版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
1GB/T21109.3—XXXX过程工业领域安全仪表系统的功能安全确定要求的安全完整性等级的指南本文件给出了以下相关信息:——风险的基本概念以及风险与安全完整性的关系(见第A.4——可容忍风险的确定(见附录K);——确定安全仪表功能(SIF)的安全完整性等级(SIL)的不同方法(见附录B到附录K——计算预期风险降低能力时多重安全系统的影响(见附录J)。本文件:a)适用于为了保护人员、公共设施或环境而使用一个或多个SIF来达到功能安全;b)也适用于非安全应用,如资产保护;c)说明了定义安全功能要求和每个SIF的SIL时可能使用的典型危险和风险评估方法;d)说明了可用于确定要求的SIL的技术和措施;e)提供了确立SIL的框架,但并不指定特定应用要求的SIL;f)未提供确定其他风险降低方法要求的例子。附录B至K中说明了各种定量和定性方法,并进行了简化以说明其基本原则。这些附录是为了说明这些方法的一般原则但并不提供权威说明。注1:如打算使用这些附录中给出的方法,需查阅对注2:本文件中包含的SIL确定方法可能不适用于所有应用。特别是,对于注3:本文件所示的方法在使用时,如果超出了其潜在的限制,并且没有适当考虑诸如共因、故障裕度、应用的整体考虑、使用的方法缺乏以往经验、保护层的独立性等因素,则可能导致非保图2给出了典型保护层和风险降低措施的概览。2GB/T21109.3—XXXX图2典型的保护层和风险降低措施2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T21109.1-2022过程工业领域安全仪表系统的功能安全第1部分:框架、定义、系统、硬件和应用程序编程要求(IEC61511-1:2016,IDT)3术语和定义GB/T21109.1-2022界定的术语和定义适用于本文件。本文件附录为资料性的而不是规范性的。同样,本文件所述的任何特定方法的应用不保证与GB/T21109.1-2022的要求相符。3GB/T21109.3—XXXX风险和安全完整性——一般指南A.1概述本附录提供了关于风险的基本概念以及风险与安全完整性的关系的信息。这些信息可通用于本文件所示的各危险和风险评估方法。A.2必要的风险降低必要的风险降低(可以定性(见注1)或定量(见注2)说明)是为了满足特定情况下的可容忍风险(例如,过程安全目标水平)而需实现的风险降低。必要的风险降低概念在制定SIF的安全要求规范(SRS)(特别是安全完整性要求)时至关重要。确定特定危险事件的可容忍风险(例如,过程安全目标水平)的目的是为了确认危险事件的频率及其特定后果是合理的。保护层(见图A.2)旨在降低危险事件的频率和/或危险事件的后果。评估可容忍风险的重要因素包括暴露于危险事件中的对象的认识和看法。在确定特定应用的可容忍风险时,可以考虑多种输入。这些可能包括:——相关监管机构的指南;——与应用相关各方的讨论和协议;——行业标准和指南;——行业、专家和科学建议;——法律和法规要求:包括一般要求以及与特定应用直接相关的要求。注1:在确定必要的风险降低时,已明确了可容忍风险。GB/T20438.5:20注2:例如,导致特定后果的危险事件通常用每年发生A.3安全仪表系统的作用安全仪表系统(SIS)执行安全仪表功能(SIF(s)),以达到或保持过程安全状态,它将实现必要的风险降低来满足可容忍风险。例如,安全要求规范(SRS)可说明当温度达到X值时,阀Y开启使水流入容器。一个SIS或SIS的组合或者其他保护层都可实现必要的风险降低。人员可以是安全功能的组成部分。例如,人员可接收过程状态的信息,并根据该信息执行安全操作。当人员作为安全功能的组成部分时,需考虑所有的人为因素。SIF可以按要求运行模式或连续运行模式。安全完整性由以下两个要素组成。a)硬件安全完整性——在危险失效模式下与随机硬件失效有关的安全完整性部分。可使用已有的概率组合规则并考虑共因失效在子系统之间进行要求分配,将硬件安全完整性等级估算到合理的准确度。如有必要,使用冗余架构来实现所需的硬件安全完整性。b)系统性安全完整性,即在危险失效模式下与系统性失效有关的安全完整性部分。尽管可以估计某些系统性失效产生的影响,但是从设计缺陷和共因失效得到的失效数据意味着失效的分布难以预测。在某种特定情况下,增加了失效概率(如一个SIS的失效概率)计算的不确定性。因此,为了减少不确定性,需对最佳技术的选择做出判断。注意,为降低硬件随机失效概率所采4GB/T21109.3—XXXX取的措施不一定能降低系统性失效概率。比如,同型硬件的冗余通道这样的技术对控制硬件随机失效十分有效,但在减少系统性失效方面几乎无用。SIF和其他任何保护层所提供的总风险降低需确保:——安全功能的失效率足够低,使之能防止危险事件频率超过满足可容忍风险所要求的值;——安全功能把失效后果减轻到满足可容忍风险所要求的程度。图A.1说明了风险降低的一般概念。在一般模型中,假设:——存在一个过程及其相关的基本过程控制系统(BPCS——存在相关的人为因素;——安全保护层特征包括:.机械保护系统;.安全仪表系统;.非SIS的仪表系统;.机械减轻系统。注1:图A.1是用来说明一般原理的广义风险模型。开发特定的应用风险模必要的风险降低使用的特定方式,因此得出的风险模图A.1和A.2中所示的各种风险如下:——过程风险:由于过程、基本过程控制系统(BPCS)和相关的人员因素问题而存在的特定危险事件的风险;在确定这一风险的过程中,不考虑已设计的安全保护措施;——可容忍风险(过程安全目标水平):在给定的情境下,基于社会当前价值观可接受的风险;——残余风险:在本文件中,残余风险是在增加保护层之后发生危险事件的风险。过程风险是与过程本身相关的风险的函数,但它考虑了过程控制系统带来的风险降低。为了防止出现BPCS安全完整性的不合理声明,GB/T21109对此进行了限制。必要的风险降低只是为满足可容忍风险必须要达到的最低风险降低水平。必要的风险降低可以用一种或多种风险降低技术的组合来实现,从过程风险的起点达到规定的可容忍风险所必要的风险降低如图A.1所示。图A.1风险降低:一般概念注2:在某些应用中,在不考虑附录J中所述因素的5GB/T21109.3—XXXX组合起来以实现图A.1中所示的风险目标。这可能是由于各种保护A.4风险和安全完整性充分认识到风险和安全完整性之间的区别是重要的。风险是对特定危险事件发生的频率和后果的度量。可针对各种情况的风险进行评估(过程风险、可容忍风险、残余风险,见图A.1)。可容忍风险包括对社会和政治因素的考量。安全完整性是对SIF和其他保护层实现特定风险降低的可能性的度量。一旦设定了可容忍风险,并估计了必要的风险降低,就可以分配SIS的安全完整性要求。注:分配可以是迭代的,以便优化设计以满足各种要求。安全功能在实现必要的风险降低方面所起的作用如图A.1图A.2风险和安全完整性的概念A.5安全要求的分配图A.4表示了SIS和其他保护层安全要求(安全功能和安全完整性要求)的分配。GB/T21109.1-2022中第9章给出了对安全要求分配过程的要求。用于将安全完整性要求分配给SIS、其他技术安全相关系统和外部风险降低设施的方法,主要取决于是否以数值方式还是以定性方式明确规定了必要的风险降低。这些方法分别被称为半定量、半定性和定性方法(见附录B至I)。A.6危险事件、危险情况和伤害事件“危险事件”和“危险情况”这两个术语在本文件的后续附录中被频繁地使用。图A.3旨在通过显示从危险事件到危险情况的发展过程,从失控到伤害事件的发生,来说明术语之间的差异。图A.3使用了对人的伤害,但同样适用于对环境的破坏或对财产的损坏。6GB/T21109.3—XXXX图A.3伤害事件的进程图A.3表示了失控或任何其他初始原因是如何导致异常情况的,以及需要采取的保护措施,例如安全报警、安全仪表系统(SIS)、安全阀等。