哈向军，李作财

（鄂尔多斯市乌兰鑫瑞煤化工有限责任公司，内蒙古自治区 鄂尔多斯 017209）

0 引言

某热电厂锅炉液位高高停炉联锁的传感器子系统为三取二逻辑，其中3 个差压液位计三取中作为1 个输入点，其他两个输入点是两个相同型号的电接点液位计，3 个输入点三取二输出液位高高联锁停炉。

生产过程中因两个电接点出现共因失效，导致联锁误动作。经过分析，可能原因是锅炉水质变化引起的共因失效。因联锁误动作而造成的停炉对于下游装置的平稳生产有很大的危害，停炉过程中也存在其他方面的风险。拟计划将该联锁的传感器子系统由三取二改为二取二，避免两个电接点液位计出现共因失效导致的联锁误动作。为保证修改的合理性和科学性，本文采用HAZOP+SIL 评估方法阐述变更的可行性。

1 分析方法

1.1 HAZOP方法

危险与可操作性分析（HAZOP）是以系统工程为基础，针对装置工艺过程开发的危害辨识技术，是目前工艺危害辨识中应用最广泛的技术。HAZOP 分析是由各专业人员组成的分析组，以一系列会议的形式对装置工艺过程的危险和操作性问题进行分析。HAZOP 分析的直接对象是工艺或操作的特殊点，这些特殊点称为“分析节点”或工艺单元，或操作步骤。对于每一“分析节点”，HAZOP 分析组以正常操作运行的工艺（状态）参数为标准值，分析运行过程中工艺（状态）参数的变动（即偏离），同时分析出现偏离故障的原因、后果及应采取的措施。

HAZOP 分析实施过程可以分为以下3 个主要阶段：分析准备、分析会议和分析报告[1]。

1.2 SIL评估方法

安全仪表系统（SIS）的安全完整性等级（SIL）代表了该联锁的失效概率，而联锁作为安全生产的一道重要的保护措施，从安全生产角度来说，联锁失效概率越低越好，而实际情况是联锁失效概率越低，SIS 系统的资金投入将非常巨大。因此，合理的联锁失效概率（SIL 等级）非常重要。SIL 等级与平均失效概率对照表见表1。本次分析所使用安全仪表系统（SIS）的SIL 定级方法为GB/T21109.3-2007《过程工业领域安全仪表系统的功能安全 第3 部分：确定要求的安全完整性等级的指南》中推荐使用的保护层分析（LOPA）方法[2-4]。

表1 SIL等级与平均失效概率对照表Table 1 SIL level and average failure probability comparison table

保护层分析法（Layer of Protection Analysis，LOPA）是在定性危害分析的基础上，进一步评估保护层的有效性，并进行风险决策的系统方法，是基于事故场景的一种半定量分析方法。其主要目的是确定是否有足够的保护层使风险降低到企业可接受标准。

根据Q/SH0560-2013《中石化HSE 风险矩阵标准》，本次保护层分析采用的风险矩阵及可接受风险标准见表3～表6[5]。该可接受风险标准符合《危险化学品生产、储存装置个人可接受风险标准和社会可接受风险标准（试行）》（国家安全生产监督管理总局2014年第13 号公告）的要求。

表3 A类子系统最低硬件故障裕度要求Table 3 Minimum hardware fault margin requirements for Class A subsystems

2 HAZOP和SIL评估过程

2.1 HAZOP分析结果

锅炉液位高的主要后果是主蒸汽温度下降、主蒸汽带液，可能造成汽轮机损坏、裂解停车。主要后果是汽轮机叶片、转子的损坏即财产损失。危险与风险分析详细内容见表2。

表2 HAZOP分析记录表Table 2 HAZOP Analysis record sheet

2.2 LOPA分析与SIL定级结果

依据HAZOP 分析的内容，针对锅炉液位过高联锁停机回路，从事件后果、严重性、初始事件、现有消减措施等维度进行LOPA 分析及SIL 定级。依据LOPA 分析的结果，无锅炉液位过高联锁时的风险缺口为2×10-2，依据SIF 需求时的平均失效率将锅炉液位过高联锁的SIL 等级定义为SIL1。

