本文内容来自:河北生特瑞工程设计有限公司总工程师张雷先生,于“2023第二届环京地区化工(危化)企业自动化、信息化与安全改造应用技术论坛”上发表的报告。经燕化工平台作为此次大会官方合作媒体,享有会议资料独家分享权,如需转载请注明出处,如未经许可或未注明出处,将追究法律责任!
环京第二届大会现场影像化工过程的风险(危害)如火灾、爆炸、毒害等等与化学物质的基本属性及化工过程的基本原理密不可分。安全管理——采用适当的技术来辨识化工过程中的危害,并通过相应的措施控制或消除危害,预防事故发生。危害——对人、财产、环境造成潜在伤害的化学或物理条件。风险——综合危害事件发生的可能性和损坏/伤害的程度,对人、财产、环境损坏/伤害程度的。一种度量。简单说风险是危害事件(事故后果)严重性和可能性的乘积。
从OHSA(事故发生率)、FAR(死亡事故率)的统计数据化工过程的风险并不比其他行为更高。(如开车和乘船,这种主动行为)。
社会更加关注群死群伤的事故,化工过程的诸多事故案例分析中发现,经济的过度发展与安全、环保的投入不足之间的矛盾是大的背景,人员对危害认识不足、处理不当往往是引发或扩大事故的主要原因。
社会和公众对安全的关注程度以及对危害的接受程度发生了根本的转变。
不得不说,安全就是最大的收益。
过度的安全投入迫使企业产品价格缺乏竞争力。
从技术角度看过度的设施使整个系统变得复杂,会引起新的安全问题。
无论如何,在可接受的风险范围内做必要的安全投入是必须的。
1.2 危险化学品分类信息(目录、GB 30000)——重点监管的危险化学品危险化学品——是指具有毒害、腐蚀、爆炸、燃烧、助燃等性质,对人体、设施、环境具有危害的剧毒化学品和其它化学品。危险化学品目录——由国务院安全生产监督管理部门会同国务院工业和信息化、公安、环境保护、卫生、质量监督检验检疫、交通运输、铁路、民用航空、农业主管部门,根据化学品危险特性的鉴别和分类标准确定、公布。《危险化学品目录》所列2828条目危险化学品(其中剧毒品149种)。《化学品分类和标签规范》从理化危险、健康危害、环境危害,定义了28个种类,79个危害类别,对化学品进行了系统的分类。1.3 关注化工过程属性(反应活性、热传递、物质传递、扩散)——重点监管的危险工艺反应被限定在反应容器中,反应过程需要外部的参数调节(温度、压力、催化剂),反应过程可能是非常剧烈的,释放大量的热,并可能产生大量的毒性、腐蚀性、易燃性物质产生。不受控的反应可能致使温度、压力的剧增、超过容器所能承受的范围,导致爆炸。危害是系统自身固有的,风险是潜在存在的,危险场景需要触发条件,还要经过一系列的事件才可能转变为事故。长期的生产、储存、使用、经营危险化学品,且危险化学品的数量等于或超过临界量的单元。过量的危险物质,事故造成的破坏和影响是不可接受的。1.5 关注事故过程的根本特征(火灾、爆炸、有毒物质释放)火灾、爆炸、有毒物质释放是化工过程发生概率最高、损坏/伤害程度最为严重的3种典型事故类型。多数事故都会是由一个引发事故的初始事件开始、经过一个持续发展的过程、最终演变为一场事故。安全风险分析(安全工程)通过鉴别化学品危险特性、化工过程系统风险,分析各种引发事故的初始事件(原因),通过一系列的措施来避免、终止、减缓事故(后果)的发生。从理论上说消除所有的初始事件是不可能的,研究怎样使事故难以发生、难以发展、并能尽快控制才是重要的。化工过程的安全设计方案应基于风险分析的方法。包括过程自身具有的危害特性,分析各种风险因素,风险的接受程度,风险的降低和控制要求等。本质安全不是绝对安全(0风险),可以理解为本质属性上更偏向安全。本质安全的设计理念适用于化工过程的全生命周期,包括设计、施工、运行、维护、报废等。本质安全设计关注于减少危害以减低风险。倾向于一劳永逸的减少危害而不是增加保护层。2.1 工艺过程危害分析(PHA)——危害辨识
危害总是无处不在的,对每一个化工过程都要关注以下几个问题:
1)介质危害是什么?(可燃、易燃、爆炸、毒害、腐蚀…)
2)化工过程的危害是什么?(高温、低温、高压、负压、粉尘…)
3)化工过程所处的环境是什么?(地域、周边、地震、风、洪灾…)
4)可能发生的危害事件是什么?(火灾、爆炸…)
5)危害事件发生的概率有多高?
