《保护层分析课件》由会员分享,可在线阅读,更多相关《保护层分析课件(62页珍藏版)》请在金锄头文库上搜索。
1、 SAHTECH 財團法人財團法人安全衛生技術中心安全衛生技術中心事件樹和保護層分析事件樹和保護層分析于樹偉于樹偉財團法人安全衛生技術中心財團法人安全衛生技術中心1 SAHTECH 財團法人財團法人安全衛生技術中心安全衛生技術中心2預防事故發生的保護層預防事故發生的保護層1. 製程設計製程設計2. 基本程序控制、警報、基本程序控制、警報、 操作人員監控操作人員監控3. 關鍵警報、操作人員監控關鍵警報、操作人員監控 、手動方式介入、手動方式介入/操作操作4.安全儀控系統安全儀控系統5. 物理性防護物理性防護(排放系統排放系統)6. 物理性防護物理性防護( (防溢堤防溢堤) ) 7. 廠內緊急應變
2、廠內緊急應變8.社區緊急應變社區緊急應變2 SAHTECH 財團法人財團法人安全衛生技術中心安全衛生技術中心保護層基本概念保護層基本概念 緊急應變防護層緊急應變防護層 被動式防護層被動式防護層 主動式防護層主動式防護層設備安全防護層設備安全防護層緊急停俥緊急停俥異常狀態程序控制層異常狀態程序控制層製程停俥製程停俥正常狀態程序控制層正常狀態程序控制層製程變數製程變數停俥條件停俥條件警報條件警報條件廠區和社區廠區和社區緊急應變緊急應變 防溢堤防溢堤排放閥、排放閥、破裂盤破裂盤 安全儀控安全儀控系統系統人員介入人員介入基本程序基本程序控制系統控制系統消减系統消减系統預防系統預防系統正常操作範圍正常操
3、作範圍硬體承硬體承受上限受上限操作承操作承受上限受上限3 SAHTECH 財團法人財團法人安全衛生技術中心安全衛生技術中心事件樹分析事件樹分析 事件樹分析事件樹分析(Event Tree Analysis, ETA)是根據是根據二元邏輯的方式,將事件的發生分為可能二元邏輯的方式,將事件的發生分為可能或不可能二類,或者是將設備運作的或不可能二類,或者是將設備運作的功能以失效或成功表示,藉由圖形功能以失效或成功表示,藉由圖形的方式描述由起始事件到可能的後果,起始的方式描述由起始事件到可能的後果,起始事件為特定設備失效或人為失誤。事件為特定設備失效或人為失誤。ETA以起以起始事件做為開始,例如設備零
4、件的失效、溫始事件做為開始,例如設備零件的失效、溫度或壓力的增加或是危害物質洩漏,經由一度或壓力的增加或是危害物質洩漏,經由一系列可能的途徑演變至可能的後果,對每條系列可能的途徑演變至可能的後果,對每條途徑分配可能發生的機率,則可計算單一危途徑分配可能發生的機率,則可計算單一危害可能導致不同事件結果的發生頻率。害可能導致不同事件結果的發生頻率。 4 SAHTECH 財團法人財團法人安全衛生技術中心安全衛生技術中心事件樹分析事件樹分析 成功成功成功成功成功成功失敗失敗失敗失敗失敗失敗安全結果安全結果(情境情境1)不期望但可容忍的不期望但可容忍的結果結果(情境情境2)不期望但可容忍的不期望但可容忍
5、的結果結果(情境情境3)後果超出標準後果超出標準(情境情境4)起始事起始事件件保護層保護層1保護層保護層2保護層保護層3 結果結果5 SAHTECH 財團法人財團法人安全衛生技術中心安全衛生技術中心ETA執行步驟執行步驟l辨起始事件;辨起始事件; l辨防護層或危害影響因子;辨防護層或危害影響因子; l建構事件樹;建構事件樹; l將結果分類;將結果分類; l估計事件樹中每一分枝的機率;估計事件樹中每一分枝的機率;l量化結果;量化結果; l審查結果。審查結果。 6 SAHTECH 財團法人財團法人安全衛生技術中心安全衛生技術中心事件樹的優點事件樹的優點 l圖解的方式呈現啟始事件到事件結果間的圖解的
