功能安全評估的全流程介紹
一、背景
隨著我國化工裝置、危險化學(xué)品儲存設(shè)施規(guī)模大型化、生產(chǎn)過程自動化水平逐步提高,同步加強和規(guī)范安全儀表系統(tǒng)管理,十分緊迫和必要。為加強化工安全儀表系統(tǒng)管理,防止和減少危險化學(xué)品事故發(fā)生,國家出臺《安全監(jiān)管總局關(guān)于加強化工過程安全管理的指導(dǎo)意見》(原安監(jiān)總管三〔2013〕88號)、《國家安全監(jiān)管總局關(guān)于加強化工安全儀表系統(tǒng)管理的指導(dǎo)意見》(原安監(jiān)總管三〔2014〕116號)等指導(dǎo)意見。后續(xù)各省也相繼發(fā)布相關(guān)指導(dǎo)意見的通知,如云南省應(yīng)急管理局發(fā)布《云南省危險化學(xué)品生產(chǎn)儲存企業(yè)化工安全儀表系統(tǒng)管理指導(dǎo)意見》、北京市應(yīng)急管理局印發(fā)《化工安全儀表系統(tǒng)專項整治工作方案》、山西省應(yīng)急管理廳發(fā)布《關(guān)于進一步做好化工安全儀表系統(tǒng)管理》的通知等。
根據(jù)《國家安全監(jiān)管總局關(guān)于加強化工安全儀表系統(tǒng)管理的指導(dǎo)意見》(原安監(jiān)總管三〔2014〕116號)(十三)從2018年1月1日起,所有新建涉及“兩重點一重大”的化工裝置和危險化學(xué)品儲存設(shè)施要設(shè)計符合要求的安全儀表系統(tǒng)。其他新建化工裝置、危險化學(xué)品儲存設(shè)施安全儀表系統(tǒng),從2020年1月1日起,應(yīng)執(zhí)行功能安全相關(guān)標(biāo)準要求,設(shè)計符合要求的安全儀表系統(tǒng)。(十五)2019年底前完成安全儀表系統(tǒng)評估和完善工作。其他化工裝置、危險化學(xué)品儲存設(shè)施,要參照本意見要求實施。
《安全監(jiān)管總局關(guān)于加強化工過程安全管理的指導(dǎo)意見》(原安監(jiān)總管三〔2013〕88號)(十七)設(shè)備安全運行管理。開展安全儀表系統(tǒng)安全完整性等級評估。企業(yè)要在風(fēng)險分析的基礎(chǔ)上,確定安全儀表功能(SIF)及其相應(yīng)的功能安全要求或安全完整性等級(SIL)。企業(yè)要按照《過程工業(yè)領(lǐng)域安全儀表系統(tǒng)的功能安全》(GB/T-21109)和《石油化工安全儀表系統(tǒng)設(shè)計規(guī)范》(GB/T-50770)的要求,設(shè)計、安裝、管理和維護安全儀表系統(tǒng)。
二、功能安全評估技術(shù)介紹
根據(jù)IEC-61511的定義,功能安全作為“涉及工藝過程和BPCS(基本過程控制系統(tǒng))整體安全的一部分,依賴于SIS和其他保護層正確的實施其功能。功能安全是整體過程安全的一部分,并且采用安全儀表系統(tǒng)(SIS)。SIS是由一個或多個SIF(安全儀表功能)組成的安全系統(tǒng)。
功能安全評估首先要回答的是是否需要SIS。在過程工業(yè)領(lǐng)域,根據(jù)過程安全的整體要求,通過危險和風(fēng)險分析(常用的分析方法如HAZOP分析),辨識危險場景的工藝過程風(fēng)險,對比企業(yè)的可接受風(fēng)險,若可接受,則分析結(jié)束。若不可接受,則繼續(xù)分析目前配置的保護措施(非安全儀表功能)配置情況是否能滿足企業(yè)的可接受風(fēng)險。若可接受,則分析結(jié)束。若不可接受,則需要增加安全儀表功能(SIF)來滿足風(fēng)險降低要求。
進一步,功能安全評估需要回答如果需要SIF,它的SIL等級是多少,需要進行SIL定級分析。為確定SIF回路是否能達到所要求的SIL等級,需要進行SIL驗證分析。下面就SIL定級與SIL驗證進行介紹。
(1)SIL 定級分析方法及流程
