摘 要:介绍IEC 61508、IEC 61511两个国际标准,分析保护层分析技术,结合工程实例,探讨了LNG工厂的安全保护层分析。
关键词:LNG工厂; 安全仪表系统; 保护层分析
Discussion on Layer of Protection Analysis Technology of LNG Plant
Abstract:Two international standards:IEC 61508 and IEC 61511 are introduced.The laver of protection analysis technology is analyzed.The layer of protection analysis of LNG plant is discussed with an engineering example.
Keywords:LNG plant;safety instrumented system;layer of protection analysis
1 概述
LNG工厂由于物料的易燃易爆特性、产品的低温深冷特性以及低温带来的某些工艺条件的苛刻性决定了其安全的重要性。安全仪表系统(Saletv Instrumented System,简称SIS)是通过仪表和自动化技术实现安全的一种措施,近几年在我国已建的LNG工厂中广泛使用,对LNG工厂的安全生产起到了一定的保证作用。但也应注意到,从业者普遍过分依赖SIS,忽视了其他技术安全相关系统(也称其他技术保护层),造成的结果一是SIS的动作率偏高,导致停车频繁,工厂经济性受到损害;二是装置的安全保护层不完善,过程安全存在一定的隐患。
LNG工厂的安全保护是多重保护,即SIS作为保护层必须和其他保护层结合考虑,IEC 61511《过程工业领域安全仪表系统的功能安全》第3部分附录F推荐了保护层分析(Layer of Proteetion Analysis,简称LOPA)技术,分析每个保护层的安全功能和功能安全十分必要。下面笔者介绍IEC 61508《电气、电子、可编程电子安全相关系统的功能安全》和IEC 61511《过程工业领域安全仪表系统的功能安全》两个标准及保护层分析技术,从工程设计的角度探讨LNG工厂的安全保护。
2 国际标准IEC 61508和IEC 61511介绍
IEC 61508和IEC 61511是过程安全领域里十分重要的国际标准,两标准虽关注的是安全仪表系统,但均认为实现或保持过程工业的安全状态并不只靠安全仪表系统。两标准对“安全功能”的定义是:针对特定的危险事件,为达到或保持过程的安全状态,由安全仪表系统、其他技术安全相关系统或外部风险降低设施实现的功能。这些安全功能在IEC标准中也称为安全保护层。
解读IEC标准可以认为过程工业常用的安全保护层,如工艺过程的固有安全设计、基本过程控制系统和物理保护(如安全阀、爆破片)等是最基本的保护层,只有这些保护层不能将风险降低到可接受的水平时才使用安全仪表系统。因此安全仪表系统作为保护层与其他技术保护层的互相配合,以及每一保护层的功能正确实施,是IEC标准功能安全的核心。
3 保护层分析(LOPA)技术
3.1 LOPA技术概述
①LOPA技术是一种过程危险分析工具,是一种半定量的分析评估技术。它将危险与可操作分析(HAZOP)导出的危险事件定性给出;定量计算每个独立保护层(Independent Protection Layer,IPL)的失效概率以及全部保护层总的“已减轻的事件可能性”以及残余风险;再依据本公司风险目标值,定量评估残余风险值是否可以接受。
②独立保护层(IPL),其实质是能够有效阻止危险事件向不良后果继续发展的一种设备、系统或行动,独立保护层实行的风险降低机制是一层一层不断地将后果的严重程度消弱,直到残余风险可接受。
③独立保护层(IPL)消减后果频率的绩效用PFD进行量化,PFD是要求时的平均失效概率表示,所谓要求时的平均失效概率指的是在响应过程状态或其他请求时(例如人工命令)执行其功能的绩效;SIS作为一种用仪表和自动化技术实现安全的保护层,绩效用安全完整性等级(SIL)表示,其值也是要求时的平均失效概率;独立保护层分析中“事件的可能性”取值是每年的次数,“中间的事件的可能性”表示无SIS保护层时的事故频率与其他保护层的PFD的乘积;“已减轻的事件的可能性”是指事故频率与包括SIS在内的全部保护层的PFD的乘积,PFD与RRF(风险降低因数)互为倒数。