6、方式呈現啟始事件到事件結果間的事事 件鏈,容易瞭解事件順序之間的邏輯關係;件鏈,容易瞭解事件順序之間的邏輯關係;l分析過程直接顯示防護層的成功或失效對分析過程直接顯示防護層的成功或失效對於於 事件結果情境發展的影響;事件結果情境發展的影響; l對於評估新的或已改善的製程和安全功能,對於評估新的或已改善的製程和安全功能, 提供良好的評估基礎;提供良好的評估基礎; l可適用於分析複雜的製程,或具有重大事可適用於分析複雜的製程,或具有重大事故故 危害的評估;危害的評估; l為一兼具定性與定量的評估技術;為一兼具定性與定量的評估技術; l可考量硬體、軟體失效及人為失誤相關問可考量硬體、軟體失效及人為失
7、誤相關問題。題。 7 SAHTECH 財團法人財團法人安全衛生技術中心安全衛生技術中心事件樹的缺點事件樹的缺點 l圖形的陳述方式沒有相關的標準或規圖形的陳述方式沒有相關的標準或規範;範; l每一次的分析只能針對一件起始事件;每一次的分析只能針對一件起始事件; l容易忽略共同原因失效的影響,造成容易忽略共同原因失效的影響,造成過度樂觀的估計風險;過度樂觀的估計風險; l防護層或影響因子排列數目會影響樹防護層或影響因子排列數目會影響樹的分枝發展,容易過大而複雜化。的分枝發展,容易過大而複雜化。8 SAHTECH 財團法人財團法人安全衛生技術中心安全衛生技術中心保護層分析概論保護層分析概論 LOPA
8、 (Layer of Protection Analysis LOPA)的主要目的是確定是否有足夠的保護層以防的主要目的是確定是否有足夠的保護層以防止意外事故發生或判定風險是否能夠容忍。止意外事故發生或判定風險是否能夠容忍。事故情境可能有各種不同類型的保護層,一事故情境可能有各種不同類型的保護層,一個情境可能需要一種或多重保護層,這取決個情境可能需要一種或多重保護層,這取決於製程的複雜程度和潛在後果的嚴重性。值於製程的複雜程度和潛在後果的嚴重性。值得注意的是,對於特定的情境,只需一種保得注意的是,對於特定的情境,只需一種保護層成功運作就可避免事故後果的發生。然護層成功運作就可避免事故後果的發生
9、。然而,因為沒有任何一種保護層是完全有效的,而,因為沒有任何一種保護層是完全有效的,所以必須提供充份的保護層以降低事故風險,所以必須提供充份的保護層以降低事故風險,並滿足風險容忍標準。並滿足風險容忍標準。9 SAHTECH 財團法人財團法人安全衛生技術中心安全衛生技術中心保護層分析概論保護層分析概論 (續續)l對於特定的情境,對於特定的情境,LOPA提供了一致的基礎,提供了一致的基礎,可用於判斷是否有足夠的獨立保護層控制事可用於判斷是否有足夠的獨立保護層控制事故風險。如果情境的風險為不可接受,則需故風險。如果情境的風險為不可接受,則需要增加額外的獨立保護層。要增加額外的獨立保護層。l一旦選定進
10、行分析的原因後果組合,分析一旦選定進行分析的原因後果組合,分析人員就能夠使用人員就能夠使用LOPA確定哪些製程和管理確定哪些製程和管理控制措施控制措施(通常稱為防護措施通常稱為防護措施)滿足獨立保護層滿足獨立保護層的定義,並評估情境的風險狀況。然後可進的定義,並評估情境的風險狀況。然後可進一步根據評估的結果進行風險分析,協助分一步根據評估的結果進行風險分析,協助分析人員決定達到可容忍等級需要多少額外的析人員決定達到可容忍等級需要多少額外的風險消減措施。針對某一情境執行風險消減措施。針對某一情境執行LOPA分分析時,也可能發現其他情境或問題。析時,也可能發現其他情境或問題。 10 SAHTECH
