（系统工程专业论文）基于SDGHAZOP的系统风险定量分析研究.pdf

摘要 基于s d g h a z o p 的系统风险定量分析研究 摘要 石化过程工业涉及复杂的系统流程，具有变量多，危险点多的特 征。对系统进行风险分析，需依照标准流程，遵照国际标准进行。采 用s d g m 忆o p 进行复杂系统危险推理，可以分析辨识出系统蕴含的 危险后果、原因和传播通路。对分析结果进行防护层分析，可以确定 系统是否达到安全要求。当未达到允许的安全标准时，所需风险的降 低即所需的安全仪表系统完整性等级( s i l ) 可以确定。为防护层设 计提供必要的依据和指导，可以更好的降低系统风险并提高安全性。 最终确定危险后果的风险，并得出所需安全仪表系统的完整性等级， 是我们所要实现的目标。 如何从s d g h a z o p 所得到的结果中分析出主要危险源、主要危 险后果以及风险度，定量后果风险计算在具体执行中都面临同样的一 些问题：如现阶段在进行后果的定量风险计算主要依靠专家人工评 价，对评价人员要求较高，缺乏自动化方式，并且效率较低。 本文根据国际标准i e c 6 1 5 0 8 的指导意见，通过几种常用方法的 比较，确定了利用系统模型的定量风险来确定所需安全仪表系统完整 性等级。考虑到过程工业系统的特点，选择了在现有s d g h a z o p 系统危险传播通路分析推理的基础上，建立了利用计算机对事故概率 以及风险数值进行计算的方法，并以此作为安全仪表系统完整性等级 制定的工具。初步建立了s d g 概率计算规则库，设计了s d g 通路概 、 t 北京化工大学硕士学位论文 率计算方法和树状s d g 分析方法，以及相应的计算机程序实现。为 便于s d g 通路的存储、查询与提取，设计了相应的数据库架构。本 软件模块与s d g h a z o p 软件完整结合，成为整个安全分析平台一部 分。讨论了基于s d g h a z o p 的安全仪表系统完整性等级制定的流 程、系统基本构成和各个功能模块的设计与实现。本文最后对现有 s i l 等级制定方法优缺点进行了阐述，提出了今后发展的方向。 关键词：防护层分析，安全完整性等级，s d g 概率，定量风险计算 摘要 r e s e a r c ho fs y s t e mq u a n t i t a t i v er i s kb a s e do ns d g h a z o p ab s t r a c t p e t r o l - c h e m i c a li n d u s t 巧h a sc o m p l i c a t e dp r o c e s s ，m a n yp a m m e t e r s a n dd a n g e r o u sp o i n t s a n a l y z i n gr i s ko fp r o c e s ss y s t e mn e e df o l l o w s t a n d a r dp r o c e d u r ea 1 1 di n t e m a t i o n a l s t a n d a r d b ys d g h a z o pd s k i n 危r e n c e ，w ec a ni d e n t i 矽a c c i d e n tc o n s e q u e l l c e s ，d a n g e r o u sr e a s o n sa i l d p a t h s b y1 a y e ro fp r o t e c t i o na i l a l y s i s ( l o p a ) ，w ec a nd e c i d ew h e m e rn l e s y s t e ms a f eo rn o t i fi td o e s n ts a t i s 匆d e m a n do fs t a n d a r d ，r i s kr e d u c t i o n ， w h i c hi ss a 脚i n t e 鲥t yl e v e l ( s i l ) ，w i l lb ea s s i g l l e d i tc a nd i r e c tl a y e r o fp r o t e c t i o n d e s i g na n dp r o v i d ed a t at os u p p o r ti t sd e s i g n g e t t i n g a c c i d e n tc o n s e q u e n c ed s ka n d s i li sa i mo fm i n e h o wt og e tm a i nd a n g e r o u ss o u r c e ，a c c i d e n tc o n s e q u e n c e ，r i s kl e v e l f b md a t ab ys d g - h a z o ea n dq u a n t i t a t i v er i 呔c a l c u l a t i o ni ne x e c u t i o n f a c et h