您现在的位置是:首页 > 标准导则
保护层分析(LOPA)方法应用导则(AQ/13054—2015)
2020-02-11人已围观
目 次
U 言 ........................................
弓 言 ........................................
II
ill
范围 1
规范性弓用文件 1
术语、定义和缩略语 1
LOPA 基本程序
场景识别与筛选
.................................. 3
.................................. 4
初始事件确认 5
独立保护层评估 5
场景频率计算 9
风险评估与决策 10
LOPA 报告 10
LOPA 后续跟踪及审查 11
附录 A (规范性附录) LOPA 基本程序 12
附录B (资料性附录) LOPA 应用时机 13
附录C (资料性附录) HAZOP 信息与 LOPA 信息的关系 14
附录D (资料性附录) BPCS多个回路作为IPL 的评估方法 15
附录E (资料性附录) 失效数据 18
附录F (资料性附录) 风险标准和 ALARP 原则 21
附录G (资料性附录) LOPA 示例 24
参考文献 36
I
AQ/1 3054—2015
前 言
本标准编制依据 GB/Tl.l 2009给出的规则起草。
本标准由国家安全生产监督管理总局提出。
本标准由全国安全生产标准化技术委员会化学品安全分技术委员会(SAC/TC288/SC3)归口。
本标准主要起草单位:中国石油化工股份有限公司青岛安全工程研究院、国家石化项目风险评估技 术中心、中国石化洛阳工程有限公司。
本标准主要起草人:白永忠、韩中枢、党文义、万古军、文科武、张广文、千安峰、王全国、武志峰、
沈郁、赵文芳。
II
AQ/1 3054—2015
1 言
一个典型的化工过程包含各种保护层,如本质安全设计、基本过程控制系统(BPCS)、报警与人员干预、安全仪表功能(SIF)、物理保护(安全阀等)、释放后保护设施、工厂应急响应和社区应急响应等。这些保护层降低了事故发生的频率。在开展化工过程工艺危害分析时,保护层是否足够,能否有效防止事故的发生是分析人员最为关注的一个问题。保护层分析(1ayerofProtectionana1ysis,LOPA)是在定性危害分析的基础上,进一步评估保护层的有效性,并进行风险决策的系统方法,其主要目的是确定是否 有足够的保护层使过程风险满足企业的风险可接受标准。LOPA 是一种半定量的风险评估技术,通常使用初始事件频率、后果严重程度和独立保护层(IPL)失效频率的数量级大小来近似表征场景的风险。
本标准主要对 LOPA 基本程序进行了明确的规范和详细的描述,重点规定了 LOPA 场景与筛选、初始事件确认、独立保护层(IPL)、场景频率计算、风险评估与决策等方面的技术要求。本标准的制定,可为国内化工企业开展 LOPA 提供技术指导,同时可为 LOPA 的规范化和标准化奠定基础。
m
AQ/1 3054—2015
保护层分析(LOPA)方法应用导则
范围
本标准规定了化工企业采用LOPA 方法的技术要求,包括LOPA 基本程序、场景识别与筛选、初始事件确认、独立保护层评估、场景频率技术、风险评估与决策、LOPA 报告和 LOPA 后续跟踪及审查。
本标准适用于化工企业新建、改建、扩建和在役装置(设施)的保护层分析。
规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T2ll09.l 过程工业领域安全仪表系统的功能安全 第l部分:框架、定义、系统、硬件和软
件要求
AQ/T3034 化工企业工艺安全管理实施导则
术语、定义和缩略语
下列术语、定义和缩略语适用于本文件。
术语和定义
3.1.1
场景 scenario
可能导致不期望后果的一种事件或事件序列。每个场景至少包含两个要素:初始事件及其后果。
3.1.2
初始事件 initiatingevent
事故场景的初始原因。
3.1.3
后果 consequence
事件潜在影响的度量,一种事件可能有一种或多种后果。
3.1.4
保护层 protectionIayer
能够阻止场景向不期望后果发展的设备、系统或行动。
3.1.5
独立保护层 independentprotectionIayer
能够阻止场景向不期望后果发展,并且独立于场景的初始事件或其他保护层的设备、系统或行动。
3.1.6
保护层分析 IayerofprotectionanaIysis
通过分析事故场景初始事件、后果和独立保护层,对事故场景风险进行半定量评估的一种系统方法。
l
AQ/1 3054—2015
3.1.7
要求时的失效概率 probabiIityoffaiIureondemand
系统要求独立保护层起作用时,独立保护层发生失效,不能完成一个具体功能的概率。
3.1.8
风险评估 riskassessment
将风险分析的结果和风险可接受标准进行对比,进行风险决策的过程。
3.1.9
安全仪表功能 safetyinstrumentedfunction
为了达到功能安全所必需的具有特定安全完整性水平的安全功能。
3.1.10
安全关键设备 safetycriticaIequipment
可提供独立保护层降低场景风险等级,或将场景的风险由“不可接受风险“转变为“可接受风险“的 工程控制设备。
3.1.11
使能必要事件或条件 enabIingeventorcondition
不直接导致场景的事件或条件,但是对千场景的继续发展,这些事件或条件应存在。
3.1.12
根原因 rootcause
事故发生的根本原因。根原因通常是管理上存在的某种缺陷。
3.1.13
安全仪表系统 safetyinstrumentedsystem
用来实现一个或几个仪表安全功能的仪表系统,可由传感器、逻辑控制器和最终元件的任何组合组成。
3.1.14
防护措施 safeguard
可能中断初始事件后的事件链或减轻后果的任何设备、系统或行动。
3.1.15
“尽可能合理降低“原则 asIowasreasonabIypracticabIe
在当前的技术条件和合理的费用下,对风险的控制要做到在合理可行的原则下“尽可能的低“。
缩略语
本标准使用的缩略语见表l。
表1 本标准使用的缩略语
2
AQ/1 3054—2015
表1 本标准使用的缩略语 (续)
LOPA 基本程序
基本程序
保护层分析(LOPA)是在定性危害分析的基础上,进一步评估保护层的有效性,并进行风险决策的系统方法。其主要目的是确定是否有足够的保护层使风险满足企业的风险标准。
LOPA 基本流程图见附录 A,主要过程包括:
场景识别与筛选;
初始事件(IE)确认;
独立保护层(IPL)评估;
场景频率计算;
风险评估与决策;
后续跟踪与审查。
在使用 LOPA 前,应确定以下分析标准:
后果度量形式及后果分级方法;
后果频率的计算方法;
IE 频率的确定方法;
IPL 要求时的失效概率(PFD)的确定方法;
风险度量形式和风险可接受标准;
分析结果与建议的审查及后续跟踪。
应用时机
在过程危害分析中出现以下情形时,可使用 LOPA:
事故场景后果严重,需要确定后果的发生频率;
确定事故场景的风险等级及事故场景中各种保护层降低的风险水平;
确定安全仪表功能(SIF)的安全完整性等级(SIL);
确定过程中的安全关键设备或安全关键活动;
其他适用 LOPA 的情形等。
LOPA 应用时机参见附录 B。当尤法确定事故场景的风险时,可采用定量方法进行定量风险评价。
LOPA 的应用有以下局限性:
LOPA 不是识别危险场景的工具,LOPA 的正确执行取决于定性危险评价方法所得出的危险场景的准确性,包括初始事件和相关的安全措施是否正确和全面。
3
AQ/1 3054—2015
当使用 LOPA 时,只有满足如下条件才能进行场景风险的对比:
l) 选择失效数据的方法相同;
2) 采用相同的风险标准。
LOPA 是一种简化的方法,其计算结果并不是场景风险的精确值。
小组组成
LOPA 由一个小组完成。LOPA 小组成员可包括但不限千以下人员:
组长;
记录员;
设计人员;
操作人员;
工艺人员;
设备工程师;
仪表工程师;
安全工程师。
根据需要,可要求以下人员参加 LOPA:
工艺包供应商;
成套工艺设备供应商;
公用工程工程师;
电气工程师;
其他专业工程师。
如果 LOPA 是基千 HAZOP 分析的结果,LOPA 小组人员组成宜包括 HAZOP 分析小组成员。
场景识别与筛选
场景基本要求
场景应满足以下基本要求:
每个场景应有唯一的IE 及其对应的单一后果;
当同一IE 导致不同的后果时,或多种IE 导致同一后果时,应假设多个场景;
当场景中存在使能必要事件或条件,应将其包含在场景中。
场景识别与信息来源
场景信息来源千危险分析的结果,包括:
采用 HAZOP 分析方法进行危害分析的结果;
采用 AQIT3034中的工艺危害分析方法进行危害分析的结果;
事故分析结果;
工艺变更分析;
安全仪表功能审查结果;
其他危害分析结果等。
当利用 HAZOP 分析结果进行 LOPA 时,两者之间的信息对应关系参见附录 C。
当利用已有的定性危害分析结果进行 LOPA 时,宜对定性危害分析的结果进行审查,确保识别
出所有的危害后果及导致后果的所有原因。
4
AQ/1 3054—2015
场景筛选
宜采用定性或定量的方法对场景后果的严重性进行评估,并根据后果严重性评估结果对场景进行筛选。
典型的后果种类包括人员伤害、财产损失、环境和声誉影响等。
初始事件确认
IE 一般包括外部事件、设备故障和人员失误,具体分类见表2。
表2 IE 类型
在确定IE 时,应遵循以下原则:
宜对后果的原因进行审查,确保该原因为后果的有效IE;
应将每个原因细分为具体的失效事件,如“冷却失效”可细分为冷却剂泵故障、电力故障或控制回路失效;
人员失误的根原因(如培训不完善)、设备的不完善测试和维护等不宜作为IE。
独立保护层评估
IPL 确定原则
化工企业保护层作为IPL 时,应满足以下基本要求:
独立性:
独立于IE 的发生及其后果;
2) 独立于同一场景中的其他IPL。
有效性:
能检测到响应的条件;
在有效的时间内,能及时响应;
在可用的时间内,有足够的能力采取所要求的行动;
满足所选择的PFD 的要求。
安全性。应使用管理控制或技术手段减少非故意的或未授权的变动。
5
AQ/1 3054—2015
变更管理。设备、操作程序、原料、过程条件等任何改动应执行变更管理程序,以满足变更后保护层的IPL 要求。
可审查性。应有可用的信息、文档和程序可查,以说明保护层的设计、检查、维护、测试和运行
活动能够使保护层达到IPL 的要求。
化工企业典型保护层及作为IPL 的要求
化工企业典型保护层及作为IPL 的要求见表3。
表3 化工企业典型保护层及作为IPL 的要求
6
AQ/1 3054—2015
表3 化工企业典型保护层及作为IPL 的要求 (续)
7
AQ/1 3054—2015
表3 化工企业典型保护层及作为IPL 的要求 (续)
不作为IPL 的防护措施
通常不作为IPL 的防护措施见表4。
表4 通常不作为IPL 的防护措施
8
AQ/1 3054—2015
表4 通常不作为IPL 的防护措施 (续)
场景频率计算
风险和频率的定量计算
场景的发生频率计算如下:
J
fC =fI X IlPFDi
i i J
J=l
=fI XPFDil XPFDi2 X . XPFDi
..........(l )
i J
式中:
i
f C 初始事件i的后果C的发生频率,单位为/a;
i
fI 初始事件i的发生频率,单位为/a;
PFDiJ 初始事件i中第J 个阻止后果C发生的IPL 的PFD。
在计算场景频率时,可根据需要对场景频率进行修正。
存在使能事件或条件时:
J
fC =fI XfE X IlPFDi
..........(2 )
式中:
i i i
J
J=l
i
f E 使能事件或条件发生概率。
采用点火概率、人员暴露和具体伤害的概率对不同后果场景频率进行修正。
l) 火灾发生的频率:
J
ffire =fI X (Il PFDi )XPi
..........(3 )
式中:
Pig 点火概率。
i i J g J = l
人员暴露千火灾中的频率:
J
ffire—exP =fI X (Il PFDi )XPi XPex (4 )
i
式中:
Pex 人员暴露概率。
i J g
J=l
火灾引起人员受伤的频率:
J
ffire—injury =fI X (Il PFDi )XPi XPex XPd
i i J g J = l
..........(5 )
9
AQ/1 3054—2015
式中:
Pd 人员受伤或死亡概率。
对千毒性影响,人员伤害的频率方程与火灾伤害方程相似,毒性影响不需要点火概率,式(5)变为:
J
ftoxic = fI X (IlPFDi )XPex XPd (6 )
i i
初始事件发生频率和IPL 的PFD
J
J = l
初始事件发生频率和IPL 的PFD 数据可采用:
行业统计数据;
企业历史统计数据;
