安全仪表系统完整性等级评估(SIL)在油库中的应用

72一、引言
随着国家经济的持续发展，成品油市场需求也越来越大，
成品油储油库数量和容积也越来越大。

而成品油油库作为易燃、易爆的重大危险源，安全管理成为了重中之重。

目前，导致油库发生安全事故的原因主要有以下几类：工艺设计不合理、设备运行管理不到位、操作程序偏离等。

但是历史数据表明，几乎所有过程性事故的发生，均与安全仪表的失灵有关。

由此可见，安全仪表系统的完整性与否，与生产过程的控制和油库安全运行有着非常紧密的联系。

如何保证油库安全仪表系统的可靠性、完整性，成为了目前油库安全管理的研究方向。

二、国内研究现状
在近代工业控制研究中，欧美一些国家指定并发布了一系列技术标准，旨在解决安全仪表系统功能性的相关问题。

我国在SIS系统的研究起步较晚，中国石油化工集团集团于1999年颁布并实施SHB-Z06-1999，参考并采用了IEC的相关标准，首次提出了SIS的概念。

2003年，由国家经济贸易委员会发布并实施SY/T10045-2003，等同采用ISA81.01-1996。

国家发改委于2004年发布石油化工行业标准SH/T3018-2003，已然是等同采用IEC的相关标准。

近几年，国家实施、颁布并更新了一批相关SIL规范，成立了多个研究机构，并在2011年，国家安监总局将功能安全管理作为危化品企业一级标准化企业考核要素。

通过多年的努力，目前已逐步赶上欧美发达国家的管理标准和理念。

三、SIL评估在油库中的应用
油库的SIL 评估一般采用保护层分析方法（LOPA），确定装置风险降低是否需要安全仪表功能以及该安全仪表功能所需要的安全完整性等级，对于其中需求安全完整性等级为SIL1 及其以上的SIF，通过功能安全的方法验证其实际能够达到的安全完整性等级，确认其是否满足需求的SIL等级及风险降低要求。

1.评估程序
油库安全仪表系统评估一般根据油库的基础技术资料（P&ID、因果图或联锁逻辑图等），明确设计意图，完成安全仪表功能（SIF）辨识环节。

在此基础上，采用保护层分析（LOPA）方法，确定各安全仪表功能需求的安全完整性等级（Required SIL）；然后验证该装置实际的安全仪表功能所能够达到的安全完整性等级（Achieved SIL），同时确定检验测试周期（TI），验证其结构约束和平均要求时的失效概率（PFDavg）。

当两方面的验证结果同时达到需求的安全完整性等级（Required SIL）时，说明该SIF 的设计满足该企业的风险降低要求。

否则，该SIF 不满足要求，需要进行修改或重新设计，将提出相应的建议措施。

2.SIL在油库的评价情况
（1）基本设施情况。

某油库内有 5000m3油罐4座，10000m3油罐6座，20000m3油罐5座，（汽油油罐10座，柴油油罐5座），罐区总容量180000m3。

根据《石油库设计规范》（GB50074-2014），油库为一级油库，根据《危险化学品重大危险源辨识》（GB18218-2009）辨识标准，该企业被认定为为危险化学品重大危险源企业。

（2）自动控制系统情况。

根据《危险化学品重大危险源安全监控通用技术规范》（AQ3035-2010）、《危险化学品重大危险源罐区现场安全监控装备设置规范》（AQ3036-2010）要求，该油库设置了自动化控制系统。

该油库自动化控制系统主要有：油库储罐液位、温度监测报警及联锁控制系统、可燃气体浓度监测报警及联锁控制系统、视频监控系统、机泵状态监测报警系统、气象监测报警系统、静电接地报警系统、应急报警系统、紧急切断阀联锁控制系统及周界入侵报警系统。

3.SIL 定级—保护层分析（LOPA）
（1）LOPA分析概述。

安全仪表系统评估首先需要完成安全仪表功能辨识以及确定安全仪表功能（SIF）需求的安全完整性等级（SIL），该阶段可使用的方法有多种，本项目采用的是保护层分析法，即LOPA。

