安全仪表系统在合成氨装置中的应用

装置中的应用刘念(中国五环工程有限公司，湖北 武汉430223)扌商要：氮和氢在高温高压和催化剂的作用下直接合成氨,为一种无机化工流程。因工况的特殊性,氨合成的过程危险较大,所 以工艺的安全性至关重要。通过危险与可操作性分析(HAZOP)结合风险图校验(CRG),提出合理的安全仪表系统(SIS)设计 方案，为SIS在合成氨装置中的应用提供一定的借鉴和帮助。关键词：安全仪表系统 合成氨装置 HAZOP分析 风险图校验中图分类号：TP273

文献标志码：B 文章编号：1007-7324(2019)06 - 0047 - 07Application of Safety Instrumented System in Synthesized Ammonia PlantLiu Nian(China Wuhuan Engineering Co. Ltd. , Wuhan, 430223, China)Abstracts: Ammonia is synthesized directly with Nitrogen and Hydrogen under high pressure

and temperature with the effect of catalyst. It is one inorganic process flow. Because of

particularity of working condition, the ammonia synthesized process is very dangerous. The

safety of the process is of great importance. Through hazard and operability analysis

(HAZOP) with combination of calibrated risk graphic (CRG) , one reasonable design scheme is put forward for SIS. It provides some reference and help to the application of SIS in ammonia

synthesized installation.Key words: safety instrumented system； synthesized ammonia installation； hazard and

operability analysis； failure chart verification根据IEC 61511的定义，安全仪表系统

(SIS)是指执行1个或多个安全仪表功能(SIF)的

仪表系统,SIS由传感器、逻辑控制器以及最终元 件组成m,用于当预定的过程条件或状态出现背

/ PG V TG、32001/\\3200L’ LT \\0200#—K2AK3A K2B-HHLL 800KIAHHLL 600HHLL 400HHLL 200.SHH12001^200^/离时，将过程置于安全状态。SIF的最根本特征是 应对特定的危险时间并将风险降低，根据风险降

/ LG3200低的要求评估其SIL等级。K3BgigX di^t L1概述合成氨装置合成气分离器液位控制的SIF与 基本过程控制系统(BPCS)的控制功能相互。

D-3201安全仪表回路组成如图1所示，分离器液位过高 时，需要通过BPCS的调节回路，使LV- 32002阀 打开，液位降低;当液位继续升高，BPCS无法满足

LV1200：FC D<合成气压缩机 联锁逻辑ESD-3201保护要求时,安全联锁系统中的液位高高LSHH-

图1安全仪表回路组成示意32003触发联锁ESD- 3201动作，使得合成气压缩

机ESD- 3201跳车，保护压缩机不受损坏,该安全 仪表回路经过危险与可操作性分析(HAZOP)和风

稿件收到日期2019 -07 - 17。作者简介刘念，现就职于中国五环工程有限公司电控室，任仪表

险图校验(CRG)的结果，得出SIL至少为SIL2。：：工程师。48石油化工自动化第55卷SIL等级主要由失效率、表决形式、诊断覆盖 率、检验测试的时间间隔、平均恢复时间、公共原

因失效6个主要参数决定；目前,SIL等级评估可 以通过保护层分析法、风险矩阵法及风险图等方

法确定;SIL等级的计算方式主要有概率计算法、

事故树分析法、马尔可夫过程分析等方法。低要 求操作模式下平均失效概率PFDavg的划分囚见

表1所列。表1低要求操作模式下的PFD吨SIL等级低要求操作模式下PFDag>10_5 到<10一4>10-4 到 V10—3>10-3 到V10—2>10-2 到 V10T目标风险降低>104 到C105C说 明4321〉103 到104>102 到<103>10 到<102灾难性的社会影响人员和社会的保护主要财产和生产的保护，对人员存在可能的伤害次要财产和生产的保护2 SIS设计的主要原则防爆、计量、压力容器等强制认证,严禁使用任何 试验产品。2. 1可靠性原则为了保证工艺装置的生产安全，工艺过程对

SIF的可靠性要求会考虑非计划性停车的成本等 因素,SIS的作用只能降低风险而非消除风险，由 于SIS本身的失效或故障所造成的工艺过程误停 车就不可能完全避免。因此,SIS必须具备与工艺

2.5故障安全原则根据故障安全的设计理念，紧急停车系统应 采取失电联锁的设计，即“负逻辑”设计：1） 正常状态为逻辑“1”状态,现场的DI信号 为“1”并显示正常，工艺参数到达联锁设定点时,

