干货 | SIS系统中如何确定某SIF必须满足的SIL等级?

干货 | SIS系统中如何确定某SIF必须满足的SIL等级?
特别策划
"
保护层分析(LOPA)方法通过在定性危险分析的基础上,进一步对具体事故场景风险进行半定量评估,从而判定该场景发生时系统所处的风险水平是否达到可容许风险标准要求。本文重点分析了LOPA的定义、LOPA程序、LOPA场景的选择、后果分析和可容忍风险标准等内容,并说明了初始事件、使能条件、修正因子等概念,以及实际工程中应注意的方面。
"

 

保护层分析(LOPA)是对事故场景风险进行半定量评估的一种系统方法,一次分析一个事故场景,使用初始事件频率、独立保护层(IPL)失效概率和后果严重性的预定义值,将场景风险估计与风险标准进行比较,确定是否需要额外风险降低或更详细的分析。如需额外的风险降低并且是以安全仪表功能(SIF)的形式提供这种降低,LOPA分析可以确定合适的SIF的安全完整性等级(SIL)。
 
事故场景在其他地方确定,通常使用基于场景的危害评估方法,如危险与可操作性分析(HAZOP)、What-if、失效模式与效应分析(FMEA)等。
 
-01-
 保护层分析原理
 
LOPA分析是在定性危险分析的基础上,进一步对具体场景的风险进行相对量化(准确到数量级)的研究,包括对场景的准确表述及识别已有的IPL,从而判定该场景发生时系统所处的风险水平是否达到可容许风险标准的要求,并根据需要增加适当的保护层,以将风险降低至可容许风险标准所要求的水平。LOPA原理如图1所示,图1中箭头宽度代表后果频率大小,箭头长度代表后果严重性,PFD为要求时危险失效概率。



图1  LOPA分析原理示意

 
-02-
保护层分析程序
 

 
LOPA分析程序如图2所示,其中,Ft为后果可容忍频率,Fnp为不考虑SIS保护的后果发生频率,当Ft  / Fnp﹤1时需要进一步降低风险。


图2  LOPA分析流程示意
 

 
-03-
保护层场景分析

 

LOPA分析一般是在如HAZOP分析等定性危害分析后进行,并采用定性危害分析小组确定的场景。LOPA分析也可用于分析其他来源的场景,如设计方案分析和事故调查。当危害分析小组遇到以下情况时,可以使用LOPA:对于小组人员而言,场景过于复杂而不能使用完全定性的方法做出合理的风险判断;后果过于严重而不能只依靠定性方法进行风险判断。
 
以下为实际工程可以参考的场景选择示例:
 
1、无风险降低措施时,HAZOP分析得出的后果严重程度高的,比如,后果为人员伤亡为1~2人的场景和后果更为严重的场景。
 
2、HAZOP分析得出的风险等级(不考虑SIS)比较高的。
 
3、HAZOP分析得出的风险等级(不考虑SIS)为一般等级的,由评估单位和业主共同协商确定是否进行LOPA分析和定级,应对风险等级为一般等级中的重点关注场景进行LOPA分析和定级。
 
4、可能性等级较高(举例:发生频率大于10-1次/a)。
 
5、场景中含有联锁回路,需要对联锁回路进行SIL定级。
 
6、集团、地方、行业要求的联锁、重点安全回路。
 
7、两重点一重大中重点监管化学品工艺中定义的联锁和紧急停车系统相关的联锁。
8、业主关注的重要场景。
 

 
-04-
后果分析和可容忍风险标准
 

 
后果风险是伤害发生的频率与该伤害严重程度的组合。风险有两个部分组成:可能性/频率,可能性越高,危险越大;后果严重程度,严重程度越高,危险越大。
 
按照影响对象后果可以分为:人员伤亡、财产损失、环境污染、声誉影响等。没有绝对的零风险,只有可容忍风险。可容忍风险指的是根据当前社会发展水平,在给定的范围内能够接受的风险。可容忍风险细分为可容许风险和可忽略风险,两者之间的区域为风险可接受准则(ALARP)风险区域。不同国家、不同行业、不同企业风险标准有所不同。某企业人员伤害的可容忍风险发生频率举例见表1所列。
 
表1 某企业人员伤害可容忍风险发生频率   (次·a-1)
人员伤害后果程度
可容忍频率
可忽略频率
单一场景人员死亡1~3人
<10-3
<10-5
单一场景人员死亡大于3人
<10-4
<10-6
 
LOPA分析应确定采用的可容忍风险标准,确定场景未有保护措施时的后果严重程度和发生的可能性,确定场景后果对应的可容忍发生频率。

 
 