LOPA 分析是以定性危害分析的结果为基础，对保护层的有效性进行进一步的风险评估评估和决策，是基于事故场景的一种半定量分析方法。

该分析方法的主要目的，是确定其保护层能否将风险降低至可接受标准以内。

步骤包括：
①首先取得油库的可接受风险等级标准（例如1×10-6/年-严重后果）；
②出每一个冲击事件起始原因和估计的可能性；
③列出独立保护层（IPLs），即：DCS、报警和处理程序、压力泄放等；
④各独立保护层（IPLs）均被指定一个要求时的失效概率（PFD）；
⑤事件可能性=初始事件（IE）的可能性×独立保护层（IPLs）要求时的失效概率（PFDs）；
⑥评估事件可能性是否已达可容忍风险目标。

（2）选取风险矩阵
风险矩阵评估方法是一种常用的定性评估方法，首先将事故发生频率和事故后果进行等级划分，事故后果的严重程度和事故发生的可能性构成矩阵的二维坐标，矩形的框架结构表示频率和后果的综合结果—风险。

由于是中国石化所属油库，因此依据《中国石化安全风险评估指导意见》，选取相应的风险评估矩阵，
4.保护层分析（LOPA）分析过程及记录表
保护层分析参考GB/T21109.3-2007（IEC61511-3）附录 8.2的LOPA 记录表，具体见表4-1。

安全仪表系统完整性等级评估(SIL)
在油库中的应用
李　岩 中国石化北京石油分公司
【摘　要】随着国家经济的发展，成品油需求的增加，如何保证油库安全仪表系统的可靠性、完整性，成为了当今形势下安全管理的重要内容和方向。

本文通过国内外安全仪表系统完整性等级评估的研究现状分析，制定了一套以ＬＯＰＡ分析方法为基础的油库安全仪表系统评估程序，结合风险矩阵评估方法，将此程序应用于实际投产油库中。

以评估应用的结果分析为基础，对油库ＳＩＬ评估进行风险分析和改进建议。

【关键词】安全仪表系统；ＬＯＰＡ分析方法；安全管理；完整性管理
73
表4-1 中保护层分析各栏目的考虑与判断原则如下：
（1）事件后果-采用过程危害分析（PHA）的分析后果（如 HAZOP）；或直接根据委托方提供的技术资料（P&ID，联锁逻辑图或因果图等），由分析小组讨论判断潜在危害事件及事件后果。

（2）风险类别-依据分析小组讨论判断潜在危害事件及事件后果，由图4-3风险矩阵确定其后果类别。

（3）严重性等级-采用过程危害分析（PHA）的分析后果（如 HAZOP）的严重性；或直接根据委托方提供的技术资料（P&ID，联锁逻辑图或因果图等），由分析小组讨论判断潜在危害事件及事件后果，其严重性等级由图4-3风险矩阵确定。

（4）起始失效事件-所有可能原因，应逐项讨论。

（5）起始失效事件可能性-查询起始事件故障率数据库（依据依据 AQ/T3054-2015《保护层分析（LOPA）方法应用导则》）。

（6）一般工艺设计-是否依循一般安全设计规范，如API、ASME、NFPA 标准执行压力容器加厚、双套管、区域防爆等级设计等本质较安全设计。

有（0.1）；无（1）。

（7）基本过程控制系统（BPCS）-失效的控制系统外，其它相关的监控系统。

如PANEL、DCS、PLC等。

有（0.1）；无（1）。

（8）报警操作人员介入处理（Alarms,etc.）-独立的安全报警，第4项与第6项自动化操作系统以外的报警，同时有相对应事件的标准操作程序（SOP）。

有（0.1）；无（1）。

（9）物理式独立保护层-高可靠度的消减系统，如爆破片、安全阀、防溢堤、自动消防洒水系统等。

查询保护层事件数据库（依据 GB/T32857-2016《保护层分析（LOPA）应用指南》）。

（10）额外消减措施或限制进入-低可靠度的物理式的、机械式的额外消减措施或操作安全管理程序，例如标准作业程序、作业许可、厂区人员管制，但是必须针对起始事件。

有（0.1）； 无（1）。

（11）中间事件的可能性-第4到第9项乘积。

（12）可容忍风险目标-在一定范围内可以接受的风险。

（13）目标减降频率-使风险降低到可容忍目标，需要进一步降低的频率，由安全仪表系统（SIS）完成。

第12项除以第11项。

（14）SIF 需求-根据目标减降频率确定的安全仪表完整性等级（Safety Integrity Level, SIL）。

（15）消减后的事件可能性-风险控制后的 失效事件可能性，即风险须小于或等于可容忍风险目标。

（16）评估是否达可容忍风险目标。

如果已经在可容忍的风险目标频率之内，则可以确定可能性等级及风险等级。

如果不在可容忍的风险目标频率之内，则应进一步确定安全完整性等级的需求。

针对项目中安全仪表功能，依据SIL 定义，确定该安全仪表功能的SIL等级。

LOPA 分析方法所确定的 SIL 定级结果是满足系统风险降低所需求的安全完整性等级（Required SIL），之后再通过对现役的SIF回路进行验证，得到该SIF能够达到的安全完整性等级（Achieved SIL），Achieved SIL必须等于或优于 Required SIL。

