摘 要

摘　要：介紹IEC 61508、IEC 61511兩個國際標(biāo)準(zhǔn)，分析保護層分析技術(shù)，結(jié)合工程實例，探討了LNG工廠的安全保護層分析。關(guān)鍵詞：LNG工廠；　安全儀表系統(tǒng)；　保護層分析Discussion on Laye

摘　要：介紹IEC 61508、IEC 61511兩個國際標(biāo)準(zhǔn)，分析保護層分析技術(shù)，結(jié)合工程實例，探討了LNG工廠的安全保護層分析。

關(guān)鍵詞：LNG工廠；　安全儀表系統(tǒng)；　保護層分析

Discussion on Layer of Protection Analysis Technology of LNG Plant

Abstract：Two international standards：IEC 61508 and IEC 61511 are introduced．The laver of protection analysis technology is analyzed．The layer of protection analysis of LNG plant is discussed with an engineering example．

Keywords：LNG plant；safety instrumented system；layer of protection analysis

 

1　概述

LNG工廠由于物料的易燃易爆特性、產(chǎn)品的低溫深冷特性以及低溫帶來的某些工藝條件的苛刻性決定了其安全的重要性。安全儀表系統(tǒng)(Saletv Instrumented System，簡稱SIS)是通過儀表和自動化技術(shù)實現(xiàn)安全的一種措施，近幾年在我國已建的LNG工廠中廣泛使用，對LNG工廠的安全生產(chǎn)起到了一定的保證作用。但也應(yīng)注意到，從業(yè)者普遍過分依賴SIS，忽視了其他技術(shù)安全相關(guān)系統(tǒng)(也稱其他技術(shù)保護層)，造成的結(jié)果一是SIS的動作率偏高，導(dǎo)致停車頻繁，工廠經(jīng)濟性受到損害；二是裝置的安全保護層不完善，過程安全存在一定的隱患。

LNG工廠的安全保護是多重保護，即SIS作為保護層必須和其他保護層結(jié)合考慮，IEC 61511《過程工業(yè)領(lǐng)域安全儀表系統(tǒng)的功能安全》第3部分附錄F推薦了保護層分析(Layer of Proteetion Analysis，簡稱LOPA)技術(shù)，分析每個保護層的安全功能和功能安全十分必要。下面筆者介紹IEC 61508《電氣、電子、可編程電子安全相關(guān)系統(tǒng)的功能安全》和IEC 61511《過程工業(yè)領(lǐng)域安全儀表系統(tǒng)的功能安全》兩個標(biāo)準(zhǔn)及保護層分析技術(shù)，從工程設(shè)計的角度探討LNG工廠的安全保護。

2　國際標(biāo)準(zhǔn)IEC 61508和IEC 61511介紹

IEC 61508和IEC 61511是過程安全領(lǐng)域里十分重要的國際標(biāo)準(zhǔn)，兩標(biāo)準(zhǔn)雖關(guān)注的是安全儀表系統(tǒng)，但均認為實現(xiàn)或保持過程工業(yè)的安全狀態(tài)并不只靠安全儀表系統(tǒng)。兩標(biāo)準(zhǔn)對“安全功能”的定義是：針對特定的危險事件，為達到或保持過程的安全狀態(tài)，由安全儀表系統(tǒng)、其他技術(shù)安全相關(guān)系統(tǒng)或外部風(fēng)險降低設(shè)施實現(xiàn)的功能。這些安全功能在IEC標(biāo)準(zhǔn)中也稱為安全保護層。

解讀IEC標(biāo)準(zhǔn)可以認為過程工業(yè)常用的安全保護層，如工藝過程的固有安全設(shè)計、基本過程控制系統(tǒng)和物理保護(如安全閥、爆破片)等是最基本的保護層，只有這些保護層不能將風(fēng)險降低到可接受的水平時才使用安全儀表系統(tǒng)。因此安全儀表系統(tǒng)作為保護層與其他技術(shù)保護層的互相配合，以及每一保護層的功能正確實施，是IEC標(biāo)準(zhǔn)功能安全的核心。

3　保護層分析(LOPA)技術(shù)

3.1　LOPA技術(shù)概述

①LOPA技術(shù)是一種過程危險分析工具，是一種半定量的分析評估技術(shù)。它將危險與可操作分析(HAZOP)導(dǎo)出的危險事件定性給出；定量計算每個獨立保護層(Independent Protection Layer，IPL)的失效概率以及全部保護層總的“已減輕的事件可能性”以及殘余風(fēng)險；再依據(jù)本公司風(fēng)險目標(biāo)值，定量評估殘余風(fēng)險值是否可以接受。

