sil定级和符合性验证分析

中石油西南设计院公司 工艺安全SIL技术及标准培训 斯堪伯奥科技（北京）有限公司 2011年2月 注：图片摘自2008 Google Indian News SIL定级方法 德国及欧盟 - 风险图较复杂 世界范围 - 风险矩阵较简单 美国、英国及亚太区 保护层分析（LOPA） 较复杂 挪威 - 行业导则及经验较简单 不常见 QRA定量法较复杂 风险分析（系统保护层分析） Community Emergency Response社会紧急响应 Plant Emergency Response工厂紧急响应 Physical Protection (Dikes)物理保护 Physical Protection (Relief Devices)物理保护（释放设备） Safety Instrumented System安全仪表系统 Alarms, Operator Intervention报警，操作干涉 Basic Process Control基本过程控制 Process工艺过程 SIL定级方法 风险图 风险图最初是由德国工业标准开发的，在欧盟中得到了普遍应用。风险图最初是由德国标准开发的在欧中得到了普应用 与风险矩阵只考虑后果和可能性不同，风险图考虑以下四个因素： 危险事件的后果（C）-危险事件的后果（C） -处于危险区域的频度（F） -未能避开危险事件的概率（P） -危险事件的发生频率（W） SIL定级方法 风险图 危险事件的后果危险事件的后果（C）代表人如果处在危险区域代表人如果处在危险区域这种危险可这种危险可危险事件的后果危险事件的后果（C）：代表人如果处在危险区域代表人如果处在危险区域，这种危险可这种危险可 能造成的平均伤亡数能造成的平均伤亡数 后果后果(C) C1轻度的，可康复性的伤害 死亡人数 取决于危险事件发生时在危险区 域内的人数，危险事件的致命程 度（毒性及窒息等）V，以及易 C2 严重的，1人或多人永久性伤害，累积1 人死亡 C3多人死亡，累积15人 处于危险区域的频度（处于危险区域的频度（F）:代表人处在受影响区域的时间长度的代表人处在受影响区域的时间长度的 度量度量 度（毒性及窒息等）V，以及易 燃易爆气体的点火概率等 C4灾难性影响，很多人死亡，累积5人以上 度量度量 暴露率暴露率(F) F1 短时间频繁暴露于危险区域（一天不足几小时，处 于受意外影响的区域的时间少于总时间的10%） F2频繁的持久暴露于危险区域（一天几小时以上） SIL定级方法 风险图 避开危险事件的概率（P）人员避开事故后果伤害的概率依赖于人避开危险事件的概率（P）：人员避开事故后果伤害的概率，依赖于人 员已经掌握的了解危险存在的方法和逃脱危险的方法。 避免危险事件避免危险事件 的概率的概率(P) P1在同时满足以下三个条件的情况下可避免危害事件 的后果的概率的概率(P) 安全仪表系统 失效情况下避 的后果： 如果SIS系统失效，操作员能够得到警告； 有独立于SIS系统之外的设施能够关闭工艺系统 从而避免危险或使所有人员撤离到安全区域； 操作员接收到警告到发生危险事件之间的时间免危险事件的 概率。 操作员接收到警告到发生危险事件之间的时间 间隔超过1小时或有足够长的时间采取行动； P2几乎不可能避免危害事件的后果，上述P1中的某一 个条件不能满足。 需要注意的是：暴露率F和避开危险的概率P的分类必须仔细进行，以 确保其概率在整个分析中没有重复考虑。 SIL定级方法 风险图 危险事件的频率（W）是指事故发生的频率是在没有采用任何SIS危险事件的频率（W）：是指事故发生的频率，是在没有采用任何SIS 的情况下得到的，但应当考虑其他保护层，如外部风险降低设施等。 危险事件发生频率危险事件发生频率 (W) 危险事件发生频率是指 不考虑安全仪表功能 W1 0.03次/年 出现频率极其微小，大约每30年以上发生一次 W20.03-0.3次/年 出现频率较小每3到30年发生一次 不考虑安全仪表功能 （SIF）情况下危险事 件发生的频率。 