6)危害事件的损坏/伤害程度有多大?
7)如何避免、预防、控制危害事件?其中1)、2)可以总结为危害辨识、其余可以总结为风险分析。
风险分析包括初始事件辨识和后果分析,初始事件辨识目的是分析事故如何开始发生的,并分析其可能性,后果分析需要估计破坏程度,包括人员死亡、环境危害和财产损失等。8)人为因素可靠性分析(HRA)这些方法用不同的方式引导分析人员,经过从原因到后果,从定性到定量的层层分析,识别可能的风险,并探索降低风险的种种可能。2.3 工艺过程危害分析(PHA)——HAZOP(危险与可操作性)分析如何预防火灾、爆炸和有毒物质泄漏引起的严重后果?如何保障系统持续的安全运行?是必须要危险和可操作性分析(HAZOP分析)是识别系统在非正常情况可能导致的安全问题、潜在风险和可操作性问题以及安全措施是否充分并提出建议措施。危险和可操作性分析(HAZOP分析)是弥补技术不足,从技术层面消除系统缺陷,避免灾难性后果的重要工具。HAZOP分析通过分析小组的讨论、评估和认识系统危害的产生原因,针对性的采取防范措施。HAZOP分析需要系统地、严格地执行分析程序的每个步骤,准确并清晰的记录分析结果,为系统的安全管理提供安全、系统、准确的信息。2.4 引导词与参数表(偏差)
2.5 风险矩阵表
2.6 风险接受程度(GB 36894-2018)个人风险——人员长期处于某一场所且无保护,由于事故而导致的死亡频率(次/年)。社会风险——群体在危险区域承受某种程度伤害的频发程度,通常表示为≧N人死亡的事故累计频率(F),以累计频率和死亡人数之间的关系曲线图表示(F-N曲线)。防护目标——事故影响,场外可能发生人员伤亡的设施或场所。
2.7 安全保护措施(纠偏)及融入保护层分析的概念在HAZOP分析的风险评估中,经常遇到的问题是要设置什么样的安全措施才能将事故情景的风险降低到可以接受的水平?如果现有的安全措施失效了事故风险是否仍可接受?是否还需增加其它的保护措施?这些问题一般都是凭分析小组的经验主观推断的结果,缺乏客观性。在HAZOP分析过程中,通过引入保护层的概念,将定性分析提升至半定量分析,可以较为客观的衡量安全措施和建议项的有效性,对事故情景的理解会更加深入、也更贴近实际情况。融入保护层分析后,应该识别事故情景中所有的独立保护层,了解每一个独立保护层的作用。评估是否还需要增加新的保护层来降低风险,如果需要,还需要增加多少独立保护层才能将风险降低到可接受水平。2.8 关注事故从原因到后果的过程(瑞士奶酪模型)典型的事故序列中从初始原因到事故后果的发展过程可以通过 “瑞士奶酪模型”形象的说明。过程危害分析(PHA)中,识别出危害后,需要对相关事故情景的风险程度进行评估,从而决定是否需要增加更多的安全措施以降低风险。在此过程中,需要参考风险标准。每家企业可以参考行业的的良好经验,建立本企业的风险标准,作为过程危害分析风险评估的判断依据。对于特定的场景保护层分析(LOPA)提供了一致的基础,评估(判断)是否有足够的独立保护层防止(控制)事件的风险。这些基于原因-后果对的场景,通常是通过PHA的方法筛选出来的。场景是导致不良后果的一系列事件,在初始原因和后果之间,如果有一个保护措施起效,他将会中断事件链条,阻止不良后果的发生。这些保护措施在“洋葱模型”中被划分在不同的保护层中。事件树(ETA)从一个初始事件开始,用树状结构分析事件向最终结果的演变过程,提供了失效的发生过程以及发生概率的信息。故障树(FTA)从可能发生的后果(顶上事件)开始,向下追溯各种可能引发后果的情景。无论是“奶酪模型”、“洋葱模型”还是“事件树”、“故障树”,其初始原因及后果之间都存在有若干“中间事件”。初始原因能发展到最终的后果,一个重要的假设是这些“中间事件”的失效。保护层分析(LOPA)是一种简化的风险评估方法,通常使用初始事件频率、后果严重程度和独立保护层(IPLs)失效频率的数量级大小来近似的表征场景的风险。LOPA是建立在定性危险评估信息(如HAZOP分析)上的一个分析工具。如同许多其他风险分析方法,LOPA的主要目的是确定是否有足够的保护层以防止意外事故的发生。对于特定的场景,LOPA提供了一致的基础,判断是否有足够的独立保护层来控制事故风险。如果场景的风险不可接受,则需要增加额外的独立保护层。安全仪表(SIS)是系统保护层中的重要一层,是具有特种安全完整性(SIL)的安全仪表功能(SIF)的集合体,用于处理对特定的危险事件,达到或保持新系统的安全状态。安全仪表功能(SIF)物理上由传感器、逻辑控制器、最终执行元件构成。基于在安全生命周期和功能安全管理方面的要求,SIS设计过程在安全仪表系统中占有占有重要的位置。
