摘 要

摘　要：介紹IEC 61508、IEC 61511兩個國際標準，分析保護層分析技術，結合工程實例，探討了LNG工廠的安全保護層分析。關鍵詞：LNG工廠；　安全儀表系統；　保護層分析Discussion on Laye

摘　要：介紹IEC 61508、IEC 61511兩個國際標準，分析保護層分析技術，結合工程實例，探討了LNG工廠的安全保護層分析。

關鍵詞：LNG工廠；　安全儀表系統；　保護層分析

Discussion on Layer of Protection Analysis Technology of LNG Plant

Abstract：Two international standards：IEC 61508 and IEC 61511 are introduced．The laver of protection analysis technology is analyzed．The layer of protection analysis of LNG plant is discussed with an engineering example．

Keywords：LNG plant；safety instrumented system；layer of protection analysis

 

1　概述

LNG工廠由于物料的易燃易爆特性、產品的低溫深冷特性以及低溫帶來的某些工藝條件的苛刻性決定了其安全的重要性。安全儀表系統(Saletv Instrumented System，簡稱SIS)是通過儀表和自動化技術實現安全的一種措施，近幾年在我國已建的LNG工廠中廣泛使用，對LNG工廠的安全生產起到了一定的保證作用。但也應注意到，從業者普遍過分依賴SIS，忽視了其他技術安全相關系統(也稱其他技術保護層)，造成的結果一是SIS的動作率偏高，導致停車頻繁，工廠經濟性受到損害；二是裝置的安全保護層不完善，過程安全存在一定的隱患。

LNG工廠的安全保護是多重保護，即SIS作為保護層必須和其他保護層結合考慮，IEC 61511《過程工業領域安全儀表系統的功能安全》第3部分附錄F推薦了保護層分析(Layer of Proteetion Analysis，簡稱LOPA)技術，分析每個保護層的安全功能和功能安全十分必要。下面筆者介紹IEC 61508《電氣、電子、可編程電子安全相關系統的功能安全》和IEC 61511《過程工業領域安全儀表系統的功能安全》兩個標準及保護層分析技術，從工程設計的角度探討LNG工廠的安全保護。

2　國際標準IEC 61508和IEC 61511介紹

IEC 61508和IEC 61511是過程安全領域里十分重要的國際標準，兩標準雖關注的是安全儀表系統，但均認為實現或保持過程工業的安全狀態并不只靠安全儀表系統。兩標準對“安全功能”的定義是：針對特定的危險事件，為達到或保持過程的安全狀態，由安全儀表系統、其他技術安全相關系統或外部風險降低設施實現的功能。這些安全功能在IEC標準中也稱為安全保護層。

解讀IEC標準可以認為過程工業常用的安全保護層，如工藝過程的固有安全設計、基本過程控制系統和物理保護(如安全閥、爆破片)等是最基本的保護層，只有這些保護層不能將風險降低到可接受的水平時才使用安全儀表系統。因此安全儀表系統作為保護層與其他技術保護層的互相配合，以及每一保護層的功能正確實施，是IEC標準功能安全的核心。

3　保護層分析(LOPA)技術

3.1　LOPA技術概述

①LOPA技術是一種過程危險分析工具，是一種半定量的分析評估技術。它將危險與可操作分析(HAZOP)導出的危險事件定性給出；定量計算每個獨立保護層(Independent Protection Layer，IPL)的失效概率以及全部保護層總的“已減輕的事件可能性”以及殘余風險；再依據本公司風險目標值，定量評估殘余風險值是否可以接受。

②獨立保護層(IPL)，其實質是能夠有效阻止危險事件向不良后果繼續發展的一種設備、系統或行動，獨立保護層實行的風險降低機制是一層一層不斷地將后果的嚴重程度消弱，直到殘余風險可接受。

③獨立保護層(IPL)消減后果頻率的績效用PFD進行量化，PFD是要求時的平均失效概率表示，所謂要求時的平均失效概率指的是在響應過程狀態或其他請求時(例如人工命令)執行其功能的績效；SIS作為一種用儀表和自動化技術實現安全的保護層，績效用安全完整性等級(SIL)表示，其值也是要求時的平均失效概率；獨立保護層分析中“事件的可能性”取值是每年的次數，“中間的事件的可能性”表示無SIS保護層時的事故頻率與其他保護層的PFD的乘積；“已減輕的事件的可能性”是指事故頻率與包括SIS在內的全部保護層的PFD的乘積，PFD與RRF(風險降低因數)互為倒數。

④在某些情況下，只有引發原因并不能導致特定的危險事件，可能還需要其他條件。例如易燃物質釋放后遇點火源才能發生火災事故，易燃物質的釋放是引發原因，點火源稱為使能條件；發生火災事故是否導致重大傷亡事故，還應考慮的條件是人員暴露在危險事件區域的概率及造成致命傷害的概率，這兩個條件稱為傷害條件。