es a n l ep r o b l e m ：i np r e s e n tp 嘶o d ，c o n s e q u e n c eq u a n t i t a t i v ed s k c a l c u l a t i o nm a i n l yd 印e n d so ne x p e r t sa s s e n s ，n e e dh i g hq u a l i t yo ft h e m ， l a c ko fa u t o m a t i o nm e t h o da i l di nl o w e 伍c i e n c y o nt h eb a s i so fi e c - 615 0 8d i r e c t i v es u g g e s t i o n ，t h i st h e s i sc o m p a r e s s e v e r a lg e n e r a lm e t h o d sa n dc o m e si n t oar e s u l t ：a s s i g n m e n to fs i lb y s y s t e mm o d e l sr i s k i nc o n s i d e r a t i o no fp r o c e s si n d u s t r i a lc h a r a c t e r i s t i c s ， t h et h e s i sp r e s e n t sam e t h o do f c o m p u t i n ga c c i d e n t a lp r o b a b i l i t ya n dr i s k i i j 北京化工大学硕士学位论文 v a l u eb yc o i l l p u t e ro nm eb 邪i so fs d g h a z o ps y s t e m a t i cd a n g e r o u s p a t h sa n a l y s i sa n di n f e r e l l c e i ta l s oc a nb eat o o lo fa s s i g n i n gs i l p r e l i m i n a r i l yc o n s t m c t sam l e1 i b r a 巧o fs d gp r o b a b i l i t yc a l c u l a t i o n ， d e s i g n sm e t h o d so fs d gp a t h sp r o b a b i l i t yc a l c u l a t i n ga 1 1 ds d gt r e e a n a l y s i s r e l a t e dp r o g m mi sd e s i g n e d i no r d e rt os t o r e ，s e a r c ha n d a b s t r a c td a t af b ms d gp a t h s ，r e l a t e dd a t a b a s ea r c h i t e c t u r eh a sb e e n e s t a b l i s h e d t h i ss o f h a r em o d u l ec a nw o r kc l o s e l yw i t hs d g h a z o p s o f t w a r ea n db e c o m ea p a r to fs a f e t ya n a l y z ep l a t f o n n m a k ea d i s c u s s i o no nd e s i g n i n ga 1 1 d r e a l i z i n gp r o c e s s ，b a s i cs t r l l c t u r e sa n d c o m p o n e n t so fs i la s s i g n m e n t ，w h i c hi sb a s e do ns d g h a z o pf i n a n y ， t h i st h e s i se l l b o r a t e s a d v a n t a g ea n dd i s a d v a n t a g eo fm e t h o da n d t e c h n o l o g yu s e dn o w p u tf o m a r ds o m ea d v i c eo n 如t l l r ed e v e l 叩m e n to f a s s i g n m e n to ns i l k e y w o i m s ：l a y e ro fp r o t e c t i o na n a l y s i s ， s a f e t yi n t e 鲥t yl e v e l ， s d g p r o b a b i l i t y ；q u a n t i t a t i v er i s kc a l c u l a t i o n i v 符号说明 