保護層分析(LOPA)方法應用導則AQT 3054-2015
目 次
附錄D(資料性附錄)BPCS多個回路作為IPL的評估方法 2
前 言
本標準編制依據GB/T 1.1-2009給出的規則起草。
本標準由國家安全生產監督管理總局提出。
本標準由全國安全生產標準化技術委員會化學品安全分技術委員會(TC288/SC3)歸口。
本標準主要起草單位:中國石油化工股份有限公司青島安全工程研究院、國家石化項目風險評估技術中心、中國石化洛陽工程有限公司。
本標準主要起草人:白永忠、韓中樞、黨文義、萬古軍、文科武、張廣文、于安峰、王全國、武志峰、沈郁、趙文芳。
引 言
一個典型的化工過程包含各種保護層,如本質安全設計、基本過程控制系統(BPCS)、報警與人員干預、安全儀表功能(SIF)、物理保護(安全閥等)、釋放后保護設施、工廠應急響應和社區應急響應等。這些保護層降低了事故發生的頻率。在開展化工過程工藝危害分析時,保護層是否足夠,能否有效防止事故的發生是分析人員最為關注的一個問題。保護層分析(Layer of protection analysis,簡稱LOPA)是在定性危害分析的基礎上,進一步評估保護層的有效性,并進行風險決策的系統方法,其主要目的是確定是否有足夠的保護層使過程風險滿足企業的風險可接受標準。LOPA是一種半定量的風險評估技術,通常使用初始事件頻率、后果嚴重程度和獨立保護層(IPL)失效頻率的數量級大小來近似表征場景的風險。
本標準主要對LOPA基本程序進行了明確的規范和詳細的描述,重點規定了LOPA場景與篩選、初始事件確認、獨立保護層(IPL)、場景頻率計算、風險評估與決策等方面的技術要求。本標準的制定,可為國內化工企業開展LOPA提供技術指導,同時為LOPA的規范化和標準化奠定基礎。
保護層分析(LOPA)方法應用導則
1 范圍
本標準規定了化工企業采用LOPA方法的技術要求,包括LOPA基本程序、場景識別與篩選、初始事件確認、獨立保護層評估、場景頻率技術、風險評估與決策、LOPA報告和LOPA后續跟蹤及審查。
本標準適用于化工企業新建、改建、擴建和在役裝置(設施)的保護層分析。
2 規范性引用文件
下列文件對于本文件的應用是必不可少的。凡是注日期的引用文件,僅注日期的版本適用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改單)適用于本文件。
GB/T 21109.1 過程工業領域安全儀表系統的功能安全 第1部分:框架、定義、系統、硬件和軟件要求
AQ/T 3034 化工企業工藝安全管理實施導則
3 術語、定義和縮略語
下列術語、定義和縮略語適用于本文件。
3.1 術語和定義
下列術語和定義適用于本文件。
3.1.1
場景 scenario
可能導致不期望后果的一種事件或事件序列。每個場景至少包含兩個要素:初始事件及其后果。
3.1.2
初始事件 initiating event
事故場景的初始原因。
3.1.3
后果 consequence
事件潛在影響的度量,一種事件可能有一種或多種后果。
3.1.4
保護層 protection layer
能夠阻止場景向不期望后果發展的設備、系統或行動。
3.1.5
獨立保護層 independent protection layer
能夠阻止場景向不期望后果發展,并且獨立于場景的初始事件或其它保護層的設備、系統或行動。
3.1.6
保護層分析 layer of protection analysis
通過分析事故場景初始事件、后果和獨立保護層,對事故場景風險進行半定量評估的一種系統方法。
3.1.7
要求時的失效概率 probability of failure on demand
系統要求獨立保護層起作用時,獨立保護層發生失效,不能完成一個具體功能的概率。
3.1.8
風險評估 risk assessment
將風險分析的結果和風險可接受標準進行對比,進行風險決策的過程。
3.1.9
安全儀表功能 safety instrumented function
為了達到功能安全所必需的具有特定安全完整性水平的安全功能。
3.1.10
安全關鍵設備 safety critical equipment
可提供獨立保護層降低場景風險等級,或將場景的風險由“不可接受風險”轉變為“可接受風險”的工程控制設備。
3.1.11
使能必要事件或條件 enabling event or condition
不直接導致場景的事件或條件,但是對于場景的繼續發展,這些事件或條件應存在。
3.1.12
根原因 root cause
事故發生的根本原因。根原因通常是管理上存在的某種缺陷。
3.1.13
安全儀表系統 safety instrumented system
用來實現一個或幾個儀表安全功能的儀表系統,可由傳感器、邏輯控制器和最終元件的任何組合組成。
3.1.14
防護措施 safeguard
可能中斷初始事件后的事件鏈或減輕后果的任何設備、系統或行動。
3.1.15
“盡可能合理降低”原則 as low as reasonably practicable
在當前的技術條件和合理的費用下,對風險的控制要做到在合理可行的原則下“盡可能的低”。
3.2 縮略語
本標準使用的縮略語見表1。
表1 本標準使用的縮略語
縮略語 | 解釋 | 全稱 |
ALARP | “盡可能合理降低”原則 | As low as reasonably practicable |
BPCS | 基本過程控制系統 | Basic process control system |
HAZOP | 危險與可操作性分析 | Hazard and operability study |
IE | 初始事件 | Initiating event |
IPL | 獨立保護層 | Independent protection layer |
LOPA | 保護層分析 | Layer of protection analysis |
P&ID | 管道和儀表流程圖 | Piping and instrumentation diagram |
PFD | 要求時的失效概率 | Probability of failure on demand |
SIF | 安全儀表功能 | Safety instrumented function |
SIL | 安全完整性等級 | Safety integrity level |
SIS | 安全儀表系統 | Safety instrumented system |
4 LOPA基本程序
4.1 基本程序
4.1.1 保護層分析(LOPA)是在定性危害分析的基礎上,進一步評估保護層的有效性,并進行風險決策的系統方法。其主要目的是確定是否有足夠的保護層使風險滿足企業的風險標準。
4.1.2 LOPA基本流程圖見附錄A,主要過程包括:
a)場景識別與篩選;
b)初始事件(IE)確認;
c)獨立保護層(IPL)評估;
d)場景頻率計算;
e)風險評估與決策;
f)后續跟蹤與審查。
4.1.3 在使用LOPA前,應確定以下分析標準:
a)后果度量形式及后果分級方法;
b)后果頻率的計算方法;
c)IE頻率的確定方法;
d)IPL要求時的失效概率(PFD)的確定方法;
e)風險度量形式和風險可接受標準;
f)分析結果與建議的審查及后續跟蹤。
4.2 應用時機
4.2.1 在過程危害分析中出現以下情形時,可使用LOPA:
a)事故場景后果嚴重,需要確定后果的發生頻率;l
b)確定事故場景的風險等級以及事故場景中各種保護層降低的風險水平;
