九江石化启示之”再谈”SIS系统全生命周期”信息化”管理
继上一篇2018年发表的《九江石化启示之 – SIS系统的全生命周期管理》一文后,获得了广大业内朋友的评论与转载。
随着近几年安全生产信息化的发展,越来越多的企业意识到了安全信息化的重要性,相关的监管部门针对企业安全生产信息化管理也出台了一系列的政策。
而SIS领域,作为安全生产管理中的本质安全部分,信息化的管理也尤其重要,本文从SIS的分析(HAZOP分析、LOPA定级、SIL验算)、实现、维护、运行四个阶段,结合歌略软件的SISLifecycle – SIS安全仪表系统的全生命周期管理平台,再次对上一文进行剖析和提升。
下面对SISLifecycle做一个整体了解。
SISLifecycle – SIS系统全生命周期管理平台
一 概述
时针回拨到2018年的2月12日16时14分,那一刻犹如一声惊雷,引起了中石化、中石油集团、其他地区的兄弟企业以及各地省市安监等人员的广泛注意,这里面既包含设计人员、安全管理人员、安全评价及咨询人员、仪表电气人员甚至包含施工单位的人员,警钟再响,这次我们应该如何对待?
自“连云港聚鑫生物科技”爆炸事故后,一波未平,一波又起,这次的焦点仍然包含“联锁回路”,自2014年国家安监总局发布116号文后,安全仪表系统又一次吸引了绝大多数专业人士的注意。
每次事故都都会涌现出大量的专业解读,试图去揭开事故背后的“达芬奇密码”,这次也不例外,各色文章琳琅满目,大多数人员抑或从主观判断、抑或以批判的精神去苦苦探索“事故如何发生”较后的一丝线索,小编以“仪表人”的角色,另辟蹊径,从如何“避免此类事故”的角度出发,希望对各位读者有所帮助。
本文章将以SIS系统的功能安全生命周期的角度出发,通过风险辨识→半定量分析(LOPA分析)→设计→SRS功能安全规格书→SIL验证→维护管理的角度出发,系统分析该事故场景下的SIS系统生命周期的管理。
二 事故过程
2018年3月12日16时14分,江西九江一石化企业柴油加氢装置原料缓冲罐(设计压力0.38MPa)发生爆炸着火事故,造成2人死亡、1人轻伤。3月20日,国家安监总局就该事故发出警示。
事故原因
经初步分析,事故直接原因是循环氢压缩机因润滑油压力低而停机后,加氢原料进料泵随即联锁停泵,但因泵出口未设置紧急切断且单向阀功能失效,加之操作人员未能第一时间关闭泵出口手阀,反应系统内高压介质(压力5.7MPa)通过原料泵出入口倒窜入加氢原料缓冲罐,导致缓冲罐超压爆炸着火。
事故暴露出的问题
一是事故装置建成于1990年,其加氢原料进料泵出口当时没有设置紧急切断阀,在后来多次改造中也没有进行完善,本质安全水平低,埋下安全隐患。
二是设备设施维护保养不到位,未及时对泵出口单向阀进行检查维护,事故后拆检发现单向阀已失效。
三是风险管控不到位,应用HAZOP等分析工具进行风险辨识、评估和管控的能力不足,对加氢装置高压窜低压的危害认识不足。
四是应急处置不到位。循环氢压缩机润滑油压低报警后,长时间未能排除故障,处理过程中引起润滑油压力低低联锁停机;循环氢压缩机停机后,未能第一时间关闭加氢原料进料泵出口手阀,切断高压窜低压的通路。
有关石化企业要针对该起事故暴露问题对相关装置进行对照检查,消除隐患,避免类似事故再次发生。
事后处理
1.立即开展同类装置专项安全隐患排查治理
要重点排查同时有高压低压系统的装置防高压窜低压措施采取情况、加氢装置进料泵出口紧急切断和联锁设置情况、同一企业同类装置新老设计不一样的情况,对存在安全隐患的要及时整改;相关设计单位要对已设计投产的同类装置进行梳理,发现原设计可能存在安全隐患的,要及时通报有关项目业主。
2.提升安全风险管理水平
要强化设备设施维护保养,注意收集和获取各类设备设施的失效概率数据;要进一步提升应用HAZOP、LOPA等工具进行安全风险管控的能力,全面提升安全风险管理科学化水平。
3.强化应急处置能力
要优化完善应急预案和应急处置卡,结合岗位开展应急技术技能专项培训,提高员工应急处置能力。
4.认真吸取同类企业事故教训
1987年3月22日,英国格朗季蒙思炼油厂加氢装置因高压分离器气体窜入低压分离器,导致低压分离器超压爆炸,继而发生大火,造成1人死亡,装置严重损坏,经济损失7850万美元。
有关企业要广泛收集国内外同类企业发生的事故案例,深刻吸取事故教训,结合企业实际排查治理安全隐患,抓早抓小,防范事故于未然。
三 我们如何做
本事故的工艺流程简图如下
注释:上述PID图仅为示意图,手阀及旁路阀均未体现
