安全仪表系统2

1、工艺过程风险评估及SIS安全整体性水平（SIL）的确定荆门石化 侯振林1.概述 1-1 安全仪表系统（SIS）的定义 1-2 安全仪表系统（SIS）的分类 1-3 安全仪表系统（SIS）的组成 1-4 SIS与DCS的区别 1-5 SIS系统的配置 1-6 安全生命周期 1-7 工艺过程的风险评估及SIS的SIL等级的评定（实例分析） 2.危险与操作性分析（HAZOP） 2-1 方法概述 2-2 HAZOP分析步骤 2-3 HAZOP分析方法举例 2-4 风险管理的ALARP原则 安全仪表系统(SIS)用于监视生产装置 独立单元的操作,当发现生产过程出现异常,超出安全操作范围,可以使其进入安全

2、状态,从而 使危险降低到可以接受的最低程度,以保证人员、设备、生产和环境的安全。 安全仪表系统(SIS:Safety Instrumented System)的作用如图1所示。 1.概述1-1 安全仪表系统(SIS)的定义 图1 安全仪表系统的作用 采用SIS系统的重要性 生产装置的规模向大型化、超大型化、智能化方向发展,一旦出现事故,就会造成装置的全线停车,其损失是巨大的,有时甚至是灾难性的。 随着过程工业的发展,由于过程的复杂性、原料变化、最终产品的质量要求、装置规模以及设备、人身、环境的保护等因素,安全系统的设置显得十分必要。 SIS安全仪表系统是适用于高温、高压、易燃、易爆等连续性生产

3、装置的安全保护系统。 对SIS仪表安全系统的要求 随着石油化工生产装置规模趋大型化,设计操作指标离安全临界点越来越近,即所谓的卡边操作,在实现APC先进控制时,这点尤为重要。此外机械设备故障、系统本身故障或能源中断时等,造成危险的可能性也在增加,人们对仪表安全系统的认识也在提高,这就对安全仪表系统提出了新的要求: 系统必须比继电器控制或是固体逻辑控制更安全可靠。1. 早期的保护采用继电器控制或固体逻辑控制,它有以下缺陷: 使用继电器多,一旦某个继电器发生故障,很容易导致误报警和误停车; 响应速度慢,对于要求高的地方不能满足要求; 修改逻辑困难,因为要增加硬件设备; 非冗余,任何故障都可能导致停

4、车。2. 必须减少系统误动作或误停车的次数和频率; 3. 系统必须易于维护和查找故障并具有自诊断功能;4. 系统必须易于组成并具有在线修改组成的功能;5. 系统必须可与DCS及其他计算机系统通信;6. 系统必须有硬件和软件的权限人保护;7. 必须有提供第一次事故记录(SOE)的功能;8. 系统必须独立于其他控制系统。 安全仪表系统(SIS)是指能实现一个或多个安全功能的系统。在石油、石油化工诸多领域中已有较多产品,譬如ITCC(压缩机透平集成控制系统)、FG(火焰与气体监控系统)、ESD(紧急停车系统)。常见的取得TV认证的产品有: FSC(Fail Safe Control) 由荷兰PF(P

5、epperlFuchs)公司开发,1994年被Honeywell公司收购.安全等级可达AK6。 Regent Trusted 美国ICS利用宇航技术开发的安全系统.安全等级AK4AK6。 Triconex、Trident 美国Triconex公司开发,用于压缩机综合控制(ITCC)和紧急停车系统。安全等级为AK6。 Fanuc90-70 美国GE公司开发.其中GMR(模块式冗余容错系统)的安全等级为 Class5 (2oo3)、Class4 (1oo2) 和Class5 (2oo2)。 QUADLOG 由Moore公司开发。日本横河公司收购后称 Prosafe PLC,其1oo2D结构安全等级

6、达AK6。 SIMATIC S7-400F/FH 德国SIEMENS公司产品。400F和400F分别为1个CPU和2个CPU运行fail-safe(F)用户程序,均取得TUV认证,安全等级为AK1AK6。 SC300E AUGUST System公司开发,1997年为ABB集团成员之一。安全等级为 Class5和Class6。 PES (Cprogrammable Electronic SY Stem)可编程电子系统,它是德国著名的安全制造商HIMA生产的产品。安全仪表系统(SIS)的变迁: 20世纪60年代,在PLC和DCS出现之前,仪表安全系统(SIS)由气动、继电器系统组成。随着时间的推

7、移,气动、继电器仪表安全系统暴露的问题越来越多,很难达到实时、安全可靠的要求。 到了20世纪70年代本质故障安全技术诞生,增加了安全性、整体性的需要。 20世纪90年代双重化诊断系统 ,TMR(三重模块冗余PLC)技术在生产过程中得到了应用,同时,由于TV AK6安全等级的认证,使得SIS技术在欧美石化生产过程中得的广泛应用,到目前为止SIS技术正在世界范围内应用。 从SIS发展历史来看,安全仪表系统(SIS)经历了继电器系统、固态电路系统和可编程电子系统3 个阶段。1-2 安全仪表系统(SIS)的分类:(1)继电器系统 采用单元化结构,由继电器执行逻辑,通过重新接线来重新编程。 可靠性高,具

