化工和核电行业的安全评价方法有何不同

2023/2/20 22:53:57 人评论 次浏览 分类:过程控制  文章地址:http://yunrun.com.cn/tech/4665.html

化工与核电行业都归属于流程行业,其特点是连续生产,不轻易停车。生产过程控制一般是要求对过程进行中的有关参数,包括:温度、压力、流量、液位、质量、物性成分等,要求其保持为一个定值或按一定规律变化,在保证其质量和生产安全的情况下使生产自动进行下去。化工行业的生产过程是多种多样的,它的特点是对原料进行大规模的加工处理,使其不仅在状态与物理性质上发生变化,而且在化学性质上也发生改变,成为合乎要求的产品。随着化工装置的规模越来越大,生产过程的连续化、大型化以及工艺过程的日益复杂,高温、高压、易燃、易爆、有毒有害和对环境保护要求高等原因,安全问题日益突出,包括:火灾、爆炸、有毒介质泄漏等重大恶性事故不断发生,为了保证装置的安全稳定运行,减少事故的发生给企业带来的损失,因此化工装置在设计时都使用了安全仪表系统(SIS)并采取了一系列相应安全评价技术来保护化工装置生产过程。

核电站是以核反应堆来代替火电站的锅炉,以核燃料在核反应堆中发生特殊形式的“燃烧”产生热量,来加热水使之变成蒸汽。蒸汽通过管路进入汽轮机,推动汽轮发电机发电。一般说来,核电站的汽轮发电机及电器设备与普通火电站大同小异,主要区别在于核反应堆。它的最主要危害就是核辐射,如果一旦核泄漏将会造成社会层面的灾难,如福岛核电站事故。


在不同领域的功能安全标准制定后,为了规范工业领域内功能安全管理和技术,保证人身财产的安全,IEC制定了IEC61508系列标准。该系列标准是一个涵盖了所有工业领域功能安全的标准,一共包含了三项内容:安全生命周期的方法论,安全完整性等级(SIL)分级和功能安全管理。该系列标准成为了各领域进行安全相关系统设计、安装、维护、改造等活动的安全规范。


该系列标准颁布后,欧盟采用强制指令,美国职业安全与卫生管理局(OSHA 1910.134),美国环保署(EPA40CFRPart68),英国(HSE)都将其纳入安全法规范畴。以IEC 61508系列标准为基础,陆续出台了不同领域及子系统/产品部件的功能安全标准,已经形成的IEC61508规范体系结构如图1所示。


IEC 61508规范体系结构示意
图1 IEC 61508规范体系结构示意


图1中显示了IEC 61508框架下不同子领域的功能安全标准规范,且要求其所使用的设备都必须符合IEC 61508。使用者的要求促进了各设备制造厂家陆续推出高安全等级的产品,正在形成一个统一的安全产品供应链。


本文主要对比和总结IEC 61508/61511在化工行业,IEC 61513/61226在核电领域对于安全功能分级以及安全评价手段。


1、化工行业安全完整性分级

化工过程包括许多单元和处理方法,随着化工装置的规模越来越大,生产过程的连续化、大型化以及工艺过程的日益复杂,化工装置的危险性也日益突出,因此化工装置都采用了SIS并引进了一系列相应安全评价技术对其进行SIL等级分级进而指导其工程设计,以确保化工装置的安全。

在进行SIS设计前,需要对过程对象进行风险分析和辨识以及SIL等级的分级,该风险分析的实质是将不可接受的风险降低到可以接受的水平,而不是完全消除风险。当前提出的风险分析方法有很多,而应用最广泛的还是危险与可操作性分析(HAZOP)方法,该方法是在选定分析节点和偏差后,综合分析偏差的原因,后果,和已有安全保护等项目。识别出所有可能导致隐患和操作性问题的原因,提出改进措施和建议,以便彻底解决存在的安全问题。HAZOP分析是风险辨识的技术,为SIL等级分级提供依据。


1.1 化工行业的安全评价分类

SIL等级是安全仪表功能(SIF)能够提供的风险降低量的度量,通过对要求时平均失效概率(PFD)的计算而得到。PFD的定义为:受控设备控制系统发出要求时,执行特定安全功能的电子电气安全相关系统的安全不可用性。

功能安全标准要求为每个SIF选择一个目标SIL等级,且通过定量的分析验证该目标达到了SIL等级的要求。必须的风险降低量,即SIL等级的目标,是一个功能未缓解的过程风险,或者是没有考虑SIF造成的过程风险与可容忍的风险相对应。


