石油化工罐区安全仪表系统（SIS）的设计及SIL验证

编 辑 | 化工活动家

来 源 | 石油化工自动化 中石化南京工程公司

作 者 | 王丽君

关键词 | 石油化工  罐区  SIS  SIL验证

共 4013 字 | 建议阅读时间 15 分钟

导 读

石油化工罐区是储罐集中存放的区域和场地，用来储存原料、中间产品和成品，是石油化工企业生产装置的重要组成部分。由于石油化工罐区储存介质多为有毒、可燃介质，危险化学品品种相对密集，导致危险化学品在储罐区很容易超过《危险化学品重大危险源辨识》所列出的临界值，成为重大危险源，需要重点进行风险分析和安全监控。针对该问题，原国家安全生产监督管理总局于2011年和2014年先后发布了40号令和116号令，要求涉及“两重点一重大”的在役生产装置或化工企业和危险化学品储存单位，要在全面开展过程危险分析基础上，通过风险分析确定安全仪表功能及其风险降低要求，并尽快评估现有安全仪表功能（SIF）是否满足目标安全完整性等级（SIL）。明确涉毒的一级、二级重大危险源应配备独立的安全仪表系统（SIS）。对于在役SIS要制订相关维护方案和整改计划，并于2019年底前完成SIS的评估和完善工作。SH/T 3184-2017《石油化工罐区自动化系统设计规范》规定罐区安全设计，需要采用SIS的场合，应符合GB/T 50770-2013《石油化工安全仪表系统设计规范》的规定。

这些规定都明确了设置SIS是保障石化罐区安全性的有效措施。然而，罐区SIS的设计选型不当、冗余结构设置不合理、缺乏明确的检验测试周期、预防性维护策略针对性不强等问题导致SIS不能实现其高可靠性和高可用性。今天的文章就针对这些问题，重点讨论石化罐区SIS的设计、选型及SIL验证，并利用中国石化风险评估管理评估平台PHAMS，以丙烯罐区为例进行SIL验证，通过验证结果，针对不满足目标SIL的SIF回路进行敏感性分析，提出改进优化方案，进而提出罐区SIS设计要求，为新建和改造罐区的SIS设计和管理要求提供借鉴。

安全仪表系统

按照IEC 61511中的定义，SIS是由传感器、逻辑控制器及执行机构组成的、能够行使一项或多项SIF的仪表系统。一套SIS中包括多个回路，任何SIF回路均由传感器子系统、逻辑控制器子系统和执行器子系统组成。

安全仪表系统的SIL验证

SIS的SIL验证工作主要验算SIF回路能否达到SIL分级报告中确定的目标SIL等级的要求。SIS的SIL验证工作主要如下：

1）根据各个SIF回路的配置，以及检验测试等相关因素，对各SIF回路的要求时平均失效概率（PFDavg）进行了验算。

 

2）评估各SIF回路的硬件结构约束。

 

3）对SIF回路的误动作停车率进行了计算，分析其对系统可用性的影响。

 

4）对不满足SIF目标SIL要求的回路进行敏感性分析，提出改进优化方案。

 

5）确定每一条回路的检验测试周期（TI）。安全仪表系统每个SIF回路的SIL等级由PFDavg和硬件结构约束共同制约。

SIS中每一个SIF的PFDavg计算是将该SIF分解为传感器、逻辑控制器、执行器等子系统，然后将各子系统的PFDavg相加，根据表1判断其结果满足的相应SIL级别。

计算如式（1）所示：

硬件结构约束的安全完整性由仪表类型（逻辑控制器、传感器、最终元件）、安全失效分数（SFF）和硬件故障裕度（HFT）共同决定。其中SFF计算如式（2）所示：

表2，3分别给出了IEC 61508规定的A类和B类安全相关子系统的结构约束判断标准。一般传感器、电磁阀为A类安全相关子系统；逻辑控制器为B类安全相关子系统。

罐区安全仪表系统设计

石化罐区SIS的设计必须严格按照危险与可操作性（HAZOP）分析结果及SIL分级报告，既要满足原国家安全生产监督管理总局发布的第40号令和116号令，又要满足GB/T 50770-2013《石油化工安全仪表系统设计规范》的规定来进行仪表选型和配置。通常罐区仪表的设置应考虑经济合理、技术成熟、维护及校验方便或售后服务优良等方面，结合介质特性和项目投资情况进行综合考虑。罐区SIS各SIF回路子系统的冗余配置，首先需要通过HAZOP分析结果，确定各罐组的SIF回路的SIL等级，根据SIL等级确定储罐仪表的配置。

