基于HAZOP和SIL評估的聯(lián)鎖變更管理

哈向軍，李作財(cái)

（鄂爾多斯市烏蘭鑫瑞煤化工有限責(zé)任公司，內(nèi)蒙古自治區(qū) 鄂爾多斯 017209）

0 引言

某熱電廠鍋爐液位高高停爐聯(lián)鎖的傳感器子系統(tǒng)為三取二邏輯，其中3 個差壓液位計(jì)三取中作為1 個輸入點(diǎn)，其他兩個輸入點(diǎn)是兩個相同型號的電接點(diǎn)液位計(jì)，3 個輸入點(diǎn)三取二輸出液位高高聯(lián)鎖停爐。

生產(chǎn)過程中因兩個電接點(diǎn)出現(xiàn)共因失效，導(dǎo)致聯(lián)鎖誤動作。經(jīng)過分析，可能原因是鍋爐水質(zhì)變化引起的共因失效。因聯(lián)鎖誤動作而造成的停爐對于下游裝置的平穩(wěn)生產(chǎn)有很大的危害，停爐過程中也存在其他方面的風(fēng)險(xiǎn)。擬計(jì)劃將該聯(lián)鎖的傳感器子系統(tǒng)由三取二改為二取二，避免兩個電接點(diǎn)液位計(jì)出現(xiàn)共因失效導(dǎo)致的聯(lián)鎖誤動作。為保證修改的合理性和科學(xué)性，本文采用HAZOP+SIL 評估方法闡述變更的可行性。

1 分析方法

1.1 HAZOP方法

危險(xiǎn)與可操作性分析（HAZOP）是以系統(tǒng)工程為基礎(chǔ)，針對裝置工藝過程開發(fā)的危害辨識技術(shù)，是目前工藝危害辨識中應(yīng)用最廣泛的技術(shù)。HAZOP 分析是由各專業(yè)人員組成的分析組，以一系列會議的形式對裝置工藝過程的危險(xiǎn)和操作性問題進(jìn)行分析。HAZOP 分析的直接對象是工藝或操作的特殊點(diǎn)，這些特殊點(diǎn)稱為“分析節(jié)點(diǎn)”或工藝單元，或操作步驟。對于每一“分析節(jié)點(diǎn)”，HAZOP 分析組以正常操作運(yùn)行的工藝（狀態(tài)）參數(shù)為標(biāo)準(zhǔn)值，分析運(yùn)行過程中工藝（狀態(tài)）參數(shù)的變動（即偏離），同時分析出現(xiàn)偏離故障的原因、后果及應(yīng)采取的措施。

HAZOP 分析實(shí)施過程可以分為以下3 個主要階段：分析準(zhǔn)備、分析會議和分析報(bào)告[1]。

1.2 SIL評估方法

安全儀表系統(tǒng)（SIS）的安全完整性等級（SIL）代表了該聯(lián)鎖的失效概率，而聯(lián)鎖作為安全生產(chǎn)的一道重要的保護(hù)措施，從安全生產(chǎn)角度來說，聯(lián)鎖失效概率越低越好，而實(shí)際情況是聯(lián)鎖失效概率越低，SIS 系統(tǒng)的資金投入將非常巨大。因此，合理的聯(lián)鎖失效概率（SIL 等級）非常重要。SIL 等級與平均失效概率對照表見表1。本次分析所使用安全儀表系統(tǒng)（SIS）的SIL 定級方法為GB/T21109.3-2007《過程工業(yè)領(lǐng)域安全儀表系統(tǒng)的功能安全 第3 部分：確定要求的安全完整性等級的指南》中推薦使用的保護(hù)層分析（LOPA）方法[2-4]。

表1 SIL等級與平均失效概率對照表Table 1 SIL level and average failure probability comparison table

保護(hù)層分析法（Layer of Protection Analysis，LOPA）是在定性危害分析的基礎(chǔ)上，進(jìn)一步評估保護(hù)層的有效性，并進(jìn)行風(fēng)險(xiǎn)決策的系統(tǒng)方法，是基于事故場景的一種半定量分析方法。其主要目的是確定是否有足夠的保護(hù)層使風(fēng)險(xiǎn)降低到企業(yè)可接受標(biāo)準(zhǔn)。

