合成氨裝置系統安全儀表系統安全完整性等級分析

武 潭工程師 高曉蕾副教授 劉靜怡 徐 博

（1.鄭州大學 化工與能源學院，河南 鄭州 450001；2.鄭州大學 力學與工程科學學院，河南 鄭州 450001）

0 引言

安全完整性等級需要通過對受控設備的風險分析來確定，風險分析過程是功能安全分析的開端，適用于系統風險分析的方法包括危險與可操作性分析（Hazard and Operability Studies, HAZOP）、保護層分析（Layer of Protection Analysis, LOPA）等。

史雪玲等人[1]通過對功能安全的基本理論進行研究，清晰闡述了安全完整性與SIL等級之間存在的關系。郭海濤，陽憲惠[2]提出了一種定量的對安全儀表系統進行SIL分配的方法。周榮義、鐘岸等[3]通過分析標準中定義的幾種風險分析方法在準確性、可量化性等方面進行比較研究，分析各個方法的不同及其適用范圍以便于他人在應用時選擇合適的方法。劉瑤[4]從多方面進行考慮闡述了安全儀表系統中存在的導致共因失效的幾個示例。Murashkin Alexandr[5]等人通過研究現有分析方法找到最優的汽車相關的安全完整性等級分配模型。Zdansky、Juraj[6]分析了冗余系統對安全完整性的影響。本文將HAZOP分析、LOPA分析、SIL分析多種分析方法結合使用，應用于合成氨裝置的安全儀表系統研究，分析得出了其存在的可能事故，并計算得出其危險事故的發生頻率，最后確定其安全完整性等級，為化工儀表系統研究提供參考。

1 安全儀表系統及安全完整性分析

安全儀表系統包括傳感器、邏輯控制器、執行器。它的作用是在可能發生危險事件的情況下及時采取保護措施，從而減小危險事故發生的可能性，發揮其監視生產過程的功能。

在對實際危險場景進行分析時，一般需先對研究對象進行假設風險分析，確定實際風險，然后和允許風險進行比較，分析必須的風險降低值，由此確定所研究系統的SIL等級，如圖1。

確定安全相關系統的SIL等級，首先需要對被研究的受控設備進行風險分析，隨后根據風險評估的結果，得出應降低的風險值，然后為相應的安全儀表功能選擇安全完整性等級。圖2是簡化安全生命周期圖[7]。

圖2 簡化的安全生命周期圖Fig.2 Simplified diagram of safety life-cycle

2 系統風險分析理論

現階段，主要有以下幾種被廣泛應用的系統風險分析理論，包括HAZOP法、LOPA法等。

HAZOP是將工藝劃分節點，分析各個節點中工藝操作的具體值可能產生的偏差，得到工廠實際工藝過程在運行中可能出現的風險后果。它是一種定性分析方法。LOPA法以事故的事件鏈為基準，這種分析方法被非常廣泛的應用在過程工業。其流程圖，如圖3。

圖3 保護層分析流程圖Fig.3 Flow chart for layer of protection analysis

3 SIL定級分析

SIL定級是針對特定的風險分析其大小和已有控制措施降低風險的能力，從而分析安全儀表系統應具備的安全完整性等級，確保選定的風險能被控制在現階段社會可接受的范圍內。

SIL等級的危險失效概率范圍有2種劃分方式：一種是要求時平均失效概率（對于低模式操作要求）；另一種是每小時危險失效的概率（對于高要求或連續操作模式）。表1和表2分別列出了在低要求和高要求時的目標失效概率。

低要求操作模式：對于一個安全相關系統提出操作要求的頻率不大于每年一次和不大于兩倍的檢驗測試頻率。

高要求操作模式：對于一個安全相關系統提出操作要求的頻率大于每年一次或大于兩倍的檢驗測試頻率。低要求操作模式在過程工業中最為普遍使用，而高要求操作模式一般用于制造加工以及航空航天工業[8]。

表1 低要求模式操作Tab.1 Low demand mode operation

表2 高要求操作模式Tab.2 High demand mode operation

4 合成氨裝置SIL分析

本文以合成氨裝置為研究對象，通過HAZOP對該裝置進行危險場景識別，應用LOPA分析確定該裝置存在的風險是否滿足企業或國家的風險標準。并對其安全儀表系統進行SIL分析，研究其是否滿足相應安全功能要求。

