HAZOP和SIL评估在石化装置成套设备安全设计中的运用

杨 健

(中国石化工程建设有限公司，北京 100101)

危险与可操作性分析 (HAZOP，Hazard and Operability Study)是过程系统(包括流程工业)的危险(安全)分析(PHA，Process Hazard Analysis) 中识别危险发生过程的有效方法【1】；SIL用来规定分配给安全仪表系统的仪表安全功能的安全完整性的等级。根据国家政府部门有关文件，近年来HAZOP和SIL评估已经成为石化装置工程设计过程中的规定动作。

我公司是国内最早开展石化项目HAZOP和SIL评估的工程公司之一，已经在多个项目中成功开展了HAZOP和SIL分级工作；随着有关工作的不断完善与深入，目前已延伸至成套设备的分析工作。本文将结合我公司在石化装置成套设备HAZOP和SIL评估工作中的经验，总结相应的工作流程和关注问题，为今后工作的顺利进行提供依据。

1 HAZOP

HAZOP以引导词(Guide Words)为核心，通过审查会议实现集体智慧，确定工艺系统可能发生的有意义的偏离，反向追溯导致偏离的特定初始事件(原因)，正向推理偏离可能导致的后果，包括考虑已有防护措施降低事故风险的作用，必要时按照最低合理可行(ALARP)的原则提出建议措施，进一步降低事故风险【1】。

2013年，国家安全监管总局同住房城乡建设部联合颁布的《关于进一步加强危险化学品建设项目安全设计管理的通知》(安监总管三〔2013〕76号)要求涉及“两重点一重大”和首次工业化设计的建设项目，必须在基础设计阶段开展HAZOP分析。2014年国家安全监管总局颁布的《关于加强化工安全仪表系统管理的指导意见》(安监总管三〔2014〕116号)对安全仪表系统的设计过程提出了相应要求，也凸显了进行SIL评估的必要性和重要性。

HAZOP的分析流程见图1。

2 成套设备

成套设备也称包设备。对于石化装置而言，成套设备是指为实现一项或多项工艺目的或参数而配置的跨专业的多个设备和元件的集成，通常由一个供应商负责供货并提供性能保证。石化装置常见的成套设备包括压缩机组、工业炉、冷箱、粒料风送系统，等等。相对而言，撬装式成套设备比较简单，所有的设备和元件设置在一个底座上，通常整体发货和安装；分体式成套设备则比较复杂，设备和元件往往分别交货和安装且需要有机地组合为一个整体以实现其功能，通常涉及多个供货和分工界面，需要大量的协调工作。

3 成套设备开展HAZOP的必要性

由于国内石化项目开展HAZOP的时间并不长，目前的HAZOP工作主要集中在工艺装置或系统主工艺流程方面。对于压缩机组等成套设备而言，通常其工艺流程和配置方案在设备采购前已有既定技术要求，一般认为在主流程HAZOP分析中可做一并考虑。但根据笔者经验，由于成套设备自身由多个设备、元件和系统组成，工艺装置主流程所进行的HAZOP分析往往仅局限于其工艺系统部分，不足以保证其整体的安全性和可靠性。

以某大型乙烯装置为例， 核心压缩机在投产运行初期， 因动力中心锅炉给水泵跳车， 导致超高压蒸汽管网压力迅速下降， 该压缩机被迫紧急停车， 停车过程中出现压缩机反转导致密封系统损坏而被迫停产。后经对压缩机组全面分析并采取额外的安全防护措施后， 反转问题得以解决。

上例说明，对于成套设备，鉴于其在石化装置工艺流程和生产运行中的关键性与重要性，有必要在设计过程中作为一项工作，进行全方位的HAZOP，并根据分析结果采取有效措施降低事故风险，这也是确保整个装置安全与可靠的必要手段。

4 成套设备HAZOP要点

首先，成套设备采购招标或询价阶段，需要明确HAZOP的相关要求，包括HAZOP工作范围和所需文件资料，会议时间、地点和供应商参加人员的要求和工作职责，这样可以使供应商了解HAZOP的要求，在报价中做出相应的考虑。

其次，在成套设备设计开工会期间，需要将HAZOP纳入工作节点和计划，明确具体会议日期和日程安排。通常是在供应商提交初版P&ID后1～2周进行HAZOP，这样可以保证工作的高效衔接，有利于成套设备的设计、制造和交付按计划完成。

在开展成套设备HAZOP时，需要先将复杂的构成系统分解成若干“子系统”，每个子系统称作一个“节点”。这样做可以将复杂的系统简化，有助于分析团队集中精力参与讨论，同时也可以充分解释各节点的设计意图。通常节点划分以成套设备的构成系统(例如，对于大型压缩机组包括气路系统、蒸汽驱动和凝液回收系统、润滑油系统、干气密封系统，等等)为中心，将管线按照一定的规则划入不同的节点，设备的附件可划入同一节点，以达到一个完整的工艺目的。节点划分没有对与错之说，只有相对合理性，以及使分析清晰、明了。一个好的节点划分建立在对成套设备系统构成及功能关联的充分理解上, 也取决于P&ID对子系统的划分。