基千失效模式、影响和诊断分析(FMEDA)及故障树分析(FTA)等的数据;
其他可用数据等。
选择失效数据时,应满足以下要求:
在整个分析过程中,使用的所有失效数据的选用原则应一致;
选择的失效率数据应具有行业代表性或能代表操作条件;
使用企业历史统计数据时,只有该历史数据充足并具有统计意义时才能使用;
使用普通的行业数据时,可根据企业的具体条件对数据进行修正;
可对失效频率数据取整至最近的整数数量级。
在确定IE 发生频率和典型IPL 的PFD 时,应考虑实际的运行环境对发生频率或PFD 的影响:
当系统或操作不连续(装载/卸载、间歇工艺等)时,应根据其实际的运行时间对失效频率数据进行修正;
在确定安全阀、阻火器或隔爆器等设备的PFD 时,应考虑其实际运行环境中可能出现的污染、
堵塞、腐蚀、不恰当维护等因素对PFD 进行修正;
典型IE 发生频率和典型IPL 的PFD 参见附录 E。
风险评估与决策
对事故场景风险,可根据场景频率计算结果和后果等级,使用定量数值风险标准、风险矩阵等形式
进行风险等级评估,定量数值风险标准和风险矩阵示例参见附录F。
根据事故场景风险等级进行风险决策,风险决策宜采取 ALARP 原则,将事故场景风险降低到可接受风险水平,ALARP 和可接受风险水平概念参见附录F。
LOPA 报告
LOPA 分析结束时,应生成 LOPA 记录表和报告。LOPA 分析案例和记录表形式可参见附录G。
LOPA 报告应包括以下内容:
场景的信息来源说明;
企业的风险标准;
IE 发生频率和IPL 的PFD;
场景中IPL 和非IPL 的评估结果;
场景的风险评估结果;
l0
AQ/1 3054—2015
满足风险标准要求采取的行动及后续跟踪;
如果有必要,对需要采取不同技术进行深入研究的问题提出建议;
对分析期间所发现的不确定情况及不确定数据的处理;
分析小组使用的所有图纸、说明书、数据表和危险分析报告等的清单(包括引用的版本号);
参加分析的小组成员名单。
LOPA 报告应经小组成员签字确认。若 LOPA 小组不能达成一致意见,应记录原因。
LOPA 后续跟踪及审查
宜对LOPA 分析结果的执行情况进行后续跟踪,对LOPA 提出的降低风险行动的实施情况进行
落实。
LOPA 的程序和分析结果可接受相关的审查。
ll
AQ/1 3054—2015
附 录 A
(规范性附录)
LOPA 基本程序
LOPA 基本程序如图 A.l所示,包括:
场景识别与筛选。LOPA 通常评估先前危害分析研究中识别的场景。分析人员可采用定性或定量的方法对这些场景后果的严重性进行评估,并根据后果严重性评估结果对场景进行筛选。
初始事件(IE)确认。首先,选择一个事故场景,LOPA 一次只能选择一个场景;然后确定场景
IE。IE 包括外部事件、设备故障和人员行为失效。
独立保护层(IPL)评估。评估现有的防护措施是否满足IPL 的要求是 LOPA 的核心内容。
场景频率计算。将后果、IE 频率和IPL 的PFD 等相关数据进行计算,确定场景风险。
风险评估与决策。根据风险评估结果,确定是否采取相应措施降低风险。然后,重复步骤b)
至步骤e)直到所有的场景分析完毕。
后续跟踪与审查。LOPA 分析完成后,对提出降低风险措施的落实情况应进行跟踪。应对
LOPA 的程序和分析结果进行审查。
图 A.1 LOPA 基本程序
l2
AQ/1 3054—2015
附 录 B
(资料性附录)
LOPA 应用时机
注:事故后果是否严重可根据企业的风险标准确定,以表 F.3为例,通常可认为4级及以上的后果为严重后果。
图 B.1 LOPA 的应用时机
l3
AQ/1 3054—2015
附 录 C
(资料性附录)
HAZOP 信息与 LOPA 信息的关系
图 C.1 HAZOP 信息与 LOPA 信息的关系
l4
AQ/1 3054—2015
附 录 D
(资料性附录)
BPCS多个回路作为IPL 的评估方法
同一BPCS多个功能回路作为IPL 的评估方法
在同一场景中,当同一BPCS具有多个功能回路时,其IPL 的评估可使用方法 A 或方法B。
方法 A 假设一个单独BPCS回路失效,则其他所有共享相同逻辑控制器的 BPCS回路都失效。
对单一的BPCS,只允许有一个IPL,且应独立于IE 或任何使能事件。
方法B假设一个 BPCS回路失效,最有可能是传感器或最终控制元件失效,而 BPCS逻辑控制
器仍能正常运行。BPCS逻辑控制器的PFD 比 BPCS 回路其他部件的 PFD 至少低两个数量级。方法
B允许同一BPCS有一个以上的IPL。如图 D.l 所示,两个 BPCS 回路使用相同的逻辑控制器。假设这两个回路满足作为同一场景下IPL 的其他要求,方法 A 只允许其中一个回路作为IPL,方法 B 允许两个回路都作为同一场景下的IPL。
图 D.1 同一场景下共享同一BPCS逻辑控制器的多条回路
同一场景下,同一BPCS多个功能回路同时作为IPL 的要求
同一场景下,同一BPCS多个功能回路同时作为IPL 时,应满足:
BPCS具有完善的安全访问程序,应确保将 BPCS编程、变更或操作上潜在的人为失误降低到
可接受水平;
BPCS回路中的传感器与最终执行元件在BPCS回路的所有部件中具有最高的失效概率值。
如果传感器或最终执行元件是场景中其他IPL 的公共组件或是IE 的一部分,则多个回路不应作为多个IPL。如图 D.2 所示,BPCS 回路l 和回路2 均使用同一传感器,在这个场景下,则这两个 BPCS回路只能作为一个IPL。同样,如果最终执行元件(或相同报警和操作人员响应)被共享在两个 BPCS回路,那么这两个BPCS回路也只能作为一个IPL。
图 D.2 同一场景下共享传感器的BPCS回路
l5
D.2.3 共享逻辑控制器输入卡或输出卡的额外 BPCS 回路不宜同时作为IPL。如图 D.3 所示,假设满足IPL 的所有其他要求,则回路传感器 A}输入卡l}逻辑控制器}输出卡l}最终执行元件l可确定为IPL。如果第二个控制回路的路径为传感器 D} 输入卡2} 逻辑控制器} 输出卡2} 最终执行元件4,那么此回路也可确定为IPL。但是,如果第二个回路的路径为传感器 D} 输入卡2} 逻辑控制器}输出卡l}最终执行元件2,那么此回路不能作为IPL,因为输出卡l共享在两个回路中。
AQ/1 3054—2015
注:l�4是最终执行元件。
图 D.3 相同场景下共享输入/输出卡的影响
如果IE 不涉及BPCS逻辑控制器失效,每一个回路均满足IPL 的所有要求,在同一场景下,作为IPL 的BPCS回路不应超过2个。如图 D.4所示,如果所有4个回路各自满足相同场景下IPL 的要求,在使用方法B 时,最多只有两个回路被作为IPL。
图 D.4 相同场景下BPCS功能回路作为IPL 的最大数量
所有BPCS回路IPL 总的PFD,不宜低千lXl0—2。
最终执行元件可以是机械动作(如关闭阀门、启动泵)或一种是机械动作,另一种是要求人员采取行动的报警。在同一场景中,不宜将两个人员响应同时作为IPL,除非证明它们完全独立并且满足人员行动作为IPL 的所有要求。
IE 或使能事件涉及 BPCS回路失效时,在同一场景中,宜只将l个 BPCS回路作为IPL。如果人员失效是IE,不宜将启动人员行动的BPCS报警视为IPL。
同一场景下,同一BPCS多个功能回路同时作为IPL 的数据和人员要求
对数据与数据分析的要求如下:
方法B假设 BPCS 逻辑控制器的 PFD 比 BPCS 回路其他部件的 PFD 至少低两个数量级,应
具有支持这个假设的数据,并对数据进行分析。这些数据包括:
l) BPCS逻辑控制器、输入/输出卡、传感器、最终执行元件、人员响应等历史性能数据;
系统制造商提供的数据;
检查、维护和功能性测试数据;
l6 仪表图、管道和仪表流程图(P&ID)、回路图、标准规范等资料;
访问BPCS,进行程序更改、旁路报警等安全访问BPCS的信息。
对这些数据的分析应包括:
计算设备或系统BPCS回路组件的有效失效率;
各种组件,特别是BPCS逻辑控制器PFD 数据的比较;
逻辑输入/输出卡及相关回路的独立性评估;
安全访问控制充分性评估;
使用多重BPCS回路作为同一场景下的多个IPL 的合适性评估。
对分析人员的要求如下:
分析人员应能够:
判断是否有足够和完整的数据,这些数据是否能满足足够精度的计算;
了解仪表的设计和BPCS系统是否满足独立性要求;
理解建议的IPL 对工艺或系统的影响。
分析小组或人员应具有相关专业知识,例如:
对BPCS逻辑控制器具有足够低的PFD 的独立第三方认证;
对历史性能数据和维修记录的分析,建立设计标准使多个BPCS回路满足IPL 的要求;
设计并执行多个BPCS回路系统使之满足独立性与可靠性要求等。
C) 如果分析小组或人员不能满足以上要求,那么在判断 BPCS 回路作为IPL 时,宜使用方法 A
进行分析。
附 录 E
(资料性附录)
失效数据
表 E.1 IE 典型频率值
单位为每年
表 E.2 某公司采用的IE 典型频率值
单位为每年
表 E.2 某公司采用的IE 典型频率值 (续)
单位为每年
表 E.3 化工行业典型IPL 的PFD
附 录 F
(资料性附录)
风险标准和 ALARP 原则
风险标准
表 F.1 数值风险标准(厂外个体风险)
单位为每年
表 F.2 风险评估矩阵
表 F.3 后果定性分级方法
ALARP 原则
ALARP 原则
ALARP 原则(图 F.1)指在当前的技术条件和合理的费用下,对风险的控制要做到在合理可行的
原则下“尽可能的低"。按照 ALARP 原则,风险区域可分为:
不可接受的风险区域。在本标准 F.2中指高风险和很高风险区域。在这个区域,除非特殊情
况,风险是不可接受的。
允许的风险区域。在本标准 F.2中指中风险区域。在这个区域内必须满足以下条件之一时,
风险才是可允许的:
在当前的技术条件下,进一步降低风险不可行;
降低风险所需的成本远远大于降低风险所获得的收益。
C) 广泛可接受的风险区域。在本标准 F.2中指低风险区域。在这个区域,剩余风险水平是可忽
略的,一般不要求进一步采取措施降低风险。
图 F.1 ALARP 原则
ALARP 原则推荐在合理可行的情况下,把风险降低到“尽可能的低"。如果一个风险位于两种极端情况(高风险及以上不可接受区域和广泛可接受的风险区域)之间,如果使用了 ALARP 原则,则所得到的风险可认为是可允许的风险。
如果风险处于高风险及以上区域,则该风险是不可接受的,应把它降低到可接受风险水平。
在广泛可接受的低风险区域,不需要进一步降低风险,但有必要保持警惕以确保风险维持在这一
水平。
可接受风险水平
根据 ALARP 原则,可接受风险水平指允许的风险区域或广泛可接受的风险区域。
附 录 G
(资料性附录)
LOPA 示例
正已皖缓冲罐溢流
工艺描述
简化 P&ID 示例见图 G.1。示例的详细描述可参见Layerof ProtectionAnaLysis SimJLified ProcessRiskAssessment。来自上游工艺单元的正已皖进入正已皖缓冲罐 T-401。正已皖供料管道总是带压。正已皖缓冲罐液位受液位控制回路(LIC-90)控制,LIC-90 检测储罐液位,通过调节液位阀
(LV-90)控制液位。正已皖输往下游工艺使用。LIC 回路包括提醒操作人员的高液位报警(LAH-90)。
储罐总容量为30t,通常盛装一半的容量。储罐位千防火堤内,该防火堤能够容纳45t正已皖。
图 G.1 正已皖缓冲罐溢流
场景识别与筛选
采用前期进行的 HAZOP 分析作为场景信息来源。正已皖缓冲罐 T-401 的 HAZOP 分析结果见表 G.1。根据表F.3筛选进行 LOPA 分析的场景。本例选择分析的场景为正已皖缓冲罐溢流,防火堤发生失效,导致大面积火灾,造成人员的伤亡,后果等级为5级。
表 G.1 正己皖缓冲罐1-401HAZOP 分析
IE 确认
本例选定IE 为BPCS液位控制回路失效,根据表 E.1,其失效频率为1X10—1/a。
IPL 评估
对场景的防护措施开展IPL 评估,包括:
防火堤。一旦发生罐体溢流,合适的防火堤可以包容这些溢流物。如果防火堤失效,将发生大面积扩散,从而发生潜在的火灾、损害和死亡。防火堤满足IPL 所有的要求,包括:
如果按照设计运行,防火堤可有效地包容储罐的溢流;
防火堤独立千任何其他独立保护层和IE;
可以审查防火堤的设计、建造和目前的状况。
对千本例,根据表 E.3,防火堤的PFD 取1 X 10—2。
BPCS报警和人员响应行动。在本例中,人员行动不作为IPL,原因如下:
由千操作人员不总是在现场,在防火堤失效导致重大释放前,不能假设独立千任何报警的操作人员行动能有效地检测和阻止释放。
BPCS液位控制回路失效(IE)导致系统不能产生报警,从而不能提醒操作人员采取行动以阻止缓冲罐进料。因此,BPCS产生的任何报警不能完全独立千 BPCS 系统,不能作为独立保护层。
C) 安全阀。缓冲罐上的安全阀无法防止缓冲罐发生溢流,因此,对千本场景,安全阀不是IPL。
场景频率计算
取点火概率为1,人员暴露概率为0.5,人员伤亡概率为0.5,则后果发生频率为:
f C =fIXPFDdikeXPi XPeX XPd
