九江石化启示之SIS系统的全生命周期管理

九江石化启示之-SIS系统的全生命周期管理一、概述

时针回拨到2018年的2月12日16时14分，那一刻犹如一声惊雷，引起了中石化、中石油集团、其他地区的兄弟企业以及各地省市安监等人员的广泛注意，这里面既包含设计人员、安全管理人员、安全评价及咨询人员、仪表电气人员甚至包含施工单位的人员，警钟再响，这次我们应该如何对待？自“连云港聚鑫生物科技”爆炸事故后，一波未平，一波又起，这次的焦点仍然包含“联锁回路”，自2014年国家安监总局发布116号文后，安全仪表系统又一次吸引了绝大多数专业人士的注意。

每次事故都都会涌现出大量的专业解读，试图去揭开事故背后的“达芬奇密码”，这次也不例外，各色文章琳琅满目，大多数人员抑或从主观判断、抑或以批判的精神去苦苦探索“事故如何发生”最后的一丝线索，小编以“仪表人”的角色，另辟蹊径，从如何“避免此类事故”的角度出发，希望对各位读者有所帮助。

本以SIS系统的功能安全生命周期的角度出发，通过风险辨识→半定量分析（LOPA分析）→设计→SRS功能安全规格书→SIL验证→维护管理的角度出发，系统分析该事故场景下的SIS系统生命周期的管理。二、事故过程（引自事故调查报告）

2018年3月12日16时14分，江西九江一石化企业柴油加氢装置原料缓冲罐（设计压力0.38MPa）发生爆炸着火事故，造成2人死亡、1人轻伤。3月20日，国家安监总局就该事故发出警示。（1）事故原因

经初步分析，事故直接原因是循环氢压缩机因润滑油压力低而停机后，加氢原料进料泵随即联锁停泵，但因泵出口未设置紧急切断且单向阀功能失效，加之操作人员未能第一时间关闭泵出口手阀，反应系统内高压介质（压力5.7MPa）通过原料泵出入口倒窜入加氢原料缓冲罐，导致缓冲罐超压爆炸着火。（2）事故暴露问题

一是事故装置建成于1990年，其加氢原料进料泵出口当时没有设置紧急切断阀，在后来多次改造中也没有进行完善，本质安全水平低，埋下安全隐患。

二是设备设施维护保养不到位，未及时对泵出口单向阀进行检查维护，事故后拆检发现单向阀已失效。

三是风险管控不到位，应用HAZOP等分析工具进行风险辨识、评估和管控的能力不足，对加氢装置高压窜低压的危害认识不足。

四是应急处置不到位。循环氢压缩机润滑油压低报警后，长时间未能排除故障，处理过程中引起润滑油压力低低联锁停机；循环氢压缩机停机后，未能第一时间关闭加氢原料进料泵出口手阀，切断高压窜低压的通路。

有关石化企业要针对该起事故暴露问题对相关装置进行对照检查，消除隐患，避免类似事故再次发生。（3）事后处理1.立即开展同类装置专项安全隐患排查治理。要重点排查同时有高压低压系统的装置防高压窜低压措施采取情况、加氢装置进料泵出口紧急切断和联锁设置情况、同一企业同类装置新老设计不一样的情况，对存在安全隐患的要及时整改；相关设计单位要对已设计投产的同类装置进行梳理，发现原设计可能存在安全隐患的，要及时通报有关项目业主。2.提升安全风险管理水平。要强化设备设施维护保养，注意收集和获取各类设备设施的失效概率数据；要进一步提升应用HAZOP、LOPA等工具进行安全风险管控的能力，全面提升安全风险管理科学化水平。3.强化应急处置能力。要优化完善应急预案和应急处置卡，结合岗位开展应急技术技能专项培训，提高员工应急处置能力。4.认真吸取同类企业事故教训。1987年3月22日，英国格朗季蒙思炼油厂加氢装置因高压分离器气体窜入低压分离器，导致低压分离器超压爆炸，继而发生大火，造成1人死亡，装置严重损坏，经济损失7850万美元。有关企业要广泛收集国内外同类企业发生的事故案例，深刻吸取事故教训，结合企业实际排查治理安全隐患，抓早抓小，防范事故于未然。三、我们如何做？（SIS系统的生命周期管理）开始分析前，我们先了解下SIS系统的生命周期的流程图，简化如下：首先从工艺危害的角度出发分析该事件，本事故的工艺流程简图如下：注释：上述PID图仅为示意图，手阀及旁路阀均未体现。（1）