8、有故障安全特性,电压适用范围宽,一次性投资较低,可分散于工厂各处,抗干扰能力强。 系统庞大而复杂,灵活性差,进行功能修改或扩展不方便,无串行通信功能,无报告和文档功能。易造成误停车,无自诊断能力。用户维修周期长,费用高。(2)固态电路系统采用模块结构,采用独立固态器件,通过硬接线来构成系统,实现逻辑功能。结构紧凑,可进行在线测试,易于识别故障，易于更换和维护,可进行串行通信,可配置成冗余系统。灵活性不够,逻辑修改或扩展必须改变系统硬连线,大系统操作费用较高,可靠性不如继电器系统。安全仪表系统(SIS)的特点SIS能够检测潜在的危险故障,具有高安全性,覆盖范围宽的自诊断功能。采用自诊断技术可以保

9、证SIS运行的可靠性,例如作为Honeywell TPS的紧急停车FSC系统,每个过程安全时间(Process Safe Time,PST)中有1s或2s用于测试I/O、内部数据总线、处理器,诊断结果送给PC机用于系统维护。SIS需符合国际安全标准规定的仪表安全标准,从系统开发阶段开始,要接受第三方认证机构(TV等)的审查,取得认证资格,系统方可投入实际运行。在国际安全标准中推荐诸如经TV第三方认证机构的版现场测试及相关程序审查通过的“用户认可的安全仪表”。SIS自诊断覆盖率大,维修时检查的点数非常少。诊断覆盖率是指可在线诊断出的故障系统全部故障的百分数。SIS由采取冗余逻辑表决方式的输入单元

10、,逻辑结构单元,输出单元三部分组成系统,逻辑表决的应用程序修改容易,特别是可编程SIS,根据其工程实际要求,修改软件即可。SIS由局域网、DCS I/F(人机接口)及开放时网络等组成多种系统。SIS设计特别重视从传感器到最终执行机构所组成的回路整体的安全性保证,具有I/O断线、短路等的监测功能。1-3 安全仪表系统(SIS)的组成 安全仪表系统(SIS)由三部分组成:传感器单元 逻辑运算单元 最终执行器单元 如图2所示。 传感器单元: 传感器单元多采用多台仪表或系统 传感器配置原则,控制功能与安全联锁功能隔离 做到安全仪表系统与过程控制系统的实体分离 逻辑运算单元(逻辑解算单元)或称逻辑表决单

11、元。 逻辑运算单元由输入模块、控制模块、诊断回路、输出模块4部分组成。 逻辑运算单元自动进行周期性故障诊断,基于自诊断测试的安全仪表系统,系统具有特殊的硬件设计,借助于安全诊断测试技术保证安全性。 SIS故障有两种:显性故障(安全故障)和隐性故障(危险性故障)。 显性故障(如系统断路等),由于故障出现使数据产生变化,通过比较可立即检测出,系统自动产生矫正作用,进入安全状态。显性故障不影响系统安全性,仅影响系统可用性,又称为无损害故障(Fail to Nuisance,FTN)。 隐性故障(如I/O短路等),开始不影响到数据,仅能通过自动测试程序方可检测出,它不会使正常得电的元件失电,又称为危险

12、故障(Fail Danger, FTD),系统不能产生动作进入安全状态。 隐性故障影响系统的安全性, 隐性故障的检测和处理是SIS系统的重要内容。 最终执行器单元 最终执行器(切断阀、电磁阀)是安全仪表系统中危险性最高的设备。 在正常工况时SIS是静态的、被动的,系统输出不变,最终执行器一直保持在原有状态,很难确定最终执行器是否有危险故障。 过程控制系统是动态的、主动的,控制阀动作随控制信号的变化而变化,不会长期停留在某一位置。 要选择符合安全度等级要求的控制阀及配套的电磁阀作为安全仪表系统的最终执行器。 例如:当安全度等级为3级时,可采用一台控制阀和一台切断阀串联连接作为安全仪表系统的最终执

13、行器。安全仪表系统的逻辑单元选择见表1表1 安全仪表系统的逻辑单元结构选择表逻辑单元结构IEC61508 SILTV AKDIN V192501oo11AK2,AK31,21oo1D2AK43,41oo22AK43,41oo2D3AK5,65,620033AK5,65,62oo4D3AK5,65,6 1-4 SIS 与DCS的区别 安全仪表系统(SIS)与分散控制系统(DCS)在石油、石化生产过程中分别起着不同的作用,如图3所示. 图3 生产装置的安全层次 生产装置从安全角度来分三个层次:生产过程层、过程控制层及安全仪表停车保护层。 第一道防线:生产装置最初的工程设计、设备选型及安装阶段,都对

14、过程和设备安全性进行考虑。 第二道防线:过程控制系统保证,DCS对过程进行动态控制,使装置可稳定运行,使装置风险又降低了一个等级。 最后一道防线是SIS系统起作用,最大限度降低风险,保护人、设备、环境的安全。SISY与DCS在功能上的区别见表2表2 DCS与SIS的区别DCSSISDCS用于过程连续测量、常规控制(连续、顺序、间歇等)、操作控制管理,保证生产装置平稳运行DCS是“动态”系统,它始终对过程变量连续进行检测、运算和控制,对生产过程动态控制,确保产品质量和产量DCS可进行故障自动显示DCS对维修时间的长短的要求不算苛刻DCS可进行自动、手动切换DCS系统只做一般联锁、泵的开停、顺序等

