合成氨技术
推荐企业
工艺装置的安全技术措施需与风险水平相关。直到数年前,也无合适标准确定安全技术措施的必要性和评估安全技术措施所需的可靠性。有多安全才足够安全?
引入IEC 61508标准[1]和加工工业相关IEC 61511标准[2]后,已填补了此空白。给出了基于风险的方法,由此产生安全完整性等级(SIL)。根据安全完整性等级(1-4),这些标准规定了对安全仪表系统的要求。这些国际标准也指出了对管理系统的要求,以确保在所有阶段保持这些标准。
IEC标准在球的使用日益广泛。所有大公司均遵循安全完整性等级概念,包括斯塔米卡邦公司所属的帝斯曼集团(DSM)。这意味着尿素设计的安全方法完全符合基于IEC 61508标准的国际最佳实践。
对装置安全而言,安全完整性等级概念有很多重要优点。
• 把风险降至可接受水平的系统的、清晰的、可证实的方法。
• 最佳成本效益状况:‘符合目的’安全性以及装置的不利停车或干扰最少。
• 安全仪表系统(SIS)的设计基于安全完整性等级要求。这包括冗余要求和试验间隔时间。
• 全球协调方法。
本论文讲述安全完整性等级方法的本质及其优点。
2 2005年的两次重大事故
说明加工工业中最近两次重大事故的成因过程中,能最好地说明安全技术措施系统方法中安全的重要性,未采用安全完整性等级概念导致了这两次事故。2005年的两次事故简述如下:两次事故的直接原因是容器/塔中危险物品、易燃/易爆物品装载过满。引起的爆炸和火灾是毁灭性的。
1 2005年3月23日,美国得克萨斯城炼油厂爆炸
15人死亡,170多人受伤。不同的独立机构对此事故进行了彻底调查[3]。安全管理不到位,导致(a.o)未进行充分的危害辨识(HAZOP)和防止过量装载的安全仪表不足。
2 2005年12月11日,英国邦斯菲尔德油库爆炸
40多人受伤,幸运的是无人死亡。这一毁灭性爆炸发生后,引起的火灾持续了几天,摧毁了大部分现场。调查[4]表明罐内液位测量系统(监控液位)和(自动化)防过量装载(开关)系统均失效。
事故调查带来了安全管理方面的许多重要经验。在本论文框架内:报告指出了未采用国际IEC 61511标准原则的重要证据。
• 未进行系统的危害辨识,导致彻底审核安全仪表的需要。
• 缺乏合适的风险水平评估,导致自动安全系统要求有安全完整性等级。
• 未正确采用IEC介绍的安全管理系统。特别是:未按要求对安全完整性等级进行正确的试验和维护。
两次事故在行业内的影响很大。甚至越来越多的公司开始采IEC安全完整性等级原则处理安全问题。管理机构也逐渐要求采用安全完整性等级概念。
3 IEC 61508标准
有多安全才是足够安全?你需要多少个保护系统,哪一类型的保护系统,以及保护系统需要有多可靠?什么能真正决定装置的安全,相应地在寿命周期内的所有活动中,我们如何不断做?本论文重点是涉及工艺装置寿命周期安全的国际标准中介绍的寿命周期安全的综合方法:IEC 61508(全面的)和IEC 61511(适用于加工工业的相同原则)
本论文讲述了与装置所需的风险降低相关的安全仪表系统的必要可靠性。显然,为此目的,你需要知道:
• 装置的风险
• 与安全仪表系统无关的风险降低(如:减压阀/止回阀)
• 可接受的风险水平
• 安全系统的可靠性及其对生产装置可用性的影响
标准陈述了用于执行安全功能的由电气和/或电子和/或可编程电子元件组成的系统(电气/电子/可编程电子系统(E/E/PES)的寿命周期内所有安全活动的通用方法。多数情况下,使用若干依赖多种技术(如机械技术、液压技术、气动技术、电气技术、电子技术、可编程电子技术)的保护系统实现安全。因此,任何安全策略不仅必须考虑单个系统中的全部元件(如传感器、控制装置和执行器),而且还必须考虑构成安全相关系统总组合的全部安全相关系统。因此,当标准主要涉及电气/电子/可编程电子(E/E/PE)安全相关系统时,标准也会提供一个框架,框架内需要考虑基于其他技术的安全相关系统。因此,没有对下列不同技术做进一步区别:
图1: 风险降低要求
图2: 安全完整性等级的确定
IEC 61508标准图2: 安全完整性等级的确定
• 采用基于风险的方法确定安全完整性等级要求。见图1和图2。
• 使用安全完整性等级(SIL)来说明安全相关系统将执行的安全功能的安全完整性目标等级。见图2。