i i g
式中:
=(1X10—1/a)X(1X10—2)X1X0.5X0.5
=2.5X10—4/a
=2X10—4/a(取整)
i
f C 初始事件i的后果C的发生频率,单位为/a;
i
fI 初始事件i的发生频率,单位为/a;
PFDdike 防火堤的PFD;
Pig 点火概率;
PeX 人员暴露概率;
Pd 人员伤亡概率。
G.1.6 风险评估与决策
缓冲罐 LIC 失效,溢流物未被防火堤包容,溢出物被点燃,造成人员伤亡,后果等级为5 级。事件发生的频率为2X10—4/a。根据后果等级为5 级和频率为2X10—4/a,查询表 F.2,其风险等级为高风险,要求:选择合适的时机采取行动。
分析小组决定安装一个独立的SIF,用千检测和阻止溢流。本SIF 采用独立的液位传感器、逻辑控制器和独立的截断阀,见图 G.2中粗线部分。当检测到高液位时,该SIF 联锁关流量控制阀 LV-90 和远程截断阀。可根据企业具体的风险控制要求,确定该SIF 的SIL。在本例中,确定该 SIF 的 FPD 为 1X10—2(SIL1)。对千场景,SIF 将释放事件的频率从2X10—4/a降低到2X10—6/a。在风险矩阵中,对千后果等级为5 级、频率为2X10—6/a的事件,其风险等级为中风险,要求:可选择性地采取行动。此时,企业可采用成本效益分析,决定是否需采用额外的措施进一步降低风险。
G.1.7 LOPA 记录表
本案例 LOPA 记录表见表 G.2。
图 G.2 正已皖缓冲罐溢流(增加IPL 后)
表 G.2 LOPA 记录表
,
,
PVC 反应器
工艺描述
图 G.3为氯乙烯单体(VCM)生产聚氯乙烯(PVC)工艺的简化 P&ID 图。示例的详细描述可参见 LayerofProtectionAnaLysis SimJLifiedProcessRiskAssessment。此过程为间歇聚合反应。水、液态 VCM、引发剂和添加剂通过同一喷管注入搅动的夹套反应器内。注入喷管与安全阀(PSV)相连接,抑制剂也可通过同一喷管添加。
注:一些SIFs(如火灾、气体和手动跳车)没有绘制出。
图 G.3 PVC 工艺的简化P&ID 图
场景识别与筛选
根据前期进行的危害分析,通过后果分级表 F.3,筛选进行 LOPA 的场景。表 G.3 为筛选出的 LOPA 场景。本例以场景1为例进行分析。场景1为冷却水失效,导致反应失控,反应器潜在的超压、泄漏、断裂,造成人员受伤和死亡,后果等级为5级。
表 G.3 筛选出的 LOPA 场景
初始事件确认
本例选定IE 为冷却水失效,根据表 E.1,其失效频率为1 X 10—1。冷却水损失引起反应失控的反
应器条件概率为0.5。
IPL 评估
对场景的防护措施开展IPL 评估,包括:
BPCS报警和人员响应行动。冷却水失效时,BPCS 将会产生低流量报警,人员添加抑制剂。
BPCS报警和人员响应可满足IPL 的要求,包括:
BPCS报警和人员响应独立于IE 和其他独立保护层;
仅要求操作人员执行添加抑制剂的行动,任务具有单一性和可操作性;
操作人员有足够的响应时间;
如果操作人员训练有素,身体条件合适,则能够完成报警所触发的操作任务。
对于本例,根据表 E.3,该IPL 的PFD 取1 X 10—1。
安全阀。安全阀可防止反应器发生超压泄漏,但是由于安全阀放空与抑制剂的添加共用同一管道,尤法保证安全阀放空与抑制剂的添加可以同时进行,因此需修改安全阀设计,安全阀安装独立的放空管线。此外,考虑在安全阀下增加氮气吹扫,以最小化管线或阀门进口聚合物沉积或冻结。变更后,如果安全阀安装和维护符合IPL 的要求,可作为IPL。
对于本例,根据表 E.3,变更后该IPL 的PFD 取1 X 10—2。
C) 紧急冷却系统(蒸气涡轮机)。在本例中,紧急冷却系统不能作为IPL,因为其不独立于IE,与冷却水系统有多个公共元件(管线、阀门等)。这些公共元件在引起冷却水失效时,也会导致 紧急冷却系统失效。
场景频率计算
后果发生频率为:
f C =fIXPcXPFDBPCSXPFDPSV
式中:
i i
=(1X10—1/a)X0.5X(1X10—2)X1X10—1
=5X10—5/a
i
f C IEi的后果 C的发生频率,单位为/a;
i
fI IEi的发生频率,单位为/a;
Pc 条件概率;
PFDBPCS BPCS报警和人员响应行动的PFD;
PFDPSV 安全阀的PFD。
风险评估与决策
冷却水失效,导致反应失控,反应器潜在的超压、泄漏、断裂,潜在的受伤和死亡,后果等级为5 级。后果发生的频率为5X10—5/a。根据后果等级为5级和频率为5X10—5/a,查询表F.2,风险等级为中风险,要求:可选择性的采取行动。
分析小组决定安装一个独立的SIF,当检测到超压时,联锁打开放空阀。放空阀具有独立的放空管线,同样在放空阀下考虑增加氮气吹扫。该SIF 的设置见图 G.4粗线部分。可根据企业具体的风险控制要求,确定该SIF 的SIL。在本例中,确定该 SIF 的 FFD 为1X10—2 (SIL1)。对千场景,SIF 将释放事件的频率从5X10—5/a降低到5X10—7/a。根据表 F.2,对千后果等级为5 级、频率为5X10—7/a的事件,风险等级为低风险,不需采取行动。
注:一些SIFs(如火灾、气体和手动跳车)没有绘制出。
图 G.4 PVC 工艺的简化P&ID 图(增加IPL 后)
LOPA 记录表
本案例 LOPA 记录表如表 G.4所示。
表 G.4 LOPA 记录表
公司名称 装置名称 时间
工艺单元 分析组成员 图纸号
分析节点 PVC 反应器
后 果 初始事件
序
场景
号 等 描 频 率 /
使能必要事件/条件
条件修正
人 员 致
点火 死
IPL
描 IPL
其 后 现他 果 有保 发 风护 生 险措 频 等
需求的SIL等级 减缓
或建议的IPL 后的 减缓
后的
后果 备注
率 级 等级
IPL 发生 风险
描述
级 述 a
描 述 概率 暴露
概率 概
述 类 别
FD 施
描述 PFD
类别
P
概率 率 频率
冷却
水失
反应
效, 冷却
失控,
反应 水损
潜在
1.
紧
BP-
急
CS
报 冷
回路 反应
警 却
反应 器增
和 系
器高 1X 加一
人 统
安 全
阀 作 为IPL 应满足 以 下要求:
对千每一个安全阀安装独立的放空管线
在所有 放 空阀 / 安 全阀下考虑N2吹扫
其 他
的操作人
失控,
的反
潜在
应器
的反
失引
冷
起反
却
1X 应 失
温报 10—1
员 (蒸
警,
响 气 高
添加 5X
个
SIF:
安装
1X
10—2 5X
员行动不
独立千已
低 经确认的
1 超压、5 水
应器
10—1
0.5 应
控的 抑制
涡 风
01—5
SIF
一个
风
(SI 10—7
保护层的
泄漏、 损
超压、 反应
断裂、 失
泄漏、 器条
受伤
断裂、 件概
和死
受伤 率
亡
和死
亡
轮 险
剂 在高
机)
压时
2.
打开
操
的放
作
空阀
人
员行动
物
安
理 1X
全
保 10—2
阀
护
L1)
险 同一操作
人员
紧 急冷却系统不能作为IPL,因为其不独立千 IE,与冷却水系统有多个公共元件
(管线、阀
门 等 )。这些公共元件在引起冷却水失 效 时 , 也会导致紧急冷却系统失效
循环氢加热炉
工艺描述
加氢裂化装置循环氢加热炉简化P&ID 图见图 G.5。该循环氢加热炉为立管立式炉,介质流量为
6000Nm3/h,炉 管的设计压力为 20 MPa,对 流段设计热负荷为 1139kW,辐 射段设计热负荷为
3877kW,用千加热循环氢。该炉子位千加氢裂化反应器入口,氢气经过炉子加热后与精制油、循环油、
热高分来的常规液态轻混合进入加氢裂化反应器。
图 G.5 加氢裂化装置循环氢加热炉简化P&ID 图
场景识别与筛选
采用 HAZOP 分析辨识工艺中存在的主要危险,通过后果分级表 F.3,筛选进行 LOPA 的场景。表 G.5为筛选出的 LOPA 场景。本例以场景2为例进行分析。场景2 为燃料气总管压力低造成加热炉熄火,炉内燃料气积聚导致遇明火爆炸。后果等级为4级。
表 G.5 筛选出的 LOPA 场景
初始事件确认
本例选定IE 为燃料气总管压力传感器故障,人员未及时响应,根据表E.1,其失效频率为1X10—2。
IPL 评估
燃料气总管压力设有SIF。当 PT3108 检测到燃料气压力过低时,SIF 逻辑控制器输出信号关闭 XCV31404A 和 XCV3104B,同时切断去主火嘴的燃料气和去长明灯的燃料气,熄灭火嘴和长明灯,防止加热炉内因熄火出现燃料气积聚而导致遇明火爆炸。但是,由千该SIF 与人员响应得到的报警共用一个传感器,不独立千初始事件的发生,所以,该SIF 不能作为IPL。
场景频率计算
后果发生频率为:
f C=fI=1X10—2/a
i i
式中:
i
f C IEi的后果 C的发生频率,单位为/a;
i
fI IEi的发生频率,单位为/a。
风险评估与决策
燃料气总管压力低造成加热炉熄火,炉内燃料气积聚导致遇明火爆炸,后果等级为4级。后果发生的频率为1X10—2/a。根据后果等级为4和频率为1X10—2/a,查询表F.2,风险等级为高风险,要求:选择合适的时机采取行动。
分析小组将燃料气总管压力低报警和人员响应系统与燃料气总管压力SIF 在硬件上独立。此时,燃料气总管压力SIF 可作为IPL。可根据企业具体的风险控制要求,确定该SIF 的SIL。在本例中,确定该SIF的FFD 为1X10—2(SIL1)。对千场景,SIF 将释放事件的频率从1X10—2/a降低到1X10—4/a。根据表F.2,对千后果等级为4级、频率为1X10—4/a的事件,风险等级为中风险,企业可采用成本效益分析,决定是否需采用额外的措施进一步降低风险。
LOPA 记录表
本案例 LOPA 记录表如表 G.6所示。
表 G.6 LOPA 记录表
参 考 文 献
DowellM.A LayerofproteCtionanalysisfordeterminingsafetyintegritylevel.ISA Trans- aCtions,1998,37(3).155 165
CCPS. LayerofProteCtionAnalysis SimplifiedProCessRiskAssessment. New York.A- meriCanInstituteofChemiCalEngineers,CenterforChemiCalProCessSafety,2001
CCPS. GuidelinesforSafeAutomationofChemiCalProCesses. New York.AmeriCanInsti- tuteofChemiCalEngineers,CenterforChemiCalProCessSafety,1998
CCPS. GuidelinesforSafeandReliableInstrumentedProteCtiveSystems. New York.A- meriCanInstituteofChemiCalEngineers,CenterforChemiCalProCessSafety,2007
CCPS. GuidelinesforhazardevaluationproCedures (thirdedition). New York.AmeriCan InstituteofChemiCalEngineers,CenterforChemiCalProCessSafety,2008
IEC. FunCtionalsafety SafetyinstrumentedsystemsfortheproCessindustryseCtor.In- ternationalEleCtroteChniCalCommission,2003
BridgesB.W,ClarkT.KeyissueswithimplementingLOPA (layerofproteCtionananlys- is) perspeCtivefromoneoftheoriginatorsofLOPA.5th GlobalCongressonproCesssafety,2009
DowellM.A.IsitreallyanindependentproteCtionlayer.6th GlobalCongressonproCess safety,2010
MurphyF.W,BridgesW.InitiatingeventsandindependentproteCtionlayersforLOPA,a new CCPSguidelinebook. AIChESpringNationalMeeting.2009
YoungG.G,CroweS.G. ModifyingLOPAforimprovedperformanCe. ASSEprofessional
developmentConferenCeandexposition,2006
U 言 ........................................
弓 言 ........................................