根據(jù)Q/SH0560-2013《中石化HSE 風(fēng)險(xiǎn)矩陣標(biāo)準(zhǔn)》，本次保護(hù)層分析采用的風(fēng)險(xiǎn)矩陣及可接受風(fēng)險(xiǎn)標(biāo)準(zhǔn)見表3～表6[5]。該可接受風(fēng)險(xiǎn)標(biāo)準(zhǔn)符合《危險(xiǎn)化學(xué)品生產(chǎn)、儲存裝置個人可接受風(fēng)險(xiǎn)標(biāo)準(zhǔn)和社會可接受風(fēng)險(xiǎn)標(biāo)準(zhǔn)（試行）》（國家安全生產(chǎn)監(jiān)督管理總局2014年第13 號公告）的要求。

表3 A類子系統(tǒng)最低硬件故障裕度要求Table 3 Minimum hardware fault margin requirements for Class A subsystems

2 HAZOP和SIL評估過程

2.1 HAZOP分析結(jié)果

鍋爐液位高的主要后果是主蒸汽溫度下降、主蒸汽帶液，可能造成汽輪機(jī)損壞、裂解停車。主要后果是汽輪機(jī)葉片、轉(zhuǎn)子的損壞即財(cái)產(chǎn)損失。危險(xiǎn)與風(fēng)險(xiǎn)分析詳細(xì)內(nèi)容見表2。

表2 HAZOP分析記錄表Table 2 HAZOP Analysis record sheet

2.2 LOPA分析與SIL定級結(jié)果

依據(jù)HAZOP 分析的內(nèi)容，針對鍋爐液位過高聯(lián)鎖停機(jī)回路，從事件后果、嚴(yán)重性、初始事件、現(xiàn)有消減措施等維度進(jìn)行LOPA 分析及SIL 定級。依據(jù)LOPA 分析的結(jié)果，無鍋爐液位過高聯(lián)鎖時的風(fēng)險(xiǎn)缺口為2×10-2，依據(jù)SIF 需求時的平均失效率將鍋爐液位過高聯(lián)鎖的SIL 等級定義為SIL1。

2.3 SIL驗(yàn)算

2.3.1 結(jié)構(gòu)約束驗(yàn)證

安全儀表功能的結(jié)構(gòu)約束驗(yàn)證依據(jù)GB T20438（IEC 61508）《電氣/電子/可編程電子安全系統(tǒng)的功能安全》或者GB T21109（IEC 61511）《過程工業(yè)領(lǐng)域安全儀表系統(tǒng)的功能安全》。GB T20438（IEC 61508）對于SIF 結(jié)構(gòu)上影響SIL 等級的因素界定為組件的安全失效分?jǐn)?shù)（Safe Failure Fraction，SFF）及硬件故障裕度（Hardware Fault Tolerance，HFT）[6]。根據(jù)GB T20438（IEC 61508），不同安全失效分?jǐn)?shù)的A 類/B 類子系統(tǒng)所對應(yīng)的最低硬件故障裕度見表3和表4。

根據(jù)表3和表4結(jié)構(gòu)約束要求，原聯(lián)鎖結(jié)構(gòu)和修改后的結(jié)構(gòu)約束均滿足要求：

表4 B類子系統(tǒng)最低硬件故障裕度要求Table 4 Minimum hardware fault margin requirements for class B subsystems

1）原鍋爐液位高高聯(lián)鎖停爐的結(jié)構(gòu)約束

傳感器子系統(tǒng)：壓差液位計(jì)三取中（1oo3）與兩個電接點(diǎn)液位計(jì)（2oo3）。

邏輯解算器：Tricon（2oo3）。

執(zhí)行機(jī)構(gòu)：EMV103/XV7101（2oo2）。

根據(jù)表3和表4要求，原鍋爐液位高高聯(lián)鎖停爐的結(jié)構(gòu)約束為SIL1。

2）修改后的鍋爐液位高高聯(lián)鎖停爐的結(jié)構(gòu)約束

傳感器子系統(tǒng)：壓差液位計(jì)三取中（1oo3）與一個電接點(diǎn)液位計(jì)（2oo2）。

邏輯解算器：Tricon（2oo3）。

執(zhí)行機(jī)構(gòu)：EMV103/XV7101（2oo2）。

根據(jù)表3和表4要求，修改后的鍋爐液位高高聯(lián)鎖停爐的結(jié)構(gòu)約束為SIL1。

本次鍋爐液位過高聯(lián)鎖的變更內(nèi)容主要是將傳感器子系統(tǒng)由2oo3 結(jié)構(gòu)變更為2oo2 結(jié)構(gòu)，綜合上述幾個表格可以得出結(jié)論如下：從結(jié)構(gòu)約束角度，原設(shè)計(jì)方案符合要求，本次聯(lián)鎖變更的內(nèi)容不影響該安全儀表功能的安全完整性等級。

