1、中石油西南设计院公司工艺安全 SIL技术及标准培训斯堪伯奥科技(北京)有限公司2011年 2月注:图片摘自 2008 Google Indian NewsSIL定级方法 德国及欧盟 - 风险图 较复杂 世界范围 - 风险矩阵 较简单 美国、英国及亚太区保护层分析(LOPA) 较复杂 挪威 - 行业导则及经验 较简单 不常见 QRA定量法 较复杂风险分析(系统保护层分析)Community Emergency Response社会紧急响应Plant Emergency Response工厂紧急响应Physical Protection (Dikes)物理保护Physical Protection
2、 (Relief Devices)物理保护(释放设备)Safety Instrumented System安全仪表系统Alarms, Operator Intervention报警,操作干涉Basic Process Control基本过程控制Process工艺过程SIL定级方法 风险图 风险图最初是由德国 工业 标准开发的 , 在欧 盟 中得到了普 遍 应用 。风险图最初是由德国 标准开发的 在欧 中得到了普 应用 与风险矩阵只考虑后果和可能性不同,风险图考虑以下四个因素:危险事件的后果 ( C)- 危险事件的后果 ( )- 处于危险区域的频度( F)- 未能避开危险事件的概率( P)- 危
3、险事件的发生频率( W)SIL定级方法 风险图危险事件的后果 ( C) 代表人如果处在危险区域 这种危险可 ( ) : ,能造成的平均伤亡数后果 (C)C1 轻度的,可康复性的伤害死亡人数取决于危险事件发生时在危险区域内的人数,危险事件的致命程度 ( 毒性及窒息等 ) V, 以及易C2严重的, 1人或多人永久性伤害,累积 1人死亡C3 多人死亡,累积 15人 处于危险区域的频度( F) :代表人处在受影响区域的时间长度的度量度 ( 毒性及窒息等 ) ,燃易爆气体的点火概率等C4 灾难性影响,很多人死亡,累积 5人以上暴露率 (F)F1短时间频繁暴露于危险区域(一天不足几小时,处于受意外影响的区
4、域的时间少于总时间的 10%)F2 频繁的持久暴露于危险区域(一天几小时以上)SIL定级方法 风险图 避开危险事件的概率 ( P) 人员避开事故后果伤害的概率 依赖于人( ) : ,员已经掌握的了解危险存在的方法和逃脱危险的方法。避免危险事件的概率 (P)P1 在同时满足以下三个条件的情况下可避免危害事件的后果安全仪表系统失效情况下避的后果 : 如果SIS系统失效,操作员能够得到警告; 有独立于SIS系统之外的设施能够关闭工艺系统从而避免危险或使所有人员撤离到安全区域;操作员接收到警告到发生危险事件之间的时间免危险事件的概率。间隔超过 1小时或有足够长的时间采取行动;P2 几乎不可能避免危害事
5、件的后果,上述 P1中的某一个条件不能满足。 需要注意的是:暴露率 F和避开危险的概率 P的分类必须仔细进行,以确保其概率在整个分析中没有重复考虑。SIL定级方法 风险图 危险事件的频率 ( W) 是指事故发生的频率 是在没有采用任何 SIS( ) : ,的情况下得到的,但应当考虑其他 保护层,如外部风险降低设施等。危险事件发生频率 (W)危险事件发生频率是指不考虑安全仪表功能W1 0.03次 /年出现频率极其微小,大约每 30年以上发生一次W2 0.03-0.3次 /年出现频率较小 每 3到 30年发生 一 次不考虑安全仪表功能( SIF)情况下危险事件发生的频率。出现频率较小 , 每 到
6、年发生 次W3 0.3-1次 /年相对较高的频率,每 3年发生一次到一年发生 1次SIL定级方法 环境影响 S = 环境破坏的严重程度ESE直接后果 间接后果0 无影响 无1 小范围影响 必须上报相关管理部门2 小范围但很严重的影响 违反许可 /处罚3 暂时性污染 负面公众效应4 长期破坏 取消许可 /生产 、 停止作业SE环境W3每 3年一次到一年一次W2每 3到 30年一次W1每 30年以上一次0 无0 0 0长期破坏 取消许可 生产 、 停止作业无1 小范围影响SIL 1 a 02 小范围严重影响SIL 2 SIL 1 A3 暂时性污染暂时性污染SIL 3 SIL 2 SIL 14 长期