3.2　保護層的風險值計算

①已減輕的事件的可能性

已減輕的事件的可能性計算公式見式(1)。

 

式中fi^c——初始事件i造成c后果的頻率，也稱已減輕的事件的可能，次／a

fi^I——初始事件i的初始發生頻率，次／a

Pij——初始事件i中第，個阻止后果c的獨立保護層(IPL)要求時的失效概率(PFD)

J——初始事件i中阻止后果C的獨立保護層的個數

②殘余風險

殘余風險的計算公式見式(2)。

 

式中R——殘余風險，次／a

n——初始事件的個數

ff——點火概率

fp——一個人在危險區域的概率

fs——火災中造成致命傷害的概率

3.3　LOPA分析實施步驟

①利用HAZOP分析結果，篩選危險事件。

②確定危險事件的嚴重性等級。

③辨識危險事件的引發原因和引發可能性。

④列舉現有保護層的失效概率。

⑤計算中間的事件可能性。

⑥確定SIS的安全完整性等級(SIL)。

⑦計算已減輕的事件可能性。

⑧計算殘余風險并評估是否可接受。

3.4　保護層的設計原則

①獨立性。防護功能是針對特定的危險事件設置的，能獨立地應對其引發事件的發生和后果，與引發事件的初始原因和其他保護層的失效無關聯。例如發生LNG儲罐超裝事故，其初始原因是進液控制回路失效，則進液控制回路不能作為防止儲罐超裝的獨立保護層。

②功能性。從對危險性事件檢測、識別到響應，能快速準確地實現安全功能。例如，制冷劑壓縮機的防喘振控制系統，設定連續10s內發生5次喘振，機組將立即停車，從而防止因喘振損壞機組。

③完整性。獨立保護層消減后果頻率的績效(PFD)越小，其正確運行或中斷事件鏈的可能性就越大，PFD的取值范圍為1×10^-4～1×10^-1每個保護層的PFD應達到10倍因數的減少。

④可靠性。在規定的條件下和時間內完成規定的功能的可靠度。

⑤可審查性。每個保護層功能的效力或失效率必須是可以審查的，可以用數據定量評估的。

⑥安全許可性。安全許可性是指操作層面要實行安全許可制度，防止未經授權的操作和變更。

4　LNG工廠安全保護層分析

4.1　LNG工廠工藝流程

LNG工廠的工藝流程是原料氣增壓后進入預處理單元脫除各種雜質，然后液化為LNG，再儲存裝車。

4.2　LNG工廠安全保護層的設計

4.2.1 LNG工廠安全保護層模型

參照IEC 6151 1第1部分的典型安全保護層模型圖，本文給出的模型見圖l。

 

4.2.2安全保護層的功能設計

①固有安全設計

固有安全設計也稱本質化安全設計，是利用工藝流程和工藝裝置的安全技術措施作保護層。危險事件是因在生產過程中發生能量或危險物質的意外釋放，意外釋放的原因是能量的約束條件遭到破壞或失效故障，利用工藝流程和工藝裝置作安全保護層是最根本的保護層。在這個保護層里應使工藝流程危險陛盡可能小；應使危險物料在生產過程中存量盡可能少；應使施加于危險物料的能量(如壓力、溫度)盡可能小；流程盡可能簡約化，應使人工誤操作的可能性盡可能小；應使工藝裝置(設備)對工藝參數的變化有一定的適應性。LNG工廠生產工藝是個物理過程，不屬危險性化學工藝過程，但是工藝條件有一定的苛刻性。例如氣源組成變化較大，凈化不徹底易造成冷箱換熱器流道堵塞。設計中應提高凈化工藝的適應范圍使雜質脫除干凈。此外，工廠的低溫深冷設施如LNG儲罐和低溫管道在絕熱層絕熱效果差或受損時容易受熱超壓，設計中應選擇性能良好的保冷材料和先進的保冷工藝。

②基本過程控制系統(BPCS)

BPCS是過程監測控制層，是執行持續監測和控制生產過程的控制系統，可提供三種不同的安全功能：a．連續控制行動，保持過程參數在正常范圍內，并努力防止初始事件場景發生；b．自動識別過程偏差，及時提供報警，促使操作人員采取糾正行動，使過程正常化；c．自動跟蹤過程，不試圖使過程正常化，而是使裝置安全停車，使過程處于安全狀態。BPCS作為保護層，其檢測元件、邏輯控制器和執行元件都必須分別與SIS在物理上獨立。

IEC 61511第1部分給出兩個限定條件：a．用作保護層的BPCS實現的風險降低因數RRF不大于10；b．如果要求BPCS實現的風險降低因數RRF大于10，BPCS的設計和管理必須遵循IEC兩標準，即達到和SIS一樣的功能安全水平和進行功能安全管理，且需保證用作風險降低的通道與引發原因通道(被保護通道)相互獨立。