p h a a l a i t p s i l s i s d c s e s d l o p a i p l p f d h a z o p s d g b a y e s d a g u m l r u p x p o o p c o m a d o 符号说明 i x 过程安全分析 合理可行的风险降低 安全完整性等级 安全仪表系统 集散控制系统 紧急停车装置 防护层分析 独立防护层 要求时失效概率 危险与可操作性分析 符号有向图 贝叶斯网络 有向无环图 统一建模语言 统一软件开发流程 敏捷软件开发 面向对象软件开发 组件对象模型 a c t i v e x 数据对象 北京化工大学位论文原创性声明 本人郑重声明：所呈交的学位论文，是本人在导师的指导下， 独立进行研究工作所取得的成果。除文中已经注明引用的内容外，本 论文不含任何其他个人或集体已经发表或撰写过的作品成果。对本文 的研究做出重要贡献的个人和集体，均已在文中以明确方式标明。本 人完全意识到本声明的法律结果由本人承担。 作者签名：壅兰竺墨 日期： 锄影f 歹7 关于论文使用授权的说明 学位论文作者完全了解北京化工大学有关保留和使用学位论文 的规定，即：研究生在校攻读学位期间论文工作的知识产权单位属北 京化工大学。学校有权保留并向国家有关部门或机构送交论文的复印 件和磁盘，允许学位论文被查阅和借阅；学校可以公布学位论文的全 部或部分内容，可以允许采用影印、缩印或其它复制手段保存、汇编 学位论文。 保密论文注释：本学位论文属于保密范围，在土年解密后适用 本授权书。非保密论文注释：本学位论文不属于保密范围，适用本授 权书。 豇金慧、 作者签名：一_ 二一一一一二一 导师签名：关垂毛 日期： 日期： 孙：；f ；l 加d5 ，3f 第一章绪论 1 1 课题来源 第一章绪论 石油化工工业是国民经济的支柱产业之一，在国民经济中占有很重要的地位。 发挥重要的作用。人们的衣、食、住、行等样样都离不开化工、石化产品。化工、 石化产品与人们的生产生活密切相关，渗透到国民经济的各个领域，被广泛使用 在飞机、船舶、汽车及制造业、建筑业和农业上，而且成为发展国防工业和尖端 科学技术必不可少的原料。因此，化工、石化工业对于促进其他工业的迅速发展 和提高人们的生活水平都发挥着重要的作用。 但是，随着新技术、新产品的不断开发和利用，潜在的危险因素随着增加。尤 其是化工生产由于具有易燃易爆、有毒有害、腐蚀性强等特点，危险性较之其他 行业要大，发生事故的后果也往往比较严重。因此在化工生产中要特别重视安全， 要从保护人身安全和健康出发，深入研究事故发生的客观规律，努力探讨控制危 险的有效措施，防止各类事故的发生。 1 1 1 石化工业特点 1 生产装置大型化 目前，世界各国化工、石化生产装置的规模越来越向大型化发展，规模的扩大 可以降低单位产品的投资和生产成本。我国乙烯装置规模己达4 5 万吨年以上， 涤纶生产装置规模已达4 8 万吨年以上，合成氨生产装置采用了3 5 万吨年以上 的规模，炼油生产装置的年加工能力已达5 0 0 万吨以上。通过挖掘潜力和技术改 造，生产装置还会向更大的规模发展。 2 生产过程具有高度的连续性 化工、石化生产过程中，装置开车投产后将不断地投料，从原料输入到产品的 输出都具有高度的连续性，前后单元息息相关，相互制约，某一环节发生故障常常 会影响到整个生产的正常进行。由于装置规模大且工艺流程长，因此使用的设备 种类和数量是相当多的。 3 工艺过程和辅助系统庞大复杂 化工、石化生产从原料到产品，要经过许多工序和复杂的加工单元，通过多次 的化学反应和物理处理过程才能完成，因而生产过程既复杂又庞大。为了满足化 工、石化生产的要求，需要设有供电、供水、供热等庞大的辅助系统。生产过程 北京化工大学硕士学位论文 使用的各种反应器、塔、槽、罐、压缩机、泵等均以管道相连通，从而形成了工 艺过程复杂和工艺流程长的一系列生产线。 此外，化工、石化生产过程对工艺参数要求相当严格和苛刻，往往需要在高温 高压或深冷负压的条件下进行操作。这种生产的特殊性，给安全生产带来了很大 的困难。例如，以柴油为原料裂解生产乙烯的过程中，最高操作温度接近1 0 0 0 摄 氏度，最低为一1 7 0 摄氏度；最高操作压力为1 1 2 8 m p a ，最低为0 0 7 一o 0 8 m p a 。高 压聚乙烯的生产最高压力达3 0 0 m p a 左右。这样的操作条件，再加上许多介质具有 强烈的腐蚀性，在温度应力、交变应力等的作用下，受压容器常常因此而遭到破 坏。有一些反应过程工艺条件要求很苛刻，如丙烯酸的生产采用丙稀和空气直接 氧化，在反应过程中各物料比就处于爆炸范围附近，且反应温度超过中间产品丙 稀醛的自燃点，控制上稍有偏差就会发生化学爆炸。 4 生产过程自动化程度高 随着科学技术的发展，加之化工、石化生产本身特殊性的需要，化工、石化 生产装置大量采用了先进的技术，如自动控制、安全连锁、信号报警装置和电视 监视等。自动化系统按其功能分为自动检测、自动调节、自动操纵和自动讯号四 类。 5 生产过程危险性大 由于化工、石化具有潜在的危险性，一旦操作条件发生变化，工艺受到干扰 产生异常，或因人为因素、素质欠佳等原因造成无操作，潜在的危险就会发展成 为灾害性事故。 