④在某些情况下,只有引发原因并不能导致特定的危险事件,可能还需要其他条件。例如易燃物质释放后遇点火源才能发生火灾事故,易燃物质的释放是引发原因,点火源称为使能条件;发生火灾事故是否导致重大伤亡事故,还应考虑的条件是人员暴露在危险事件区域的概率及造成致命伤害的概率,这两个条件称为伤害条件。
3.2 保护层的风险值计算
①已减轻的事件的可能性
已减轻的事件的可能性计算公式见式(1)。
式中fic——初始事件i造成c后果的频率,也称已减轻的事件的可能,次/a
fiI——初始事件i的初始发生频率,次/a
Pij——初始事件i中第,个阻止后果c的独立保护层(IPL)要求时的失效概率(PFD)
J——初始事件i中阻止后果C的独立保护层的个数
②残余风险
残余风险的计算公式见式(2)。
式中R——残余风险,次/a
n——初始事件的个数
ff——点火概率
fp——一个人在危险区域的概率
fs——火灾中造成致命伤害的概率
3.3 LOPA分析实施步骤
①利用HAZOP分析结果,筛选危险事件。
②确定危险事件的严重性等级。
③辨识危险事件的引发原因和引发可能性。
④列举现有保护层的失效概率。
⑤计算中间的事件可能性。
⑥确定SIS的安全完整性等级(SIL)。
⑦计算已减轻的事件可能性。
⑧计算残余风险并评估是否可接受。
3.4 保护层的设计原则
①独立性。防护功能是针对特定的危险事件设置的,能独立地应对其引发事件的发生和后果,与引发事件的初始原因和其他保护层的失效无关联。例如发生LNG储罐超装事故,其初始原因是进液控制回路失效,则进液控制回路不能作为防止储罐超装的独立保护层。
②功能性。从对危险性事件检测、识别到响应,能快速准确地实现安全功能。例如,制冷剂压缩机的防喘振控制系统,设定连续10s内发生5次喘振,机组将立即停车,从而防止因喘振损坏机组。
③完整性。独立保护层消减后果频率的绩效(PFD)越小,其正确运行或中断事件链的可能性就越大,PFD的取值范围为1×10-4~1×10-1每个保护层的PFD应达到10倍因数的减少。
④可靠性。在规定的条件下和时间内完成规定的功能的可靠度。
⑤可审查性。每个保护层功能的效力或失效率必须是可以审查的,可以用数据定量评估的。
⑥安全许可性。安全许可性是指操作层面要实行安全许可制度,防止未经授权的操作和变更。
4 LNG工厂安全保护层分析
4.1 LNG工厂工艺流程
LNG工厂的工艺流程是原料气增压后进入预处理单元脱除各种杂质,然后液化为LNG,再储存装车。
4.2 LNG工厂安全保护层的设计
4.2.1 LNG工厂安全保护层模型
参照IEC 6151 1第1部分的典型安全保护层模型图,本文给出的模型见图l。
4.2.2安全保护层的功能设计
①固有安全设计
固有安全设计也称本质化安全设计,是利用工艺流程和工艺装置的安全技术措施作保护层。危险事件是因在生产过程中发生能量或危险物质的意外释放,意外释放的原因是能量的约束条件遭到破坏或失效故障,利用工艺流程和工艺装置作安全保护层是最根本的保护层。在这个保护层里应使工艺流程危险陛尽可能小;应使危险物料在生产过程中存量尽可能少;应使施加于危险物料的能量(如压力、温度)尽可能小;流程尽可能简约化,应使人工误操作的可能性尽可能小;应使工艺装置(设备)对工艺参数的变化有一定的适应性。LNG工厂生产工艺是个物理过程,不属危险性化学工艺过程,但是工艺条件有一定的苛刻性。例如气源组成变化较大,净化不彻底易造成冷箱换热器流道堵塞。设计中应提高净化工艺的适应范围使杂质脱除干净。此外,工厂的低温深冷设施如LNG储罐和低温管道在绝热层绝热效果差或受损时容易受热超压,设计中应选择性能良好的保冷材料和先进的保冷工艺。
②基本过程控制系统(BPCS)
BPCS是过程监测控制层,是执行持续监测和控制生产过程的控制系统,可提供三种不同的安全功能:a.连续控制行动,保持过程参数在正常范围内,并努力防止初始事件场景发生;b.自动识别过程偏差,及时提供报警,促使操作人员采取纠正行动,使过程正常化;c.自动跟踪过程,不试图使过程正常化,而是使装置安全停车,使过程处于安全状态。BPCS作为保护层,其检测元件、逻辑控制器和执行元件都必须分别与SIS在物理上独立。
