AQ/T 3054-2015
基本信息
标准号: AQ/T 3054-2015
中文名称:保护层分析(LOPA)方法应用导则
标准类别:安全行业标准(AQ)
标准状态:现行
出版语种:简体中文
下载格式:.rar .pdf
下载大小:745KB
标准分类号
关联标准
出版信息
相关单位信息
标准简介
AQ/T 3054-2015 保护层分析(LOPA)方法应用导则
AQ/T3054-2015
标准压缩包解压密码:www.bzxz.net
标准图片预览
标准内容
ICS13.200
备案号:
中华人民共和国安全生产行业标准AQ/T3054-2015
保护层分析(LOPA)方法应用导则Guidelines for layer of protection analysis(LOPA)(报批稿)
2015-03-06发布
2015-09-01实施
国家安全生产监督管理总局
规范性引用文件
3术语、定义和缩略语
4LOPA基本程序
5场景识别与筛选.
初始事件确认。
独立保护层评估.
8场景频率计算.
9风险评估与决策,
10LOPA报告
11LOPA后续跟踪及审查
附录A(规范性附录)LOPA基本程序附录B(资料性附录)LOPA应用时机目
附录C(资料性附录)HAZOP信息与LOPA信息的关系次
附录D(资料性附录)BPCS多个回路作为IPL的评估方法,附录E(资料性附录)失效数据。附录F(资料性附录)风险标准和ALARP原则附录G(资料性附录)LOPA示例,AQ/T30542015
AQ/T30542015
本标准编制依据GB/T1.1-2009给出的规则起草。本标准由国家安全生产监督管理总局提出。本标准由全国安全生产标准化技术委员会化学品安全分技术委员会(TC288/SC3)归口。本标准主要起草单位:中国石油化工股份有限公司青岛安全工程研究院、国家石化项目风险评估技术中心、中国石化洛阳工程有限公司。本标准主要起草人:白永忠、韩中枢、党文义、万古军、文科武、张广文、于安峰、王全国、武志峰、沈郁、赵文芳。
AQ/T30542015
-个典型的化工过程包含各种保护层,如本质安全设计、基本过程控制系统(BPCS)、报警与人员干预、安全仪表功能(SIF)、物理保护(安全阀等)、释放后保护设施、工厂应急响应和社区应急响应等。这些保护层降低了事故发生的频率。在开展化工过程工艺危害分析时,保护层是否足够,能否有效防止事故的发生是分析人员最为关注的一个问题。保护层分析(Layerofprotectionanalysis,简称LOPA)是在定性危害分析的基础上,进一步评估保护层的有效性,并进行风险决策的系统方法,其主要目的是确定是否有足够的保护层使过程风险满足企业的风险可接受标准。LOPA是一种半定量的风险评估技术,通常使用初始事件频率、后果严重程度和独立保护层(IPL)失效频率的数量级大小来近似表征场景的风险。
本标准主要对LOPA基本程序进行了明确的规范和详细的描述,重点规定了LOPA场景与筛选、初始事件确认、独立保护层(IPL)、场景频率计算、风险评估与决策等方面的技术要求。本标准的制定,可为国内化工企业开展LOPA提供技术指导,同时为LOPA的规范化和标准化奠定基础。1范围
保护层分析(LOPA)方法应用导则AQ/T30542015
本标准规定了化工企业采用LOPA方法的技术要求,包括LOPA基本程序、场景识别与筛选、初始事件确认、独立保护层评估、场景频率技术、风险评估与决策、LOPA报告和LOPA后续跟踪及审查。本标准适用于化工企业新建、改建、扩建和在役装置(设施)的保护层分析。2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T21109.1过程工业领域安全仪表系统的功能安全第1部分:框架、定义、系统、硬件和软件要求
AQ/T3034化工企业工艺安全管理实施导则3术语、定义和缩略语
下列术语、定义和缩略语适用于本文件。3.1术语和定义
下列术语和定义适用于本文件。3.1.1
场景scenario
可能导致不期望后果的一种事件或事件序列。每个场景至少包含两个要素:初始事件及其后果。3.1.2
初始事件 initiating event
事故场景的初始原因。
后果consequence
事件潜在影响的度量,一种事件可能有一种或多种后果。3.1.4
保护层protectionlayer
能够阻止场景向不期望后果发展的设备、系统或行动。3.1.5
