当前位置: 压力容器 >> 压力容器资源 >> 国标211092GBT211091
8过程危险和风险评估
8.1目的
本章的总体目标是确定用以保证过程安全所需的安全功能(如保护层),及其相关性能水平(风险降低)。在过程领域中,使用多个安全层是常见的,这样在某一层失效时才不会导致或者允许产生有害的后果。在GB/T.1—的图9中表示了典型的安全层。
8.2要求
8.2.1只能根据任务的结果来规定危险和风险评估的要求。这意味着组织可以使用它认为有效的任何技术,只要该项技术能得到安全功能及其相关性能水平的清楚描述。
危险和风险评估应确定和涉及在所有合理的可预见的情况下(包括故障工况和合理的可预见的误用)发生的危险和危险事件。
就过程领域的一个典型工程项目而言,需要在基本过程设计的初期就执行预先的危险和风险评估。在此阶段假设通过固有安全原理以及好的工程实践的应用,已把危险消除掉了或者已把危险降低到了合理可行的程度(在GB/T的范围内不包含这种降低危险的活动)。对SIS而言,这种预先的危险和风险评估是很重要的,因为确立、设计和实现一个SIS是复杂的任务,需要占用相当长的时间。及早了解这个工作的另一理由是在完成过程和仪表图之前需要系统结构方面的信息。
一般只要完成了过程流程图和提供了所有的原始过程数据,启动预先危险和风险评估的信息就足够了。应该认识到当进行详细设计时,可能引入附加危险。因此,一旦完成了过程和仪表图,还有必要进行一次最终的危险和风险评估。一般这个最终的分析使用一个正式的和全文档化的规程,如危险和可操作性研究(HAZOP)。应证实所设计的安全层足以保证工厂的安全。在该最终分析期间,需考虑安全系统的失效是否会导致任何新的危险或者请求。如果在此阶段确定有任何新的危险,则有必要定义新的安全功能。另一较可能产生的结果是查明了可导致在初始阶段已识别危险的附加事件。于是需考虑是否需要对初始分析所确定的安全功能及其性能要求进行修订。
用来确定危险的方法取决于正在考虑的应用,对有些简单的过程来说,在对一种标准设计(如海上钻井平台)具有广泛操作经验的情况下,使用工业上编制的检查列表(例如ISO和APIRP14C中的安全分析检查表)可能是足够的。在考虑更复杂的设计或是新的过程设计的情况下,有必要采用一种更结构化的方法(例如IEC-3-9:)。
注:ISO中给出了有关选择合适技术的其他信息。
当考虑特定失效事件的后果时,应分析所有可能的结果,及对结果产生影响的失效事件的频率。在风险分析中应忽略或去除不可靠的结果。使管道或压力容器承受超过设计的压力不一定会产生灾难性的污染损失。在许多情况下,设备都经过超过设计的压力试验,惟一可能导致火灾的后果是可燃物质的泄漏。在评价后果时,需咨询负责工厂机械完整性的人员。它们不但需要考虑原始试验压力还要考虑包括腐蚀允许量在内的原始设计以及腐蚀管理程序是否到位。在后果是基于这些假设的情况下,清楚地讲明这个问题是很重要的,这样就能把相关的规程结合到安全管理系统中。当考虑后果时,另外一个问题是许多人可能会受到某种特殊危险的影响。许多情况下,操作和维护人员只是偶尔在危险区域出现,在预测后果时应考虑到这一点。在使用这种统计方法时应注意并非对所有的情况它都有效,比如只是在起动期间才发生危险以及人员经常出现在危险区的情况。还应考虑到由于在事件的发生过程中要对征兆进行调查,所以在危险事件附近出现的人数还可能增加。
当对SIS的潜在要求源进行评估时,评估应包括以下情况:起动、连续操作、停机、维修错误、手动干预(如手动控制器)、供应的中断(如空气、冷却水、氮、动力、蒸汽、加热保温层等)。