过程系统涉及的工业领域相当广，主要包括：石油炼制、石油化工、天然气 加工、化学工业、煤气工业、冶金焦化、污水处理、火力发电、核动力发电、造 纸工业、建材水泥、化纤工业、食品加工、制药与生物化工等。这些工业领域在 国民经济中占有极其重要的地位，同时也是容易发生火灾、爆炸、甚至毒物泄漏 等重大事故的工业部门。实践证明，为了预防事故，尽量消除过程系统潜在的危 害，提高系统的可靠性和安全性，进行过程安全分析( p h a ，p r o c e s sh a z 砌 a m a l y s i s ) 是十分有效的措施。p h a 是按照科学的程序和方法，从系统的角度对 工业生产或工程项目中潜在的危险( h a z a r d ) 及危险可能造成的损失( 鼬s k ，风 险) 进行预先识别和分析，为制定防灾措施和管理决策提供依据。由于p h a 在 消除危险隐患方面有重大作用，已列入许多国家的法规及国际安全标准。例如， 美国联邦职业安全与健康署( o s h a ) 要求相关企业必须进行p h a ，并且第一次 全国性、全面的p h a 应当在1 9 9 7 年5 月2 6 日前完成。之后，至少每五年进行一 次p h a 。 2 第一章绪论 1 1 2 石化安全评价介绍 对于典型的大规模复杂系统，各个部件、变量之间均可能存在相互作用。整 个系统的状态由各个部件的状态确定，因此系统可能状态的数量极为庞大。 危险( 偏差) 借由物料流、能量流和信息流进行传播，具有隐蔽性、跨区域 性等特点。当前安全事故频发的一个重要原因是随着工业规模的不断扩大，生产 装置的复杂程度大大超过了人的处理能力所产生的矛盾。风险无法避免，只能降 低至可接受的合理的水平。风险具有机率与后果双重属性，意味着风险管理必须 有针对性地进行。风险评价就是解决大规模复杂系统整体安全等级的最有效的工 程方法。 过程工业安全评价主体流程结构如下图所示。 妒铋；一4 i 毪跫雄惕“。 ；风险定义 图1 1 安全评价流程结构 f i g 1 - ls 由觚a l y s i sp r o c 鹃sa r c h i t e c t u r c 1 风险定义 风险标准的制定是风险评价的先决条件，因为风险= 概率后果，意味着风 险由事故的后果和事故的概率共同决定。 风险分析是在风险评估的基础上，确定合理的允许风险目标以及整体的风险 降低程度。所以首先需要进行初始风险评估。初始风险可以划分为以下三种程度： ( 1 ) 风险非常大，必须完全排除：( 2 ) 风险非常小，可以认为无关紧要：( 3 ) 风险 介于上述( 1 ) 和( 2 ) 之间，并已被降低到可行的最低水平，考虑接受风险带来的 利益和进一步减小风险所需的成本。 a i a r p ( 笛1 0 w 舔r e 勰o n a b l yp r a c t i c a b l e ) 原理要求任何风险必须得到合理可 行的降低或“与可行的合理水平一样低【1 1 。如果风险介于两个极限值之间( 即 3 北京化工大学硕士学位论文 不允许的区域和完全可以接受的区域) ，可应用a i a r p 原理，这样风险降低的 结果就达到了这种特定应用的允许风险。根据这种方法，风险被划分为三种程 度：“不允许的 、“允许的或“广泛可接受的”，图卜2 表示了这三个区域。 不允许区域噜勰 一k a l a l 冲或允许区域 ( 若想获得利益就 要承担风险墓季耋薹磊萎蓁蓁 常不相称时才允许 1， 图1 2 风险评价a i 。a r p 原则( 最低合理可行) f i g 1 - 2p 血c i p l eo f r i s k 勰a l y s i s ( 越l o w 鹊r e 够o n a b l yp r a c t i c a b l e ) 不 理 t y l o r 等人于1 9 8 9 年提出了社会风险标准，并在许多国家大约6 0 多个工厂 得到了应用。根据此标准，并参考英国健康委员会( h s e ) 和荷兰、丹麦的相关 标准，这里确定了如图l - 3 所示的社会风险标准曲线图。其中n l ( n e 哲i 舀b l el i n e ) 线之下区域为风险可忽略区域，i l ( 1 1 1 t o l e r a b l el i n e ) 线以上为不可容忍区域。 4 第一章绪论 累计频率，年 1 o e 0 l 1 o e 0 2 1 o e 0 3 1 o e 0 4 1 0 e 0 5 1 o e 0 6 1 o e 0 7 1 o e 0 8 1 o e 0 9 l ol o ol o o o死亡个数人 图1 3 社会风险标准 f i g 1 - 3s 0 c i a lr i s ks t a n d a r d l g t f ( n ) ) 一1 9 t n l ( n ) ) o ( n = 1 2 n ) ( 1 1 1 9 ( f ( n ) ) 一l g t i l ( n ) ) ot n = 1 2 n ) ( 2 1 即砂曲线满足条件式( 1 ) 时，月曲线落入可忽略线区。即砂曲线不满足条件式( 1 ) ， 但满足条件式( 2 ) 时，即砂曲线落入a l a r p 区。