过程相适应的SIL等级的可靠度，不能拒绝 “动作”。则DI信号为“0”。2） 同理,DO信号为“1”并显示正常，电磁阀 等信号带电，当联锁逻辑动作时，则DO为“0”信

2.2可用性原则根据安全要求规格书，每个SIF的功能描述、

号， 电磁阀等信号失电。该设计原则保证了诸如断电/气、回路断线等

目标SIL、与预防或减轻的风险、工艺参数、逻辑、 旁路和维护要求、响应时间等，都应该体现在SIS 中。为了提高系统的可用性,SIS应具有硬件和软

故障状态时,工艺参数处于安全的状态，方便后续 的设计与校验工作固。件自诊断和测试功能，不能“误动” ”2.6冗余原则为了提高SIS的SIL等级，对系统的各个单元

2.3性原则SIS应于BPCS，可完成安全保护功

能，原则上要求设置的部分有检测元件、执行 元件、逻辑运算器以及系统或设备间的通信。如 果工艺要求同时进行联锁和控制的情况下,SIS和

实现冗余是必须的，SIS供应商应以“1oo2”

“2oo3”“2oo4”的方式提供冗余硬件的配置。这些 冗余配置的应用，目的是提供更高等级的可靠 性，同时降低非必要关断对过程造成影响的可 能性。BPCS应各自设置的检测元件和取源点,降低 控制功能和安全功能同时失效的概率闪。SIS应

3 SIS应用案例配置的通信网络，包括的网络交换机、服 务器、工程师站等;应采用冗余电源，由的双

3.1项目介绍该项目主装置采用2. 05 kt/d天然气制合成

路配电回路供电。氨和3. 25 kt/d尿素，并包括了 3台50 t/h燃气 锅炉和发电机，配套有原水、除盐水、循环水、污

2.4标准认证原则随着安全标准的推出以及对安全系统重视度 的不断提高,SIS的认证也变得越来越重要，系统

水、罐区、废水气提、空压站、火炬、原料储运等

装置。的设计思想、结构都须严格遵守相应标准并取得

合成氨装置采用了 CASALE低压氨合成技 术，合成氨装置主要包括以下工序：天然气的脱硫 及转化、一氧化碳变换及甲烷化、二氧化碳的脱 除、合成气压缩、氨合成及冷冻、氢回收、氨回收、

权威机构的认证，这些标准主要包括IEC 61508,

IEC 61511, ANSI/ISA S 84, NFPA/UL 98, DIN

19250等。SIS中使用的硬件、软件、仪表必须遵 守正式版本并已商业化，同时必须获得国家有关

冷凝液汽提系统,合成氨工艺流程如图2所示。第6期刘念.安全仪表系统在合成氨装置中的应用49图2合成氨工艺流程示意3.2合成氨工艺的危险特性合成氨生产过程具有高温、高压、有毒、易燃

5 ）液氨储罐大规模泄漏，容易引起大范围人 群中毒，遇明火更是会产生空间爆炸。并且易爆的特点，在生产过程中使用和处理的主 要化学品有液氨，NH3, CO2, CO, H2, H2S,

3.3合成氨装置HAZOP分析HAZOP分析将合成氨装置的不同工艺过程划 分为适当的节点，按照科学的程序和方法使用引导 词HAZOP分析法，用引导词来定性或定量地给出 针对设计意图或操作参数的偏离，以激发头脑风暴

CH4等，具体表现如下：1） 高温、高压使可燃气体爆炸范围扩宽，气体 物料一旦遇到氧气，极易在设备和管道内发生爆炸。2） 高温、高压气体物料从设备管线泄漏时，会 迅速膨胀与空气混合形成爆炸性混合物,遇到明 火或因高流速物料与喷口处摩擦产生静电火花，

式的思维来模拟出相应的非正常的工况，找出引发

偏离的诱因和偏离的后果,确定现有的安保措施，并

提出建议。在引导词法中，系统地针对工艺过程中 的每个节点,将每个引导词应用于工艺变量上，如此 重复,直到整个工艺过程分析完毕，对后果的风险等

引起着火和空间爆炸。3） 气体压缩机等转动设备在高温下运行会使 润滑油挥发裂解，在附近管道内造成积炭,容易导

级进行分类,提出可以采取的建议措施,确定建议措

致燃烧和爆炸。施响应的责任方和建议关闭的时间。4） 高温、高压可加速设备金属材料发生蠕变， 改变金相组织，还会加剧氢气、氮气对钢材的氢蚀 及渗氮，加剧设备的疲劳腐蚀，使其机械强度减