当要求发生且相关保护措施处于失效状态,并未按预期发挥作用时,就会发生危险事件。危险事件本身并不一定造成伤害,但如果有人处于冲击区(或受影响区域)内,从而暴露于危险事件中,则会导致危险情况。如果人员无法逃避暴露的有害后果,则由于会造成人员伤亡而将其定性为伤害影响。A.7安全完整性等级在GB/T21109.1-2022规定了4个SIL等级,SIL4是最高等级,SIL1是最低等级。GB/T21109.1-2022的表4和表5规定了4个SIL等级的目标失效量。其中规定了两个参数,一个用于工作在低要求运行模式下的SIS,另一个用于工作在高要求或连续运行模式下的SIS。注:对于在低要求运行模式的SIS,关注的目标失效量是在要求时执行要求运行模式下的SIS,关注的目标失效量是危险失效平均频率,见GB/T21109.1-2022中A.8选择确定要求的安全完整性等级的方法确定特定应用要求的SIL的方法有很多。附录B~I给出了一系列所使用方法的信息。选择特定应用的方法取决于许多因素,其中包括:——应用的复杂程度;——监管机构的指南;——风险特性和要求的风险降低;——承担工作人员的经验和技能;——关于风险参数的可用信息(见图A.4);——在特定应用中,当前使用的SIS的可用信息,例如行业标准和实践。在一些应用中可以使用不只一种方法。首先,使用定性方法确定所有SIF要求的SIL。然后对于那些用该方法分配了SIL3或SIL4的SIF需考虑再使用定量方法进一步细化以便更精确地理解所要求的安全完整性。在某些应用中,可能会使用多种方法。定性方法可作为确定所有SIF所需SIL的第一步。然后,需使用定量方法对定性方法分配为SIL3或4的SIF进行更细致的考量,以更严谨地确定其所需的安全完整性。重要的是,无论为应用选择哪种方法,都需使用现场的风险准则进行评估。7GB/T21109.3—XXXX注:在分配之前,安全完整性要求与各个SI图A.4非SIS保护层和其他保护层安全要求的分配8GB/T21109.3—XXXX半定量方法——事件树分析B.1概述本附录描述了当采用一种半定量方法时怎样确定目标安全完整性等级(SIL)。半定量方法同时使用了定性和定量的技术,在可容忍风险是以数字方式规定的情况下特别有用(例如一个特定后果的事件发生频率不大于1次/100年)。本附录的目的不是要为该方法提供权威说明,仅通过举例说明给出一般原则,其所基于的方法在下述参考文献中有更详细的说明:CCPS/AIChE,GuidelinesforHazardEvaluationProcedures,ThirdEdition,Wiley-Interscience,NewYork(2008).B.2与GB/T21109.1-2022的符合性本附录的总体目标是提供一个规程,用于识别所要求的安全仪表功能(SIF)并确定其安全完整性等级(SIL)。需遵循以下基本步骤:a)确立过程的安全目标(可容忍风险);b)针对每个特定的危险事件执行一次危险和风险分析,以评价现有的风险;c)针对每个特定的危险事件识别所需的安全功能;d)将安全功能分配给保护层;e)确定是否需要一个SIF;f)确定SIF要求的SIL。步骤a)建立了过程安全目标。步骤b)关注过程的风险评估,步骤c)则从风险评估推出为了满足过程安全目标,要求哪些安全功能以及需要哪些风险降低。当在步骤d)中把这些安全功能分配给保护层之后,是否要求一个SIF(步骤e)以及需要满足哪一级SIL(步骤f)也就变得显而易见了。本附录提出了使用一种半定量的风险评估技术以满足GB/T21109.1-2022第8章的目标。通过一个简单的示例来说明该技术。B.3示例B.3.1概述本示例中讨论的过程包括一个压力容器及相关的仪表,该压力容器具有一个带泵入的进料口,两个出料口(液体和气体),且压力容器内含气体和挥发性易燃液体的混合物(见图B.1)。过程控制的处理通过一个基本过程控制系统(BPCS)实现,BPCS监视来自流量变送器的信号并控制阀门的操作。可用的工程化系统是a)一个独立的压力变送器,用于启动高压报警并警告操作员采取适当动作以停止物料流入;及b)一个非仪表保护层,该保护层是一个泄压阀,在操作员未响应的情况下,用于处理与容器高压相关的危险。通过泄压阀释放的气体用管道引到一个喷射箱中,喷射箱再把气体泄放到一个火炬系统。在本例中假设火炬系统有适当的许可并且正确设计、安装及操作,因此本例中不考虑火炬系统的潜在失效。注:工程化系统指的是所有可用于响应一个过程要求的系统,包括其他仪表保护系统及操作人员的行为。9GB/T21109.3—XXXX图B.1具有现有安全系统的压力容器B.3.2过程安全目标成功控制工业风险的一个基本要求是简明扼要地定义所需的过程安全目标(或可容忍风险)。这可以根据国家和国际标准与法规、公司政策以及来自社区、当地司法管辖区和保险公司等相关方的意见来定义,并得到良好的工程实践的支持。过程安全目标是特定于一个过程、一个公司或行业的。因此,除非得到现有法规和标准的支持,否则不宜将其一概而论。对于本附录的说明性示例,假设根据释放到环境中的预期后果,将过程安全目标设置为平均释放频率低于10-4次/年。B.3.3危险分析需对过程进行一次危险分析以识别危险、潜在的过程偏差及其起因、可用的工程化系统、初始事件以及可能发生的潜在危险事件(意外事故)。这可以通过使用下列定性技术实现:——安全审查;——检查表;——假设分析;——HAZOP研究;——失效模式和影响分析;——因果分析。被广泛应用的一种技术是危险和可操作性(HAZOP研究)分析。危险和可操作性分析(或研究)可确定并评估过程工厂中的危险,以及可能损害达到设计产量能力的非危险可操作性问题。第2步就是对图B.1所示的示例执行一次HAZOP研究。HAZOP研究分析的目标是评估将物料释放到环境中的潜在危险事件。表B.1给出了一个简化表来举例说明HAZOP的结果。GB/T21109.3—XXXXHAZOP研究的结果确认了一个超压工况可能导致易燃物料向环境的释放。高压是一种过程偏离,其可能演变成导致各种各样场景的一个危险事件,取决于可用的工程化系统的响应。当对过程进行一次全面的HAZOP分析时,能导致向环境释放物料的其他初始事件还包括过程装置的泄漏、管道破裂和外部事件(如火灾)。对于本说明示例,需检查超压工况。表B.1HAZOP研究结果效注:本示例中,假定当进料流量过大时,可能由于下游设备无法处理气体流量而导致该容器出现高压情况。B.3.4半定量风险分析技术过程风险的评估是通过半定量风险分析完成的,该分析识别和量化与潜在过程事故或危险事件相关的风险。其结果可用来识别必要的安全功能及其相关的SIL,从而把过程风险降低到一个可接受的水平。在下面的主要步骤中可以区别出使用半定量技术的过程风险评估,前4个步骤可在HAZOP研究过程中执行。a)识别过程危险;b)识别初始事件;c)为每个初始事件编写危险事件场景;d)识别保护层的构成;注2:此步骤适用于上述示例,因为他涉及已有e)通过使用历史数据或建模技术(例如:事件树分析、失效模式和影响分析或故障树分析)确定初始事件的发生频率及现有安全功能的可靠性;f)量化重大危险事件发生的频率;g)评估所有重大危险事件的后果;h)将结果(某一事故的后果和频率)集成到与每个危险事件相关的风险评估。关心的重大结果是:——对与过程相关的危险和风险的一个较好和更详细的了解;——过程风险的知识;——现有安全功能对整体风险降低的贡献;——把过程风险降低到一个可容忍的水平所需的每个安全功能的识别;——评估的过程风险同目标风险的比较。半定量技术是资源密集型方法,它能提供定性方法所不具有的好处。该技术在很大程度上取决于评估小组识别危险的专业技术,半定量技术提供一种明确方法来处理其他技术的现有安全系统,使用一个框架来记录会导致上述结果的所有活动,并提供一个生命周期管理系统。