c)確定安全儀表功能(SIF)的安全完整性等級(SIL);
d)確定過程中的安全關鍵設備或安全關鍵活動;
e)其他適用LOPA的情形等。
4.2.2 LOPA應用時機參見附錄B。當無法確定事故場景的風險時,可采用定量方法進行定量風險評價。
4.2.3 LOPA的應用有以下局限性:
a)LOPA不是識別危險場景的工具,LOPA的正確執行取決于定性危險評價方法所得出的危險場景的準確性,包括初始事件和相關的安全措施是否正確和全面;
b)當使用LOPA時,只有如下條件滿足時才能進行場景風險的對比:
1)選擇失效數據的方法相同;
2)采用相同的風險標準;
c)LOPA是一種簡化的方法,其計算結果并不是場景風險的精確值。
4.3 小組組成
4.3.1 LOPA由一個小組完成。LOPA小組成員可包括但不限于以下人員:
a)組長;
b)記錄員;
c)設計人員;
d)操作人員;
e)工藝人員;
f)設備工程師
g)儀表工程師;
h)安全工程師。
4.3.2 根據需要,可要求以下人員參加LOPA:
a)工藝包供應商;
b)成套工藝設備供應商;
c)公用工程工程師;
d)電氣工程師;
e)其他專業工程師。
4.3.3 如果LOPA是基于HAZOP分析的結果,LOPA小組人員組成宜包括HAZOP分析小組成員。
5 場景識別與篩選
5.1 場景應滿足以下基本要求:
a)每個場景應有唯一的IE及其對應的單一后果;
b)當同一IE導致不同的后果時,或多種IE導致同一后果時,應假設多個場景;
c)當場景中存在使能必要事件或條件,應將其包含在場景中。
5.2 場景識別與信息來源
5.2.1 場景信息來源于危險分析的結果,包括:
a)采用HAZOP分析方法進行危害分析的結果;
b)采用AQ/T 3034中的工藝危害分析方法進行危害分析的結果;
c)事故分析結果;
d)工藝變更分析;
e)安全儀表功能審查結果;
f)其他危害分析結果等。
5.2.2 當利用HAZOP分析結果進行LOPA時,兩者之間的信息對應關系參見附錄C。
5.2.3 當利用已有的定性危害分析結果進行LOPA時,宜對定性危害分析的結果進行審查,確保識別出所有的危害后果及導致后果的所有原因。
5.3 場景篩選
5.3.1 宜采用定性或定量的方法對場景后果的嚴重性進行評估,并根據后果嚴重性評估結果對場景進行篩選。
5.3.2 典型的后果種類包括:人員傷害、財產損失、環境和聲譽影響等。
6 初始事件確認
6.1 IE一般包括外部事件、設備故障和人員失誤,具體分類見表2。
表2 IE類型
類別 | 外部事件 | 設備故障 | 人員失誤 |
分類 | a)地震、海嘯、龍卷風、颶風、洪水、泥石流、滑坡和雷擊等自然災害 b)空難 c)臨近工廠的重大事故 d)破壞或恐怖活動 e)鄰近區域火災或爆炸 f)其他外部事件 | a)控制系統故障(如硬件或軟件失效、控制輔助系統失效) b)設備故障 l1)機械故障(如泵密封失效、泵或壓縮機停機); 2)腐蝕/侵蝕/磨蝕; 3)機械碰撞或振動; 4)閥門故障; 5)管道、容器和儲罐失效; 6)泄漏等 c)公用工程故障(如停水、停電、停氣、停風等) d)其他故障 | a)操作失誤 b)維護失誤 c)關鍵響應錯誤 d)作業程序錯誤 e)其他行為失誤 |
6.2 在確定IE時,應遵循以下原則:
a)宜對后果的原因進行審查,確保該原因為后果的有效IE;
b)應將每個原因細分為具體的失效事件,如“冷卻失效”可細分為冷卻劑泵故障、電力故障或控制回路失效;
c)人員失誤的根原因(如培訓不完善)、設備的不完善測試和維護等不宜作為IE。
7 獨立保護層評估
7.1 IPL確定原則
化工企業保護層作為IPL時,應滿足以下基本要求:
a)獨立性:
1)獨立于IE的發生及其后果;
2)獨立于同一場景中的其它IPL。
b)有效性:
1)能檢測到響應的條件;
2)在有效的時間內,能及時響應;
3)在可用的時間內,有足夠的能力采取所要求的行動;
4)滿足所選擇的PFD的要求。
c)安全性。應使用管理控制或技術手段減少非故意的或未授權的變動。
d)變更管理。設備、操作程序、原料、過程條件等任何改動應執行變更管理程序,以滿足變更后保護層的IPL要求。
e)可審查性。應有可用的信息、文檔和程序可查,以說明保護層的設計、檢查、維護、測試和運行活動能夠使保護層達到IPL的要求。
7.2 化工企業典型保護層及作為IPL的要求
化工企業典型的保護層及作為IPL的要求見表3。
表3 化工企業典型的保護層及作為IPL的要求
保護層 | 描述 | 說明 | 示例 | 作為IPL的要求 | |
具體要求 | 通用要求 | ||||
本質安全設計 | 從根本上消除或減少工藝系統存在的危害。 | 企業可根據具體場景需要,確定是否將其作為IPL。 | 容器或管道設計可承受事故后果產生的高溫、高壓等。 | 1)當本質安全設計用來消除某些場景時,不應作為IPL; 2)當考慮本質安全設計在運行和維護過程中的失效時,在某些場景中,可將其作為一種IPL。 | 對于所有的保護層,作為IPL應滿足以下要求: 1)應有控制手段防止非故意的或未授權的變動; 2)應執行嚴格的變更管理程序,以滿足變更后保護層的IPL要求; 3)應有可用的信息、文檔和程序可查,以說明保護層的設計、檢查、維護、測試和運行活動能夠使保護層達到IPL的要求。 |
基本過程控制系統(BPCS) | BPCS是執行持續監測和控制日常生產過程的控制系統,通過響應過程或操作人員的輸入信號,產生輸出信息,使過程以期望的方式運行。由傳感器、邏輯控制器和最終執行元件組成。 | BPCS可以提供三種不同類型的安全功能作為IPL: 1)連續控制行動:保持過程參數維持在規定的正常范圍以內,防止IE發生; 2)報警行動:識別超出正常范圍的過程偏差,并向操作人員提供報警信息,促使操作人員采取行動(控制過程或停車); 3)邏輯行動:行動將導致停車或采取動作使過程處于安全狀態。 | 精餾塔、加熱爐等基本過程控制系統 | 1)BPCS作為IPL應滿足以下要求: ——BPCS應與安全儀表系統(SIS)在物理上分離,包括傳感器、邏輯控制器和最終執行元件; ——BPCS故障不是造成IE的原因; 2)在同一個場景中,當滿足IPL的要求時,具有多個回路的BPCS宜作為一個IPL。BPCS多個回路作為IPL的具體評估方法可參見附錄D; 3)當BPCS通過報警或其他形式提醒操作人員采取行動時,宜將這種保護考慮為報警和人員響應保護層。 | |
報警和人員響應 | 報警和人員響應是操作人員或其它工作人員對報警響應,或在系統常規檢查后,采取的防止不良后果的行動。 | 通常認為人員響應的可靠性較低,應慎重考慮人員行動作為獨立保護層的有效性。 | 反應器溫度高報警和人員響應 | 1)操作人員應能夠得到采取行動的指示或報警; 2)操作人員應訓練有素,能夠完成特定報警所要求的操作任務; 3)任務應具有單一性和可操作性,不宜要求操作人員執行IPL要求的行動時同時執行其它任務; 4)操作人員應有足夠的響應時間; 5)操作人員身體條件合適等。 | |
安全儀表功能(SIF) | 安全儀表功能通過檢測超限(異常)條件,控制過程進入功能安全狀態。一個安全儀表功能由傳感器、邏輯控制器和最終執行元件組成,具有一定的SIL。 | 安全儀表功能SIF在功能上獨立于BPCS。SIL分級可見GB/T 21109。 | 1)安全儀表功能SIL1; 2)安全儀表功能SIL2; 3)安全儀表功能SIL3。 | 1)SIF在功能上獨立于BPCS; 2)SIF的規格、設計、調試、檢驗、維護和測試應按GB/T 21109的有關規定執行。 | |