②獨立保護層(IPL)，其實質(zhì)是能夠有效阻止危險事件向不良后果繼續(xù)發(fā)展的一種設(shè)備、系統(tǒng)或行動，獨立保護層實行的風(fēng)險降低機制是一層一層不斷地將后果的嚴重程度消弱，直到殘余風(fēng)險可接受。

③獨立保護層(IPL)消減后果頻率的績效用PFD進行量化，PFD是要求時的平均失效概率表示，所謂要求時的平均失效概率指的是在響應(yīng)過程狀態(tài)或其他請求時(例如人工命令)執(zhí)行其功能的績效；SIS作為一種用儀表和自動化技術(shù)實現(xiàn)安全的保護層，績效用安全完整性等級(SIL)表示，其值也是要求時的平均失效概率；獨立保護層分析中“事件的可能性”取值是每年的次數(shù)，“中間的事件的可能性”表示無SIS保護層時的事故頻率與其他保護層的PFD的乘積；“已減輕的事件的可能性”是指事故頻率與包括SIS在內(nèi)的全部保護層的PFD的乘積，PFD與RRF(風(fēng)險降低因數(shù))互為倒數(shù)。

④在某些情況下，只有引發(fā)原因并不能導(dǎo)致特定的危險事件，可能還需要其他條件。例如易燃物質(zhì)釋放后遇點火源才能發(fā)生火災(zāi)事故，易燃物質(zhì)的釋放是引發(fā)原因，點火源稱為使能條件；發(fā)生火災(zāi)事故是否導(dǎo)致重大傷亡事故，還應(yīng)考慮的條件是人員暴露在危險事件區(qū)域的概率及造成致命傷害的概率，這兩個條件稱為傷害條件。

3.2　保護層的風(fēng)險值計算

①已減輕的事件的可能性

已減輕的事件的可能性計算公式見式(1)。

 

式中fi^c——初始事件i造成c后果的頻率，也稱已減輕的事件的可能，次／a

fi^I——初始事件i的初始發(fā)生頻率，次／a

Pij——初始事件i中第，個阻止后果c的獨立保護層(IPL)要求時的失效概率(PFD)

J——初始事件i中阻止后果C的獨立保護層的個數(shù)

②殘余風(fēng)險

殘余風(fēng)險的計算公式見式(2)。

 

式中R——殘余風(fēng)險，次／a

n——初始事件的個數(shù)

ff——點火概率

fp——一個人在危險區(qū)域的概率

fs——火災(zāi)中造成致命傷害的概率

3.3　LOPA分析實施步驟

①利用HAZOP分析結(jié)果，篩選危險事件。

②確定危險事件的嚴重性等級。

③辨識危險事件的引發(fā)原因和引發(fā)可能性。

④列舉現(xiàn)有保護層的失效概率。

⑤計算中間的事件可能性。

⑥確定SIS的安全完整性等級(SIL)。

⑦計算已減輕的事件可能性。

⑧計算殘余風(fēng)險并評估是否可接受。

3.4　保護層的設(shè)計原則

①獨立性。防護功能是針對特定的危險事件設(shè)置的，能獨立地應(yīng)對其引發(fā)事件的發(fā)生和后果，與引發(fā)事件的初始原因和其他保護層的失效無關(guān)聯(lián)。例如發(fā)生LNG儲罐超裝事故，其初始原因是進液控制回路失效，則進液控制回路不能作為防止儲罐超裝的獨立保護層。

②功能性。從對危險性事件檢測、識別到響應(yīng)，能快速準(zhǔn)確地實現(xiàn)安全功能。例如，制冷劑壓縮機的防喘振控制系統(tǒng)，設(shè)定連續(xù)10s內(nèi)發(fā)生5次喘振，機組將立即停車，從而防止因喘振損壞機組。

③完整性。獨立保護層消減后果頻率的績效(PFD)越小，其正確運行或中斷事件鏈的可能性就越大，PFD的取值范圍為1×10^-4～1×10^-1每個保護層的PFD應(yīng)達到10倍因數(shù)的減少。

④可靠性。在規(guī)定的條件下和時間內(nèi)完成規(guī)定的功能的可靠度。

⑤可審查性。每個保護層功能的效力或失效率必須是可以審查的，可以用數(shù)據(jù)定量評估的。

⑥安全許可性。安全許可性是指操作層面要實行安全許可制度，防止未經(jīng)授權(quán)的操作和變更。

4　LNG工廠安全保護層分析

4.1　LNG工廠工藝流程

LNG工廠的工藝流程是原料氣增壓后進入預(yù)處理單元脫除各種雜質(zhì)，然后液化為LNG，再儲存裝車。

4.2　LNG工廠安全保護層的設(shè)計

4.2.1 LNG工廠安全保護層模型

參照IEC 6151 1第1部分的典型安全保護層模型圖，本文給出的模型見圖l。

 