15、控制,安全级别要求不像SIS那么高SIS用于监视生产装置的运行状况,对出现异常工况迅速进行处理,使故障发生的可能性降到最低,使人和装置处于安全状态SIS是静态系统,在正常工况下,它始终监视装置的运行,系统输出不变,对生产过程不产生影响,在异常工况下,它将按着预先设计的策略进行逻辑运算,使生产装置安全停车SIS必须测试潜在故障SIS维修时间非常关键,弄不好造成装置全线停车永远不允许离线运行,否则生产装置将失去安全保护屏障SIS与DCS相比,在可靠性、可用性上要求更严格,IEC61508,ISA.S84.01强烈推荐SIS与DCS硬件独立设置 1-5 SIS系统的配置方案(1)a型 控制系统和联锁

16、系统全部由DCS控制站完成。过程控制信息由通信网络传给操作站显示报警,操作员的操作指令由操作站通过通信网络传给控制站执行,这就是控制、联锁一体化形式。(2)b型 控制系统信号由一组控制站完成,报警联锁信号由另一组控制站完成。两站信息由通信网络送到操作站,操作员指令由操作站经通信网络送达各个控制站执行,就是控制、联锁站站分开型。 (3)c型 控制信号由DCS独立执行。联锁信号由PLC独立执行,PLC由独立的编程器进行软件编写,重要的信息送操作台硬灯显示或操作台发出硬开关动指令。PLC联锁报警的非重要信号由通信接口送到通信网络并传到操作站进行显示,部分非重要指令由操作站发出,送PLC执行,就是DC

17、S+PLC型。 (4)d型 控制报警信号由DCS系统执行,重要的联锁信号由继电器系统完成。由硬开关及硬灯组成的操作台进行显示和操作,就是DCS+PLC型。e型 控制信号由DCS独立完成,联锁报警信号由三重冗余的紧急联锁控制器ESD完成。软件编程器独立设置,重要动作及操作指令由独立操作台显示和发出,非重要信号和指令由通信接口经通信网络送操作站显示和发出,就是DCS+ESD型。SIS设置的具体要求: SIS原则上应单独设置,独立于DCS和其他系统,并与DCS进行通信; SIS应具有完善的诊断测试功能,其中包括硬件(CPU、I/O通信电源等)和软件(操作系统、用户编程逻辑等),SIS应采用经TV安全

18、认证的PLC系统; SIS关联的检测元件,执行机构原则上应单独设置; SIS应采用冗余或容错结构,如CPU、通信、电源等单元; SIS应设计成故障安全型,I/O模件应带电磁隔离或光隔离,每通道应相互隔离,可带电插拔; 来自现场的三取二信号应分别接到三个不同的输入卡,当模拟量输入信号同时用于SIS、DCS时,应先接到SIS的AI卡,采用SIS系统对变送器进行供电。2 SIS的相关标准及认证机构 鉴于SIS涉及到人员、设备、环境的安全,因此各国均制定了相关的标准、规范,使得SIS的设计、制造、使用均有章可循。并有权威的认证机构对产品能达到的安全等级进行确认。这些标准、规范及认证机构主要有: 我国石

19、化集团制定的行业标准SHB-Z06-1999石油化工紧急停车及安全联锁系统设计导则。 国际电工委员会1997年制订的IEC 61508/61511标准,对用机电设备(继电器)、固态电子设备、可编程电子设备(PLC)构成的安全联锁系统的硬件、软件及应用作出了明确规定。 美国仪表协会制定的ISA-S84.01-1996安全仪表系统在过程工业中的应用。 美国化学工程学会制定的AICHE(ccps)-1993，化学过程的安全自动化导则。 英国健康与安全执行委员会制定的HSE PES-1987,可编程电子系统在安全领域的应用。 德国国家标准中有安全系统制造厂商标准-DIN V VDE0801、过程操作标

20、准-DIN V 19250和DIN V 19251、燃烧管理系统标准-DIN VDE 0116等。 德国技术监督协会(TV)S 一个独立的、权威的认证机构,它按照德国国家标准(DIN),将SIS所达到的安全等级分为AK1AK8,AK8安全级别最高。其中AK4、AK5、AK6为适用于石油和化学工业应用要求的等级。1-6 安全生命周期 安全生命周期SLC(Safety Life Cycle)： 是美国国家标准ANSI/ISA S84.01 (1996) 提出的要求。该标准将安全设计、安全评估、安全控制和安全管理贯穿工厂设计、施工、运行、操作、管理、维护直到停工（报废）全部生命周期，强调安全是一项长

21、期的不能松懈的任务。安全生命周期的实施步骤包括：初步设计阶段需进行过程危险分析和风险评估；论证是否需要设计安全控制系统；依据国际标准IEC61508确定过程的安全整体性要求级别（SIL）；制定安全技术规范；完成安全控制系统设计及可行性试验；建立工厂操作和维护规程；进行预开车安全评估；安全控制系统投用、操作、维护、定期功能测试；如果过程进行了工艺改造或在生产实践中发现安全措施不完善时，返回第一步重复以上所有工作。 安全生命周期是用系统的方式建立的一个框架,用以指导过程风险分析、安全系统的设计和评价。 整体安全生命周期(图4)包括了系统的分析、设计、安装、确认、操作、维护、停用等方面,关于每一方面

22、IEC61508都要求建立相应的文档以及安全规范。 系统可以根据实际中应用的效果进行修改,甚至重头来。 安全生命周期的概念有以下几个特点 1 包括了安全系统从无到有,直到停用的各个阶段,为安全系统的开发应用建立了一个框架。 2 整体安全生命周期清楚地说明了其各个阶段在时间和结构上的关系。 3 能够按照不同阶段更加明确地为安全系统的开发应用建立文档、规范,为整个安全需要提供结构化的分析。 4 与传统非安全系统开发周期类似,已有的开发、管理的经验和手段都能够被利用。 5 从系统的角度出发进行安全系统的开发,涉及面广,同时蕴含了一种循环的理念,使得安全系统在分析、设计、应用和改进中不断完善,保证更好