即砂曲线不满足条件( 1 ) ，也不满 足条件( 2 ) 时，毋砂曲线落入不可容忍区【2 1 。 同工业系统的生产活动一样，采取安全措施、降低工业系统风险的活动也是 经济行为，同样遵循一些共同的经济规律。在经济学中，主要用生产函数理论来描 述和解释工业系统的生产活动。 建立与生产函数类似的风险函数，用来描述和解释工业安全工作，并在此基 础上根据边际产出变化规律来分析a i ，a r p 原则的经济本质。 经济学中的生产函数是指生产过程中生产要素投入和产出之间的数量关系 的数学表达式，其一般形式为： z = 厂r 彳1 ，彳2 ，”j 彳，砂 石为产出的产品数量，朋砂为投入的各种生产要素的数量和其它影响产出数 量的因素。 类似地可以建立一个风险函数。风险函数是工业安全工作中投入( 安全措施 投资) 和产出( 工业系统的风险水平) 之间数量关系表达式，可表示为：尺= 厂仂 其中，产出尺为工业系统的风险水平。投砧指工业系统的安全措施投资， 包括? ( 1 ) 硬件投入：安全设备伽消防器材、防火墙、烟雾检测系统、火灾检 测系统、喷淋系统等) 的购置、安装和维修维护费用：安全设备操作人员的工资 和福利费。 北京化工大学硕士学位论文 ( 2 ) 软件投入：员工安全操作培训费、安全文化建设费：专职安全人员 的工资及福利费；其它安全管理费，如与工业系统安全风险分析相关的科研经 费等。 在忽略s i s 具体类型、价格等的基础上，可以对一个事件一后果通路建立抽象 模型。 风险 图l 一4 投资一风险最优点的确定 f i g 1 - 4h 髑衄t - m s k 叩t i m j 翻t i 安全投资 2 风险辨识 采用系统分析方法对所有潜在可能的风险进行识别和列举。可以采用的方法 包括f t a 、f m e a 、h a z o p 等。通过风险辨识找出系统中所有可能的事故后果， 影响发生的数据信息，以及完备的事故剧情。 3 防护层设计 对系统进行防护层设计首先要判定某种危险后果是否达到安全要求，即进行 防护层分析( l o p a ) 。l o p a 根据地忆o p 所辨识的完备的事故列表，通过半定 量风险评估方法，一方面确定现有的安全措施是否合适，另一方面确定如何增加 新的安全措施。如果现有措施未达到安全要求，需要进行防护层设计，有针对性 的采取防护措施。设计防护层的目的是降低风险，使危险后果的风险在可接受范 围内。实际中一般利用所需的风险降低来确定防护层的失效概率，即所需安全仪 6 第一章绪论 表系统的完整性等级。 如何从风险辨识所得到的大量结果中分析出主要危险源、主要危险后果以及 风险度，以及具体得到后果风险值中都面临同样的一些问题：如现阶段在进行后 果的风险计算主要依靠专家人工评价，对评价人员要求较高，缺乏自动化方式， 并且效率较低。 因此本文主要针对提高系统风险计算的准确度和效率进行研究。提供一种科 学、规范化、自动化的方法来指导防护层的设计。 1 2 安全完整性等级意义 基本过程控制系统是活动的、动态的：安全仪表系统是静态的、被动的，在危 险情况出现时必须能够由静变动，正确完成其功能。安全仪表系统的这种特点决 定了安全仪表系统有两点设计目标正确的功能和良好的可靠性。安全仪表系 统的功能通常是简单的开环控制逻辑，但其必须确保能够可靠执行，因此在安全 仪表系统的设计中可靠性占据了更为重要的角色。i e c 6 1 5 0 8 中定义了一种衡量 安全仪表系统可靠性的指标安全完整性等级( s i l ) 。 1 2 1 安全仪表系统发展现状 安全仪表系统( s i s ) 现已广泛应用于过程工业中，如石油、化工等生产行业， 监视工艺过程的状态，判断危险条件，并在危险出现时适当动作以防止风险。安全 仪表系统是以电气电子可编程电子( 唧e ) 为基础，主要包括安全联锁( s a f e t y i n t e d o c 蛐、紧急停车系统( e s d ) 等。 现代化的石化装置规模庞大，工艺过程复杂，高温、高压、易燃、易爆，对 设备的安全性、可靠性要求高。安全控制技术对石化生产至关重要。如催化裂化 装置的进料控制，两器切断连锁，主风机切断连锁，蒸汽压力安全放空，蒸汽自 动保护及连锁，中低压余热锅炉自保连锁等。还有加氢等装置的开停车连锁及机 组连锁与控制。装置组态包括装置连锁、往复压缩机、循环氢蒸汽透平压缩机。 以及乙烯装置包括裂解炉、急冷、压缩、分离和公用工程等生产单元的e s d 系统 和压缩机组的控制系统。 目前，国外严格按标准设计与应用s i s 系统。例如：挪威石油的s t a t o i l 公司， 在2 0 多个近海无人钻井平台上应用s i s 系统，并实现与火灾气体保护系统( f & g ) 集成，管理多达3 0 0 0 多个故障安全i o 。s e l l 公司h e i d e 炼厂实现了标准i o 与安 全故障i o 一体化，而且安全故障i o 占标准i o 的2 5 。西班牙一家炼油厂的一套 7 北京化t 大学硕上学位论文 加氢裂化装置的安全故障i 0 则达近2 0 0 0 点。我国在2 0 世纪7 0 - _ 8 0 年代曾引进 h i m a 的第二代安全仪表系统，但未能坚持下来。现在安全仪表系统已形成应用 热潮2 1 。 