一套炼化装置在完成危险与可操作性分析(HAZOP)后,虽然可以定性识别出该装置或设施现有保护缺陷和各种潜在危害,但当HAZOP分析后果存在重大风险时,仍然存在安全保护措施配置不合适或残余风险不能量化等不足。
安全仪表系统(SIS)作为炼化装置的重要组成部分,对炼化装置的安全平稳运行至关重要。针对炼化装置中可能存在的重大风险,要求SIS能达到相匹配的安全完整性等级(SIL),对装置实现功能合理的保护要求。在HAZOP分析基础上引入SIL分析技术,一是对在役装置需求SIS的SIL等级进行定级;二是对现有SIS配置是否能达到需求等级进行验算,判定在役装置当前配置SIS的SIL等级是否满足要求;三是为SIS的改进和运行维护提出可实施的建议。
为了保证装置稳定可靠运转,一套能够检测装置的异常状况,并对可能发生的潜在危害作出保护动作的系统是必不可少的。SIS正是基于该目的被提出来的,它包括传感器、逻辑运算器和最终执行元件[1]。SIS作为一种自动安全保护系统,已发展成为工业自动化的重要组成部分[2]。
安全完整性等级(SIL)作为安全仪表系统设计的依据,更是衡量安全仪表系统安全性能的重要指标。SIL从1到4,SIL级别越高,SIS能实现所要求的安全功能的概率就越高[3-4]。
在役装置开展针对SIS的SIL分析工作主要包括SIL定级及SIL验算两部分。
SIL选择的过程实际上就是确定SIL等级的过程,SIL定级的方法主要有两类:定性的和半定量的。定性方法通过大致的风险后果和可能性分类来描述风险,主要有风险矩阵和风险图法。半定量方法目前应用较为普遍的是保护层分析(LOPA)方法。
(1) 风险矩阵。用户必须创建一个矩阵,后果和可能性分别构成矩阵二维坐标(行x、列y)中的一个,同时每一个矩阵元素为一个SIL(见图 1)。确定了哪一个元素对应于选择的后果和可能性分类,该元素就是SIS系统实现安全仪表功能必须达到的SIL[5]。
(2) 风险图。风险图考虑了4个风险参数来确定SIL等级:危险事件的后果(C)、处于危险区域的频度(F)、避开风险状况的概率(P)和不期望事件的概率(W)(见图 2)。SIL的确定是从左面的起点到右面的方格绘制一条路径,按照C、F、P的分类,决定这三者的哪一行被选中,具体被选中的行中哪一个方格被选中则取决于W的分类[5]。
(3) 保护层分析。LOPA分析是一种简化的风险评估方法,基本思想是利用HAZOP分析结果对现有保护措施的可靠性进行量化的评估,确定保护层降低风险的能力(见图 3)[6-9]。
在确定了SIS的SIL等级后,接下来就要对已配SIS是否能达到需求SIL进行验算。SIL验算实际上是对SIS的安全功能进行定量的可靠性分析,它依赖于SIS的可靠性模型和相关设备的失效率数据。
目前,普遍采用的可靠性建模方法主要包括以下3种:采用可靠性框图建模,采用故障树分析方法建模和采用马尔可夫模型建模[3]。3种方法中尤以马尔可夫模型方法研究更深入,也更合适。
对SIS的安全功能进行定量的可靠性分析的基础是设备的失效率数据。最好的失效数据来自于工厂企业自己的维护数据,但这些数据往往因企业没有系统完整的记录而缺失。目前已有多种工业失效数据库,它们有的是工具书的形式,有的是计算机的电子数据库。OREDA工具书就是目前比较典型的工业失效数据库[3]。
以某公司合成氨装置的甲烷化炉为例(见图 4),该甲烷化系统是将工艺气中的碳氧化合物(CO+CO2)在催化剂的作用下与H2反应生成CH4和H2O,使工艺气中的碳氧化合物降到10×10-6。该甲烷化炉设有甲烷化温度高联锁,该联锁会触发甲烷化炉入口处的电动阀门关闭,并使合成气压缩机停车,避免甲烷化炉过热受损。
