流程风险分析和安全仪表系统设计

关键字
流程风险分析，安全完整性等级，安全仪表系统，风险评估

Keywords
Process Hazard Analysis, Safety Integrity Level, Safety Instrument System, Risk Assessment

摘要
为了实施新的安全设计技术，需要很多对风险的定量和可靠性评估方法。传统流程危险分析方法集中于危险的识别，使用对风险评估定性的方法。最近颁布的国际标准IEC 61508，提供了流程危险分析和风险评估的一种新方法。

Abstract
In order to implement these newer design techniques, more quantitative methods of risk and reliability assessment are required. Traditional process hazard analysis methods focus on hazard identification with a qualitative approach to risk assessment. A recently released international standard, IEC 61508, provides a new method of process hazard analysis and risk assessment.

危险分析和风险评估

ISA S84 和 IEC 61508 标准中的一个关键步骤是危险分析和风险评估。前面的文章已经讨论了美国主要安全与健康局的流程安全管理的重要性，以及为什么流程危险分析是流程安全管理的重要部分。因为很多公司已经习惯使用传统的流程危险分析（PHA）方法，他们自然而然也把它们使用到危险分析和风险评估中，并做为使用新 ISA 和 IEC 标准的基础。这样做通常会在工业中引起很多混乱。

危险分析和风险评估承担了三个主要任务：危险的识别、风险的评价和工程及管理控制在就地减轻风险的评估。美国职业安全和健康局推荐下列方法用于危险的评估：

   ·如果...怎么办（What If）；
   ·核对清单（Checklist）；
   ·如果...怎么办 / 核对清单（What If/ Checklist）；
   ·危险和可操作研究（HAZOP）；
   ·失效模式和影响危险分析（FMECA）；（更适合个人进行工作）
   ·失效树分析（FTA）；
   ·其他适用的方法如：安全完整性等级的流程危险分析（PHASIL）。

危险评估

在北美，大多数流程运行使用如果…怎么办 / 核对清单或者危险和可操作研究的方法。上面的每种方法都有它们自己识别危险的优势。基于使用者的经验，下列表格总结了每种美国职业安全和健康局流程安全管理方法的优点和缺点。

[DividePage:NextPage]

风险分析

使用上述介绍的流程危险分析方法（如：如果…怎么办，危险操作可操作性研究等）来评价风险，在可能性和事件结果的定性方面还可以。典型的可能性定义为：频繁、可能、偶然、稀少，或者从结果严重性定义为：忽略、容忍、临界、严重或者灾难。这些概率和结果的结合能够组成一幅关于每种事件重要性排列的矩阵图。这种定性的风险分析方法是非常简单的，容易由现场人员实施。

点击图片，在新窗口显示原始尺寸

新的 ISA 和 IEC 标准需要一个半定量的风险分析，做为对危险和风险评估的主要依据。在 ISA 和 IEC 分析框架内，可靠性要求（SIL）决定安全仪表系统。因为风险评估和安全装置评价包含在一个传统的流程风险分析之内，是定性的，使用标准技术去评价 SIL 是非常困难的。

安全装置分析

美国职业安全与健康局流程安全管理的要求之一是流程危险分析针对“工程和管理控制可应用危险和控制失效结果”。很多传统的流程危险分析技术没有提供评估“控制失效结果”的方法。IEC 和 ISA 标准本质上是基于“控制失效结果”的评估，这样的话它们需要知道安全仪表系统是怎样的可靠（比如：SIL 的值）。

传统危险可操作性分析中的一个缺点，或者任何其他已介绍的分析，多重失效的问题没有被明确地考虑。比如，压力调节器的失效在容器中增加压力，但压力变送器也许失效发送了一个信号到 PLC 执行一个进气阀的高压停车。在一个危险操作性分析、或其他已介绍的分析中，安全装置系统的二次失效概率仅是暗示可能要额外增加安全装置。这样问题就转换成：有没有一种分析控制失效的有效性方法？－特别是安全仪表系统。

在保守的方法中，如假设所有安全装置已失效是不合理的，因为风险降低是对安全仪表系统的要求，要么超过要求要么没有达到要求。

IEC 标准因此提供了一个全面而有用的方法，用于风险分析和安全装置评估。实际上 IEC 标准需要用户在没有安全装置的现场评价风险。风险因此能够基于启动事件的概率结合所有事件的结果，而这是一个传统的危险和运行研究/分析后续要完成的。这是合理的，因为如果在现场没有安全装置，事件结果完全可能会出现。这种分析方法有两个主要优点：