II
ill
范围 1
规范性弓用文件 1
术语、定义和缩略语 1
LOPA 基本程序
场景识别与筛选
.................................. 3
.................................. 4
初始事件确认 5
独立保护层评估 5
场景频率计算 9
风险评估与决策 10
LOPA 报告 10
LOPA 后续跟踪及审查 11
附录 A (规范性附录) LOPA 基本程序 12
附录B (资料性附录) LOPA 应用时机 13
附录C (资料性附录) HAZOP 信息与 LOPA 信息的关系 14
附录D (资料性附录) BPCS多个回路作为IPL 的评估方法 15
附录E (资料性附录) 失效数据 18
附录F (资料性附录) 风险标准和 ALARP 原则 21
附录G (资料性附录) LOPA 示例 24
参考文献 36
I
AQ/1 3054—2015
前 言
本标准编制依据 GB/Tl.l 2009给出的规则起草。
本标准由国家安全生产监督管理总局提出。
本标准由全国安全生产标准化技术委员会化学品安全分技术委员会(SAC/TC288/SC3)归口。
本标准主要起草单位:中国石油化工股份有限公司青岛安全工程研究院、国家石化项目风险评估技 术中心、中国石化洛阳工程有限公司。
本标准主要起草人:白永忠、韩中枢、党文义、万古军、文科武、张广文、千安峰、王全国、武志峰、
沈郁、赵文芳。
II
AQ/1 3054—2015
1 言
一个典型的化工过程包含各种保护层,如本质安全设计、基本过程控制系统(BPCS)、报警与人员干预、安全仪表功能(SIF)、物理保护(安全阀等)、释放后保护设施、工厂应急响应和社区应急响应等。这些保护层降低了事故发生的频率。在开展化工过程工艺危害分析时,保护层是否足够,能否有效防止事故的发生是分析人员最为关注的一个问题。保护层分析(1ayerofProtectionana1ysis,LOPA)是在定性危害分析的基础上,进一步评估保护层的有效性,并进行风险决策的系统方法,其主要目的是确定是否 有足够的保护层使过程风险满足企业的风险可接受标准。LOPA 是一种半定量的风险评估技术,通常使用初始事件频率、后果严重程度和独立保护层(IPL)失效频率的数量级大小来近似表征场景的风险。
本标准主要对 LOPA 基本程序进行了明确的规范和详细的描述,重点规定了 LOPA 场景与筛选、初始事件确认、独立保护层(IPL)、场景频率计算、风险评估与决策等方面的技术要求。本标准的制定,可为国内化工企业开展 LOPA 提供技术指导,同时可为 LOPA 的规范化和标准化奠定基础。
m
AQ/1 3054—2015
保护层分析(LOPA)方法应用导则
范围
本标准规定了化工企业采用LOPA 方法的技术要求,包括LOPA 基本程序、场景识别与筛选、初始事件确认、独立保护层评估、场景频率技术、风险评估与决策、LOPA 报告和 LOPA 后续跟踪及审查。
本标准适用于化工企业新建、改建、扩建和在役装置(设施)的保护层分析。
规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T2ll09.l 过程工业领域安全仪表系统的功能安全 第l部分:框架、定义、系统、硬件和软
件要求
AQ/T3034 化工企业工艺安全管理实施导则
术语、定义和缩略语
下列术语、定义和缩略语适用于本文件。
术语和定义
3.1.1
场景 scenario
可能导致不期望后果的一种事件或事件序列。每个场景至少包含两个要素:初始事件及其后果。
3.1.2
初始事件 initiatingevent
事故场景的初始原因。
3.1.3
后果 consequence
事件潜在影响的度量,一种事件可能有一种或多种后果。
3.1.4
保护层 protectionIayer
能够阻止场景向不期望后果发展的设备、系统或行动。
3.1.5
独立保护层 independentprotectionIayer
能够阻止场景向不期望后果发展,并且独立于场景的初始事件或其他保护层的设备、系统或行动。
3.1.6
保护层分析 IayerofprotectionanaIysis
通过分析事故场景初始事件、后果和独立保护层,对事故场景风险进行半定量评估的一种系统方法。
l
AQ/1 3054—2015
3.1.7
要求时的失效概率 probabiIityoffaiIureondemand
系统要求独立保护层起作用时,独立保护层发生失效,不能完成一个具体功能的概率。
3.1.8
风险评估 riskassessment
将风险分析的结果和风险可接受标准进行对比,进行风险决策的过程。
3.1.9
安全仪表功能 safetyinstrumentedfunction
为了达到功能安全所必需的具有特定安全完整性水平的安全功能。
3.1.10
安全关键设备 safetycriticaIequipment
可提供独立保护层降低场景风险等级,或将场景的风险由“不可接受风险“转变为“可接受风险“的 工程控制设备。
3.1.11
使能必要事件或条件 enabIingeventorcondition
不直接导致场景的事件或条件,但是对千场景的继续发展,这些事件或条件应存在。
3.1.12
根原因 rootcause
事故发生的根本原因。根原因通常是管理上存在的某种缺陷。
3.1.13
安全仪表系统 safetyinstrumentedsystem
用来实现一个或几个仪表安全功能的仪表系统,可由传感器、逻辑控制器和最终元件的任何组合组成。
3.1.14
防护措施 safeguard
可能中断初始事件后的事件链或减轻后果的任何设备、系统或行动。
3.1.15
“尽可能合理降低“原则 asIowasreasonabIypracticabIe
在当前的技术条件和合理的费用下,对风险的控制要做到在合理可行的原则下“尽可能的低“。
缩略语
本标准使用的缩略语见表l。
表1 本标准使用的缩略语
| 缩略语 | 解释 | 全称 |
| ALARP | “尽可能合理降低“原则 | as1owasreasonab1yPracticab1e |
| BPCS | 基本过程控制系统 | basicProcesscontro1system |
| HAZOP | 危险与可操作性分析 | hazardandoPerabi1itystudy |
| IE | 初始事件 | initiatingevent |
| IPL | 独立保护层 | indePendentProtection1ayer |
| LOPA | 保护层分析 | 1ayerofProtectionana1ysis |
AQ/1 3054—2015
表1 本标准使用的缩略语 (续)
| 缩略语 | 解释 | 全称 |
| P-ID | 管道和仪表流程图 | PiPingandinstrumentationdiagram |
| PFD | 要求时的失效概率 | Probabi1ityoffai1ureondemand |
| SIF | 安全仪表功能 | safetyinstrumentedfunction |
| SIL | 安全完整性等级 | safetyintegrity1eve1 |
| SIS | 安全仪表系统 | safetyinstrumentedsystem |
LOPA 基本程序
基本程序
保护层分析(LOPA)是在定性危害分析的基础上,进一步评估保护层的有效性,并进行风险决策的系统方法。其主要目的是确定是否有足够的保护层使风险满足企业的风险标准。
LOPA 基本流程图见附录 A,主要过程包括:
场景识别与筛选;
初始事件(IE)确认;
独立保护层(IPL)评估;
场景频率计算;
风险评估与决策;
后续跟踪与审查。
在使用 LOPA 前,应确定以下分析标准:
后果度量形式及后果分级方法;
后果频率的计算方法;
IE 频率的确定方法;
IPL 要求时的失效概率(PFD)的确定方法;
风险度量形式和风险可接受标准;
分析结果与建议的审查及后续跟踪。
应用时机
在过程危害分析中出现以下情形时,可使用 LOPA:
事故场景后果严重,需要确定后果的发生频率;
确定事故场景的风险等级及事故场景中各种保护层降低的风险水平;
确定安全仪表功能(SIF)的安全完整性等级(SIL);
确定过程中的安全关键设备或安全关键活动;
其他适用 LOPA 的情形等。
LOPA 应用时机参见附录 B。当尤法确定事故场景的风险时,可采用定量方法进行定量风险评价。
LOPA 的应用有以下局限性:
LOPA 不是识别危险场景的工具,LOPA 的正确执行取决于定性危险评价方法所得出的危险场景的准确性,包括初始事件和相关的安全措施是否正确和全面。
3
AQ/1 3054—2015
当使用 LOPA 时,只有满足如下条件才能进行场景风险的对比:
l) 选择失效数据的方法相同;
2) 采用相同的风险标准。
LOPA 是一种简化的方法,其计算结果并不是场景风险的精确值。
小组组成
LOPA 由一个小组完成。LOPA 小组成员可包括但不限千以下人员:
组长;
记录员;
设计人员;
操作人员;
工艺人员;
设备工程师;
仪表工程师;
安全工程师。
根据需要,可要求以下人员参加 LOPA:
工艺包供应商;
成套工艺设备供应商;
公用工程工程师;
电气工程师;
其他专业工程师。
如果 LOPA 是基千 HAZOP 分析的结果,LOPA 小组人员组成宜包括 HAZOP 分析小组成员。
场景识别与筛选
场景基本要求
场景应满足以下基本要求:
每个场景应有唯一的IE 及其对应的单一后果;
当同一IE 导致不同的后果时,或多种IE 导致同一后果时,应假设多个场景;
当场景中存在使能必要事件或条件,应将其包含在场景中。
场景识别与信息来源
场景信息来源千危险分析的结果,包括:
采用 HAZOP 分析方法进行危害分析的结果;
采用 AQIT3034中的工艺危害分析方法进行危害分析的结果;
事故分析结果;
工艺变更分析;
安全仪表功能审查结果;
其他危害分析结果等。
当利用 HAZOP 分析结果进行 LOPA 时,两者之间的信息对应关系参见附录 C。
当利用已有的定性危害分析结果进行 LOPA 时,宜对定性危害分析的结果进行审查,确保识别
出所有的危害后果及导致后果的所有原因。
4
AQ/1 3054—2015
场景筛选
宜采用定性或定量的方法对场景后果的严重性进行评估,并根据后果严重性评估结果对场景进行筛选。
典型的后果种类包括人员伤害、财产损失、环境和声誉影响等。
初始事件确认
IE 一般包括外部事件、设备故障和人员失误,具体分类见表2。
表2 IE 类型
| 类别 | 外部事件 | 设备故障 | 人员失误 |
| 分类 |
8 地 震、海 啸、龙 卷风、随 风、洪水、泥 石流、滑 坡和雷击等自然灾害 9 空难 10 临近工厂的重大事故 11 破坏或恐怖活动 12 邻近区域火灾或爆炸 13 其他外部事件 |
3) 控制系统故障(如硬件或软件失效、控制辅助 系统失效) 4) 设备故障: l)机械故障(如泵密封失效、泵或压缩机停机) 2) 腐蚀/侵蚀/磨蚀 3) 机械碰撞或振动 4) 阀门故障 5) 管道、容器和储罐失效 6) 泄漏等 2) 公用工程故障(如停水、停电、停气、停风等) 3) 其他故障 |
2) 操作失误 3) 维护失误 4) 关键响应错误 5) 作业程序错误 6) 其他行为失误 |
在确定IE 时,应遵循以下原则:
宜对后果的原因进行审查,确保该原因为后果的有效IE;
应将每个原因细分为具体的失效事件,如“冷却失效”可细分为冷却剂泵故障、电力故障或控制回路失效;
人员失误的根原因(如培训不完善)、设备的不完善测试和维护等不宜作为IE。
独立保护层评估
IPL 确定原则
化工企业保护层作为IPL 时,应满足以下基本要求:
独立性:
独立于IE 的发生及其后果;
2) 独立于同一场景中的其他IPL。
有效性:
能检测到响应的条件;
在有效的时间内,能及时响应;
在可用的时间内,有足够的能力采取所要求的行动;
满足所选择的PFD 的要求。
安全性。应使用管理控制或技术手段减少非故意的或未授权的变动。
5
AQ/1 3054—2015
变更管理。设备、操作程序、原料、过程条件等任何改动应执行变更管理程序,以满足变更后保护层的IPL 要求。
可审查性。应有可用的信息、文档和程序可查,以说明保护层的设计、检查、维护、测试和运行
活动能够使保护层达到IPL 的要求。
化工企业典型保护层及作为IPL 的要求
化工企业典型保护层及作为IPL 的要求见表3。
表3 化工企业典型保护层及作为IPL 的要求
| 保护层 |
描述 |
说明 |
示例 |
作为IPL 的要求 | |
| 具体要求 | 通用要求 | ||||
| 本质安全设计 |
从根本上消除或减少工艺系统存在的危害 |
企业可根据具体场景需要,确定是否将其作为IPL |
容器或管道设计可承受事故后果产生的高温、高压等 |
对 千 所 有 的保护层,作 为IPL 应满足以下要求: l)应 有 控 制手 段 防 止 非故 意 的 或 未授权的变动 2) 应 执 行 严格 的 变 更 管理程序,以 满足 变 更 后 保护 层 的 IPL要求 3) 应 有 可 用的信息、文 档和程序可查, 以 说 明 保 护层的设计、检查、维 护、测试 和 运 行 活动 能 够 使 保护层达到IPL的要求 |
