sahtech 财团法人安全卫生技术中心.ppt

保護層基本概念 起始事件典型頻率 1×10-2 10-2~10-4 安全閥誤開啟 1×10-3 10-3~10-4 雷擊 1×10-4/起吊 10-3~10-4/起吊 起重機載荷掉落 1×10-2 10-2~10-4 第三方破裂(怪手、車輛等外部影響) 1×10-4 10-3~10-4 渦輪/柴油發動機超速，外套破裂 1×10-2 10-2~10-6 墊片/填料爆裂 1×10-3 10-3~10-5 常壓儲槽失效 1×10-3 10-3~10-4 管線洩漏(10％截面積)-100m 1×10-5 10-5~10-6 管線疲勞失效-100m- 全部斷裂 1×10-6 10-5~10-7 壓力容器疲勞失效 某公司進行LOPA時的選擇值(每年) 來自文獻的頻率範圍 (每年) 起始事件 起始事件典型頻率(續) 1×10-2/次 10-1~10-3/次 操作人員失效(執行一般程序，假設得到較好的訓練、不緊張、不疲勞) 1×10-3/次 10-3~10-4/次 LOTO(鎖定、標定)程序失效(多個元件的總失效) 1×10-2 10-2~10-3 大的外部火災(多因素) 1×10-1 10-1~10-2 小的外部火災(多因素) 1×10-1 1~10-1 調節器失效 1×10-1 1~10-2 BPCS儀表控制迴路失效 注：IEC61511的限制大於1×10-5/h或8.76×10-2/a(IEC, 2001) 1×10-1 1~10-2 卸載/裝載軟管失效 1×10-1 10-1~10-2 泵密封失效 1×10-1 1~10-2 冷卻水失誤 獨立保護層定義和功能 獨立保護層是能夠阻止情境朝向不良後果繼續發展的設備、系統或行動，並且獨立於啟始事件或情境中其他保護層的行動。獨立保護層的有效性和獨立性必須具有可審查性。如下圖的事件鏈中，A點安裝的獨立保護層IPL必要時應採取行動，如果A點的獨立保護層如期作動，則可以阻止不良後果發生。如果情境中所有的獨立保護層都無法如期作動，那麼不良後果將隨著啟始事件發生。 起始事件 IPL如期作動 A 安全後果 後果發生(儘管存在IPL) 獨立保護層 IPL未如期作動 獨立保護層定義和功能(續) 區分獨立保護層和防護措施非常重要，防護措施可以是中斷起始事件發生後的事件鏈的任何設備、系統或行動。但是，由於一些防護措施的有效性、獨立性或其他因素缺乏數據，具有不確定性，因此這些防護措施的有效性難以確定。 獨立保護層的有效性根據要求失效機率(PFD)進行確認，PFD定義為系統要求時IPL失效不能發揮具體功能的機率。PFD為0和1之間的無因次數字，PFD值越小，該保護層對某一啟始事件後果頻率降低的越多，獨立保護層的“降低頻率”有時被稱為“風險降低因子。 常見保護層的特性 程序設計 許多公司假設若製程符合本質更安全設計，一些情境不可能發生。例如設備可能被設計用於承受特定情境的最大壓力、限制批次反應器的容量、存量更低或化學物質替代等，本質更安全設計可以消除一些情境。有些公司認為本質更安全製程設計功能有一個非零的PFD，也就是說，在實際製程中，已經證實它們具有一定的失效模式。這些公司將本質更安全的製程設計功能作為一種獨立保護層IPL，這類獨立保護層的設計是為了防止後果的發生。 常見保護層的特性(續1) 基本製程控制系統 基本製程控制系統(Basic Process Control System, BPCS)包括正常的手動控制，是製程正常運用期間的第一層保護，BPCS的設計是為了使製程處在安全操作範圍。如果BPCS控制環路的正常操作符合適當的標準，則可作為獨立保護層。BPCS失效可以被視為起始事件，當考慮使用BPCS作為獨立保護層時，分析人員必須評估BPCS使用和管理系統(Access Control and Security System)的有效性，因為人員疏失會破壞BPCS的功能。 常見保護層的特性(續2) 關鍵警報和人員干預 這類系統是製程正常運作期間的第二層保護，並且這些系統應該被BPCS啟動，當報警或觀察引發的操作人員行為符合各種標準，確保行動的有效性時(例如獨立性) ，則操作人員行動可作為獨立保護層。公司的程序和訓練可以改善操作人員的執行能力，但警報因應步驟本身並不是獨立保護層。 常見保護層的特性(續3) 安全儀控功能(Safety Instrumented Function，SIF) 安全儀控功能是由量測器、邏輯運算器和最終控制元件組成，具有一定的安全完整性要求，安全儀控功能偵測超過安全恕限(異常)條件，控制程序進入功能性安全狀態。安全儀控功能SIF在功能上獨立於BPCS，安全儀控功能通常為一種獨立保護層。安全儀控功能系統的設計、系統備份程度、測試頻率和類型將決定LOPA中