HAZOP分析
HAZOP作为一种系统化、结构化的危害识别工具已经广泛用于识别装置在设计和操作阶段的工艺危害,HAZOP分析的成果可直接影响SIL评估的准确性及合理性,影响工艺场景的剩余风险,从而影响SIF回路的可靠性等级。
HAZOP分析中一个非常重要的概念为“引导词”,在分析过程中合理的使用引导词可更加全面的识别工艺中风险,防止漏项。
在此分析的场景中,“逆流”场景作为流量场景中关键对象,非常容易被遗漏,甚至忽略。
在HAZOP分析场景中,逆流工况的分析应该把握核心的场景,并且在“逆流”场景分析中应充分考虑可能导致“逆流”的原因(可能存在多个不同的原因),在分析过程中任何可能导致“逆流”的原因都需要逐一分析,在对后果进行分析时,应注意把握该场景下后果的严重程度(人员、财产、环境、声誉等)。
重点关注项:在HAZOP分析中应对流量中“高、低、逆流及错流”,并且除了对“原料泵”的故障停止进行分析外,还需要对可能导致“原料泵”停止的正常原因进行分析,
例如联锁触发(人员手动停止或者氢压机停止联锁),可能引发的次生风险进行分析,这个也是较容易忽略的环节,该处给我的启发是“如果该联锁触发后,不停止泵,保持进料,其后果是否比“停止”更安全?
在SHELL程序文件里面要求如下:
“Once the primary IPFs are defined and implemented in the process design, new hazardous sititation may have been created (by the addtion of the IPFs in the process design). For these new hazardous situtation the following shall be considered”
RiskCloud中HAZOP分析报告如下:
LOPA定级
LOPA是一种半定量分析方法,可被用于识别能够满足独立保护层要求(依据IEC61511 Part3,附件F)的安全仪表系统。在LOPA中,需要对提出或提供的独立防护层的有效性进行分析验证。这些保护层综合的效果将会与可接受风险的标准进行比对。如果满足企业的风险可接受标准则不需要提供额外的风险降低措施。如果其不符合风险可接受标准则需要增加额外的风险降低措施。这种额外的风险降低可以通过提高安全联锁系统的SIL等级或是增加更多的保护层来达到。
LOPA分析法每次只针对一起特定的事故场景进行分析,不能反映各种事故场景之间的相互影响。由于LOPA分析的成果通常会受一些关键因素的制约,例如,风险可接受标准、初始事件以及独立保护层频率等,所以假如在分析中使用数据不同,则可能产生不同的结果。另外,LOPA分析法中另外一个重要的缺点是无法对独立保护层之间的共因失效进行定量的分析。
通过HAZOP分析后,我们对该场景中采用LOPA分析进行进一步分析,以确定该场景下联锁回路的SIL等级。在本次分析中首先假设以下几个条件:
- 后果严重性为“2人及以上伤亡”,可接受风险定义为1E-05(按13号令低密度区域);
- 在爆炸区:人员恰好出现的概率为0.1;
- 人员的致死概率为1(假设为100%死亡);
- 初始事件的原因:循环气压缩机联锁回路启动,该回路保守该回路的频率为0.1;
- 不考虑安全阀的泄放能力(假设不满足);
- 单个止回阀不考虑作为IPL(不满足有效性及可审核性);
- 初始事件仅考虑一个原因,其他未展示(选取较大频率计算);
- 原料泵出口流量报警未进行削减(报警设定值、报警响应时间)
- 未设置逆流保护的联锁回路,不进行削减
- 原料罐上PSV阀,不进行削减(假设安全阀泄放能力不满足逆流工况)
在RiskCloud中计算后,该回路的SIL等级为SIL2等级。
SIF回路的设计
在SIF回路的设计过程中,需要重点考虑设计防止逆流的方案。在验算过程中假设一下几个条件:
- 检验测试隔间为1年
- 测试覆盖率为90%
- β共因失效为0.02
- MTTR平均修复时间为4小时
- 设计年限为15年
方案1
通过泵出口压差信号触发联锁关闭泵出口切断阀(SIS系统实现),流程图如下图:
方案1在RiskCloud中的SIL验算结果
方案2
在常规的联锁设计中,可通过“泵故障信号”触发联锁关闭泵出口切断阀来避免出口逆流场景(SIS系统实现)。流程图如下图:
方案2在RiskCloud中的SIL验算结果
方案3
通过(原料罐与反应器变送器)的压差信号触发联锁关闭泵出口切断阀(SIS系统实现)。流程图如下图:
方案3在RiskCloud中的SIL验算结果
通过对比PFD数值,可以看出方案1的可靠性较高,方案2的可靠性较低。
对比三种方案,均存在一定的优缺点:若采用方案1+方案2的组合进行设计,可有效的避免场景延迟的问题,还可作为二次保护,但是在SIL可靠性上进行分析,方案1和方案2的组合不能实现两级削减(两层IPL),因共用一个执行机构(泵+阀门),但是其PFD值在一定程度上会减少。
重点关注项:在设计时,采用关阀+停泵动作(停泵设计一定的延迟)。原料罐上PSV的设计应满足较大逆流工况下的泄放能力要求,泵故障及运行信号设计为“较高优先级”报警。目前国内SIL定级的工作已经全面展开,但是在分析过程中仍然存在一些痛点问题,例如:原因识别不到位、条件修正不准确、后果分析不全面、方法计算不精确等等,有些还人为的降低了SIL等级,降低了SIL定级工作的效果。
四 维护管理
目前国内在检维修策略的制定上缺乏预防性措施,尤其在检测测试周期及测试覆盖率的确定上缺乏依据。通过制定合理的检验测试周期及覆盖率可增加SIF回路的SIL可靠性。近年来,在线检测的措施有所增加,如阀门的PVST功能。通过阀门部分行程测试(PVST)可对阀门的部分危险失效进行周期性的检测,从而在整体上减少了检测测试的周期。通过进一步分析得出,通过增加PVST可以带来以下优势:
- 提高检验测试周期,提高SIL等级
- 提供有预测性的维护数据
- 延长阀门全行程测试(FST)周期
- 优化硬件结构约束
- 减少不必要的旁路设置
- 可在线进行检验测试,同时满足安全需求
因此在制定合理的检验测试规程,对切断阀门的失效模式进行分析。常规阀门的失效模式如下:
除此之外,目前国内在维护管理上还存在着较多的问题,集中表现在一下几点:
1报警作为IPL时,缺乏合适的检验测试计划(应等同SIF)
2联锁回路的摘除及投用缺乏有效的管控措施
3联锁回路的变更管理,未对后果进行缜密分析
4检验测试规程严重偏离了SIL验算的要求
5维护手段单一,缺乏预防性维护的策略
6对SIS系统生命中周期的管理缺乏系统性
7人员能力不足,为SIS系统的认知不足
8监管困难,对SIS系统状态无法及时跟踪
五 尾声
目前,我国安全仪表系统(SIS)及其相关安全保护措施在设计、安装、操作和维护管理等生命周期各阶段,还存在危险与风险分析不足、设计选型不当、冗余容错结构不合理、缺乏明确的检验测试周期、预防性维护策略针对性不强等问题,即对IEC61508及IEC61511的理解不够全面,对整个生命周期的功能安全缺乏明显的认识。通过对九江事故的案例可使读者对SIS系统整个生命周期的功能安全有一个完整的认识,以指导其生命周期内的设计、安装、调试以及维护管理等各阶段的活动。
上海歌略软件科技有限公司,为此推出行业的SISLifecycle – SIS安全仪表系统生命周期管理平台。基于风险的SIS生命周期管理 – 对SIS分析、实现、维护、运行4个阶段进行全生命周期的动态管理,打破传统的SIS管理思想,技术全球认可。
作者简介
冯双虎
TüV 功能安全工程师
SGS TüV 功能安全工程师
国家安全评价师
浙江省安全生产专家
中石化集团HAZOP/SIL报告审核专家
自控猫特聘专家
具有丰富的石油化工、煤化工、医药行业的风险评估经验,同时主持了多个国内外项目的HAZOP、SIL定级与验算工作,并具有一体化开车经验。对功能安全领域具有深刻的理解,在核心期刊发表多篇论文,例如《报警管理在流程工业中的应用》、《功能安全的生命周期管理》、《保护层级风险图表法在SIL定级中的应用》等。
关于歌略
上海歌略软件科技有限公司(歌略软件),是一家专门提供高端安全风险管控软件的公司,总部位于上海,注册资金3000万元,并且已在北美成立营销中心。主要服务的对象集中于石油、化工、能源、制药等危险化学品制造与使用企业。歌略专注于安全风险管控管理软件和分析工具的研发与高端顾问服务,提供的安全信息化产品有:HAZOP分析、LOPA定级及SIL验算一体化的风险分析软件、安全生产信息化管理软件(涵盖ISO45001,GB33000等多个标准体系),政府园区安全监管平台,智慧工地物联网平台,隐患排查治理管理软件,智慧消防运行维护平台等多款软件。
歌略自成立以来,一直秉承不断自主创新的原则,歌略的理念是“不第一,即”。近10年来,歌略相继推出了多款具有业内级认可技术的软件,在安全生产信息化及安全风险分析软件领域享有较高的知名度并拥有众多成功案例。