设为1×10-1/年，将IE2“PV10T01故障”的取值设为1×10-1/年。

(4)IPL

IPL是指独立于场景初始事件或别的保护层的系统、行动、设备等，能够阻止事故场景发展为不期望后果。

对一个生产企业来说，“本质安全设计”“基本过程控制系统BPCS”“报警&人员响应”“安全仪表功能SIF”“物理保护”“释放后保护设施”以及“工厂和社区应急响应”都是典型的保护层，但是否能够作为IPL，则需要满足一定的具体要求。比如BPCS要作为IPL，就需要满足和安全仪表系统分离(物理层面)、其故障不是造成IE的原因、多个回路视作一个IPL等具体要求，又比如一般的报警&人员响应很难被视为IPL。一个标准的IPL应满足独立性、有效性、安全性的要求，同时可变更管理和可审查。

节点22在项目改造前没有符合条件的IPL，在项目HAZOP分析过程中，业主决定在有关塔(包括节点22在内)的塔顶增加工艺安全阀，因此中国恩菲将安全阀作为IPL引入SIL定级，并取值为1×10-2/年。

(5)确定SIL等级

节点22的SIL定级分为两部分，一是对现有联锁保护进行分析，判断其SIL等级并决定是否需要由DCS改为SIS实现；二是判断新增联锁由SIS实现所需的SIL等级。这两部分的SIL定级通过定级计算表完成，如表4、表5所示。

表4 SIL定级计算表1

表5 SIL定级计算表2

SIL定级计算表中有“触发事件或条件”“后果条件修正”两选项，其作用是对事件场景进行修正，节点22虽未予采用，但对定级结果没有影响。这两个在其他项目中，建议根据具体情况决定是否采用和赋值。

将事故风险降至业主的可容忍风险以下所需的数值，即为该SIF的PFD值，用PFDSIF表示，可通过公式(1)计算：

(1)

将表4、表5中数值代入公式(1)后计算可得，节点22的SIF1(现有DCS联锁)的PFDSIF值为1.00E-01，SIF2(新增联锁)的PFDSIF值为1.00E-01。通过对照表2的SIL等级区间，可得出“SIF1和SIF2的等级为SILa，采用常规DCS系统即可实现该功能”的初步结论。

但是《危险化学品重大危险源监督管理暂行规定》(国家安全生产监督管理总局令第40号)中第十三条中要求：涉及毒性气体、液化气体、剧毒液体的一级或者二级重大危险源，配备独立的安全仪表系统(SIS)。根据某企业提供的危险化学品重大危险源分级结果，节点22所属工艺装置已构成一级重大危险源。因此节点22的最终SIL定级结果为：一、SIF1(现有DCS联锁)等级为SILa，功能保留，在DCS上实现；二、SIF2(新增联锁)等级为SILa，按40号令进SIS系统，功能在SIS上实现。

3 SIS实施技术方案

中国恩菲在完成该项目的HAZOP报告、SIF确定与SIL定级报告后，以报告内容为依据，进行了项目实施技术方案(包括工艺专业和自控专业)的设计。该项目属于现有设施改造，业主根据技术方案自行组织了采购、施工等工作。下面仍旧以节点22为示例进行展示，如表6所示。

表6 SIS系统改造明细表

4 SIL验证

进行SIL验证的目的是：分析构成SIF回路的硬件安全完整性的结构约束，以及硬件随机失效的安全完整性等级要求，确定该SIF目前能达到的SIL等级，与SIL定级结果进行比较。如果该SIF未达到定级结果要求，则应重新进行硬件设计选型工作以使其达到SIL等级要求。

在本项目中，中国恩菲主要是基于业主提供的现场仪表设备和逻辑控制器的SIL认证证书(报告)和相关同类设备失效数据库，将各SIF表示为传感器子系统(输入)、逻辑子系统和最终元件子系统(输出)，利用国际流行的安全完整性等级评估软件exSILentia进行数据处理和验证计算，完成了SIL验证工作。

示例节点22- SIF2的SIL等级要求为SILa，经验证计算其PFDavg为1.47E-02，结构约束为SIL2，综合达到SIL1，能够满足等级要求。具体内容如表7所示。

表7 SIL验证工作表

5 结束语

SIS系统在工程项目中的正确应用，离不开“安全生命周期”这一概念。“安全生命周期”是指从一个项目的工程方案设计直至所有安全仪表功能停用的全部阶段[6]。除了前文论述的内容外，还应加上SIS工程设计、SIS集成调试验收、SIS操作维护变更、SIS功能测试和SIS停用等后续工作，才能构成一个完整的SIS系统安全生命周期，也意味着完成了一个真正意义上的SIS系统。这些后续工作需要设计院、系统集成商、业主等多方参与，有大量复杂的管理和技术活动，限于篇幅原因本文不进行描述，希望以后有机会再与各位专家、同行一起学习交流。