GB/T21109.3—XXXX对于本说明示例而言,通过HAZOP研究确认的一个危险事件就是超压,超压具有向环境释放物料的潜在可能。需注意,B.3.4中使用的方法是对危险事件发生频率进行定量估算和对后果进行定性评估的联合使用。这种方法用于举例说明识别危险事件和安全仪表功能(SIF)需遵循的系统化的规程。B.3.5现有过程的风险分析下一个步骤是识别对初始事件的发展有贡献的因素。图B.2中所示的一个简单的故障树表示了在容器中对超压工况的发展有贡献的一些事件。顶端的事件,即容器超压,是由于基本过程控制系统(BPCS)失效(例如:流量控制回路)或者外部火灾引起的(见表B.1)。给出的故障树是为了突出BPCS失效对过程的影响,相比之下,外部火灾的频率被认为是可以忽略不计的。BPCS并不执行任何安全功能,但其失效可能会导致对SIS操作要求的增加。因此可靠的BPCS可产生对SIS操作较小的要求。故障树可以被量化,对本例而言,假设超压工况的频率大约为10-1次/年。值得注意的是,图B.2中表示的每个原因都假定是独立于其他原因的(即没有重叠),失效率表示为每年的事件数。图B.2容器超压的故障树一旦确立了初始事件的发生频率,就可使用事件树分析为安全系统对异常工况响应的成功或失效建模。表征安全系统性能的可靠性数据可从现场数据、公布的数据库或使用可靠性建模技术的预测获得。对本例而言,假定采用了可靠性数据,并且不被看作代表公布的或预测的系统性能。图B.3给出了在超压工况下可能发生潜在的后果场景。事件建模的结果是:a)每个事件序列的发生频率;和b)事件导致的定性后果。在图B.3中,确认了5种结果场景,每种结果场景有其发生频率和定性的后果。结果场景1涉及操作员对高压报警的反应,发生频率为8×10-2次/年,导致产量减少而没有释放。这是工艺过程可接受的设计条件,并且对操作员进行适当的响应培训和测试,以实现风险降低。此外,结果场景2和4会释放物料到火炬系统,合并发生频率为1.9×10-2次/年(9×10-3+1×10-2也被认为是工艺过程的设计工况。其余的结果场景3和5的合并发生频率为1.9×10-4次/年(9×10-5+1×10-4),这将导致容器损坏并向环境中释放物料(见注2)。GB/T21109.3—XXXX需注意,此分析并未考虑高压报警失效和BPCS流量传感器失效的共因失效的可能性,这种共因失效可能导致结果场景3的发生频率显著增大并因此造成整体风险。高压报警操作员响应泄压阀IPL1IPL2注:结果四舍五入到第一位有效数字。图B.3带现有安全系统的危险事件注3:假定图B.3中的每个事件都是独立的。此外,所给出的数据为近B.3.6不满足安全目标水平的事件如前所述,工厂特定指南确立的安全目标水平为:向环境释放物料的事故发生频率不大于10-4次/年。向环境释放物料的总体频率为9×10-5(场景3)+1×10-4(场景5)=1.9×10-4次/年,该频率不满足过程安全目标。根据图B.3中危险事件的发生频率和后果数据,有必要采取额外的风险降低措施将结果场景3和5的风险降低到安全目标水平以下。B.3.7使用其他保护层的风险降低GB/T21109.3—XXXX在确定是否需要在SIS中实现安全仪表功能之前,需考虑其他技术的保护层。喷淋系统在表B.1中被列为一种安全措施,但它不能防止容器损坏或释放到环境中。鉴于分析的目的是将物料释放到环境中的风险降至最低,可以假设喷淋系统不是容器损坏或释放到环境中的可接受风险降低方案。喷淋系统确实降低了人员和事件升级的风险,本例中未对此进行评估。B.3.8使用安全仪表功能的风险降低使用其他技术的保护层不能达到过程安全目标。为了降低释放到大气环境的总频率,需要新增一个SIL2的SIF以满足过程安全目标。新增的SIF见图B.4。此时没有必要对SIF进行详细设计。一般的SIF设计概念就足够了。这一步的目的是确定新的SIL2的SIF是否能够提供要求的风险降低以达到过程安全目标。在为SIF定义了过程安全目标后才进行SIF的详细设计。在本例中,新增的SIF使用两个功能安全专用的压力传感器,以1oo2的配置(未在图B.4中表示)将信号发送给一个逻辑解算器。逻辑解算器的输出控制切断阀和泵。注:1oo2表示两个压力传感器的任意一个均能启动过程停机。新的SIL2的SIF用于将因超压导致压力容器释放的频率降到最小。图B.4表示了新的保护层并提供所有潜在的事故场景。如图所示,如果SIF的评估满足SIL2要求,该容器的所有释放频率能降低到不大于10-4次/年,并能满足过程安全目标水平。在图B.4中,确定了七种结果场景,每种场景都有发生频率和后果的定性描述。危险事件场景1的频率与前面讨论的相同。操作员的响应导致减产的发生频率为8×10-2次/年。在本设计案例中,SIS的成功运行会导致过程停机,并且以1.9×10-2次/年的频率发生。SIS降低了泄压阀的过程要求率。场景结果3中涉及从PRV释放到火炬系统的频率比前一个案例减少了两个数量级,达到9×10-5次/年。在场景结果4中,将物料释放到环境中的危险事件的发生频率为9×10-7次/年。由于SIS导致过程停机,场景结果5无释放,发生频率为1×10-2次/年。如果SIS运行失效,泄压阀将提供下一个安全功能并释放到火炬系统,如场景结果6所示。PRV打开的频率为1×10-4次/年。释放到火炬系统的总频率由场景3和6决定,总频率为9×10-5+1×10-4,即1.9×10-4次/年。火炬系统的释放是该过程可接受的设计工况。场景结果7涉及所有安全功能的失效,发生频率为1×10-6次/年。容器失效释放到环境中的总频率(场景4和7的频率之和)已降至1.9×10-6次/年,满足过程安全目标的10-4次/年。需注意,该事件树分析未考虑高压报警和SIL2的安全仪表功能之间共因失效的可能性和整体相关性。另外,这里还存在安全功能和BPCS流量传感器的失效之间的潜在共因失效和整体相关性。这些共因失效可导致保护功能在要求时的失效概率显著增加,并因此使整体风险明显增大。GB/T21109.3—XXXX高压报警操作人员响应SIL2SIS泄压阀注:结果四舍五入到第一位有效数字。图B.4带有SIL2安全仪表功能的危险事件GB/T21109.3—XXXX(资料性)安全层矩阵法C.1概述在每个过程中,风险降低需从过程设计的最基本元素开始,包括:过程本身的选择、现场选址、有关危险品库存和工厂布局的决策。降低运行风险的过程设计决策有:保持最小的危险化学品的库存量;安装管道和热交换系统,其在物理上能防止易发生化学反应的化学物质的意外混合;选择能够承受可能的最大工艺压力的厚壁容器;选择最高温度低于过程化学品的分解温度的加热介质。上述通过仔细选择过程设计和操作参数来降低风险是安全过程设计中的一个关键步骤。建议在工艺研发活动中进一步寻求消除危险和实施固有的安全设计实践的方法。遗憾的是,即使在这种设计理念得到充分应用之后,危险可能仍然存在,需采取额外的保护措施。在过程工业中,使用多重保护层来保护一个过程,如图C.1所示。图中每个保护层都由设备和/或管理控制组成,其与其他保护层协同工作,达到控制或减轻过程风险。图C.1保护层保护层的概念基于三个基本概念:a)一个保护层由一组设备和/或管理控制组成,与其他保护层协同工作,以控制或减轻过程风险;b)保护层(PL)满足以下准则:——将已识别的风险降低至少10倍;——具有以下重要特性:GB/T21109.3—XXXX.特定性——PL被设计用来防止或减轻一个潜在的危险事件的后果。由于多种原因都可能导致相同的危险事件,因此多因事件的场景可能由一个PL发起动作。.独立性——如果能证明一个PL与其他任何一个已声明的PL之间没有潜在的共因或共模失效的可能,则该PL独立于其他保护层。.可信性——由于在设计中同时考虑了随机故障和系统性故障,PL可以被信赖去完成其被设计用来完成的任务。.可审核性——PL被设计成有助于保护功能的定期验证。