出现频率较小，每3到30年发生次 W30.3-1次/年 相对较高的频率，每3年发生一次到一年发生1次 SIL定级方法 环境影响 S = 环境破坏的严重程度SE= 环境破坏的严重程度 SE直接后果间接后果 0无影响无 1小范围影响必须上报相关管理部门 2小范围但很严重的影响违反许可/处罚 3暂时性污染负面公众效应 4长期破坏取消许可/生产、停止作业 SE环境 W3 每3年一次到一年一次 W2 每3到30年一次 W1 每30年以上一次 0无 000 4长期破坏取消许可/生产、停止作业 0无 000 1小范围影响 SIL 1a0 2小范围严重影 响 SIL 2SIL 1A 3暂时性污染3暂时性污染 SIL 3SIL 2SIL 1 4长期破坏 SIL 4SIL 3SIL 2 SIL定级方法 经济损失 S = 经济损失的严重程度SF= 经济损失的严重程度 SF 经济损失 (RMB) W3 每3年一次到一年一次 W2 每3到30年一次 W1 每30年以上一次 010万以下 000 110万到100万 SIL 1a0 2100万到500万2100万到500万 SIL 2SIL 1a 3500万到1000万 SIL 3SIL 2SIL 1 41000万及以上 SIL 4SIL 3SIL 2 最终的SIL要求通常是综合考虑人员伤亡风险、环境破坏风险和财产损 失风险所需求的SIL等级，选择其中需求较高的SIL等级来确定的。 风险图法示例 某天然气管道系统 调压阀两侧压差较大（上下游分别为10M和6 4M） 设置串联的紧调压阀两侧压差较大（上下游分别为10Mpa和6.4Mpa）,设置串联的紧 急切断阀保护下游低压管道和设备。 如何确定该安全功能所需的安全完整性等级？如何确定该安全功能所需的安全完整性等级？ 风险图法示例 后果C -调压阀失效可能导致高压气进入低压管线，低压管道并未设置 独立的其他安全仪表系统来防止可能的超压，因此可能的后果 是低压管道和设备的超压损坏，天然气泄漏遇点火源可能发生 火灾、爆炸事故。 -站内建筑和设备分布比较密集，火灾爆炸后影响范围为全站； 全站常驻工作人员约40人，点火概率约为0.25，根据泄漏的天 然气物性确定其致命性系数为0.1; -伤亡人数约为40X0.25X0.1=1人，后果等级为C2 后果后果(C) C1轻度的，可康复性的伤害 死亡人数 取决于危险事件发生时在危险区 域内的人数，危险事件的致命程 度（毒性及窒息等）V以及易燃 C2 严重的，严重的，1人或多人永久性伤害，累积人或多人永久性伤害，累积1 人死亡人死亡 C3多人死亡，累积15人 度（毒性及窒息等）V，以及易燃 易爆气体的点火概率等 C4灾难性影响，很多人死亡，累积5人以上 风险图法示例 暴露率F暴露率F -在正常工作时间内，所有站内工作人员都持续暴露在危险区域 内（即天然气站场内） -暴露率等级为F2 暴露率暴露率(F) F1 短时间频繁暴露于危险区域（一天不足几小时，处 于受意外影响的区域的时间少于总时间的 F1 于受意外影响的区域的时间少于总时间的10%） F2频繁的持久暴露于危险区域（一天几小时以上）频繁的持久暴露于危险区域（一天几小时以上） 风险图法示例 避开危险事件的概率P避开危险事件的概率P -站内并无警告告知操作员SIS系统失效，并且不能确保有足够 时间采取行动 -避开危险事件的概率为P2 避免危险事件避免危险事件 的概率的概率(P) P1在同时满足以下三个条件的情况下可避免危害事件 的后果： 如果S S系统失效操作员能够得到警告 安全仪表系统 失效情况下避 免危险事件的 如果SIS系统失效，操作员能够得到警告； 有独立于SIS系统之外的设施能够关闭工艺系统 从而避免危险或使所有人员撤离到安全区域； 操作员接收到警告到发生危险事件之间的时间 间隔超过 小时或有足够长的时间采取行动概率。