安全生命周期是安全系统中的重要概念,建立一个安全生命周期模型,阐述各阶段需进行的活动及其要求,是功能安全标准的共同特征。IEC61511规定了各个节点的功能安全管理要求,需要重点关注的以下几个关键节点:功能安全管理涉及安全生命周期各阶段的活动,广义地应包括组织和人员的责任、危险和风险分析管理、制定计划、人员的能力、人员的培训、文档管理等方面。3.4 过程控制系统(BPCS)、安全控制报警联锁(SCAI)、与安全仪表系统(SIS)过程控制系统(BPCS)必须有足够的灵活性,运行操作中频繁的干预。过程参数(例如:设定值、PID参数、手动和自动之间的切换等)需要在正常操作过程中不时更改,也可以根据不同的操作阶段将部分置于旁路,工艺过程改由手动控制。安全仪表系统(SIS)正好相反,他们是休眠的或被动的,很长时间内什么也不做。任何系统在正常环境下不动作,就没有充分的把握保证需要它动作时能正常启动。想知道平时休眠或静止的系统是否正常,唯一的方法就是测试。或者人为测试系统,或者系统有自我测试能力。3.5 安全保护层(SPL)与独立保护层(IPL)工艺和设备设计时,根据生产流程物料的物理和化学性质,采用合适的结构形式、材质、厚度等等。对储存或加工危险物质的容器或设备,采取减少储存量或加大防护距离等等的措施。这种从工艺设计本身消除风险的措施,被称为本质安全(或固有安全)。本质安全设计是不足以满足整体风险降低要求的,还必须采取其他的防护措施,比如高压反应釜的安全阀,在设备超压危险发生时将其转危为安,这种防护措施称为主动性保护。在有些场合,会设置围堰、防护堤等,这种措施并没有阻止危险事件的发生,只是在泄漏发生时,使其限制在一定范围内,这种措施称为被动型保护。必要的风险降低措施,或者是防止危险事件的发生,或者是减轻其后果的严重程度。分析这些风险降低机制可以发现他们处于不同的层次,发挥作用的时间点也互不相同。为了便于分析,将各个层面的风险降低机制称为保护层。安全保护层,也被称为独立保护层(Independent Protection Layer),其最重要的基本特征之一,是层与层之间的相互独立。只有保持其独立性,才能准确评价其有效性。所有的独立保护层(IPL)都是安全防护措施,但不是所有的安全防护措施都是独立保护层。3.6 过程风险、残余风险、可接受风险、风险降低要求过程风险指的是在没有设置安全防护措施的前提下,因工艺系统中存在的危害源和危害事件,基本过程控制系统以及相关人为因素等导致风险,是系统自身一种特性。(可以近似理解为初始事件的发生频率)残余风险是在采用了全部风险降低措施后,理论的风险水平。可接受风险(过程安全的目标水平)是依据国家法律、法规、行业标准规范、企业标准等因素确定。ALARP原则是确定可接受风险的常用原则。风险降低要求是为满足过程风险目标水平所必须的最小要求。它由各个保护层共同完成。一般优先在非SIS的其它保护层中增加防护或抑制风险措施来实现风险降低要求。3.7 安全仪表功能(SIF)与安全仪表系统(SIS)IEC 61511提出安全仪表功能(SIF)定义为:由SIS执行的,具有特定安全完整性等级(SafetyIntegrity Level,SIL)的安全功能,用于将特定的危险事件,达到或保持过程的安全状态。IEC 61511中将SIS定义为:用于执行一个或多个安全仪表功能(Safety Instrumented Function,SIF)的仪表系统。IEC 61511进一步规定SIS可以包括、也可以不包括软件。另外,当操作人员的操作动作被视为SIS的有机组成部分时,必须对人员操作动作的有效性和可靠性做出明确规定。SIS是由传感器(Sensor)、逻辑控制器(Logic Solver)、最终执行元件(Final ControlElement)组成的系统,用于预定的条件或状态出现背离时,将过程置于安全状态。