HAZOP分析（如何开展有效的HAZOP分析？）因篇幅有限，本文章不对HAZOP分析的整体技术进行赘述，仅对与本场景相关的内容进行讨论如下。

HAZOP作为一种系统化、结构化的危害识别工具已经广泛用于识别装置在设计和操作阶段的工艺危害，HAZOP分析的成果可直接影响SIL评估的准确性及合理性，影响工艺场景的剩余风险，从而影响SIF回路的可靠性等级。HAZOP分析中一个非常重要的概念为“引导词”，在分析过程中合理的使用引导词可更加全面的识别工艺中风险，防止漏项。在此分析的场景中，“逆流”场景作为流量场景中关键对象，非常容易被遗漏，甚至忽略。

在HAZOP分析场景中，逆流工况的分析应该把握核心的场景，并且在“逆流”场景分析中应充分考虑可能导致“逆流”的原因（可能存在多个不同的原因），在分析过程中任何可能导致“逆流”的原因都需要逐一分析，在对后果进行分析时，应注意把握该场景下后果的严重程度（人员、财产、环境、声誉等）。重点关注项：在HAZOP分析中应对流量中“高、低、逆流及错流”，并且除了对“原料泵”的故障停止进行分析外，还需要对可能导致“原料泵”停止的正常原因进行分析，例如联锁触发（人员手动停止或者氢压机停止联锁），可能引发的次生风险进行分析，这个也是最容易忽略的环节，该处给我的启发是“如果该联锁触发后，不停止泵，保持进料，其后果是否比“停止”更安全？在SHELL程序文件里面要求如下：在对常规的联锁回路分析后，应进行新的安全分析（联锁动作引发的次生风险）（2）

SIL定级（SIL定级的尺度如何把握）LOPA是一种半定量分析方法，可被用于识别能够满足独立保护层要求（依据IEC61511Part3，附件F）的安全仪表系统。在LOPA中，需要对提出或提供的独立防护层的有效性进行分析验证。这些保护层综合的效果将会与可接受风险的标准进行比对。如果满足企业的风险可接受标准则不需要提供额外的风险降低措施。如果其不符合风险可接受标准则需要增加额外的风险降低措施。这种额外的风险降低可以通过提高安全联锁系统的SIL等级或是增加更多的保护层来达到。LOPA分析法每次只针对一起特定的事故场景进行分析，不能反映各种事故场景之间的相互影响。由于LOPA分析的成果通常会受一些关键因素的制约，例如，风险可接受标准、初始事件以及独立保护层频率等，所以假如在分析中使用数据不同，则可能产生不同的结果。另外，LOPA分析法中另外一个重要的缺点是无法对独立保护层之间的公因失效进行定量的分析。通过HAZOP分析后，我们对该场景中采用LOPA分析进行进一步分析，以确定该场景下联锁回路的SIL等级。在本次分析中首先假设以下几个条件：1后果严重性为“2人及以上伤亡”，可接受风险定义为1E-05（按13号令低密度区域）；2在爆炸区：人员恰好出现的概率为0.1；3

人员的致死概率为1（假设为100%死亡）；4初始事件的原因：循环气压缩机联锁回路启动，该回路保守该回路的频率为0.1；5

不考虑安全阀的泄放能力（假设不满足）；6

单个止回阀不考虑作为IPL（不满足有效性及可审核性）；7

初始事件仅考虑一个原因，其他未展示（选取最大频率计算）；8

原料泵出口流量报警未进行削减（报警设定值、报警响应时间）9

未设置逆流保护的联锁回路，不进行削减10

原料罐上PSV阀，不进行削减（假设安全阀泄放能力不满足逆流工况）通过计算后，该回路的SIL等级为SIL2等级。重点关注项：在分析过程中合理把握后果的严重性（可容忍风险）、独立保护层IPL的有效性、初始事件的选择及频率的确定（结合AQ3054及GB32857）。（3）