物理保護 | 提供超壓保護,防止容器的災難性破裂。 | 包括安全閥、爆破片等,其有效性受服役條件的影響較大。 | 1)安全閥; 2)爆破片; 3)安全閥和爆破片串聯; 4)放空閥 | 1)獨立于場景中的其他保護層; 2)在確定安全閥、爆破片等設備的PFD時,應考慮其實際運行環境中可能出現的污染、堵塞、腐蝕、不恰當維護等因素對PFD進行修正; 3)當物理保護作為IPL時,應考慮物理保護起作用后可能造成的其他危害,并重新假設LOPA場景進行評估。 | |
釋放后保護設施 | 危險物質釋放后,用來降低事故后果的保護設施(如防止大面積泄漏擴散、降低受保護設備和建筑物的沖擊波破壞、防止容器或管道火災暴露失效、防止火焰或爆轟波穿過管道系統等)。 | 一般需要對事故后果進行定量評估,根據評估結果選擇針對性釋放后保護設施或確定保護設施的設計參數。 | 1)火氣系統:可燃氣體和有毒氣體檢測報警系統、泄漏或火災后緊急切斷系統、火災報警系統等; 2)攔蓄或收集設施:防火堤、集液池及收集系統等; 3)釋放后安全處理系統:洗滌設施、有毒氣體捕集及處理系統等; 4)減少蒸發擴散的設施:如用于LNG的高倍數泡沫系統; 5)防火設施,如耐火涂層、防火門、阻火器、消防系統(水幕、自動滅火系統等); 6)防爆設施:防爆墻或防爆艙、隔爆器、泄壓板、水霧系統、減爆劑、惰化系統等; 7)防中毒設施:正壓防護系統,中和系統等 8)其他,如與消防聯動的電視監視系統 | 1)獨立于場景中的其他保護層 2)在確定阻火器、隔爆器等設備的PFD時,應考慮其實際運行環境中可能出現的污染、堵塞、腐蝕、不恰當維護等因素對PFD進行修正。 | |
工廠和社區應急響應 | 在初始釋放之后被激活,其整體有效性受多種因素影響。 |
| 主要包括消防隊、工廠撤離、社區撤離、避難所和應急預案等。 | 應確認其有效性。 |
7.3 不作為IPL的防護措施
通常不作為IPL的防護措施見表4。
表4 通常不作為IPL的防護措施
防護措施 | 說明 |
培訓和取證 | 在確定操作人員行動的PFD時,需要考慮這些因素,但是它們本身不是IPL。 |
程序 | 在確定操作人員行動的PFD時,需要考慮這些因素,但是它們本身不是IPL。 |
正常的測試和檢測 | 正常的測試和檢測將影響某些IPL的PFD,延長測試和檢測周期可能增加IPL的PFD。 |
維護 | 維護活動將影響某些IPL的PFD。 |
通信 | 差的通信將影響某些IPL的PFD。 |
標識 | 標識自身不是IPL,標識可能不清晰、模糊、容易被忽略等。標識可能影響某些IPL的PFD。 |
火災保護 | 火災保護的可用性和有效性受到所包圍的火災/爆炸的影響。如果在特定的場景中,企業能夠證明它滿足IPL的要求,則可將其作為IPL。 |
8 場景頻率計算
8.1 風險和頻率的定量計算
8.1.1 場景的發生頻率計算見式(1):
(1)
式中:
fiC——初始事件i的后果C的發生頻率,單位為 /a;
fiI——初始事件i的發生頻率,單位為 /a;
PFDij——初始事件i中第j個阻止后果C發生的IPL的PFD。
8.1.2 在計算場景頻率時,可根據需要對場景頻率進行修正,見式(2)~式(6):
a)存在使能事件或條件時:
(2)
式中:
fiE——使能事件或條件發生概率;
b)采用點火概率、人員暴露和具體傷害的概率對不同后果場景頻率進行修正:
1)火災發生的頻率:
(3)
式中:
Pig——點火概率;
2)人員暴露于火災中的頻率:
(4)
式中:
Pex——人員暴露概率;
3)火災引起人員受傷的頻率:
(5)
式中:
Pd——人員受傷或死亡概率;
4)對于毒性影響,人員傷害的頻率方程與火災傷害方程相似,毒性影響不需要點火概率,公式(5)變為:
(6)
8.2 初始事件發生頻率和IPL的PFD
8.2.1 初始事件發生頻率和IPL的PFD數據可采用:
a) 行業統計數據;
b) 企業歷史統計數據;
c) 基于失效模式、影響和診斷分析(FMEDA)和故障樹分析(FTA)等的數據;
d)其他可用數據等。
8.2.2 選擇失效數據時,應滿足以下要求:
a)在整個分析過程中,使用的所有失效數據的選用原則應一致;
b)選擇的失效率數據應具有行業代表性或能代表操作條件;
c)使用企業歷史統計數據時,只有該歷史數據充足并具有統計意義時才能使用;
d)使用普通的行業數據時,可根據企業的具體條件對數據進行修正;
e)可對失效頻率數據取整至最近的整數數量級。
8.2.3 在確定IE發生頻率和典型IPL的PFD時,應考慮實際的運行環境對發生頻率或PFD的影響:
a)當系統或操作不連續(裝載/卸載、間歇工藝等)時,應根據其實際的運行時間對失效頻率數據進行修正;
b)在確定安全閥、阻火器或隔爆器等設備的PFD時,應考慮其實際運行環境中可能出現的污染、堵塞、腐蝕、不恰當維護等因素對PFD進行修正;
c)典型IE發生頻率和典型IPL的PFD參見附錄E。
9 風險評估與決策
9.1 對事故場景風險,可根據場景頻率計算結果和后果等級,使用定量數值風險標準、風險矩陣等形式進行風險等級評估,定量數值風險標準和風險矩陣示例參見附錄F。
9.2 根據事故場景風險等級進行風險決策,風險決策宜采取ALARP原則,將事故場景風險降低到可接受風險水平,ALARP和可接受風險水平概念參見附錄F。
10 LOPA報告
10.1 LOPA分析結束時,應生成LOPA記錄表和報告。LOPA分析案例和記錄表形式可參見附錄G。10.2 LOPA報告應包括以下內容:
a)場景的信息來源說明;
b)企業的風險標準;
c)IE發生頻率和IPL的PFD;
d)場景中IPL和非IPL的評估結果;
e)場景的風險評估結果;
f)滿足風險標準要求采取的行動及后續跟蹤;
g)如果有必要,對需要采取不同技術進行深入研究的問題提出建議;
h)對分析期間所發現的不確定情況及不確定數據的處理;
i)分析小組使用的所有圖紙、說明書、數據表和危險分析報告等的清單(包括引用的版本號);
j)參加分析的小組成員名單。
10.3 LOPA報告應經小組成員簽字確認。若LOPA小組不能達成一致意見,應記錄原因。
11 LOPA后續跟蹤及審查
11.1 宜對LOPA分析結果的執行情況進行后續跟蹤,對LOPA提出的降低風險行動的實施情況進行落實。
11.2 LOPA的程序和分析結果可接受相關的審查。
附錄A
(規范性附錄)
LOPA基本程序
LOPA基本程序如圖A.1所示,包括:
a)場景識別與篩選。LOPA通常評估先前危害分析研究中識別的場景。分析人員可采用定性或定量的方法對這些場景后果的嚴重性進行評估,并根據后果嚴重性評估結果對場景進行篩選;
b)初始事件確認。首先,選擇一個事故場景,LOPA一次只能選擇一個場景;然后確定場景IE。IE包括外部事件、設備故障和人員行為失效;
c)IPL評估。評估現有的防護措施是否滿足IPL的要求是LOPA的核心內容;
d)場景頻率計算。將后果、IE頻率和IPL的PFD等相關數據進行計算,確定場景風險;
e)評估風險,作出決策。根據風險評估結果,確定是否采取相應措施降低風險。然后,重復步驟b)~e)直到所有的場景分析完畢;
f)后續跟蹤和審查。LOPA分析完成后,對提出降低風險措施的落實情況應進行跟蹤。應對LOPA的程序和分析結果進行審查。
圖A.1 保護層分析的基本程序
附錄B
(資料性附錄)
LOPA應用時機
圖B.1 LOPA的應用時機
事故后果是否嚴重可根據企業的風險標準確定,以表F.3為例,通常可認為4級及以上的后果為嚴重后果。
附錄C
(資料性附錄)
HAZOP信息與LOPA信息的關系
圖C.1 HAZOP信息與LOPA信息的關系
