摘　要：介绍IEC 61508、IEC 61511两个国际标准，分析保护层分析技术，结合工程实例，探讨了LNG工厂的安全保护层分析。

关键词：LNG工厂；　安全仪表系统；　保护层分析

Abstract：Two international standards：IEC 61508 and IEC 61511 are introduced．The laver of protection analysis technology is analyzed．The layer of protection analysis of LNG plant is discussed with an engineering example．

Keywords：LNG plant；safety instrumented system；layer of protection analysis

 

LNG工厂由于物料的易燃易爆特性、产品的低温深冷特性以及低温带来的某些工艺条件的苛刻性决定了其安全的重要性。安全仪表系统(Saletv Instrumented System，简称SIS)是通过仪表和自动化技术实现安全的一种措施，近几年在我国已建的LNG工厂中广泛使用，对LNG工厂的安全生产起到了一定的保证作用。但也应注意到，从业者普遍过分依赖SIS，忽视了其他技术安全相关系统(也称其他技术保护层)，造成的结果一是SIS的动作率偏高，导致停车频繁，工厂经济性受到损害；二是装置的安全保护层不完善，过程安全存在一定的隐患。

LNG工厂的安全保护是多重保护，即SIS作为保护层必须和其他保护层结合考虑，IEC 61511《过程工业领域安全仪表系统的功能安全》第3部分附录F推荐了保护层分析(Layer of Proteetion Analysis，简称LOPA)技术，分析每个保护层的安全功能和功能安全十分必要。下面笔者介绍IEC 61508《电气、电子、可编程电子安全相关系统的功能安全》和IEC 61511《过程工业领域安全仪表系统的功能安全》两个标准及保护层分析技术，从工程设计的角度探讨LNG工厂的安全保护。

IEC 61508和IEC 61511是过程安全领域里十分重要的国际标准，两标准虽关注的是安全仪表系统，但均认为实现或保持过程工业的安全状态并不只靠安全仪表系统。两标准对“安全功能”的定义是：针对特定的危险事件，为达到或保持过程的安全状态，由安全仪表系统、其他技术安全相关系统或外部风险降低设施实现的功能。这些安全功能在IEC标准中也称为安全保护层。

解读IEC标准可以认为过程工业常用的安全保护层，如工艺过程的固有安全设计、基本过程控制系统和物理保护(如安全阀、爆破片)等是最基本的保护层，只有这些保护层不能将风险降低到可接受的水平时才使用安全仪表系统。因此安全仪表系统作为保护层与其他技术保护层的互相配合，以及每一保护层的功能正确实施，是IEC标准功能安全的核心。

①LOPA技术是一种过程危险分析工具，是一种半定量的分析评估技术。它将危险与可操作分析(HAZOP)导出的危险事件定性给出；定量计算每个独立保护层(Independent Protection Layer，IPL)的失效概率以及全部保护层总的“已减轻的事件可能性”以及残余风险；再依据本公司风险目标值，定量评估残余风险值是否可以接受。

②独立保护层(IPL)，其实质是能够有效阻止危险事件向不良后果继续发展的一种设备、系统或行动，独立保护层实行的风险降低机制是一层一层不断地将后果的严重程度消弱，直到残余风险可接受。

③独立保护层(IPL)消减后果频率的绩效用PFD进行量化，PFD是要求时的平均失效概率表示，所谓要求时的平均失效概率指的是在响应过程状态或其他请求时(例如人工命令)执行其功能的绩效；SIS作为一种用仪表和自动化技术实现安全的保护层，绩效用安全完整性等级(SIL)表示，其值也是要求时的平均失效概率；独立保护层分析中“事件的可能性”取值是每年的次数，“中间的事件的可能性”表示无SIS保护层时的事故频率与其他保护层的PFD的乘积；“已减轻的事件的可能性”是指事故频率与包括SIS在内的全部保护层的PFD的乘积，PFD与RRF(风险降低因数)互为倒数。

