随着国内危险化学品生产装置及储存设施规模大型化、生产过程自动化水平逐步提高,必须同步加强和规范安全仪表系统的设置和管理。《国家安全监管总局关于加强化工安全仪表系统管理的指导意见》(安监总管三〔2014〕116号)对不同企业生产装置、危险化学品储存设施安全仪表系统的设计提出了要求,从2016年1月1日起,大型和外商独资合资等具备条件的化工企业新建涉及“两重点一重大”的化工装置和危险化学品储存设施,要设计符合相关标准规定的安全仪表系统。安全仪表系统(SIS)的设计首先要确定安全仪表功能(SIF)的安全完整性等级(SIL)。
安全仪表功能(SIF)是用测量仪表、逻辑控制器、最终元件及相关软件等实现的安全保护功能或安全控制功能。安全仪表系统是实现一个或多个安全仪表功能的仪表系统。既然是一种安全保护功能,就应保证当需要这种功能时,必须有足够的可靠性来保证这种功能起作用。这种“可靠性”用安全完整性等级(SIL)来衡量。
基于HAZOP/风险矩阵/LOPA分析的SIL定级方案
研究系统性“HAZOP/风险矩阵/LOPA”的半定量评估技术,确定安全仪表功能安全完整性等级,包括采用HAZOP分析技术识别可能发生的危害后果;利用HSE风险矩阵,通过确定危害后果的严重性等级和频率等级,评估危害后果的风险等级;对高后果和高风险事故场景,开展保护层分析,提出安全仪表系统的安全完整性等级要求,确保事故场景的风险降低到可接受等级。
HAZOP分析是一种以系统工程为基础、针对化工装置而开发的定性的危险性分析方法。HAZOP用来识别工艺过程安全方面的危险以及操作性问题,它是对生产工艺系统危险性与可操作性进行全面审查的一种危险分析方法。
通过HAZOP分析,识别出系统存在的全部问题和危险。确定所有可能发生的危害后果。利用HAZOP分析结果,根据后果危害程度确定事故场景。
风险矩阵是一种形式简单、方便实用的风险评估方法;进行HAZOP分析后,利用中国石化Q/SH0560-2013《HSE风险矩阵标准》确定危害后果的严重性等级和风险等级。
对风险矩阵评估出的高风险事件(棕色区域)、严重高风险事件(红色区域)、后果D级及E级的危害事件,开展保护层分析,提出安全仪表系统的安全完整性等级要求,确保事故场景的风险降低到可接受等级。
基于HAZOP/风险矩阵分析结果,采用LOPA分析方法对每一种识别出的危害进行分析,根据风险分析,确定必要的风险降低指标,采用不同安全完整性等级的安全仪表系统,实现控制风险的目的,根据风险降低要求确定SIL等级。
①设置可接受风险标准
为了给风险分析及制定减少风险的措施提供依据,需要预先制定一个风险可接受准则。风险是风险频率和后果的组合,所以风险频率下降程度也是风险下降的程度。
允许风险水平确定下来后,对必要的风险降低进行估计,然后就可分配安全仪表系统为安全完整性要求。
当开展SIL评估并确定SIF的SIL等级时,根据中国石化HSE风险矩阵,可接受分风险标准如下。
a) 对于E等级的后果,如果需要将剩余风险降低到低风险,应使危害事件发生频率小于10-6次/a。
b) 对于D等级的后果,如果需要将剩余风险降低到低风险,应使危害事件发生频率小于10-5次/a。
c)对于C等级的后果,如果需要将剩余风险降低到低风险,应使危害事件发生频率小于10-4次/a。
②安全完整性等级与风险降低的关系
根据风险分析,确定必要的风险降低指标,采用不同安全完整性等级的安全仪表系统,实现控制风险的目的,根据风险降低要求确定SIL等级。
③LOPA分析确定安全完整性等级
安全完整性等级的确定受初始事件频率、初始事件频率修正因子、事故发展场景,以及有效的独立防护保护层(IPL)等因素影响。
a) 独立保护层分析。独立保护层是能够阻止场景向不期望后果发展,并且独立于场景的初始事件或其它保护层的设备、系统或行动。
目前生产过程包含各种保护层,常见的包括:基本过程控制系统(BPCS)、报警与人员干预、安全仪表功能、物理保护(安全阀等)、释放后保护设施、工厂应急响应和社区应急响应等。
这些保护层能否有效降低事故发生频率,起到独立保护层的作用,需根据实际情况进行判断分析。
初始事件、独立防护保护层及初始事件导致后果的频率之间的关系如下。
初始事件导致后果的频率按下式计算。
b) 确定SIF回路所需的SIL等级。在进行独立保护层分析的基础上,要确定SIF回路所需的SIL等级,主要内容包括:确定事故场景的初始事件发生频率,确定每一个独立保护层的失效概率,确定事故场景的可接受风险等级。
根据初始事件发生频率、独立保护层失效概率、可接受风险等级,安全仪表系统必须提供的风险降低f(SIF)按下式计算。
根据计算得到的安全仪表系统安全功能回路的失效概率,查表1中安全仪表系统SIL与失效概率的对应关系,即可得到安全仪表等级(SIL)。
液化天然气(LNG)气化站是独立设置的LNG接收、存储及气化的设施系统。仅对LNG储罐的液位进行HAZOP分析,以说明SIL等级的确定。
LNG储罐液位HAZOP分析见下表,表中的发生频率、事故后果及风险等级的判别均依据中国石化HSE风险矩阵标准。
根据HAZOP分析结果,确定事故场景并进行分析。
a) 事故场景1:LNG储罐液位仪表误信号,导致在储罐液位高时,继续卸车,液位超限导致LNG进入气相管路,从安全阀或溢流管线通过EAG放空管排出,导致火灾爆炸和人员伤害事故。
事故场景初始风险等级为D6,即事故后果等级为D,不考虑保护措施时的发生频率为1×10-1次/a;该事故场景已有的独立保护层为:LNG储罐设有液位高报警,根据统计数据,液位高报警的失效概率取0.1,设定LNG排出后的点火概率为0.5,设定发生火灾爆炸事故时,人员在现场的概率为0.5。
根据确定的风险标准,D级事故后果的发生频率应小于10-5次/a(D1等级),由此计算高高液位联锁安全仪表功能的失效概率fSIF应小于:
根据安全仪表等级的可靠性,失效概率为4×10-3对应的安全仪表等级为SIL2。且采用安全仪表等级为SIL2的联锁后,事故场景的风险定级降至D1等级。
b) 事故场景2:储罐液位仪表误信号,导致在储罐液位低时,继续送液;增压泵气蚀损坏。
事故场景初始风险等级为C6,即事故后果等级为C,不考虑保护措施时的发生频率为1×10-1次/a;该事故场景已有的独立保护层为:LNG储罐设有液位低报警,根据统计数据,液位低报警的失效概率取0.1。
根据确定的风险标准,C级事故后果的发生频率应小于10-4次/a(C2等级),由此计算高高液位联锁安全仪表功能的失效概率fSIF应小于:
根据表1,失效概率小于10-2对应的安全仪表等级为SIL2。且采用安全仪表等级为SIL2的联锁后,事故场景的风险定级降至C2等级。
LNG储罐液位高高、低低联锁SIL等级确定详细内容见下表。