SIF要求是在过程风险分析和保护层分析中辨识出来的,并根据必要的风险降低要求,确定其SIL要求。将功能安全定义为:与EUC和EUC控制系统有关的、整体安全的一部分,取决于电气、电子、可编程电子安全相关系统,其他技术安全相关系统和外部风险降低措施机制的正确执行IEC 61511将功能安全定义为:与工艺过程和BPCS有关的、整体安全的一部分,取决于SIS和其他保护层机能的正确执行。SIS执行安全功能时的绩效或可能达到的功能安全水平,采用安全完整性(Safety Integrity)来表征,安全完整性定义为:在规定的状态和时间周期内,SIS圆满完成所要求的安全功能的概率。将安全仪表功能的操作模式分为:要求操作模式(Demand Mode of Operation)和连续操作模式(Continuous Mode of Operation),分别用要求时的失效概率和危险失效频率表示SIL等级。
场景是导致不良后果的意外事件或一系列事件。每个场景至少包括两个要素:2)该事件持续发展没有被阻止,所导致的后果(系统超压,有毒、易燃物质泄漏,伤亡等)。除了初始事件和后果,一个场景还可能包括:如果使用人员死亡,商业或环境损坏作为后果,则场景还可能包括下列部分或全部因素,或条件修正因子:初始事件一般分为三个类型:外部事件(地震、洪水、相邻工厂的重大事故、恶意破坏、恐怖袭击等)、设备故障(腐蚀、震动、磨损等机械性失效,控制系统的元件、软件失效)、人为失效(操作失误、维护失误、关键响应错误等)。“根原因”被定义为“事故发生的根本系统(最基础)原因”,初始事件是各种“根原因”的结果。初始事件的根原因并不都是一样的,在确定初始事件时不应纠结于其根原因,不过根原因有助于确定初始事件的发生频率。失效数据有时用要求时的失效概率(PFD)表示,在这种情况下,需要将这些数据转化为初始事件频率。这需要系统执行任务的年次数(或次数/104h) ,可简单的将系统每年执行的次数与失效概率相乘。(低要求模式与高要求模式的结果与实际相差很远)一个典型的化工过程包含各种独立的或非独立的保护层。独立保护层是能够阻止场景向不良后果继续发展的一种设备、系统或行动,并且独立于初始事件或场景中其他保护层的行动。其有效性和独立性。必须具有可审查性。区分独立保护层和防护措施非常重要,防护措施可以是中断初始事件发生后的事件链的任何设备、系统或动作。但是,由于一些防护措施的有效性、独立性或其他因素缺乏数据,具有不确定性,因此这些防护措施的有效性难以得到确定。独立保护层要求时的失效概率PFD 为系统要求独立保护层起作用时该独立保护层不能完成所要求的任务的概率。任务失败可能由下列情况引起:1)当初始事件发生时,独立保护层构成元件失效或存在不安全的状态;2)或者在执行其任务期间,独立保护层构成元件失效;场景频率的计算分为低要求模式后果频率计算和高要求模式后果频率计算。多数的化工过程都处于低要求模式(fiI,初始事件频率,低于第一个IPL测试频率的两倍)单一场景的后果频率为初始事件的发生频率乘以所有独立保护层要求时危险失效概率,场景后果的频率可能需要使用下面的两种系数进行修正:1)假如场景的发生需要使能事件或使能条件时,需要乘以使能事件或使能条件的发生概率;2)假如需要计算危险物质释放后的后续后果发生频率时,需要乘以条件修正因子,常见的条件修正因子如下:根据后果严重性评估与得出的场景频率计算。得出选定场景的后果等级以及后果发生概率,可以与风险矩阵进行比较,或者与数值风险法中的相关事件可接受频率比较,根据比较结果可作出相应决策:1)计算风险小于(等于)场景可接受风险标准,继续下一场景的LOPA过程;2)计算风险大于场景可接受风险标准,LOPA小组成员应建议满足可接受风险标准所需采取的措施,并确定拟采取措施的PFD,以将风险降低到可接受风险标准之下。在LOPA过程中必须首先决定如何定义后果的终点。在化工过程中,LOPA关心的最常见的场景为危险物质或能量的释放,各种机制都可能引起危险物的释放,如容器泄漏、管道破裂以及安全阀的开启。如果释放的物质易燃,点燃后可能会导致爆炸或(和)火灾。