石化行業在役裝置SIL評估

李 宏，潘 晨，潘海濱

(1.中國石油天然氣股份有限公司大港石化分公司，天津 3002802.中國石油天然氣股份有限公司青海油田分公司采油一廠，青海西寧 816400)

0 引言

石化行業是我國主要的能源和化工原材料來源，其主要原料是石油和天然氣，產品有燃料油、潤滑油、合成纖維、塑料等，石化生產具有易燃、易爆等特性。近年來在生產實踐中，政府、企業對安全生產的管控不斷加強，尤其對于在役裝置，運行時間較長、設備老化，其安全相關系統是否能保證石化生產的安全，達到必要的安全完整性等級，需要進行科學的評估。

1 相關概念[1]

a)安全完整性：是指在規定的時間段內和規定的條件下，安全相關系統成功執行規定的安全功能的概率。安全完整性越高，安全相關系統在要求動作時，未能執行規定的安全功能或未能實現規定狀態的概率就越低。有4個安全完整性等級，SIL4為最高等級，詳見表1。

表1 安全完整性要求等級[2]

b)低要求模式：僅當要求時，才將EUC導入規定安全狀態的安全功能，并且要求的頻率不大于每年一次。

c)高要求模式：將EUC導入規定安全狀態的安全功能，僅當要求時才執行，并且要求的頻率大于每年一次。

對于石化行業，一般采取低要求模式。

d)安全儀表系統(SIS)：是用于執行一個或多個安全儀表功能(SIF)的儀表系統。SIS由傳感器子系統(如各類測試儀表、開關、變送器等)、邏輯子系統、最終元件(如電磁閥、喇叭、報警等)組成。

2 在役裝置的SIL評估過程

在工廠生產實踐中，SIS是石化裝置的重要組成部分，對于裝置的安全運行起著至關重要的作用，分析其是否能應對裝置可能存在的各類風險，達到應有的SIL，實現對裝置的合理保護，有著重大的現實意義。

對于在役裝置的安全完整性等級評估，一般包括如下3部分內容。

2.1 對裝置各個回路的SIF進行安全完整性定級

對于在役裝置回路SIF進行SIL定級，一般是在HAZOP分析報告的基礎上進行的，有時是因為觸發了危險狀態被提出。SIL定級主要有風險矩陣法、風險圖法和保護層分析(LOPA)法。其中保護層分析法應用較為普遍。

LOPA通常是在HAZOP(定性)分析的基礎上，進一步半定量評估保護層有效性，并進行風險決策的系統方法，其主要目的是確定保護層是否使風險被控制在企業風險標準之內。主要步驟如圖1所示[3,4]。

圖1 保護層分析步驟

由圖1可以看出，其中的關鍵步驟是獨立保護層(IPL)的評估，石化行業保護層作為IPL時，應滿足獨立性、有效性、安全性、變更管理和可審查性等要求。

2.2 SIL等級驗算

確定回路SIF的SIL等級之后，對其能否達到SIL等級要求進行驗算，其驗算結果主要由兩方面因素決定。

a)驗算方法：目前普遍采用的方法有3種：故障樹法、可靠性框圖法、馬爾科夫法。

b)相關設備的可靠性數據，該數據的來源應遵循如下順序原則：①現場積累的失效數據；②設備廠家提供的失效數據；③典型的工業數據庫。

驗算的步驟如圖2所示。

圖2 SIL等級驗算步驟

2.3 SIL驗證結果分析

一方面，當SIL驗證結果無法達到定級要求時，應當根據裝置的實際運行狀況提出改進建議和措施，常見的有：提高相關設備的安全等級，改善表決結構，縮短回路的檢驗測試周期等，以提高回路的SIL等級；或者通過建立非SIF降低初始事件發生概率、消減既定風險發生概率，滿足裝置安全運行的需要。

另一方面，SIL驗證結果與定級比較，并不是越高越好。SIL等級越高，說明其安全保護作用越強，但是其誤停車率也會相應變高、投資成本會增加，石化裝置無法達到安穩長滿優運行，造成不必要的損失。所以當驗證結果明顯高于定級要求時，可以通過降低設備等級，刪減冗余結構、適當延長回路的檢驗測試周期等方法，在滿足SIL定級要求的同時，降低回路的誤停車率，使裝置安全、平穩運行，取得最大的經濟效益。