7、破坏SIL 4 SIL 3 SIL 2SIL定级方法 经济损失 S = 经济损失的严重程度FSF经济损失(RMB)W3每 3年一次到一年一次W2每 3到 30年一次W1每 30年以上一次0 10万以下0001 10万到 100万SIL 1 a 02 100万到 500万万到 万SIL 2 SIL 1 a3 500万到 1000万SIL 3 SIL 2 SIL 14 1000万及以上SIL 4 SIL 3 SIL 2 最终的 SIL要求通常是综合考虑人员伤亡风险、环境破坏风险和财产损失风险所需求的 SIL等级,选择其中需求较高的 SIL等级来确定的。风险图法示例 某天然气管道系统调压阀两侧压差较
8、大 ( 上下游分别为 10M 和 64M ) 设置串联的紧 ( pa和 6.4Mpa) ,急切断阀保护下游低压管道和设备。如何确定该安全功能所需的安全完整性等级 ? ?风险图法示例 后果 C- 调压阀失效可能导致高压气进入低压管线,低压管道并未设置独立的其他安全仪表系统来防止可能的超压,因此可能的后果是低压管道和设备的超压损坏,天然气泄漏遇点火源可能发生火灾、爆炸事故。- 站内建筑和设备分布比较密集,火灾爆炸后影响范围为全站;全站常驻工作人员约 40人,点火概率约为 0.25,根据泄漏的天然气物性确定其致命性系数为 0.1;- 伤亡人数约为 40X0.25X0.1=1人,后果等级为 C2后果
9、(C)C1 轻度的,可康复性的伤害死亡人数取决于危险事件发生时在危险区域内的人数,危险事件的致命程度 ( 毒性及窒息等 ) V 以及易燃C2严重的, 1人或多人永久性伤害,累积 1人死亡C3 多人死亡,累积 15人度 ( 毒性及窒息等 ) ,易爆气体的点火概率等C4 灾难性影响,很多人死亡,累积 5人以上风险图法示例暴露率 F 暴露率- 在正常工作时间内,所有站内工作人员都持续暴露在危险区域内(即天然气站场内)- 暴露率等级为 F2暴露率 (F)F1短时间频繁暴露于危险区域(一天不足几小时,处于受意外影响的区域的时间少于总时间的 10%)F2 频繁的持久暴露于危险区域(一天几小时以上)风险图法
10、示例避开危险事件的概率 P 避开危险事件的概率- 站内并无警告告知操作员 SIS系统失效,并且不能确保有足够时间采取行动- 避开危险事件的概率为 P2避免危险事件的概率 (P)P1 在同时满足以下三个条件的情况下可避免危害事件的后果:如果 SS系统失效 操作员能够得到警告安全仪表系统失效情况下避免危险事件的 如果 SIS系统失效 , 操作员能够得到警告 ; 有独立于SIS系统之外的设施能够关闭工艺系统从而避免危险或使所有人员撤离到安全区域; 操作员接收到警告到发生危险事件之间的时间间隔超过 小时或 有足够长的时间 采取 行动概率。间隔超过 1小时或 有足够长的时间 采取 行动 ;P2 几乎不可
11、能避免危害事件的后果,上述 P1中的某一个条件不能满足。风险图法示例危险事件的频率 W 危险事件的频率- 根据工业数据源,调压阀失效的频率约为 0.1次 /年- 危险事件发生频率等级为 W2危险事件发生频率 (W)危险 事件发生频率是指W1 0.03次 /年出现频率极其微小,大约每 30年以上发生一次W2 00303次 /年危险 事件发生频率是指不考虑安全仪表功能( SIF)情况下危险事件发生的频率。0.03-0.3次 年出现频率较小,每 3到 30年发生一次W3 0.3-1次 /年相对较高的频率,每 3年发生一次到一年发生 1次风险图法示例 根据风险图确定的基于人身安全需求的安全完整性等级为