|
| l)当 本质安全设计用来消除某些场景时,不应作为IPL 2)当 考虑本质安全设计在运行和维护过程中的失效时,在某些场景中,可将其作为一种IPL |
|||||
| 基本过程控制系统 (BPCS) |
BPCS是执行持续监测和控制B 常生产过程的控制系统,通过响应过程或操作人员的输入信号产生输出信息,使过程以期望的方式运行。由传感器、逻辑控制器和最终执行元件组成 |
BPCS可以提供三种不同类型的安全功能作为IPL: l)连续控制行动:保持过程参数维持在规定的正常范围以内,防止IE 发生 2) 报警行动:识别超出正常范围的过程偏差,并向操作人员提供报警信息,促使操作人员采取行动 (控制过程或停车) 3) 逻辑行动:行动将导致停车或采取动作使过程处千安全状态 |
精熘塔、加热炉等基本过程控制系统 |
l)BPCS 作为IPL 应满足以下要求: BPCS 应与安全仪表系统(SIS)在物理上分离,包括传感器、逻辑控制器和最终执行元件 BPCS 故障不是 造成IE 的原因 2) 在同一个场景中,当满足 IPL 的要求时,具有多个回路的 BPCS 宜 作 为 一个 IPL。BPCS 多 个 回路作为 IPL 的具体评估方法可参见附录D 3) 当BPCS通过报警或其他形式提醒操作人员采取行动时, 宜将这种保护考虑为报警和人员响应 保护层 |
|
AQ/1 3054—2015
表3 化工企业典型保护层及作为IPL 的要求 (续)
| 保护层 |
描述 |
说明 |
示例 |
作为IPL 的要求 | |
| 具体要求 | 通用要求 | ||||
| 报警和人员响应 |
报警和人员响应是操作人员或其他工作人员对报警响应, 或在系统常规检查后,采取的防止不良后果的行动 |
通常认为人员响应的可靠性较低,应慎重考虑人员行动作为独立保护层的有效性 |
反应器温度高报警和人员响应 |
l)操 作人员应能够得到采取行动的指示或报警 2) 操 作人员应训练有素,能够完成特定报警所要求的操作任务 3) 任 务应具有单一性和可操作性,不宜要求操作人员执行 IPL 要求的行动时同时执行其他任务 4) 操 作人员应有足够的响应时间 5) 操 作人员身体条 件合适等 |
对 千 所 有 的保护层,作 为IPL 应满足以下要求: l)应 有 控 制手 段 防 止 非故 意 的 或 未授权的变动 2) 应 执 行 严格 的 变 更 管理程序,以 满足 变 更 后 保护 层 的 IPL要求 3) 应 有 可 用的信息、文 档和程序可查, 以 说 明 保 护层的设计、检查、维 护、测试 和 运 行 活动 能 够 使 保护层达到IPL的要求 |
| 安全仪表功能 (SIF) |
安全仪表功能通过检测超限 (异 常)条件,控制过程进入功能安 全 状 态。 一 个安全仪表功能由传感器、逻辑控制器和最终执行元件组成, 具有一定的SIL | 安全 仪 表 功 能 SIF在 功 能 上 独 立 千BPCS。SIL 分 级 可见 GB/T2ll09 |
l) 安 全 仪 表 功能SILl 2) 安 全 仪 表 功能SIL2 3) 安 全 仪 表 功能SIL3 |
l)SIF 在功能上独立千 BPCS 2)SIF 的规格、设计、调试、检 验、维 护 和测 试 应 按 GB/T 2ll09 的 有 关 规 定执行 |
|
| 物理保护 |
提供超压保护,防止 容器的灾难性破裂 |
包括安全阀、爆破片等,其有效性受服役条件的影响较大 |
l)安全阀 a) 爆破片 b) 安 全阀和爆破片串联 c) 放空阀 |
l)独 立千场景中的其他保护层 c) 在确定安全阀、爆破片等设备的 PFD 时,应考虑其实际运行环境中可能出现的污染、堵塞、腐蚀、不恰当维护等因素对 PFD 进行修正 d) 当 物理保护作为 IPL 时,应 考虑物理保护起作用后可能造成的其他危害,并重新假设LOPA 场景进行评估 |
|
AQ/1 3054—2015
表3 化工企业典型保护层及作为IPL 的要求 (续)
| 保护层 |
描述 |
说明 |
示例 |
作为IPL 的要求 | |
| 具体要求 | 通用要求 | ||||
| 释放后保护设施 |
危险物质释放后,用来降低事故后果的保护设施(如防止大面积泄淜扩散、降低受保护设备和建筑物的冲击波破坏、防止容器或管道火灾暴露失效、防止火焰或爆轰波穿过管道系统等) |
— 般需要对事故后果进行定量评估,根据评估结果选择针对性释放后保护设施或确定保护设施的设计参数 |
l)火气系统:可燃气体和有毒气体检测报警系统、泄淜或火灾后紧急切断系统、 火灾报警系统等 |
l)独 立千场景中的其他保护层 2)在确定阻火器、隔爆器等设备的 PFD 时,应考虑其实际运行环境中可能出现的污染、堵塞、腐蚀、不恰当维护等因素对 PFD 进行修正 |
对 千 所 有 的保护层,作 为IPL 应满足以下要求: l)应 有 控 制手 段 防 止 非故 意 的 或 未授权的变动 2) 应 执 行 严格 的 变 更 管理程序,以 满足 变 更 后 保护 层 的 IPL要求 3) 应 有 可 用的信息、文 档和程序可查, 以 说 明 保 护层的设计、检查、维 护、测试 和 运 行 活动 能 够 使 保护层达到IPL的要求 |
| 2)拦蓄或收集设施: 防火堤、集液池及收集系统等 |
|||||
| a) 释 放后安全处理系统:洗 涤设施、有毒气体捕集及处理系统等 b) 减 少蒸发扩散的设施:如 用 千LNG的高倍数泡沫系统 c) 防火设施:耐火涂层、防火门、阻火器、消防系统 (水 幕、自动灭火系统等) d) 防爆设施:防爆墙或防爆舱、隔 爆 器、泄压板、水 雾系 统、减爆剂、惰化系统等 e) 防中毒设施:正压防护 系 统、中 和系统等 f) 其他:与消防联动 的电视监视系统 |
|||||
| 工厂和社区应急响应 |
在初始释放之后被激活,其整体有效性受多种因素影响 |
主要包括消防队、工厂撤离、社 区撤 离、避 难 所 和 应 急 预案等 | 应确认其有效性 |
||
不作为IPL 的防护措施
通常不作为IPL 的防护措施见表4。
表4 通常不作为IPL 的防护措施
| 防护措施 | 说明 |
| 培训和取证 | 在确定操作人员行动的 PFD 时,需要考虑这些因素,但是它们本身不是IPL |
| 程序 | 在确定操作人员行动的 PFD 时,需要考虑这些因素,但是它们本身不是IPL |
AQ/1 3054—2015
表4 通常不作为IPL 的防护措施 (续)
| 防护措施 | 说明 |
| 正常的测试和检测 | 正常的测试和检测将影响某些IPL 的 PFD,延长测试和检测周期可能增加IPL 的 PFD |
| 维护 | 维护活动将影响某些IPL 的 PFD |
| 通信 | 差的通信将影响某些IPL 的 PFD |
| 标识 | 标识自身不是IPL,标识可能不清晰、模糊、容易被忽略等。标识可能影响某些IPL 的 PFD |
| 火灾保护 |
火灾保护的可用性和有效性受到所包围的火灾/爆炸的影响。如果在特定的场景中,企业能够证明它满足IPL 的要求,则可将其作为IPL |
场景频率计算
风险和频率的定量计算
场景的发生频率计算如下:
J
fC =fI X IlPFDi
i i J
J=l
=fI XPFDil XPFDi2 X . XPFDi
..........(l )
i J
式中:
i
f C 初始事件i的后果C的发生频率,单位为/a;
i
fI 初始事件i的发生频率,单位为/a;
PFDiJ 初始事件i中第J 个阻止后果C发生的IPL 的PFD。
在计算场景频率时,可根据需要对场景频率进行修正。
存在使能事件或条件时:
J
fC =fI XfE X IlPFDi
..........(2 )
式中:
i i i
J
J=l
i
f E 使能事件或条件发生概率。
采用点火概率、人员暴露和具体伤害的概率对不同后果场景频率进行修正。
l) 火灾发生的频率:
J
ffire =fI X (Il PFDi )XPi
..........(3 )
式中:
Pig 点火概率。
i i J g J = l
人员暴露千火灾中的频率:
J
ffire—exP =fI X (Il PFDi )XPi XPex (4 )
i
式中:
Pex 人员暴露概率。
i J g
J=l
火灾引起人员受伤的频率:
J
ffire—injury =fI X (Il PFDi )XPi XPex XPd
i i J g J = l
..........(5 )
9
AQ/1 3054—2015
式中:
Pd 人员受伤或死亡概率。
对千毒性影响,人员伤害的频率方程与火灾伤害方程相似,毒性影响不需要点火概率,式(5)变为:
J
ftoxic = fI X (IlPFDi )XPex XPd (6 )
i i
初始事件发生频率和IPL 的PFD
J
J = l
初始事件发生频率和IPL 的PFD 数据可采用:
行业统计数据;
企业历史统计数据;
基千失效模式、影响和诊断分析(FMEDA)及故障树分析(FTA)等的数据;
其他可用数据等。
选择失效数据时,应满足以下要求:
在整个分析过程中,使用的所有失效数据的选用原则应一致;
选择的失效率数据应具有行业代表性或能代表操作条件;
使用企业历史统计数据时,只有该历史数据充足并具有统计意义时才能使用;
使用普通的行业数据时,可根据企业的具体条件对数据进行修正;
可对失效频率数据取整至最近的整数数量级。
在确定IE 发生频率和典型IPL 的PFD 时,应考虑实际的运行环境对发生频率或PFD 的影响:
当系统或操作不连续(装载/卸载、间歇工艺等)时,应根据其实际的运行时间对失效频率数据进行修正;
在确定安全阀、阻火器或隔爆器等设备的PFD 时,应考虑其实际运行环境中可能出现的污染、
堵塞、腐蚀、不恰当维护等因素对PFD 进行修正;
典型IE 发生频率和典型IPL 的PFD 参见附录 E。
风险评估与决策
对事故场景风险,可根据场景频率计算结果和后果等级,使用定量数值风险标准、风险矩阵等形式
进行风险等级评估,定量数值风险标准和风险矩阵示例参见附录F。
根据事故场景风险等级进行风险决策,风险决策宜采取 ALARP 原则,将事故场景风险降低到可接受风险水平,ALARP 和可接受风险水平概念参见附录F。
LOPA 报告
LOPA 分析结束时,应生成 LOPA 记录表和报告。LOPA 分析案例和记录表形式可参见附录G。
LOPA 报告应包括以下内容:
场景的信息来源说明;
企业的风险标准;
IE 发生频率和IPL 的PFD;
场景中IPL 和非IPL 的评估结果;
场景的风险评估结果;
l0
AQ/1 3054—2015
满足风险标准要求采取的行动及后续跟踪;
如果有必要,对需要采取不同技术进行深入研究的问题提出建议;
对分析期间所发现的不确定情况及不确定数据的处理;
分析小组使用的所有图纸、说明书、数据表和危险分析报告等的清单(包括引用的版本号);
参加分析的小组成员名单。
LOPA 报告应经小组成员签字确认。若 LOPA 小组不能达成一致意见,应记录原因。
LOPA 后续跟踪及审查
宜对LOPA 分析结果的执行情况进行后续跟踪,对LOPA 提出的降低风险行动的实施情况进行
落实。
LOPA 的程序和分析结果可接受相关的审查。
ll
AQ/1 3054—2015
附 录 A
(规范性附录)
LOPA 基本程序
LOPA 基本程序如图 A.l所示,包括:
场景识别与筛选。LOPA 通常评估先前危害分析研究中识别的场景。分析人员可采用定性或定量的方法对这些场景后果的严重性进行评估,并根据后果严重性评估结果对场景进行筛选。
初始事件(IE)确认。首先,选择一个事故场景,LOPA 一次只能选择一个场景;然后确定场景
IE。IE 包括外部事件、设备故障和人员行为失效。
独立保护层(IPL)评估。评估现有的防护措施是否满足IPL 的要求是 LOPA 的核心内容。
场景频率计算。将后果、IE 频率和IPL 的PFD 等相关数据进行计算,确定场景风险。
风险评估与决策。根据风险评估结果,确定是否采取相应措施降低风险。然后,重复步骤b)
至步骤e)直到所有的场景分析完毕。
后续跟踪与审查。LOPA 分析完成后,对提出降低风险措施的落实情况应进行跟踪。应对
LOPA 的程序和分析结果进行审查。
图 A.1 LOPA 基本程序
l2
AQ/1 3054—2015
附 录 B
(资料性附录)
LOPA 应用时机
注:事故后果是否严重可根据企业的风险标准确定,以表 F.3为例,通常可认为4级及以上的后果为严重后果。
图 B.1 LOPA 的应用时机
l3
AQ/1 3054—2015
附 录 C
(资料性附录)
HAZOP 信息与 LOPA 信息的关系
图 C.1 HAZOP 信息与 LOPA 信息的关系
l4
AQ/1 3054—2015
附 录 D
(资料性附录)
BPCS多个回路作为IPL 的评估方法
同一BPCS多个功能回路作为IPL 的评估方法
在同一场景中,当同一BPCS具有多个功能回路时,其IPL 的评估可使用方法 A 或方法B。