3 評估實例

某石化企業重整裝置的工藝流程如下：脫戊烷塔(C-201)底油由脫戊烷塔底重沸爐泵(P-203)升壓，分為4路進料進入脫戊烷塔底重沸爐(F-205)，強制循環加熱后返回脫戊烷塔(C-201)。該工藝流程設置有流量低低聯鎖，4路進料中2路流量達到聯鎖值，則關閉脫戊烷塔(C-201)重沸爐燃料氣進氣閥門。

根據上述工藝流程，在HAZOP分析結果(表2)的基礎上，進行回路的SIL定級及驗證。

3.1 回路SIF的SIL定級

LOPA分析結果見表3。

表2 HAZOP分析結果(節選)

表3 LOPA分析結果(節選)

由表3可知，其IPL的可能性為2.9×10-2/年，大于風險可接受容許值3×10-4/年，所以需要增加SIF回路，其SIF回路為1.03×10-2/年，在低要求操作模式下，該聯鎖回路SIF定級為SIL1。

3.2 回路SIF的SIL驗證

流量聯鎖回路輸入輸出結構、術語列表、流量聯鎖回路相關設備的可靠性數據、流量聯鎖回路的SIL計算分別見表4～表7。

表4 流量聯鎖回路輸入輸出結構

表5 術語列表

表6 流量聯鎖回路相關設備的可靠性數據

表7 流量聯鎖回路的SIL計算[5-8]

注：PFDavg的計算采用可靠性框圖法

由于執行單元采用的是故障安全型模式，由上表可得：PFDSYS=PFDS+PFDL+PFDFE=3.71×10-2，在低要求操作模式下，達到的SIL等級為SIL1。

由表8可知由回路硬件安全完整性結構約束的SIL能力。所以該回路由硬件安全完整性結構約束的SIL能力為SIL2。

表8 硬件安全完整性B類安全相關子系統的結構約束[9]

綜合SIL驗算及硬件安全完整性結構約束(表9)，驗證該回路的SIL等級為SIL1，滿足定級要求。

表9 各系統結構約束的SIL等級

3.3 回路的MTTF計算[10,11]

回路的MTTF大于30年，誤停車指標合格。

3.4 SIL驗證結果分析

通過表7可以看到，該回路PFDS=1.79×10-4，SIL等級為SIL3，同時通過表9可以看到其PFDAC為SIL3，均明顯高于定級要求，同時表7中傳感器子系統的MTTF為81 884.04年，也明顯偏高，所以通過適當方法降低傳感器子系統參數，既不會影響回路SIL等級，也不會降低回路的MTTF。

常用方法及分析如下。

a)刪減冗余結構，傳感器子系統采取的是2oo4結構，該結構是造成回路SIL等級及MTTF參數較高的主要原因，但是由于其工藝條件的限制，4路進料進入脫戊烷塔底重沸爐，設計聯鎖時必須檢測4路進料，用以保證其安全性，同時防止進料偏流，傳感器子系統為2oo4是合理的，所以無法刪減該冗余結構。

b)降低設備等級，由于傳感器子系統所用設備都是經過SIL認證的設備，等級較高，這也是造成回路SIL等級及MTTF參數較高的主要原因，該類設備的價格也較高，所以可以適當選用同類的非認證設備，這樣既保證了回路的SIL等級及其MTTF，也能降低成本。但是，對于已經投用的設備單元，不建議降低設備等級。

c)適當延長回路的檢驗測試周期，由于該回路隨裝置檢修進行檢驗測試，目前裝置檢修周期為36個月，所以不應延長回路檢驗測試周期。

從上述分析可以看出，該回路傳感器子系統不是影響回路SIL等級和MTTF的主要原因，但是由于是在役裝置，也不適宜降低設備等級。該驗證結果提示，在設備選型時，應綜合考慮安全聯鎖回路的安全性和可用性，合理選用設備，這樣既可以保證回路的SIL等級和MTTF，也能有效降低成本，取得雙贏的效果。

4 結語

a)一些使用時間較長的裝置，其聯鎖回路的設定沒有嚴格的按照安全完整性標準實施，這種聯鎖回路是否能保證裝置的安全運行，需要進行安全完整性評估，對于不能滿足安全需要的回路，要采取適當的措施，提高其安全等級，保證裝置的安全運行；對于明顯超出安全等級需要的回路，可以采取適當措施，降低其安全等級，同時降低誤停車率，保證裝置的平穩運行。

b)在實際的驗證過程中，對于服役時間較長的裝置，其相關設備可靠性數據的獲得是一個難點，這不僅需要設備廠家提供相關參數，參考通用設備數據，更需要石化企業建立本企業在用設備的可靠性數據庫，為本企業裝置的安全完整性評估打下堅實的基礎。