如果加压气体或两相物质释放被点燃可能导致喷射火。如果没有被点燃,这些物质进行扩散形成气云,如果延迟点燃就会导致闪火或爆炸。液体泄漏点燃后可能形成池火。如果释放的物质有毒,工人和公众就有可能暴露在有害健康的有毒物质浓度环境中。使能条件是使能事件的另一种称谓,使能条件是指使场景可能发生的某个状态或条件。使能条件既不是一种失效,也不是一个保护层,它并不直接导致事故场景发生,但是它是事故场景转变为损失事件的必要的一种状态或条件。修正因子是在场景风险计算时使用的可能性概率之一,通常在风险可接受标准表现为影响后果(如:人员伤亡)而不是主要损失事件后果(如:容器破裂)时使用。3.15 保护层分析报告(GB 32857-2016)LOPA应完整、准确地记录场景评估过程中获得的信息。记录文件应包括不期望场景后果的事件链,以便其他分析小组或分析师审查LOPA过程中做出的假设,以及当场景不能满足企业可接受风险标准时,应用其他保护层是否可以防止事件发生或降低事故风险。LOPA文档记录可采用多种形式。LOPA方法是一种简化的分析工具,该技术旨在实现与详细的定量分析相一致的结果。然而在某些场景中,仅采用保护层分析方法是不够的。例如:LOPA中采用的保守假设可能导致风险值被评估过高,因此可能导致实施了超过必要数量的独立保护层(IPLs)。另外在初始事件与独立保护层之间若缺乏独立性,则会导致低估风险,并导致实施了少于必要数量的独立保护层。在这种情况下,可适当做更进一步的分析,如:补充定量风险分析QRA故障树分析按照拟推方式来分析导致事故的各事件之间的相互关系。它能够清晰说明造成某种后果之前的一系列事件,还可以根据各事件发生的可能性计算出导致顶事件的频率。它采用逻辑的方法,形象地进行危险的分析工作,特点是直观、明了,思路清晰,逻辑性强,可以做定性分析,也可以做定量分析。事件树分析法是安全系统工程中常用的一种归纳推理分析方法,它是一种按事故发展的时间顺序由初始事件开始推论可能的后果,从而进行危险源辨识的方法。这种方法将系统可能发生的某种事故与导致事故发生的各种原因之间的逻辑关系用一种称为事件树的树形图表示,通过对事件树的定性与定量分析,找出事故发生的主要原因,为确定安全对策提供可靠依据,以达到预防事故发生的目的。
3.19——事故树分析(FTA)
安全仪表系统被认为有两种失效方式:安全失效、危险失效。首先系统可能触发误停车,在工艺过程本身没有任何征兆的情况下,关停工艺装置。在相关标准中描述这一类失效的术语是“安全失效”。安全仪表系统的另一种失效是对系统的真实要求无法做出正确响应。在相关标准中此类失效被定义为“危险失效”。按照“安全失效”和“危险失效”对失效模式分类后,还要进一步划分检测出(Detected)的和未检测出(Undetected)的。检测出的失效指的是通过自动诊断功能将其揭示出来,换句话说,当失效发生时能够被系统自动地检测到。诊断能力的测量尺度是“诊断覆盖率”。安全仪表系统的的不可用性(Unavailability),也称“要求时的失效概率PFD”(Probabilityof Failure on Demand)来表示。这个数字通常比较小,需要采用科学计数法表示,会使一些人觉得没有直观感。“风险降低因数RRF”(Risk Reduction Factor)是表征系统危险失效性能的较好术语,它是“要求时的失效概率PFD”的倒数。失效率(Failure Rate)为单位时间内失效的个数,通常用 表示失效率。浴盆曲线(bath tubcurve)展示了在设备整个生命期内,失效率并不是一成不变的。双重化并不一定好于单系统,三重化也并不一定优于双重化。比如1oo2系统是很安全的(系统危险失效概率很小),但是与简单系统相比,要承受两倍的误关停率,从保持生产过程的可用性角度来看,并不期望如此。2oo2能够很好的防止误停车(即安全失效的概率很小),但比简单系统的安全性要低,从安全的角度这不能令人满意。不论采用何种技术或冗余达到何种程度,安全仪表系统都需要全面的诊断。安全系统固有的“休眠”或“被动”特性,某些失效无法自我显露。任何系统在正常情况下不动作,就没有十足的把握在需要的时候能正常动作。唯一的方法就是测试,必须人为的测试系统,或者必须能自我诊断测试。提高安全仪表系统的诊断能力(即诊断覆盖率)可以有效的改进系统的安全性能。换句话说,可以降低要求时的失效概率(PFD),或者说提高风险降低因数(RRF)。