方法 A 假设一个单独BPCS回路失效,则其他所有共享相同逻辑控制器的 BPCS回路都失效。
对单一的BPCS,只允许有一个IPL,且应独立于IE 或任何使能事件。
方法B假设一个 BPCS回路失效,最有可能是传感器或最终控制元件失效,而 BPCS逻辑控制
器仍能正常运行。BPCS逻辑控制器的PFD 比 BPCS 回路其他部件的 PFD 至少低两个数量级。方法
B允许同一BPCS有一个以上的IPL。如图 D.l 所示,两个 BPCS 回路使用相同的逻辑控制器。假设这两个回路满足作为同一场景下IPL 的其他要求,方法 A 只允许其中一个回路作为IPL,方法 B 允许两个回路都作为同一场景下的IPL。图 D.1 同一场景下共享同一BPCS逻辑控制器的多条回路
同一场景下,同一BPCS多个功能回路同时作为IPL 的要求
同一场景下,同一BPCS多个功能回路同时作为IPL 时,应满足:
BPCS具有完善的安全访问程序,应确保将 BPCS编程、变更或操作上潜在的人为失误降低到
可接受水平;
BPCS回路中的传感器与最终执行元件在BPCS回路的所有部件中具有最高的失效概率值。
如果传感器或最终执行元件是场景中其他IPL 的公共组件或是IE 的一部分,则多个回路不应作为多个IPL。如图 D.2 所示,BPCS 回路l 和回路2 均使用同一传感器,在这个场景下,则这两个 BPCS回路只能作为一个IPL。同样,如果最终执行元件(或相同报警和操作人员响应)被共享在两个 BPCS回路,那么这两个BPCS回路也只能作为一个IPL。图 D.2 同一场景下共享传感器的BPCS回路
l5
D.2.3 共享逻辑控制器输入卡或输出卡的额外 BPCS 回路不宜同时作为IPL。如图 D.3 所示,假设满足IPL 的所有其他要求,则回路传感器 A}输入卡l}逻辑控制器}输出卡l}最终执行元件l可确定为IPL。如果第二个控制回路的路径为传感器 D} 输入卡2} 逻辑控制器} 输出卡2} 最终执行元件4,那么此回路也可确定为IPL。但是,如果第二个回路的路径为传感器 D} 输入卡2} 逻辑控制器}输出卡l}最终执行元件2,那么此回路不能作为IPL,因为输出卡l共享在两个回路中。
AQ/1 3054—2015
注:l�4是最终执行元件。
图 D.3 相同场景下共享输入/输出卡的影响
如果IE 不涉及BPCS逻辑控制器失效,每一个回路均满足IPL 的所有要求,在同一场景下,作为IPL 的BPCS回路不应超过2个。如图 D.4所示,如果所有4个回路各自满足相同场景下IPL 的要求,在使用方法B 时,最多只有两个回路被作为IPL。
图 D.4 相同场景下BPCS功能回路作为IPL 的最大数量
所有BPCS回路IPL 总的PFD,不宜低千lXl0—2。
最终执行元件可以是机械动作(如关闭阀门、启动泵)或一种是机械动作,另一种是要求人员采取行动的报警。在同一场景中,不宜将两个人员响应同时作为IPL,除非证明它们完全独立并且满足人员行动作为IPL 的所有要求。
IE 或使能事件涉及 BPCS回路失效时,在同一场景中,宜只将l个 BPCS回路作为IPL。如果人员失效是IE,不宜将启动人员行动的BPCS报警视为IPL。
同一场景下,同一BPCS多个功能回路同时作为IPL 的数据和人员要求
对数据与数据分析的要求如下:
方法B假设 BPCS 逻辑控制器的 PFD 比 BPCS 回路其他部件的 PFD 至少低两个数量级,应
具有支持这个假设的数据,并对数据进行分析。这些数据包括:
l) BPCS逻辑控制器、输入/输出卡、传感器、最终执行元件、人员响应等历史性能数据;
系统制造商提供的数据;
检查、维护和功能性测试数据;
l6 仪表图、管道和仪表流程图(P&ID)、回路图、标准规范等资料;
访问BPCS,进行程序更改、旁路报警等安全访问BPCS的信息。
对这些数据的分析应包括:
计算设备或系统BPCS回路组件的有效失效率;
各种组件,特别是BPCS逻辑控制器PFD 数据的比较;
逻辑输入/输出卡及相关回路的独立性评估;
安全访问控制充分性评估;
使用多重BPCS回路作为同一场景下的多个IPL 的合适性评估。
对分析人员的要求如下:
分析人员应能够:
判断是否有足够和完整的数据,这些数据是否能满足足够精度的计算;
了解仪表的设计和BPCS系统是否满足独立性要求;
理解建议的IPL 对工艺或系统的影响。
分析小组或人员应具有相关专业知识,例如:
对BPCS逻辑控制器具有足够低的PFD 的独立第三方认证;
对历史性能数据和维修记录的分析,建立设计标准使多个BPCS回路满足IPL 的要求;
设计并执行多个BPCS回路系统使之满足独立性与可靠性要求等。
C) 如果分析小组或人员不能满足以上要求,那么在判断 BPCS 回路作为IPL 时,宜使用方法 A
进行分析。
附 录 E
(资料性附录)
失效数据
表 E.1 IE 典型频率值
单位为每年
| IE | 频率范围 |
| 压力容器疲劳失效 | 10—5 �10—7 |
| 管道疲劳失效—100m— 全部断裂 | 10—5 �10—6 |
| 管线泄漏(10%截面积)—100m | 10—3 �10—4 |
| 常压储罐失效 | 10—3 �10—5 |
| 垫片/填料爆裂 | 10—2 �10—6 |
| 涡轮/柴油发动机超速,外套破裂 | 10—3 �10—4 |
| 第三方破坏(挖掘机、车辆等外部影响) | 10—2 �10—4 |
| 起重机载荷掉落 | (10—3 �10—4)/起吊 |
| 雷击 | 10—3 �10—4 |
| 安全阀误开启 | 10—2 �10—4 |
| 冷却水失效 | 1�10—2 |
| 泵密封失效 | 10—1 �10—2 |
| 卸载/装载软管失效 | 1�10—2 |
| BPCS仪表控制回路失效 | 1�10—2 |
| 调节器失效 | 1�10—1 |
| 小的外部火灾(多因素) | 10—1 �10—2 |
| 大的外部火灾(多因素) | 10—2 �10—3 |
| LOTO(锁定、标定)程序失效(多个元件的总失效) | (10—3 �10—4)/次 |
| 操作员失效(执行常规程序,假设得到较好的培训、不紧张、不疲劳) | (10—1 �10—3)/次 |
表 E.2 某公司采用的IE 典型频率值
单位为每年
| 分类 | IE | 频率 |
| 阀 门 |
1)单向阀完全失效 | 1 |
| 2)单向阀卡涩 | 1X10—2 | |
| 3)单向阀内漏(严重) | 1X10—5 | |
| 4)垫圈或填料泄漏 | 1X10—2 | |
| 5)安全阀误开或严重泄漏 | 1X10—2 | |
| 6)调节器失效 | 1X10—1 | |
| 7)电动或气动阀门误动作 | 1X10—1 |
表 E.2 某公司采用的IE 典型频率值 (续)
单位为每年
| 分类 | IE | 频率 |
| 容器和储罐 |
1)压力容器灾难性失效 | 1X10—6 |
| 2)常压储罐失效 | 1X10—3 | |
| 3)过程容器沸腾液体扩展蒸气云爆炸(BLEVE) | 1X10—6 | |
| 4)球罐沸腾液体扩展蒸气云爆炸(BLEVE) | 1X10—4 | |
| 5)容器小孔(冬50mm)泄漏 | 1X10—3 | |
| 公用工程 |
1)冷却水失效 | 1X10—1 |
| 2)断电 | 1 | |
| 3)仪表风失效 | 1X10—1 | |
| 4)氮气(惰性气体)系统失效 | 1X10—1 | |
| 管道和软管 |
1)泄漏(法兰或泵密封泄漏) | 1 |
| 2)弯曲软管微小泄漏(小口径) | 1 | |
| 3)弯曲软管大量泄漏(小口径) | 1X10—1 | |
| 4)加载或卸载软管失效(大口径) | 1X10—1 | |
| 5)中口径(冬150mm)管道大量泄漏 | 1X10—5 | |
| 6)大口径(>150mm)管道大量泄漏 | 1X10—6 | |
| 7)管道小泄漏 | 1X10—3 | |
| 8)管道破裂或大泄漏 | 1X10—5 | |
| 施工与 维修 |
1)外部交通工具的冲击(假定有看守员) | 1X10—2 |
| 2)吊车载重掉落(起吊次数/a) | 1X10—3 | |
| 3)操作维修加锁加标记(LOTO)规定没有遵守 | 1X10—3 | |
| 操作 失误 |
1)尤压力下的操作失误(常规操作) | 1X10—1 |
| 2)有压力下的操作失误(开停车、报警) | 1 | |
| 机械故障 |
1)泵体坏(材质变化) | 1X10—3 |
| 2)泵密封失效 | 1X10—1 | |
| 3)有备用系统的泵和其他转动设备失去流量 | 1X10—1 | |
| 4)透平驱动的压缩机停转 | 1 | |
| 5)冷却风扇或扇叶停转 | 1X10—1 | |
| 6)电机驱动的泵或压缩机停转 | 1X10—1 | |
| 7)透平或压缩机超载或外壳开裂 | 1X10—3 | |
| 仪表 | BPCS(基本过程控制系统)回路失效 | 1X10—1 |
| 外部事件 |
1)雷电击中 | 1X10—3 |
| 2)外部大火灾 | 1X10—2 | |
| 3)外部小火灾 | 1X10—1 | |
| 4)易燃蒸气云爆炸 | 1X10—3 |
表 E.3 化工行业典型IPL 的PFD
| IPL |
说明 (假设具有完善的设计基础、充足的检测和 维护程序、良好的培训) |
PFD |
|
| 本质安全设计 |
如果正确执行,将大大地降低相关场景后果的频率 | 1X10—1 �1X10—6 |
|
| BPCS | 如果与IE 尤关,BPCS可作为一种IPL | 1X10—1 �1X10—2 | |
| 关键报警和人员响应 |
人员行动,有 10 min 的响应时间 | 行动应具有单一性和可操作性 |
1.0�1X10—1 |
| 人员对BPCS指示或报警的响应,有40min的响应时间 | 1X10—1 |
||
| 人员行动,有 40 min 的响应时间 | 1X10—1 �1X10—2 |
||
| 安全仪表功能 |
安全仪表功能SIL1 | 见 GB/T21109 |
?:1X10—2 �<1X10—1 |
| 安全仪表功能SIL2 | ?:1X10—3 �<1X10—2 | ||
| 安全仪表功能SIL3 | ?:1X10—4 �<1X10—3 | ||
| 物理保护 |
安全阀 | 此类系统有效性对服役的条件比较敏感 |
1X10—1 �1X10—5 |
| 爆破片 | 1X10—1 �1X10—5 | ||
| 释放后保护 措施 |
防火堤 |
降低由千储罐溢流、断裂、泄漏等造成严重后果的频率 | 1X10—2 �1X10—3 |
| 地下排污系统 |
降低由千储罐溢流、断裂、泄漏等造成严重后果的频率 | 1X10—2 �1X10—3 |
|
| 开式通风口 | 防止超压 | 1X10—2 �1X10—3 | |
| 耐火涂层 |
减少热输入率,为降压、消防等提供额外的响应时间 | 1X10—2 �1X10—3 |
|
| 防爆墙/舱 |
限制冲击波,保护设备/建筑物等,降低爆炸 重大后果的频率 |
1X10—2 �1X10—3 |
|
| 阻火器或防爆器 |
如果、安装和维护合适,这些设备能够防止通过管道系统或进入容器或储罐内的潜在 回火 |
1X10—1 �1X10—3 |
|
| 遥控式紧急切断阀 | 切断物料,防止事故发生或事故后果扩大 | 1X10—1 �1X10—2 | |
附 录 F
(资料性附录)
风险标准和 ALARP 原则
风险标准
表 F.1 数值风险标准(厂外个体风险)
单位为每年
| 部 门 | 可容许风险 | 可忽略风险 |
| 荷兰环境保护和城市规划部 VROM(现存装置) | 1X10—5 | 1X10—8 |
| 荷兰环境保护和城市规划部 VROM(新建设施) | 1X10—6 | 1X10—8 |
| 英国健康和安全局 HSE(现有设施) | 1X10—4 | 1X10—6 |
| 英国健康和安全局 HSE(新建居民区) | 3X10—6 | 3X10—7 |
| 英国(新建核电站) | 1X10—5 | 1X10—6 |
| 英国(新建危险品运输) | 1X10—4 | 1X10—6 |
| 香港(新建和已建装置) | 1X10—5 | |
| 新加坡(新建和已建装置) | 5X10—5 | 1X10—6 |
| 马来西亚(新建和已建装置) | 1X10—5 | 1X10—6 |
| 澳大利亚(新建和已建装置) | 5X10—5 | 5X10—7 |
| 加拿大 | 1X10—4 | 1X10—6 |
| 巴西(新建和已建装置) | 1X10—5 | 1X10—6 |
表 F.2 风险评估矩阵
| 后果等级 |
5 |
低 |
中 |
中 |
高 |
高 |
很高 |
很高 |
|
| 4 |
低 |
低 |
中 |
中 |
高 |
高 |
很高 |
||
| 3 |
低 |
低 |
低 |
中 |
中 |
中 |
高 |
||
| 2 |
低 |
低 |
低 |
低 |
中 |
中 |
中 |
||
| 1 |
低 |
低 |
低 |
低 |
低 |
中 |
中 |
||
