SIL评估方法在合成氨装置的应用

2022-03-23田龙

自动化仪表 2022年3期

田龙

(云南云天化红磷化工有限公司，云南开远 661600)

0 引言

合成氨是化肥制造的基础原料产品。合成氨生产工艺以煤为原料，经过煤制气、净化、压缩、脱碳、精炼、合成等工序生产合成氨。合成氨工艺具有易燃、易爆、高温、高压等危险特性，是国家安全监管总局关于公布的首批重点监管危险化工工艺。根据《国家安全监管总局关于加强化工安全仪表系统管理的指导意见》(安监总管三〔2014〕116号)要求，必须对在役合成氨装置开展安全仪表系统(safety instrumented system，SIS)评估，加强SIS的生命周期管理，提升本质安全水平。本文以合成氨装置典型的安全仪表功能(safety instrumented function，SIF)回路进行安全整性等级(safety integrity level,SIL)定级为例，开展生产工艺过程危险与可操作性分析(hazard and operability study，HAZOP)分析和保护层分析(layer of protection analysis，LOPA)，确定现实安全风险等级。通过SIS的SIF回路的安全功能分配，达到降低风险的目的。

1 合成氨装置的HAZOP

风险是某个规定的危险事件发生的频率及其后果的一个度量[1]。在进行HAZOP之前，企业应制定风险矩阵，以明确风险的可能性和后果严重程度标准。后果严重程度分为1～5级，即低后果、较低后果、中后果、高后果、很高后果。分别从人员职业健康影响、财产损失影响、环境影响及企业声誉影响四个维度评价后果的严重程度。风险发生的频率分为1～7级，即发生频率在10-6～1。识别出的高(很高)风险必须采取降低风险的措施，使之达到允许风险。低风险不需采取行动，中风险可选择性的采取行动。

本文以合成氨造气工序半水煤气气柜作为分析节点，开展HAZOP分析。造气工序的主要工艺过程如下。

由蒸汽过热器而来的过热蒸汽，经过煤气发生炉上部进入炉内。蒸汽在煤气发生炉内自上而下经过高温炭层，分解得到半水煤气。温度约350 ℃的半水煤气由炉底引出后进入安全槽，通过半水煤气总管送至造气废热锅炉回收热量，使半水煤气温度降至140 ℃左右。最后，半水煤气送入煤气洗涤塔底部，与顶部喷淋下来的水逆流接触除尘、降温，再送往半水煤气气柜贮存使用。来自气柜的半水煤气(1.0～4.5 kPa)经罗茨风机加压送至半水煤气净化工序处理。本文主要分析的设备或分析参数包括气柜腐蚀状况、气柜内半水煤气氧含量参数、气柜的高度测量仪表及气柜生产运行其他方面的参数等。本文通过引导词分析其偏离可能原因、后果及现有的安全措施，从而给出建议措施，实现对气柜高度参数偏差场景的分析。简化的气柜危险性分析如表1所示。

表1 气柜危险性分析Tab.1 Hazard analysis of gas storage tank

通过分析可以看出：罗茨风机(碳氢压缩机)故障停机或气柜高度测量仪表故障测量值错误，可能导致气柜升高，严重时甚至导致气柜导轨脱轨，造成半水煤气泄漏风险。此过程风险评估为中风险，需增加气柜升高后的自动放空阀。当上游造气工序产气量低、无半水煤气送入或气柜高度测量仪表故障测量值错误时，下游设备继续运行会导致气柜高度降低，严重时会使气柜抽负压，造成设备损坏和有空气窜入气柜的风险。此过程风险评估等级为中，且现有的保护措施不足。对此，建议开展LOPA分析，进一步确定现有保护层是否达到过程安全目标。

2 SIL定级

LOPA是在定性危害分析的基础上，进一步评估保护层的有效性，并进行风险决策的系统方法[2]。对现实风险和预防或减轻危险的保护层通过量化计算其发生危险事件的概率，确定风险降低是否达到目标风险要求。如果风险达不到过程安全目标，则能以SIF的形式实现风险的降低。SIF的SIL可以通过LOPA分析导出。根据表1的气柜危险性分析场景继续开展LOPA分析。

气柜高度参数偏差场景分析结果为：气柜高度降低，严重时气柜抽负压，设备损坏，空气窜入，引起火灾爆炸，造成人员伤亡。物位测量失效可能导致气柜抽负压、设备损坏，使空气窜入遇明火引发爆炸，点火概率取1.0。人员暴露概率的计算方式为：如果人员在现场，则取1.0。但根据生产操作实际情况，主要为巡检人员暴露在现场。按1人每2小时巡检一次，一次0.25小时计算，人在影响区域的概率为(1人/次×4次×0.25小时/次)/8小时=0.125，取0.2。考虑事故后果影响范围和人员在事故现场时间的长短取致死概率，一般火灾致死概率取0.5。另外，考虑独立的气柜高度报警可作为关键报警和人员响应，可作为独立保护层，失效概率取0.1。

在不考虑现有保护层消减风险的情况下，综合该场景下的初始事件、使能条件、点火概率、人员暴露概率及后果严重性等级,得到该场景的初始风险。初始风险计算公式见式(1)[3]。

f=PIE×λEN×λFI×λEP

(1)

式中：f为初始风险频率；PIE为初始事件频率；λEN为使能条件概率；λFI为点火概率；λEP为人员暴露概率[3]。

根据式气柜高度参数偏差场景初始风险的频率(1)，f=PIE×λEN×λFI×λEP=1×10-1×1×0.2×0.5=1×10-2。

考虑现有保护层消减风险的情况下，LOPA分析中场景频率计算公式见式(2)[4]：

(2)