在過程風(fēng)險分析(如 HAZOP 或其它 PHA 分析)的基礎(chǔ)上,通過風(fēng)險分析確定安全儀表功能(SIF),結(jié)合企業(yè)的風(fēng)險可接受標(biāo)準,確定 SIF 回路的風(fēng)險降低要求,即 SIL 等級。一般根據(jù)IEC61511 中推薦的保護層分析方法(LOPA)進行 SIL 定級。在評估初始事件導(dǎo)致的初始風(fēng)險的基礎(chǔ)上,通過判斷現(xiàn)有安全措施對于風(fēng)險削減的有效性,最終評估出安全儀表功能可靠性等級要求,即安全完整性等級(SIL)。
定級工作前企業(yè)的風(fēng)險可接受標(biāo)準的選擇尤為重要,采用過低的風(fēng)險可接受標(biāo)準可能導(dǎo)致評估結(jié)果不滿足國家要求,采用過高的風(fēng)險可接受標(biāo)準評估結(jié)果雖然滿足國家要求,但是過高的評估結(jié)果對于SIF回路的相關(guān)配置要求更為嚴格,又增加了企業(yè)負擔(dān)。因此合理的采用風(fēng)險可接受標(biāo)準是做功能安全評估的重要一步。
一般SIL定級的輸入資料如下:
◆ 裝置危害與可操作性(HAZOP)分析報告;
◆ 裝置基礎(chǔ)設(shè)計工藝說明書;
◆ 裝置管道及儀表流程圖(PID);
◆ 裝置安全儀表聯(lián)鎖因果圖(Cause & Effect Chart);
◆ 裝置安全儀表聯(lián)鎖邏輯圖;
◆ 裝置聯(lián)鎖一覽表;
◆ 裝置基礎(chǔ)設(shè)計工藝設(shè)備表;
定級分析人員組成:
LOPA小組成員可包括但不限于以下人員:
a)組長;
b)記錄員;
c)設(shè)計人員;
d)操作人員;
e)工藝人員;
f)設(shè)備工程師
g)儀表工程師;
h)安全工程師。
根據(jù)需要,可要求以下人員參加LOPA:
a)工藝包供應(yīng)商;
b)成套工藝設(shè)備供應(yīng)商;
c)公用工程工程師;
d)電氣工程師;
e)其他專業(yè)工程師。
SIL 定級分析的執(zhí)行步驟如下:
a) 確定工作范圍及目標(biāo);
b) 確定項目或企業(yè)可接受的風(fēng)險標(biāo)準(合理可接受的風(fēng)險);
c) 根據(jù)風(fēng)險辨識(HAZOP 或其它 PHA 方法)結(jié)果,篩選待評估場景及后果;
d)識別初始事件(IE)和使能事件,確定發(fā)生頻率;
e)識別獨立保護層(IPL),評估平均失效概率(PFD);
f)計算場景頻率,確定風(fēng)險降低因子;
g)確定目標(biāo)SIL等級要求并提出建議措施。
SIL定級流程圖如下:
SIL定級流程圖
在定級過程中,需要重點注意的是,初始事件(IE)、使能事件、獨立保護層(IPL)頻率的確定,因為都會影響定級結(jié)果。一般初始事件頻率來源主要有三個來源,行業(yè)數(shù)據(jù)庫、公司經(jīng)驗和供應(yīng)商數(shù)據(jù)。目前常見做法是參考行業(yè)數(shù)據(jù)庫,如:《化工過程定量風(fēng)險分析指南》(CCPS)、《工藝設(shè)備可靠性數(shù)據(jù)指南》(CCPS)、《保護層分析(LOPA)方法應(yīng)用導(dǎo)則》AQT 3054-2015和其他公開數(shù)據(jù)等來確定事件發(fā)生頻率,公司經(jīng)驗數(shù)據(jù)其實能更好的反應(yīng)企業(yè)實際,但其要求公司具有充足的歷史數(shù)據(jù)來進行有意義的統(tǒng)計分析,因為目前很少企業(yè)能做到這種統(tǒng)計性分析,導(dǎo)致目前這部分數(shù)據(jù)還不能應(yīng)用到實際的定級過程中。但分析會議時需要現(xiàn)場工藝、儀表或設(shè)備人員等與會人員對相關(guān)數(shù)據(jù)進行確認或修正,以便評估結(jié)果更能反映企業(yè)實際情況。還有一部分供應(yīng)商數(shù)據(jù),一般供應(yīng)商數(shù)據(jù)比較樂觀,因此定級過程中僅供參考。
(2)SIL驗證方法及流程