c)安全仪表系统(SIS)保护层是符合GB/T21109.1-2022的3.2.69中SIS定义的保护层(在开发安全层矩阵时,使用了“SIS”)。参考文献:——GuidelinesforSafeAutomationofChemicalProcesses,AmericanInstituteofChemicalEngineers,CCPS,345East47thStreet,NewYork,NY10017,1993,ISBN0-8169-0554-1——LayerofProtectionAnalysis-Simplified–Processriskassessment,AmericanInstituteofChemicalEngineers,CCPS,3Parkavenue,NewYork,NY10016-5991,2001,ISBN0-8169-0811-7——CCPS/AIChE,GuidelinesforSafeandReliableInstrumentedProtectiveSystems,Wiley-Interscience,NewYork(2007)——ISA84.91.01:IdentificationandMechanicalIntegrityofSafetyControls,Alarms,andInterlocksintheProcessIndustries,TheInstrumentation,SocietyofAutomation,67AlexanderDrive,POBox12277,ResearchTrianglePark,NC27709,USA——SafetyShutdownSystems:Design,AnalysisandJustification,GruhnandCheddie,1998,TheInstrumentation,Systems,andAutomationSociety,67AlexanderDrive,POBox12277,ResearchTrianglePark,NC27709,USA,ISBN1-55617-665-1——FMGlobalPropertyLossPreventionDataSheet7-45,“InstrumentationandControlinSafetyApplications”,1998,FMGlobal,Johnston,RI,USAC.2过程安全目标对于工业风险成功管理的一个基本要求是简明和清晰的定义所期望的过程安全目标(或可容忍风险该目标可根据国家和国际的法规和标准,公司政策以及有关各方,如社区、当地管辖部门和保险公司等提供的输入来定义,并有良好的工程实践支撑。过程安全目标等级专用于一个过程、一个公司或者一个行业。因此,不宜把它通用化,除非现有法规和标准给这种通用化提供支持。C.3危险分析过程危险分析过程需识别危险、潜在的过程偏差及其起因、可用的工程系统、初始事件以及可能发生的潜在危险事件。使用下列几种定性技术就能完成这种分析:——安全审查;——检查表;——假设分析;——HAZOP研究;——失效模式和影响分析;——因果分析。被广泛使用的一项此类技术为危险和可操作性(HAZOP研究)分析。危险和可操作性分析(或HAZOP研究)识别和评价过程工厂中的危险以及可能损害达到设计产能的非危险的可操作性问题。GB/T21109.3—XXXXHAZOP在GB/T35320-2017等标准中有详细的说明。它需要对过程的设计、操作和维护有详细知识和理解。通常,一个经验丰富的组长将使用一组适当的“引导”词系统化地引导分析小组贯穿整个过程设计。这些引导词被用于过程中的特定点或研究节点,并同特定的过程参数相组合以识别相对于预定操作过程的潜在偏差。检查表或过程经验也用于帮助团队编制在分析中要考虑的偏差的必要列表。然后小组就过程偏差的可能原因、这种偏差的后果以及所需的程序和工程系统达成一致。如果原因和后果很重大并且保护措施不足,小组可建议采取额外的安全措施或者后续行动供管理部门考虑。通常,一个特定过程的经验和HAZOP研究的结果可被通用化,使之可供公司中存在的类似过程应用。如果这种通用化是可能的,那么利用有限的资源使用安全层矩阵法也是可行的。C.4风险分析技术在HAZOP研究完成后,可以使用定性或定量技术对与过程相关的风险进行评价。这些技术有赖于工厂人员和其他危险和风险评估专家识别潜在危险事件和评价其可能性、后果和影响。可用一种定性方法来评估过程风险,这种方法可提供危险事件如何发展的可追溯的路径,并且可以对可能性(发生的大致范围)和严重性进行评估。表C.1提供了在不考虑现有PL影响的情况下,如何评估发生危险事件的可能性的典型指南。表中的数据是通用性的并可用于未提供工厂或过程特定的数据的情况。但是,若公司有特定的数据时,则需使用公司这些数据来评估发生危险事件的可能性。同样地,表C.2展示了一种把危险事件影响的严重性转换成可用于相关评估的严重性等级的评定。另一方面,这些定级又被用于指南。危险事件影响的严重性及其定级是根据工厂的特定的专业知识和经验研究开发出来的。表C.1危险事件可能性的频率(不考虑PLs)事件的类型可能性定性分级比如多种仪表或阀门的多重失效、在无压力环境下的多次人为错误,或者过程压力容器的自然失效的事件。低比如仪表、阀门双重失效或者装载/卸载区内的重大泄漏的事件中比如过程泄漏,单个仪表、阀门失效或者人为错误,导致产生危险物质的少量泄漏的事件。高注:当声明某一控制功能失效的频率低于10/年时,该系统可符合GB/T21109.1-2022的要求。表C.2危险事件影响严重程度的分级准则严重性等级影响重大的设备出现大规模损坏。某一过程长时间停机。对人员和环境产生灾难性后果。严重的设备出现损坏。过程短时间停机。对人员和环境产生严重伤害。轻微的设备出现轻微受损。过程不停机。对人员产生短暂伤害,对环境造成损害。C.5安全层矩阵风险矩阵通过将危险事件的可能性和影响的严重性等级结合起来用于评估风险。一种相似的方法则可用来研究开发一个矩阵,此矩阵确定一个与使用SIS保护层相关的潜在风险降低。这样的风险矩阵如图C.2所示。在图C.2中,过程安全目标已被嵌入到矩阵中。换句话说,此矩阵是以特定公司的操作经验和风险准则,公司的设计、操作和保护理念,以及公司所确立的过程安全目标即公司的安全水平为基础。GB/T21109.3—XXXX现有PLs数量要求的SIL3c)112c)c)1c)1212b)31c)1212b)3b)3b)3a)3危险事件可能性低中高低中高低中高轻微的严重的重大的危险事件严重性等级a)一个SIL3的安全仪表功能(SIF)在该风险等级下,并不能提供足够的风险降低。为了降低风险,需要进行其他的修改。b)一个SIL3的SIF在该风险等级下,可能无法提供足够的风险降低。需要进行额外的审查。c)有可能不需要SIS保护层。))注3:危险事件的严重程度——与危险事件有关的影响。见图C.2安全层矩阵示例C.6一般规程a)确定过程安全目标。b)开展危险识别(例如HAZOP研究),以确定所有相关的危险事件。c)根据公司特定的指南和数据,确立危险事件场景并评估危险事件的可能性d)根据公司特定的指南确立危险事件的严重性等级。e)确定现有PLs(图C.2)。对每个PL评估危险事件的可能性的降低为10倍。f)将残余风险与过程安全目标进行比较,确定是否需要额外的SIS保护层。g)根据图C.2识别SIL。h)用户需遵循C.1中b)的规定。GB/T21109.3—XXXX半定性方法——校正的风险图法D.1概述本附录基于GB/T20438.5-2017中E.1描述的风险图实施的通用方案。本附录已做了调整,以便更适合于过程工业的需求。本附录描述了用于确定安全仪表功能(SIF)的安全完整性等级(SIL)的校正的风险图法。这是一种半定性方法,这种方法可根据与过程和基本过程控制系统(BPCS)相关联的风险因素的知识,来确定一个SIF的SIL。