④在某些情况下，只有引发原因并不能导致特定的危险事件，可能还需要其他条件。例如易燃物质释放后遇点火源才能发生火灾事故，易燃物质的释放是引发原因，点火源称为使能条件；发生火灾事故是否导致重大伤亡事故，还应考虑的条件是人员暴露在危险事件区域的概率及造成致命伤害的概率，这两个条件称为伤害条件。

①已减轻的事件的可能性

已减轻的事件的可能性计算公式见式(1)。

 

式中fi^c——初始事件i造成c后果的频率，也称已减轻的事件的可能，次／a

fi^I——初始事件i的初始发生频率，次／a

Pij——初始事件i中第，个阻止后果c的独立保护层(IPL)要求时的失效概率(PFD)

J——初始事件i中阻止后果C的独立保护层的个数

②残余风险

残余风险的计算公式见式(2)。

 

式中R——残余风险，次／a

n——初始事件的个数

ff——点火概率

fp——一个人在危险区域的概率

fs——火灾中造成致命伤害的概率

①利用HAZOP分析结果，筛选危险事件。

②确定危险事件的严重性等级。

③辨识危险事件的引发原因和引发可能性。

④列举现有保护层的失效概率。

⑤计算中间的事件可能性。

⑥确定SIS的安全完整性等级(SIL)。

⑦计算已减轻的事件可能性。

⑧计算残余风险并评估是否可接受。

①独立性。防护功能是针对特定的危险事件设置的，能独立地应对其引发事件的发生和后果，与引发事件的初始原因和其他保护层的失效无关联。例如发生LNG储罐超装事故，其初始原因是进液控制回路失效，则进液控制回路不能作为防止储罐超装的独立保护层。

②功能性。从对危险性事件检测、识别到响应，能快速准确地实现安全功能。例如，制冷剂压缩机的防喘振控制系统，设定连续10s内发生5次喘振，机组将立即停车，从而防止因喘振损坏机组。

③完整性。独立保护层消减后果频率的绩效(PFD)越小，其正确运行或中断事件链的可能性就越大，PFD的取值范围为1×10^-4～1×10^-1每个保护层的PFD应达到10倍因数的减少。

④可靠性。在规定的条件下和时间内完成规定的功能的可靠度。

⑤可审查性。每个保护层功能的效力或失效率必须是可以审查的，可以用数据定量评估的。

⑥安全许可性。安全许可性是指操作层面要实行安全许可制度，防止未经授权的操作和变更。

LNG工厂的工艺流程是原料气增压后进入预处理单元脱除各种杂质，然后液化为LNG，再储存装车。

4.2.1 LNG工厂安全保护层模型

参照IEC 6151 1第1部分的典型安全保护层模型图，本文给出的模型见图l。

 

4.2.2安全保护层的功能设计

①固有安全设计

固有安全设计也称本质化安全设计，是利用工艺流程和工艺装置的安全技术措施作保护层。危险事件是因在生产过程中发生能量或危险物质的意外释放，意外释放的原因是能量的约束条件遭到破坏或失效故障，利用工艺流程和工艺装置作安全保护层是最根本的保护层。在这个保护层里应使工艺流程危险陛尽可能小；应使危险物料在生产过程中存量尽可能少；应使施加于危险物料的能量(如压力、温度)尽可能小；流程尽可能简约化，应使人工误操作的可能性尽可能小；应使工艺装置(设备)对工艺参数的变化有一定的适应性。LNG工厂生产工艺是个物理过程，不属危险性化学工艺过程，但是工艺条件有一定的苛刻性。例如气源组成变化较大，净化不彻底易造成冷箱换热器流道堵塞。设计中应提高净化工艺的适应范围使杂质脱除干净。此外，工厂的低温深冷设施如LNG储罐和低温管道在绝热层绝热效果差或受损时容易受热超压，设计中应选择性能良好的保冷材料和先进的保冷工艺。