1 2 2 安全完整性等级定义 安全完整性等级的定义为：在一定时间、一定条件下，安全相关系统执行其所 规定的安全功能的可能性【3 4 】。正确的s i l 目标是安全仪表系统设计的基础。 i e c 6 1 5 0 8 中使用的平均“要求时失效”概率是指在安全生命周期内的概率 平均值。i e c 6 1 5 0 8 中把要求安全功能动作的频率低于每年一次的称为低要求操 作模式；对安全功能的要求动作频率高于每年一次称为高要求( 连续) 操作模式。 低要求操作模式是化工工业中最普遍的模式，如表卜1 所示。本文所提及的安 全完整性等级均指低要求操作模式下。 表1 1 低要求操作模式的安全完整性等级 t a b l e1 - ll o wd 锄柚do p 啪t i o n a lm o d es i l 安全完整性等级平均“要求时失效”概率风险降低冈子 4 1 0 - 4 1 0 5 1 0 0 0 0 1 0 0 0 0 0 3 1 0 3 1 0 一4 1 0 0 0 1 0 0 0 0 2 1 0 2 1 0 3 1 0 0 1 0 0 0 1 1 0 1 1 0 - 2 l o 1 0 0 高要求操作模式在制造加工业和航空工业中比较普遍，如表卜2 所示。 表1 2 高要求操作模式的安全完整性等级 i a b l e1 2h i g hd 锄a n do p e r a t i o n a lm o d es i l 安全完整性等级平均“要求时失效”概率风险降低因子 4 1 0 8 1 0 9 1 0 0 0 0 0 0 0 0 1 0 0 0 0 0 0 0 0 0 3 1 0 7 1 0 8 1 0 0 0 0 0 0 0 1 0 0 0 0 0 0 0 0 2 l o - 6 1 0 一7 1 0 0 0 0 0 0 1 0 0 0 0 0 0 0 1 1 0 5 1 0 - 6 1 0 0 0 0 0 1 0 0 0 0 0 0 当一个或多个安全关联系统由电气电子可编程电子( e e p e ) 设备组成时， 可应用i e c 6 1 5 0 8 。它覆盖了由e 聊e 安全关联系统执行的安全功能的故障所引 起的可能危险，有别于啪e 设备自身发生的危险( 如触电等) 。它一般被作为基 础，适用于所有e e p e 安全关联系统。故障的后果可能涉及严重的经济问题，这 一点已被公认，因此，标准也可被用来规范任何用于设备或产品保护的e 馒p e 安全关联系统。无论是否是i e c 的成员，各国是否采用i e c 6 1 5 0 8 都是自愿的。目 第一章绪论 前已有澳大利亚，奥地利，芬兰，法国，德国，意大利，日本，挪威，瑞典，荷 兰，英国及美国等1 2 国参加使用，并且另外9 国正在考虑选定此标准。 在i e c 6 1 5 0 8 中将安全关联系统定义为一个履行为e u c ( 受控设备) 实现一个 安全状态或为e u c 维持一个安全状态所必需要求的安全功能的系统。因此，安全 功能将由彰e p e 安全关联系统来履行。 安全仪表系统设计的目标，首先是要满足装置的安全完整性等级要求，衡量 标准在于它能否达到要求平均故障概率p f d 一( p r o b a b i l i t ) r o f f a i l u r eo n d 锄a n d ) ，即要求下的设备失效的可能性。为了达到装置的安全完整性等级，系 统必须具有高的可靠度。但是，系统的安全性越高，必然使设备停车次数越多， 维修时间延长，降低了系统的可用性。而在石化等行业的现实应用当中，设备停 车可能造成重大的经济损失，这就要求系统既具有高可用度，又具有高可靠性。 安全系统的设计并不是可靠性越高越好，要寻求的是一种最优配置，即在达到安 全完整性等级的前提下，合理配置经济实用的系统。 因此，在设计安全仪表系统时，首先要进行风险分析，确定必要的风险降低 指标：然后确定s i l 等级并进行风险分配，以确定各个安全系统应承担的风险降低 指标：最后，综合考虑系统的可靠性与可用性，对系统的结构进行合理配置【5 】。 1 2 3h a z o p 与s i l 关系 对于初始工艺过程进行风险分析之后，即确定其需要降低的风险量。这部分 风险量由安全仪表系统降低，即确定了所需安全仪表系统的完整性等级，就可以 确定安全仪表系统的软硬件配置。本文主要针对风险分析的方法，以及确定所需 安全仪表系统完整性等级的流程。除此之外还有：对于已有安全仪表系统等级评 定；判断现有安全仪表系统是否达标；具体安全仪表系统的设计等等，均不属于 本文讨论范围。 要履行安全功能，首先要对危险( h a z 莉) 和风险s k ) 进行分析，确定安全 功能的实现所必需的整体性安全度等级s i l ，或者说是其所需的风险降低倍率 ( m s kr e d u c t i o nf 撇) 。危险和风险分析主要有以下几种方法：检查列表 ( c h e c l 【l i s t s ) ；故障模式和影响分析( f m e a ) ；故障树分析( f 1 、a ) ；结构性的“如 果则会发生( s w i f t ) 的分析；危险和运转性能研究( m 忆o p ) 等。 其中h a z o p 分析是一种结构性、系统化的方法，它能识别出系统中潜在的 危险以及系统潜在的运转性能问题。