2.3.2 SIF需求時平均失效率（PFDAVG）計(jì)算

安全儀表系統(tǒng)的安全功能在要求時的平均失效概率，是計(jì)算和組合所有提供安全功能的子系統(tǒng)的平均失效概率來確定的，安全儀表系統(tǒng)的平均失效概率計(jì)算公式如下：

PFDavg=PFDavg,s ＋PFDavg,ls ＋PFDavg,fe

其中：PFDavg 為安全儀表系統(tǒng)在要求時的平均失效概率；PFDavg,s 為傳感器子系統(tǒng)在要求時的平均失效概率；PFDavg,ls 為邏輯控制器在要求時的平均失效概率；PFDavg,fe 是最終執(zhí)行元件在要求時的平均失效概率。

子系統(tǒng)的平均失效概率采用GB T21109（IEC 61511）附錄A 中的A.3 簡化公式。該鍋爐的檢修周期為1年，因此安全儀表系統(tǒng)（SIS）的檢驗(yàn)測試周期為1年（8760 h）。本項(xiàng)目的失效數(shù)據(jù)來源[7]于幾個方面：①設(shè)備制造廠家提供的失效數(shù)據(jù)；②EXIDA 公司出版的失效數(shù)據(jù)庫；③現(xiàn)場使用經(jīng)驗(yàn)及專家經(jīng)驗(yàn)。

1）針對SIF 回路失效率計(jì)算

原鍋爐液位過高聯(lián)鎖停機(jī)回路的失效率計(jì)算，見表5。

表5 原鍋爐液位過高聯(lián)鎖停機(jī)回路的失效率Table 5 Failure rate of the original boiler liquid level too high interlock shutdown circuit

聯(lián)鎖變更后，鍋爐液位過高聯(lián)鎖停爐回路的失效率計(jì)算，見表6。

表6 變更后鍋爐液位過高聯(lián)鎖停機(jī)回路的失效率Table 6 The failure rate of the interlock shutdown circuit after the boiler liquid level is too high after the change

2）各SIF 回路驗(yàn)算結(jié)果

本次鍋爐汽包液位高高停爐聯(lián)鎖的變更內(nèi)容主要是將傳感器子系統(tǒng)由2oo3 結(jié)構(gòu)變更為2oo2 結(jié)構(gòu)，綜合上述幾個表格可以得出結(jié)論如下：原設(shè)計(jì)方案中，該SIF 符合SIL1 的要求，聯(lián)鎖變更后傳感器子系統(tǒng)的失效率明顯增加，但變更后SIF 的失效率依然可以滿足SIL1 的要求，因此本次聯(lián)鎖變更的內(nèi)容不影響該安全儀表功能的安全完整性等級。

2.3.3 其他可行性方案研究

依據(jù)本項(xiàng)目變更的原因，是鍋爐水質(zhì)導(dǎo)致的電接點(diǎn)液位計(jì)共因失效引起了聯(lián)鎖的誤動作，雖然將該聯(lián)鎖的傳感器子系統(tǒng)由三取二改為二取二，可以避免兩個電接點(diǎn)液位計(jì)出現(xiàn)共因失效導(dǎo)致的聯(lián)鎖誤動作，但犧牲了該聯(lián)鎖的可靠性。因此，提出以下兩種可行性變更方案加以分析探討：

1）方案1：將傳感器子系統(tǒng)中3 個壓差液位計(jì)中的兩個與兩個電接點(diǎn)液位計(jì)中的一個組合成三取二（2oo3）模式作為該聯(lián)鎖觸發(fā)條件，見表7。

表7 方案1失效率計(jì)算Table 7 Calculation of failure rate of scheme 1

2）方案2：將傳感器子系統(tǒng)中的兩個電接點(diǎn)液位計(jì)做二取一（1oo2）邏輯再與3 個壓差液位計(jì)三取中組合成二取二（2oo2）模式作為該聯(lián)鎖觸發(fā)條件，見表8。