SIL分析工作包括SIL定级和SIL验算。开展SIL定级及验算的前提条件是该装置已完成了HAZOP分析工作。以甲烷化温度高联锁为例,采用LOPA方法开展SIL定级工作[10]。
由表 1可得,在役甲烷化温度高联锁系统的安全仪表功能必须达到SIL2的水平才能满足要求。接下来要对该系统的安全仪表功能是否能达到SIL2进行验算。本次验算工作采用ExSILentia软件进行。
在对安全仪表系统进行验算之前,首先对整个仪表回路内所有元器件进行梳理,确定仪表类型,从数据库中找出元件的所有失效率数据和安全失效分数等,如表 2所列。
同样的方法,从数据库中找出逻辑控制器和执行机构中所有元件的失效率数据和安全失效分数。
数据查找完毕后,将数据代入ExSILentia软件中进行计算。在验算过程中,也要对该回路的相关参数依据现场实际进行设定:包括安全仪表系统的冗余结构(例:传感器部分为2○○2(即2取2的双通道系统),执行单元2○○2),共因失效因子—5%;平均恢复时间MTTR—24 h;功能测试间隔TI—24 months;功能测试覆盖率—90%。
经计算得出PFD传感器=3.44E-02,PFD控制器=1.15E-04,PFD执行器=6.49E-02,则PFDSIS=9.95E-02,达到的SIL等级为1[11]。
经多环节失效概率分析计算得出,在役装置甲烷化炉上的温度高联锁系统达不到要求的SIL2,需要对现有系统进行改进。
由计算结果分析,传感器和执行器子系统的数量级决定了整个系统安全仪表功能的SIL等级,若要提高整个系统实现安全仪表功能的执行能力,必须同时对传感器和执行器部分进行改进,降低两个子系统的PFD数量级,则整个回路的SIL等级将得到提高。
(1) 资料收集过程中侧重于收集仪表设备的资料。SIL定级及SIL验算主要针对实现安全仪表功能的安全仪表回路。因此,仪表设备信息对SIL分析至关重要。
(2) HAZOP分析工作的质量直接影响SIL定级工作的进度和质量。SIL定级工作的开展是在前期完成HAZOP分析或工艺危害分析的基础上进行的,若HAZOP分析足够详细,那么在系统的SIL定级工作中将会节省很多时间和精力。
(3) 利用保护层分析方法开展SIL定级工作,重点是如何从现有措施中筛选出独立保护层(IPL)。因此,在确定哪些措施是IPL时,一定要坚持IPL的4条要求,即:专一性、独立性、可靠性、可审核性[3]。
(4) SIL验算过程中设备的失效率数据选取。最好的失效数据来自于工厂企业自己的维护数据,也可通过一些常用的工具书或数据库查询数据。在役装置因运行时间比较长,SIF回路中某些仪表的选型年代比较久远,或者该种选型的数据无法从数据库中查询到,则参照与该种仪表比较类似的其他仪表的数据,或者选用数据库中的通用数据。
(5) 利用软件进行验算时,如何选取软件。目前,SIL验算工作多是通过软件进行的,国外常用的软件有:加拿大ACM的SilCore、德国HIMA的SILence、EXIDA公司的ExSILentia。其中,ExSILentia软件是基于马尔可夫模型的SIL计算工具,符合IEC61508和IEC61511的要求,是安全仪表完整性管理领域内权威的计算工具。
(1) 利用SIL分析技术对炼化企业在役装置的安全仪表系统进行了分析,弥补了HAZOP分析方法无法实现复杂、重大隐患系统风险定量化的不足。
(2) SIL分析技术的开展需有大量的数据支撑,数据的精确性对SIL定级和验算结果非常重要,这就要求企业要对仪表回路元件的相关故障数据进行整理和记录。
(3) 根据SIL验算结果,合理地对仪表回路进行改进,如提高检测覆盖率、缩短检测间隔、改变冗余结构,或者替换仪表回路元件来改变失效率数据,从而使安全仪表系统的安全仪表功能达到要求的SIL等级。