23、的安全性能和投入成本比。 安全生命周期的基本活动 1 整体系统分析 对过程系统组成、范围、无安全系统的风险水平(原始风险)和可接受的风险水平等各方面因素进行认真、细致的分析。 其关键是确定系统必须的总体安全完整性水平,再将总的安全完整性水平分配到E/E/PES安全系统,其它技术安全系统和外部风险降低设施,以使过程存在的风险降低到允许的范围。 在图5中可看到各个风险水平和风险降低设施的关系。虽然整体风险降低由E/E/PES安全系统、其他技术安全系统和外部风险降低设施三部分组成,但实际上风险降低并不必须包括这三个部分。例如,当其它技术安全系统和外部风险降低设施所带来的风险降低已经满足了允许的风险范

24、围,则不需要再为系统增加E/E/PES安全系统。 (2)E/E/PES安全系统设计和SIL等级确认.根据前一步确定的E/E/PES安全系统的应达到安全完整性水平进行E/E/PES安全系统的设计和确认,包括安全要求规范、E/E/PES设计开发与集成、E/E/PES操作和维护规程、E/E/PES的SIL确认等。 (3)安装运行。按照安装计划执行安装活动,建立相应的活动文档、失效和不兼容问题的解决方案。 (4)安全确认。安全确认的目的E/E/PES安全系统在考虑了按整体系统分析拟定的E/E/PES安全系统的安全要求规范后,满足基于整体安全功能要求和整体安全完整性要求的整体安全要求范围。如果整体安全完

25、整性水平达不到允许范围之内,必须对安全系统进行修改或者重新设计。 (5)操作维护。操作、维护安全系统保证其能够保持要求的功能安全,使整体满足要求的安全完整性水平,也是安全系统能够发挥其最佳安全性能的必要条件。 可以看出,安全完整性水平贯穿于安全系统开发的始终。安全完整性水平不仅是安全系统安全性能的度量标准,而且是安全系统生命周期中的主线,将生命周期的各个阶段联系起来。安全完整性水平使得整体安全生命周期大框架下的所有活动具有良好的一致性。国际安全规范与标准 过程安全生命周期的概念将安全评价、设计、控制和管理工作贯穿于工厂设计、建设、运行和停工全过程。强调安全是一项长期的时刻不能松懈的任务，也就是

26、说对设计者而言，安全控制系统（SIS）设计不能一劳永逸，必须不断改进。对工厂而言必须长期维护并定期功能评价、测试以防万一。国际安全规范与标准 1-7 工艺过程的风险评估及SIS的SIL等级的评定 （实例分析） 安全性与可靠性: 安全仪表系统(SIS)监测到生产装置有危险,则其担当将生产装置安全停车的任务,一旦装置有危险发生SIS一定要起作用,这个准确度越高越好。以此来衡量安全仪表系统的安全性。 另一方面SIS系统发生故障,不管生产装置运行与否,应极力避免装置停车,这一点用SIS的故障率(可靠性)来评估。 通常接触到的很多设备，如果可靠性高那么安全性也高，一般情况下可以认为可靠性等于安全性。 然

27、而由于安全仪表系统通常监测生产装置异常情况处于待机状况，其自身发生故障并不意味着立刻产生影响，这一点与一般设备不同，即不能认为可靠性等于安全性。 作为安全仪表系统（SIS）安全性的尺度，定义了PFD（Probability of Failure on Demand），其含义是需求失败的概率：即意味着在发生需求时，对需求失败的概率（即不能正常完成保护功能）。也称安全功能故障率或需求模式下故障可能性。用PFD概率的微小程度来表示安全仪表系统的安全性。 例如：PFD=0.10.01，则意味着每10个到100个需求，会有可能发生一次失败。SIL及SIL分级： -SIL：是Safety Integrit

28、y Level的简称。中文的意思在SHB（中石化标准SHB-206-1999）里称安全度等级；在IEC61508标准中使用，称安全完整性水平或安全整体性水平，叫法不一，待有关国家标准公布后再决定其称呼。 - 美国仪表学会（ISA）在S84.01标准中对过程工业中安全仪表系统所作的分级，SIS分为1.2.3三级。 -在EN954中使用类（Categority）。 -在DIN V19250和DIN V VDE.0801中使用“需求等级（Reguirement Class, RC/AK）”表注：AK1：无特殊安全要求A K8：E/E/PES已满足不了要求（1E/E/PES IS NOT SUFFIC

29、IENT）E/E/PES（Electrcal/Electronic/Programm-able Electronic Systen:电气/电子/可编程电子系统）。ISA-S84.01IEC 61508DIN V 19520(TV)PFD说明SIL.1 SIL.1AK110-110-2仅对少量的财产和简单的生产和产品进行保护AK2AK3SIL.2 SIL.2AK410-210-3对大量的财产和复杂的生产和产品进行保护，也对生产操作人员进行保护SIL.3SIL.3 AK5 10-310-4对工厂的财产、全体员工的生命和整个社区的安全进行保护AK6SIL.4AK710-410-5避免灾难性（例如核事