它用于鉴别设计初衷潜在的背离，及其可能 起因的分析和其后果的估计。在得出了危险和风险分析结果后，就随之可以得出 总体安全要求，并进行安全关联系统的安全要求的分配。事实上，h a z o p 的工 9 北京化工大学硕士学位论文 作已经覆盖了大部分潜在的危险和风险，留给s i s 处理的安全要求已经很少了。 通常只有几个百分点的风险被分配给了s i s 。图卜5 是s i s 与h a z o p 的关系图。 图l _ 5s i l 与h a z o pi 司关系 f i g 1 - sr e l a t i o nb e 咐e 饥s i la n dh a z o p 危险与可操作性分析( m 忆o p ) 和保护层分析( l o p a ) 在工艺过程原始风 险分析中使用非常广泛。基于事件频率和危险后果的定量方法利用了h a z o p 和 l o p a 的分析结果，是一种通用的方法，易于移植复用，并且充分、直观地体现出了 分配安全仪表系统s i l 设计目标的基本思想。依据这种思想并结合先进的计算机 软件开发技术，就形成了以计算机辅助计算分析来制定安全仪表系统完整性等级 的一整套方法。 1 3 论文主要研究内容及结构 本文从安全仪表系统完整性等级开始讨论，根据国际标准i e c 6 1 5 0 8 的指导 意见，经过比较确定了利用系统模型风险来制定所需安全仪表系统完整性等级。 考虑到过程工业系统的特点，选择了在现有s d g h a z o p 系统危险传播通路分 析推理的基础上，建立了利用计算机对事故概率以及风险数值进行计算的方法。 初步建立了s d g 概率计算规则库，设计了s d g 通路概率计算方法和树状s d g 分析方法。以及相应的计算机程序实现。为便于s d g 通路的存储、查询与提取， 设计了相应的数据库架构。讨论了基于s d g h a z o p 的安全仪表系统完整性等 l o 第一章绪论 级制定的流程、系统基本构成和各个功能模块的设计与实现。最后总结了整个系 统，提出进一步优化的思路。本论文的内容安排如下： 第一章绪论，介绍了过程工业安全评价的意义、主要流程、步骤和措施。现 有防护层设计方法有待改进，需要更好的风险分析方法以确定所需完全完整性等 级。 第二章阐述安全仪表系统完整性等级制定的理论和方法，通过几种由 i e c 6 1 5 0 8 推介方法的比较，确定了利用系统模型风险制定安全完整性等级。 第三章分析了过程工业系统的特点，选择在s d g h a z o p 方法的基础上进行 系统模型的风险计算。 第四章参考贝叶斯网络深入研究了概率传播的计算方法，和现有定性s d g 图转化为树状概率s d g 有向无环通路概率模型的计算规则。初步建立了规则库， 并对基本规则进行了论证。 第五章选取了精馏系统为案例，在定量风险计算和系统安全完整性等级制定 中对整个流程进行了分析，包括s d g 建模分析、原因后果概率数据查找、转化 为贝叶斯网络、计算并确定所需s i l 的完整性等级。 ： 第六章设计了安全仪表系统完整性等级制定的系统流程；设计了计算机编程 语言来实现规则库；为便于s d g 通路的存储、查询与提取，设计了相应的数据 库架构。 最后的结论和展望，对基于s d g m 忆o p 的系统风险定量分析和安全完整性 等级制定进行了总结，总结了取得的成果和经验，也在研究过程中发现了一些问 题。提出了今后努力的方向。 第二章安令完整性等级制定理论和方法研究 第二章安全完整性等级制定理论和方法研究 在过去的几十年中，石油化工工艺得到了不断的发展和完善，产品质量的稳 定性已不是主要问题，取而代之的是安全问题，因此仪表及其控制系统在各装置 中所占的地位越来越重要。一个典型的化工装置为安全所设置的层层保护包括： 工艺过程设计；基本调节，过程报警及操作员监视；紧急报警，操作员监视并且 手动干预；自动操作安全仪表系统( s i s ) 或紧急停车系统e s d ( e m e r g e n c y s h u t d o 、i ls y s t 锄) ；物理保护( 泄压阀，爆破膜等) ；工厂紧急响应；所在社区紧 急响应。 由此可见，从第二层到第四层的保护都是由仪表及自控系统来实现。而仪表 系统的最后一层保护s i s 或e s d 更是至关重要。它在事故和故障状态下( 包括 装置事故和控制系统本身发生的故障) ，使装置能够安全停车并处于安全模式下， 从而避免灾难的发生，即避免对装置内人员的伤害及对环境造成恶劣的影响。因 而，s i s 和e s d 本身必须是故障安全型( f a i lt 0s a f e ) 的，系统的硬件和软件的可 靠性都要求很高。 2 1 安全完整性等级制定常用方法 安全仪表系统目的是将工艺过程中存在的风险降低到一个允许的范围内。风 险的直接后果是财产损失、人员伤亡、环境破坏等。允许的风险水平除了要考虑 道德和法律方面的因素，还应该考虑经济等其它方面。一个好的风险管理要选择 尽可能合理的允许风险就需要考虑多方面的因素，取得最好的平衡。安全仪表系 统通过降低过程中危险事件发生的频率来降低风险。这个频率降低，也就是风险 的减少量就是s i l 。确定允许风险的选取原则就是制定这样一种衡量标准，按照 这个标准能够将系统中存在的风险转换为必需的风险降低。