★张振秀（中国石油哈尔滨石化公司，黑龙江哈尔滨150056）

★董伟东（北京安稳优自动化技术有限公司，北京102200）

摘要：随着生产安全的重视程度不断提升，安全仪表系统的应用日益广泛，石化装置中安全仪表功能的安全完整等级分析评估技术应用已逐步推广。本文简述了安全仪表系统全生命周期管理和安全完整性等级分析评估的技术路线，并以石化装置常见的精馏塔为例，完整剖析了安全完整性等级分析评估的方法实践。

关键词：安全仪表；安全完整性等级；保护层分析；安全完整性等级分析

1 安全仪表全生命周期管理

生产过程的安全进行，都依赖于一套完善的管理系统。对于安全仪表系统，采用特定的安全仪表全生命周期管理能确保达到其功能安全所必要的全部步骤，并且可证明已按适当的次序完成了这些步骤。安全仪表系统的功能安全评估是以IEC 61508/IEC 61511标准作为指导的，这个标准介绍了安全功能管理的全过程，在GB/T-21109中所提及的安全仪表全生命周期管理可分为三个阶段^[1]：

（1）风险分析

（2）设计和工程实施

（3）操作和维护

其中，风险分析阶段包含工艺过程危险定性分析、安全仪表功能（Safety Instrumented Function，SIF）识别、安全完整性（Safety Integrity Level，SIL）等级确定，以及安全仪表规格书（Safety Requirement Specification）编制。

1.1 安全仪表系统（SIS）与安全仪表功能（SIF）

安全仪表系统(Safety Instrumented System,SIS）也称为安全联锁系统（Safety Interlocks）、紧急停车系统（Emergency Shutdown System,Emergency Shutdown Device, ESD）等。它是由传感器、逻辑控制器和最终控制元件组成，当系统预定的过程条件或状态出现背离时，可将过程置于安全的状态，或者将危险以及损失降低到最小，保证设备、财产、人员以及环境的安全。其结构如图1所示。

图1 安全仪表系统结构

对于SIF的概念，IEC 61511将其定义为：由SIS执行的、具有特定安全完整性等级（Safety Integrity Level，SIL）的安全功能，是从功能的角度去定义的。安全仪表功能既包括安全仪表保护功能，也包括安全仪表控制功能。SIF的最根本特征是“应对特定的危险事件”并实现必要的风险降低。SIF是在过程危险和风险分析中辨识出来的，并根据必要的风险降低要求，确定其SIL要求，因此，SIF是进行SIL评估的基础。

1.2 安全完整性等级SIL

安全完整性反映了SIS执行SIF时，在规定的状态和时间周期内，圆满完成SIF的绩效能力和可靠性水平。IEC 61508将SIL定义为四个等级，即SIL1到SIL4。IEC 61511作为IEC 61508在过程工业领域的分支标准，保持了SIL1到SIL4的四个等级划分，不过，除了极罕见的特殊应用，在过程工业一般的应用场合，SIL3是其最高级。表1给出了每一个等级对应的概率区间，采用低要求操作模式（PFDaverage）和高要求操作模式（PFDperhour）两种。

表1 安全完整性等级要求(SIL)

安全完整性等级贯穿于安全仪表系统生命周期的始终，不仅是安全性能的度量标准，还是安全生命周期中的主线，将各个阶段联系起来，使得安全仪表系统整体在安全生命周期这个大框架下的所有活动能够具有良好的一致性。

1.3 定期检测与维护

对于安全仪表的检测维修，国内外的化工厂存在诸多差异。自1996年美国仪器仪表协会颁布ANSI/ISA-S84.01以来，西方各国的安全仪表系统及维护管理有了大幅发展。各工厂内仪表失效率数据库及相关配套系统相对完善，仪表工程师可以将每个仪表的检修周期进行进一步的精确，有效提高了安全仪表系统的可靠性。国内的石化企业仪表测试维修大部分在装置大检修时进行且维护水平一般，长时间运行仪表及阀门的可靠性必然会有所下降，装置的误停车率也会增加。为解决此类问题，首先应当结合企业自身生产一线数据及经验，建立符合企业自身的失效率数据库；其次应当对化工厂工艺及仪表人员进行安全仪表专业培训，将功能安全的理论应用到实际生产及管理当中。

2 SIL分析评估

安全仪表系统SIS（Safety Instrumented System）在GB/T-21109中的定义为用于执行一个或多个安全仪表功能SIF（Safety Instrumented Function）的仪表系统，即当危险事件发生时，安全仪表系统可将生产装置通过预设的安全仪表功能导入既定的安全状态，从而保证人员生命、环境及财产安全。因其具有高可靠性、高灵敏度的特点，在人们陆续的生产实践中被广泛使。功能安全评估的目的在于确定过程安全所需的安全仪表功能，并确定其相关性能（SIL等级）。GB/T-21109中列出了半定量方法、安全层矩阵法、保护层层分析（LOPA）等方法。国内功能安全评估目前以保护层分析（LOPA）和安全层矩阵法两种分析方法为主，保护层分析法的优势在于对初始事件（IE）的讨论较为详细，适合复杂场景的SIL定级，安全矩阵法对后果讨论的较多，适合初始事件较少的场景。