在SIS的运行过程中,一般可以通过自动诊断、检验测试(Proof Test)、操作员监视、维护巡检等途径检测或发现系统中存在的故障。检测时间间隔(TI)应结合企业的运行管理情况在SIS的设计阶段规定,一般此事件不应超过系统停车检修的周期时间。当SIF最终的系统选型完成后,进行PFDavg计算,对SIF所能达到的SIL进行确认。如果计算表明,该SIF的SIL达不到要求,可供选择的方案包括:安全系统因被用于许多工业领域,其中分出了高要求或连续模式的概念。简单的说这些系统的动作要求会很频繁。例如:汽车的刹车操作。如果安全系统设计合理那么过程要求就不会太频繁(例如:每年一次)。高要求或连续模式的系统一般在化工、石化、医药行业非常少见。衡量安全系统性能水平的安全完整性等级(SIL)起初仅用于低要求模式系统。“要求时失效概率PFD”这一概念,对那些一年内可能有10或者10000个要求需要作出相应的系统来说,并不适用。针对这种情况,采用 “危险失效率DFR”(Dangerous Failure Rate)取代概率来衡量不同的SIL等级。失效率和概率之间数值上相差10000倍,这是简单的基于每年大约有10000小时。每个SIF功能有传感器、逻辑控制器、以及最终执行元件组成,其SIL等级除了应符合PFDavg的数值要求外,其所能达到的最大硬件安全完整性等级,受限于这些子系统(传感器、控制器、最终元件)的可靠性。在IEC 61508中将子系统划分为A型和B型两种。A型子系统是常见的简单仪表设备,如开关、继电器、阀门等。B型子系统包括逻辑控制器、智能变送器等。IEC 61508中针对不同的子系统类型的安全失效分数区别提出了不同的结构约束条件。
“硬件故障裕度HFT”(Hardware Fault Tolerance)用来描述必需的冗余水平。例如硬件故障裕度为1,意味着至少有两个设备,配置成这样的架构,即这两个设备中的任何一个出现危险失效,都不能阻止或妨碍安全动作的执行。因此它是1oo2的配置,而非2oo2。故障裕度为2,则需要1oo3的配置。考虑到有各种各样的现场仪表,有的没有诊断能力,有的具有良好的诊断覆盖率,在某些情况下故障裕度应该加一。另外的情况下故障裕度可以减一。如果现场仪表有详细的数据可以确定SFF的话,可以采用IEC 61508的表中数据。在IEC 61508和IEC 61511中都定义了硬件的结构约束(Architecture Constraints)的要求。结构约束用最小的“硬件故障裕度”或“硬件故障容错(Hardware Fault Tolerance,HFT)”表征,代表了设备或子系统在构成SIF回路时,从硬件结构上对安全完整性等级的限制。
4.10 共因失效
共因失效一般可以定义为单一的诱因或失效,对系统的多个部件或多个部分造成影响。表征此类
问题的一个方法是用“因子”,代表这些失效所占百分比。请注意“因子”模型是纯粹的经验模型,它并不客观存在,仅仅是个模型或者说是对真实情况的估计。
根据故障安全(Fail safe)的设计理念,SIS 多数采用失电联锁设计,即失电时导致停车。安全仪表系统设计成故障安全型,意味着当动力源(电源、气源、信号源等)丧失时,安全系统使工艺过程置于安全状态,即关停设备和停止生产。根据故障安全的原则,通常组态变送器的输出信号在内部电子电路出现失效时置于量程的上限或下限。必须仔细考虑每台传感器的失效模式,例如测量低液位的传感器,可能失效时置于量程下限,对于测量高压力的变送器,则期望失效时置于量程上限。当传感器测量值处于量程的下限或上限附近时,要特别注意潜在的低精度问题。如,设计操作在1000kpa的传感器,也许不能对20kpa和25kpa的差别做出精准的测量。失效率为单位时间内失效的数量,通常以每百万小时的失效量为单位。另外一种描述为以年为单位的平均失效间隔时间MTBF(Mean Time Between Failure),从数值上其为失效率的倒数。如:1.5x10-6的失效率换算为MTBF则为76年(一年按8760小时计)。