independentprotectionlayer
独立保护层
能够阻止场景向不期望后果发展,并且独立于场景的初始事件或其它保护层的设备、系统或行动。3.1.6
保护层分析layer of protection analysis通过分析事故场景初始事件、后果和独立保护层,对事故场景风险进行半定量评估的一种系统方法。3.1.7
要求时的失效概率probability of failureondemand系统要求独立保护层起作用时,独立保护层发生失效,不能完成一个具体功能的概率。3.1.8
风险评估riskassessment
将风险分析的结果和风险可接受标准进行对比,进行风险决策的过程。3.1.9
安全仪表功能safetyinstrumentedfunction为了达到功能安全所必需的具有特定安全完整性水平的安全功能。AQ/T30542015
安全关键设备safetycritical equipment可提供独立保护层降低场景风险等级,或将场景的风险由“不可接受风险”转变为“可接受风险”的工程控制设备。
使能必要事件或条件enabling eventor condition不直接导致场景的事件或条件,但是对于场景的继续发展,这些事件或条件应存在。3.1.12
根原因
rootcause
事故发生的根本原因。根原因通常是管理上存在的某种缺陷。3.1.13
安全仪表系统safetyinstrumented system用来实现一个或几个仪表安全功能的仪表系统,可由传感器、逻辑控制器和最终元件的任何组合组成。
防护措施
Esafeguard
可能中断初始事件后的事件链或减轻后果的任何设备、系统或行动。3.1.15
“尽可能合理降低”原则aslowasreasonablypracticable在当前的技术条件和合理的费用下,对风险的控制要做到在合理可行的原则下“尽可能的低”。3.2缩略语
本标准使用的缩略语见表1。
缩略语
4LOPA基本程序
基本程序
表1本标准使用的缩略语
“尽可能合理降低”原则
基本过程控制系统
危险与可操作性分析
初始事件
独立保护层
保护层分析
管道和仪表流程图
要求时的失效概率
安全仪表功能
安全完整性等级
安全仪表系统
AslowasreasonablypracticableBasic process control systemHazard and operability studyInitiating event
Independent protection layerLayer of protection analysisPiping and instrumentation diagramProbability of failure on demandSafety instrumented functionSafety integrity level
Safety instrumented system
4.1.1保护层分析(LOPA)是在定性危害分析的基础上,进一步评估保护层的有效性,并进行风险决策的系统方法。其主要目的是确定是否有足够的保护层使风险满足企业的风险标准。4.1.2LOPA基本流程图见附录A,主要过程包括:a)场景识别与筛选:wwW.bzxz.Net
b)初始事件(IE)确认;
c)独立保护层(IPL)评估:
d)场景频率计算;
e)风险评估与决策;
f)后续跟踪与审查。
4.1.3在使用LOPA前,应确定以下分析标准:2
a)后果度量形式及后果分级方法:b)后果频率的计算方法;
c)IE频率的确定方法;
d)IPL要求时的失效概率(PFD)的确定方法e)风险度量形式和风险可接受标准:f)分析结果与建议的审查及后续跟踪。4.2应用时机
4.2.1在过程危害分析中出现以下情形时,可使用LOPA:a)事故场景后果严重,需要确定后果的发生频率;b)确定事故场景的风险等级以及事故场景中各种保护层降低的风险水平:c)确定安全仪表功能(SIF)的安全完整性等级(SIL);d)确定过程中的安全关键设备或安全关键活动:e)其他适用LOPA的情形等
AQ/T30542015
4.2.2LOPA应用时机参见附录B。当无法确定事故场景的风险时,可采用定量方法进行定量风险评价。
LOPA的应用有以下局限性:
a)LOPA不是识别危险场景的工具,LOPA的正确执行取决于定性危险评价方法所得出的危险场景的准确性,包括初始事件和相关的安全措施是否正确和全面:b)当使用LOPA时,只有如下条件满足时才能进行场景风险的对比:1)选择失效数据的方法相同:
2)采用相同的风险标准;
c)LOPA是一种简化的方法,其计算结果并不是场景风险的精确值4.3小组组成
4.3.1LOPA由一个小组完成。LOPA小组成员可包括但不限于以下人员:a)组长:
b)记录员:
c)设计人员:
d)操作人员:
e)工艺人员:
f)设备工程师
g)仪表工程师;
h)安全工程师。
4.3.2根据需要,可要求以下人员参加LOPA:a)工艺包供应商;
b)成套工艺设备供应商
c)公用工程工程师;
d)电气工程师:
e)其他专业工程师。
如果LOPA是基于HAZOP分析的结果,LOPA小组人员组成宜包括HAZOP分析小组成员。4.3.3
场景识别与筛选
5.1场景应满足以下基本要求:
a)每个场景应有唯一的IE及其对应的单一后果;b)当同一E导致不同的后果时,或多种正E导致同一后果时,应假设多个场景:c)当场景中存在使能必要事件或条件,应将其包含在场景中。5.2场景识别与信息来源
5.2.1场景信息来源于危险分析的结果,包括3
AQ/T30542015
a)采用HAZOP分析方法进行危害分析的结果:b)采用AQ/T3034中的工艺危害分析方法进行危害分析的结果:c)事故分析结果;
d)工艺变更分析;
e)安全仪表功能审查结果;
f)其他危害分析结果等。
5.2.2当利用HAZOP分析结果进行LOPA时,两者之间的信息对应关系参见附录C。5.2.3当利用已有的定性危害分析结果进行LOPA时,宜对定性危害分析的结果进行审查,确保识别出所有的危害后果及导致后果的所有原因。5.3场景筛选
5.3.1宜采用定性或定量的方法对场景后果的严重性进行评估,并根据后果严重性评估结果对场景进行筛选。
5.3.2典型的后果种类包括:人员伤害、财产损失、环境和声誉影响等。6初始事件确认
6.1正一般包括外部事件、设备故障和人员失误,具体分类见表2。表2IE类型
外部事件
a)地震、海啸、龙卷风、风、
洪水、泥石流、滑坡和雷击等自然灾害
b)空难
c)临近工厂的重大事故
d)破坏或恐怖活动
e)邻近区域火灾或爆炸
f)其他外部事件
6.2在确定IE时,应遵循以下原则:设备故障
a)控制系统故障(如硬件或软件失效、控制辅助系统失效)
b)设备故障
口1)机械故障(如泵密封失效、泵或压缩机停机):
2)腐蚀/侵蚀/磨蚀;
3)机械碰撞或振动:
4)阀门故障:
5)管道、容器和储罐失效:
6)泄漏等
e)公用工程故障(如停水、停电、停气、停风等)
d)其他故障
人员失误
a)操作失误
b)维护失误
c)关链响应错误
d)作业程序错误
e)其他行为失误
a)宜对后果的原因进行审查,确保该原因为后果的有效E:b)应将每个原因细分为具体的失效事件,如“冷却失效”可细分为冷却剂泵故障、电力故障或控制回路失效:
c)人员失误的根原因(如培训不完善)、设备的不完善测试和维护等不宜作为IE,独立保护层评估
IPL确定原则
化工企业保护层作为IPL时,应满足以下基本要求:a)独立性:
1)独立于E的发生及其后果:
2)独立于同一场景中的其它IPL。b)有效性:
1)能检测到响应的条件
2)在有效的时间内,能及时响应;3)在可用的时间内,有足够的能力采取所要求的行动:4)满足所选择的PFD的要求。
c)安全性。应使用管理控制或技术手段减少非故意的或未授权的变动。d)变更管理。设备、操作程序、原料、过程条件等任何改动应执行变更管理程序,以满足变更后4
保护层的IPL要求。
AQ/T30542015
e)可审查性。应有可用的信息、文档和程序可查,以说明保护层的设计、检查、维护、测试和运
行活动能够使保护层达到IPL的要求。7.2化工企业典型保护层及作为IPL的要求化工企业典型的保护层及作为IPL的要求见表3。5
AQ/T30542015
保护层
本质安全设计
基本过程控制
系统(BPCS)
报警和人员响
安全仪表功能
从根本上消除或减少工艺系统
存在的危害。
BPCS是执行持续监测和控制
日常生产过程的控制系统,通
过响应过程或操作人员的输入
信号,产生输出信息,使过程
以期望的方式运行。由传感器、逻辑控制器和最终执行元件组
报警和人员响应是操作人员或
其它工作人员对报警响应,或
在系统常规检查后,采取的防
止不良后果的行动。
安全仪表功能通过检测超限
(异常)条件,控制过程进入
功能安全状态。一个安全仪表
功能由传感器、逻辑控制器和
最终执行元件组成,具有一定