2.3 SIL验算

2.3.1 结构约束验证

安全仪表功能的结构约束验证依据GB T20438（IEC 61508）《电气/电子/可编程电子安全系统的功能安全》或者GB T21109（IEC 61511）《过程工业领域安全仪表系统的功能安全》。GB T20438（IEC 61508）对于SIF 结构上影响SIL 等级的因素界定为组件的安全失效分数（Safe Failure Fraction，SFF）及硬件故障裕度（Hardware Fault Tolerance，HFT）[6]。根据GB T20438（IEC 61508），不同安全失效分数的A 类/B 类子系统所对应的最低硬件故障裕度见表3和表4。

根据表3和表4结构约束要求，原联锁结构和修改后的结构约束均满足要求：

表4 B类子系统最低硬件故障裕度要求Table 4 Minimum hardware fault margin requirements for class B subsystems

1）原锅炉液位高高联锁停炉的结构约束

传感器子系统：压差液位计三取中（1oo3）与两个电接点液位计（2oo3）。

逻辑解算器：Tricon（2oo3）。

执行机构：EMV103/XV7101（2oo2）。

根据表3和表4要求，原锅炉液位高高联锁停炉的结构约束为SIL1。

2）修改后的锅炉液位高高联锁停炉的结构约束

传感器子系统：压差液位计三取中（1oo3）与一个电接点液位计（2oo2）。

逻辑解算器：Tricon（2oo3）。

执行机构：EMV103/XV7101（2oo2）。

根据表3和表4要求，修改后的锅炉液位高高联锁停炉的结构约束为SIL1。

本次锅炉液位过高联锁的变更内容主要是将传感器子系统由2oo3 结构变更为2oo2 结构，综合上述几个表格可以得出结论如下：从结构约束角度，原设计方案符合要求，本次联锁变更的内容不影响该安全仪表功能的安全完整性等级。

2.3.2 SIF需求时平均失效率（PFDAVG）计算

安全仪表系统的安全功能在要求时的平均失效概率，是计算和组合所有提供安全功能的子系统的平均失效概率来确定的，安全仪表系统的平均失效概率计算公式如下：

PFDavg=PFDavg,s ＋PFDavg,ls ＋PFDavg,fe

其中：PFDavg 为安全仪表系统在要求时的平均失效概率；PFDavg,s 为传感器子系统在要求时的平均失效概率；PFDavg,ls 为逻辑控制器在要求时的平均失效概率；PFDavg,fe 是最终执行元件在要求时的平均失效概率。

子系统的平均失效概率采用GB T21109（IEC 61511）附录A 中的A.3 简化公式。该锅炉的检修周期为1年，因此安全仪表系统（SIS）的检验测试周期为1年（8760 h）。本项目的失效数据来源[7]于几个方面：①设备制造厂家提供的失效数据；②EXIDA 公司出版的失效数据库；③现场使用经验及专家经验。

1）针对SIF 回路失效率计算

原锅炉液位过高联锁停机回路的失效率计算，见表5。

表5 原锅炉液位过高联锁停机回路的失效率Table 5 Failure rate of the original boiler liquid level too high interlock shutdown circuit

联锁变更后，锅炉液位过高联锁停炉回路的失效率计算，见表6。

表6 变更后锅炉液位过高联锁停机回路的失效率Table 6 The failure rate of the interlock shutdown circuit after the boiler liquid level is too high after the change

2）各SIF 回路验算结果

本次锅炉汽包液位高高停炉联锁的变更内容主要是将传感器子系统由2oo3 结构变更为2oo2 结构，综合上述几个表格可以得出结论如下：原设计方案中，该SIF 符合SIL1 的要求，联锁变更后传感器子系统的失效率明显增加，但变更后SIF 的失效率依然可以满足SIL1 的要求，因此本次联锁变更的内容不影响该安全仪表功能的安全完整性等级。