4.1 HAZOP分析

在合成氨裝置中，合成塔部分氨合成的反應裝置，合成氨反應為高溫高壓反應，易發生超壓爆炸反應，對周圍人員及環境造成傷害，相對來說危險性較大；另若廢熱鍋爐錯誤補水，也會引發爆炸，故著重分析合成塔部分及廢熱鍋爐。HAZOP分析表，見表3。

4.2 LOPA分析

本次分析考慮合成塔壓力過高及廢熱鍋爐液位過低兩個場景，由于在實際生產中需要考慮到各方面的情況，本次分析將分別從人身傷害、環境破壞、資產損失3個方面分析。其中失效數據中的初始事件（Initiating Event, IE）典型頻率值、化工行業典型獨立保護層（Independent Protection Layer,IPL）的要求時的失效概率（Probability of Failure on Demand, PFD）按照《保護層分析（LOPA）方法應用導則》（AQ/T 3054-2015）附表進行取值。

場景1：合成塔壓力過高。

初始事件1：惰性氣體排放不及時。

初始事件2：上游調節器故障。

初始事件3：合成塔溫度偏低。

這三個事件失效率均為：fi I=1×10-1/a

IPL確認：

分析場景1重點保護措施，識別其IPL，合成塔上安裝有位于中央控制室的儀表超壓報警裝置，處于控制室的工作人員能夠及時對此響應從而采取及時有效的措施，因此報警和人員響應可作為獨立保護層。另外，循環機出口設置壓力安全閥，因此物理保護為另一獨立保護層，則經過IPL確認后得到的獨立保護層有：

表3 HAZOP分析表Tab.3 HAZOP analysis list

報警和人員響應：PFDi1=1×10-1/a

物理保護：PFDi2=1×10-1/a

（1）人身傷害。

場景頻率計算：

分析該場景，該裝置點火概率取為0.5，事故影響范圍內人員平均出現率為0.1，人員暴露概率取0.1，致死概率取1。求得各個初始事件后果發生頻率均為：

式中：

PFDi1——報警和人員響應的PFD；

PFDi2——安全閥的PFD；

Pig——點火概率；

Pex——人員暴露概率；

Pd——人員傷亡概率；

風險評估與決策：

惰性氣體排放不及時，可造成合成氨合成塔壓力過高，設備超壓損壞，塔內氣體泄漏，造成火災爆炸危險，根據廠區內部及周邊人員分布情況，可造成3人以上死亡，或10人以上重傷，其后果等級應為5級，風險等級為中風險。

（2）環境破壞。

場景頻率計算：考慮該場景下造成的環境破壞時，不需考慮條件修正，后果發生頻率為：

風險評估與決策。惰性氣體排放不及時；上游調節故障，會使有害物含量升高，催化劑中毒，反應效率下降；合成塔溫度偏低，同樣會使反應效率下降；以上原因均可造成合成氨合成塔壓力過高，設備超壓損壞，塔內氣體泄漏，使得危險物進入周圍環境，產生重大泄漏后果，給廠區周邊的環境帶來嚴重

f總

C=∑3影響，此條件下后果等級為4級，屬于中風險等級。

（3）財產損失。

場景頻率計算：

考慮該場景下造成的財產損失時，不需考慮條件修正，后果發生頻率為：

風險評估與決策：

惰性氣體排放不及時；上游調節故障，會使有害物含量升高，催化劑中毒，反應效率下降；合成塔溫度偏低，會使反應效率下降；以上原因均可造成合成氨合成塔壓力過高，設備超壓損壞，直接經濟損失100萬元及以上，500萬元以下，后果等級為3級，屬于中風險等級。

場景2：廢熱鍋爐液位過低。

初始事件1：LICA17001A液位計故障。

初始事件2：供水泵停泵。

這兩個事件失效率均為 fiI=1×10-1/a

IPL確認：

識別場景2中的IPL，LICA17001A液位計故障時，自身不能再作為保護層，其屬于BPCS系統失效，能作為獨立保護層的僅有LAL1701B報警和人員響應，則經過IPL確認后得到的獨立保護層有：