如果定义的允许风险 不同，直接的结果就是安全仪表系统所应该达到的安全完整性水平不同。在某种 意义上理解，允许风险对于s i l 水平的选择是起决定性作用的。制定允许风险范 围通常需要两步：( 1 ) 从人们心理和社会两方面标准，找到可以接受的风险：( 2 ) 将这种风险转换为安全完整性水平选择的方法。这里，安全完整性水平的选择方 法可以是量化的，也可以是指导性的。 北京化工大学硕士学位论文 允许风险 图2 1 必需的风险降低 f i g 2 - ln e c 懿s a d rr i s k 他d u c t i o n 在c 一6 1 5 0 8 国际标准中给出了几种常用风险分析方法，如后果分析、风险 矩阵、风险图法，同时本文给出了一种定量风险计算方法。以下是几种方法的介 绍及比较。 2 1 1 后果分析方法 后果分析法是只考虑事故发生后果的严重程度，不考虑其发生的可能性及其 发生的概率。表2 1 列出后果分析法制定安全仪表系统完整性等级的一般做法。 后果分析法的优点是较为简单，不用考虑事故发生的概率，而通常事故的概 率数值的获得是十分困难的。后果分析法常用于较少有实际经验的石油化工装 置。 表2 1 后果分析法判定安全完整性等级 t a b l e2 - l 胁u l t 锄a 1 ) ，s i sd e t 踟血es i l 安全仪表系统完整性等级事故后果 4 可能引起周围社会人员死伤 3可能引起多人死亡 2 可能引起多人重伤一人死亡 1可能引起人员轻伤 1 4 v厶4了风增 第二章安全完整性等级制定理论和方法研究 2 1 2 风险矩阵方法 风险矩阵分析法是石油化工装置决定安全仪表系统等级最为常用的方法之 一：将事故的后果与事故发生的可能性相结合，综合考虑后定出安全仪表系统完 整性等级。 风险矩阵是基于分类的方法。首先应该为风险的后果和可能性制定分类。如 后果可分为“较轻”、“严重”和“重大”，可能性分为“低”、“中等”和“高”。后果和可 能性分别构成矩阵的一个坐标( 行、列) ，同时每一个矩阵元素为一个安全完整性 水平。这个安全完整性水平代表使一个具有相应后果和可能性的事件的风险降低 到允许范围所必需的风险降低数量级。允许风险水平蕴含在矩阵结构之中。风险 矩阵的使用中应根据工厂实际情况确定后果和可能性分类，再定出矩阵元素代表 的s i l 值。 2 1 3 风险图方法 离 中 低 危险事件后果 图2 2 风险矩阵事例 l ，2 ，3 安全仪表系统完整性等级 f i g 2 2e x 锄p l eo f r i s km a 舡i x l ，2 ，3 一s i l i e c 6 1 5 0 8 标准提供了实用风险图分析方法对可能发生的事故进行综合分 析，得出安全仪表系统完整性等级，其主要考虑如下几个方面的因素：事故后果； 职工可能的暴露概率及时间；职工可能避免受伤害的可能性，事故发生的概率【6 】。 危险事件可能性 北京化工大学硕上学位论文 目前由于国际上石油化工企业普遍采用i e c 的标准，其安全仪表系统的评价 方法也主要是以此方法派生出的，其中的参数各公司定义有所不同。应当说明的 是由于各个国家的对可接受危险的标准不同，同样装置其评价出的所采用的安全 仪表系统完整性等级也不相同【7 】。 风险图分析方法也是基于定量和分类的。风险的允许水平蕴含在风险图的结 构中。风险图分析法使用4 个参数来确定安全完整性水平：后果f 、处于危险区域 的时间尸、避开危险的概率刚要求率j 5 f r 。表2 2 列出了典型的后果分类。表2 3 列出了典型的处于危险区域的时间分类。表2 4 列出了典型的避开危险的概率。 表2 5 列出了三种典型的要求率分类。 表2 2 典型后果分类 1 a b l e2 2 聊i c a lc l 髂s i 母b yr i s kr 懿u l t 严重度分类 描述 c 一 个人：较轻伤害或无伤害 社会：无伤害，危害或公众有所反感 ， 环境：允许少量排放 设备：少量设备破坏，无产品损失 c 占 个人：至少一个人员严重伤害 社会：至少一个人员伤害 环境：大量泄漏产生重大影响 设备：莺大破坏。一必- 产品损失 c c 个人：致命伤害 社会：一些人员严重伤害 环境：大量泄漏产生重大影响，造成长时间 健康危害 设各：蘑大或毁灭件破坏一必产品损失 c d 个人：死亡 1 社会：大量人员严重伤害 环境：大量泄漏产生重大影响，造成长时间 健康危害 设备：重大或毁灭性破坏，大量产品损失 表2 - 3 典型的处于危险区域的时间分类 1 a b l e2 3 聊i c a lt i l n ec l 勰s i 匆b yb e i i l gi n 妇l g e r o l l sa r e 髂 分类描述 f 处于受风险影响的区域的时间少于总时间的 1 0 f 口 经常到持续处于受意外影响的区域 1 6 第二章安伞完整性等级制定理论和方法研究 表2 - 4 典型的避开危险概率分类 t a b l e2 4 聊i c a lp r o b a b i l i t yc l a s s i 矽b ya v o i d i n gd a n g e r 分类描述 p 爿 选择p 。，如果卜面的条件为真： ( 1