间隔超过1小时或有足够长的时间采取行动； P2几乎不可能避免危害事件的后果，上述几乎不可能避免危害事件的后果，上述P1中的某一 个条件不能满足。 中的某一 个条件不能满足。 风险图法示例 危险事件的频率W危险事件的频率W -根据工业数据源，调压阀失效的频率约为0.1次/年 -危险事件发生频率等级为W2 危险事件发生频率危险事件发生频率 (W) 危险事件发生频率是指 W1 0.03次/年 出现频率极其微小，大约每30年以上发生一次 W20 03 0 3次次/年年 危险事件发生频率是指 不考虑安全仪表功能 （SIF）情况下危险事 件发生的频率。 W20.03-0.3次次/年年 出现频率较小，每出现频率较小，每3到到30年发生一次年发生一次 W30.3-1次/年 相对较高的频率，每3年发生一次到一年发生1次 风险图法示例 根据风险图确定的基于人身安全需求的安全完整性等级为SIL2 风险图法示例 环境影响：由于是天然气站场，泄漏后产生的环境危害很小，例如不 可能造成土壤、河流及地下水等环境污染事故。 经济损失：可能造成下游低压设备和管道的损坏，并影响生产，最坏济损失可能造成下游低压设备和管道的损坏并影响生产最坏 的情况下将导致火灾爆炸事故，估计的经济损失在1000万元以下。确 定需求的安全完整性等级为SIL2 SF 经济损失 (RMB) W3 每3年一次到一年一次 W2 每3到30年一次 W1 每30年以上一次 010万以下 000 010万以下 000 110万到100万 SIL 1a0 2100万到500万 SIL 2SIL 1a 万到万3500万到1000万 SIL 3SIL 2SIL 1 41000万及以上 SIL 4SIL 3SIL 2 工艺过程HAZOP分析（示例） 某公司可接受的风险标准某公司可接受的风险标准 人员伤害后果分级定义可容忍风险（次/年） 极严重爆炸10-5极严重爆炸 一个或更多死亡 10-5 严重的人员重伤10-4 复合医学治疗的伤害 轻微小泄漏 较小的伤害或健康影响 10-3 HAZOP分析记录表 引导词引导词偏离偏离原因原因后果后果安全措施安全措施REF#建议建议责任方责任方引导词引导词偏离偏离原因原因后果后果安全措施安全措施REF#建议建议责任方责任方 导致反应失控 马 DCS中进行高 温高压报警 增加安全释放阀 如必要增加泄压 无无搅拌 搅拌马达失效 导致反应失控, 马 达失效引起反应 器的温度超高,压 力超高 1 如必要增加泄压 SIF来防止反应 失控 xxx骤停 采用LOPA确认 所需的SIL 多压力高 搅拌马达失效 马达失效引起反 应的力超高 同上同上xxx多压力高 搅拌马达失效 应器的压力超高 同上同上xxx 多温度高 温度控制失效导 致蒸汽加热过热 高温损坏反应密 封引起泄漏 DCS中进行高 温报警 2 增加高温SIF xxx 采用LOPA确认 致蒸汽加热过热 封，引起泄漏温报警 采用确认 所需的SIL 多液位高 流量控制失效使 反应器液位充满 超高引起反应 DCS中进行液 3 加高液位SIF xxx 采用LOPA确认 多液位高 反应器液位充满 超高，引起反应 器损坏和溢出 位高报警 3xxx 采用LOPA确认 所需的SIL HAZOP分析（Ref #1：增加压力SIF） HAZOP分析（ Ref #2：增加温度SIF） HAZOP分析（ Ref #3：增加液位SIF） HAZOP分析（ 考虑所有建议后） 安全要求功能分配和保护层分析（基础失效率）安全要求功能分配和保护层分析（基础失效率） 1.搅拌器马达每两年失效一次搅拌器马达每两年失效一次 搅拌器失效频率：0.5 次每年 2.各独立保护层各独立保护层PFD 压力报警失效：PFD = 0.29 操作员响应失效：PFD = 0.1 骤停失效 骤停失效：PFD = 0.1 减压阀失效：PFD = 0