③關鍵點報警及人工干預

在關鍵點報警后(即高報警，與SIS響應的高高報警不同)，通過人工操作使裝置運行在設定的正常范圍內，或通過人工操作裝置仍不能正常響應時也可實現人工安全停車。對操作人員的要求是熟悉管道和儀表流程圖，熟悉裝置陛能，具備基本的過程操作能力，具備風險控制能力。在關鍵點報警后實現安全停車，這一操作過程也相對簡單。

④SIS保護

SIS是通過安全儀表實現安全功能的一種保護層，它是在BPCS失效且人工干預又失效后，臨界狀態即將發生時(即高高或低低報警后)立即通過安全儀表功能快速響應，實現緊急停車(ESD系統)。SIS的檢測元件、邏輯控制器、執行元件完全獨立于BPCS，SIS的設計應遵循IEC兩標準及國內相關標準(GB／T 50770—2013《石油化工安全儀表系統設計規范》)，硬件設備應經權威性機構認證，工程設計時根據公司風險目標的要求以及現有保護層的風險降低概率，選擇SIS的安全完整性等級。

⑤物理保護

物理保護也稱為機械保護，如儲罐的安全閥、爆破片及溢流閥等，通過機械形式使能量(或危險物質)的包容物不發生物理爆炸事故或事故危害減輕。在對重要的設備設置安全閥時也同時設計人工自動放空閥。

⑥釋放后保護

釋放后保護是在已發生可燃氣體、液體泄漏后的保護系統。主要是設置火災和氣體安全系統(FGS)檢測泄漏或火災事故，實現報警并啟動自動消防系統；設計攔蓄區使事故局限化；設計建筑物泄壓，減輕爆炸破壞力；按規范留足建筑物之間或設備之間的防火間距，防止相互引燃事故；設計火炬，減少事故對環境的危害；選擇防爆電器、設計防雷、防靜電接地，防止電氣火花引燃爆炸性混合氣體等。

⑦緊急響應

本層是指較嚴重的事故發生后，通過啟動應急搶險預案，如報警、組織搶險、組織廠區和社區人員疏散。因本層涉及到人為因素及不確定因素，難以準確地評估其功能績效和給出失效概率，所以本層不作為獨立的保護層。我國已經發生了多起石油、化工、燃氣泄漏事故，有的事故從發現泄漏到發生爆炸其過程長達幾個小時，但由于緊急狀態下的處理不當，人員疏散不及時造成了重大的傷亡事故。這些事故案例一方面說明了此層確實不能作為獨立的保護層，另一方面也說明了此層的重要性，正確利用緊急響應層，人員傷亡可以避免或傷害程度可以減小。

5　應用實例

5.1　工程概況及事故場景描述

LNG儲罐是LNG工廠危害性最大的危險源，以某工廠的LNG儲罐為例進行LOPA分析。該儲罐容積為5000m³，為單容罐，常壓。出液口在儲罐底部正下方，出液口內罐處裝有一個內置閥，外罐處裝有一個根部閥；進液管從罐頂部引出，經絕熱層引至儲罐側下方，進液口裝有根部閥；儲罐裝有安全閥，安全閥壓力保護設定為一級排放排向火炬，二級排放在罐頂部直接排向大氣。危險事件的場景描述是：①因BOG控制回路失效，罐內BOG超壓，安全閥動作泄壓排放；②出液口因外罐根部閥泄漏，液體流淌到地面；③進液口因根部閥閥體裂紋泄漏。上述三種危險事件釋放的易燃物質遇點火源發生火災。

5.2　LOPA分析計算

①LOPA分析報告

LOPA分析報告見表1。

 

②殘余風險計算

由表1知

 

ff和fp已在第5列和第9列中考慮，fs取0.5^[1]，則由式(2)得R=5.1×10^-7。

③殘余風險評估

本公司風險目標控制值為1×10^-6(此值參考英國健康和安全局標準)，殘余風險計算值5.1×10^-7低于風險目標控制值，可以接受。

6　結語

①IEC 61508、IEC 61511兩標準雖關注的焦點是安全儀表的功能安全，但是從另一面也揭示了SIS技術保護層與其他技術保護層的關系，合理設計、分配保護層的功能是工程設計的重點。

②功能安全不僅是保護層的設計和搭建，更重要的是在整個生命周期內，建立以功能安全為核心的管理體系，日常的定期維護、測試、評估等是功能安全管理必不可少的內容。

 

參考文獻：

[1]盧衛，王延平．保護層分析方法[J]．安全、健康與環境，2006(4)：32-34．

 

本文作者：郭宗華

作者單位：陜西省燃氣設計院