的SIL。
表3化工企业典型的保护层及作为IPL的要求说明
企业可根据具体场景需
要,确定是否将其作为
IPL。
BPCS可以提供三种不同
类型的安全功能作为
1)连续控制行动:保持
过程参数维持在规定的
正常范围以内,防止E
发生:
2)报警行动:识别超出
正常范围的过程偏差,并
向操作人员提供报警信
息,促使操作人员采取行
动(控制过程或停车):
3)逻辑行动:行动将导
致停车或采取动作使过
程处于安全状态。
通常认为人员响应的可
靠性较低,应慎重考虑人
员行动作为独立保护层
的有效性。
安全仪表功能SIF在功
能上独立于BPCS。SIL
分级可见GB/T21109。
作为IPL的要求
具体要求
1)当本质安全设计用来消除某些场景时,不应作为IPL:
容器或管道设计可承受事故后
果产生的高温、高压等。
精馏塔、加热炉等基本过程控制系统
反应器温度高报警和人员响应
1)安全仪表功能SILI:
2)安全仪表功能SIL2:
3)安全仪表功能SIL3。
2)当考虑本质安全设计在运行和维护过程中的失效时,在某些场景中,可将其作为一种IPL
I)BPCS作为IPL应满足以下要求:BPCS应与安全仪表系统(SIS)在物理上分离,包括传感器、逻辑控制器和最终执行元件:
BPCS故障不是造成IE的原因:
2)在同一个场录中,当满足IPL的要求时,具有多个回路的BPCS宜作为一个IPL.BPCS多个回路作为IPL的具体评估方法可参见附录D:
3)当BPCS通过报警或其他形式提醒操作人员采取行动时,宜将这种保护考虑为报警和人员响应保护层。
1)操作人员应能够得到采取行动的指示或报警:
2)操作人员应训练有素,能够完成特定报警所要求的操作任务:
3)任务应具有单一性和可操作性,不宜要求操作人员执行IPL要求的行动时同时执行其它任务:
4)操作人员应有足够的响应时间;5)操作人员身体条件合适等
1)SIF在功能上独立于BPCS:
2)SIF的规格、设计、调试、检验、维护和测试应按GB/T21109的有关规定执行。通用要求
对于所有的保护层,作
为IPL应满足以下要求;
1)应有控制手段防止非
故意的或未授权的变
2)应执行严格的变更管
理程序,以满足变更后
保护层的IPL要求;
3)应有可用的信息、文
档和程序可查,以说明
保护层的设计、检查、
维护、测试和运行活动
能够使保护层达到IPL
的要求。
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
备案号:
中华人民共和国安全生产行业标准AQ/T3054-2015
保护层分析(LOPA)方法应用导则Guidelines for layer of protection analysis(LOPA)(报批稿)
2015-03-06发布
2015-09-01实施
国家安全生产监督管理总局
规范性引用文件
3术语、定义和缩略语
4LOPA基本程序
5场景识别与筛选.
初始事件确认。
独立保护层评估.
8场景频率计算.
9风险评估与决策,
10LOPA报告
11LOPA后续跟踪及审查
附录A(规范性附录)LOPA基本程序附录B(资料性附录)LOPA应用时机目
附录C(资料性附录)HAZOP信息与LOPA信息的关系次
附录D(资料性附录)BPCS多个回路作为IPL的评估方法,附录E(资料性附录)失效数据。附录F(资料性附录)风险标准和ALARP原则附录G(资料性附录)LOPA示例,AQ/T30542015
AQ/T30542015
本标准编制依据GB/T1.1-2009给出的规则起草。本标准由国家安全生产监督管理总局提出。本标准由全国安全生产标准化技术委员会化学品安全分技术委员会(TC288/SC3)归口。本标准主要起草单位:中国石油化工股份有限公司青岛安全工程研究院、国家石化项目风险评估技术中心、中国石化洛阳工程有限公司。本标准主要起草人:白永忠、韩中枢、党文义、万古军、文科武、张广文、于安峰、王全国、武志峰、沈郁、赵文芳。
AQ/T30542015
-个典型的化工过程包含各种保护层,如本质安全设计、基本过程控制系统(BPCS)、报警与人员干预、安全仪表功能(SIF)、物理保护(安全阀等)、释放后保护设施、工厂应急响应和社区应急响应等。这些保护层降低了事故发生的频率。在开展化工过程工艺危害分析时,保护层是否足够,能否有效防止事故的发生是分析人员最为关注的一个问题。保护层分析(Layerofprotectionanalysis,简称LOPA)是在定性危害分析的基础上,进一步评估保护层的有效性,并进行风险决策的系统方法,其主要目的是确定是否有足够的保护层使过程风险满足企业的风险可接受标准。LOPA是一种半定量的风险评估技术,通常使用初始事件频率、后果严重程度和独立保护层(IPL)失效频率的数量级大小来近似表征场景的风险。