当考虑要求频率时,在某些复杂情况下,可能有必要进行一次故障树分析。仅在因多个事件的同时失效而产生严重后果的情况下(例如,未为所有泄压的最坏情况设计减压收集器),这经常是必要的。应对什么时候应把操作员错误包含在可能引起的危险事件,以及这种事件发生的频率的事件清单中做出判断。如果操作员动作需经允许规程或者开锁设施(为防止偶然动作而配备的)才能执行,那么通常就可排除操作员错误。还需注意的情况是在什么场合,由于操作员动作降低要求频率是可信任的。这种信任会受到人为因素(比如需要多快地采取动作)和涉及任务的复杂程度的限制。在操作员对报警采取动作以及所声明的风险降低因子大于10的情况下,则需要根据GB/T.1设计整个系统。承担安全功能的系统包括检测危险工况的传感器、报警显示、人工响应以及操作员用来消除任何危险的设备。声明的风险降低因子不大于10的情况无需遵从GB/T,这时应仔细考虑人为因素问题。由于报警而降低风险的任何声明必须得到三个方面的支持:对该报警必要响应的文档化描述,足以供操作员采取正确动作的时间,保证操作员采取预防动作的培训。
倘若下列条件成立,降低对SIS的要求率就能把一个报警系统用作一种风险降低的方法:
——当失控将导致对SIF的一次要求时,用于报警系统的传感器不用作控制目的;
——用于报警系统的传感器不用作SIS的组成部分;
——已经考虑到关于风险降低的限制,这种风险降低可被声明用于BPCS和共同原因问题。
GB/T.3给出了可用来确定安全仪表系统的SIL的技术示例,还包含在选择用于某个特定应用的方法时需考虑哪些问题的指南。
当确定是否需要风险降低时,需要具有一些过程安全和环境日标。它们专用于特定的现场或操作公司,并且可同未使用附加安全功能的风险水平进行比较。在确定需要风险降低之后,有必要考虑需要执行什么样的功能以使过程返回到某个安全状态。理论上,可以用通用术语描述这些功能而无需涉及某个特殊技术。例如在过压保护的情况中,可把功能描述成防止压力上升超过某个规定值。无论是一个安全阀或是一个安全仪表系统都能执行此功能。当如上描述功能时,则可在生命周期的下一阶段(给保护层分配仪表安全功能)来决定所使用的技术类型的选择。实际上,根据所选的系统类型,功能要求是不相同的;在某些情况下,此阶段和下一阶段可结合起来。
总之,危险和风险分析应考虑;
——每个已确定的危险事件和导致该危险事件的事件序列;
——与每个危险事件相关联的事件序列的后果和可能性,可定量或定性表示它们;
——每个危险事件的必要的风险降低;
——为降低或消除危险和风险而采取的措施;
——在分析风险过程中所作的假定,包括估计的要求率和设备的失效率,应详细说明操作约束或人为干预取得的任何信任;
——在每个SIS生命周期阶段(如验证和确认活动)对与安全相关系统有关的关键信息的引用。
构成危险和风险分析组成成分的信息和结果都应文档化。
当已经做出了决定并且可用的信息变得更精确时,可能有必要在整个SIS安全生命周期的各个阶段反复进行危险和风险评估。
8.2.2在过程工业中,在许多应用中需考虑要求的一个重要理由是BPCS失效。传感器、阀或控制系统都可能引起BPCS失效。
在过程工业中使用的控制系统有时具有冗余处理器,传感器和阀一般没有冗余。当给BPCS分配一个失效率时,需要知道失效率有一个重要限制。GB/T.1对与某个特殊危险有关的危险失效率作了限制,即除非系统的实现符合该标准的要求,能声明的危险失效率只能到每小时10的负5次方。这种限制的理由是如果声明的危险失效率较低,它应是在GB/T.1-表4的失效率范围之内。此限制保证了不满足GB/T.1要求的系统不会有高的置信度水平。
8.2.3见GB/T.1。