 

下面以丙烯球罐为例，进行罐区SIS设计。

 

丙烯属于甲A类液体，涉及“两重点一重大”，因此，丙烯球罐罐区应设置独立的SIS。丙烯储罐采用球形全压力式储罐。根据丙烯罐区HAZOP分析结果及SIL分级报告，丙烯球罐持续进料造成液位高，导致丙烯罐超压损坏泄漏、满罐溢出，造成丙烯泄漏，遇点火源发生爆炸。要求在SIS中设置SIF回路：液位高高联锁关闭进料阀，该SIF回路SIL等级为SIL2。根据SIL分级结果，并根据GB/T50770-2013规定，确定丙烯球罐仪表的设置，如图1所示。

常规丙烯球罐共设置3台液位计LZT-01，LZT-02，LZS-03，信号进入SIS参与“2oo3”液位高高联锁关闭罐根进料阀XZV-01。下面分别对SIS的各个子系统的选型设计进行介绍。

01

传感器子系统

罐区的液位测量具有测量范围宽，测量精度要求高等特点。目前，在罐区液位测量中，主要采用伺服液位计、雷达液位计、磁致伸缩液位计、液位开关等方案。由于压力球罐对开口数量有要求，应尽量减少开口，因此，丙烯球罐的LZT-01选用伺服液位计、LZT-02选用雷达液位变送器、LZS-03选用外贴式超声波液位开关。

1）伺服液位计。伺服液位计是基于浮力平衡原理工作的，由高精度传感器、伺服电机系统、测量磁鼓、测量浮子以及钢丝组成，通过测量浮子所受浮力的增减所引起的钢丝拉力的变化，由控制器发出指令，伺服电机以一定的步幅带动测量磁鼓转动，随之带动浮子不断地跟踪液位的变化，同时计数器记录了伺服电机的转动步数，并自动地计算出测量浮子的位移量，即液位的变化量。丙烯球罐的伺服液位计应随仪表带标定腔；根据防爆区域划分图，防爆等级为Exd IICT4；选用220V（AC）外供电型；该丙烯球罐在高雷区，信号和供电需要配置电涌防护器；伺服液位计应配置罐旁指示表，作为液位测量现场监视仪表；安全要求配导波管并设置维修切断全通径球阀；伺服液位计满足SIL2等级要求。

 

2）雷达液位变送器。雷达液位变送器适用于重质油品、轻质油品、烃类液体以及恶劣工况的储罐液位连续测量。丙烯球罐的雷达液位变送器天线形式宜选用平面天线或导波式；根据防爆区域划分图，防爆等级为Exd IICT4；选用24V（DC）或220V（AC）外供电型；该丙烯球罐在高雷区，信号和供电需要配置电涌防护器；雷达液位变送器应配置罐旁指示表，作为液位测量现场监视仪表；安全要求配导波管并设置维修切断全通径球阀；雷达液位变送器满足SIL2等级要求。

 

3）超声波液位开关。外贴式超声波液位开关，适用于丙烯球罐，可以减少压力球罐的开口。外贴式超声波液位开关其传感器（探头）产生的高频超声波脉冲可穿过球罐壁，该脉冲会在球罐壁和丙烯液体中传播，还会被反射回来。通过对这种反射特性的检测和计算，可以检测出球罐内丙烯液位的高度。超声波液位开关的安装应确定传感器的测量方向在球内没有部件等障碍，并应避开罐壁焊缝。丙烯球罐的超声波液位开关防爆等级为Exd IICT4；选用24V（DC）外供电型；信号和供电需要配置电涌防护器；满足SIL2等级要求。

02

逻辑控制器子系统

SIS控制器采用独立的控制单元，是符合IEC 61508/61511要求且得到安全等级认证的设备。该系统的SIL等级为SIL3。

03

执行器子系统

丙烯球罐罐根阀XZV01安装在丙烯球罐的进出口管线上，当罐区内发生火灾、管道泄漏等事故或丙烯球罐液位超过高高液位时发生动作，能够快速联锁切断进料，以避免罐区事故的扩大或物料漫罐的发生。XZV-01为TSO型紧急切断球阀，用于双向流，应选用双向密封型阀内件；泄漏等级为CLASS V（TSO）；防爆等级Exd IICT4；防护等级IP65；带易熔塞，熔点250℃，易熔塞熔化，阀门关闭；带防火罩，防火罩应符合UL1709标准，能够在1093℃下，抵抗烃类火灾30min；应在火灾危险区外设置现场手动关阀按钮或开关，用于危险情况时现场手动操作；阀门整体满足SIL2等级要求。