• 对与安全完整性等级相关的安全相关系统设置未达到目标的数值测度(见表1)。
根据IEC概念,所有步骤需经验证、归档、可审计并嵌入合适的(安全)管理系统。
4. 安全完整性等级划分:风险分析/风险降低
安全仪表系统的安全完整性(失效概率)的目标等级通过系统的风险分析确定的。IEC标准涉及人身安全。但是,工业中的实践表明划分方案也用于环境风险和/或经济损失(见下文)。图2大体显示了必要的风险降低。
图2介绍了最常用的风险分析方法,称为‘风险图’(斯塔米卡邦也使用此方法)。这就产生了要求的安全完整性等级(SIL)。这些等级由图2中指定的风险参数确定。
风险图要求输入下列项目:
• 事故情景发生频率(无安全仪表系统),显示为W1、W2和W3
• 安全仪表系统要求故障情况下发生人身事故的可能性(显示为系数C)。
• 在危险区的暴露时间(显示为系数F)。
• 避免危害的可能性(显示为系数P)。
透明、可证实的、已归档的上述参数的选择将形成图中显示的数字:SIL a、SIL 1-4和SIL b。
IEC 61508标准仅给出对1-4级安全完整性的要求。SIL a(无具体的要求)可用于控制系统,但是实际上使用SIL b(通常需要重新设计)。
安全完整性等级的经济考虑
若安全仪表系统在要求时失效,会产生下列相关费用:
工艺故障
• 生产损失或“停产时间”
• 额外的紧急维修
• 备用电源
• 灾难性故障
• 固定设备严重损坏,引起大量资本费用
• 工厂人员受伤
这些费用需要与安全仪表系统的寿命周期费用保持平衡:
安全仪表系统的寿命周期费用由拥有和操作安全仪表系统(SIS)的所有费用构成。寿命周期费用的构成包括:
设计、规格和采购
• 安装
• 培训
• 操作和维修
对于安全完整性等级的经济划分,需采用经济损失(如生产损失)分析图。应校准图,以反映运行的经济情况:可接受的经济损失风险是什么?
举例:如果使用经济风险图(安全完整性等级的经济划分)得出的结果为SIL 2,表示投资安全完整性等级为2级的安全仪表系统的寿命周期费用是经济的,以减少事故发生频率。
5 安全完整性等级验证
一旦确定安全完整性等级要求,相应地需要设计将执行安全功能的安全仪表系统(SIS)。安全仪表系统一般由启动装置(传感器、变送器)、逻辑运算器(跳闸放大器、安全联锁装置、故障安全输出)和最终元件(如阀门)构成。
概率要求
整个安全仪表系统需根据安全完整性等级符合要求故障概率(PFD)的要求,如下表1所示。
IEC标准中,描述了评估特定安全仪表系统安全完整性等级的要求故障概率的不同评估方法。所描述了其中两种更常见的方法是可靠性方框图和马尔可夫模型。建模需要安全仪表系统中所用全部组件的故障概率、试验间隔时间、诊断覆盖率百分比和修理时间等。
表1: 安全完整性等级(SIL)
| 安全完整性等级(SIL) |
低要求操作模式 (按要求执行其设计功能的平均失效概率) |
| 4 | ≥ 10-5至< 10-4 |
| 3 | ≥ 10-4至< 10-3 |
| 2 | ≥ 10-3至< 10-2 |
| 1 | ≥ 10-2至< 10-1 |
建筑要求
依据使用组件的类型和‘安全故障分数’,组件需冗余。这也被称为硬件容错(HWFT)。详情见[1]和[2]。
6 结 论
• 国际标准IEC 61508和相关的IEC 61511标准逐渐在全球作为安全仪表系统(SIS)设计/操作的系统方法的‘最佳实践’。
• 事故数据表明需要系统的方法来设计、操作和维修安全仪表系统。此方法可与IEC 61508/ 61511标准结合使用。管理机构不断促进该系统方法的使用。
• 安全完整性等级概念提供了将系统风险降至可接受低等级的手段。它用清晰且可证实的方法回答了此问题:有多安全才足够安全?
• 目标安全完整性等级设置了安全仪表系统的设计要求:概率要求(要求故障概率)和建筑(冗余)要求。
7 参考文献
[1] 《电气/电子/可编程电子安全相关系统的功能安全》, IEC 61508; www.iec.ch
[2] 《功能安全—加工工业部门用安全仪表系统》,IEC 6151. www.iec.ch
[3]
[3] 《炼油厂爆炸和火灾调查报告》;美国化学安全与危险调查局,2007年3月。 www.csb.org
[4] http://www.buncefieldinvestigation.gov.uk/index.htm