SIF回路的设计（SIF方案如何选择）在SIF回路的设计过程中，需要重点考虑设计防止逆流的方案。方案1：在常规的联锁设计中，可通过“泵故障信号”触发联锁关闭泵出口切断阀来避免出口逆流场景（SIS系统实现）；方案2：通过泵出口压差信号触发联锁关闭泵出口切断阀（SIS系统实现）；方案3：通过（原料罐与反应器变送器）的压差信号触发联锁关闭泵出口切断阀。（SIS系统实现）。在验算过程中假设一下几个条件：1检验测试隔间为1年2测试覆盖率为90%3β共因失效为0.024MTTR平均修复时间为4小时5设计年限为15年（1）

可靠性分析：以上三个回路按照EXIDA数据进行粗略计算如下：方案1：变送器假设为霍尼韦尔ST700（假设同差压变送器数据，SIL2认证）SIS假设为Emerson（SIL3认证）阀门假设为（SIL2认证）：MetsoS60200HJYYR1YYXBGB球阀A0.00E+005.80E-070.00E+002.04E-0774MetsoB1JU20/70L执行器A0.00E+000.00E+000.00E+002.40E-080ASCOJSIS8551B321MO电磁阀A0.00E+001.78E-070.00E+003.47E-0733.9

方案2：变送器假设为泵故障信号SIS假设为Emerson（SIL3认证）阀门假设为（SIL2认证）：MetsoS60200HJYYR1YYXBGB球阀A0.00E+005.80E-070.00E+002.04E-0774MetsoB1JU20/70L执行器A0.00E+000.00E+000.00E+002.40E-080ASCOJSIS8551B321MO电磁阀A0.00E+001.78E-070.00E+003.47E-0733.9

方案3：变送器假设为差压信号（两个变差器之差，SIL2认证）SIS假设为Emerson（SIL3认证）阀门假设为（SIL2认证）：MetsoS60200HJYYR1YYXBGB球阀A0.00E+005.80E-070.00E+002.04E-0774MetsoB1JU20/70L执行器A0.00E+000.00E+000.00E+002.40E-080ASCOJSIS8551B321MO电磁阀A0.00E+001.78E-070.00E+003.47E-0733.9通过对可靠性分析，可以看出：方案1的PFD值为：6.91E-03方案2的PFD值为：1.30E-02方案2的PFD值为：7.39E-03由此看出，方案1的可靠性最高，方案2的可靠性最低。

（2）

技术方案：通过对以上各方案进行分析，优缺点对比如下：通过以上分析，以上三种方案对比，各方案均存在一定的优缺点。若采用方案1+方案2的组合进行设计，可有效的避免场景延迟的问题，还可作为二次保护，但是在SIL可靠性上进行分析，方案1和方案2的组合不能实现两级削减（两层IPL），因共用一个执行机构（泵+阀门），但是其PFD值在一定程度上会减少。重点关注项：在设计时，采用关阀+停泵动作（停泵设计一定的延迟）。原料罐上PSV的设计应满足最大逆流工况下的泄放能力要求。泵故障及运行信号设计为“最高优先级”报警（4）

维护管理目前国内在检维修策略的制定上缺乏预防性措施，尤其在检测测试周期及测试覆盖率的确定上缺乏依据。通过制定合理的检验测试周期及覆盖率可增加SIF回路的SIL可靠性。近年来，在线检测的措施有所增加，如阀门的PVST功能。通过阀门部分行程测试（PVST）可对阀门的部分危险失效进行周期性的检测，从而在整体上减少了检测测试的周期。通过进一步分析得出，通过增加PVST可以带来以下优势：提高检验测试周期，提高SIL等级提供有预测性的维护数据延长阀门全行程测试（FST）周期优化硬件结构约束减少不必要的旁路设置可在线进行检验测试，同时满足安全需求因此在制定合理的检验测试规程，对切断阀门的失效模式进行分析。常规阀门的失效模式如下：重点关注项：制定合理