附錄D
(資料性附錄)
BPCS多個回路作為IPL的評估方法
D.1 同一BPCS多個功能回路作為IPL的評估方法
D.1.1 在同一場景中,當同一BPCS具有多個功能回路時,其IPL的評估可使用方法A或方法B。
D.1.2 方法A假設一個單獨BPCS回路失效,則其它所有共享相同邏輯控制器的BPCS回路都失效。對單一的BPCS,只允許有一個IPL,且應獨立于IE或任何使能事件。
D.1.3 方法B假設一個BPCS回路失效,最有可能是傳感器或最終控制元件失效,而BPCS邏輯控制器仍能正常運行。BPCS邏輯控制器的PFD比BPCS回路其它部件的PFD至少低兩個數量級。方法B允許同一BPCS有一個以上的IPL。如圖D.1所示,兩個BPCS回路使用相同的邏輯控制器。假設這兩個回路滿足作為同一場景下IPL的其它要求,方法A只允許其中一個回路作為IPL,方法B允許兩個回路都作為同一場景下的IPL。
圖D.1 同一場景下共享同一BPCS邏輯控制器的多條回路
D.2 同一場景下,同一BPCS多個功能回路同時作為IPL的要求
D.2.1 同一場景下,同一BPCS的多個功能回路同時作為IPL時,應滿足:
a)BPCS具有完善的安全訪問程序,應確保將BPCS編程、變更或操作上潛在的人為失誤降低到可接受水平;
b)BPCS回路中的傳感器與最終執行元件在BPCS回路的所有部件中具有最高的失效概率值。
D.2.2 如果傳感器或最終執行元件是場景中其它IPL的公共組件或是IE的一部分,則多個回路不應作為多個IPL。如圖D.2所示,BPCS回路1和回路2均使用同一傳感器,在這個場景下,則這兩個BPCS回路只能作為一個IPL。同樣,如果最終執行元件(或相同報警和操作人員響應)被共享在兩個BPCS回路,那么這兩個BPCS回路也只能作為一個IPL。
圖D.2 同一場景下共享傳感器的BPCS回路
D.2.3 共享邏輯控制器輸入卡或輸出卡的額外BPCS回路不宜同時作為IPL。如圖D.3所示,假設滿足IPL的所有其它要求,則回路(傳感器A→輸入卡1→邏輯控制器→輸出卡1→最終執行元件1)可確定為IPL。如果第二個控制回路的路徑為(傳感器D→輸入卡2→邏輯控制器→輸出卡2→最終執行元件4),那么此回路也可確定為IPL。但是,如果第二個回路的路徑為(傳感器D→輸入卡2→邏輯控制器→輸出卡1→最終執行元件2),那么此回路不能作為IPL,因為輸出卡1共享在兩個回路中。
注:1、2、3、4是最終執行元件
圖D.3 相同場景下共享輸入/輸出卡的影響
D.2.4 如果IE不涉及BPCS邏輯控制器失效,每一個回路都滿足IPL的所有要求,在同一場景下,作為IPL的BPCS回路不應超過2個。如圖D.4所示,如果所有4個回路各自滿足相同場景下IPL的要求,在使用方法B時,最多只有兩個回路被作為IPL。
圖D.4 相同場景下BPCS功能回路作為IPL的最大數量
D.2.5 所有BPCS回路IPL總的PFD,不宜低于1×10-2。
D.2.6 最終執行元件可以是機械動作(例如:關閉閥門、啟動泵)或一種是機械動作,另一種是要求人員采取行動的報警。在同一場景中,不宜將兩個人員響應同時作為IPL,除非證明它們完全獨立并且滿足人員行動作為IPL的所有要求。
D.2.7 IE或使能事件涉及BPCS回路失效時,在同一場景中,宜只將1個BPCS回路作為IPL。如果人員失效是IE,不宜將啟動人員行動的BPCS報警視為IPL。
D.3 同一場景下,同一BPCS多個功能回路同時作為IPL的數據和人員要求
D.3.1 對數據與數據分析的要求如下:
a)方法B假設BPCS邏輯控制器的PFD比BPCS回路其它部件的PFD至少低兩個數量級,應具有支持這個假設的數據,并對數據進行分析。這些數據包括:
1)BPCS邏輯控制器、輸入/輸出卡、傳感器、最終執行元件、人員響應等歷史性能數據;
2)系統制造商提供的數據;
3)檢查、維護和功能性測試數據;
4)儀表圖、管道和儀表流程圖(P&ID)、回路圖、標準規范等資料;
5)訪問BPCS,進行程序更改、旁路報警等安全訪問BPCS的信息。
b)對這些數據的分析應包括:
1)計算設備或系統BPCS回路組件的有效失效率;
2)各種組件,特別是BPCS邏輯控制器PFD數據的比較;
3)邏輯輸入/輸出卡及相關回路的獨立性評估;
4)安全訪問控制充分性評估;
5)使用多重BPCS回路作為同一場景下的多個IPL的合適性評估。
D.3.2 對分析人員的要求如下:
a)分析人員應能夠:
1)判斷是否有足夠和完整的數據,這些數據是否能滿足足夠精度的計算;
2)了解儀表的設計和BPCS系統是否滿足獨立性要求;
3)理解建議的IPL對工藝或系統的影響。
b)分析小組或人員應具有相關專業知識,如:
1)對BPCS邏輯控制器具有足夠低的PFD的獨立第三方認證;
2)對歷史性能數據和維修記錄的分析,建立設計標準使多個BPCS回路滿足IPL的要求;
3)設計并執行多個BPCS回路系統使之滿足獨立性與可靠性要求等。
c)如果分析小組或人員不能滿足以上要求,那么在判斷BPCS回路作為IPL時,宜使用方法A進行分析。
附錄E
(資料性附錄)
失效數據
表E.1 IE典型頻率值
IE | 頻率范圍(/a) |
壓力容器疲勞失效 | 10-5~10-7 |
管道疲勞失效-100m-全部斷裂 | 10-5~10-6 |
管線泄漏(10%截面積)-100m | 10-3~10-4 |
常壓儲罐失效 | 10-3~10-5 |
墊片/填料爆裂 | 10-2~10-6 |
渦輪/柴油發動機超速,外套破裂 | 10-3~10-4 |
第三方破壞(挖掘機、車輛等外部影響) | 10-2~10-4 |
起重機載荷掉落 | 10-3~10-4/起吊 |
雷擊 | 10-3~10-4 |
安全閥誤開啟 | 10-2~10-4 |
冷卻水失效 | 1~10-2 |
泵密封失效 | 10-1~10-2 |
卸載/裝載軟管失效 | 1~10-2 |
BPCS儀表控制回路失效 | 1~10-2 |
調節器失效 | 1~10-1 |
小的外部火災(多因素) | 10-1~10-2 |
大的外部火災(多因素) | 10-2~10-3 |
LOTO(鎖定 標定)程序失效(多個元件的總失效) | 10-3~10-4/次 |
操作員失效(執行常規程序,假設得到較好的培訓、不緊張、不疲勞) | 10-1~10-3/次 |
表E.2 某公司采用的IE典型頻率值
分類 | IE | 頻率(/a) |
閥 門 | 1)單向閥完全失效 | 1 |
2)單向閥卡澀 | 1×10-2 | |
3)單向閥內漏(嚴重) | 1×10-5 | |
4)墊圈或填料泄漏 | 1×10-2 | |
5)安全閥誤開或嚴重泄漏 | 1×10-2 | |
6)調節器失效 | 1×10-1 | |
7)電動或氣動閥門誤動作 | 1×10-1 | |
容 器 和 儲 罐 | 1)壓力容器災難性失效 | 1×10-6 |
2)常壓儲罐失效 | 1×10-3 | |
3)過程容器沸騰液體擴展蒸汽云爆炸(BLEVE) | 1×10-6 | |
4)球罐沸騰液體擴展蒸汽云爆炸(BLEVE) | 1×10-4 | |
5)容器小孔(≤50 mm)泄漏 | 1×10-3 | |
公 用 工 程 | 1)冷卻水失效 | 1×10-1 |
2)斷電 | 1 | |
3)儀表風失效 | 1×10-1 | |
4)氮氣(惰性氣體)系統失效 | 1×10-1 | |
管 道 和 軟 管 | 1)泄漏(法蘭或泵密封泄漏) | 1 |
2)彎曲軟管微小泄漏(小口徑) | 1 | |
3)彎曲軟管大量泄漏(小口徑) | 1×10-1 | |