30、故）会对整个社区形成巨大冲击的事故AK8表3C-风险损害程度的分类；F-风险的频率和出现风险的的时间；P-避免风险发生的可能性；W-不希望出现风险的概率；1，2，8-必须采取的最小的抑制风险级；-没有安全要求；a-没有特殊安全要求美国仪表学会（ISA）：在S84.01标准中对过程工业中安全仪表系统所作的分类等级，SIL分为1、2、3三级：SIL1级每年故障危险的平均概率为0.100.01之间;SIL2级每年故障危险的平均概率为0.010.001之间;SIL23级每年故障危险的平均概率为0.0010.0001之间。安全度等级的确定1级：装置可能很少发生事故。如发生事故，对装置和产品有轻微的影响，

31、不会立即造成环境污染和人员伤亡，经济损失不大。 用于本级装置的安全仪表系统，需取得SIL1级和TV2-3级认证，对装置和产品起一般的保护。2级：装置可能偶尔发生事故。如发生事故，对装置和产品有较大的影响，并有可能造成环境污染和人员伤亡，经济损失较大。 用于本级装置的安全仪表系统，需取得SIL2级和TV4级认证，对装置和产品提供保护。3级：装置可能经常发生事故。如发生事故，对装置和产品将造成严重的影响，并造成严重的环境污染和人员伤亡，经济损失严重。 用于本级装置的安全仪表系统，需取得SIL3级和TV5-6级认证，对装置和产品提供保护。 IEC61508标准：IEC61508标准是国际电工委员会（

32、IEC）对与安全相关的控制系统制定的性能安全标准，与ISA的SIL相比，除了覆盖SIA中的SIL13级以外，增加了第4级标准，IEC SIL4级标准每年故障危险的平均概率为0.00010.000 01之间。 TV标准：TV是德国技术监督协会的缩写。DIN V 19250是TV证书中评定产品的标准。TV标准是德国莱茵认证对工业过程安全控制系统所作的分类等级。TV共分为8级（AK1AK8），AK2/3对应于SIL1级，AK4对应于SIL2，AK5/6对应于SIL3，AK7对应于SIL4，AK8是目前最高级别的安全标准，故障概率大于十万分之一，目前没有与E/E/PES安全相关的系统能满足要求，ISA

33、和IEC尚未制定相应于AK8的标准。工艺过程的风险评估 工艺控制过程如图7所示 工艺过程为装载易发挥易燃液体的压力容器系统 过程控制系统由液位控制进料量 压力设高限报警 如果操作员没有对报警做出反应，放空阀放空，通过泄压来降压，避免风险 以安全为目的系统包括一个过压报警、一位操作员和一个减压阀 工艺过程风险评估 工艺过程故障分析 表 4项目参数变化原因压力容器液位超高限过程控制系统故障压力超高限液位超高限外部事故（如火灾）低流量或无流量过程控制系统故障区分故障类型，找出工艺过程潜在的工艺参数变化以及造成的原因，根据工艺参数的变化发现潜在的恶性事故，制定相应的安全措施，分析情况如表4所示。压力容

34、器故障树的建立如图所示根据故障树模型得出超压情况的可能性。 图8 压力容器超压的故障树 在对此工艺过程进行风险评估之前，需要进行某些假使： 目标安全水平：假设考虑了国际和国家标准，工程实际经验、社会道德和环境等因素，后确定一年内压力容器泄压放空发生率10-4，（容器内蒸汽释放到大气中概率小于10-4次/年）；， 超压情况的可能性：一年内10-1； 压力高限报警故障率:10-2； 操作人员对压力高限报警处理失效率（无动作概率）10-1； 放空阀故障率：）10-1（放空阀失效概率）；从图9中可以看到:由于超压引起的各种潜在的泄压放空,以及情况的概率和后 果.只有满足所设计工艺过程的目标安全水平,其

35、他四中情况都无法满足目标安全水平。增加安全措施来降低工艺过程的风险.在现有的安全保护系统下,增加一台放空阀(其压力设定值比原来那台高)。高压报警 操作员处理放空阀可能性后果 增加一台放空阀是否能使工艺过程满足其目标安全水平?从图10中可以看到第种情况仍然达不到目标安全水平。 为了使工艺过程满足其目标安全水平,必须增加一套安全仪表系统SIS,来避免容器超压而引起可燃有毒物质的放空 高压报警 操作员处理安全功能放空阀可能性及后果 工艺过程的风险是以恶性事故机率及造成的后果来衡量的。同样,目标安全水平是以可接受的恶性事故机率及其造成的后果来确定的。通常在装置中,工艺过程的目标安全水平由国家标准、条例

36、、政策法规和环保来要求,或者根据国际标准来确定。 就我们讨论的每一种恶性事故过程,引入SIS只能降低恶性事故发生频率而不能改变其造成的后果。目标安全水平与恶性事故机率之间的差值就是安全功能的SIL等级,即SIS系统中采用SIL等级的安全功能来使恶性事故机率低于目标安全水平。危险降低总量最初危险系统内在稳定性带来的危险降低基础过程控制带来的危险降低预报警带来的危险降低机械设备带来的危险降低其他手段带来的危险降低剩余危险可接受范围内的危险危险 由图11所示很多环节都可以降低风险,如SIL评级所指的仪表保护是针对IPF(Instrumented Protective Functien)仪表保护功能带