HAZOP是一个寻找工艺参数发生的偏离、偏离发生的原因、偏离导致后果以及安全措施的过程。偏离是指对所期望设计意图的偏离，比如压缩机出口压力升高。分析偏离时，不能只简单写压力高，而应该加上设备名称和位号，比如某容器压力高。原因是指导致偏离(影响)的事件或条件。分析原因时，一般只分析到初始原因[设备失效(比如调节阀故障)、人员因素(比如误操作)、环境因素(比如环境温度高)]，必要时再深入一步到基本原因。后果是指不考虑安全防护措施的情况下，偏离所导致的结果(不利后果)。在多个项目的HAZOP分析中，小组成员经常会考虑采取安全防护措施后的后果，这是不正确的，这样不仅导致风险定级不正确，也会影响对是否有足够的安全措施的判断。安全防护措施分为现有安全措施(Safeguards)和建议措施(Recommendation)。现有安全措施是指当前设计已经设立的设施或管理实践中已经存在的安全措施。它是防止事故发生或减缓事故后果的工程措施或管理措施。建议措施是指HAZOP分析过程中，如果现有安全措施不足以将事故剧情的风险降低到可以接受的水平时，所提议的消除或控制危险的措施。根据图2 的洋葱模型，安全防护措施包括工艺设计方面的措施、关键报警和操作人员干预、安全仪表功能(SIF)、物理保护(泄压装置)、泄漏后的物理保护(围堤)、工厂级应急响应和社会应急响应。HAZOP分析过程中讨论的安全防护措施不包括泄漏后的物理保护(围堤)、工厂级应急响应、社会应急响应这类减轻事故后果的措施，只关注降低事故发生频率的措施。

前述内容是对成套设备HAZOP方法的简要介绍。而HAZOP作为一项分析活动，包括活动策划、准备、进行和总结等内容。一个完整的HAZOP分析活动流程见图3。在发起阶段需要界定HAZOP的分析范围、组建分析团队、明确参会各方的工作职责等。在收到分析图纸后需准备分析节点，并根据划分结果制订会议计划、研究项目或业主制定的风险矩阵。HAZOP分析时按照节点划分顺序进行分析。分析会结束后，需整理和发布HAZOP分析报告，并由相关人员关闭HAZOP提出的建议措施。具体的HAZOP的分析过程和相关规定可查阅文献【2】。

需要进一步指出的是，HAZOP是一项“头脑风暴”分析活动，是以成套设备厂商资料和相关文件为输入文件的。因此，厂商资料的内容深度和完备情况是HAZOP能否达到预期目的和效果的关键因素，需要在准备阶段认真加以研判。此外，供应商等参与HAZOP人员的对设备构成系统的认知程度、掌握能力，也是影响HAZOP效果的重要因素。

图3 成套设备HAZOP分析活动流程

5 成套设备SIL评估

SIL评估分为SIL分级和SIL验证。SIL定义为用来规定分配给安全仪表系统的仪表安全功能的安全完整性要求的离散等级(4个等级中的一个，但应尽量避免使用SIL4)【3】。SIL分级是确定安全仪表功能(SIF)的SIL的过程。SIL验证是在SIF确定了SIL等级并根据SIL等级完成SIF的具体设计与元件采购之后确定SIF是否满足SIL等级的要求的。对于石化装置来说，成套设备通常在工艺流程或实现工艺目的和功能方面处于核心或重要位置, 包含大量的安全仪表，对于安全生产和稳定运行十分关键, 有必要开展SIL评估工作。

5.1 SIL分级

独立保护层分析(LOPA)和风险矩阵法是两种常见的SIL分级方法，其中LOPA是目前国内项目使用最多的方法，而PETRONAS和IRPC等国外业主采用风险矩阵法。本文仅介绍通过LOPA完成SIL分级的过程。

图4的瑞士奶酪模型中，每一片奶酪相当于一个安全防护措施，当安全防护措施被各个击破(即失效)时，会导致事故的发生，但是只要有一层保护措施有效，事故就不会发生。

图4 瑞士奶酪模型

瑞士奶酪模型中的每一层相当于1个独立保护层(IPL)。独立保护层必须同时具有有效性、独立性、 可检查性这3个性质【4】。有效性是指多个独立保护层中至少1个按照设计意图起作用， 便可以避免事故的发生， 如图4中危害1击中第3层奶酪， 但是击中的部位不是奶酪的孔洞， 所以事故没有发生。独立性是指独立保护层不受事故发生原因的影响， 同时也不受其他独立保护层失效的影响。可检查性是指作为独立保护层的设备、 系统或管理措施， 可以对其有效性进行审查。

