当大家拿到SIS项目的设计院系统规格书时,会出现这样的字眼:要求SIL等级是SIL2或者SIL3,项目实施要根据要求来设计配置硬件和编写程序,那么这个SIS中的SIL等级是怎么确定的?AQ/T3054给出了答案(IEC61511和GB/T21109中也都有LOPA内容)。
本文从项目工程师的角度来组织文字,存在偏重点和忽略点。文章内容主要引用相关标准里面的文字,对于比较难以理解的部分,用通俗的语言讲述,希望能帮助大家弄明白“SIL等级是怎么确定”,以及确定SIL等级依据的标准有哪些。
一个典型的化工过程包含各种保护层,如本质安全设计、基本过程控制系统(BPCS)、报警与人员干预、安全仪表功能(SIF)、物理保护(安全阀等)、释放后保护设施、工厂应急响应和社区应急响应等。这些保护层降低了事故发生的频率。在开展化工过程工艺危害分析时,保护层是否足够,能否有效防止事故的发生是分析人员最为关注的一个问题。保护层分析(Layer of protection analysis,简称 LOPA)是在定性危害分析的基础上,进一步评估保护层的有效性,并进行风险决策的系统方法,其主要目的是确定是否有足够的保护层使过程风险满足企业的风险可接受标准。LOPA是一种半定量的风险评估技术,通常使用初始事件频率、后果严重程度和独立保护层(IPL)失效频率的数量级大小来近似表征场景的风险。
通常用于确定SIF的PFD值,也就确定了需要增加什么SIL等级的安全仪表系统,俗称SIL定级。然后好多名词不是很理解,什么是保护层/半定量/初始事件/风险矩阵?下文用实例解释。
定量与定性
在SIL定级方面,IEC 61508(GB/T 20438)给出了三种方法,IEC 61511(GB/T 21109)给出了五种方法,如下:
①IEC 61508(GB/T 20438)
◆定量法
◆风险图
◆危险事件严重程度矩阵
②IEC 61511(GB/T 21109)
◆半定量法
◆安全层矩阵法
◆校正的风险图
◆风险图
◆LOPA
风险图和LOPA是最常用的,风险图是一种定性分析技术,LOPA是一种半定量的风险评估技术,什么是定性、定量和半定量呢?各大百科网站如下解释:
◆定性分析是能区分出是个什么东西,举个例子来说,你能辨认出这是苹果,但你不能确定是几个苹果。
◆定量分析是在定性的基础上给出清晰的数量关系,比如,你确定了这是5个苹果。
◆半定量分析是通常实现定量分析非常困难时采取的一种折中办法。还是举例说明,这里有一堆苹果,你不知道具体的数量,但是你能知道的是这一堆苹果能装5麻袋,这5麻袋的数量估计就是半定量分析。
初始事件
初始事件简称IE(Initiating Events),分类和内容如下表。我们分析比较多的是控制系统的故障,比如一个工厂有一套BPCS(基本过程控制系统,Basic Process Control System),其有一定的失效概率,比如卡件坏了,这样的一套BPCS失效即可认为是初始事件。如果这个事件发生,比如控制阀门的一块DO卡件坏掉,并没有造成人员伤害,而且财产损失极小,没有破坏环境,对企业没有影响,那好,换上一块新卡重新运行。但是如果BPCS失效导致人员伤害,或者财产损失较大,对企业形象有影响,那么就需要其他保护层来降低风险,比如增加一套SIS系统。
独立保护层
将IEC 61511和GB/T 21109介绍的保护层可简化成一个化工行业典型的风险降低保护层,如下图。理论培训其实对我没有深刻的理解,还是在实际的项目经历中让我对保护层有了更具体和详细的认知。保护层之间的独立性、多样性以及其他方面,本文不做多讲。
①工艺过程
描述:从根本上消除或者减少工艺系统存在的危害
示例:容器或者管道设计可以承受事故后果产生的高温、高压等
②BPCS
描述:BPCS是执行持续监测和控制日常生产过程的控制系统,在化工项目中可以理解为DCS系统
示例:液位控制系统,如下图所示的一个PID控制,当罐内液体较高时,逐渐关小入口调节阀,当罐内液体较低时,逐渐开大入口调节阀
③SIS
描述:安全仪表功能通过检测超限条件,控制过程进入功能安全状态
示例:如下图所示,BPCS和ESD完全独立,ESD满足SIL2等级要求