11、 財團法人財團法人安全衛生技術中心安全衛生技術中心獨立保護層和後果發生頻率關聯性獨立保護層和後果發生頻率關聯性 IPL1 IPL2 IPL3箭頭的粗細代表了後果發生的頻率箭頭的粗細代表了後果發生的頻率 11 SAHTECH 財團法人財團法人安全衛生技術中心安全衛生技術中心保護層分析步驟保護層分析步驟 評估進一步評估進一步的風險消減的風險消減建議建議估計後果估計後果和嚴重性和嚴重性進行風險進行風險決策決策確定情境確定情境頻率頻率發展情境發展情境確定起始確定起始事件事件辨別相關辨別相關的獨立保的獨立保護層護層步驟步驟 1 步驟步驟 2步驟步驟 4步驟步驟 5步驟步驟 6步驟步驟 312 SAHTE
12、CH 財團法人財團法人安全衛生技術中心安全衛生技術中心保護層分析步驟保護層分析步驟1 篩選情境:因為篩選情境:因為LOPA通常評估危害分析已辨通常評估危害分析已辨識的情境,因此識的情境,因此LOPA分析人員的第一個步驟分析人員的第一個步驟是篩選可能的情境,最常見的篩選方法是基是篩選可能的情境,最常見的篩選方法是基於後果的嚴重度。後果通常在定性危害分析於後果的嚴重度。後果通常在定性危害分析(如如HazOp研究研究)過程中已予以辨識,接下來分過程中已予以辨識,接下來分析人員將對後果進行分析析人員將對後果進行分析(包括後果影響包括後果影響),有,有些公司的後果分析只評估洩漏物質和能量的些公司的後果分
13、析只評估洩漏物質和能量的大小,這種評估結果潛在地表示了事故情境,大小,這種評估結果潛在地表示了事故情境,但是沒有明確表明對人員、環境和生產製程但是沒有明確表明對人員、環境和生產製程產生的危害。還有一些公司會對洩漏過程進產生的危害。還有一些公司會對洩漏過程進行模擬,以得到具體情境下的傷害可能性,行模擬,以得到具體情境下的傷害可能性,進而更加精確地評估對人員、環境和生產製進而更加精確地評估對人員、環境和生產製程造成的風險,例如確定某洩漏情境下操作程造成的風險,例如確定某洩漏情境下操作人員受傷的機率。人員受傷的機率。13 SAHTECH 財團法人財團法人安全衛生技術中心安全衛生技術中心綜合損失類型綜
14、合損失類型 低度後果低度後果人員人員輕微傷害或沒有受傷;不會損失工作時間輕微傷害或沒有受傷;不會損失工作時間社區社區輕微傷害或沒有受傷;不會引起公眾厭惡輕微傷害或沒有受傷;不會引起公眾厭惡環境環境釋放未導致公司通報主管機關或違反規定釋放未導致公司通報主管機關或違反規定設施設施輕微的設備破壞,損失小於輕微的設備破壞,損失小於$100,000,沒有生,沒有生產損失損失中度後果中度後果人員人員個人受傷,不嚴重;可能會損失工作時間個人受傷,不嚴重;可能會損失工作時間社區社區氣味或噪音引起公眾抱怨氣味或噪音引起公眾抱怨環境環境釋放導致公司須通報主管機關或違反規定釋放導致公司須通報主管機關或違反規定設施設
15、施一些設備破壞,損失大於一些設備破壞,損失大於$100,000,輕微生,輕微生產損失損失高度後果高度後果人員人員一位或多位人員嚴重傷害一位或多位人員嚴重傷害社區社區一位或多位人員嚴重傷害一位或多位人員嚴重傷害環境環境大量的釋放,對廠外造成嚴重的影響大量的釋放,對廠外造成嚴重的影響設施設施對製程區造成嚴重破壞,損失大於對製程區造成嚴重破壞,損失大於$1,000,000,高度生,高度生產損失損失非常嚴重後果非常嚴重後果人員人員致死或永久性傷殘致死或永久性傷殘社區社區一位或多位人員嚴重傷害一位或多位人員嚴重傷害環境環境大量的釋放,對廠外造成嚴重的影響,並且造成急性或慢性健康影響大量的釋放,對廠外造成
