武 潭工程师 高晓蕾副教授 刘静怡 徐 博
(1.郑州大学 化工与能源学院,河南 郑州 450001;2.郑州大学 力学与工程科学学院,河南 郑州 450001)
安全完整性等级需要通过对受控设备的风险分析来确定,风险分析过程是功能安全分析的开端,适用于系统风险分析的方法包括危险与可操作性分析(Hazard and Operability Studies, HAZOP)、保护层分析(Layer of Protection Analysis, LOPA)等。
史雪玲等人[1]通过对功能安全的基本理论进行研究,清晰阐述了安全完整性与SIL等级之间存在的关系。郭海涛,阳宪惠[2]提出了一种定量的对安全仪表系统进行SIL分配的方法。周荣义、钟岸等[3]通过分析标准中定义的几种风险分析方法在准确性、可量化性等方面进行比较研究,分析各个方法的不同及其适用范围以便于他人在应用时选择合适的方法。刘瑶[4]从多方面进行考虑阐述了安全仪表系统中存在的导致共因失效的几个示例。Murashkin Alexandr[5]等人通过研究现有分析方法找到最优的汽车相关的安全完整性等级分配模型。Zdansky、Juraj[6]分析了冗余系统对安全完整性的影响。本文将HAZOP分析、LOPA分析、SIL分析多种分析方法结合使用,应用于合成氨装置的安全仪表系统研究,分析得出了其存在的可能事故,并计算得出其危险事故的发生频率,最后确定其安全完整性等级,为化工仪表系统研究提供参考。
安全仪表系统包括传感器、逻辑控制器、执行器。它的作用是在可能发生危险事件的情况下及时采取保护措施,从而减小危险事故发生的可能性,发挥其监视生产过程的功能。
在对实际危险场景进行分析时,一般需先对研究对象进行假设风险分析,确定实际风险,然后和允许风险进行比较,分析必须的风险降低值,由此确定所研究系统的SIL等级,如图1。
确定安全相关系统的SIL等级,首先需要对被研究的受控设备进行风险分析,随后根据风险评估的结果,得出应降低的风险值,然后为相应的安全仪表功能选择安全完整性等级。图2是简化安全生命周期图[7]。
图2 简化的安全生命周期图Fig.2 Simplified diagram of safety life-cycle
现阶段,主要有以下几种被广泛应用的系统风险分析理论,包括HAZOP法、LOPA法等。
HAZOP是将工艺划分节点,分析各个节点中工艺操作的具体值可能产生的偏差,得到工厂实际工艺过程在运行中可能出现的风险后果。它是一种定性分析方法。LOPA法以事故的事件链为基准,这种分析方法被非常广泛的应用在过程工业。其流程图,如图3。
图3 保护层分析流程图Fig.3 Flow chart for layer of protection analysis
SIL定级是针对特定的风险分析其大小和已有控制措施降低风险的能力,从而分析安全仪表系统应具备的安全完整性等级,确保选定的风险能被控制在现阶段社会可接受的范围内。
SIL等级的危险失效概率范围有2种划分方式:一种是要求时平均失效概率(对于低模式操作要求);另一种是每小时危险失效的概率(对于高要求或连续操作模式)。表1和表2分别列出了在低要求和高要求时的目标失效概率。
低要求操作模式:对于一个安全相关系统提出操作要求的频率不大于每年一次和不大于两倍的检验测试频率。
高要求操作模式:对于一个安全相关系统提出操作要求的频率大于每年一次或大于两倍的检验测试频率。低要求操作模式在过程工业中最为普遍使用,而高要求操作模式一般用于制造加工以及航空航天工业[8]。
表1 低要求模式操作Tab.1 Low demand mode operation
表2 高要求操作模式Tab.2 High demand mode operation
本文以合成氨装置为研究对象,通过HAZOP对该装置进行危险场景识别,应用LOPA分析确定该装置存在的风险是否满足企业或国家的风险标准。并对其安全仪表系统进行SIL分析,研究其是否满足相应安全功能要求。