37、来的危险降低而言,即安全仪表系统SIS的作用带来的风险降低。 如果在没有考虑IPF带来的危险降低时,危险已经降低到了可以接受的范围,相应的IPF就不需要了。反之,SIS/IPF是需要的,用来将危险降低到可以接受的范围内,并需要相应的SIL评级。图11 不同保护措施带来的危险降低 图12 SIL评级的程序: SIL评级前应先进行HAZOP(Hazard and operability study)工厂危害和可操作性研究。对工艺流进行全面的评估并提出需要报警和仪表安全联锁的部分,作为SIL评级的设计输入。 所有的报警和联锁都要进行相应的SIL评级。 经过SIL评级后,某些报警可能需要提高等级到安全

38、联锁,某些安全联锁也有可能降低到报警,某些报警也有可能被取消。 SIS评级的思想: 是先假设没有SIS功能,分析危险发生的概率并结合危险发生后的危 害程度,得出需要由SIS将危险降低多大的程度,对应于一定的SIL等级。SIS评级有三种技术方法来确定:定性风险评估法:风险矩阵法; 风险图法; 后果法; 改进HAZOP法(在传统HAZOP方法中增加对SIL的 选择)。半定量风险评级技术。定量风险评估技术:定量选择安全完整性水平是更加严格的方法,它要求对安全功能要求的动作频率和后果都通过定量的方式给出,同时允许风险也已是定量的,如最多伤亡5人。将系统风险首先定量地计算出来,然后同定量的允许风险相比较

39、得到风险降低,再计算出平均“要求时失效”概率从而得到安全完整性水平。定量的完整性选择方法主要是定量风险分析法。 SIS的定性风险评估方法:图13 风险评估的定性技术破坏程度 S1:轻微的人身伤害及环境破坏S2:一人或多人严重的人身伤害, 一人死亡,暂时的环境破坏S3:多人死亡,环境严重破坏S4:灾难性后果暴露在事故现场的频率A1:很少到经常A2:永久性暴露避免在事故现场G1:在特定条件下可能G2:几乎不可能事故的频率W1:非常低W2:低W3:相当高 根据图13所示这种IEC 61508的风险评估定性技术,分析图13所示的由于超压引起事故如何确定安全功能的SIL等级按下列步骤进行 确定超压引起事

40、故的破坏程度,从图表分析,我们假定为S2; 确定人员暴露在事故现场的频率,由于压力容器没有封闭隔离,人员出现在事故现场是永久性的,所以为A2; 确定是否有什么办法避免人员出现在事故现场,在此假定为G2; 确定事故发生的频率,在此假定为W2。 这样根据S2,A2,G2,和W2,可以看到为避免超压引起事 故,满足工艺过程的目标安全水平。我们需要一个SIL2的安全功能(安全功能故障率10-310-2, 见表5)。整体安全水平(SIL)安全功能故障率SIL4=10-5=10-4=10-3=10-220 a 注: a:annual(每年) 大部分的工艺过程危险发生概率定义在L这一档即为每420 a发生一

41、次。 即每420 a会对SIS功能有一次需求。 SIL1/2/3分别意味着在发生需求时,对需求失败的概率(即不能正常完成安全保护功能)分别为0.10.01/0.010.001/0.0010.0001。 可以看出SIL1意味着每10个到100个需求会有可能发生一次失败。 例题: 某个工艺危险发生概率为L(次/4-20 a)。 危险发生后危害程度为M(较大危害)。 对应了SIL等级为M(相当于SIL1:意味着4 a到20 a有可能发生一次真正的危险释放。 引入SIS功能后,由于选用SIL1的SIS的需求失败概率为0.10.01,即有10个到100个的需求,有可能发生一次失败。 这样整个系统意味着引

42、入SIS功能后,每40 a(4 a10)到2000 a(20 a100)有可能发生一次真正的危险释放.使得危害程度为M(较大危害),由于SIS功能的引入危险被降低到了可接受的范围内,在此例中40 a释放一次M级的危害是相对可以接受的。 风险矩阵(RISK MATRIX)评估办法 以工艺过程事故出现的频率(可能性)及其危害程度(严重性)为风险评估的指标,并对频率和危害程度人为量化为若干级,作出矩阵表(见表10),以此确定工艺过程安全度等级。 表10 频率危害程度很低(20年以上)低(420年)中(0.54年)高(00.5年)轻微DCS报警DCS联锁DCS联锁轻DCS报警DCS联锁SIL1SIL2

43、中DCS联锁SIL1SIL2SIL3大SIL1SIL2SIL3SIL4重大SIL2SIL3SIL4SIL4 表10中频率分级的年限(多少年出现一次)考虑了采用DCS进行监视、控制以及正常操作规程等对于降低事故出现频率的贡献,但不考虑ESD的存在。 表10中危害程度从经济损失、人身伤害和环境三个方面予以量化。如表11所示。表11危害程度经济损失(美元)人身伤害环境危害轻微150万造成多人伤残、死亡波及周边 不同的工艺过程(生产规模、原料和产品的种类、工艺和设备的复杂测程度等)对安全的要求是不同的。一个具体的工艺过程,是否需要配置ESD、配置何种等级的ESD,其前提应该是对此具体的工艺过程进行风险

44、的评估及安全度等级(SIL)的评定。在确定了某个具体工艺过程的安全等级(SIL)之后,再配置与之相适应的ESD。表1可以看出,若某一工艺过程经评定为SIL2,则配置达到AK4的ESD即可,其响应失效率(PFD)为百分之一至千分之一之间。应该注意的是不同安全级别的ESD,只能确保响应失效率(PFD)在一定范围内,安全级别越高的ESD,其PFD越小,即发生事故的可能性越小,但它不能改变事故造成的后果。因此,工艺过程安全度等级的评定是一项十分重要的工作。2危险与可操作性分析(HAZOP)2-1 方法概述危险与可操作性分析(Hazard and Operability Analysis,HAZOP)是