16、嚴重的影響,並且造成急性或慢性健康影響設施設施對製程區造成嚴重破壞,損失大於對製程區造成嚴重破壞,損失大於$10,000,000,嚴重生,嚴重生產損失損失14 SAHTECH 財團法人財團法人安全衛生技術中心安全衛生技術中心保護層分析步驟保護層分析步驟2 選擇某一事故情境:選擇某一事故情境:LOPA一次只能選一次只能選擇一種情境,這個情境可來自其他分析擇一種情境,這個情境可來自其他分析(如定性分析如定性分析),但是這種情境描述的應,但是這種情境描述的應是單一的原因後果配對。是單一的原因後果配對。15 SAHTECH 財團法人財團法人安全衛生技術中心安全衛生技術中心保護層分析步驟保護層分析步驟3
17、 辨識情境起始事件,並確定起始事件頻辨識情境起始事件,並確定起始事件頻率率(次數次數/年年):在所有防護措施失效時,:在所有防護措施失效時,起始事件必然會導致後果的發生。起始起始事件必然會導致後果的發生。起始事件頻率必須考慮情境的背景情況,如事件頻率必須考慮情境的背景情況,如可引發情境的操作模式的頻率。大多數可引發情境的操作模式的頻率。大多數公司提供了評估事件頻率的指南,以確公司提供了評估事件頻率的指南,以確保保LOPA後果的一致性。後果的一致性。 16 SAHTECH 財團法人財團法人安全衛生技術中心安全衛生技術中心保護層分析步驟保護層分析步驟4 辨識獨立保護層,並評估每個獨立保護辨識獨立保
18、護層,並評估每個獨立保護層要求失效機率層要求失效機率(Probability of Failure on Demand, PFD):因為:因為LOPA是是”保護層保護層分析分析”的簡稱,有些事故情境只需要一的簡稱,有些事故情境只需要一個獨立保護層,而另外一些事故情境,個獨立保護層,而另外一些事故情境,可能需要多種獨立保護層,或失效機率可能需要多種獨立保護層,或失效機率非常低的獨立保護層,以確認事故情境非常低的獨立保護層,以確認事故情境的風險滿足容忍標準。對於特定情境,的風險滿足容忍標準。對於特定情境,辨識現有的安全保護措施是否滿足獨立辨識現有的安全保護措施是否滿足獨立保護層保護層IPLs的要求
19、是的要求是LOPA的核心觀念。的核心觀念。 17 SAHTECH 財團法人財團法人安全衛生技術中心安全衛生技術中心保護層分析步驟保護層分析步驟5 利用後果、起始事件和獨立保護層相關利用後果、起始事件和獨立保護層相關數據,評估情境風險:計算過程能包含數據,評估情境風險:計算過程能包含其他因素,這取決於後果的定義其他因素,這取決於後果的定義(事件的事件的影響影響),計算方法包含公式法和圖表法,計算方法包含公式法和圖表法,無論使用什麼方法,計算的結果必須予無論使用什麼方法,計算的結果必須予以記錄。以記錄。 18 SAHTECH 財團法人財團法人安全衛生技術中心安全衛生技術中心保護層分析步驟保護層分析
20、步驟6 針對所分析的情境評估風險並作出決策:針對所分析的情境評估風險並作出決策:將情境風險與公司容忍風險標準和將情境風險與公司容忍風險標準和(或或)相關的目標相比較。相關的目標相比較。 19 SAHTECH 財團法人財團法人安全衛生技術中心安全衛生技術中心保護層分析限制條件保護層分析限制條件l只有使用相同的只有使用相同的LOPA方法方法(即使用即使用相同的方法選擇失效數據相同的方法選擇失效數據),情境風,情境風險的比較才有效,並且比較都是基險的比較才有效,並且比較都是基於同樣的風險容忍標準或者與於同樣的風險容忍標準或者與LOPA確定的其他情境風險相比較。確定的其他情境風險相比較。LOPA計算結