3.3.1冗余结构该项目合成氨装置SIS的CPU采用四重化冗 余结构⑷，系统结构如图3所示。弱，引发物理爆炸。诊断电路诊断电路高速 接口 微处理器1高速 一接口微处理器2 微处理器12oo4D微处理器2（执行器） [T^H] （执行器）图3合成氨装置SIS的CPU四重化冗余结构示意四重化冗余系统架构通过冗余控制器实现，

经过筛选最终采纳了 62项。HAZOP的分析流程

其中每个CPU都包含2个微处理器，即使系统的 如图4所示。1条线路由于错误或替换停机，该结构也可确保系

统的完整;在系统出现问题后，系统可以一次降级

到“1oo2D”的系统继续运行。通常的引导词包括“不”“多”和“少”但也有 许多其他常用的词,并不是所有的引导词都适用 于每个工艺参数，图5给出了常用的引导词与工艺

332 HAZOP 分析流程该项目合成氨装置HAZOP分析小组研究了

参数组合，表2给出了一些指导词及其含义。为了方便后续跟踪和处理合成氨装置HAZOP

40个节点，每个节点都有若干个偏差，总共对

分析中发现的问题，笔者从选取节点、工艺参数、偏

343个偏差、655个原因、661个结果和1 6个保 护措施进行了风险分析，并在给出的众多建议中

差、原因、后果、保护措施和建议措施等方面对风险 分析项目进行了总结，给出了表3所列的实例。50石油化工自动化第55卷图4 HAZOP分析流程示意减 少

更 多

无

引导词相 反 一般表2常用HAZOP引导词及其含义示意部 分 一般一 样

其他可能可能引导词 无

说明流

可能量压

不使用力温

不使用度液

位一般相

态一般组

分一般操

作一般一般一般一般一般一般一般一般一般一般一般一般一般一般一般一般不使用不使用不使用不使用不使用不使用不使用不使用不使用不使用不使用不使用不使用不使用不使用一般一般一般无设计意图（例如流量/无），或者操作方面是无法实现的（隔离/无）设计意图的数量减少（例如压力/减少）设计意图的数量增加（例如温度/更多）减少

可能可能可能可能更多 相反 一样

相反的设计意图发生（例如流量/反向）设计意图已完全实现，但除此之外，还会发生其他相关活动（例如流量/以及表示产 品流中的污染）其他

一般图5引导词与工艺参数的关系示意活动发生,但不是按预期的方式进行（例女口：流量/不能表明泄漏或产品在不应该流 动的情况下流动，或组合物/可能存在的原 料中其他比例）表3合成氨装置HAZOP分析实例原因减少/切断 上游流量结果S/C比值过低,会导致 炭化、催化剂的损坏和热 点问题保护层建议APC尝试自动调节PAL- 14006BFAL- 14006AFFAL-14011FSLL- 14006A联锅关二段炉FSLL-14011联锁关二段炉FV- 14006B 阀门关闭S/C比值过低,会导致 炭化、催化剂的损坏和热 点问题APC 尝试自动调节PAL- 14006BFV- 14006B旁路的应用FAK - 14006AFFAL-14011FSLL- 14006A联锁关二段炉FSLL-14011联锁关二段炉FV- 14006B最低流量开度第6期刘念.安全仪表系统在合成氨装置中的应用51根据HAZOP分析报告,通过记录引发事件和 保护层阻止或降低风险，该项目合成氨装置通过使

能导致的死亡和/或严重受伤的人数、财产损失及

环境影响的程度。2) 占有率(F)。在发生危险事件时段内暴露

用CRG对SIS的SIL评估定级。3.4合成氨装置CRG及SIL定级根据IEC 61511标准,CRG的半定性方法能

区被占用的概率。3) 避免风险状况的概率(概率。犘)。如果要求时

够根据与工艺和基本过程控制系统相关的风险因

SIF失效，暴露的人员能够避免存在的风险状况的

4) 要求率(W)。在所考虑的SIF不存在的情 况下,每年发生危险状况的次数。素的知识确定安全相关回路的安全完整性水平。 在合成氨装置的SIS中，考虑了所涉及的决策标准 和审查的完整性水平，以确保可接受的风险。在

