石油化工罐区安全仪表系统的设计与应用

刘其明

(山东德安安全技术服务有限公司，山东 淄博 255000)

1 安全仪表系统的定义和发展。

安全仪表系统是指用于将工艺过程或工艺特定设备置于安全状态的仪表和控制系统。安全仪表系统(SIS)包括安全联锁系统、紧急停车系统和有毒有害、可燃气体及火灾检测保护系统等。安全仪表系统系统独立于过程控制系统，生产正常时处于休眠或静止状态，一旦装置或设施出现可能导致安全事故时，能够及时响应，使装置和设施停止运行或自动导入预定的安全状态。

20 世纪 70 年代中期以前,相关安全系统的控制设备均由电磁继电器组成, 部分也采用固态集成电路构成，20 世纪80年代开始采用可编程序控制器 (PLC)。20 世纪 80 年代中期以后,伴随着微电子技术和控制系统可靠性技术的发展,专门用于有关安全系统的控制器系统，特别是安全型 PLC如模块级三重冗余系统(TMR系统)和带诊断的二选一双重化系统(1oo2D系统)等得到迅速发展和推广。

为了不断提高安全仪表系统的规范管理，我国与国际接轨先后颁布了GB/T20438《电气/电子/可编程电子安全相关系统的功能安全》、GB/T21109《过程工业领域安全仪表系统的功能安全》和GB/T50770《石油化工安全仪表系统设计规范》等标准、规范；2014年由原国家安全生产监督管理总局发布了安监总管三(2014)116号《关于加强化工安全仪表系统管理的指导意见》，进一步为石油化工行业规范建立和运行安全仪表系统提供了技术和政策支撑。

2 石油化工罐区安全仪表系统的设计

2.1 过程危险分析和风险评估

图1 风险和安全完整性的概念

风险是危险事件发生的概率与严重性的组合。每个工艺单元会发生不同的危险事件，每个事件对应相关联的风险。以储罐为例，需要测量压力、温度、液位，但它们的指标偏差会带来不同的概率与严重性等级的危险事件，相应的仪表也会有不同安全完整性等级(SIL)要求。因此要确定罐区每个安全仪表功能的SIL等级要求需要进行必要的过程危险分析和风险评估。风险和安全完整性的概念见图1。

目前有许多方式评估风险，归纳起来主要分为定性分析和定量分析两大类。定性分析能够更容易、更快捷的应用，但多依赖于经验判断，分析结果往往更加保守，即得出偏高的SIL要求，这会导致安全功能的过度设计，同时大幅增加生产成本；采用定量分析技术大多需要付出更多的努力，但是通过更加详细的定量分析，合理的给出SIL要求，经济效益明显。

对于石油化工企业的风险评估不仅要关注人员风险，同时还要将停工损失、设备损失、环境影响等风险纳入评估范围，因此石油化工罐区安全仪表系统的安全性能水平也要基于以上所有风险因素确定。保护层分析(LOPA)是目前进行风险评估应用最广泛的分析方法，对所有辨识出的危险，用表格列出其初始事件，防护措施即保护层措施，通过风险分析确定总体上需要哪些风险降低措施，是否需要 SIS 系统。一旦设定了可接受风险并估算了必要的风险降低，就能分配SIS的安全完整性要求。确定储罐区所有 SIS 的安全仪表功能，及这些功能需要满足的 SIL 等级，然后根据SIL 分级确定储罐仪表的设置。

2.2 安全仪表系统的安全完整性等级评估

安全仪表系统的安全完整性等级(SIL)是对安全系统性能水平的量度，但不是对过程风险的直接测量。用来规定分配给安全仪表系统的仪表安全功能的安全完整性要求的离散等级，SIL4是安全完整性的最高等级，SIL1为最低等级。每个安全仪表安全功能所需要的SIL应根据表1和表2来确定。

表1 安全完整性等级：要求时的失效概率

SIL定级的方法主要有ALARP模型、风险矩阵、校正的风险图、保护层分析(LOPA)等，在设计过程中,这些方法对于安全仪表系统的安全完整性等级的认定具有借鉴、指导意义。

本文介绍其中的一种半定量的方法: 保护层分析(LOPA)。保护层分析是在定性危害分析的基础上，进一步评估保护层的有效性，通常使用使用初始事件频率、后果严重程度和独立保护层(IPL)失效频率的数量级大小来近似表征场景的风险，其主要目的是是确定是否有足够的保护层使过程风险满足企业的风险可接受标准。

表2 安全完整性等级：SIF的危险失效频率

保护层分析(LOPA)的程序包括：场景识别与筛选、初始事件确认、独立保护层(IPL)评估、场景频率计算、风险评估与决策、后续跟踪与审查。下面是以某石化企业罐区通过LOPA分析后进行SIL定级的记录表格范例。