21、果並不是情境風險的計算結果並不是情境風險的標準值,這也是標準值,這也是 LOPA在定量風險分析方面的限制。在定量風險分析方面的限制。lLOPA是一種簡化的方法,並不適是一種簡化的方法,並不適合用於所有的情境,對一些風險決合用於所有的情境,對一些風險決策過程,執行策過程,執行LOPA可能過於複雜,可能過於複雜,而對另而對另 一些決策一些決策LOPA可能又顯得可能又顯得過於簡化。過於簡化。20 SAHTECH 財團法人財團法人安全衛生技術中心安全衛生技術中心保護層分析限制條件保護層分析限制條件(續續)l在風險決策過程中,與定性的方法如在風險決策過程中,與定性的方法如HazOp和和What-if相比
22、,相比,LOPA顯得較耗時。在中度顯得較耗時。在中度複雜的情境中,由於複雜的情境中,由於LOPA改善了風險決策改善了風險決策過程而彌補了過程而彌補了LOPA的耗時。對於簡單的決的耗時。對於簡單的決策,策,LOPA的使用價值不明顯。而對於很複的使用價值不明顯。而對於很複雜的情境和決策,雜的情境和決策,LOPA比定性方法更節省比定性方法更節省時間,因為時間,因為LOPA將重點集中於風險決策。將重點集中於風險決策。lLOPA本身並不是一個危害辨識工具,本身並不是一個危害辨識工具,LOPA依賴辨別起依賴辨別起 始危險事件的方法以及確定事件原因的防護始危險事件的方法以及確定事件原因的防護措施所採用措施所
23、採用 的方法的方法(包括定性危害審查方法包括定性危害審查方法),LOPA執行執行過程的嚴謹過程的嚴謹 性使得它更常運用於澄清定性危害審查中不性使得它更常運用於澄清定性危害審查中不明確的情明確的情 境。境。l不同公司在風險容忍標準和不同公司在風險容忍標準和LOPA執行程序執行程序的差異性,顯的差異性,顯 示分析結果通常不能在各公司之間直接比較。示分析結果通常不能在各公司之間直接比較。21 SAHTECH 財團法人財團法人安全衛生技術中心安全衛生技術中心保護層分析的優點保護層分析的優點 l與定量風險分析相比,與定量風險分析相比,LOPA花費的時間較花費的時間較少,因此適少,因此適 用於定性風險評估
24、等法應用的複雜情境。用於定性風險評估等法應用的複雜情境。lLOPA可幫助解決決策時分歧的意見,它提可幫助解決決策時分歧的意見,它提供了一致供了一致 的、簡化的架構評估情境風險並為討論風險的、簡化的架構評估情境風險並為討論風險提供了一致提供了一致 的術語,與基於的術語,與基於”風險對我而言可以接受風險對我而言可以接受”的主觀或主觀的主觀或主觀 上的判斷相比,上的判斷相比,LOPA提供了一個更好的風提供了一個更好的風險決策基礎,這對於那些正在由定性到更多險決策基礎,這對於那些正在由定性到更多定量風險分析轉變的公司尤其有幫助。定量風險分析轉變的公司尤其有幫助。l LOPA可以提高危害評估會議的效率,
25、因為可以提高危害評估會議的效率,因為它可以幫助它可以幫助 更快速地達成風險判斷共識。更快速地達成風險判斷共識。22 SAHTECH 財團法人財團法人安全衛生技術中心安全衛生技術中心保護層分析的優點保護層分析的優點 (續續1)lLOPA有助於更精確地確定原因後果組合,有助於更精確地確定原因後果組合,因此可以因此可以 改善情境辨識。改善情境辨識。l如果整個公司使用同樣的方法,如果整個公司使用同樣的方法,LOPA可用可用於單元之間於單元之間 或工廠之間的風險比較。或工廠之間的風險比較。l與定性方法相比,與定性方法相比,LOPA提供了更具可靠性提供了更具可靠性的風險判的風險判 斷,因為斷,因為LOPA
