本帖最后由 Worry 于 2024-4-26 16:38 编辑
/ c- t% ~" M: i* z. A) e
}6 ]5 O W2 E; [6 TLOPA分析中BPCS在一个场景中消减多少风险
1 y) u# K; R' K. w6 v: {( H 在LOPA分析时对BPCS作为独立保护层进行讨论,一种观点是BPCS的控制回路最多可选二个,前提是传感器和最终执行元件独立,这样至少可以消减100倍风险,很容易达到风险控制目标。另一种观点是BPCS作为独立保护层最多不超过1个,即BPCS最多只能消减10倍风险因子,这样保护层选择受到限制。不同的选择,LOPA分析结论很可能完全不同,后者分析结果可能需更多的SIF回路。在最新的《石油化工安全仪表系统安全完整性等级设计规SHT3225-2024》(报批稿)中支持了第一种观点。 《SHT3225-2024》5.2.5风险降低因子的确定 5.2.5.1当BPCS作为IPL时,其RRF应符合下列要求:a)BPCS作为IE时,在同一个场景中BPCS作为IPL只能使用一次且RRF应小于或等于10:b)BPCS不作为IE时,在同一个场景中BPCS作为IPL不应超过两次,BPCS合计RRF应小于或等于100。IEC61511标准中,《流程工业安全仪表系统》-第一部分描述“BPCS作为保护层,其风险削减因子【BPCS】应低于10”,这意味着,BPCS所有消减功能的失效概率应大于1E-1。通俗的讲,就是BPCS在一个事故场景中只能作为一个独立保护层消减风险。这是第二种观点。
% }# P" h7 z2 N+ I 如上图为简化的BPCS回路元件,其中最终控制元件可能是一个阀、电磁阀或者是一个人员干预触发的报警等。重要的一点是,在需要BPCS控制回路时,如果BPCS回路任何一个元件发生失效,那么,整个回路就会出现瘫痪并且丧失功能。BPCS回路每个元件都有自己的失效率,一个元件要求时的失效概率(PFD)与其历史失效率和有效测试率有关。通常测试间隔时间越短,元件的PFD越低。整个BPCS回路的PFD近似等于其所有元件的PFD之和。BPCS系统很重要的一点是系统对人为失误的敏感性。在许多装置中,特意允许操作人员进人BPCS系统,进行更改设定点、支路报警等操作。这种开放在为操作提供便利的同时,也可能因人为失误导致危及BPCS独立保护层的安全。IEC61511规定,BPCS所有独立保护层要求时失效概率限值通常都需要考虑人为失误的因素。因此,任何一种希望采用较低的BPCS独立保护层失效概率的方法,都应考虑BPCS独立保护层的安全性是否能得到保证。对于一些装置,需要进行适当的分析,并可能有必要对访问BPCS实行更严格的限制,来证实使用较低PFD的正确性,但是这样可能会给操作带来约束。 4 N2 {0 T; b S6 u- |2 Y
基本LOPA方法规定如果任何一个BPCS回路失效,那么对其他所有共用相同逻辑解算器的BPCS回路也应考虑都失效。IEC61511中关于BPCS可以作为二个独立保护层时,要求每个BPCS保护层应独立于初始事件并相互分离,以确保每个BPCS保护层所要求的风险降低不受损害。即处理器CPU,执行元件,传感器等BPCS控制回路的组件都是独立分散的,没有共用的部分,现实中很难做到。具体内容请参阅IEC61511-1(2016)和LOPA应用导则AQT3054-2015。 众多企业的历史数据表明,典型装置的BPCS逻辑解算器要求时的失效概率较BPCS回路传感器或最终控制元件要求时的失效概率至少低两个数量级。如果这个结论正确,那么涉及BPCS逻辑解算器失效的BPCS回路PFD一般不会超过约1%(1x10^-2)。换言之,当BPCS回路出现失效,至少有99%的情况是BPCS逻辑解算器仍能正常工作,放宽基本LOPA方法的规定也是合理的。 所以即将实施的《石油化工安全仪表系统安全完整性等级设计规SHT3225-2024》(报批稿)BPCS作为IE时,在同一个场景中BPCS作为IPL只能使用一次且RRF应小于或等于10;BPCS不作为IE时,在同一个场景中BPCS作为IPL不应超过两次,BPCS合计RRF应小于或等于100也是符合实际需求的。但是在实际工程实施中应注意以下的环节:如果BPCS已经参与两个独立保护层或者参与了一个独立保护层加初始事件,SILa或SIL0不允许再由BPCS实现,SILa或SIL0应由SIS实现,或者经ALARP分析后可以忽略这部分风险。 |