4.2.2安全保護層的功能設(shè)計

①固有安全設(shè)計

固有安全設(shè)計也稱本質(zhì)化安全設(shè)計，是利用工藝流程和工藝裝置的安全技術(shù)措施作保護層。危險事件是因在生產(chǎn)過程中發(fā)生能量或危險物質(zhì)的意外釋放，意外釋放的原因是能量的約束條件遭到破壞或失效故障，利用工藝流程和工藝裝置作安全保護層是最根本的保護層。在這個保護層里應(yīng)使工藝流程危險陛盡可能小；應(yīng)使危險物料在生產(chǎn)過程中存量盡可能少；應(yīng)使施加于危險物料的能量(如壓力、溫度)盡可能??；流程盡可能簡約化，應(yīng)使人工誤操作的可能性盡可能?。粦?yīng)使工藝裝置(設(shè)備)對工藝參數(shù)的變化有一定的適應(yīng)性。LNG工廠生產(chǎn)工藝是個物理過程，不屬危險性化學(xué)工藝過程，但是工藝條件有一定的苛刻性。例如氣源組成變化較大，凈化不徹底易造成冷箱換熱器流道堵塞。設(shè)計中應(yīng)提高凈化工藝的適應(yīng)范圍使雜質(zhì)脫除干凈。此外，工廠的低溫深冷設(shè)施如LNG儲罐和低溫管道在絕熱層絕熱效果差或受損時容易受熱超壓，設(shè)計中應(yīng)選擇性能良好的保冷材料和先進的保冷工藝。

②基本過程控制系統(tǒng)(BPCS)

BPCS是過程監(jiān)測控制層，是執(zhí)行持續(xù)監(jiān)測和控制生產(chǎn)過程的控制系統(tǒng)，可提供三種不同的安全功能：a．連續(xù)控制行動，保持過程參數(shù)在正常范圍內(nèi)，并努力防止初始事件場景發(fā)生；b．自動識別過程偏差，及時提供報警，促使操作人員采取糾正行動，使過程正?；?；c．自動跟蹤過程，不試圖使過程正?；?，而是使裝置安全停車，使過程處于安全狀態(tài)。BPCS作為保護層，其檢測元件、邏輯控制器和執(zhí)行元件都必須分別與SIS在物理上獨立。

IEC 61511第1部分給出兩個限定條件：a．用作保護層的BPCS實現(xiàn)的風(fēng)險降低因數(shù)RRF不大于10；b．如果要求BPCS實現(xiàn)的風(fēng)險降低因數(shù)RRF大于10，BPCS的設(shè)計和管理必須遵循IEC兩標(biāo)準(zhǔn)，即達到和SIS一樣的功能安全水平和進行功能安全管理，且需保證用作風(fēng)險降低的通道與引發(fā)原因通道(被保護通道)相互獨立。

③關(guān)鍵點報警及人工干預(yù)

在關(guān)鍵點報警后(即高報警，與SIS響應(yīng)的高高報警不同)，通過人工操作使裝置運行在設(shè)定的正常范圍內(nèi)，或通過人工操作裝置仍不能正常響應(yīng)時也可實現(xiàn)人工安全停車。對操作人員的要求是熟悉管道和儀表流程圖，熟悉裝置陛能，具備基本的過程操作能力，具備風(fēng)險控制能力。在關(guān)鍵點報警后實現(xiàn)安全停車，這一操作過程也相對簡單。

④SIS保護

SIS是通過安全儀表實現(xiàn)安全功能的一種保護層，它是在BPCS失效且人工干預(yù)又失效后，臨界狀態(tài)即將發(fā)生時(即高高或低低報警后)立即通過安全儀表功能快速響應(yīng)，實現(xiàn)緊急停車(ESD系統(tǒng))。SIS的檢測元件、邏輯控制器、執(zhí)行元件完全獨立于BPCS，SIS的設(shè)計應(yīng)遵循IEC兩標(biāo)準(zhǔn)及國內(nèi)相關(guān)標(biāo)準(zhǔn)(GB／T 50770—2013《石油化工安全儀表系統(tǒng)設(shè)計規(guī)范》)，硬件設(shè)備應(yīng)經(jīng)權(quán)威性機構(gòu)認證，工程設(shè)計時根據(jù)公司風(fēng)險目標(biāo)的要求以及現(xiàn)有保護層的風(fēng)險降低概率，選擇SIS的安全完整性等級。