平均无故障时间(平均无失效时间)MTTF(Mean Time To Failure)与MTBF不同,可以简单的理解MTBF是MTTF与MTTR平均修复时间(Mean Time To Repair)的和。不要将MTBF理解为设备的生命期,比如:一台设备的MTBF是30年,但这台设备并不能一直使用30年。这个数值可以理解为在30台设备中,在一年的时间中有1台出现失效。误停车指的是因为SIS本身的故障,包括硬件故障、软件错误、输入/输出系统及辅助设备、支持系统以及接地故障等,导致系统或设备停车。对于大规模的连续化过程,误停车可能会导致重大的生产损失、环境污染甚至造成设备的损坏等。所以对SIS的误停车率做出要求是必要的。SIS的可靠性要求通常用容许的误停车率(STR)表示,系统的误停车率至少应该大于系统的计划停车检修时间间隔。BPCS的外围设备,如传感器和最终元件,与控制室内设备相比有更多的硬件故障发生。SIS也是如此。现场仪表包括传感器、传感器取压管路、最终控制元件、现场接线,以及连接到控制系统的输入/输出端子的其它设备。这些设备对于安全仪表系统来说是最关键的元件。一般来说,现场仪表的失效通常占系统失效的~90%,而逻辑控制系统~10%。整个系统的组成单元中,最终元件一般具有最高的失效率。因为他是直接接触最严酷工艺流程的机械设备,切断阀正常操作时经常是全开,除非测试,很长时间内是不动作的。此类阀门的危险失效之一 就是卡在开的位置不能关闭。安全控制系统的设计和分析,需要考虑很多不同的因素,如:技术选择、系统结构、失效率和失效模式、诊断要求、供电电压、接口、安保的权限设置,以及检验测试的时间间隔等等。安全仪表系统要求有较高的访问控制,不应该被随意篡改,以满足其安全特性。安全系统需要稳定可靠、有保护措施,并校准的供电电源,应该配置隔离变压器,防止杂波、瞬变、噪音、以及过电压或欠电压等因素的影响。正确的接地对系统正常操作非常重要,基于软件的电子系统接地比电气系统的接地要求更高。对于某些仪表维护和工艺开车来说,旁路可能是必须的。在很多场合,工艺系统开车时需要对检测仪表进行旁路设置,建立工艺操作状态后,再返回到正常的功能状态。4.16 测试周期
必须进行功能性测试,检查安全仪表系统的运行情况,并确保安全完整性等级的目标能够达到。测试必须面向整个系统(即:传感器、逻辑控制器、最终元件),并需要有清晰明确的目标,并遵循书面的工作步骤和程序。
应该对每个SIF制定书面的检验测试布置和规程,确保将自动诊断未能检查出的危险失效都辨识出来。
如何确定人工测试的时间间隔,没有严格的硬性规定。不能简单的说SIL3的系统必须按月度进行测试,SIL1的系统按年度进行测试。
系统的不同部分可以有不同的测试时间间隔。现场仪表,特别是阀门,可能需要比逻辑控制器更频繁的进行测试。在测试中发现的缺陷或问题,都应该以安全的方式及时修复。
4.17 安全要求规格书(T/CIS 71001-2021)一旦确认需要安全仪表系统,并且每个SIF的SIL等级目标已经确定,就要编制安全要求规格书(SRS)。SRS是一个或一组文件,列出SIS完成的所有功能要求,也包括应用软件的要求。过程设计和/或仪表人员负责共同完成要求的SRS编制,规格书要求应足够简单、明确。SRS是SIS设计的基础,因此必要的信息都应该包括在内,形成一套完整的文件。下面的四项是关键的技术文件,应该包括在SRS中:4.18 系统共用
在工程实际中应尽量避免BPCS与SIS 共用现场设备。
SIS的安全确认(Validation)是IEC61511标准的要求,该过程也被称为开车前验收测试(PSAT)。是SIS安全验证的一部分,其目的是通过检验和测试,证明安装完毕并调试了的SIS安全功能达到了安全要求规格书中的要求。