以保护层分析法为例功能安全评估的步骤如下：

（1）确定工作范围及目标；

（2）根据国家或地方标准制定可接受风险基准；

（3）根据仪表安全功能或设计目的，筛选待评估场景及后果；

（4）确定初始事件（IE）确定发生频率；

（5）识别独立保护层（IPL），并确定各保护层平均失效概率（PFD）；

（6）计算场景频率，确定风险降低因子；

（7）确定目标SIL等级要求并提出建议措施。

2.1 初始事件（IE）的确定

初始事件的选择直接关系到最终的SIL等级，初始事件可分为三大类：外部事件、设备失效、人的失效，在确定初始事件时应当结合各装置实际情况。即使不同地区的相同装置，其初始事件选择和频率也会有差异。对于一些复杂的原因，应当将其拆分成数个离散的失效事件作为初始事件，例如循环水中断，可能是由循环水泵故障、控制回路失效等引起的，不同的初始事件对应不同的独立保护层。

2.2 独立保护层（IPL）的识别

LOPA已经成为确定安全仪表完整性水平十分成熟的一种方法，依据初始原因对应后果的原则展开分析，其核心任务就是识别场景中的独立保护层IPL（Independent Protection Layer），独立保护层的选取和判定需要遵循以下几个原则：

专一性：只被设计用来防止或减轻一个潜在的危险事件的后果，由于多种原因都可能导致同一危险事件，因此，多个事件情景都可由一个IPL来启动动作。

独立性：IPL应独立于初始事件的发生及其后果；应独立于同一危险场景中的其他独立保护层。

有效性：应能检测到响应的条件；在有效的时间内，应能及时响应；在可用的时间内，应有足够的能力采取所要求的行动；应满足所选择的PFD的要求。

可审核性：应有可用的信息、文档和程序可查，以说明保护层的设计、检查、维护、测试和运行活动能够使保护层达到独立保护层的要求。

独立保护层可以是一个装置或系统，无论初始事件或其他的保护层是否动作，都应有效地阻止严重后果的发生。独立保护层的有效性根据保护层平均失效概率（PFDavg）进行量化，PFD介于0到1之间，数值越小失效率就越低，保护能力就越强。

2.3 安全完整性等级验算

安全完整性验证是对已经确定等级的安全仪表功能是否能达到所需的SIL等级进行理论计算。常用的SIL验证方法包括简化方程式法、马尔科夫矩阵法和故障树分析法。验证结果包括但不限于平均失效概率（PFDavg）和平均误停车时间间隔（MTTFs）。

3 石化装置SIL分析评估示例

以图2所示精馏塔为例，该精馏塔原预设联锁塔底液位低低关塔底出料阀并停外送泵，以此为风险场景，进行SIL分析评估。

图2 精馏塔流程图

首先，对塔底液位低低联锁进行SIL定级分析：

（1）确定设计目的：该联锁的设计目的为防止外送泵抽空损坏，物料泄漏及潜在的火灾爆炸风险。

（2）确定事故初始事件及发生频率：塔底液位控制失效，0.1次/年。

（3）识别独立保护层：离心泵双端面密封设计，可降低离心泵抽空损坏后物料泄漏的风险，0.1。精馏塔塔底液位低报警，0.1。以巡检频率为参考的人员占空比，0.25。

根据GB 36894危险化学品生产装置和储存设施风险基准，发生火灾爆炸事故造成1人死亡，可接受的风险基准为10-5/年。经过计算，该场景所需联锁等级为SIL 1。

通过马尔科夫矩阵，以行业内通用数据进行SIL验证。

对精馏塔底液位低低进行SIL验证，精馏塔液位传感器为1oo1，SIL2认证；逻辑控制器采用Tricon系统，SIL3；出料泵入口切断阀，无SIL认证。

经建模计算可得该SIF回路的平均失效概率PFDavg为1.26*10-2，平均误停车时间间隔MTTFs为72.71年可满足该场景的风险需求。

4 总结

经过十多年的发展，国内的安全仪表系统设计已有长足进步，国家标准日趋完善，但是仍和西方国家存在一定的差距。为了弥补这些差距，首先可以借鉴西方先进的安全管理经验，提高安全仪表系统的管理水平；其次应当从自身出发，在配备符合要求的安全仪表系统的前提下，建立健全失效率数据库，提高仪表维护水平；并在此基础上按时进行功能安全评估，及时发现潜在的安全隐患，采取相应措施进行优化和升级、增强企业安全生产意识，促进企业安全平稳运行。

作者简介：

张振秀（1970-），男，黑龙江哈尔滨人，高级工程师，学士，现就职于中国石油哈尔滨石化公司，研究方向是石油化工工艺过程与安全。

参考文献：

[1] 张建国. 安全仪表系统在过程工业中的应用[M]. 北京: 中国电力出版社, 2010.6

[2] CCPS. Layer of Protection Analysis-Simplified Process Risk Assessment[M]．New York: WiIey,2001.

[3] 殷卫兵, 左信, 保护层分析中独立保护层的识别与应用[J], 化工自动化及仪表, 2015, 42 (2) : 436 - 439.

[4] Wei C Y, Rogers W J, Mannan M S, Layel of Protection Analysis for Reactive Chemical Risk Assessment, [J]. Journal of Hazardous Materials,2008, 159 (1) : 19 - 24．

[5] Markowski AS, Mannan M S. ExSys-LOPA for the Chemical Process Industry[J], Journal of Loss Prevention in the Process Industries, 2010, (23) : 688 - 696

[6] 昊重光, 张贝克, 马昕. 过程工业安全设计的防护层分析(LOPA)[J]．石油化工自动化, 2007, 43 (4) : 1 - 3.

摘自《自动化博览》2022年11月刊