4)加載或卸載軟管失效(大口徑) | 1×10-1 | |
5)中口徑(≤150 mm)管道大量泄漏 | 1×10-5 | |
6)大口徑(>150 mm)管道大量泄漏 | 1×10-6 | |
7)管道小泄漏 | 1×10-3 | |
8)管道破裂或大泄漏 | 1×10-5 | |
施工 與 維修 | 1)外部交通工具的沖擊(假定有看守員) | 1×10-2 |
2)吊車載重掉落(起吊次數/年) | 1×10-3 | |
3)操作維修加鎖加標記(LOTO)規定沒有遵守 | 1×10-3 | |
操作 失誤 | 1)無壓力下的操作失誤(常規操作) | 1×10-1 |
2)有壓力下的操作失誤(開停車、報警) | 1 | |
機 械 故 障 | 1)泵體壞(材質變化) | 1×10-3 |
2)泵密封失效 | 1×10-1 | |
3)有備用系統的泵和其它轉動設備失去流量 | 1×10-1 | |
4)透平驅動的壓縮機停轉 | 1 | |
5)冷卻風扇或扇葉停轉 | 1×10-1 | |
6)電機驅動的泵或壓縮機停轉 | 1×10-1 | |
7)透平或壓縮機超載或外殼開裂 | 1×10-3 | |
儀表 | 1)BPCS(基本過程控制系統)回路失效 | 1×10-1 |
外 部 事 件 | 1)雷電擊中 | 1×10-3 |
2)外部大火災 | 1×10-2 | |
3)外部小火災 | 1×10-1 | |
4)易燃蒸汽云爆炸 | 1×10-3 |
表E.3 化工行業典型IPL的PFD
IPL | 說明 (假設具有完善的設計基礎、充足的檢測和維護程序,良好的培訓) | PFD | |
本質安全設計 | 如果正確執行,將大大的降低相關場景后果的頻率 | 1×10-1~1×10-6 | |
BPCS | 如果與IE無關,BPCS可作為一種IPL | 1×10-1~1×10-2 | |
關鍵報警和人員響應 | 人員行動,有10 min的響應時間 | 行動應具有單一性和可操作性 | 1.0~1×10-1 |
人員對BPCS指示或報警的響應,有40min的響應時間 | 1×10-1 | ||
人員行動,有40 min的響應時間 | 1×10-1~1×10-2 | ||
安全儀表功能 | 安全儀表功能SIL 1 | 見GB/T 21109 | ≥1×10-2~<1×10-1 |
安全儀表功能SIL 2 | ≥1×10-3~<1×10-2 | ||
安全儀表功能SIL 3 | ≥1×10-4~<1×10-3 | ||
物理保護 | 安全閥 | 此類系統有效性對服役的條件比較敏感 | 1×10-1~1×10-5 |
爆破片 | 1×10-1~1×10-5 | ||
釋放后保護措施 | 防火堤 | 降低由于儲罐溢流、斷裂、泄漏等造成嚴重后果的頻率 | 1×10-2~1×10-3 |
地下排污系統 | 降低由于儲罐溢流、斷裂、泄漏等造成嚴重后果的頻率 | 1×10-2~1×10-3 | |
開式通風口 | 防止超壓 | 1×10-2~1×10-3 | |
耐火涂層 | 減少熱輸入率,為降壓、消防等提供額外的響應時間 | 1×10-2~1×10-3 | |
防爆墻/艙 | 限制沖擊波,保護設備/建筑物等,降低爆炸重大后果的頻率 | 1×10-2~1×10-3 | |
阻火器或防爆器 | 如果、安裝和維護合適,這些設備能夠防止通過管道系統或進入容器或儲罐內的潛在回火 | 1×10-1~1×10-3 | |
遙控式緊急切斷閥 |
| 1×10-1~1×10-2 |
附錄F
(資料性附錄)
風險標準和ALARP原則
F.1 風險標準
表F.1 數值風險標準(廠外個體風險)
部門 | 可容許風險(/a) | 可忽略風險(/a) |
荷蘭環境保護和城市規劃部VROM(現存裝置) | 1×10-5 | 1×10-8 |
荷蘭環境保護和城市規劃部VROM(新建設施) | 1×10-6 | 1×10-8 |
英國健康和安全局HSE(現有設施) | 1×10-4 | 1×10-6 |
英國健康和安全局HSE(新建居民區) | 3×10-6 | 3×10-7 |
英國(新建核電站) | 1×10-5 | 1×10-6 |
英國(新建危險品運輸) | 1×10-4 | 1×10-6 |
香港(新建和已建裝置) | 1×10-5 | - |
新加坡(新建和已建裝置) | 5×10-5 | 1×10-6 |
馬來西亞(新建和已建裝置) | 1×10-5 | 1×10-6 |
澳大利亞(新建和已建裝置) | 5×10-5 | 5×10-7 |
加拿大 | 1×10-4 | 1×10-6 |
巴西(新建和已建裝置) | 1×10-5 | 1×10-6 |
表F.2 風險評估矩陣
后
果
等
級 | 5 | 低 | 中 | 中 | 高 | 高 | 很高 | 很高 |
4 | 低 | 低 | 中 | 中 | 高 | 高 | 很高 | |
3 | 低 | 低 | 低 | 中 | 中 | 中 | 高 | |
2 | 低 | 低 | 低 | 低 | 中 | 中 | 中 | |
1 | 低 | 低 | 低 | 低 | 低 | 中 | 中 | |
|
| 10-6~10-7 | 10-5~10-6 | 10-4~10-5 | 10-3~10-4 | 10-2~10-3 | 10-1~10-2 | 1~10-1 |
|
| 頻 率 等 級(/a) | ||||||
風險等級說明 低:不需采取行動 中:可選擇性的采取行動 高:選擇合適的時機采取行動 很高:立即采取行動 |
表F.3 后果定性分級方法
等級 | 嚴重程度 | 分類 | |||
人員 | 財產 | 環境 | 聲譽 | ||
1 | 低后果 | 醫療處理,不需住院; 短時間身體不適 | 損失極小 | 事件影響未超過界區 | 企業內部關注;形象沒有受損 |
2 | 較低后果 | 工作受限;輕傷 | 損失較小 | 事件不會受到管理部門的通報或違反允許條件 | 社區、鄰居、合作伙伴影響 |
3 | 中后果 | 嚴重傷害;職業相關疾病 | 損失較大 | 釋放事件受到管理部門的通報或違反允許條件 | 本地區內影響;政府管制,公眾關注負面后果 |
4 | 高后果 | 1~2人死亡或喪失勞動能力;3~9人重傷 | 損失很大 | 重大泄漏,給工作場所外帶來嚴重影響 | 國內影響;政府管制,媒體和公眾關注負面后果 |
5 | 很高后果 | 3人以上死亡;10人以上重傷 | 損失極大 | 重大泄漏,給工作場所外帶來嚴重的環境影響,且會導致直接或潛在的健康危害 | 國際影響 |
F.2 ALARP原則
F.2.1 ALARP原則
ALARP原則指在當前的技術條件和合理的費用下,對風險的控制要做到在合理可行的原則下“盡可能的低”。按照ALARP原則,風險區域可分為:
a)不可接受的風險區域。在本標準F.2中指高風險和很高風險區域。在這個區域,除非特殊情況,風險是不可接受的 ;
b)允許的風險區域。在本標準F.2指中風險區域。在這個區域內必須滿足以下條件之一時,風險才是可允許的:
1)在當前的技術條件下,進一步降低風險不可行
2)降低風險所需的成本遠遠大于降低風險所獲得的收益
c)廣泛可接受的風險區域。在本標準F.2中指低風險區域。在這個區域,剩余風險水平是可忽略的,一般不要求進一步采取措施降低風險。
圖F.1 ALARP原則
ALARP原則推薦在合理可行的情況下,把風險降低到“盡可能低”。如果一個風險位于兩種極端情況(高風險及以上不可接受區域和廣泛可接受的風險區域)之間,如果使用了ALARP原則,則所得到的風險可認為是可允許的風險。