本标准主要对LOPA基本程序进行了明确的规范和详细的描述,重点规定了LOPA场景与筛选、初始事件确认、独立保护层(IPL)、场景频率计算、风险评估与决策等方面的技术要求。本标准的制定,可为国内化工企业开展LOPA提供技术指导,同时为LOPA的规范化和标准化奠定基础。1范围
保护层分析(LOPA)方法应用导则AQ/T30542015
本标准规定了化工企业采用LOPA方法的技术要求,包括LOPA基本程序、场景识别与筛选、初始事件确认、独立保护层评估、场景频率技术、风险评估与决策、LOPA报告和LOPA后续跟踪及审查。本标准适用于化工企业新建、改建、扩建和在役装置(设施)的保护层分析。2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T21109.1过程工业领域安全仪表系统的功能安全第1部分:框架、定义、系统、硬件和软件要求
AQ/T3034化工企业工艺安全管理实施导则3术语、定义和缩略语
下列术语、定义和缩略语适用于本文件。3.1术语和定义
下列术语和定义适用于本文件。3.1.1
场景scenario
可能导致不期望后果的一种事件或事件序列。每个场景至少包含两个要素:初始事件及其后果。3.1.2
初始事件 initiating event
事故场景的初始原因。
后果consequence
事件潜在影响的度量,一种事件可能有一种或多种后果。3.1.4
保护层protectionlayer
能够阻止场景向不期望后果发展的设备、系统或行动。3.1.5
independentprotectionlayer
独立保护层
能够阻止场景向不期望后果发展,并且独立于场景的初始事件或其它保护层的设备、系统或行动。3.1.6
保护层分析layer of protection analysis通过分析事故场景初始事件、后果和独立保护层,对事故场景风险进行半定量评估的一种系统方法。3.1.7
要求时的失效概率probability of failureondemand系统要求独立保护层起作用时,独立保护层发生失效,不能完成一个具体功能的概率。3.1.8
风险评估riskassessment
将风险分析的结果和风险可接受标准进行对比,进行风险决策的过程。3.1.9
安全仪表功能safetyinstrumentedfunction为了达到功能安全所必需的具有特定安全完整性水平的安全功能。AQ/T30542015
安全关键设备safetycritical equipment可提供独立保护层降低场景风险等级,或将场景的风险由“不可接受风险”转变为“可接受风险”的工程控制设备。
使能必要事件或条件enabling eventor condition不直接导致场景的事件或条件,但是对于场景的继续发展,这些事件或条件应存在。3.1.12
根原因
rootcause
事故发生的根本原因。根原因通常是管理上存在的某种缺陷。3.1.13
安全仪表系统safetyinstrumented system用来实现一个或几个仪表安全功能的仪表系统,可由传感器、逻辑控制器和最终元件的任何组合组成。
防护措施
Esafeguard
可能中断初始事件后的事件链或减轻后果的任何设备、系统或行动。3.1.15
“尽可能合理降低”原则aslowasreasonablypracticable在当前的技术条件和合理的费用下,对风险的控制要做到在合理可行的原则下“尽可能的低”。3.2缩略语
本标准使用的缩略语见表1。
缩略语
4LOPA基本程序
基本程序
表1本标准使用的缩略语
“尽可能合理降低”原则
基本过程控制系统
危险与可操作性分析
初始事件
独立保护层
保护层分析
管道和仪表流程图
要求时的失效概率
安全仪表功能
安全完整性等级
安全仪表系统
AslowasreasonablypracticableBasic process control systemHazard and operability studyInitiating event