IEC 61508中规定了四种SIL等级,SIL1等级最低,SIL4等级最高。对于化工装置来说是工作在“低要求操作模式”,所谓“低要求操作模式”是要求的动作频率小于或者等于1年1次或者等于2倍的检验测试频率的SIF。


在新版的IEC 61511中又定义了SILa,SILb等级,SILa的定义为“无特殊安全要求”,SILb的定义为“一个简单的SIF但不充分”,在实际项目中SILa,SILb的等级既可以放在DCS中执行也可以放在SIS中执行。

SIL1的定义为PFD在10-2~10-1的回路,或装置可能很少发生事故,如发生事故,对装置和产品有轻微的影响,不会立即造成环境污染和人员伤亡,经济损失不大的安全功能回路。


SIL2的定义为PFD在10-3~10-2的回路,或装置可能偶尔发生事故,如发生事故,对装置和产品有较大的影响,并有可能造成环境污染和人员伤亡,经济损失较大的安全功能回路。


SIL3的定义为PFD在10-4~10-3的回路,或装置可能经常发生事故,如发生事故,对装置和产品将造成严重的影响,并造成严重的环境污染和人员伤亡,经济损失严重的安全功能回路。


化工行业对于SIL等级划分为SIL1~SIL3等级的SIF放在独立的SIS中执行,其实质主要是通过提高仪控回路可靠性的方式防止其要求动作时失效,从而提高装置的安全性。


1.2 安全评价方法

SIL等级的评估,主要分为三步,即:SIS的SIF功能识别,定义目标SIL等级分配,SIL等级验证的计算。

首先对装置进行HAZOP分析,进而辨识装置的SIF,确定SIF对应的SIL等级,然后按照SIL等级进行工程设计,最后在设计完成后,对装置进行验证确保其达到SIL等级要求。


HAZOP分析是由T A Kletz提出的,该方法是危害辨识的重要应用技术之一,也是国际上过程危险性分析(PHA)应用的最广泛技术。HAZOP分析的本质就是通过分析工艺图纸和操作规程的各个节点,识别出具有潜在危险的偏差,分析其偏差原因,后果及措施等,最终形成HAZOP PHA分析报告。在得到PHA报告后能为确定SIF提供重要的信息。运用HAZOP分析辨识出SIS的SIF后,就要确定需要通过SIS降低的风险量,该风险量也就是需要SIS承担的降低风险即SIL等级。


1.3 过程保护层分析

过程保护层分析(LOPA)是一种半定量的评估方法,也是目前最常用的方法。LOPA分析从HAZOP分析导出的数据着手,通过文档和引发原因或预防或减轻危险保护层计算每个识别的危险。

LOPA分析的主要目的是分析特定的事故情形,判断所采用的保护层是否足够。根据过程的复杂程度和潜在危险性大小来确定需要一个或者是多个保护层次来保护过程。考虑到实际中任何一个保护层都有失效的可能性,因此要想降低风险就必须添加足够多的保护层,而添加保护层的多少也要考虑经济的承受能力。


由于各个保护层的功能不同,作用也有强弱之分,每个独立保护层(IPL)的PFD分别在SIL1~SIL3之间变化。石油化工厂或装置的典型多保护层结构如图2所示。

石油化工厂或装置的典型多保护层结构示意
图2 石油化工厂或装置的典型多保护层结构示意


对一个确定系统的IPL的作用分类需遵循三个准则:

1)只有当IPL的设计功效发生作用时,其在防止后果发生时才是有效的。
2)IPL独立地对初始事件及其他所有的用于相同情形的IPL的组件发挥作用。
3)IPL是可以审查的,及IPL的要求时故障概率是能够确认的,包括检查,测试和文档资料。

2、核电厂安全功能分类

核电厂最主要的危害就是电离核辐射的潜在危害,因此对核电厂的设计有着高可靠性的要求。但是如果所有安全功能在任何情况下都采用最高的设计标准和要求,显然是不经济不合理的,所以就需要对核电厂的设计进行安全功能分级,以确定安全功能的重要程度和安全重要物项的重要性,进一步确定具体的物项建造要求,以确保安全功能在合理的要求程度下可靠执行。安全功能分级的作用就是识别安全功能的重要性,对执行该安全功能的物项提出具体相应的设计要求。