如果風險處于高風險及以上區域,則該風險是不可接受的,應把它降低到可接受風險水平。
在廣泛可接受的低風險區域,不需要進一步降低風險,但有必要保持警惕以確保風險維持在這一水平。
F.2.2 可接受風險水平
根據ALARP原則,可接受風險水平指允許的風險區域或廣泛可接受的風險區域。
附錄G
(資料性附錄)
LOPA示例
附錄G包含的示例旨在舉例說明本標準中描述的LOPA分析流程。示例中的工藝設計已進行了簡化,僅用于演示。采用附錄F的風險矩陣進行LOPA場景篩選和風險決策。
G.1 正己烷緩沖罐溢流
G.1.1 工藝描述
簡化P&ID見圖G.1。示例的詳細描述可參見《Layer of Protection Analysis—Simplified Process Risk Assessment》。來自上游工藝單元的正己烷進入正己烷緩沖罐T-401。正己烷供料管道總是帶壓。正己烷緩沖罐液位受液位控制回路(LIC-90)控制,LIC-90檢測儲罐液位,通過調節液位閥(LV-90)控制液位。正己烷輸往下游工藝使用。LIC回路包括提醒操作人員的高液位報警(LAH-90)。儲罐總容量為30 t,通常盛裝一半的容量。儲罐位于防火堤內,該防火堤能夠容納45 t正己烷。
圖G.1 正己烷緩沖罐溢流
G.1.2 場景識別與篩選
采用前期進行的HAZOP分析作為場景信息來源。正己烷緩沖罐T-401的HAZOP分析結果見表G.1。根據后果分級表F.3,篩選進行LOPA分析的場景。本例選擇分析的場景為正己烷緩沖罐溢流,防火堤發生失效,導致大面積火災,造成人員的傷亡,后果等級為5。
表G.1 正己烷緩沖罐T-401 HAZOP分析
序號 | 偏差 | 原因 | 后果 | 現有防護措施 | 建議 |
1 | 液位高 | 流量控制閥LV-90誤開大(如液位控制LIC失效,操作人員失誤等)導致至正己烷緩沖罐T-401管線流量大 | 高壓(見5) | 1)液位監測,高液位報警 2)單元操作程序 | 建議安裝一個SIS,在T-401高液位時切斷進料。 |
2 | 液位低 | 上游工藝至正己烷緩沖罐T-401管線流量小或無流量 | 無后果:在下游倒空供料罐前,如果不填充,將引起潛在的過程中斷 |
|
|
3 | 溫度高 |
| 無關心的后果 |
|
|
4 | 溫度低 | 低的環境溫度,而緩沖罐內有水(見7) | 緩沖罐底部或緩沖罐排水線或儀表線積累的水凍結,導致排水線斷裂和泄漏 |
|
|
5 | 壓力高 | 高液位(見1) | 1)正己烷通過釋放閥泄放到防火堤內;如果防火堤不能包容釋放物,可能造成大面積火災 2)泄漏(如果超壓值超過緩沖罐額定壓力)(見8) |
|
|
6 | 壓力低 | 在蒸氣吹掃后,冷卻前緩沖罐發生堵塞 | 真空下緩沖罐塌陷導致設備破壞 | 標準程序和容器蒸氣吹掃檢查 |
|
7 | 污染物濃度高 | 在蒸氣吹掃和沖洗后,水沒有完全排出 | 在低的環境溫度期間,緩沖罐內積累的水可能凍結(見4) |
|
|
8 | 包容物損失 | 1)腐蝕/侵蝕 2)外部影響(如火災) 3)液位高(見1) 4)墊片、填料或密封失效 5)不適當的維護 6)儀表或儀表線失效 7)材質缺陷 8)采樣閥泄漏 9)通風口和排水閥泄漏 10)低溫(見4) | 正己烷泄漏,如果防火堤不能包容釋放物,可能造成大面積火災,造成人員傷亡 | 1)操作和維護程序,需要時隔離 2)能手動隔離緩沖罐 3)按照規范和標準進行預防性檢測 4)安全閥,釋放到緩沖罐防火堤內 5)防火堤容積能容納正己烷45 t(1.5倍緩沖罐能力) 6)緊急響應程序 |
|
G.1.3 IE確認
本例選定IE為BPCS液位控制回路失效,根據表E.1,其失效頻率為1×10-1 /a。
G.1.4 IPL評估
a)防火堤
一旦發生罐體溢流,合適的防火堤可以包容這些溢流物。如果防火堤失效,將發生大面積擴散,從而發生潛在的火災、損害和死亡。防火堤滿足IPL所有的要求,包括:
1)如果按照設計運行,防火堤可有效地包容儲罐的溢流;
2)防火堤獨立于任何其他獨立保護層和IE;
3)可以審查防火堤的設計、建造和目前的狀況。
對于本例,根據表E.3,防火堤的PFD取1 × 10-2。
b)BPCS報警和人員響應行動
在本例中,人員行動不作為獨立保護層,原因如下:
1)由于操作人員不總是在現場,在防火堤失效導致重大釋放前,不能假設獨立于任何報警的操作人員行動能有效地檢測和阻止釋放。
2)BPCS液位控制回路失效(IE)導致系統不能產生報警,從而不能提醒操作人員采取行動以阻止緩沖罐進料。因此,BPCS產生的任何報警不能完全獨立于BPCS系統,不能作為獨立保護層。
c)安全閥
緩沖罐上的安全閥無法防止緩沖罐發生溢流,因此,對于本場景,安全閥不是IPL。
G.1.5 場景頻率計算
取點火概率為1,人員暴露概率為0.5,人員傷亡概率為0.5,則后果發生頻率為:
fiC= fiI×PFDdike×Pig×Pex×Pd
=(1×10-1/a)×(1×10-2)×1×0.5×0.5
=2.5×10-4/a
=2×10-4/a(取整)
式中:
fiC——初始事件i的后果C的發生頻率,單位為 /a;
fiI ——初始事件i的發生頻率,單位為 /a;
PFDdike——防火堤的PFD;
Pig ——點火概率;
Pex ——人員暴露概率;
Pd ——人員傷亡概率。
G.1.6 風險評估與決策
緩沖罐LIC失效,溢流物未被防火堤包容,溢出物被點燃,造成人員傷亡,后果等級為5級。事件發生的頻率為2×10-4 /a。根據后果等級5和頻率2×10-4 /a,查詢表F.2,其風險等級為高風險,要求:選擇合適的時機采取行動。
分析小組決定安裝一個獨立的SIF,用于檢測和阻止溢流。本SIF采用獨立的液位傳感器,邏輯控制器和獨立的截斷閥,見圖G.2中粗線部分。當檢測到高液位時,該SIF聯鎖關流量控制閥LV-90和遠程截斷閥。可根據企業具體的風險控制要求,確定該SIF的SIL。在本例中,確定該SIF的FPD為1×10-2(SIL1)。對于場景,SIF將釋放事件的頻率從2×10-4 /a降低到2×10-6 /a。在風險矩陣中,對于后果等級5,頻率為2×10-6 /a的事件,其風險等級為中風險,要求:可選擇性的采取行動。此時,企業可采用成本效益分析,決定是否需采用額外的措施進一步降低風險。
圖G.2 正己烷緩沖罐溢流(增加IPL后)
G.1.7 LOPA記錄表
本案例LOPA記錄表見表G.2。
表G.2 LOPA記錄表
公司名稱 |
| 裝置名稱 |
| 時間 |
| ||||||||||||||||||||||
工藝單元 |
| 分析組成員 |
| 圖紙號 |
| ||||||||||||||||||||||
分析節點 | 正己烷緩沖罐 | ||||||||||||||||||||||||||
序號 | 場景 | 后果 | 初始事件 | 使能必要事件/條件 | 條件修正 | IPL | 其他保護措施 | 后果發生頻率 | 現有風險等級 | 需求的SIL等級或建議的IPL | 減緩后的后果發生頻率 | 減緩后的風險等級 | 備注 | ||||||||||||||
描述 | 等級 | 描述 | 頻率 (/a) | 描述 | 概率 | 點火概率 | 人員暴露概率 | 致死概率 | 描述 | IPL類別 | PFD | 描述 | IPL類別 | PFD | |||||||||||||