CRG中，风险是以下4个参数的函数：1)危险状况的后果(C)。发生危险事件很可

危险状况的后果分为安全(S)、环境(E)和财产， 各个风险参数值类别及程度见表4和表5所列。表4 一般风险参数值类别及程度后果类别要求频率健康和安全环境财产〜300 a1(W1)3〜30 a1(W2)0. 3〜3 a1(W3)30>>>300 a 内< 1(W0)轻微伤害(Sa)严重伤害(1死)(Sb)多人死伤(Sc)很小，轻微的释放(Ea )中度释放(Eb)大量释放(Ec)〜100万美元,1〜5 KA)100〜650 万美元，15 C(A)600〜1 200 万美元,15〜30 d(AC)10cab大量死亡/灾难(Sd)过量释放(Ed)超过1 200万美元，超过30 cC(Ad)表5其他风险参数值类别及程度门开启.PV- 16023阀门开启,HV- 14001阀门关 闭;各自导致的后果见表6所列，由此对照风险图

其他风险参数占据率类别风险发生程序很低频率(<0. 1)表,分别定性整个SIF中关于安全、财产和环境的

FaSIL等级,最终确定整个SIF的SIL等级。Fb

避险概率低频率到持续发生PaPb在特定情况下几乎不可能在CRG中，每个参数都被赋予一系列的值，

以便在组合应用时,对在没有安全特定功能的情 况下存在的风险进行分级评估，因此确定了对所 述SIF的依赖程度的度量。SIL定级所用的风险

图如图6所示。在HAZOP研究中识别出1个SIF(FSLL -

14004A),为合成氨装置二段炉进气流量低低。引

发事件有4个,分别是压缩机故障,HV- 16001阀图6 SIL定级用的风险图示意

(含安全、财产和环境)表6通过校验的风险图法确定SIF的SIL等级危险情景触发事件结果存在的IPLIPL的

避险

风险降-

可能C低因数风险图参数f pWSIF 的 SIL

等级SIL—二段炉过程由于机械故障等原因造成气流量低低的压气机故障或跳车由于温度过高而损坏过程空气的电圈的可能性1SaN/ANA//犠犠3EaAcN/ANAN/AW33SIL aSIL 2Pa52石油化工自动化第55卷续表6危险情景 触发事件结果存在的IPLIPL的

避险

风险降-

可能C低因数1风险图参数F PWSIF 的 SIL

等级SIL-HV- 16001 阀门打开w2过程空气的 电圈受损的可 能性SaEaAcN/ANA////犠犠犠犠2N/ANAN/APB222SIL2SIL2PV- 16023 阀门打开见过程空气的 电圈受损的可 能性1SaEaAcN/ANASIL-N/ANAHV- 14001 阀门关闭w2过程空气的 电圈受损的可 能性1SaEaAc/PBN/AN/ANAW2W2W2SIL2SIL2SIL-//N/APBNANAW2W2SIL2SIL2该项目合成氨装置最终识别和确定了 52个

4 SIS结构IEC 61508/IEC 61511对安全控制系统在 过程工业领域的应用具有很重要的意义,SIS按

SIF,每个SIF评估的SIL等级见表7所列。表7合成氨装置SIF评估的SIL等级SIL等级SIL—SIL aSIL 1SIL2SIL3SIL犫合计SIF数量说明无安全要求无特殊安全要求安全完整性等级照故障安全型设计。该项目合成氨装置SIS设 置了专门的工程师站，事件顺序记录站SER

9111814——52(sequence event recorder)并配套打印系统,与

DCS—起完成记录任务。由于DCS要处理大量 过程测量信息，其动作速度偏慢，因此单独设置 顺序事件记录站可以快速分辨事故原因。SIS 结构如图7所示。不足以单独存在的SIFSER站 兼打印机辅操台图7 SIS结构示意4.1通信技术该项目合成氨装置SIS与DCS之间数据通信

MOS开关、重要的报警信号、辅操台去ESD的按 钮信号以及来自MCC的停止/跳车命令。2) Modbus-RTU非安全性动作的信号，主 要包括复位信号、报警信号、状态指示、故障指示

遵循Modbus- RTU协议,DCS作为主站,其他系

统作为从站，物理串行接口采用RS- 485, SIS与

ODCS之间的接口规则如下：1)硬接线连接。主要包括急停信号、主旁路以及一些模拟测量值。第6期刘念.安全仪表系统在合成氨装置中的应用534.2维护及操作旁路开关的设置维护旁路开关设置的主要目的是对SIS的变 送器及检测开关进行在线检修，在使用维护旁路