现有风险后果发生频率为1×10-3。现有风险等级为中，而保护层所取得的减轻和风险降低不足以满足最低目标风险值1×10-5。因此，需引入SIF作为独立保护层。所需要的SIF低要求模式下的平均失效概率最低需满足1×10-2，即在SIS中增加一个SIL2的SIF回路。给出的建议措施为增加气柜高度低低联锁停罗茨风机，以防止空气进入系统设备。以类似的方法，从财产、环境和企业声誉影响进行分析，现有的风险均为中风险，需采取进一步降低风险的措施。

3 SIL验证

3.1 SIF回路设计

为实现气柜高度控制回路的SIF达到SIL2级，气柜高度低低联锁停罗茨风机安全联锁(SIF03 LSLL-502203)设计如下。

气柜高度测量采用E+H超声波物位计。为保证联锁的安全性和可用性，设置3台测量仪表，分别为气柜高度测量LT-502203A、气柜高度测量LT-502203B、气柜高度测量LT-502203C(新增)。3台高度测量仪表中，任意2台仪表测量值同时低低(小于10%)时，联锁停罗茨风机。

SIF概念设计模型如图1所示。

图1 SIF概念设计模型Fig.1 SIF conceptual design model

每个物位传感器通过安全栅进入输入模块后再进入SIS;3个物位测量回路的输入采用2oo3结构；输出为1oo2结构，一路为控制罗茨风机的停车回路，另一路为控制停车回路的二次电源。

3.2 SIL验证假设条件

为了进行SIF03 LSLL-502203的SIS验证的可靠性计算，作以下假设。

①置设计使用年限为20年。

②各安全功能回路平均修复时间(mean time to repair，MTTR)假设为8 h。

③SIS各安全功能回路组件传感器、逻辑控制器及相关执行机构检验测试周期T=2年(17 520 h)。

④操作模式为低要求操作模式。

⑤SIF回路划分为：传感器单元、逻辑控制器单元和执行单元。其中：传感器、安全栅划归传感单元；逻辑控制器单元包括Al、AO、DI、DO、CPU及电源模块；执行单元包括继电器、电动机等。

3.3 SIL验证过程

SIL的验证需要大量的数据支撑和复杂的算法，通常依赖专业软件完成，如德国的exSILentia软件、HIMA 公司的SILence 软件以及西门子公司的SET 软件等[5]。根据ISA-TR 84.00.02—2002介绍的低要求操作模式下SIF可靠性评估的简化公式，可以为工程技术人员对SIF的初步评估提供依据。

3.3.1 传感器单元

传感器单元失效数据如表2所示。表2中：λDD为检测到的危险失效概率；λDU为未检测到的危险失效概率；λSD为检测到的安全失效概率；λSU为未检测到的安全失效概率[6]。

表2 传感器单元失效数据Tab.2 Failure data of sensor unit

对于每一个物位输入回路，有λDU=1.35×10-6+3.4×10-8=1.38×10-6。

物位测量2oo3结构在低要求模式下的平均失效概率Pavg-l简化计算公式如下[7]：

Pavg-l=(λdu)2×T2

(3)

式中：T为检验测试周期，h;Pavg-l为低要求模式下的平均失效概率。

根据式(3)，传感器的Pavg-l=(1.38×10-6)2×17 5202=5.85×10-4。

3.3.2 逻辑控制器单元

逻辑控制器单元包括模拟量输入模块[7]、逻辑控制器、电源模块、数字量输出模块等。根据TCS-900通用数据库的数据，逻辑控制器单元的Pavg约为1.33×10-4。

3.3.3 执行单元

联锁动作后同时停止罗茨风机，同时输出继电器分断罗茨机的控制回路二次电源。执行单元为2个独立的子系统SIF回路，分别验证总回路的平均失效率。执行单元总的结构为1oo2。执行单元1为安全继电器和高压电动机。执行单元2为安全继电器控制的二次回路电源。

执行单元的失效数据如表3所示。

表3 执行单元失效数据Tab.3 Failure data of execute unit

执行单元1联锁输出回路λdu=1.14×10-10+6.0×10-7=6.0×10-7。

执行单元1为1oo1结构,Pavg简化计算公式如下[8]：

(4)

SIF03 LSLL-502203回路的总的平均失效率为:

Psis=Ps+PL+PA

(5)

式中：Psis为SIS中特定SIF的平均失效概率；Ps为特定SIF传感器的平均失效概率；PL为逻辑控制器的平均失效概率；PA为特定SIF最终原件的平均失效概念率。

则执行单元1的Psis=Ps+PL+PA=5.85×10-4+1.33×10-4+5.26×10-3=5.97×10-3，达到SIL2等级要求。

执行单元2联锁输出回路λdu=1.14×10-10。

执行单元2为1oo1结构，Pavg简化计算公式同式(4)[8]。

则执行单元2的Psis=Ps+PL+PA=5.85×10-4+1.33×10-4+1.13×10-16=7.18×10-4，达到SIL3等级要求。

总上所述，SIF03 LSLL-l502203回路的SIL达到SIL2，达到所需的目标完整性等级SIL2，即SIF回路的设计满足等级要求。

3.4 结构约束

根据IEC 61511要求，SIF回路的传感器、逻辑控制器和执行单元应有最小的硬件故障裕度(hardware fault tolerance，HFT)。通过SIF回路失效概率的计算，结合HFT，得出结构约束的SIF[9]。定义最小的HFT是为了防止因SIF设计中一系列的假设和失效率数据选择不正确而导致的潜在缺陷。因此，需对子系统的HFT进行校核。

结构约束要求如表4所示。