表8 方案2失效率計(jì)算Table 8 Calculation of failure rate of scheme 2

從結(jié)構(gòu)約束和失效率計(jì)算角度看兩個方案的結(jié)果如下：

將傳感器子系統(tǒng)中3 個壓差液位計(jì)中的兩個與兩個電接點(diǎn)液位計(jì)中的一個組合成三取二（2oo3）模式，作為該聯(lián)鎖觸發(fā)條件的結(jié)構(gòu)約束。

傳感器子系統(tǒng)：壓差液位計(jì)與一個電接點(diǎn)液位計(jì)（2oo3）。

邏輯解算器：Tricon（2oo3）。

執(zhí)行機(jī)構(gòu)：EMV103/XV7101（2oo2）。

根據(jù)表3和表4要求，結(jié)構(gòu)約束為SIL1。

將傳感器子系統(tǒng)中3 個壓差液位計(jì)中的兩個與兩個電接點(diǎn)液位計(jì)中的一個組合成三取二（2oo3）模式，作為該聯(lián)鎖觸發(fā)條件的失效率計(jì)算。

傳感器子系統(tǒng)中的兩個電接點(diǎn)液位計(jì)做二取一（1oo2）邏輯再與3 個壓差液位計(jì)三取中組合成二取二（2oo2）模式，作為該聯(lián)鎖觸發(fā)條件的結(jié)構(gòu)約束。

傳感器子系統(tǒng)：壓差液位計(jì)三取中（1oo3）與兩個電接點(diǎn)液位計(jì)（1oo2）組合（2oo2）。

邏輯解算器：Tricon（2oo3）。

執(zhí)行機(jī)構(gòu)：EMV103/XV7101（2oo2）。

根據(jù)表3和表4要求，結(jié)構(gòu)約束為SIL1。

傳感器子系統(tǒng)中的兩個電接點(diǎn)液位計(jì)做二取一（1oo2）邏輯，再與3 個壓差液位計(jì)三取中組合成二取二（2oo2）模式作為該聯(lián)鎖觸發(fā)條件。

綜上所述，上述兩種將鍋爐液位高高聯(lián)鎖回路的傳感器子系統(tǒng)變更的方案從結(jié)構(gòu)約束和失效率的角度均能符合要求，并且可靠性要比原變更方案高。

3 評估結(jié)果及建議

3.1 SIL評估結(jié)果

通過對鍋爐液位高高聯(lián)鎖停爐的HAZOP 分析、LOPA分析、SIL 定級、SIL 驗(yàn)證以及其他可行性方案的研究，可得到如下結(jié)論：鍋爐液位高高聯(lián)鎖停爐回路應(yīng)為SIL1 級。因鍋爐水質(zhì)變化引起的聯(lián)鎖誤動作，通過修改傳感器子系統(tǒng)的邏輯無法解決根本問題，通過變更方案可行性研究，將傳感器子系統(tǒng)由2oo3 結(jié)構(gòu)變更為2oo2 或者其他結(jié)構(gòu)后，該SIF 的SIL 等級雖然仍然為SIL1 級，但必然會降低部分該聯(lián)鎖的可靠性。因此，需要慎重選擇該聯(lián)鎖的變更方案。

3.2 SIL評估建議

本次聯(lián)鎖變更SIL 評估過程中將設(shè)備檢驗(yàn)測試周期定為1年，在此基礎(chǔ)上進(jìn)行評估驗(yàn)證得出相應(yīng)的結(jié)論。因此，在實(shí)際操作維護(hù)中應(yīng)遵循該檢驗(yàn)測試周期進(jìn)行檢驗(yàn)測試。檢驗(yàn)測試時，應(yīng)制定周密的檢驗(yàn)測試方案，防止在檢驗(yàn)測試過程中，由于誤操作、管線隔離不徹底等原因造成事故。聯(lián)鎖變更操作時亦應(yīng)該制定詳細(xì)的施工方案，通知并對相關(guān)人員進(jìn)行培訓(xùn)，使相關(guān)人員掌握該聯(lián)鎖變更的具體情況，降低人為失誤帶來的系統(tǒng)失效風(fēng)險(xiǎn)。

通過采用HAZOP+SIL 評估可以避免聯(lián)鎖變更的盲目性，選擇較為穩(wěn)妥的變更方案，確保功能安全的可靠性得到有效保障。