Independent protection layerLayer of protection analysisPiping and instrumentation diagramProbability of failure on demandSafety instrumented functionSafety integrity level
Safety instrumented system
4.1.1保护层分析(LOPA)是在定性危害分析的基础上,进一步评估保护层的有效性,并进行风险决策的系统方法。其主要目的是确定是否有足够的保护层使风险满足企业的风险标准。4.1.2LOPA基本流程图见附录A,主要过程包括:a)场景识别与筛选:wwW.bzxz.Net
b)初始事件(IE)确认;
c)独立保护层(IPL)评估:
d)场景频率计算;
e)风险评估与决策;
f)后续跟踪与审查。
4.1.3在使用LOPA前,应确定以下分析标准:2
a)后果度量形式及后果分级方法:b)后果频率的计算方法;
c)IE频率的确定方法;
d)IPL要求时的失效概率(PFD)的确定方法e)风险度量形式和风险可接受标准:f)分析结果与建议的审查及后续跟踪。4.2应用时机
4.2.1在过程危害分析中出现以下情形时,可使用LOPA:a)事故场景后果严重,需要确定后果的发生频率;b)确定事故场景的风险等级以及事故场景中各种保护层降低的风险水平:c)确定安全仪表功能(SIF)的安全完整性等级(SIL);d)确定过程中的安全关键设备或安全关键活动:e)其他适用LOPA的情形等
AQ/T30542015
4.2.2LOPA应用时机参见附录B。当无法确定事故场景的风险时,可采用定量方法进行定量风险评价。
LOPA的应用有以下局限性:
a)LOPA不是识别危险场景的工具,LOPA的正确执行取决于定性危险评价方法所得出的危险场景的准确性,包括初始事件和相关的安全措施是否正确和全面:b)当使用LOPA时,只有如下条件满足时才能进行场景风险的对比:1)选择失效数据的方法相同:
2)采用相同的风险标准;
c)LOPA是一种简化的方法,其计算结果并不是场景风险的精确值4.3小组组成
4.3.1LOPA由一个小组完成。LOPA小组成员可包括但不限于以下人员:a)组长:
b)记录员:
c)设计人员:
d)操作人员:
e)工艺人员:
f)设备工程师
g)仪表工程师;
h)安全工程师。
4.3.2根据需要,可要求以下人员参加LOPA:a)工艺包供应商;
b)成套工艺设备供应商
c)公用工程工程师;
d)电气工程师:
e)其他专业工程师。
如果LOPA是基于HAZOP分析的结果,LOPA小组人员组成宜包括HAZOP分析小组成员。4.3.3
场景识别与筛选
5.1场景应满足以下基本要求:
a)每个场景应有唯一的IE及其对应的单一后果;b)当同一E导致不同的后果时,或多种正E导致同一后果时,应假设多个场景:c)当场景中存在使能必要事件或条件,应将其包含在场景中。5.2场景识别与信息来源
5.2.1场景信息来源于危险分析的结果,包括3
AQ/T30542015
a)采用HAZOP分析方法进行危害分析的结果:b)采用AQ/T3034中的工艺危害分析方法进行危害分析的结果:c)事故分析结果;
d)工艺变更分析;
e)安全仪表功能审查结果;
f)其他危害分析结果等。
5.2.2当利用HAZOP分析结果进行LOPA时,两者之间的信息对应关系参见附录C。5.2.3当利用已有的定性危害分析结果进行LOPA时,宜对定性危害分析的结果进行审查,确保识别出所有的危害后果及导致后果的所有原因。5.3场景筛选
5.3.1宜采用定性或定量的方法对场景后果的严重性进行评估,并根据后果严重性评估结果对场景进行筛选。
5.3.2典型的后果种类包括:人员伤害、财产损失、环境和声誉影响等。6初始事件确认
6.1正一般包括外部事件、设备故障和人员失误,具体分类见表2。表2IE类型
外部事件
a)地震、海啸、龙卷风、风、
洪水、泥石流、滑坡和雷击等自然灾害
b)空难
c)临近工厂的重大事故
d)破坏或恐怖活动
e)邻近区域火灾或爆炸
f)其他外部事件
6.2在确定IE时,应遵循以下原则:设备故障
a)控制系统故障(如硬件或软件失效、控制辅助系统失效)
b)设备故障
口1)机械故障(如泵密封失效、泵或压缩机停机):
2)腐蚀/侵蚀/磨蚀;
3)机械碰撞或振动:
4)阀门故障:
5)管道、容器和储罐失效:
6)泄漏等
e)公用工程故障(如停水、停电、停气、停风等)