在合成氨装置中,合成塔部分氨合成的反应装置,合成氨反应为高温高压反应,易发生超压爆炸反应,对周围人员及环境造成伤害,相对来说危险性较大;另若废热锅炉错误补水,也会引发爆炸,故着重分析合成塔部分及废热锅炉。HAZOP分析表,见表3。
本次分析考虑合成塔压力过高及废热锅炉液位过低两个场景,由于在实际生产中需要考虑到各方面的情况,本次分析将分别从人身伤害、环境破坏、资产损失3个方面分析。其中失效数据中的初始事件(Initiating Event, IE)典型频率值、化工行业典型独立保护层(Independent Protection Layer,IPL)的要求时的失效概率(Probability of Failure on Demand, PFD)按照《保护层分析(LOPA)方法应用导则》(AQ/T 3054-2015)附表进行取值。
场景1:合成塔压力过高。
初始事件1:惰性气体排放不及时。
初始事件2:上游调节器故障。
初始事件3:合成塔温度偏低。
这三个事件失效率均为:fi I=1×10-1/a
IPL确认:
分析场景1重点保护措施,识别其IPL,合成塔上安装有位于中央控制室的仪表超压报警装置,处于控制室的工作人员能够及时对此响应从而采取及时有效的措施,因此报警和人员响应可作为独立保护层。另外,循环机出口设置压力安全阀,因此物理保护为另一独立保护层,则经过IPL确认后得到的独立保护层有:
表3 HAZOP分析表Tab.3 HAZOP analysis list
报警和人员响应:PFDi1=1×10-1/a
物理保护:PFDi2=1×10-1/a
(1)人身伤害。
场景频率计算:
分析该场景,该装置点火概率取为0.5,事故影响范围内人员平均出现率为0.1,人员暴露概率取0.1,致死概率取1。求得各个初始事件后果发生频率均为:
式中:
PFDi1——报警和人员响应的PFD;
PFDi2——安全阀的PFD;
Pig——点火概率;
Pex——人员暴露概率;
Pd——人员伤亡概率;
风险评估与决策:
惰性气体排放不及时,可造成合成氨合成塔压力过高,设备超压损坏,塔内气体泄漏,造成火灾爆炸危险,根据厂区内部及周边人员分布情况,可造成3人以上死亡,或10人以上重伤,其后果等级应为5级,风险等级为中风险。
(2)环境破坏。
场景频率计算:考虑该场景下造成的环境破坏时,不需考虑条件修正,后果发生频率为:
风险评估与决策。惰性气体排放不及时;上游调节故障,会使有害物含量升高,催化剂中毒,反应效率下降;合成塔温度偏低,同样会使反应效率下降;以上原因均可造成合成氨合成塔压力过高,设备超压损坏,塔内气体泄漏,使得危险物进入周围环境,产生重大泄漏后果,给厂区周边的环境带来严重
f总
C=∑3影响,此条件下后果等级为4级,属于中风险等级。
(3)财产损失。
场景频率计算:
考虑该场景下造成的财产损失时,不需考虑条件修正,后果发生频率为:
风险评估与决策:
惰性气体排放不及时;上游调节故障,会使有害物含量升高,催化剂中毒,反应效率下降;合成塔温度偏低,会使反应效率下降;以上原因均可造成合成氨合成塔压力过高,设备超压损坏,直接经济损失100万元及以上,500万元以下,后果等级为3级,属于中风险等级。
场景2:废热锅炉液位过低。
初始事件1:LICA17001A液位计故障。
初始事件2:供水泵停泵。
这两个事件失效率均为 fiI=1×10-1/a
IPL确认:
识别场景2中的IPL,LICA17001A液位计故障时,自身不能再作为保护层,其属于BPCS系统失效,能作为独立保护层的仅有LAL1701B报警和人员响应,则经过IPL确认后得到的独立保护层有:
报警和人员响应保护层:PFDi1=1×10-1/a
(1)人身伤害。
场景频率计算:
初始事件1:LICA17001A液位计故障。