5.SIF辨识及结论
根据LOPA分析结果，汇总制作安全仪表功能清单（SIF List），列出所有 SIF 的名称、危害/后果、需求的 SIL 等级及设计架构，见下表。

表 4-2油库安全仪表系统安全仪表功能清单（SIF List）
序号偏差号
失效时的危害后果需求的　ＳＩＬ　等级－ＬＯ－ＰＡＳＩＦ　描述
１
１０１．１
油品溢出，浮盘沉船，环境污染，遇到点火源发生火灾风险，导致人员伤亡，财产损失无
浮球液位开关　ＬＳ（１ｏｏ１）高高联锁切断储罐进口切　断阀　ＭＯＶ
（１ｏｏ１）２１０３．２罐抽瘪损坏，油品泄
漏，遇到点火源发生火
灾危险
无
浮球液位开关　ＬＳ（１ｏｏ１）低低联锁切断储罐出口切　断阀　ＭＯＶ
（１ｏｏ１）
该油库设有15座储罐，每座储罐设置的安全仪表系统相同，因此上表中体现的是一座油罐的安全仪表系统，其他油罐均与此相同，不再重复罗列。

根据SIF辨识以及SIL定级的结果，本项目共有工艺安全联锁30个，均无SIL等级需求。

四、油库SIL评估中普遍存在的问题及建议
1.风险分析建议
根据本次SIL评估的成果结合日常调研情况，油库应关注以下几点风险管理措施，以降低相应工艺环节的风险：（1）如果是管道进油方式，油库储罐的高高液位联锁误停车会导致油库上游的憋压，因此建议储罐高高液位联锁的浮球液位开关联锁回路采用更安全可靠的2oo3的结构形式。

（2）根据安全仪表系统的特点，目前，国内大部分油库储罐液位高高、低低联锁回路的执行机构为储罐日常操作电动阀门，由于频繁操作会导致失效率增高，因此高高、低低液位联锁回路的执行机构在有条件的情况下可改为联锁切断罐根阀，以降低该联锁的误停车率，保证油库的安全运行。

2.SIS安全仪表系统运行建议
（1）对SIS相关人员，组织安全仪表系统功能安全培训，建立SIS全生命周期的管理理念，掌握SIS功能安全的概念、理论和方法，能够在工作中执行功能安全的相关要求。

（2）编制单独的SIS操作规程。

内容应涵盖SIS防止的危险和危险事件，联锁设定值及其SIS动作，复位和旁路等相关功能的使用，对SIS报警和SIF动作的响应，如何操作、何时启动手动关停或启动开关，SIS诊断报警的具体含义和相关响应等。

（3）加强 SIS 文档管理。

由于油库普遍建设时间较早，传感器、执行器等关键资料缺失，对日后的维护管理和安全完整性评估都有着巨大的困难。

（4）建议每3-5年进行一次功能安全审核，针对在此期间的硬件、人员、管理等方面的各项变化对安全仪表系统的影响进行动态评估。

五、结束语
目前，国内在SIS系统主要还是用于化工等高风险环节，除新建油库外，基本没有按照IEC的标准进行SIS系统的设计，而以ESD（紧急停车系统）或按照AQ3035和AQ3036标准进行的两重点一重大的系统改造，仅仅实现了一部分的安全仪表功能（SIF），而不能称之为安全仪表系统，从而给SIL定级评估的准确与否带来了一定的影响。

随着国家标准与世界标准的接轨，安全管理理念的改变，各级管理人员和居民对安全的重视，普及并妥善管理好安全仪表系统，对石油石化企业的安全管理意义十分重大。

参考文献：
［１］张舒，史威．油气管道站场安全仪表系统设置方式的探讨［Ｊ］．仪器仪表标准化与计量，２０１７
［２］余家鑫．乙烯法醋酸乙烯装置运行过程中的安全风险分析［Ｄ］．中国科学院大学，２０１９
作者简介：李岩（１９７２．０６－）男，汉族，安徽合肥，大学本科，研究方向：石油储运安全。