开关的时候，在对整个工程状态指示和检测方面，

相关人员需要采取必要的措施。旁路开关有三种

设置方式：软件开关设置在SIS的操作员站;软件 开关设置在基本过程控制系统的操作员站;硬件 开关设置在辅助操作台或者机柜上。操作旁路开关设置在输入信号的通道上，其 动作应设置报警和记录。当工艺过程变量从初始 值变化到工艺条件正常值，信号状态不改变时，不 应设置操作旁路开关；当工艺过程变量从初始值 变化到工艺条件正常值,信号状态发生改变时，应

设置操作旁路开关;操作旁路开关的三种设置方

式与维护旁路相同。紧急停车按钮应设置在辅助 操作台上，并且应设状态报警和记录，不应设置维

护或操作旁路开关⑸。该项目合成氨装置仪表维护旁路采用软件开 关，主要是考虑到以下三点：1） 仪表维护旁路开关非急用设施，不必在辅 助操作台或者机柜上设置硬件开关，操作台面要

求简洁、清晰。2） 仪表维护旁路开关数量多，若布置于台面， 将影响操作人员对台面设备的辨识，众多的仪表 维护旁路开关需要多个操作台来安装，不切实际。3） 大量的硬开关增加了 SIS的输入信号数

量,增大了投资。合成氨装置的操作旁路状态设置 了报警功能，以提醒工艺操作人员注意观察工艺 参数,及时将旁路状态切换到正常状态。在设计旁路开关方案的时候，旁路设计的合 理性对提升SIS可用性具有十分重要的意义，维护

旁路设置的合理性对维护和检测现场仪表具有十 分重要的影响，可以有效防止装置误动作情况的 发生,这种装置误动作主要是由安全仪表维护造 成的。4.3时钟同步系统该项目合成氨装置中,SIS与基本过程控制系 统的时钟同步,DCS控制节点、操作节点和二级时 钟服务器的时钟将与一级服务器（GPS）同步。一

级时钟同步服务器是工厂时钟源，为DCS提供

2个的RJ-45接口，它通过SNTP协议上的 双绞线连接到DCS的交换设备上。DCS接收时

钟数据，每15 min同步一次,二级时钟同步服务器 是DCS的内部操作节点，它从一级时钟同步服务

器以及DCS的控制节点和操作节点接收时钟数

据;当一级时钟同步服务器出现故障时,二级时钟 同步服务器与DCS的其他内部控制节点和操作节

点同步，保证DCS的时钟同步。时钟信号分配器INK 711与GPS时间同步服 务器配合使用，可实现1 ms级控制站的时间同步

精度。利用该分配器，用户可以将GPS时间同步 服务器的1 s脉冲信号分解为多个ECS- 700控制

站使用的多个脉冲信号，实现多个控制站的高精 度时间同步，时钟同步示意如图8所示。图8 时钟同步示意5结束语石化装置SIS的设计，在国内外项目中的要求 越来越高。SIS在合成氨装置的开车、停车、运行、

维护操作期间,对人员健康、装置设备及环境提供

安全保护。无论是生产装置本身出现的故障危 险，还是人为因素导致的危险以及一些不可抗因 素引发的危险，SIS都能立即做出反应并给出相应 的逻辑信号,使合成氨装置安全联锁或停车，阻止 危险的发生和事故的扩散，将危害降低到最少。

sis在合成氨装置中的应用,保证了该项目合成氨 装置的稳定运行，同时给类似项目的SIS设计提供

参考和借鉴意义。参考文献：[1]张建国•安全仪表系统在过程工业中的应用[M].北京：中

国电力出版社,2010： 2-6.[2 ] IEC. IEC- 61508. Functional Safety of Electrical, Electronc,

Programmable Electronic Safety-related Systems-Part I： General Requirements [S]. Geneva: IEC, 1999： 32 - 34.[3 ] IEC. IEC - 61511. Functional Safety： Safety Instrumented

Systems for the Process Industry Sector-Part I：

Framework, Definitions, System, Hardware and Software

Requirements [S]. Geneva: IEC, 2003: 25 - 27, 46 - 49,

- 70.[4 ]关键.HIMA安全仪表SIS系统的四重化结构（QMR）简介

[J].石油化工设计,2006,23（01）： 5-7.[5]黄步余，叶向东，范宗海，等.GB/T 50770—2013石油化工

安全仪表系统设计规范[S].北京：中国计划出版社,2013.