45、英国帝国化学工业公司(ICI)于1974年开发的系统安全分析方法,是以系统工程为基础,主要针对化工装置而开发的一种定性的危险性评估方法。它是以关键词为引导,分析讨论生产过程中工艺参数可能出现的偏差、偏差出现的原因、后果以及这些偏差对整个系统的影响,并针对地提出必要的对策措施。HAZOP法的特点是由中间状态参数的偏差开始,分别找出原因,判明后果,是属于从中间向两头分析的办法。其本质就是通过一系列的分析会议对工艺图纸和操作规程进行分析。HAZOP分析对工艺或操作的特殊点进行分析,这些特殊点称为“分析节点”,或工艺单元、操作步骤.通过分析每个“节点”,识别出那些具有潜在危险的偏差,这些偏差通过引导词

46、(或关键词)引出。一套完整的引导词用于每个可认识的偏差而不被遗漏。表12列出了HAZOP分析中经常遇到的术语及定义；表13列出了HAZOP分析常用的引导词。表12 常用HAZOP分析术语项目定义及说明工艺单元具有确定边界的设备(如两容器之间的管线)单元,对单元内工艺参数的偏差进行分析,对位于PID图上的工艺参数进行偏差分析操作步骤 间歇过程的不连续动作,或者是由HAZOP分析的操作步骤;可能是手动、自动或计算机自动控制的操作,间歇过程每一步使用的偏差可能与连续过程不同工艺指标确定装置如何按照希望的操作而不发生偏差,即工艺过程的正常操作条件;采用一系列的表格或图表进行说明,如工艺说明、流程图、管

47、道图、PID等引导词用于定性或定量设计工艺指标的简单词语,引导识别工艺过程的危险工艺参数与过程有关的物理和化学特性,包括概念性的项目如反应、混合、浓度、PH值及具体项目如温度、压力、相数及流量偏差 分析组使用引导词系统地对每个分析节点的工艺参数(如流量、压力)进行分析发现的一系列偏差工艺指标的情况(如无流量、压力高等);偏差的形式通常是“引导词+工艺参数”原因偏差的原因;一旦找到发生偏差的原因就意味着找到了对付偏差的方法和手段,这些原因可能是设备故障、认为失误、不可预见的工艺状态(如组成改变),来自外部的破坏(如电源故障),等后果偏差所造成的后果(如释放出有毒物质);分析组常常假定发生偏差时,

48、已有安全保护系统失效;不考虑那些细小的与安全无关的后果安全保护 指设计的工程系统或调节控制系统(如报警、联锁、操作规程等),用以避免或减轻偏差发生时所造成的后果措施或建议 修改设计、操作规程或者进一步分析研究(如增加压力报警、改变操作顺序)的建议 表13 HAZOP分析常用引导词及意义(参考GB13548-92)引导词意义备注NONE(不或者没有)完成这些意图是不可能的任何意图都实现不了,但也没有任何事情发生MORE(过量)数量增加与标准值相比,数值偏大;如温度、压力、流量偏高LESS(减量)数量减少与标准值 相比,数量偏小;如温度、压力、流量偏低AS WELL AS(伴随)定性增加所有的设计

49、与操作意图均伴随其它活动或事件的发生PART OF(部分)定性减少仅仅有一部分意图能够实现,一些不能REVERSE(相逆)逻辑上与意图相反出现与设计意图完全相反的事物;如物料反相流动OTHER THAN(异常)完全替换出现和设计要求不同的事或物;如发生异常事件或状态、开停车、维修、改变操作模式 引导词用于两类工艺参数,一类是概念性的工艺参数如反应、混合;另一类是具体的工艺参数如压力、温度。当概念性的工艺参数与引导词组合成偏差时常常发生歧义,如“过量+反应”可能是指反应速度快,或者是指生成了大量的产品。此外有些引导词与工艺参数组合后可能无意义或不能称之为偏差,如“伴随+压力”。 当具体的工艺参数

50、与引导词组合时,分析人员可能发现有些偏差的物理意义不确切,有必要对一些引导词进行修改。例如工艺参数“温度”,一般只能选取“过量”和“减量”两个引导词,而偏差就变成“过量+温度”或“减量+温度”,该偏差的物理意义就不确切。因此需要拓展引导词的外延和内涵,如:工艺参数“时间”,引导词“异常”就是指“快”或“慢”;工艺参数“液位”、“压力”、“温度”,引导词“过量”就是指“高”或“低”等。2-2 HAZOP分析步骤 HAZOP分析可按照如下步骤进行: 分析准备 完成分析 编制分析结果文件分析准备: 确定分析的目的、对象和范围 分析组的构成:工艺、设备、操作、仪表、维修、安全、设计、公用工程人员、仪表

51、人员(组织者或协调员+记录员) 必需的文件资料:PID(配管仪表图) PFD(工艺流程图) 设计参数 设计说明书 工艺过程说明 操作规程 将资料变成适当的表格并拟定分析顺序 完成分析:HAZOP分析流程图如图17所示 工艺、设计参数 流量、温度、压力、 浓度、液位、 速度、 时间、粘度、PH、 电压、分离、信号、 频率、添加剂、反应 导向文字+设计参数=偏离多(More) +流量(Flom)=过量(More Flow)可能原因 进口压力增加 泵的能力增加 启动了多台泵 输送压力降低 换热器管线泄漏 未安装流量限制孔板 控制故障 控制阀进行了调整 导向文字+设计参数=偏离低(LESS) +压力(

