基于因果表的安全仪表功能分析方法探讨

施建设

（中石化宁波工程有限公司，浙江宁波315103）

随着石油化工装置的大型化，操作周期愈来愈长，石油化工装置的安全生产已经成为社会、企业和操作人员越来越关注的重点。因此，在石油化工装置中保证安全运行而采用安全仪表系统（SIS）已经达成共识。

根据IEC 61508和IEC 61511的要求，SIS在实现安全保护时是以安全仪表功能（SIF）作为评估和考核对象的。在经过安全评估、分析进入设计阶段时，要确保每个SIF的安全完整性等级（SIL）满足要求来降低风险使之达到能接受的程度。因此，SIF是实现装置安全联锁的基本单位，正确分析并实现装置中的SIF是SIS全生命周期中的基本要求之一。

近年来，中国企业与国外公司联合投资或引进专利技术投资建设石油化工企业的情况越来越多；国外公司或技术专利商提出的要求和提供的资料，均要求SIS的设计满足IEC 61508和IEC 61511的规范要求，但提供的安全联锁资料均不是以每个SIF回路的形式提供，而是以安全操作说明、联锁图、因果表等形式提出，因而较难确定每个SIF的结构形式，也难以核实每个SIF的SIL。因此，有必要对各种形式的安全联锁按IEC 61511要求的形式进行描述。

1 基本概念和要求

根据IEC 61508和IEC 61511的定义和要求，SIS由传感器、逻辑控制器、最终执行器组成，是由具有SIL要求并实现特定保护功能的SIF来实现的，如图1所示。

图1 SIS的基本组成注：S1～S5——传感器；F1～F3——最终执行器

在图1中，loop1～loop5为按安全功能划分的5个SIF；要求每个SIF对应的SIL满足需要的安全等级。在对SIF进行研究时，还需要对传感器、逻辑控制器、最终执行器的安全结构进行分析，应该使每个SIF的平均故障率（PFDavg）和安全结构均满足标准和技术规范的要求。

2 SIF分析

2.1 需确认仪表安全保护功能的主要动作

在对联锁进行安全分析或进行SIL核算时，应该确定针对联锁发生后的主要动作为实现本仪表安全功能的“安全回路”来考虑，联锁的其他动作需结合流程情况另行分析。

图2为某装置转化炉的流程图，表1列出转化炉温度高高联锁时的因果表。其工艺操作要求为当转化炉温度（TE12021A／B／C）高于设定值（TZHH－12101A／B／C）时，将燃料进料阀XV－12111和XV－12113关闭，打开燃料放空阀XV－12112；关闭转化炉入口原料阀XV－12121，并打开蒸汽吹扫阀XV－12122；关闭转化炉出口去下游的切断阀XV－12126和调节阀FV－12125，并打开转化炉出口放空阀XV－12125。此过程联锁安全等级要求为SIL2。

图2 带控制点的转化炉流程

表1 温度高高联锁因果表

由于SIF是满足SIS要求的基本单位，必须要对因果表中联锁产生的原因和后果进行分析，以确定各联锁的安全要求。从流程中看出，转化炉出口温度高的主要原因是转化炉内的燃料过量燃烧，造成转化炉内的炉管和催化剂的损坏或损失。因此，只要确保将转化炉燃料入口阀XV－12111和XV－12113中的任何一个关闭即可满足安全要求，该联锁等级应满足因果表中的SIL2要求。阀门XV－12112的开启须在XV－12111和XV－12113关闭后动作，目的是再次确保燃料气与转化炉的完全隔离，与该联锁的安全要求的实现无直接关系。

实际过程中，在燃料入口阀XV－12111和XV－12113关闭后，针对转化炉温度高的联锁已经实现；表1中其他阀门的动作是为了完成装置停车时的其他步骤和功能，属该联锁外的附加功能，其安全要求和等级另分析如下：

a）XV－12126和FV－12125的关闭是为了避免对转化炉的炉管吹扫时蒸汽进入下游装置。从对下游产品、催化剂和设备等的影响程度和后果分析，此联锁的安全等级应该满足SIL2要求。

b）XV－12121的关闭，一方面是为了在转化炉停车后切断原料气以避免浪费，同时也是避免转化炉停止加热后冷气体进入转化炉以损坏炉管及催化剂。XV－12125的开启是保证转化炉停止加热后进入转化炉的吹扫气能顺利放空，也是保护炉管及催化剂的手段之一。从危险性和后果分析，XV－12121和XV－12125只要满足SIL1即可。

c）XV－12122的开启是用于转化炉炉管的蒸汽吹扫，同样也是为了保护炉管及催化剂，其危险性和后果同样只要满足SIL1即可。但从开阀的时间来看，XV－12122的开启要求在XV－12121关闭后实施；实际联锁方案应该在XV－12121关闭到位（XGSC－12121）确认后再发出开阀指令。为了保证指令的正确性，设置了2个已经关闭到位的阀位开关（XGSC－12121A／B）并采用“1oo2”的结构来实施。在调整后的因果表中，虽然XGSC－12121A／B是阀门XV－12122开启的原因，但阀门关闭到位信号不是联锁中的触发源，仅仅是要求按照一定的顺序执行动作而已，其在计算SIL时应按内部逻辑计算，即不考虑XGSC－12121A／B的故障率。

通过以上分析，需对表1的因果表按SIF的定义和要求进行调整，表2所列是按SIF要求调整后的因果表。

表2 按SIF调整后的温度高高联锁因果表

2.2 需确认危险产生后的后果

在对SIF进行安全分析时，一般是以产生风险的直接原因作为分析的依据。但在某些情况下，一些其他原因（间接原因）可能导致作为联锁的直接原因产生，从而促发装置的联锁。因此，在分析时需要对其他原因（间接原因）进行综合研究，既要保证直接原因产生时装置的安全，也要将其他原因（间接原因）发生时对过程的危害一起考虑。