報警和人員響應保護層：PFDi1=1×10-1/a

（1）人身傷害。

場景頻率計算：

初始事件1：LICA17001A液位計故障。

該裝置在此場景下人員誤操作補水為觸發條件，誤補水概率取0.1，人員暴露概率取1，致死概率取1。則LICA17001A故障的后果發生頻率為：

式中：

初始事件2：供水泵停泵。

人員暴露概率取0.1，致死概率取1。則供水泵停泵后果發生頻率均為：

風險評估與決策。LICA17001A液位計故障，自動補水不及時，鍋爐上游供水泵停泵，會使鍋爐液位過低，出現干燒，造成爆炸，根據廠區實際情況，可造成1-2人死亡或喪失勞動能力，或造成3-9人重傷，此條件下后果等級為4級，此風險為高風險，企業需采取相關保護措施以降低風險。建議鍋爐停泵補水系統設置備用泵自啟動，防止停水造成鍋爐干燒后自動加水，鍋爐可新增遠傳液位計LI1701B，進行高低報警，防止LICA17001A液位計失效。

（2）環境破壞。

場景頻率計算：

初始事件1：LICA17001A故障。

該裝置人員誤操作補水作為使能條件，概率0.1。后果發生頻率為：

初始事件2：供水泵停泵。

此次計算只考慮環境破壞，則后果發生頻率計算為：

風險評估與決策。LICA17001A若發生故障，不能及時自動補水；或者鍋爐上游供水泵停泵，都會使鍋爐液位過低，出現干燒，造成爆炸，會釋放危險物使其進入周圍環境，泄露物質符合受到管理部門的通報或違反允許條件，后果嚴重性等級為3級。風險等級為中風險。

（3）財產損失。

場景頻率計算：

初始事件1：LICA17001A故障。

該裝置人員誤操作補水作為使能條件，概率0.1。此次計算只考慮其財產損失，后果發生頻率為：

初始事件2：供水泵停泵。

此次計算只需考慮財產損失情況，故后果發生頻率為：

風險評估與決策。LICA17001A若發生故障，或者鍋爐上游供水泵停泵，會使鍋爐出現干燒，造成爆炸，其直接經濟損失在10萬元以上，但不足100萬元，后果嚴重性等級為2級。風險等級為中風險。

4.3 SIL分析

在進行SIL分析時，需要考慮到不同危險場景下的風險容忍情況，本次SIL定級分析在人身安全、環境破壞、財產損失三個方面分別采取相應的風險可接受標準。

場景1：合成塔壓力過高。

由LOPA分析可得場景1下不同損失的后果發生頻率，分別為：

人身傷害后果下容忍頻率為1×10-6/a，環境破壞容忍頻率為1×10-5/a，財產損失容忍頻率為1×10-4/a，故可得本SIF應具備的最低要求PFD分別為：

人身傷害后果下合成塔的儀表系統應具備的SIL等級為1；當考慮危險事故對環境破壞的情況時，其應具備的SIL等級為1；當考慮事故發生時可能造成的財產損失，此研究系統應具備的SIL等級為1。綜上所述，此場景下相關安全系統的SIF應滿足SIL1的等級要求。

場景2：廢熱鍋爐液位過低。

由LOPA分析可得場景2下不同損失的后果發生頻率，分別為：

該場景下人身傷害后果容忍頻率1×10-5/a，環境破壞容忍頻率1×10-4/a，財產損失后果容忍頻率1×10-3/a。故可得本SIF應具備的最低要求PFD分別為：

人身傷害后果下安全儀表系統的安全功能應具備的SIL等級為2；考慮危險場景對周圍環境可能造成的影響時，可以得到其應具備的SIL2的等級；若只分析事故條件下所產生的財產損失后果，分析得到系統應具備的SIL1的等級。綜上所述，此場景下相關安全系統的SIF應滿足SIL2的等級要求。

5 結論

（1）本文將多種分析方法結合使用，包括HAZOP分析、LOPA分析、SIL分析，將其應用于合成氨裝置的安全儀表系統研究，分析得出了其存在的可能事故，并計算得出其危險事故的發生頻率，最后確定其安全完整性等級。能為以后的化工儀表系統研究提供一定參考價值。

（2）重點分析合成塔壓力過高及廢熱鍋爐液位過低兩個場景，合成塔裝置儀表的SIL等級為1，廢熱鍋爐儀表的SIL等級為2。其中LICA17001A液位計故障，自動補水不及時，鍋爐上游供水泵停泵，鍋爐液位過低，風險為高風險。建議鍋爐停泵補水系統設置備用泵自啟動，防止停水造成鍋爐干燒后自動加水，鍋爐可新增遠傳液位計LI1701B，進行高低報警，防止LICA17001A液位計失效。