核电厂安全分级所遵循的重要依据是IEC 61513《核电厂安全重要仪表和控制系统总要求》和IEC 61226《核电厂安全重要仪表和控制功能分类》,2项标准为核电厂安全分类的重要规范,其中IEC 61513为核电厂安全重要仪控系统分类的大纲和总要求,IEC 61226为具体分类方法和分类定义。


其中IEC 61226中定义了核电厂“纵深防御”的基本原则,要求其设置多层次的仪表和控制功能,用于核电厂的安全运行,防止出现危险的工况或缓解不安全的工况后果。由此可以看出其主导思想与化工行业的LOPA分析具有很强的相似性。


国际原子能机构IAEA《核电厂安全设计标准》要求所有仪表和控制系统,设备,包括计算机软件应依据其实施功能的安全重要性进行划分类别。且对不同类别的功能,系统和设备确立它们的技术要求和质量要求,使得设计,建造和运行的质量和可靠性与它们的类别相符合。从此可以看出其实质是对安全重要级别越高的仪表控制系统设备有着越高的可靠性要求,这与化工行业的SIL等级有很强的相似性。


2.1 核电设计安全功能分类

IEC 61226将核电厂“安全重要仪表和控制功能”分为A,B,C三类,其中A类和B类属于“安全系统”范围内的功能,B类和C类属于“安全有关系统”的范围内的功能。其中B类属于特殊的一类功能,它既可以划分为“安全系统”,又可以划分为“安全有关系统”的功能。

1)A类功能是指对于达到或维持核电厂安全以防止设计基准事件导致不可接受的后果其主要作用的功能。由于A类功能要求高可靠性,应限制其功能和复杂程度以确保其高度可靠性。该类功能的仪控系统应该遵循单一故障准则,系统应冗余配置。单一故障不应导致预定安全功能失效,即使在预防性维修,定期试验,检查或更换期间。冗余序列之间的隔离应使得任一内部危害事件不会使系统的冗余功能丧失或部分丧失。


2)B类功能是指对于达到或维持核电厂安全起补充A类功能的作用,尤其是在达到手动状态后运行所需的功能,以防止设计基准事故导致不可接受后果。B类功能的实施可以避免启动A类功能。B类功能在减轻设计基准事件的后果上可以补充或改善A类功能的执行,这样电厂或设备损坏或者放射性释放可以避免或者降至最低。该类功能应通过隔离和冗余的方法实现,否则应提供相应的证明,如证明系统不通过冗余和隔离可达到可靠性目标的能力,功能失效后果的可接受性,或者功能失效时提供替代相应的可用事件。


3)C类功能是指对于达到或者维持核电厂安全起辅助或者间接作用的功能,包括那些有一定安全重要性但不属于A类和B类的功能。C类功能可以是应对整个设计基准事件的一部分但不直接参与缓解事故后果,或者是超设计基准事故所必需的功能。该类功能的系统一般不需要冗余设置或者隔离,但可能需要承受内部和外部的危害。


2.2 基于确定方法分类

核电厂安全重要功能分类的工程设计规则必须是确定的,且必须符合相关国家或国际规程和标准以及成熟的工程实践,确保在所有运行状态中和所有事故工况下实现基本安全功能。

必须在工程判断以及将确定性评定和概率评定相结合的基础上确定假想始发事件,基于全部假设事件推导应该在设计中考虑的一系列事故,以便确定核电厂应承受的边界条件,而不超出可接受的辐射防护限制。提供对确定性安全分析和概率安全分析利用程度的理由,用以表明已考虑到了所有可预见的事件。这一系列可预见的事件就是核电厂的“设计基准事件”。


在对核电厂的假想始发事件分析的基础上,分析确定所需的预防措施和保护措施,从而确保实施所要求的安全功能。


安全功能分类过程首先要确定核电厂类型、与仪表和控制相关的潜在危险事件以及机械和电气系统和设备冗余方面的主要设计准则。其次是确定每个潜在危险事件的预防和缓解功能及其支持功能。


安全功能重要性的分类方法应基于确定论的安全分析,并结合概率论分析和工程判断,分类宜考虑下列因素:

1)安全功能分类物项要执行实施的安全功能。
2)在预防或缓解假设始发事件中起的作用;该安全功能未执行的后果。
3)在启动、正常运行、换料等运行模式期间起的作用。
4)在诸如地震、洪水、飓风、闪电等自然事件,和内部灾害,例如,火灾、 内部水淹、飞射物、邻接机组的放射性释放或者其他电厂或工厂的化学物质释放,这样的潜在危险事件之后,所起的作用。
5)该功能安全分类失效的后果。
6)误动作的影响。
7)需要该功能安全分类实施安全重要功能的概率。
8)在设计基准事件期间或之后要求其运行的时间或时间段。
9)维护、修理和试验方案。

2.3 核电厂纵深防御体系

总的核安全目标是通过建立核电厂的放射性危害的有效防御来保护个人,社会和环境。为了实现该目标,《核电厂基本安全原则》给出了导则:为了防止核电厂发生事故情况时,减轻其事故后果,其主要手段是应用“纵深防御”的概念。“纵深防御”主要通过将一系列连续和独立的IPL结合起来加以实施,且在人员或环境可能受到有害影响之前,这些IPL如果其中一层失效,后续保护层或屏蔽还应继续发挥作用,不同防御层的独立效能是“纵深防御”的一个必要组成部分。是为了确保所有安全相关活动都遵守独立存在的各种不同层级的规定,使得在发生故障时能够利用适当的措施探查和补救或纠正故障。该概念将应用在核电厂的设计和运行的整个过程中。该设计还须充分考虑其他核电厂的设计,建造和运行中取得的相关可靠经验以及相关研究的成果。

“纵深防御”体系下的IPL分类在实际工程中是基于确定性的方法建立的,在工程实践经验的基础上判断其典型系统的可用率(确定值),确定出安全重要性等级,然后确定典型的排列次序,依次对各个IPL进行安全重要分级。


纵深防御体系有五层,主要功能如下:

1)第一层防御是防止电厂偏离正常运行和安全重要物项出现故障。
2)第二层防御是探知和控制偏离正常运行状态的情况,以防止电厂的预计运行事件升级到事故状况。
3)第三层是上一层次防御或许未能控制某些预计运行时间或假想始发事件的逐步升级,并可能由此酿成事故,尽管这是非常不可能的。但在核电厂设计中,这是事故时假定会发生的。
4)第四层防御的目的是减轻第三层“纵深防御”失灵所引起的事故后果。对该层级的防御而言,最重要的是确保发挥封隔功能,从而确保放射性释放保持在可合理达到的尽量低的水平。
5)第五层也是最后一层防御是减轻事故工况下可能产生的放射性释放后果。这就需要提供一个装配齐全的应急控制中心以及适用于场内和场外应急响应的应急计划和应急程序。

3、化工行业安全评价分级与核电行业安全重要分类对比

3.1 相似性
IEC 61226中定义:“实施不同程度的安全重要功能的仪表和控制系统,其每项功能的安全重要性是依据其达到并保持核电厂的安全状态所起的作用,当要求实施功能时其故障的潜在后果和产生这些后果的概率的综合分析来确定。”该标准将核电厂安全重要仪表和控制功能分为A类,B类,C类三类,属于安全系统范围内的功能属于A类和B类,安全有关系统范围内的功能属于B类或C类。从该段的定义描述可以看出这与化工行业的SIL分级是非常类似的。

可以看到,无论是核电行业还是化工行业都是将执行安全功能的仪表功能进行分类,对执行不同的安全功能等级的仪控设备提出有区别的可靠性要求。尽管在表述上有所差别,但其概念实质是大致相似的,即都是通过对于发生灾难事件的后果进行危害性评估,进而对该功能回路进行危险性分析,对于执行安全等级越高的仪控系统,要求其仪表控制系统的可靠性就越高。


3.2 区别性

化工行业的安全评价主要遵循IEC 61508,而核电领域的安全功能分级遵循IEC 61513和IEC 61226,首先考虑两类标准在范围方面的某些重要差别。

IEC 61508讨论的系统可以是采用电气,电子或可编程电子控制器等任何一项技术的系统,而IEC 61513标准,尽管包括的体系要求原则上对3项技术都适用,但主要关注的是基于计算机的系统。IEC 61508指的是一般意义上的“安全有关系统”,而IEC 61513指的是“安全重要系统”,按国际原子能机构IAEA的解释,“安全重要”即对核安全重要。


除上述内容外,化工行业和核电行业的区别还包括以下方面:

1)总的安全生命周期的范围。IEC 61508中总的安全生命周期包含被控设备的安全设计所涉及的全部系统,包括仪控系统电子/电气/逻辑控制器,以及其他技术的系统和降低外部风险的设施。该标准不专门讨论电厂安全分析,也不规定对从安全分析产生的性能和可靠性要求进行充分性评定的方法。核电厂安全设计的实践是依据专门的国际原子能机构的原则,IEC准则和国家法规来执行,这超出了IEC 61508的规范。

而IEC61513规定了核电厂的“设计基准”和安全分析应给仪控系统开发者提供哪些必要的输入信息,用于指导后续的仪控系统设计。“核电厂设计基准”规定了潜在危险事件及其发展过程,“纵深防御”的概念,以及用于提供防御的功能类别。


2)总的安全确认和评定。IEC 61513要求,对各个分布的安全重要功能的总的验证和确认,并记录在总的集成和调试报告中。在核电领域,该报告关于安全充分性的评定在许可证审批程序的框架内加以控制。而化工领域无此要求。


3)SIL等级和安全重要功能分级。IEC 61508按系统需要提供的风险降低水平,来划分控制系统所要求的SIL等级。这是通过下列工作实现的:确定危害有关风险的严重性,评定危害的频率,以及为将危害造成的风险降低到容许水平需要系统提供的保护能力。


核电领域习惯上采用确定论的方法,来确定系统的安全重要性及其在可能的功能丧失情况下对风险后果严重性的影响。


国际原子能机构IAEA和IEC 61226对防止或缓解放射性释放后果的任何系统,一般认为有采取最高可行的完整性要求必要。对防止放射性释放的支持系统,但不直接防止或缓解放射性释放,可采用较低的SIL等级。因此,在核电领域普遍使用的分级与IEC 61508中提出的对可靠性和风险降低的SIL等级不存在等效关系。在核电领域一般认为这种确定论方法是足够的,在实际上为所有保护功能设定了很高的目标。


然而,核电领域的确也认同数值计算方法,而概率安全分析(PSA)的方法可为计算机系统的可靠性提供清晰的安全目标。现有核电厂的技术安全目标是一个“概率指标”,即出现严重堆芯损坏的概率低于10-4(数值范围等于SIL4等级的水平)事件每电厂运行年。未来电厂所有安全原则的实现宜达到概率不大于10-5事件每电厂运行年的改进目标。严重事故管理和缓解措施宜降低要求场外应急的大范围厂外释放的概率至少10倍(IAEA 75-INSAG-3)。


4、结束语

化工行业与核电行业都归属于流程行业且都具有很高的危险性,化工危害主要体现在有毒有害介质泄漏,易燃气体产生爆炸等,核电的危害主要是核辐射对人员环境社会的灾难性后果。

化工行业采用LOPA分析来指导工程设计对工厂进行全方位保护。其主要目的是确定分析特定的事故情形,判断所采用的保护层是否足够。根据过程的复杂程度和潜在危险性大小来确定需要一个或者是多个保护层次来对过程进行保护。


核电厂“纵深防御”的基本原则,要求其设置多层次的仪表和控制功能,用于核电厂的安全运行,防止出现危险的工况或缓解不安全的工况后果。且核电与化工都遵循着“故障安全”设计准则。都采用多层次防御IPL保护体系。


IEC 61508给安全功能指定的SIL等级与核工业领域使用的和安全功能分类是非常相似的。然而,在指定的程序方面又存在显著差别:


1)IEC 61508对SIL等级的指定是基于危害发生概率和后果风险分析。


2)IEC 61226对核安全功能的类别指定是基于确定论准则以及功能失效后果的判断。国际原子能机构IAEA 75-INSAG-3规定了一系列“安全原则”,它们共同构成保证核电厂安全的“综合的总体安全方法”,这些原则(HAF 102-2004)将在设计中用于考虑所有相关的假设始发事件和连续实体屏蔽,以使工作人员,公众和环境受到的辐射照射保持在规定的限值内。按该方法,核电厂设计基准为保持电厂在正常运行状态,保证正确地响应所有潜在危险事件,以及便于在事故后长期管理电厂所需的功能和系统规格合适的质量水平。


作者:张亦林(中国核电工程有限公司)

相关阅读
核电厂DCS系统I/O分配原则及I/O分配方法

共有访客发表了评论 网友评论

  客户姓名:
邮箱或QQ:
验证码: 看不清楚?