12、 SIL2风险图法示例 环境影响:由于是天然气站场,泄 漏后产生的环境危害很小,例如不可能造成土壤、河流及地下水等环境污染事故。 经 济损失 : 可能造成下游低压设备和管道的损坏 , 并影响生产 , 最坏最坏的情况下将导致火灾爆炸事故,估计的经济损失在 1000万元以下。确定需求的安全完整性等级为 SIL2SF经济损失(RMB)W3每 3年一次到一年一次W2每 3到 30年一次W1每 30年以上一次0 10万以下0 0 0万以下1 10万到 100万SIL 1 a 02 100万到 500万SIL 2 SIL 1 a万到 万3 500万到 1000万SIL 3 SIL 2 SIL 14 100
13、0万及以上SIL 4 SIL 3 SIL 2工艺过程 HAZOP分析(示例)某公司可接受的风险标准某公司可接受的风险标准人员伤害后果分级 定义 可容忍风险(次 /年)极严重 爆炸 10-5极严重 爆炸一个或更多死亡严重的 人员重伤 10-4复合医学治疗的伤害轻微 小泄漏较小的伤害或健康影响10-3HAZOP分析记录表引导词 偏离 原因 后果 安全措施 REF# 建议 责任方导致反应失控 马DCS中进行高温高压报警增加安全释放阀如 必要增加泄压无 无搅拌 搅拌马达失效, 马达失效引起反应器的温度超高 ,压力超高1如SIF来防止反应失控xxx骤停采用 LOPA确认所需的 SIL多 压力高 搅拌马达
14、失效马达失效引起反应 的 力超高同上 同上 xxx多 压力高应 器 的 压 力超高同上 同上多 温度高温度控制失效导致蒸汽加热过热高温损坏反应密封 引起 泄漏DCS中进行高温报警2增加高温 SIFxxx采用 LOPA确认封 , 引起 泄漏 温报警采用 确认所需的 SIL多 液位高流量控制失效使反应器液位充满超高 引起 反应DCS中进行液3加高液位 SIFxxx采用 LOPA确认多 液位高反应器液位充满超高 , 反应器损坏和溢出位高报警采用 确认所需的 SILHAZOP分析( Ref #1:增加压力 SIF)HAZOP分析( Ref #2:增加温度 SIF)HAZOP分析( Ref #3:增加液
15、位 SIF)HAZOP分析( 考虑所有建议后)安全要求功能分配和保护层分析(基础失效率)1. 搅拌器马达每两年失效一次 搅拌器失效频率: 0.5 次每年2. 各独立保护层 PFD 压力报警失效: PFD = 0.29 操作员响应失效: PFD = 0.1骤 停 失效 骤 停 失效 : PFD = 0.1 减压阀失效: PFD = 0.07注:上述数据参考 CCPS数据库,不可直接引用。安全要求功能分配和保护层分析Allocation of Safety Functions to protection layers 分配安全功能到保护层起始事件压力报警操作员反应系统骤停安全阀动作终止事件风险(次
16、每年)安全处理 3.20E-010.9yp分配安全功能到保护层是 0.71安全停车 3.20E-020.90.1 安全泄放 3.30E-030930.930.1 超压爆炸 2.49E-04搅拌器失效 0.070.5安全停车 1.31E-01否 0.9安全泄放 1.35E-020.29 0.93超爆炸0.1 超 压 爆炸 1.02E-030.07超压爆炸 1.26E-03目前发生爆炸的风险为 126 103远超出目前发生爆炸的风险为 1.26 x 10-, 远超出风险可接受标准,系统的保护层否足够 ?计算所需的 SIL等级可容忍的风险水平1.0x10-5由搅拌器马达失效造成的反应器效造成的反应器爆炸风险1.26x10-3预期事件风险超压报警操作员反应系统骤停安全阀SIS工艺流程工艺流程风险风险计算所需的SIL等级1. 预期爆炸事件风险为: 1.26 x 10-32 公司对爆炸事件可接受风险为 : 10x10-5. : 1.0 x 103 增加 SIS系统的 PFD最小为. :PFD = 可容忍风险 /预期风险 = 1x10-5 / 1.26x10-3 = 7.91x10-34. 所需SIS系统的SIL等级为: SIL= -log10PFD = 2SIL符合性验证和案例分析演示SIL Compliance Verification & Case StudySIL符合性四大要求