这种方法使用多个参数,这些参数共同描述了SIS失效或不可用时的危险情况的特性。从四组参数中各选择一个参数,然后结合选定的参数来决定分配给安全仪表功能(SIF)的安全完整性等级(SIL)。这些参数包括。:参考GB/T20438.5-2017,建议采用:从4组参数中各选择1个参数,然后组合所选定的参数,用以确定分配给SIF的SIL——允许对风险进行分级评估,和——表示关键的风险评估因素。风险图方法也可以用来确定是否需要降低风险,尤其是在后果包括严重环境损害或资产损失的情况下。本附录的目的是提供上述问题的指南。本附录从保护人员免于危险开始。它提出了把GB/T20438.5-2017图E.1的通用风险图应用到过程工业的一种可能性。最后,给出了风险图在环境保护和资产保护中的应用。D.2风险图综合法风险被定义为危害发生可能性与该危害严重性的组合(见GB/T21109.1-2022的3.2.61)。典型地,在过程领域中,风险是以下4个参数的函数:——危险事件的后果(C);——占用率(暴露区域被占用的概率F——避免危险情况的概率(P);——要求率(在所考虑的安全仪表功能不存在的情况下,每年发生危险状况的次数W)。当风险图用于确定在连续模式下起作用的一个安全功能的SIL时,则需考虑改变风险图中使用的那些参数。这些参数(见表D.1)表示与所涉及的应用特点最密切相关的那些风险因素。当为了保证把风险降低到可容忍水平而需要作某些调整时,还需要考虑给出SIL到参数判定结果的映射。作为一个例子,参数W被重新定义成系统处于运行期间系统寿命的百分数。在危险并不是连续出现,并且一年中失效导致危险的时段很短的情况下,选择W1。在此例中,为了确保可容忍风险所涉及的判定准则和被复审的完整性等级结果,还需考虑其他的一些参数。表D.1过程工业风险图参数的描述参数描述后果C发生危险事件很可能导致的死亡和/或严重伤害的人数。此人数可在考虑危险事件的致命性的情况下,通过计算当区域被占用时暴露区中的人数来确定。F在发生危险事件的时段内暴露区被占用的概率。可以通过在发生危险事件的时段内区GB/T21109.3—XXXX域被占用的时间分数来确定此概率。还需考虑在发展成危险事件的过程中,为了调查可能存在的异常情况,暴露区的人员增多的可能性(还要考虑这是否会改变C参数)。率P如果要求时SIF失效,暴露的人员能够避免处于危险状况的概率。这取决于是否有独立的方式在危险发生前提醒暴露人员注意危险,以及是否有逃生方法。要求率W在所考虑的SIF不存在的情况下,每年发生危险事件的次数。可通过考虑可能导致危险事件的所有失效并估算总的发生率来确定它。在考虑时还需包含其他保护层。D.3校准校正过程的目的如下:a)描述所有的参数,从而使SIL评估组能根据应用特点进行客观的判断;b)确保为某个应用选择的SIL符合公司的风险准则,并考虑到了其他来源的风险;c)使参数选择过程能被验证。风险图的校正是对风险图参数赋值的过程。这构成了评估现有过程风险的基础,并允许确定正在考虑的SIF的要求的完整性水平。每个参数都被分配了一个数值范围,这样当在组合应用时,可产生在没有某个特定的安全功能情况下存在的风险的等级评估。于是就确定了对SIF的依赖程度的度量。风险图把风险参数的特定组合与安全完整性等级相关联。通过考虑与特定危险相关的可容忍风险,可确立风险参数组合与SIL之间的对应关系。校准过程的描述见I.2和I.4.7。在考虑风险图的校正时,重要的是要考虑到与来自业主期望和当地管理部门要求的风险有关的要求。能从以下两个角度考虑生命的风险:——个体风险:定义为暴露最多的个体每年的风险。通常有一个可允许的最大值。此最大值一般来自所有的危险源。——社会风险:定义为暴露个体的一个群体每年经受的总风险。一般要求把社会风险降低到至少社会能允许的一个最大值,并且直到进一步降低风险所花成本与降低的风险不成比例时为止。如果需要将个体风险降低到某个规定的最大值,则不能假设所有的风险降低都可以分配给单一的SIS。暴露的人员面临来自其他来源的广泛风险(例如坠落、火灾和爆炸风险)。当考虑所需的风险降低程度时,一个组织可能具有关于防止一次死亡事故所增加的成本的准则。这可以通过将与更高完整性等级水平相关的额外硬件和工程的年度成本除以增量风险降低来计算。当防止一次死亡事故所增加的成本低于预定金额时,就可认为追加的完整性等级是合理的。一个广泛使用的社会风险准则是基于出现N个或更多死亡人数的可能性,即F。可容忍的社会风险准则采用死亡人数与事故频率关系的双对数图的一条曲线或者一组曲线表示。通过绘制所有事故的累积频率与事故后果的关系曲线(即F-N曲线并确保F-N曲线不超过可容忍风险曲线,就可完成没有违背社会风险准则的确认。UKHSE出版物“降低风险,保护人员”ISBN0717621510中收录了关于制定引起社会问题的风险准则指南。D.2提到的四个风险参数包含在图D.1所表示的决策树中。在规定每个参数值之前就需考虑上述问题。大多数参数被指定了一个范围(例如,如果一个特定过程的预期要求率在规定的每年1~10的范围内,那么W3可能被采用)。类似地,对于低一个数量级的要求范围,可使用W2,对于低二个数量级的要求范围则使用W1。给每个参数一个规定的范围有助于小组判定对一个特定的应用需选择哪个参数值。为了校正风险图,需给每个参数赋与数值或数值范围。与每个参数组相关的风险则以个体风险和社会风险的方式进行评估。然后就可确定满足所确立的风险准则(可容忍风险或更低)所需的风险降低。使用这种方法,可以确定与每个参数组合相关的SIL。不需要在确定一个特定应用的SIL时每次都要执行这样的校正活动。对于类似的危险而言,对于组织一般仅需要进行一次这样的工作。在校正过程中,当发现最初所作的假设对任何特定的工程项目都无效时,则有必要对特定的项目进行调整。GB/T21109.3—XXXX在对参数赋值时,需提供这些值是如何得出的信息。这样的校正过程在承担安全责任的组织内得到高度一致的同意是非常重要的。达成的决议决定了可达到的整体安全。一般来说,用一个风险图来考虑要求的来源和SIS之间相关失效的可能性是困难的,因此这可能会导致对SIS有效性过高评估。D.4承担SIL评估的小组成员和组织单独一个人要具备判定所有相关参数所必要的全部技能和经验是不可能的。为了确定安全完整性等级,通常采用专门组建一个小组的方法。小组成员一般包括:——工艺过程专家;——过程控制工程师;——运行管理人员;——安全专家;——具有操作正在考虑的工艺过程的实际经验的人员。小组一般依次考虑每个SIF。小组需要关于该过程以及面临风险的可能人数的完整信息。该小组需包括一个具有使用风险图法的以往经验并且了解该方法所基于的基础概念的人员。小组的领导需确保每位小组成员都能自由地提问和表达观点。D.5SIL确定结果的文档编制很重要一点是,在确定SIL的过程中采取的任何决定都需记录在受控于配置管理的文档中。文档需清晰的描述小组为什么选择那些与某个安全功能相关的特定参数。记录每个安全功能SIL的决定的结果及其作为结果的假设的表格都需编入档案。在由单一操作小组所服务的一个区域内,如果可以确定有大量的执行一些安全功能的系统,则有必要复审校正假设的有效性。档案还需包括如下附加信息:——使用的风险图,连同所有参数范围的描述;——图及使用的所有文档的版本号;——涉及用于评价参数的人员配置假设和任何已使用的后果研究;——涉及到的引起要求的失效以及用于确定要求率的所有的故障传播模型;——涉及到的用于确定要求率的数据源。D.6基于典型准则的校准示例在表D.2中,给出了上述参数的描述和每个参数的范围,用于满足化工过程所规定的典型准则。在任意一个项目的范围内,在使用此表之前,证实它能够满足承担安全责任的那些人的需要是非常重要的。为了修改后果参数,引入了致命性的概念。这是因为在许多场合下,一次失效并不会直接造成死亡事故。