26、要求非常嚴謹的記錄,並且要求非常嚴謹的記錄,並且可以提供情可以提供情 境頻率和後果的具體數據。境頻率和後果的具體數據。lLOPA可以用於協助一個公司決定風險是否可以用於協助一個公司決定風險是否符合合理可符合合理可 行的降低行的降低(As Low As Reasonably Practicable, ALARP)原原 則,這也有助於滿足特定的法令要求。則,這也有助於滿足特定的法令要求。23 SAHTECH 財團法人財團法人安全衛生技術中心安全衛生技術中心保護層分析的優點保護層分析的優點 (續續2)l LOPA可以幫助辨識被認為有充份防護措施可以幫助辨識被認為有充份防護措施的操作和實的操作和實 務
27、,但經過更詳細的分析後,其措施並不能務,但經過更詳細的分析後,其措施並不能將風險降低將風險降低 到可容忍的水準。到可容忍的水準。lLOPA為每個獨立保護層提供了更明確的功為每個獨立保護層提供了更明確的功能要求。能要求。lLOPA的資料可以幫助公司決定操作、維護的資料可以幫助公司決定操作、維護以及相關訓以及相關訓 練的重點應專注於那些防護措施,例如,許練的重點應專注於那些防護措施,例如,許多公司決定多公司決定 將檢查、測試和預防性維修作業的重點放在將檢查、測試和預防性維修作業的重點放在LOPA辨別辨別 出的防護層,因此出的防護層,因此LOPA是執行製程安全管理是執行製程安全管理設備完整設備完整
28、性或基於風險的維修系統的有效工具,它有性或基於風險的維修系統的有效工具,它有助於確定助於確定”安安 全關鍵設備全關鍵設備”的屬性及功能。的屬性及功能。24 SAHTECH 財團法人財團法人安全衛生技術中心安全衛生技術中心發展情境發展情境 情境是導致不良後果的意外事件或一系列事情境是導致不良後果的意外事件或一系列事件,每個情境至少包括兩項要素:件,每個情境至少包括兩項要素:l引起一連串事件的起始事件引起一連串事件的起始事件(例如冷卻失效例如冷卻失效);l後果,指如果事件鏈繼續發展沒有中斷,所後果,指如果事件鏈繼續發展沒有中斷,所導致的後果導致的後果 (如可能造成的系統超壓、有毒或易燃物質洩如可能
29、造成的系統超壓、有毒或易燃物質洩漏到大氣中、漏到大氣中、 死亡等死亡等)。 起起始事始事件件 後果後果構成一個情境的最基本要求構成一個情境的最基本要求 25 SAHTECH 財團法人財團法人安全衛生技術中心安全衛生技術中心發展情境發展情境 (續續) 每個情境都必須有唯一的起始事件及其對應每個情境都必須有唯一的起始事件及其對應的後果,如果同一起始事件能導致不同後果,的後果,如果同一起始事件能導致不同後果,那麼應該發展多種情境。在某些情況下,許那麼應該發展多種情境。在某些情況下,許多情境可能開始於同一起始事件多情境可能開始於同一起始事件(如公用系統如公用系統失效失效),則應該為每個單元制定單獨的情
30、境。,則應該為每個單元制定單獨的情境。如果利用人員死亡、營運或環境損害作為後如果利用人員死亡、營運或環境損害作為後果,則在情境中還可能包括下列部分或全部果,則在情境中還可能包括下列部分或全部因素或結果修正因子:因素或結果修正因子:l可燃物質的點火機率;可燃物質的點火機率;l人員出現在事件影響區域的機率;人員出現在事件影響區域的機率;l火災、爆炸或有毒物質釋放的暴露致死機率火災、爆炸或有毒物質釋放的暴露致死機率(包括撤離或包括撤離或 保護行動保護行動);l導致設備導致設備(設施設施)一定經濟損失的機率。一定經濟損失的機率。26 SAHTECH 財團法人財團法人安全衛生技術中心安全衛生技術中心Ha