该装置在此场景下人员误操作补水为触发条件,误补水概率取0.1,人员暴露概率取1,致死概率取1。则LICA17001A故障的后果发生频率为:
式中:
初始事件2:供水泵停泵。
人员暴露概率取0.1,致死概率取1。则供水泵停泵后果发生频率均为:
风险评估与决策。LICA17001A液位计故障,自动补水不及时,锅炉上游供水泵停泵,会使锅炉液位过低,出现干烧,造成爆炸,根据厂区实际情况,可造成1-2人死亡或丧失劳动能力,或造成3-9人重伤,此条件下后果等级为4级,此风险为高风险,企业需采取相关保护措施以降低风险。建议锅炉停泵补水系统设置备用泵自启动,防止停水造成锅炉干烧后自动加水,锅炉可新增远传液位计LI1701B,进行高低报警,防止LICA17001A液位计失效。
(2)环境破坏。
场景频率计算:
初始事件1:LICA17001A故障。
该装置人员误操作补水作为使能条件,概率0.1。后果发生频率为:
初始事件2:供水泵停泵。
此次计算只考虑环境破坏,则后果发生频率计算为:
风险评估与决策。LICA17001A若发生故障,不能及时自动补水;或者锅炉上游供水泵停泵,都会使锅炉液位过低,出现干烧,造成爆炸,会释放危险物使其进入周围环境,泄露物质符合受到管理部门的通报或违反允许条件,后果严重性等级为3级。风险等级为中风险。
(3)财产损失。
场景频率计算:
初始事件1:LICA17001A故障。
该装置人员误操作补水作为使能条件,概率0.1。此次计算只考虑其财产损失,后果发生频率为:
初始事件2:供水泵停泵。
此次计算只需考虑财产损失情况,故后果发生频率为:
风险评估与决策。LICA17001A若发生故障,或者锅炉上游供水泵停泵,会使锅炉出现干烧,造成爆炸,其直接经济损失在10万元以上,但不足100万元,后果严重性等级为2级。风险等级为中风险。
在进行SIL分析时,需要考虑到不同危险场景下的风险容忍情况,本次SIL定级分析在人身安全、环境破坏、财产损失三个方面分别采取相应的风险可接受标准。
场景1:合成塔压力过高。
由LOPA分析可得场景1下不同损失的后果发生频率,分别为:
人身伤害后果下容忍频率为1×10-6/a,环境破坏容忍频率为1×10-5/a,财产损失容忍频率为1×10-4/a,故可得本SIF应具备的最低要求PFD分别为:
人身伤害后果下合成塔的仪表系统应具备的SIL等级为1;当考虑危险事故对环境破坏的情况时,其应具备的SIL等级为1;当考虑事故发生时可能造成的财产损失,此研究系统应具备的SIL等级为1。综上所述,此场景下相关安全系统的SIF应满足SIL1的等级要求。
场景2:废热锅炉液位过低。
由LOPA分析可得场景2下不同损失的后果发生频率,分别为:
该场景下人身伤害后果容忍频率1×10-5/a,环境破坏容忍频率1×10-4/a,财产损失后果容忍频率1×10-3/a。故可得本SIF应具备的最低要求PFD分别为:
人身伤害后果下安全仪表系统的安全功能应具备的SIL等级为2;考虑危险场景对周围环境可能造成的影响时,可以得到其应具备的SIL2的等级;若只分析事故条件下所产生的财产损失后果,分析得到系统应具备的SIL1的等级。综上所述,此场景下相关安全系统的SIF应满足SIL2的等级要求。
(1)本文将多种分析方法结合使用,包括HAZOP分析、LOPA分析、SIL分析,将其应用于合成氨装置的安全仪表系统研究,分析得出了其存在的可能事故,并计算得出其危险事故的发生频率,最后确定其安全完整性等级。能为以后的化工仪表系统研究提供一定参考价值。
(2)重点分析合成塔压力过高及废热锅炉液位过低两个场景,合成塔装置仪表的SIL等级为1,废热锅炉仪表的SIL等级为2。其中LICA17001A液位计故障,自动补水不及时,锅炉上游供水泵停泵,锅炉液位过低,风险为高风险。建议锅炉停泵补水系统设置备用泵自启动,防止停水造成锅炉干烧后自动加水,锅炉可新增远传液位计LI1701B,进行高低报警,防止LICA17001A液位计失效。