⑤物理保護

物理保護也稱為機械保護，如儲罐的安全閥、爆破片及溢流閥等，通過機械形式使能量(或危險物質(zhì))的包容物不發(fā)生物理爆炸事故或事故危害減輕。在對重要的設(shè)備設(shè)置安全閥時也同時設(shè)計人工自動放空閥。

⑥釋放后保護

釋放后保護是在已發(fā)生可燃氣體、液體泄漏后的保護系統(tǒng)。主要是設(shè)置火災(zāi)和氣體安全系統(tǒng)(FGS)檢測泄漏或火災(zāi)事故，實現(xiàn)報警并啟動自動消防系統(tǒng)；設(shè)計攔蓄區(qū)使事故局限化；設(shè)計建筑物泄壓，減輕爆炸破壞力；按規(guī)范留足建筑物之間或設(shè)備之間的防火間距，防止相互引燃事故；設(shè)計火炬，減少事故對環(huán)境的危害；選擇防爆電器、設(shè)計防雷、防靜電接地，防止電氣火花引燃爆炸性混合氣體等。

⑦緊急響應(yīng)

本層是指較嚴重的事故發(fā)生后，通過啟動應(yīng)急搶險預(yù)案，如報警、組織搶險、組織廠區(qū)和社區(qū)人員疏散。因本層涉及到人為因素及不確定因素，難以準(zhǔn)確地評估其功能績效和給出失效概率，所以本層不作為獨立的保護層。我國已經(jīng)發(fā)生了多起石油、化工、燃氣泄漏事故，有的事故從發(fā)現(xiàn)泄漏到發(fā)生爆炸其過程長達幾個小時，但由于緊急狀態(tài)下的處理不當(dāng)，人員疏散不及時造成了重大的傷亡事故。這些事故案例一方面說明了此層確實不能作為獨立的保護層，另一方面也說明了此層的重要性，正確利用緊急響應(yīng)層，人員傷亡可以避免或傷害程度可以減小。

5　應(yīng)用實例

5.1　工程概況及事故場景描述

LNG儲罐是LNG工廠危害性最大的危險源，以某工廠的LNG儲罐為例進行LOPA分析。該儲罐容積為5000m³，為單容罐，常壓。出液口在儲罐底部正下方，出液口內(nèi)罐處裝有一個內(nèi)置閥，外罐處裝有一個根部閥；進液管從罐頂部引出，經(jīng)絕熱層引至儲罐側(cè)下方，進液口裝有根部閥；儲罐裝有安全閥，安全閥壓力保護設(shè)定為一級排放排向火炬，二級排放在罐頂部直接排向大氣。危險事件的場景描述是：①因BOG控制回路失效，罐內(nèi)BOG超壓，安全閥動作泄壓排放；②出液口因外罐根部閥泄漏，液體流淌到地面；③進液口因根部閥閥體裂紋泄漏。上述三種危險事件釋放的易燃物質(zhì)遇點火源發(fā)生火災(zāi)。

5.2　LOPA分析計算

①LOPA分析報告

LOPA分析報告見表1。

 

②殘余風(fēng)險計算

由表1知

 

ff和fp已在第5列和第9列中考慮，fs取0.5^[1]，則由式(2)得R=5.1×10^-7。

③殘余風(fēng)險評估

本公司風(fēng)險目標(biāo)控制值為1×10^-6(此值參考英國健康和安全局標(biāo)準(zhǔn))，殘余風(fēng)險計算值5.1×10^-7低于風(fēng)險目標(biāo)控制值，可以接受。

6　結(jié)語

①IEC 61508、IEC 61511兩標(biāo)準(zhǔn)雖關(guān)注的焦點是安全儀表的功能安全，但是從另一面也揭示了SIS技術(shù)保護層與其他技術(shù)保護層的關(guān)系，合理設(shè)計、分配保護層的功能是工程設(shè)計的重點。

②功能安全不僅是保護層的設(shè)計和搭建，更重要的是在整個生命周期內(nèi)，建立以功能安全為核心的管理體系，日常的定期維護、測試、評估等是功能安全管理必不可少的內(nèi)容。

 

參考文獻：

[1]盧衛(wèi)，王延平．保護層分析方法[J]．安全、健康與環(huán)境，2006(4)：32-34．

 

本文作者：郭宗華

作者單位：陜西省燃氣設(shè)計院