| 10—6 �10—7 | 10—5 �10—6 | 10—4 �10—5 | 10—3 �10—4 | 10—2 �10—3 | 10—1 �10—2 | 1�10—1 | |||
| 频率等级/a | |||||||||
| 风险等级说明: 低:不需采取行动。 中:可选择性的采取行动。 高:选择合适的时机采取行动。 很高:立即采取行动。 |
|||||||||
表 F.3 后果定性分级方法
| 等级 |
严重程度 |
分类 | |||
| 人员 | 财产 | 环境 | 户吕 | ||
| 1 |
低后果 |
医疗 处 理,不 需 住 院;短时间身体不适 |
损失极小 |
事件影响未超过界区 |
企业内部关注,形象没 有受损 |
| 2 |
较低后果 |
工作受限,轻伤 |
损失较小 |
事件不会受到管理部门 的通报或违反允许条件 |
社区、邻 居、合 作伙伴 影响 |
| 3 |
中后果 |
严重伤害,职业相关 疾病 |
损失较大 |
事件受到管理部门的通报或违反允许条件 |
本地区内影响;政府管制,公众关注负面后果 |
| 4 |
高后果 |
1�2 人死亡或丧失劳动 能 力,3�9 人重伤 |
损失很大 |
重大泄淜,给工作场所外 带来严重影响 |
国内影响;政 府 管 制, 媒体和公众关注负面后果 |
| 5 |
很高后果 |
3人以上死亡,10 人 以上重伤 |
损失极大 |
重大泄淜,给工作场所外带来严重的环境影响,且会导致直接或潜在的健康危害 |
国际影响 |
ALARP 原则
ALARP 原则
ALARP 原则(图 F.1)指在当前的技术条件和合理的费用下,对风险的控制要做到在合理可行的
原则下“尽可能的低"。按照 ALARP 原则,风险区域可分为:
不可接受的风险区域。在本标准 F.2中指高风险和很高风险区域。在这个区域,除非特殊情
况,风险是不可接受的。
允许的风险区域。在本标准 F.2中指中风险区域。在这个区域内必须满足以下条件之一时,
风险才是可允许的:
在当前的技术条件下,进一步降低风险不可行;
降低风险所需的成本远远大于降低风险所获得的收益。
C) 广泛可接受的风险区域。在本标准 F.2中指低风险区域。在这个区域,剩余风险水平是可忽
略的,一般不要求进一步采取措施降低风险。
图 F.1 ALARP 原则
ALARP 原则推荐在合理可行的情况下,把风险降低到“尽可能的低"。如果一个风险位于两种极端情况(高风险及以上不可接受区域和广泛可接受的风险区域)之间,如果使用了 ALARP 原则,则所得到的风险可认为是可允许的风险。
如果风险处于高风险及以上区域,则该风险是不可接受的,应把它降低到可接受风险水平。
在广泛可接受的低风险区域,不需要进一步降低风险,但有必要保持警惕以确保风险维持在这一
水平。
可接受风险水平
根据 ALARP 原则,可接受风险水平指允许的风险区域或广泛可接受的风险区域。
附 录 G
(资料性附录)
LOPA 示例
正已皖缓冲罐溢流
工艺描述
简化 P&ID 示例见图 G.1。示例的详细描述可参见Layerof ProtectionAnaLysis SimJLified ProcessRiskAssessment。来自上游工艺单元的正已皖进入正已皖缓冲罐 T-401。正已皖供料管道总是带压。正已皖缓冲罐液位受液位控制回路(LIC-90)控制,LIC-90 检测储罐液位,通过调节液位阀
(LV-90)控制液位。正已皖输往下游工艺使用。LIC 回路包括提醒操作人员的高液位报警(LAH-90)。
储罐总容量为30t,通常盛装一半的容量。储罐位千防火堤内,该防火堤能够容纳45t正已皖。
图 G.1 正已皖缓冲罐溢流
场景识别与筛选
采用前期进行的 HAZOP 分析作为场景信息来源。正已皖缓冲罐 T-401 的 HAZOP 分析结果见表 G.1。根据表F.3筛选进行 LOPA 分析的场景。本例选择分析的场景为正已皖缓冲罐溢流,防火堤发生失效,导致大面积火灾,造成人员的伤亡,后果等级为5级。
表 G.1 正己皖缓冲罐1-401HAZOP 分析
| 序号 | 偏差 | 原因 | 后果 | 现有防护措施 | 建议 |
| 1 |
液位高 |
流量控制阀 LV-90 误开大(如液位控制 LIC失效,操 作 人 员 失 误等)导致至正已皖缓冲罐 T-401管线流量大 | 高压(见5) |
1) 液位监测,高液位报警 2) 单元操作程序 |
建 议 安 装 一 个 SIS,在 T-401 高 液位时切断进料 |
| 2 |
液位低 |
上游工艺至正已皖缓冲罐 T-401 管线流量小或尤流量 |
尤后果:在下游倒空供料罐前,如果 不填充,将 引起潜在的过程中断 | ||
| 3 | 温度高 | 尤关心的后果 | |||
| 4 |
温度低 |
低的环境温度,而缓冲罐内有水(见7) |
缓冲罐底部或缓冲罐排水线或仪表线积累的水冻结, 导致排水线断裂和泄漏 |
||
| 5 |
压力高 |
高液位(见1) |
1) 正 已皖通过释放阀泄放到防火堤内;如果防火堤不能包容释放物,可能造成大面积火灾 2) 泄漏(如果超压值超过缓 冲罐额定压力)(见8) |
||
| 6 |
压力低 |
在蒸气吹扫后,冷却前 缓冲罐发生堵塞 |
真空下缓冲罐塌陷导致设 备破坏 |
标准程序和容器蒸气吹扫检查 | |
| 7 |
污染物 浓度高 |
在蒸气吹扫和冲洗后, 水没有完全排出 |
在低的环境温度期间,缓冲罐内积累的水可能冻结(见4) | ||
| 8 |
包容物 损失 |
1) 腐蚀/侵蚀 2) 外部影响(如火灾) 3) 液位高(见1) 4) 垫 片、填 料 或 密 封 失效 5) 不适当的维护 6) 仪表或仪表线失效 7) 材质缺陷 8) 采样阀泄漏 9) 通 风 口 和 排 水 阀 泄漏 10) 低温(见4) |
正已皖泄漏,如果防火堤不能包容释放物,可能造成大面积火灾,造成人员伤亡 |
G 操作和维护程序,需要时隔离 H 能手动隔离缓冲罐 I 按 照规范和标准进行预防性检测 J 安全阀,释放到缓冲罐 防火堤内 K 防 火堤容积能容纳正已皖 45t(1.5 倍缓冲罐能力) L 紧急响应程序 |
IE 确认
本例选定IE 为BPCS液位控制回路失效,根据表 E.1,其失效频率为1X10—1/a。
IPL 评估
对场景的防护措施开展IPL 评估,包括:
防火堤。一旦发生罐体溢流,合适的防火堤可以包容这些溢流物。如果防火堤失效,将发生大面积扩散,从而发生潜在的火灾、损害和死亡。防火堤满足IPL 所有的要求,包括:
如果按照设计运行,防火堤可有效地包容储罐的溢流;
防火堤独立千任何其他独立保护层和IE;
可以审查防火堤的设计、建造和目前的状况。
对千本例,根据表 E.3,防火堤的PFD 取1 X 10—2。
BPCS报警和人员响应行动。在本例中,人员行动不作为IPL,原因如下:
由千操作人员不总是在现场,在防火堤失效导致重大释放前,不能假设独立千任何报警的操作人员行动能有效地检测和阻止释放。
BPCS液位控制回路失效(IE)导致系统不能产生报警,从而不能提醒操作人员采取行动以阻止缓冲罐进料。因此,BPCS产生的任何报警不能完全独立千 BPCS 系统,不能作为独立保护层。
C) 安全阀。缓冲罐上的安全阀无法防止缓冲罐发生溢流,因此,对千本场景,安全阀不是IPL。
场景频率计算
取点火概率为1,人员暴露概率为0.5,人员伤亡概率为0.5,则后果发生频率为:
f C =fIXPFDdikeXPi XPeX XPd
i i g
式中:
=(1X10—1/a)X(1X10—2)X1X0.5X0.5
=2.5X10—4/a
=2X10—4/a(取整)
i
f C 初始事件i的后果C的发生频率,单位为/a;
i
fI 初始事件i的发生频率,单位为/a;
PFDdike 防火堤的PFD;
Pig 点火概率;
PeX 人员暴露概率;
Pd 人员伤亡概率。
G.1.6 风险评估与决策
缓冲罐 LIC 失效,溢流物未被防火堤包容,溢出物被点燃,造成人员伤亡,后果等级为5 级。事件发生的频率为2X10—4/a。根据后果等级为5 级和频率为2X10—4/a,查询表 F.2,其风险等级为高风险,要求:选择合适的时机采取行动。
分析小组决定安装一个独立的SIF,用千检测和阻止溢流。本SIF 采用独立的液位传感器、逻辑控制器和独立的截断阀,见图 G.2中粗线部分。当检测到高液位时,该SIF 联锁关流量控制阀 LV-90 和远程截断阀。可根据企业具体的风险控制要求,确定该SIF 的SIL。在本例中,确定该 SIF 的 FPD 为 1X10—2(SIL1)。对千场景,SIF 将释放事件的频率从2X10—4/a降低到2X10—6/a。在风险矩阵中,对千后果等级为5 级、频率为2X10—6/a的事件,其风险等级为中风险,要求:可选择性地采取行动。此时,企业可采用成本效益分析,决定是否需采用额外的措施进一步降低风险。
G.1.7 LOPA 记录表
本案例 LOPA 记录表见表 G.2。
图 G.2 正已皖缓冲罐溢流(增加IPL 后)
| 公司名称 | 装置名称 | 时间 | ||||||||||||||||||||||||
| 工艺单元 | 分析组成员 | 图纸号 | ||||||||||||||||||||||||
| 分析节点 | 正己皖缓冲罐 | |||||||||||||||||||||||||
| 序 号 |
场景 |
后 果 |
初始事件 |
使能必要事件/条件 | 条件修正 |
IPL |
其他保护措施 | 后果发生频率 | 现有风险等级 | 需求的SIL等级 或建议的IPL |
减缓后的后果发生频率 |
减缓后的风险等级 |
备 |
注 |
||||||||||||
| 描述 |
等级 |
描述 |
频率/ a |
描述 |
概率 |
点火概 率 |
人员暴露概率 | 致死概 率 |
描述 |
IPL 类别 |
PFD |
描述 |
IPL 类别 |
PFD |
||||||||||||
| 由于储 |
BPC LIC 控制 回路 失效 |
防火堤 |
释放后保护设施 |
人员响应行动 |
回风险 |
增加一个独立的 SIF 用于检测和阻止溢流 |
中风险 |
F 人员行动 不 作 为IPL,原 因如下: 操 作人 员 不 总是在现场 BPCS 液 位 控 制回 路 失 效(IE)导 致系 统 不 能 产生报警 从 而 不 能提 醒 操 作人 员 采 取行 动 以 阻止 缓 冲 罐进料 G 企业可采 用 成 本效益分析决 定 是 否需 采 用 额外 的 措 施进 一 步 降低风险 |
||||||||||||||||||
| 罐溢流 | ||||||||||||||||||||||||||
| 正己 | 和防火 | |||||||||||||||||||||||||
| 皖缓 | 堤失 | |||||||||||||||||||||||||
| 1 |
冲罐溢流, 溢流物未 被防 |
效,导致释放的正己皖流出 防火 |
5 |
S 1X 10—1 |
|
|
1 |
0.5 |
0.5 |
1X 10—2 |
2.5 X 10—4 |
, SIF |
1X 10—2 (SIL 1) |
2.5 X 10—6 |
||||||||||||
| 火堤 | 堤,发 | |||||||||||||||||||||||||
| 包容 | 生火灾 | |||||||||||||||||||||||||
| 和人员 | ||||||||||||||||||||||||||
| 伤亡 | ||||||||||||||||||||||||||
表 G.2 LOPA 记录表
,
,
PVC 反应器
工艺描述
图 G.3为氯乙烯单体(VCM)生产聚氯乙烯(PVC)工艺的简化 P&ID 图。示例的详细描述可参见 LayerofProtectionAnaLysis SimJLifiedProcessRiskAssessment。此过程为间歇聚合反应。水、液态 VCM、引发剂和添加剂通过同一喷管注入搅动的夹套反应器内。注入喷管与安全阀(PSV)相连接,抑制剂也可通过同一喷管添加。
注:一些SIFs(如火灾、气体和手动跳车)没有绘制出。
图 G.3 PVC 工艺的简化P&ID 图
场景识别与筛选
根据前期进行的危害分析,通过后果分级表 F.3,筛选进行 LOPA 的场景。表 G.3 为筛选出的 LOPA 场景。本例以场景1为例进行分析。场景1为冷却水失效,导致反应失控,反应器潜在的超压、泄漏、断裂,造成人员受伤和死亡,后果等级为5级。
表 G.3 筛选出的 LOPA 场景
| 场景1 |
冷却水失效,导致反应失控,反应器潜在的超 压、泄漏、断裂,潜在的受伤和死亡 |
场景5 |
人员错误 注入2 倍催化剂的量,导致潜在的反应失控,超压、泄漏、断裂,受伤和死亡 |
| 场景2 |
搅拌机电动机转动失效,导 致潜在的反应失控,超压、泄漏、断裂,受伤和死亡 | 场景6 |
BPCS液位控制失效,导致反应器溢流,潜在的 反应器超压、泄漏、断裂,受伤和死亡 |
| 场景3 |
停电(大面积),导致潜在的反应失控,超压、泄漏、断裂,受伤和死亡 | 场景7 |
在升温期间,BPCS温度控制失效,潜在的反应 器超压、泄漏、断裂,受伤和死亡 |
| 场景4 |