在风险分析中,受体的致命性是一个重要的考虑内容,因为有时受体所受到的剂量还不足以引起死亡事故。一个受体的致命性作为一个结果,是受体暴露在危险下的频率和暴露持续时间的一个函数。例如,一次失效可能引起设备的一个部件的压力超过设计压力,但没有升高到超过设备测试压力,通常的结果很可能仅限于法兰密封垫圈的泄漏。在这种情况下,逐步升级的速率很可能较慢,操作人员一般都能避免后果。即使在液体漏泄量较大的情况下,由于逐步升级的速率足够慢,操作人员避免危险的概率仍然较高。当然,失效导致管道或者压力容器破裂的情况下,操作人员的致命性就可能很高。一受体对后果的致命性是其暴露于危险的浓度和暴露持续时间的函数。在对事件积聚过程中出现的迹象进行调查时,需考虑由于这些调查活动而导致的危险事件附近区域人数的增加。需考虑最坏情况的场景。GB/T21109.3—XXXX应考虑到由于要对事件形成的迹象进行调查,造成危险事件附近区域的人数的增加。需考虑到最坏的情况。辨别出“致命性”(V)和“避免危险事件的概率”(P)之间的差别是非常重要的,以避免对同一因素进行两次考虑。致命性是有关危险发生后逐步升级的速度的一个度量,它与危险事件发生时发生致命伤害的概率有关,而P参数则是有关阻止危险事件的一个度量。只有在操作员查觉到SIS丧失功能之后,它采取的动作能够阻止危险的情况下,才使用PA。对于如何选择占用率参数已设置了一些限制。选择占用率的要求时需根据暴露最多的人员而不是所有人员的平均值。理由是为了确保暴露最多的个体不会遭受高风险,而这种风险不会在所有暴露于风险的人员中平均分配。当参数并不落在任何规定的范围内时,有必要使用其他方法来确定风险降低要求,或者使用上面描述的方法重新校正风险图D.1。图D.1风险图:通用方案在没有重新校准以符合现场风险准则的情况下,不宜使用图D.1。没有适当风险标准的任何现场不宜试图采用这一方法。进行校准的方式将取决于如何表达可容忍风险准则。需调整参数描述,这样他们将与预期应用的范围和风险承受能力相匹配。可修改C、F、P或W值。表D.2给出了一个校准例子,在这一例子中,W值通过校准因子D进行调整,以便与规定的风险准则一致。表D.2一般用途风险图的校准示例风险参数备注后果(C)死亡人数通过确认暴露在危险区域的人数,并乘CA轻微伤害a)针对人员的伤害和死亡,已开发了分类体系。b)在说明CA、CB、CC和CD时需GB/T21109.3—XXXX以已识别危险的致命性来计算致命性由要防止的危险的特性决定。可使用以下系数:V=0.01易燃或有毒物质少量释放V=0.1易燃或有毒物质大量释放V=0.5同上,而且着火或者中毒概率很高V=1管道、压力容器破裂或者爆炸CBCCCD范围0.01~0.1范围>0.1~1.0范围>1.0考虑意外事故的后果和正常康占用率(F)通过确定在正常工作期间,暴露在危险下的区域被占用的时间长度的比值可计算注2:只有当要求率是随机的,并且当要求率与占有率的升高无关时,则适合采用FA。通常在设备启动或在发生异常很少到经常暴露在危险区域。占用率小于0.1经常到永久暴露在危险区域c)见备注1当保护系统不工作时避免危险事件的概率(P)在满足备注4的所有条件时采用在有任何一个条件不能满足时采用d)只有下列条件都满足时才选择PA:——提供能警告操作员SIS已失效的设施;——提供能关闭过程的独立设施,从而可避免危险或使所有人员能逃避到安全区;——从操作员接收到警告到发生危险事件之间的时间需超过1小时,或确实足以采取必要动作。要求率(W)在所考虑的SIF不存在时,每年发生危险事件的次数。为了确定要求率,有必要考虑能导致危险事件的所有失效源。确定要求率时,要对控制系统的性能和介入给予可信的限制。W1W2要求率小于每年要求率在每年0.1D~1De)W因子的用途是估计在没有增加SIS时发生危险的频率。如果要求率很高,需要通过其他的方法或者重新校正的风险图来确定SIL。需要注意,在应用是连续模式操作的情况下,GB/T21109.3—XXXX如果不按GB/T21109设计和维护控制系统,则能声明的性能需低于SIL1。W3要求率在每年1D~10D之间要求率高于每年10D时,则需要更高的安全完整性。风险图不一定是最好的方法,见GB/T21109.1的3.2.39.2。f)D是校准因子,其值的确定需使风险图得出的剩余风险水平在考虑到暴露人员的其他风险和公司准则的情况下是可容忍的。表中每个W值所用的数值需通过开展第D.3条或附录I中所述的风险图校准得出。注:此例说明了风险图设计原理的应用。特定应用和特定危险的风险D.7在后果是破坏环境的情况下使用风险图在失效后果包括严重的环境破坏的场合,也可使用风险图方法确定完整性等级要求。所需的完整性等级取决于被释放物质的特性及环境的敏感度。表D.3给出了环境方面的后果。上述特定物质规定的释放量与各个过程工厂的位置有关,并且需要报告给当地管理部门。工程项目需要确定在一个特定的位置什么是能被接受的。表D.3一般环境后果会造成轻微破坏的释放,破坏不很严可造成大破坏但能很快清除不会产生可造成大破坏且不能很快清除而会产以上后果可连同下面所示的图D.2风险图的特殊版本一起使用。注意,由于占用率的概念不适用,故此风险图中不使用F参数。但还使用了参数P和W,他们的定义同前面对安全后果所使用的那些定义是一样的,尽管为了与环境风险准则一致可能需要修改校准因子D的值。GB/T21109.3—XXXX图D.2风险图:环境破坏D.8在后果为财产损失的情况下使用风险图对于失效后果包括资产损失的情况,也可使用风险图方法确定完整性等级要求。资产损失是与要求时功能失效相关的总的经济损失。它包括遭受到任何破坏时的重建成本和浪费或耽搁生产的成本。使用一般的成本效益分析可以计算任何损失后果的合理完整性等级。如果风险图方法用来确定与安全和环境后果相关的完整性等级时,那么使用风险图来评估资产损失是有益的。当被用来确定与资产损失有关的完整性等级时,一定要定义后果参数CA~CD。这些参数在不同的公司可能有不同的范围。可以为资产损失开发一个与用于环保的类似风险图。注意,由于不适用占用率的概念,故不使用F参数。但继续使用了参数P和W,他们的定义同前面对安全后果所使用的那些定义是一样的,尽管为了与资产风险准则一致可能需要修改校准因子D的值。D.9在失效后果涉及一种或多种损害类型的情况下,确定仪表保护功能的完整性等级在许多情况中,对要求时动作失效的后果涉及多种损害类型。如果出现这种情况,需分别确定与每一类损失相关的完整性水平要求。对于已查明的每个单独的风险,可使用不同的方法。为某个功能所规定的完整性等级,需考虑如果在要求时功能失效所涉及到的所有风险的累加总和。GB/T21109.3—XXXX定性方法——风险图E.1概述本附录描述了一种确定安全仪表功能(SIF)的安全完整性等级(SIL)的风险图方法。它是一种定性方法,这种方法可根据与过程和基本过程控制系统(BPCS)相关的风险因素的知识,来确定一个SIF的SIL。此方法使用了一些参数,这些参数共同描述了当安全仪表系统失效或不可用时危险情况的特性。从4组参数中各选择1个参数,然后组合所选定的参数,用以确定分配给SIF的SIL。这些参数:——允许对风险进行分级评估,和——表示关键的风险评估因素。风险图方法也可用于确定风险降低的必要性,其后果包括严重的环境破坏或资产损失。VDI/VDE2180(2015)中显示了附录E中所展示方法的更多细节。E.2仪表功能的典型实施在使用过程控制方法防护过程工厂中需清楚区别安全任务和操作要求。因此,过程控制系统可分为以下几类:——BPCS;——过程监视系统;——SIS。分类的目标是为每种类型的系统制定适当的要求,以在经济合理的成本下满足工厂的整体要求。分类使之能对计划编制、安装和运行以及其后对过程控制系统的修改过程进行清楚的描绘。BPCS用于在正常操作范围内确保工厂的正确运行。它包括相关过程变量的测量、控制和/或记录。在SIS需要执行联锁之前,BPCS处于连续运行之中或者被频繁地请求动作。