LOPA考虑的独立保护层是指图2洋葱模型中的工艺设计方面的措施、关键报警和操作人员干预、安全仪表功能(SIF)和物理保护(泄压装置)。这些措施用于降低事故发生的频率，从而使事故风险处于风险可接受水平。泄漏后的物理保护(围堤)、工厂级应急响应、社会应急响应是减轻事故后果的措施，不能降低事故发生的频率，LOPA 分析时通常不考虑。

LOPA的分析流程简述如下：

1) LOPA的输入是HAZOP。分析前需筛选HAZOP记录表，保留安全措施中提到SIF的分析。

2) 确定初始事件及初始事件的发生频率。初始事件是HAZOP记录表中的原因，文献【5】列出了常见初始原因的发生频率。

3) 根据独立保护层的有效性、独立性和可检查性，判断HAZOP中识别的安全措施(不包括SIF)是否属于独立保护层。

4) 确定各独立保护层的失效概率。不同的独立保护层有不同的失效概率，文献【5】列出了安全阀、BPCS等常见独立保护层的失效概率。

5) 按照下式计算不考虑SIF时的事故发生频率f(事故场景后果)。

f(事故场景后果)=f(初始事件)×f(保护层失效)

式中:f(初始事件)——步骤2)中的初始事件的频率;

f(保护层失效)——步骤4)中独立保护层的失效概率。

6) 将步骤5)中计算得到的事故发生频率与可接受风险进行比较，相差的频率便是SIF对应的SIL等级。SIL分为4级(见表1)。SIL4是安全完整性的最高等级，SIL1为最低等级。石油化工工厂或装置的SIL一般情况最高为SIL 3【6】。SIL是SIF失效概率的体现，不同的失效概率表示不同的SIL，比如SIL1表示SIF的失效概率在10-2～10-1之间。如果得到的事故发生频率是10-4，而目标风险是10-5，两者之间相差10-1，那么SIF的SIL为SIL1。

表1 SIL与平均需求失效概率的关系(低需求模式)

LOPA同HAZOP一样，也是一次分析活动，需要组织分析讨论会。在会议发起阶段需要界定LOPA的分析范围、组建分析团队、明确参会各方的工作职责等工作。在收到分析图纸和HAZOP报告后制订会议计划、研究业主的风险矩阵。分析会议阶段按照前述的分析步骤进行LOPA，确定SIF的SIL。分析会结束后，需整理和发布SIL分级报告。具体的LOPA的分析过程和相关规定可查阅文献【5】。

5.2 SIL验证

SIL验证的步骤见图5。

完成SIL分级和SIF的设计，需要进行SIL验证，以确认SIF的设计是否满足SIL等级的要求。

SIL验证应首先确定SIF中传感器、逻辑控制器(PLC)和执行机构这3部分涉及哪些元件，并确定各元件的冗余关系。

然后，确定各元件的失效数据、假设的检验测试周期(T1)和平均恢复时间(MTTR)。元件的失效数据可查阅OREDA数据库或由制造商、业主提供，并且应按检测到的安全失效率(λSD,单位：h-1)、未检测到的安全失效率(λSU，单位：h-1)、检测到的危险失效率(λDD，单位：h-1)、未检测到的危险失效率(λDU，单位：h-1)对失效数据进行分类。T1和MTTR应根据装置的运行情况确定。

最后，计算元件和回路的PFDavg，并根据计算结果判断是否需要采取改进措施。目前计算PFDavg的方法很多，IEC 61508提供了3种比较常用的技术，即简易公式法、故障树法和马尔科夫模型法，其中简易公式法和马尔科夫模型法应用较多。对于SIL1的SIF，可以采用简易公式进行计算；但是对于SIL等级要求高的工况，因其回路结构复杂，SIF的失效状态很多，采用马尔科夫模型法计算更加准确。具体可参见文献【7】。

图5 SIL验证的步骤

6 结论

本文介绍了HAZOP和SIL评估在石化装置成套设备设计中的运用，梳理和总结了危险与可操作性分析(HAZOP)以及安全完整性等级(SIL)评估的流程和关键点，并从中得到以下结论：

1) HAZOP和SIL评估对于石化装置成套设备十分必要；

2) 开展顺序是HAZOP完成后进行SIL分级，并根据分级开展SIL验证工作；

3) 成套设备HAZOP和SIL评估的目的是通过设计工作将事故风险控制在风险可接受水平，但不代表完成了HAZOP和SIL评估可完全避免事故的发生；

4) 成套设备HAZOP和SIL评估是“头脑风暴”的分析活动，文件资料的完备程度，分析团队的参与程度、专业程度、认知程度、充足的准备和分析时间直接影响分析质量和效果。