罐区SIL验证

丙烯球罐液位高高联锁SIF回路如图2所示。

该SIF回路的功能描述及目标SIL见表4所列。下面利用中国石化风险评估管理评估平台PHAMS对该SIF回路进行SIL验证。

一般石化企业大修为4年1次，因此传感器子系统检测测试时间间隔TI1＝48个月，逻辑控制器子系统的检测测试时间间隔TI2＝48个月，执行器子系统的检测测试时间间隔TI3＝48个月；丙烯球罐SIF01回路组件MTTR＝8h；传感器使用寿命为10a、逻辑控制器使用寿命为15a、执行元件使用寿命为10a。SIF01回路子系统各元件的失效率数据选用PHAMS平台中相应元件对应的通用失效率数据，PFDavg计算方法选用可靠性框图。SIL验证结果见表5所列。

通过验证结果可以看出，目前设计的SIF01回路的PFDavg和SIL限制结构约束均不满足目标SIL2等级要求，下面对SIF01进行敏感性分析，提出合理化建议，使得SIF01回路满足SIL2等级要求。SIF01各子系统的验证结果分析见表6所列。

从以上结果可以看出，阀门的PFDavg占PFDSYS比重最高，约98.8%，是系统中最薄弱的环节。为提升回路的SIL等级，可优先降低阀门的PFDavg：比如在成本允许的条件下采用“1oo2”冗余配置阀门；缩短阀门的检测测试时间；也可以采用带有整体功能安全认证及具备部分行程测试（PST）功能的阀门来大幅降低阀门的PFDavg。

 

假设该丙烯球罐处于设计前期阶段，在成本和工艺操作条件允许情况下，增加1台阀门XZV-02与XZV-01进行“1oo2”联锁。下面将阀门冗余结构改为“1oo2”进行验证，其他可靠性数据不变，改进方案1验证结果见表7所列，各子系统的验证结果分析见表8所列。

从验证结果可以看出，整个SIF回路的PFDavg和SIL限制结构约束均满足SIL2等级要求，验证通过。因此，提高阀门冗余配置可以大幅度提高系统的可靠性。

 

同时，从验证结果分析可以看出，传感器子系统部分对总回路的可靠性影响很小，常用液位“2oo3”冗余结构配置过度设计，下面将液位高高联锁改为LZT-02和LZS-03采用“1oo2”冗余配置进行验证。验证结果见表9所列和表10所列。

从验证结果可以看出，传感器部分冗余配置降级后的SIF回路仍满足目标SIL，原设计液位“2oo3”联锁过度设计，可以取消LZT01参与SIS联锁，但实际生产过程中还应考虑可用性，“2oo3”还是比较合适的。

 

假设该丙烯球罐为在役装置改造阶段，如果阀门计划采用冗余配置，但阀门和配管对安装空间的要求无法满足，且成本投入无法被接收的情况下，阀门由电磁阀、执行器和阀共同组成，一般来说，电磁阀的可靠性是较低的，常见的失效是线圈烧毁，并引发误关停。因此在整个系统中，电磁阀可能是最关键的仪表设备，可以采用“1oo2”冗余配置的电磁阀来提高阀门的可靠性。采用冗余配置的电磁阀可以将原有执行机构的SIL限制结构约束从SIL1提升到SIL2。改进方案2验证结果见表11所列，各子系统的验证结果分析见表12所列。

从验证结果可以看出，虽然采用双电磁阀“1oo2”冗余结构配置将总回路的SIL限制结构约束提升到SIL2，但计算的PFDavg仍不满足目标SIL2要求。那么，可以通过缩短阀门的TI3进行重新配置和计算，运用PHAMS平台将执行元件部分的TI3逐渐减小，计算发现TI3至少缩短为24个月，才能使SIF满足目标SIL。验证结果见表13所列，各子系统的验证结果分析见表14所列。

通过以上SIL验证分析可以看出，并不是设置冗余结构就能使SIS满足目标SIL，为了保证SIS系统的安全可靠性，必须在设计阶段进行SIF回路各子系统的冗余结构合理化设计，并避免过度设计；同时，在安装、调试、运行维护中应严格执行IEC 61511功能安全管理的相关规定，做好各个阶段的功能安全评估工作。