(BPCS系统通常无需根据GB/T21109.1-2022的要求实现)。当一个或多个过程变量超过正常的运行范围时,过程监控系统会在某一工艺装置的规定运行期间内起作用。过程监控系统对工艺装置的可容许故障状态报警,以提醒操作人员或引发人工干预(过程监测系统通常无需根据GB/T21109.1-2022的要求实现)。SIS可预防过程工厂的一个危险故障状态(“保护系统”)或降低一个危险事件的后果。如果没有SIS,则可能会出现导致人员伤害的危险事件。与BPCS相比,通常对SIS的要求率是低的,这主要是因为发生危险事件的概率低。此外,处于连续运行状态下的BPCS和监视系统通常可使得SIS的要求率降低。E.3风险图综合法风险图基于风险与危险事件的后果及频率成正比的原理。它首先假设不存在SIS。当然像BPCS和监视系统这样的典型的非安全仪表系统已经安装就位。后果与健康和安全相关的伤害有关,也与环境损害造成的伤害有关。频率是下列各项的组合:——出现在危险区域的频率和潜在的暴露时间;——避免危险事件的可能性;以及GB/T21109.3—XXXX——在没有SIS的情况下(但所有其他风险降低手段都在运行)发生危险事件的可能性——它被称为不期望发生的概率。这就产生了以下4个风险参数:——危险事件的后果(S);——出现在危险区域的频率与暴露时间的乘积(A——避免危险事件后果的可能性(G);——不期望发生的概率(W)。当使用风险图确定在连续模式下起作用的一个SIF的SIL时,需考虑改变风险图中所使用的那些参数。这些参数代表与所涉及的应用特点最密切相关的那些风险因素。当为了保证把风险降低到可容忍水平而需要作某些调整时,则需考虑安全完整性等级与参数判定结果的映射。例如,参数W可以被重新定义成系统处于运行状态下的寿命的百分数。在危险并不一直存在并且一年中一次失效导致危险的时段很短的情况下,需选择W1。在此例中,对于所涉及的判定准则和被复审的完整性等级结果来说,要保证可容忍风险还需考虑其他参数。E.4风险图的实施:人员保护上述描述的风险参数的组合使风险图如图E.1所示。参数指标越高代表其风险越大(S1<S2<S3<S4;A1<A2;G1<G2;W1<W2<W3)。图E.1中参数的相应分级见表E.1。每个安全功能各自的风险图被用来确定该功能要求的安全完整性等级。当确定SIS所预防的风险时,需假设在没有正在考虑的SIS的情况下存在的风险。在此复审中的重点是影响的类型和范围以及过程工厂处于危险状态的预期频率。使用VDI/VDE2180中详述的方法可以系统性地和可验证地确定风险,该方法可根据确立的参数确定要求等级。作为一条规则,要求等级的序号越高,安全仪表系统所覆盖的部分风险就越大,因此一般来说,要求及相应的措施也更加严厉。对于过程工业来说,仅靠SIS无法达到SIL4。需要采取非过程控制措施来将风险至少降低到SIL3。GB/T21109.3—XXXX图例:*=不建议使用SIF注:使用不同颜色的目的是便于识别不同的SIL值。图E.1VDI/VDE2180风险图——人员保护以及与SILs的关系表E.1与风险图相关的数据(见图E.1)风险参数分类注释危险事件的后果。严重程度(S)S1S2S3S4对人员造成轻微伤害对一个或多个人造成严重的永久性伤害;一人死亡几个人死亡灾难性影响,多人死亡1)本分类体系的制定是针对人的伤害和死亡。对于环境破坏或财产损失需要制定其他的分类方案出现在危险区域中的频率与暴露时间的乘积(A)A1A2很少到经常暴露在危险区域中经常到永久长时间暴露在危险区域中2)见上文的注释1。GB/T21109.3—XXXX避免危险事件后果的可能性(G)G1G2在一定条件下有可能几乎不可能3)此参数需考虑:——操作一个有监控(即由熟练的或不熟练的人员操作)或无监控的过程——危险事件发展的速率(例如突然地、快速地或缓慢地);——识别危险的难易程度(例如直接就可发现,用技术手段才能检测到或者不用技术手段就能检测);——危险事件的避免(例如可能、不可能或在一定条件下可能的逃生路线);——实际安全经验(这种经验可以通过相同过程或者类似过程获得,也可能不存在这种经验)。W1出现不期望发生的事故的概率很小,并且这种事故很可能没有几次4)W因子的目的是估计在没有附加任何安全仪表系统(E/E/PE或其他技术)但包含可能的外部风险降低设施的情况下不期望发生的频率。W2出现不期望发生的事故的概率不大,并且这种事故很可能只有几次W3出现不期望发生的事故的概率比较大,并且很可能经常发生E.5在应用风险图过程中需考虑的相关问题当应用风险图方法时,考虑来自业主和以及任何应用管理当局的风险要求是重要的。需以清晰易懂的术语描述并记录对每个风险图分支的解释和评估,以确保方法应用的一致性。重要的是,负责安全的责任组织内的高层同意风险图及其校准。GB/T21109.3—XXXX保护层分析(LOPA)F.1概述本附录描述了用于保护层分析(LOPA)的过程危险分析方法。该方法利用危险识别过程中导出的数据,通过初始原因和预防或减轻危险的保护层计算识别的每个危险。以确定风险降低的总量以及是否需要进一步降低风险。如需降低额外的风险,并且需要一个SIF的形式提供降低这种风险,LOPA方法可以确定适合SIF的SIL。本附录不提供一种权威的计算方法,仅说明了方法的一般原理。此方法是基于如下参考的一种方法,参考文献给出了更加详细的描述:GuidelineforSafeAutomationofChemicalProcesses,AmericanInstituteofChemicalEngineers,CCPS,345East47thStreet,NewYork,NY10017,1993,ISBN0-8169-0554-1.关于LOPA的应用示例,请参见GB/T21109.2-2023的第F.11章。不宜将附录F中的参考值作为通用值用于特定保护层分析应用中。GB/T21109.1-2022中定义的SIS安全生命周期要求确定安全仪表功能的SIL等级。这里描述的LOPA是一种可以应用于现有工厂由多专业小组来确定SIF的SIL等级的方法。小组需由以下人员组成:——对该工艺操作有经验的操作员;——熟悉该工艺的工程师;——制造厂管理人员;——过程控制工程师;——熟悉该工艺的仪表/电气维护人员;——风险分析专家。小组人员需接受过LOPA方法的培训。LOPA所需要的信息包含在危害识别过程收集和导出的数据中。表F.1表示了保护层分析(LOPA)所需数据和危害识别过程(本例为HAZOP研究)中所导出的数据之间的关系。图F.1表示了可用于LOPA的一个典型记录表。LOPA分析了危险,从而可确定是否需要SIFs以及需要时每个SIF所需的SIL等级。F.2影响事件使用图F.1时,从HAZOP研究所确定的每个影响事件描述(后果)被填在第1列中。F.3严重性等级根据表F.2,对于影响事件,需要选择的是严重性等级:轻微(M)、严重(S)或者巨大(E),它们被填在图F.1的第2列中。表F.1从HAZOP导出的用于LOPA的数据GB/T21109.3—XXXX可能性的值是每年的事件次数,其他的数值是要图F.1保护层分析(LOPA)报告注:如果未能选用正确的独立保护层,则不能采用表F.2影响事件严重性等级F.4初始原因GB/T21109.3—XXXX图F.1第3列引出了影响事件所有的初始原因。影响事件有许多初始原因,把它们全都列出来是重要F.5初始原因发生可能性图F.1第4列填入了发生初始原因的可能性值,单位为事件/年。表F.3表示了典型初始原因可能性。在确定初始原因可能性时,小组的经验是非常重要的。表F.3中的值不用于特定评估(见注1)。表F.3初始原因发生可能性低在工厂预期寿命内一次失效或一系列失效具有很中在工厂预期寿命内一次失效或一系列失效的发生-4高能够合理的预期在工厂预期寿命内发生的一次失-2注1:表格为说明性表格。