d)其他故障
人员失误
a)操作失误
b)维护失误
c)关链响应错误
d)作业程序错误
e)其他行为失误
a)宜对后果的原因进行审查,确保该原因为后果的有效E:b)应将每个原因细分为具体的失效事件,如“冷却失效”可细分为冷却剂泵故障、电力故障或控制回路失效:
c)人员失误的根原因(如培训不完善)、设备的不完善测试和维护等不宜作为IE,独立保护层评估
IPL确定原则
化工企业保护层作为IPL时,应满足以下基本要求:a)独立性:
1)独立于E的发生及其后果:
2)独立于同一场景中的其它IPL。b)有效性:
1)能检测到响应的条件
2)在有效的时间内,能及时响应;3)在可用的时间内,有足够的能力采取所要求的行动:4)满足所选择的PFD的要求。
c)安全性。应使用管理控制或技术手段减少非故意的或未授权的变动。d)变更管理。设备、操作程序、原料、过程条件等任何改动应执行变更管理程序,以满足变更后4
保护层的IPL要求。
AQ/T30542015
e)可审查性。应有可用的信息、文档和程序可查,以说明保护层的设计、检查、维护、测试和运
行活动能够使保护层达到IPL的要求。7.2化工企业典型保护层及作为IPL的要求化工企业典型的保护层及作为IPL的要求见表3。5
AQ/T30542015
保护层
本质安全设计
基本过程控制
系统(BPCS)
报警和人员响
安全仪表功能
从根本上消除或减少工艺系统
存在的危害。
BPCS是执行持续监测和控制
日常生产过程的控制系统,通
过响应过程或操作人员的输入
信号,产生输出信息,使过程
以期望的方式运行。由传感器、逻辑控制器和最终执行元件组
报警和人员响应是操作人员或
其它工作人员对报警响应,或
在系统常规检查后,采取的防
止不良后果的行动。
安全仪表功能通过检测超限
(异常)条件,控制过程进入
功能安全状态。一个安全仪表
功能由传感器、逻辑控制器和
最终执行元件组成,具有一定
的SIL。
表3化工企业典型的保护层及作为IPL的要求说明
企业可根据具体场景需
要,确定是否将其作为
IPL。
BPCS可以提供三种不同
类型的安全功能作为
1)连续控制行动:保持
过程参数维持在规定的
正常范围以内,防止E
发生:
2)报警行动:识别超出
正常范围的过程偏差,并
向操作人员提供报警信
息,促使操作人员采取行
动(控制过程或停车):
3)逻辑行动:行动将导
致停车或采取动作使过
程处于安全状态。
通常认为人员响应的可
靠性较低,应慎重考虑人
员行动作为独立保护层
的有效性。
安全仪表功能SIF在功
能上独立于BPCS。SIL
分级可见GB/T21109。
作为IPL的要求
具体要求
1)当本质安全设计用来消除某些场景时,不应作为IPL:
容器或管道设计可承受事故后
果产生的高温、高压等。
精馏塔、加热炉等基本过程控制系统
反应器温度高报警和人员响应
1)安全仪表功能SILI:
2)安全仪表功能SIL2:
3)安全仪表功能SIL3。
2)当考虑本质安全设计在运行和维护过程中的失效时,在某些场景中,可将其作为一种IPL
I)BPCS作为IPL应满足以下要求:BPCS应与安全仪表系统(SIS)在物理上分离,包括传感器、逻辑控制器和最终执行元件:
BPCS故障不是造成IE的原因:
2)在同一个场录中,当满足IPL的要求时,具有多个回路的BPCS宜作为一个IPL.BPCS多个回路作为IPL的具体评估方法可参见附录D:
3)当BPCS通过报警或其他形式提醒操作人员采取行动时,宜将这种保护考虑为报警和人员响应保护层。
1)操作人员应能够得到采取行动的指示或报警:
2)操作人员应训练有素,能够完成特定报警所要求的操作任务:
3)任务应具有单一性和可操作性,不宜要求操作人员执行IPL要求的行动时同时执行其它任务:
4)操作人员应有足够的响应时间;5)操作人员身体条件合适等
1)SIF在功能上独立于BPCS:
2)SIF的规格、设计、调试、检验、维护和测试应按GB/T21109的有关规定执行。通用要求
对于所有的保护层,作
为IPL应满足以下要求;
1)应有控制手段防止非
故意的或未授权的变
2)应执行严格的变更管
理程序,以满足变更后
保护层的IPL要求;
3)应有可用的信息、文
档和程序可查,以说明
保护层的设计、检查、
维护、测试和运行活动
能够使保护层达到IPL
的要求。
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。