1 | 正己烷緩沖罐溢流,溢流物未被防火堤包容 | 由于儲罐溢流和防火堤失效,導致釋放的正己烷流出防火堤,發生火災和人員傷亡 | 5 | BPCS LIC控制回路失效 | 1×10-1 | — | — | 1 | 0.5 | 0.5 | 防火堤 | 釋放后保護設施 | 1×10-2 | 人員響應行動 | 2.5×10-4 | 高風險 | 增加一個獨立的SIF,用于檢測和阻止溢流 | SIF | 1×10-2 ( SIL1) | 2.5×10-6 | 中風險 | 1.人員行動不作為IPL,原因如下: ——操作人員不總是在現場; ——BPCS液位控制回路失效(IE)導致系統不能產生報警,從而不能提醒操作人員采取行動以阻止緩沖罐進料。 2.企業可采用成本效益分析,決定是否需采用額外的措施進一步降低風險 |
G.2 PVC反應器
G.2.1 工藝描述
圖G.3為氯乙烯單體(VCM)生產聚氯乙烯(PVC)工藝的簡化P&ID圖。示例的詳細描述可參見《Layer of Protection Analysis—Simplified Process Risk Assessment》。此過程為間歇聚合反應。水、液態VCM、引發劑和添加劑通過同一噴管注入攪動的夾套反應器內。注入噴管與安全閥(PSV)相連接,抑制劑也可通過同一噴管添加。
圖G.3 PVC工藝簡化P&ID圖
G.2.2 場景識別與篩選
根據前期進行的危害分析,通過后果分級表F.3,篩選進行LOPA的場景。表G.3為篩選出的LOPA場景。本例以場景1為例進行分析。場景1為冷卻水失效,導致反應失控,反應器潛在的超壓、泄漏、斷裂,造成人員受傷和死亡,后果等級為5級。
表G.3 篩選出的LOPA場景
場景1 | 冷卻水失效,導致反應失控,反應器潛在的超壓、泄漏、斷裂,潛在的受傷和死亡。 | 場景5 | 人員錯誤——注入兩倍催化劑的量,導致潛在的反應失控,超壓、泄漏、斷裂,受傷和死亡。 |
場景2 | 攪拌機電動機轉動失效,導致潛在的反應失控,超壓、泄漏、斷裂,受傷和死亡。 | 場景6 | BPCS液位控制失效,導致反應器溢流,潛在的反應器超壓、泄漏、斷裂,受傷和死亡。 |
場景3 | 停電(大面積),導致潛在的反應失控,超壓、泄漏、斷裂,受傷和死亡。 | 場景7 | 在升溫期間,BPCS溫度控制失效,潛在的反應器超壓、泄漏、斷裂,受傷和死亡。 |
場景4 | 冷卻泵失效(停電),導致潛在的反應失控,超壓、泄漏、斷裂,受傷和死亡。 | 場景8 | 攪拌器密封失效,導致潛在的VCM泄漏,潛在的火災、爆炸、受傷和死亡。 |
G.2.3 初始事件確認
本例選定IE為冷卻水失效,根據表E.1,其失效頻率為1 × 10-1。冷卻水損失引起反應失控的反應器條件概率為0.5。
G.2.4 IPL評估
a)BPCS報警和人員響應行動
冷卻水失效時,BPCS將會產生低流量報警,人員添加抑制劑。BPCS報警和人員響應可滿足IPL的要求,包括:
1)BPCS報警和人員響應獨立于IE和其他獨立保護層;
2)僅要求操作人員執行添加抑制劑的行動,任務具有單一性和可操作性;
3)操作人員有足夠的響應時間;
4)如果操作人員訓練有素,身體條件合適,則能夠完成報警所觸發的操作任務。
對于本例,根據表E.3,該IPL的PFD取1 × 10-1。
b)安全閥
安全閥可防止反應器發生超壓泄漏,但是由于安全閥放空與抑制劑的添加共用同一管道,無法保證安全閥放空與抑制劑的添加可以同時進行,因此需修改安全閥設計,安全閥安裝獨立的放空管線。此外,考慮在安全閥下增加氮氣吹掃,以最小化管線或閥門進口聚合物沉積或凍結。變更后,如果安全閥安裝和維護符合IPL的要求,可作為IPL。
對于本例,根據表E.3,變更后該IPL的PFD取1 × 10-2。
c)緊急冷卻系統(蒸氣渦輪機)
在本例中,緊急冷卻系統不能作為IPL,因為其不獨立于IE,與冷卻水系統有多個公共元件(管線、閥門等)。這些公共元件在引起冷卻水失效時,也會導致緊急冷卻系統失效。
G.2.5 場景頻率計算
后果發生頻率為:
fiC= fiI×Pc×PFDBPCS×PFDPSV
=(1×10-1/a)×0.5×(1×10-2)×1×10-1
=5×10-5/a
式中:
fiC——IEi的后果C的發生頻率,單位為 /a;
fiI ——IEi的發生頻率,單位為 /a;
PC ——條件概率;
PFDBPCS ——BPCS報警和人員響應行動的PFD;
PFDPSV ——安全閥的PFD。
G.2.6 風險評估與決策
冷卻水失效,導致反應失控,反應器潛在的超壓、泄漏、斷裂,潛在的受傷和死亡,后果等級為5級。后果發生的頻率為5×10-5 /a。根據后果等級5和頻率5×10-5 /a,查詢表F.2,風險等級為中風險,要求:可選擇性的采取行動。
分析小組決定安裝一個獨立的SIF,當檢測到超壓時,聯鎖打開放空閥。放空閥具有獨立的放空管線,同樣在放空閥下考慮增加氮氣吹掃。該SIF的設置見圖G.4粗線部分。可根據企業具體的風險控制要求,確定該SIF的SIL。在本例中,確定該SIF的FFD為1×10-2 (SIL1)。對于場景,SIF將釋放事件的頻率從5×10-5 /a降低到5×10-7 /a。根據表F.2,對于后果等級5,頻率為5×10-7 /a的事件,風險等級為低風險,不需采取行動。
圖G.4 PVC工藝簡化P&ID圖(增加IPL后)
G.2.7 LOPA記錄表
本案例LOPA記錄表如表G.4所示。
表G.4 LOPA記錄表
公司名稱 |
| 裝置名稱 |
| 時間 |
| ||||||||||||||||||||||
工藝單元 |
| 分析組成員 |
| 圖紙號 |
| ||||||||||||||||||||||
分析節點 | PVC反應器 | ||||||||||||||||||||||||||
序號 | 場景 | 后果 | 初始事件 | 使能必要事件/條件 | 條件修正 | IPL | 其他保護措施 | 后果發生頻率 | 現有風險等級 | 需求的SIL等級或建議的IPL | 減緩后的后果發生頻率 | 減緩后的風險等級 | 備注 | ||||||||||||||
描述 | 等級 | 描述 | 頻率 | 描述 | 概率 | 點火概率 | 人員暴露概率 | 致死概率 | 描述 | IPL類別 | PFD | 描述 | IPL類別 | PFD | |||||||||||||
1 | 冷卻水失效,反應失控,潛在的反應器超壓、泄漏、斷裂、受傷和死亡 | 反應失控,潛在的反應器超壓、泄漏、斷裂、受傷和死亡 | 5 | 冷卻水損失 | 1×10-1 | 冷卻水損失引起反應失控的反應器條件概率 | 0.5 | — | — | — | BPCS回路反應器高溫報警,添加抑制劑 | 報警和人員響應 | 1×10-1 | 1.緊急冷卻系統(蒸氣渦輪機)2.操作人員行動 | 5×10-5 | 高風險 | 反應器增加一個SIF:安裝一個在高壓時打開的放空閥 | SIF | 1×10-2 (SIL1) | 5×10-7 | 低風險 | 1.安全閥作為IPL應滿足以下要求: ——對于每一個安全閥安裝獨立的放空管線。 ——在所有放空閥/安全閥下考慮N2吹掃。 2.其它的操作人員行動不獨立于已經確認的保護層的同一操作人員。 3.緊急冷卻系統不能作為IPL,因為其不獨立于IE,與冷卻水系統有多個公共元件(管線、閥門等)。這些公共元件在引起冷卻水失效時,也會導致緊急冷卻系統失效。 | |||||
安全閥 | 物理保護 | 1×10-2 |
G.3 循環氫加熱爐
G.3.1 工藝描述
加氫裂化裝置循環氫加熱爐簡化P&ID圖見圖G.5。該循環氫加熱爐為立管立式爐,介質流量為6000Nm3/h,爐管的設計壓力為20MPa,對流段設計熱負荷為1139kW,輻射段設計熱負荷為3877kW,用于加熱循環氫。該爐子位于加氫裂化反應器入口,氫氣經過爐子加熱后與精制油、循環油、熱高分來的常規液態烴混合進入加氫裂化反應器。