这些值不能作为为一般频率,且F.6保护层第1章中的图2表示了流程工业中通常配备的多个保护层(PLs)。每一保护层都由一组设备和/或管理控制组成,它们与其他保护层协同工作。能以高可靠性执行其功能的保护层可作为独立保护层(IPL)(见F.8)在图F.1的第5列中,列出了当一个初始原因发生时,通过工艺设计来降低发生影响事件的可能性。这种设计的一个例子就是带外套的管道或压力容器。当主管道或压力容器的完整性受到损害时,外套可防止过程物质的释放。图F.1第5列的下一项是基本过程控制系统(BPCS)。如果当初始原因发生时,BPCS中的控制回路可防止影响事件发生,那么可以根据其PFDavg(要求时危险失效平均概率)来取信。GB/T21109.3—XXXX图F.1的第5列中的最后一项考虑了报警的作用,这些报警在初始原因发生时提醒操作员并利用操作员的干预。典型的保护层PFDavg赋值列在表F.4中。表F.4中的赋值不可用于特定评估(见注释)。表F.4典型保护层(预防和减轻)的PFDavg注:表F.4中的赋值是为了说明在评估中可能出现的值的范围。这些值不能被当作通用概率用于特定评估中。人为F.7附加减轻减轻层通常有机械的、建筑上的或规程的。其例子有:——泄压设备;——堤堰(围堰);和——限制访问。减轻层可以降低影响事件的严重性,但不能防止影响事件的发生。其例子有:——消防或烟雾释放的喷淋系统;——烟雾报警器;和——疏散程序。LOPA小组需确定所有缓解层的适当的PFDavg。并在图F.1的第6列中列出。F.8独立保护层(IPL)图F.1的第7列中列出了满足IPL准则的保护层。把一个保护层(PL)定性为独立保护层(IPL)的准则是:——提供的保护大幅度降低了已识别的风险,即至少降低10倍;——保护功能具有高度的可用性(0.9或更高——它具有以下重要特点:a)专一性:IPL被设计成专门用来防止或减轻一个潜在的危险事件(例如失控反应、有毒物质释放、密闭性丧失或者火灾)的后果。由于多种原因都可能导致同一危险事件,因此一个IPL可能由多个事件场景触发。b)独立性:IPL独立于已识别的危险相关的其他保护层。c)可信性:IPL可被信任去执行其设计的功能。在设计中考虑了随机失效和系统性失效两种失效模式。d)可审核性:它的设计便于定期检验保护功能。对安全系统进行检验测试和维护是必要的。F.9中间事件可能性GB/T21109.3—XXXX中间事件的可能性是通过将引发的可能性(图F.1的第4列)乘以保护层和缓解层的PFDavg,图F.1的第5、6和7列)来计算的。计算出的数值以每年发生事件的次数为单位,并填入图F.1的第8列。如果中间事件可能性低于该严重性等级的事件的过程安全目标水平,那么不需要额外的PLs。然而,如果经济上合适,需应用进一步的风险降低措施。如果中间事件的可能性大于公司对此类严重性事件的准则,则需要额外的的减缓措施。在应用SIS形式的额外保护层之前,需考虑固有安全方法和解决方案。如果可以实现固有安全设计的变更,则需更新图F.1,并重新计算中间事件的可能性,以确定它是否低于公司准则。如果上述降低中间事件发生可能性至公司风险准则以下的尝试失败,那么就需要一个SIS。F.10SIF完整性等级如果需要一个新的SIF,可以通过将公司对此类严重性级别事件的准则除以中间事件的可能性来计算所需的完整性等级。为SIS选择一个不超过此数值的SIF的PFDavg作为最大值,并将其填入第9列。F.11已减轻事件可能性把第8列和第9列的数值相乘就可计算出已减轻事件的可能性,将结果填入第10列中。这种计算持续进行,直到小组算出每个可识别的影响事件的减轻事件可能性为止。F.12总风险最后一步是将导致相同危险的严重和巨大影响事件的所有减轻事件可能性相加。例如,将所有导致火灾的严重和巨大事件的减轻事件可能性相加,并使用如下公式:——火灾造成致死的风险所有易燃物质释放的已减轻事件可能性)×(点火概率)×(人在影响区域的概率)×(火灾中受到致命伤害的概率)。对于会导致有毒物质释放的严重和广泛影响事件,他们的减轻事件可能性会被相加,并使用类似下面的公式中:——有毒物质释放造成致命的风险所有有毒物质释放的已减轻事件的可能性)×(人在影响区域的概率)×(在释放中受到致命伤害的概率)。风险分析专家的专业知识以及小组的知识对于调整公式中的因子以适应工厂和受影响社团的条件及工作实践非常重要。通过将应用上述公式所得到的结果进行累加,就可确定该过程给公司带来的总风险。如果这个风险水平达到或低于公司对受影响的人员数的准则,那么LOPA就完成了。然而,因为受影响的人口有可能经受来自其他现有单元或新项目的风险,如果在经济上能实现的话,提供额外的缓解措施和风险降低是明智的。F.13示例F.13.1概述以下是针对HAZOP分析中识别的一个影响事件的LOPA方法的示例。F.13.2影响事件和严重性等级HAZOP分析把一个间歇聚合反应器中的压力过高识别为一个偏差。不锈钢反应器与一个填充有钢纤维增强塑料塔和一个不锈钢冷凝器串联连接。如果钢纤维增强塑料塔破裂,会释放出易燃蒸气,如果存在点火源,可能会引发火灾使用表F.2,LOPA小组选择了“严重”这一严重性级别,因为影响事件可能导致现场的严重伤害或死亡。影响事件及其严重性分别填入图F.1的第1列和第2列。GB/T21109.3—XXXXF.13.3初始原因HAZOP分析列出了压力过高的两个初始原因。至冷凝器的冷却水中断和反应器蒸汽控制回路失效。这两个初始原因被填入图F.1的第3列。F.13.4初始事件发生可能性工厂已有在此区域中每15年会发生一次冷却水中断事件的经验。作为一种保守的评估,小组选择每10年发生一次冷却水中断事件。在图F.1第4列中填入0.1事件/年。在处理其他初始原因(反应器蒸汽控制回路失效)前,正确的做法是先将这个初始原因(冷却水的中断)一直追踪到结论。F.13.5一般过程设计过程区域设计为具有一个防爆电气等级,并且该区域有一个有效的过程安全管理计划。过程安全管理计划的一个要素是在该区域内电气设备的变更管理规程。由于存在变更管理规程,LOPA小组评估存在点火源的风险将降低10倍。因此根据过程设计,图F.1第5列填入0.1的一个值。F.13.6基本过程控制系统(BPCS)反应器中的压力升高伴随着温度升高。BPCS有一个控制回路,它可根据反应器内的温度调节输入到反应器夹套中的蒸汽量。如果反应器温度超过设定值时,BPCS将切断至反应器夹套的蒸汽。由于切断蒸汽足以防止压力过高,因此BPC
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 2024年度演出合同电影主演与制片方之间的表演委托合同
- 2024标准短期汽车租赁合同模板版B版
- 2024排水沟施工与河道整治综合服务合同3篇
- 2024甲方提供技术支持乙方进行市场拓展的合同
- 2025年智能家居中央空调设备销售与系统集成合同3篇
- 2024年租赁物业管理合同3篇
- 2024武汉住宅租赁合同(含租赁双方争议解决机制)3篇
- 2024年直饮水系统安装工程项目协议版B版
- 2024水产养殖绿色生态养殖技术合作协议3篇
- 安全知识培训课件制作
- 超级充电综合站及配套设施建设项目可行性研究报告
- 2023年核心素养下的初中历史教学有效性策略
- 眼科学 眼外伤(课件)
- 索具螺旋扣规格花篮螺丝
- GB/T 9364.4-2016小型熔断器第4部分:通用模件熔断体(UMF)穿孔式和表面贴装式
- GB/T 21709.1-2008针灸技术操作规范第1部分:艾灸
- GB/T 16288-2008塑料制品的标志
- 住院医师规范化培训临床实践能力结业考核专科技能操作评分表(耳鼻咽喉科)气管切开术
- DBJ-T 13-195-2022 烧结煤矸石实心砖和多孔砖(砌块) 应用技术标准
- 意大利FM筋膜手法治疗量表
- 静态爆破专项施工方案
评论
0/150
提交评论