◆一般情况下,BPCS检测罐内压力,并通过PID来控制调节阀,罐体压力控制在50bar左右,此时ESD处于“静默”状态
◆如果BPCS失效,导致压力上升至65bar,达到ESD设定的上限值,ESD控制器关闭电磁阀,进而关闭关断阀,流程停止,进入功能安全状态
④其他
减压设施:安全阀、爆破片等
物理防护:抗爆墙、围堰等
应急响应:人员疏散、消防等
报警和人员响应:通常认为人员响应的可靠性低,比如行动不够迅速、操作不够熟练等,所以一般不作为独立保护层
风险评估矩阵
风险评估矩阵扮演重要角色,是风险评估和决策的依据。纵坐标是后果严重性等级,横坐标是事件发生频率。下一章节会展示如何使用这张表格。
实际举例
LOPA基本流程如下图,本章节根据这个流程图来逐步码字。
①工艺描述
AQ/T 3054标准中给出了如下例子:
◆来自上游工艺单元的正己烷进入正己烷缓冲罐T-401
◆储罐总容量为35t,通常盛装一半的容量
◆LT检测罐内物料高度,通过PID控制调节阀LV-90,并且提醒操作人员液位报警(LAH-90)
◆储罐位于防洪堤内,该防火堤能够容纳45t正己烷
P&ID流程图
②场景识别与筛选
采用前期进行的HAZOP分析作为场景信息来源,本例选择分析的场景为正己烷缓冲罐溢流,防火堤发生失效,导致大面积火灾,造成人员的伤亡,后果等级为5
后果严重性等级表
③IE确认
本例选定IE为BPCS液位控制回路失效,根据标准中的表E1,其失效频率为1×10e-1/a
④IPL评估
A、防火堤
一旦发生罐体溢流,合适的防火堤可以包容这些溢流物。如果防火堤失效,将发生大面积扩散,从而发生潜在的火灾、损害和死亡。防火堤满足IPL所有的要求,包括:
◆如果按照设计运行,防火堤可有效地包容储罐的溢流
◆防火堤独立于任何其他独立保护层和IE
◆可以审查防火堤的设计、建造和目前的状况
对于本例,根据标准中表E3,防火堤的PFD取1×10e-2/a
B、BPCS报警和人员响应行动
在本例中,人员行动不作为独立保护层,原因如下:
◆由于操作人员不总是在现场,在防火堤失效导致重大释放前不能假设独立于任何报警的操作人员行动能有效地检测和阻止释放
◆BPCS 液位控制回路失效(IE)导致系统不能产生报警,从而不能提醒操作人员采取行动以阻止缓冲罐进料。因此, BPCS产生的任何报警不能完全独立于BPCS系统,不能作为独立保护层
C、安全阀
缓冲罐上的安全阀无法防止缓冲罐发生溢流,因此,对于本场景,安全阀不是IPL
⑤频率计算
取点火概率为1,人员暴露概率为0.5,人员伤亡概率为0.5,则后果发生频率为:
(初始事件发生频率)×(防火堤PFD)×(点火概率)×(人员暴露概率)×(人员伤亡率)
=(1×10e-1/a)×(1×10e-2)×1×0.5×0.5
=2.5×10e-4/a
=2×10e-4/a(取整)
⑥风险评估
根据以上部分,得出:
◆后果等级为5
◆事件频率为2×10e-4/a
落在风险评估矩阵“高”位置,下图中标注五角星处,这种情况是不被接受的,需要增加独立的SIF将其发生概率降低,降到标注三角形或者菱形位置。
⑦风险决策
分析决定安装一个独立的SIF,用于检测和阻止溢流。本SIF采用独立的液位传感器,逻辑控制器和独立的截断阀,如下图标注色部分。当检测到高液位时,该SIF联锁关流量控制阀LV-90和远程截断阀。可根据企业具体的风险控制要求,确定该SIF的SIL。在本例中,确定该SIF的FPD为 1×10e-2(SIL1)。对于场景, SIF将释放事件的频率从2×10e-4/a 降低到2×e-6/a。
(2×10e-4/a)×(1×10e-2)=2×10e-6/a
在风险矩阵中,对于后果等级5,频率为2×10e-6/a 的事件,其风险等级为中风险,图中标注三角形位置。根据相关要求,如果可以接受,那么将SIL等级定级为SIL1。如果企业有实力和财力,需要更高安全等级,那么可将SIL等级定级为SIL2或者SIL3,这需要花更多的钱、人力、技术等。
作者:东至风 一位不喝咖啡不抽烟也能通宵的工程师
相关阅读
SIL定级与验证知识十问十答
再说安全完整性等级SIL含义