4.21 SIF的结构约束(安全失效分数与硬件故障裕度)在SIS的选型和设计时,既要通过PFD计算确认设计的合理性,也要满足结构约束的要求。结构约束就是对SIF硬件安全完整性的定性要求,是以最小的硬件故障裕度(故障容错)和安全失效分数(SFF)两个参数限制SIS子系统的SIL能力。通常还需要计算SIS的误停车率(STR)或者MTTFspurious。需要注意的是计算误停车率时应仔细甄别S ,因为并不是所有的安全失效都会引起误停车。通常与“故障安全”原则对应的那些失效才可能引起SIF的误停车。4.23 系统能力的要求(系统或软件安全完整性要求)在SIS中系统的(软件的)安全完整性要求是不容忽视的。系统性失效通常与设计、制造流程、操作规程、技术文件、人员操作等等因素有关。软件系统不同于机械结构,对于软件来说,其程序要么正确,要么不正确,其与硬件的安全完整性最突出的不同是,通常不能被量化。SIS应该按照设计要求进行安装,并对相关人员进行充分的培训,熟练掌握系统操作和维护能力。以下几个概念在操作和维护过程中非常重要:1)确认(Validation):通过证据证明交付的安全仪表系统和安全仪表功能,在安装后满足SRS的各项要求。这一步通常在系统安装后进行,有时也将此活动视同为现场验收测试(SAT)。2)验证(Verification):通过分析以及/或者测试,对相关安全生命周期的每个阶段进行的一系列证明活动。针对特定的阶段,依据特定的输入,证明其输出是否满足既定的目标和要求。3)安全功能评估(Safety Functional Assessment):基于证据、通过调查研究,对由一个或者多个保护层取得的功能安全水平进行评判。4)开车前安全审查(PSSR): 有些理解最终的功能安全评估与开车前安全审查是相同的活动。不可避免的,有时需要对工艺过程、控制系统、安全系统、设备,以及工作程序进行修改。安全仪表系统变更应该建立变更管理程序,对变更的提出、文档的编制、审查、落实,直到批准等整个过程进行管理。5.1 工艺风险分析(PHA-HAZOP)阶段事故可能性与危害等级确定分析组长及小组成员的能力和经验对HAZOP分析工作的质量影响很大。分析过程中有较大的主观随意性,容易低估或高估存在的风险。低估和高估的风险都会会后续进展的保护层分析,安全仪表设计产生影响。5.2 场景识别和初始事件的分析不充分,容易遗漏一些重要风险HAZOP分析仅能识别出现在设计描述中的内容,无法分析设计描述中没有出现的行为和操作。尤其是无法识别空间位置关系间的危害。LOPA本身并不是一个危害识别工具,LOPA依赖于识别初始危险事件的方法以及确定事件原因和防护措施所采用的方法。不是所有的LOPA过程中都需要应用使能条件和修正因子。通常说,只有当它们对LOPA的目标有所帮助,并且与使用的风险可接受标准保持一致时才会被使用。使能条件、风险因子与独立保护层都消减风险,具体应用在场景中用概率来描述。区分独立保护层和防护措施非常重要,防护措施可以是中断初始事件发生后的事件链的任何设备、系统或动作。但是,由于一些防护措施的有效性、独立性或其他因素缺乏数据,具有不确定性,因此这些防护措施的有效性难以得到确定。基本过程控制系统(BPCS)是过程正常运行期间的第一层保护。当符合一定的标准时,可以作为独立保护层。当初始事件是基本控制系统的部分部件失效时,其他组成部分还能不能作为独立保护层使用?关键报警和人员干预的某些参数应该被BPCS激活,在满足相应标准时,才可以作为独立保护层?一旦确认需要安全仪表系统,并且每个SIF的SIL等级目标已经确定,就要编制安全要求规格书(SRS)。SRS是SIS设计的基础,因此必要的信息都应该包括在内,形成一套完整的文件。过程设计和/或仪表人员负责共同完成要求的SRS编制,规格书要求应足够简单、明确。SRS编制完成后,应该得到参与SIL定级的所有各方的审查和批准,确保都了解其内容并且意见一致。一旦规格书被批准,不能出现任何与设计初衷的背离内容,除非遵循正式的变更管理程序。验证是SIS系统重要的一部分,其目的是通过检验和测试,证明安装完毕并调试了的SIS安全功能达到了安全要求规格书中的要求。SIS应该按照设计要求进行安装,并对相关人员进行充分的培训,熟练掌握系统操作和维护能力。在系统的安装、测试、或者启动阶段应该避免随意的、未经批准就做出某些方面的变更或修改。所有的变更都需要遵循变更管理程序。
添加小燕子微信领取![]()
免责声明:所载内容来源于互联网,微信公众号等公开渠道,我们对文中观点持中立态度,本文仅供参考、交流。转载的稿件版权归原作者和机构所有,如有侵权,请联系我们删除。