表3 某石化企业罐区SIL定级记录表

2.3 安全仪表系统的设计

2.3.1 石油化工罐区安全仪表系统设计的基本原则

安全仪表系统应设计成故障-安全模式，即当安全仪表系统的测量仪表、逻辑控制器、最终元件等内部产生故障，不能继续工作时，安全仪表系统应能按设计预定方式，将生产过程转入安全状态；逻辑控制器应具有硬件和软件自诊断功能；安全仪表系统应独立于基本过程控制系统，并应独立完成安全仪表功能；逻辑控制器的中央处理单元、输入输出单元、通信单元及电源单元等，应采用冗余技术；另外应减少安全仪表系统的中间环节。

2.3.2 安全仪表系统的可靠性和可用性设计

安全仪表系统应理解为一个系统概念, 它包括安全 PLC 及接口设备、检测元件、执行元件。系统的可靠性是指在一定的时间间隔内发生故障的概率。整个系统的可靠性是由组成系统的各单元可靠性的乘积，任何一个环节可靠性的下降都会导致整个系统可靠性的下降。人们通常对于安全 PLC 的可靠性十分重视,往往忽视检测元件和执行元件的可靠性,使得整套安全仪表系统可靠性低,达不到降低受控设备风险的要求。可靠性决定系统的安全性。系统的可用性是指系统可以使用工作时间的概率。可用性不影响系统的安全性,但系统的可用性低可能会导致无法进行正常的生产。

确定系统的安全等级后,应根据石油化工罐区的具体特点、危险性、危害性等确定PLC采用何种结构 ( 如二重化、三重化、四重化等),确定系统现场仪表的设置。容错是系统提高可用性的重要手段,容错是指控制器或系统在出现故障时仍能正常工作同时又能查出故障的能力。它需要一定的冗余,I/O模块、电源、通讯模块等的冗余配置是容错实施的基本条件。以石油化工罐区拟采用SIL1的安全仪表系统为例，该系统由压力传感器、继电器逻辑单元、电磁阀以及关断阀组成。按照故障-安全模式传感器应保证在工艺正常操作时，传感器触点处于闭合和励磁状态；在出现失效时，变送器信号应该进入关断状态；逻辑单元的输出触点，正常时应处于闭合和励磁状态；作为最终元件的关断阀应在气源断掉时置于安全位置。

3 石油化工罐区安全仪表系统的应用

3.1 安全仪表系统的操作和维护管理

为了及时发现石油化工罐区安全仪表系统的危险失效，必须定期进行功能测试，检查安全仪表系统的(SIS)的运行情况，并确保安全完整性等级的目标能够达到。功能测试必须将包括传感器、逻辑控制器、最终元件，以及关联的报警单元在内的整个系统纳入测试范围，指定相应的责任人，并遵循书面的工作步骤和程序。对每个具体的系统，需要的测试频率是不同的，它取决于采用的技术、冗余架构配置，以及风险的目标要求。确定仪表设备测试频率时，应优先考虑与预期的停产检修时间间隔保持一致。当不能在线测试所有设备时，设计时应确保这些设备具备故障-安全特性、自诊断能力或是采用冗余架构，即使只能在装置停产检修期间对它们进行测试，也能保证在运行期间保持必需的安全完整性等级(SIL)。

石油化工企业要针对安全仪表系统生命周期不同的环节，分别对安装调试和操作维护管理人员进行针对性培训，使相关人员熟练掌握安全仪表系统、风险分析和控制、风险降低等相关专业知识。

3.2 安全仪表系统的变更管理

安全仪表系统的所有更改都必须遵循严格的变更管理程序。变更管理程序应该包括清晰的工作流程，表明如何确定工作范围，以及如何辨识修改涉及的危险。要进行系统性分析，确定修改对功能安全的影响。经分析发现修改内容将影响安全时，所有修改都要返回到相应的安全生命周期阶段(即修改范围影响的首个阶段)作为起点，再按照安全生命周期后续各个阶段的要求，一步一步的逐一贯彻执行，包括进行相应的验证活动，确保相关的更改能够正确顺利进行并将所有活动形成文档记录。所有变更的执行(包括应用软件)，都应该与事先确定的设计步骤相结合。要对修改进行必要的审查，确保对所需的安全完整性等级重新进行了评估，并且各相应专业有足够知识和经验人员参与了整个评估过程。

所有涉及安全仪表系统的停用或者退役，也要视作变更活动。因此，当停车系统被终止使用时，应遵循变更管理程序，确保对其他保留系统或者工艺过程没有影响。

4 结论

加强安全仪表系统的全生命周期的管理，通过过程危险分析，充分识别风险，科学确定安全仪表功能，严格按照安全要求规格书设计与实现安全仪表功能，对安全仪表功能进行定期全面测试，建立和完善安全仪表系统操作和维护规程及仪表设备失效数据库，不断培养安全仪表系统相关专业人才，提升从业人员的专业技能，才能够持续保障安全仪表系统的可靠、有效。本文对石油化工罐区相关领域的安全仪表的设计、应用提供了完整、明确的思路,对于石油化工领域的安全生产必将产生促进作用。