圖G.5 加氫裂化裝置循環氫加熱爐簡化P&ID圖
G.3.2 場景識別與篩選
采用HAZOP分析辨識工藝中存在的主要危險,通過后果分級表F.3,篩選進行LOPA的場景。表G.5為篩選出的LOPA場景。本例以場景2為例進行分析。場景2為燃料氣總管壓力低造成加熱爐熄火,爐內燃料氣積聚導致遇明火爆炸。后果等級為4級。
表G.7 篩選出的LOPA場景
場景1 | 加熱爐出口氫氣溫度高造成加氫裂化反應器入口溫度過高,引起反應失控,損壞反應器。 |
場景2 | 燃料氣總管壓力低造成加熱爐熄火,爐內燃料氣積聚導致遇明火爆炸。 |
場景3 | 加熱爐進料流量低造成加熱爐爐管干燒而損壞。 |
G.2.3 初始事件確認
本例選定IE為燃料氣總管壓力傳感器故障,人員未及時響應,根據表E.1,其失效頻率為1 × 10-2。
G.2.4 IPL評估
燃料氣總管壓力設有SIF。當PT3108檢測到燃料氣壓力過低時,SIF邏輯控制器輸出信號關閉XCV31404A和XCV3104B,同時切斷去主火嘴的燃料氣和去長明燈的燃料氣,熄滅火嘴和長明燈,防止加熱爐內因熄火出現燃料氣積聚而導致遇明火爆炸。但是,由于該SIF與人員響應得到的報警共用一個傳感器,不獨立于初始事件的發生,所以,該SIF不能作為IPL。
G.2.5 場景頻率計算
后果發生頻率為:
fiC= fiI=1×10-2/a
式中:
fiC——IEi的后果C的發生頻率,單位為 /a;
fiI ——IEi的發生頻率,單位為 /a;
G.2.6 風險評估與決策
燃料氣總管壓力低造成加熱爐熄火,爐內燃料氣積聚導致遇明火爆炸,后果等級為4級。后果發生的頻率為1×10-2 /a。根據后果等級4和頻率1×10-2 /a,查詢表F.2,風險等級為高風險,要求:選擇合適的時機采取行動。
分析小組將燃料氣總管壓力低報警和人員響應系統與燃料氣總管壓力SIF在硬件上獨立。此時,燃料氣總管壓力SIF可作為IPL。可根據企業具體的風險控制要求,確定該SIF的SIL。在本例中,確定該SIF的FFD為1×10-2 (SIL1)。對于場景,SIF將釋放事件的頻率從1×10-2 /a降低到1×10-4 /a。根據表F.2,對于后果等級4,頻率為1×10-4 /a的事件,風險等級為中風險,企業可采用成本效益分析,決定是否需采用額外的措施進一步降低風險。
G.2.7 LOPA記錄表
本案例LOPA記錄表如表G.6所示。
表G.6 LOPA記錄表
公司名稱 |
| 裝置名稱 |
| 時間 |
| |||||||||||||||||||||
工藝單元 |
| 分析組成員 |
| 圖紙號 |
| |||||||||||||||||||||
分析節點 | 循環氫加熱爐 | |||||||||||||||||||||||||
序號 | 場景 | 后果 | 初始事件 | 使能必要事件/條件 | 條件修正 | IPL | 其他保護措施 | 后果發生頻率 | 現有風險等級 | 需求的SIL等級或建議的IPL | 減緩后的后果發生頻率 | 減緩后的風險等級 | 備注 | |||||||||||||
描述 | 等級 | 描述 | 頻率 (/a) | 描述 | 概率 | 點火概率 | 人員暴露概率 | 致死概率 | 描述 | IPL類別 | PFD | 描述 | IPL類別 | PFD | ||||||||||||
1 | 燃料氣總管壓力低造成加熱爐熄火,爐內燃料氣積聚導致遇明火爆炸 | 燃料氣總管壓力低造成加熱爐熄火,爐內燃料氣積聚導致遇明火爆炸,設備損壞 | 4 | 燃料氣總管壓力傳感器故障,人員未及時響應 | 1×10-2 | — | — | — | — | — | — | — | — | 燃料氣總管壓力SIF | 1×10-2 | 高風險 | 將燃料氣總管壓力低報警和人員響應與燃料氣總管壓力SIF在硬件上獨立,此時該SIF可作為IPL | SIF | 1×10-2 (SIL1) | 1×10-4 | 中風險 | 將燃料氣總管壓力低報警和人員響應與燃料氣總管壓力SIF在硬件上獨立 |
參考文獻
- Dowell M.A Layer of protection analysis for determining safety integrity level.ISA Transactions, 1998,37(3):155-165
- CCPS. Layer of Protection Analysis—Simplified Process Risk Assessment. New York: American Institute of Chemical Engineers, Center for Chemical Process Safety, 2001
- CCPS. Guidelines for Safe Automation of Chemical Processes. New York:American Institute of Chemical Engineers, Center for Chemical Process Safety, 1998
- CCPS. Guidelines for Safe and Reliable Instrumented Protective Systems. New York:American Institute of Chemical Engineers, Center for Chemical Process Safety, 2007
- CCPS. Guidelines for hazard evaluation procedures (third edition). New York:American Institute of Chemical Engineers, Center for Chemical Process Safety, 2008
- IEC. Functional safety—Safety instrumented systems for the process industry sector. International Electrotechnical Commission, 2003
- Bridges B.W, Clark T. Key issues with implementing LOPA (layer of protection ananlysis)—perspective from one of the originators of LOPA. 5th Global congress on process safety, 2009
- Dowell M.A. Is it really an independent protection layer. 6th Global congress on process safety, 2010
- Murphy F.W, Bridges W. Initiating events and independent protection layers for LOPA, a new CCPS guideline book. AIChE Spring National Meeting. 2009
- Young G.G, Crowe S.G. Modifying LOPA for improved performance. ASSE professional development conference and exposition, 2006