冷却泵失效(停电),导致潜在的反应失控,超 压、泄漏、断裂,受伤和死亡 |
场景8 |
搅拌器密封失效,导致潜在的 VCM 泄漏,潜在的火灾、爆炸、受伤和死亡 |
初始事件确认
本例选定IE 为冷却水失效,根据表 E.1,其失效频率为1 X 10—1。冷却水损失引起反应失控的反
应器条件概率为0.5。
IPL 评估
对场景的防护措施开展IPL 评估,包括:
BPCS报警和人员响应行动。冷却水失效时,BPCS 将会产生低流量报警,人员添加抑制剂。
BPCS报警和人员响应可满足IPL 的要求,包括:
BPCS报警和人员响应独立于IE 和其他独立保护层;
仅要求操作人员执行添加抑制剂的行动,任务具有单一性和可操作性;
操作人员有足够的响应时间;
如果操作人员训练有素,身体条件合适,则能够完成报警所触发的操作任务。
对于本例,根据表 E.3,该IPL 的PFD 取1 X 10—1。
安全阀。安全阀可防止反应器发生超压泄漏,但是由于安全阀放空与抑制剂的添加共用同一管道,尤法保证安全阀放空与抑制剂的添加可以同时进行,因此需修改安全阀设计,安全阀安装独立的放空管线。此外,考虑在安全阀下增加氮气吹扫,以最小化管线或阀门进口聚合物沉积或冻结。变更后,如果安全阀安装和维护符合IPL 的要求,可作为IPL。
对于本例,根据表 E.3,变更后该IPL 的PFD 取1 X 10—2。
C) 紧急冷却系统(蒸气涡轮机)。在本例中,紧急冷却系统不能作为IPL,因为其不独立于IE,与冷却水系统有多个公共元件(管线、阀门等)。这些公共元件在引起冷却水失效时,也会导致 紧急冷却系统失效。
场景频率计算
后果发生频率为:
f C =fIXPcXPFDBPCSXPFDPSV
式中:
i i
=(1X10—1/a)X0.5X(1X10—2)X1X10—1
=5X10—5/a
i
f C IEi的后果 C的发生频率,单位为/a;
i
fI IEi的发生频率,单位为/a;
Pc 条件概率;
PFDBPCS BPCS报警和人员响应行动的PFD;
PFDPSV 安全阀的PFD。
风险评估与决策
冷却水失效,导致反应失控,反应器潜在的超压、泄漏、断裂,潜在的受伤和死亡,后果等级为5 级。后果发生的频率为5X10—5/a。根据后果等级为5级和频率为5X10—5/a,查询表F.2,风险等级为中风险,要求:可选择性的采取行动。
分析小组决定安装一个独立的SIF,当检测到超压时,联锁打开放空阀。放空阀具有独立的放空管线,同样在放空阀下考虑增加氮气吹扫。该SIF 的设置见图 G.4粗线部分。可根据企业具体的风险控制要求,确定该SIF 的SIL。在本例中,确定该 SIF 的 FFD 为1X10—2 (SIL1)。对千场景,SIF 将释放事件的频率从5X10—5/a降低到5X10—7/a。根据表 F.2,对千后果等级为5 级、频率为5X10—7/a的事件,风险等级为低风险,不需采取行动。注:一些SIFs(如火灾、气体和手动跳车)没有绘制出。
图 G.4 PVC 工艺的简化P&ID 图(增加IPL 后)
LOPA 记录表
本案例 LOPA 记录表如表 G.4所示。
表 G.4 LOPA 记录表
公司名称 装置名称 时间
工艺单元 分析组成员 图纸号
分析节点 PVC 反应器
后 果 初始事件
序
场景
号 等 描 频 率 /
使能必要事件/条件
条件修正
人 员 致
点火 死
IPL
描 IPL
其 后 现他 果 有保 发 风护 生 险措 频 等
需求的SIL等级 减缓
或建议的IPL 后的 减缓
后的
后果 备注
率 级 等级
IPL 发生 风险
描述
级 述 a
描 述 概率 暴露
概率 概
述 类 别
FD 施
描述 PFD
类别
P
概率 率 频率
冷却
水失
反应
效, 冷却
失控,
反应 水损
潜在
1.
紧
BP-
急
CS
报 冷
回路 反应
警 却
反应 器增
和 系
器高 1X 加一
人 统
安 全
阀 作 为IPL 应满足 以 下要求:
对千每一个安全阀安装独立的放空管线
在所有 放 空阀 / 安 全阀下考虑N2吹扫
其 他
的操作人
失控,
的反
潜在
应器
的反
失引
冷
起反
却
1X 应 失
温报 10—1
员 (蒸
警,
响 气 高
添加 5X
个
SIF:
安装
1X
10—2 5X
员行动不
独立千已
低 经确认的
1 超压、5 水
应器
10—1
0.5 应
控的 抑制
涡 风
01—5
SIF
一个
风
(SI 10—7
保护层的
泄漏、 损
超压、 反应
断裂、 失
泄漏、 器条
受伤
断裂、 件概
和死
受伤 率
亡
和死
亡
轮 险
剂 在高
机)
压时
2.
打开
操
的放
作
空阀
人
员行动
物
安
理 1X
全
保 10—2
阀
护
L1)
险 同一操作
人员
紧 急冷却系统不能作为IPL,因为其不独立千 IE,与冷却水系统有多个公共元件
(管线、阀
门 等 )。这些公共元件在引起冷却水失 效 时 , 也会导致紧急冷却系统失效
循环氢加热炉
工艺描述
加氢裂化装置循环氢加热炉简化P&ID 图见图 G.5。该循环氢加热炉为立管立式炉,介质流量为
6000Nm3/h,炉 管的设计压力为 20 MPa,对 流段设计热负荷为 1139kW,辐 射段设计热负荷为
3877kW,用千加热循环氢。该炉子位千加氢裂化反应器入口,氢气经过炉子加热后与精制油、循环油、
热高分来的常规液态轻混合进入加氢裂化反应器。
图 G.5 加氢裂化装置循环氢加热炉简化P&ID 图
场景识别与筛选
采用 HAZOP 分析辨识工艺中存在的主要危险,通过后果分级表 F.3,筛选进行 LOPA 的场景。表 G.5为筛选出的 LOPA 场景。本例以场景2为例进行分析。场景2 为燃料气总管压力低造成加热炉熄火,炉内燃料气积聚导致遇明火爆炸。后果等级为4级。
表 G.5 筛选出的 LOPA 场景
| 场景1 | 加热炉出口氢气温度高造成加氢裂化反应器入口温度过高,引起反应失控,损坏反应器 |
| 场景2 | 燃料气总管压力低造成加热炉熄火,炉内燃料气积聚导致遇明火爆炸 |
| 场景3 | 加热炉进料流量低造成加热炉炉管干烧而损坏 |
初始事件确认
本例选定IE 为燃料气总管压力传感器故障,人员未及时响应,根据表E.1,其失效频率为1X10—2。
IPL 评估
燃料气总管压力设有SIF。当 PT3108 检测到燃料气压力过低时,SIF 逻辑控制器输出信号关闭 XCV31404A 和 XCV3104B,同时切断去主火嘴的燃料气和去长明灯的燃料气,熄灭火嘴和长明灯,防止加热炉内因熄火出现燃料气积聚而导致遇明火爆炸。但是,由千该SIF 与人员响应得到的报警共用一个传感器,不独立千初始事件的发生,所以,该SIF 不能作为IPL。
场景频率计算
后果发生频率为:
f C=fI=1X10—2/a
i i
式中:
i
f C IEi的后果 C的发生频率,单位为/a;
i
fI IEi的发生频率,单位为/a。
风险评估与决策
燃料气总管压力低造成加热炉熄火,炉内燃料气积聚导致遇明火爆炸,后果等级为4级。后果发生的频率为1X10—2/a。根据后果等级为4和频率为1X10—2/a,查询表F.2,风险等级为高风险,要求:选择合适的时机采取行动。
分析小组将燃料气总管压力低报警和人员响应系统与燃料气总管压力SIF 在硬件上独立。此时,燃料气总管压力SIF 可作为IPL。可根据企业具体的风险控制要求,确定该SIF 的SIL。在本例中,确定该SIF的FFD 为1X10—2(SIL1)。对千场景,SIF 将释放事件的频率从1X10—2/a降低到1X10—4/a。根据表F.2,对千后果等级为4级、频率为1X10—4/a的事件,风险等级为中风险,企业可采用成本效益分析,决定是否需采用额外的措施进一步降低风险。
LOPA 记录表
本案例 LOPA 记录表如表 G.6所示。
表 G.6 LOPA 记录表
| 公司名称 | 装置名称 | 时间 | |||||||||||||||||||||||
| 工艺单元 | 分析组成员 | 图纸号 | |||||||||||||||||||||||
| 分析节点 | 循环氢加热炉 | ||||||||||||||||||||||||
| 序 号 |
场景 |
后果 |
初始事件 |
使能必要事件/条件 | 条件修正 |
IPL |
其他保护措施 |
后果发生频率 |
现有风险等级 |
需求的SIL等级 或建议的IPL |
减缓后的后果发生频率 |
减缓后的风险等级 |
备 注 |
||||||||||||
| 描述 |
等级 |
描述 |
频率/ a |
描述 |
概率 |
点火概率 |
人员暴露概率 | 致死概率 |
描述 |
IPL 类别 |
PFD |
描述 |
IPL 类别 |
PFD |
|||||||||||
| 燃料气总管压力低造成加热炉熄火, 炉内燃料气积聚导致遇明火爆炸 |
燃 料 气 总 管压力低 造 成 加 热炉 熄火, 炉内燃 料 气 积 聚 导 致 遇 明 火 爆炸, 设 备 损坏 |
燃料气总管压力传感器故 障, 人员未及时响应 |
燃料气总管压力 SI |
高风险 |
将燃料气总管压力低报警和人员响应与燃料气总管压力 SIF 在硬件上独立此时该 SIF 可作 为 IPL |
中风险 |
将燃料气 |
||||||||||||||||||
| 总管压力 | |||||||||||||||||||||||||
| 1X | 低报警和 | ||||||||||||||||||||||||
| 1 |
4 |
1X 10—2 |
|
|
|
|
|
|
|
|
1X 01—2 |
SIF |
10—2 (SIL 1) |
1X 10—4 |
人员响应与燃料气 总管压力 |
||||||||||
| SIF 在 硬 | |||||||||||||||||||||||||
| F | 件上独立 | ||||||||||||||||||||||||
| , | |||||||||||||||||||||||||
参 考 文 献
DowellM.A LayerofproteCtionanalysisfordeterminingsafetyintegritylevel.ISA Trans- aCtions,1998,37(3).155 165
CCPS. LayerofProteCtionAnalysis SimplifiedProCessRiskAssessment. New York.A- meriCanInstituteofChemiCalEngineers,CenterforChemiCalProCessSafety,2001
CCPS. GuidelinesforSafeAutomationofChemiCalProCesses. New York.AmeriCanInsti- tuteofChemiCalEngineers,CenterforChemiCalProCessSafety,1998
CCPS. GuidelinesforSafeandReliableInstrumentedProteCtiveSystems. New York.A- meriCanInstituteofChemiCalEngineers,CenterforChemiCalProCessSafety,2007
CCPS. GuidelinesforhazardevaluationproCedures (thirdedition). New York.AmeriCan InstituteofChemiCalEngineers,CenterforChemiCalProCessSafety,2008
IEC. FunCtionalsafety SafetyinstrumentedsystemsfortheproCessindustryseCtor.In- ternationalEleCtroteChniCalCommission,2003
BridgesB.W,ClarkT.KeyissueswithimplementingLOPA (layerofproteCtionananlys- is) perspeCtivefromoneoftheoriginatorsofLOPA.5th GlobalCongressonproCesssafety,2009
DowellM.A.IsitreallyanindependentproteCtionlayer.6th GlobalCongressonproCess safety,2010
MurphyF.W,BridgesW.InitiatingeventsandindependentproteCtionlayersforLOPA,a new CCPSguidelinebook. AIChESpringNationalMeeting.2009
YoungG.G,CroweS.G. ModifyingLOPAforimprovedperformanCe. ASSEprofessional
developmentConferenCeandexposition,2006
第三方机构
联系我们
- 名称:南京和利仁安全技术有限公司
- 联系人:洪经理
- 电话:13813843288(微信同号)
- 地址:南京市建邺区新安江街99号东渡新锐大厦501室