-05-
初始事件
 

 
事件序列中的第一个事件,如应力腐蚀造成连接氨罐的管道泄漏/破裂,事件序列开始传播所必需的故障或错误,它可以由单个原因或多个原因组成。
 
初始事件用于表示起始原因,或在适当情况下,表示有相同直接影响的初始原因的集合,例如“基本过程控制系统(BPCS)液位控制失效导致设备液位高”。初始事件举例如图3所示。

图3 初始事件举例示意

 

-06-
不考虑SIS情况下的IPL分配
 
在不考虑SIS情况下进行IPL分配,如果通过这些IPL的保护,风险已经降低到了可接受范围,那么就不需要设置SIS。IPL是一种设备、系统或行动,可以有效地防止特定场景向不期望的后果发展,它与需要保护的特定场景的初始事件或其他保护层的行动无关。IPL必须满足有效性、独立性和可审查性。
 
风险降低措施通常通过IPL实现,一些常见的独立保护层有:BPCS,报警及响应,SIF,安全阀,防火堤等。IPL分配如图1所示。
 

 
-07-
使能条件和修正因子
 

1、使能条件
 
初始事件发生后,导致事故场景发展所需要的必要条件或事件,但不会直接导致场景发生。
 
针对所有涉及使能条件的场景,应分析和确认是否可以采用使能条件。比如初始事件为BPCS失效,使能条件为间歇操作,如果每次操作前无法判断BPCS中检测元件、逻辑控制器、执行元件是否处于失效状态,则不能采用该使能条件。
 
 
2、修正因子
 
如果选取的场景后果为物料泄漏以后的后果,计算场景频率时,在评估人员具有相关经验及数据支持下可使用条件修正。条件修正因子包括:可燃物质点火概率,人员出现在事件影响区域的概率,火灾、爆炸或有毒物质释放时的人员暴露致死率等。应表明修正因子取值的参考依据,并记录在案。确定修正因子时应全面考虑,比如确定人员暴露率时,除了应考虑现场定期的巡检,还应考虑出现报警或者异常情况时现场维护人员可能去现场检查的情况。

 

-08-
后果发生频率Fnp


-09-
分析风险是否可接受

 

计算 F/ Fnp ,比较后果可容忍频率和未考虑SIS保护层的后果发生频率,如果风险降低尚未达到可容忍风险标准,则需要进一步降低风险,比如设置SIS系统。分析风险是否可接受的流程如图4所示,图中 Fnp为后果发生的频率, F为后果可容忍频率。



 

图4  分析风险是否可接受的流程示意

 

-10-
是否需要SIF及SIL定级

 

比较剩余风险与可容忍风险标准,确定是否需要额外风险降低,如需额外风险降低并且以SIF的形式提供,那么需要设置SIF,LOPA分析可以确定合适的SIF的SIL。
 
SIL1~3需要满足GB50770-2013和GB/T21109-2007等标准,应特别注意安全生命周期的要求。SILa可以在BPCS或者SIS中实现,不需要满足GB50770-013和GB/T21109-2007等标准,但需要满足其他相关标准的要求,比如BPCS、报警管理等标准的要求。
 
是否需要SIS及SIL定级示意见图5。



图5 是否需要SIS及SIL定级示意

 

-11-
工程中应注意的问题

 

实际工程中应注意以下问题:
 
1、场景后果应按照人员伤亡、财产损失、环境污染和声誉影响等方面分别分析。
 
2、对于同一个事故场景,BPCS不能提供保护2次以上,BPCS最多只允许参与2个IPL,并且要求独立于初始事件,如果BPCS参与了初始事件,BPCS只允许参与1个IPL。
 
3、对于同一个事故场景,如果BPCS已经参与两个独立保护层或者参与了一个独立保护层加初始事件,SILa不允许再由BPCS实现,SILa应由SIS实现,或者经ALARP分析可以忽略这部分风险。
 
4、采用使能条件和修正因子应特别注意前提条件,应全面考虑,并避免重复削减。
 
总体来说,风险辨识和风险降低措施的分析和评估是为了将初始风险降低到可接受风险。
 
确定SIL等级的方法有多种,包括安全矩阵法、风险图法、保护层分析(LOPA)法等。石油化工通常采用LOPA分析法。
 
LOPA分析应按照标准给出的方法论,按照一定的程序,对需要分析的场景进行合理和客观的分析,比较后果可容忍频率和未考虑SIS保护层的后果发生频率,确定是否需要SIF进行进一步的风险降低,需要SIF时可以确定SIF的SIL等级。

本文作者范咏峰,由仪表圈首发,转载,请联系圈秘13201752726全文转载,不得断章取义。
 
更多技术问题,欢迎加圈秘微信进群,和专家一对一探讨交流!

作者:范咏峰、唐彬
责编:甜甜
审核:任三多


 










 


说点什么