2.3.3 其他可行性方案研究

依据本项目变更的原因，是锅炉水质导致的电接点液位计共因失效引起了联锁的误动作，虽然将该联锁的传感器子系统由三取二改为二取二，可以避免两个电接点液位计出现共因失效导致的联锁误动作，但牺牲了该联锁的可靠性。因此，提出以下两种可行性变更方案加以分析探讨：

1）方案1：将传感器子系统中3 个压差液位计中的两个与两个电接点液位计中的一个组合成三取二（2oo3）模式作为该联锁触发条件，见表7。

表7 方案1失效率计算Table 7 Calculation of failure rate of scheme 1

2）方案2：将传感器子系统中的两个电接点液位计做二取一（1oo2）逻辑再与3 个压差液位计三取中组合成二取二（2oo2）模式作为该联锁触发条件，见表8。

表8 方案2失效率计算Table 8 Calculation of failure rate of scheme 2

从结构约束和失效率计算角度看两个方案的结果如下：

将传感器子系统中3 个压差液位计中的两个与两个电接点液位计中的一个组合成三取二（2oo3）模式，作为该联锁触发条件的结构约束。

传感器子系统：压差液位计与一个电接点液位计（2oo3）。

逻辑解算器：Tricon（2oo3）。

执行机构：EMV103/XV7101（2oo2）。

根据表3和表4要求，结构约束为SIL1。

将传感器子系统中3 个压差液位计中的两个与两个电接点液位计中的一个组合成三取二（2oo3）模式，作为该联锁触发条件的失效率计算。

传感器子系统中的两个电接点液位计做二取一（1oo2）逻辑再与3 个压差液位计三取中组合成二取二（2oo2）模式，作为该联锁触发条件的结构约束。

传感器子系统：压差液位计三取中（1oo3）与两个电接点液位计（1oo2）组合（2oo2）。

逻辑解算器：Tricon（2oo3）。

执行机构：EMV103/XV7101（2oo2）。

根据表3和表4要求，结构约束为SIL1。

传感器子系统中的两个电接点液位计做二取一（1oo2）逻辑，再与3 个压差液位计三取中组合成二取二（2oo2）模式作为该联锁触发条件。

综上所述，上述两种将锅炉液位高高联锁回路的传感器子系统变更的方案从结构约束和失效率的角度均能符合要求，并且可靠性要比原变更方案高。

3 评估结果及建议

3.1 SIL评估结果

通过对锅炉液位高高联锁停炉的HAZOP 分析、LOPA分析、SIL 定级、SIL 验证以及其他可行性方案的研究，可得到如下结论：锅炉液位高高联锁停炉回路应为SIL1 级。因锅炉水质变化引起的联锁误动作，通过修改传感器子系统的逻辑无法解决根本问题，通过变更方案可行性研究，将传感器子系统由2oo3 结构变更为2oo2 或者其他结构后，该SIF 的SIL 等级虽然仍然为SIL1 级，但必然会降低部分该联锁的可靠性。因此，需要慎重选择该联锁的变更方案。

3.2 SIL评估建议

本次联锁变更SIL 评估过程中将设备检验测试周期定为1年，在此基础上进行评估验证得出相应的结论。因此，在实际操作维护中应遵循该检验测试周期进行检验测试。检验测试时，应制定周密的检验测试方案，防止在检验测试过程中，由于误操作、管线隔离不彻底等原因造成事故。联锁变更操作时亦应该制定详细的施工方案，通知并对相关人员进行培训，使相关人员掌握该联锁变更的具体情况，降低人为失误带来的系统失效风险。

通过采用HAZOP+SIL 评估可以避免联锁变更的盲目性，选择较为稳妥的变更方案，确保功能安全的可靠性得到有效保障。