IEC 61511第1部分给出两个限定条件:a.用作保护层的BPCS实现的风险降低因数RRF不大于10;b.如果要求BPCS实现的风险降低因数RRF大于10,BPCS的设计和管理必须遵循IEC两标准,即达到和SIS一样的功能安全水平和进行功能安全管理,且需保证用作风险降低的通道与引发原因通道(被保护通道)相互独立。
③关键点报警及人工干预
在关键点报警后(即高报警,与SIS响应的高高报警不同),通过人工操作使装置运行在设定的正常范围内,或通过人工操作装置仍不能正常响应时也可实现人工安全停车。对操作人员的要求是熟悉管道和仪表流程图,熟悉装置陛能,具备基本的过程操作能力,具备风险控制能力。在关键点报警后实现安全停车,这一操作过程也相对简单。
④SIS保护
SIS是通过安全仪表实现安全功能的一种保护层,它是在BPCS失效且人工干预又失效后,临界状态即将发生时(即高高或低低报警后)立即通过安全仪表功能快速响应,实现紧急停车(ESD系统)。SIS的检测元件、逻辑控制器、执行元件完全独立于BPCS,SIS的设计应遵循IEC两标准及国内相关标准(GB/T 50770—2013《石油化工安全仪表系统设计规范》),硬件设备应经权威性机构认证,工程设计时根据公司风险目标的要求以及现有保护层的风险降低概率,选择SIS的安全完整性等级。
⑤物理保护
物理保护也称为机械保护,如储罐的安全阀、爆破片及溢流阀等,通过机械形式使能量(或危险物质)的包容物不发生物理爆炸事故或事故危害减轻。在对重要的设备设置安全阀时也同时设计人工自动放空阀。
⑥释放后保护
释放后保护是在已发生可燃气体、液体泄漏后的保护系统。主要是设置火灾和气体安全系统(FGS)检测泄漏或火灾事故,实现报警并启动自动消防系统;设计拦蓄区使事故局限化;设计建筑物泄压,减轻爆炸破坏力;按规范留足建筑物之间或设备之间的防火间距,防止相互引燃事故;设计火炬,减少事故对环境的危害;选择防爆电器、设计防雷、防静电接地,防止电气火花引燃爆炸性混合气体等。
⑦紧急响应
本层是指较严重的事故发生后,通过启动应急抢险预案,如报警、组织抢险、组织厂区和社区人员疏散。因本层涉及到人为因素及不确定因素,难以准确地评估其功能绩效和给出失效概率,所以本层不作为独立的保护层。我国已经发生了多起石油、化工、燃气泄漏事故,有的事故从发现泄漏到发生爆炸其过程长达几个小时,但由于紧急状态下的处理不当,人员疏散不及时造成了重大的伤亡事故。这些事故案例一方面说明了此层确实不能作为独立的保护层,另一方面也说明了此层的重要性,正确利用紧急响应层,人员伤亡可以避免或伤害程度可以减小。
5 应用实例
5.1 工程概况及事故场景描述
LNG储罐是LNG工厂危害性最大的危险源,以某工厂的LNG储罐为例进行LOPA分析。该储罐容积为5000m3,为单容罐,常压。出液口在储罐底部正下方,出液口内罐处装有一个内置阀,外罐处装有一个根部阀;进液管从罐顶部引出,经绝热层引至储罐侧下方,进液口装有根部阀;储罐装有安全阀,安全阀压力保护设定为一级排放排向火炬,二级排放在罐顶部直接排向大气。危险事件的场景描述是:①因BOG控制回路失效,罐内BOG超压,安全阀动作泄压排放;②出液口因外罐根部阀泄漏,液体流淌到地面;③进液口因根部阀阀体裂纹泄漏。上述三种危险事件释放的易燃物质遇点火源发生火灾。
5.2 LOPA分析计算
①LOPA分析报告
LOPA分析报告见表1。
②残余风险计算
由表1知
ff和fp已在第5列和第9列中考虑,fs取0.5[1],则由式(2)得R=5.1×10-7。
③残余风险评估
本公司风险目标控制值为1×10-6(此值参考英国健康和安全局标准),残余风险计算值5.1×10-7低于风险目标控制值,可以接受。
6 结语
①IEC 61508、IEC 61511两标准虽关注的焦点是安全仪表的功能安全,但是从另一面也揭示了SIS技术保护层与其他技术保护层的关系,合理设计、分配保护层的功能是工程设计的重点。
②功能安全不仅是保护层的设计和搭建,更重要的是在整个生命周期内,建立以功能安全为核心的管理体系,日常的定期维护、测试、评估等是功能安全管理必不可少的内容。
参考文献:
[1]卢卫,王延平.保护层分析方法[J].安全、健康与环境,2006(4):32-34.
本文作者:郭宗华
作者单位:陕西省燃气设计院
您可以选择一种方式赞助本站
支付宝转账赞助
微信转账赞助