1. 启动事件的概率是非常容易确定的。设备的典型失效率、人员出错率和外部事件概率是可以得到的。

2. 没有任何安全装置的风险是安全装置（工程和管理控制）试图要减少的所有风险。

保护层

一旦所有风险已经确定，为了评价安全装置是否减少了风险，对它们需要确定和分析。

对于安全工程师，有很多可使用的安全装置。经常提到是有多个独立保护层（IPL），它们可以满足某个标准并吸收至少一个数量级（SIL 1）的风险。代表性的有六个类型的独立保护层，包括：

   · 管理控制（比如维护和操作程序）；
   ·报警和操作员；
   ·基本流程控制系统；
   ·紧急刹车系统（安全仪表系统）；
   ·主动机械保护（泄流阀，闪光系统，灭火系统）；
   ·被动机械保护（堤防，防火墙，设备保护装置）；
   ·紧急响应程序。

[DividePage:NextPage]

风险降低和可靠性评估

为了把风险减少到可容忍的水平，各自的保护层必须根据它们的风险降低效力或者可靠性进行评价。一个保护层的可靠性包括很多因素，诸如响应时间、缓解效能、和平均失效时间、测试间隔、独立性和公共发生因数。

ISA 和 IEC 标准允许每个保护层被指定一定量级的风险降低。保护层的可靠性因此需要对特定的保护层能吸收多少风险进行估计。IEC 标准一般要求任何设备吸收的一个风险水平要大于一个数量上评价的数量级（SIL 1）。这意味着基本流程控制系统、管理程序和机械控制一般仅有一个数量级的风险降低水平或者一个 90%以上的成功机会。对于这些 SIL 1，有个简单的定性分析用于评价这个安全装置是否是真正的独立保护层。

一旦保护层提供的基本流程控制系统、管理程序和机械控制应用于假定的事件，然后进行剩余风险的评价。为了满足可容忍风险等级，这个剩余风险也必须要减缓。
增加另外的保护层如：一个压力安全阀（PSV）或者安全仪表系统（SIS）来达到新的要求。风险分析因此提供了一个方便的方法，按安全完整性等级的要求，直接对一个安全仪表系统评价。一旦得到一个安全完整性等级，就可以进行一个可靠性评估，验证特定的安全仪表系统配置是否满足可靠性（SIL）的要求。定量可靠性评估方法的例子是 ISA 技术报告和 IEC61508 标准中的详细内容。

结论

传统流程危险的分析方法今天仍然适用，用于定性的危险识别和风险评估。由基于性能标准的驱动，企业在流程运行设计中，朝向基于风险降低和可靠性来使用安全仪表系统。为了实施这些新方案，需要使用严格的评估方法，确保设备中的潜在危险能够控制在可接受的水平内。这使得在现在设计参数时有很大的灵活性和可靠性，我们应选择“适合目标”，而不是“最佳实践”。

最近颁布的国际标准，IEC 61508，已经展示了其更先进的流程危险分析和风险评估方法。这是一种高品质的流程危险评估风格，即可以用于流程危险分析，也可以用于减弱风险安全装置的集成。这种方法使用半定量风险评价技术，结合一种定量可靠性评估。这种新方法的关键是风险评价与安装装置的可靠性评估分开。使用这种方法，多个安全装置失效的贡献能够同时有效地检查。这种方法也导致安全仪表系统设计，以最佳性价比的方式，满足真正风险降低的要求。

作者：罗克韦尔自动化（中国）有限公司华镕

声明：本网站所收集的部分公开资料来源于互联网，转载的目的在于传递更多信息及用于网络分享，并不代表本站赞同其观点和对其真实性负责，也不构成任何其他建议。本站部分作品是由网友自主投稿和发布、编辑整理上传，对此类作品本站仅提供交流平台，不为其版权负责。如果您发现网站上所用视频、图片、文字如涉及作品版权问题，请第一时间告知，我们将根据您提供的证明材料确认版权并按国家标准支付稿酬或立即删除内容，以保证您的权益！联系电话：010-58612588 或 Email:editor@mmsonline.com.cn。