图1中关于燃料气压力和火焰的另一组联锁因果表见表3所列，图1中BT－12121为火焰检测器。工艺要求：当转化炉内没有火焰（BZL－12121）、燃料气管线压力低低（PZLL－12111A／B／C）、燃料气管线压力高高（PZHH－12111A／B／C）时转化炉停车。

表3 燃料系统压力联锁因果表

从危险的后果来分析，这三组联锁都是避免转化炉的爆炸。UZ－004的要求：当转化炉内出现火焰故障或者没有火焰时应将燃料气切断，以免气体在转化炉内积聚爆炸。UZ－002和UZ－003的要求：当燃料气压力过低或过高时也应将燃料气切断，但实际上燃料气压力的过低或过高对转化炉是没有直接危险的，它产生的风险只是在燃料气压力过低或过高时导致转化炉内的火焰熄灭进而可能产生的爆炸风险，即UZ－002和UZ－003的风险是通过UZ－004的直接后果来体现的。因此，在确定UZ－002和UZ－003的SIF时，应同时将UZ－004的风险考虑在内，调整后的因果关系见表4所列。

表4 按SIF调整后的燃料系统压力联锁因果表

2.3 从安全联锁的直接原因和间接原因分析

图3为某反应器的流程简图，其温度联锁的因果表见表5所列。该反应器工艺操作过程：原料气从上部进入一个装有催化剂的反应器内，反应后的工艺气从下部出口进入下游装置。因果表中的联锁要求：当反应器内的10点温度中任意2点温度高于设定值（TZHH－13101A／B／C／D／E，TZHH－13102A／B／C／D／E）时装置联锁，将原料气入口阀XV－13101和XV－13103关闭，同时打开放空阀XV－13102。

图3 带控制点的反应器流程

此反应为放热过程，原料气从设备上部到下部的过程是反应加剧的过程，从上到下也是温度不断升高的过程。虽然设备设计、控制要求和联锁的设定点都是按反应器内的温度均匀分布设置的，但实际上下部的温度比上部的温度高1～2℃；对在同一轴向的温度分析，下部的温度是随着上部温度的升高而升高的。然而在实际情况下，温度TZHH－13101A／B／C／D／E和TZHH－13102A／B／C／D／E（2oo10）的联锁设定值是相同的。

从危害角度分析，其上、下部温度超过设定值时对设备和催化剂的危害是相同的。因此，需将上部温度和下部温度在联锁中分别单独考虑，因而将UZ－005的联锁按表6的形式进行调整。

实际上按照SIF对流程的分析，UZ－005A（或UZ－005B）SIF强调的是温度计在同一高度不同安装位置时的温度联锁，但UZ－005A或UZ－005B的区别是不同安装高度的测量点而产生的温度差异，UZ－005C则强调从反应器内所有温度引发的联锁综合考虑。

表5 反应器温度联锁因果表

表6 按SIF调整后的反应器温度联锁因果表

3 结束语

安全联锁系统是保证石油化工生产装置安全、平稳运行的基石，在SIS的设计过程中，科学、合理地对SIF进行分配和确认是SIS全生命周期中“实施”环节的主要节点，是对石油化工装置进行正确安全评估的第一步。

［1］ IEC.IEC 61508Functional Safety of Electrical／Electronic／Programmable Electronic Safety－related System，Part 1－7［S］.2nd ed.Genvea：International Electrotechnical Commission，2010.

［2］ IEC.IEC 61511Functional Safety－Safety Instrumented Systems for the Process Industry Section Part 1－3［S］.Genvea：International Electrotechnical Commission，2003.

［3］ ISA.ANSI／ISA－S84.01Application of Safety Instrumented System for the Process Industries［S］.North Carolina：Instrument Society of America，1996.

［4］ ISA.ISA－TR84.00.02—2002Technical Report Safety Instrumented Function（SIF）－Safety Integrity Level（SIL）Evaluation Techniques Part 1－5［S］.North Carolina：Instrument Society of America，2002.

［5］ ISA.ISA－TR84.00.04—2005Part 1Guidelines for the Implementation of ANSI／ISA－84.00.01—2004［S］.North Carolina：Instrument Society of America，2005.

［6］ ISA.ISA－TR84.00.04—2005Part 2Example Implementation of ANSI／ISA－84.00.01—2004［S］.North Carolina：Instrument Society of America，2005.

［7］ GRUHN P，CHEDDIE H.Safety Instrumented Systems：Design，Analysis，and Justification［M］.2nd ed.Printed in the United States of America，2006.

［8］ 张建国.安全仪表系统在过程工业中的应用［M］.北京：中国电力出版社，2010.

［9］ 王秋红，孙旭.石化装置安全度等级与安全仪表系统的设计［J］.石油化工自动化，2008，44（01）：8－10.

［10］ 宋志远.SIL报告在自控设计中的指导应用［J］.石油化工自动化，2009，45（03）：6－12.

［11］ 姜荣怀.安全仪表功能的设计和SIL的确认［J］.中国仪器仪表，2009（05）：44－48.

［12］ 姜巍巍，李玉明，王春利，等.安全仪表系统安全完整性等级（SIL）评估技术应用［J］.中国仪器仪表，2009（02）：48－81.

［13］ 许忠仪.安全仪表系统（SIS）的SIL评估［J］.化工自动化及仪表，2009，36（05）：62－66.