52、pressure)=低压(Low Pressure)可能原因 形成真空 冷凝 气体溶解在液体中 泵或压缩机管道受到限制 未检测到泄漏 容器向外排物 沸腾 气体释放 粘度或密度发生变化 天气条件变化 原因所有硬件失灵，人为错误、外部事件都会产生偏离注意：预防对于造成原因可能性是重要的（如通过对容器/管道的高频率检查）人为因素（如初始清单上所有成分都被标注，只有这个没有标上）当后果、防护、消除措施有所不同时，需要考虑次要原因（如泵失灵，停止、死火、停电）可能是其它未被识别的原因 后果 应包括意外事件(火灾、爆炸、有毒气体释放)所导致的控制失败 不是一种偏离、保护或消除响应(强烈反应压力) 例外:假

53、如防护/消除措施有效(打开减缓阀门、释放有毒蒸汽) 可能有一种以上的后果 包括对员工、公众和环境的质变影响 后果可能不是重大后果 现有的防护 所有能预防影响后果的现有工程技术、行政管理或个人防护 必须能对特定的后果起作用 如涉及人,列举人为因素 HAZOP分析涉及的各个方面:包括工艺、设备、仪表、控制、环境等。 分析小组对每个节点或操作步骤使用引导词进行分析,得到一系列的结果,如偏差的原因、后果、保护装置、建设措施等。 过程危险性分析的主要目的是发现问题,而不是解决问题。但是如果解决方法是明确和简单的,应作为意见或建议记录下来。 编制分析结果文件如表14所示 表14 HAZOP分析记录表 分析

54、人员: 图纸号: 会议日期: 版本号:序号偏差原因后果安全保护建议措施分析节点或操作步骤说明,确定设计工艺指标 HAZOP方法优、缺点及适用范围 该方法是一种定性的风险评估方法,简便易行,且背景各异的专家一起工作,在创造性、系统性和风格上互相影响和启发,能够发现和鉴别更多的问题,要比他们独立工作更为有效,缺点是分析结果受分析评估人员的主观因素影响。 适用范围:虽然该评估方法起初是专门用于评估新工程项目设计审查阶段的,用以查明潜在危险源和操作难点,以便采用措施加以避免.但HAZOP法特别适合于化工系统、装置设计审查和运行过程分析;还可用于热力水力系统的安全分析。2-3 HAZOP方法举例： HA

55、ZOP分析流程见图18分析节点 连接DAP反应器的磷酸溶液进料管线设计工艺指标 磷酸以一定流量进入DAP反应器引导词 空白工艺参数 流量偏差 空白+流量=无流量后果：反应器中氨过量，导致 未反应的氨进入DAP储槽，结果是氨从储槽逸出弥散到封闭 的工作区域； 损失DAP产品。原因：磷酸储槽中无原料； 流量指示器/控制器因故障显示植偏高； 操作人员将流量控制器设置过低； 磷酸流量控制阀因故障关闭； 管道堵塞； 管道泄漏或破裂。安全保护：定期维护阀门B。建议措施：考虑安装报警/停车系统； 保证定时检查和维护阀门B； 考虑使用DAP封闭储槽，并连接洗涤系统。 然后对该系统的其它节点用引导词+工艺参数继

56、续进行分析，每个节点的分析内容记录到HAZOP分析表中。表15是HAZOP分析结果部分示例。表15 HAZOP法分析DAP工艺过程部分结果 分析组人员： HAZOP分析组 图纸号：97-OBP-57100 会议日期： 版本号：序号偏差原因后果安全保护建议措施1.1管线氨送入DAP反应器的管线，进入反应起的氨流量为 Kmol/h,压力Pa高流量氨进料管线上的控制阀因故障打开；流量指示器因故障显示流量低；操作人员设置的氨流量太高 未反应的氨带到DAP储槽并释放到工作区域定时维护阀门A、检测器和报警器考虑增加液氨进入反应器流量高时的报警/停车系统；在工作区域确保通风良好，或者使用封闭的DAP储槽1.

57、9容器磷酸溶液储槽，酸在环境温度、压力下进料（如图4-1）泄漏腐蚀、磨损、外来破坏、密封故障少量的氨连续泄漏到封闭的工作区域定期对管线进行维修；操作人员定期进行检查DAP工艺区域在工作区域保证通风良好2.7容器磷酸溶液储槽，酸在环境温度、压力下进料（如图4-1）磷酸浓度低供应商供给的酸浓度低；送入进料储槽的磷酸有误未反应的氨带入DAP储槽并释放到封闭工作区域磷酸卸料、输送规程；氨检测器和报警器保证实施物料的处理和接受规程； 在操作之前分析储槽中的磷酸浓度； 保证封闭工作区域通风良好或使用封闭的DAP储槽3.2管线磷酸送入DAP反应器的管线，磷酸进料量 Kmol/h,压力y Pa低/无流量 磷酸储槽中无原料； 流量指示器因故障显示流量高； 操作人员设置的磷酸力量太低； 磷酸进料管线上的控制阀B因故障关闭； 管道堵塞、管道泄漏或故障未反应的氨带入DAP储槽并释