根據(jù)選擇的安全儀表功能(SIF)回路的組成和儀表選型等信息,應(yīng)用相關(guān)驗證模型,對其進行安全完整性等級(SIL)驗證。搜集各 SIF 回路的結(jié)構(gòu)配置、操作模式、檢驗測試間隔等信息,根據(jù)企業(yè)提供的設(shè)備失效數(shù)據(jù)同時參照國際上的失效數(shù)據(jù)庫和國內(nèi)同類工廠調(diào)研情況分析確定出各設(shè)備失效率數(shù)據(jù),分析算出 PFD 值、硬件故障裕度,最終確定該安全功能目前達到的實際水平。
一般驗證輸入材料:
◆ 裝置SIS系統(tǒng)所涉及的儀表設(shè)備臺賬:臺賬內(nèi)容包括一次儀表、(輸入輸出)安全柵、電磁閥、繼電器、執(zhí)行機構(gòu)(閥)的規(guī)格型號、廠家、類型(閥門是球閥、閘閥、針閥….溫度變送器是熱電偶式、熱電阻式…..);
◆ 裝置SIS系統(tǒng)邏輯控制器的廠家、產(chǎn)品規(guī)格型號、冗余結(jié)構(gòu)、TUV認證的SIL等級證書;
◆ 聯(lián)鎖回路各子單元檢驗測試周期。
SIL 驗證典型流程如下:
a) 選擇 SIF 回路,并識別組件、冗余結(jié)構(gòu);
b) 收集硬件故障數(shù)據(jù)(危險檢測到的危險失效率(DD)、未檢測到的危險失效率(DU)、檢測到的安全失效率(SD)以及未檢測到的安全失效率(SU)),主要來自以下幾個來源:企業(yè)設(shè)備失效數(shù)據(jù)統(tǒng)計、供應(yīng)商SIL等級證書、行業(yè)通用數(shù)據(jù)等;
c) 確定檢驗測試周期、檢驗測試覆蓋率、平均修復(fù)時間等信息;
d) 借助SIL評估專業(yè)軟件繪制各安全功能回路對應(yīng)的可靠性框圖,根據(jù)模型計算PFD值,以確定這個SIF回路的SIL等級;
e)分析回路的硬件故障裕度(HFT),以確定SIF回路的結(jié)構(gòu)約束能達到的SIL等級;
f)比對兩個SIL等級結(jié)果,確定SIF實際能達到的SIL等級,與SIF定級的目標(biāo)SIL等級相比較,可以確認該SIF回路是否合適,還是屬于過度配置或配置不足;
g)如果驗證的 SIL不滿足SIL目標(biāo)等級,分析其結(jié)構(gòu)及 PFD 分布,進一步提出技術(shù)建議,并計算符合目標(biāo)SIL要求的檢驗測試周期,以達到幫助企業(yè)科學(xué)制定維護策略的目的;
h)根據(jù)可靠性模型,計算裝置誤停車率STR,確認其是否符合設(shè)計原則??己似诳捎眯缘闹匾笜?biāo)為MTTFs(平均誤停車時間間隔);
i)綜合考慮裝置對SIS系統(tǒng)SIF回路與其SIL等級的實際需求、所配置的SIF回路實際達到的SIL等級和誤停車率STR三個方面的因素,提出合理化建議;
針對驗證后不滿足要求回路,建議措施一般從三個方向來考慮:
(1) 通過更換可靠性參數(shù)更高的儀表來提高SIF回路的PFDavg;(例如變送器的可靠性參數(shù)普遍比開關(guān)的可靠性參數(shù)高);
(2) 通過增加子單元的冗余結(jié)構(gòu)來提高SIF回路的PFDavg;(例如1oo2結(jié)構(gòu)的可靠性比1oo1結(jié)構(gòu)的可靠性參數(shù)高);
(3) 通過縮短子單元的檢驗測試周期(TI)來提高SIF回路的PFDavg;(例如把儀表的檢驗測試周期從24個月縮短至12個月,可靠性參數(shù)變高)。
以上三種建議措施可以單一實施或是組合實施,具體的實施形式還要充分考慮現(xiàn)場情況和工藝情況,最終選擇一種合理的、可實施的方案。
SIL驗證流程圖如下:
SIL驗證流程圖
三、SIL文件和記錄要求
在實施功能安全評估過程中,對文件和記錄滿足一下要求,并作為分析報告的附件;
① 每個裝置均應(yīng)建立獨立的功能安全評估文檔,記錄采用完整記錄法;
② 在功能安全評估過程中涉及的或產(chǎn)生的所有的圖紙、相關(guān)資料、計算書、記錄單、活動登記表等,由秘書歸檔保存,以備將來進行追蹤管理;
③SIL定級及驗證記錄表作為分析報告的附件;
④分析會議結(jié)束后, SIL主席應(yīng)檢查記錄表,確保會議討論內(nèi)容都被正確記錄下來;
⑤SIL評估記錄表分發(fā)給所有的分析小組成員。