31、zOp與與LOPA關聯性關聯性 偏差偏差造成偏差原因造成偏差原因後果後果其它造成低風險原因不滿足公司標準的不滿足公司標準的後果後果現有安全措施現有安全措施不滿足不滿足IPL定義的安定義的安全措施全措施起始事件起始事件(選擇一件選擇一件以代表情境以代表情境)情境背景與描述情境背景與描述後果後果(每次選一種每次選一種)獨立保護層獨立保護層(IPLs)HazOp未辨識的未辨識的IPLs觸發事件和條件觸發事件和條件額外風險減緩措施使額外風險減緩措施使風險可容忍風險可容忍建議事項建議事項不必要的措施不必要的措施(不需要的建議不需要的建議)起起始事件頻率始事件頻率10-x/a嚴重程度或經濟嚴重程度或經濟損
32、失分類損失分類IPLs要求失效機要求失效機率率IPLs要求失效機要求失效機率率事件或條件機率事件或條件機率繼續下一個原因繼續下一個原因後果配對後果配對選擇:綜合程序的風選擇:綜合程序的風險與程序風險標準比險與程序風險標準比較較風險是否風險是否可容忍可容忍? ?否否 是是 HazOp資料資料LOPA不需要的資料不需要的資料LOPA採用的資料採用的資料LOPA採用的數據採用的數據其它造成低風險原因其它造成低風險原因27 SAHTECH 財團法人財團法人安全衛生技術中心安全衛生技術中心起始事件起始事件 LOPA的每一情境都有單一的起始事件,起的每一情境都有單一的起始事件,起始事件頻率通常以每年發生的
33、次數表示,一始事件頻率通常以每年發生的次數表示,一些資料也使用其他的單位來表示,如些資料也使用其他的單位來表示,如106每小每小時發生的次數。時發生的次數。 起始事件一般分為三類型起始事件一般分為三類型: 外部事件、設備故外部事件、設備故障、人為失誤障、人為失誤(也稱為不恰當的行為也稱為不恰當的行為)。根本原。根本原因被定義為因被定義為”事故發生的潛在系統原因事故發生的潛在系統原因”, 起始事件是各種根本原因的結果,包括外部起始事件是各種根本原因的結果,包括外部事件、設備故障或人為失誤。起始事件的根事件、設備故障或人為失誤。起始事件的根本原因都不相同,在確定起始事件時不應太本原因都不相同,在確
34、定起始事件時不應太深究其根本原因。不過根本原因有助於確認深究其根本原因。不過根本原因有助於確認起始事件發生的頻率。因此當評估起始事件起始事件發生的頻率。因此當評估起始事件頻率時,需要考慮一些根本原因。頻率時,需要考慮一些根本原因。28 SAHTECH 財團法人財團法人安全衛生技術中心安全衛生技術中心起始事件起始事件 (續續1) 與設備有關的起始事件可以被進一步分為控與設備有關的起始事件可以被進一步分為控制系統失效和機械故障。控制系統失效包括制系統失效和機械故障。控制系統失效包括(但不限於但不限於):l基本程序控制系統基本程序控制系統(Basic Process Control System,
35、BPCS) 原件失效;原件失效;l軟體失效或故障;軟體失效或故障;l控制支援系統失效控制支援系統失效(例如電力系統、儀控空氣例如電力系統、儀控空氣系統系統)。29 SAHTECH 財團法人財團法人安全衛生技術中心安全衛生技術中心起始事件起始事件 (續續2)機械故障包括機械故障包括(但不限於但不限於):l磨損、疲勞或腐蝕造成的容器或管線失效磨損、疲勞或腐蝕造成的容器或管線失效l設計、技術規格或製造設計、技術規格或製造/製備缺陷造成的管線製備缺陷造成的管線失失 效;效;l超壓造成的容器或管線失效超壓造成的容器或管線失效(例如熱膨脹、清例如熱膨脹、清管管/吹吹 除除)或低壓或低壓(真空導致崩塌真空導
36、致崩塌);l震動導致的失效震動導致的失效(例如轉動設備例如轉動設備);l維護維護/維修不完善維修不完善(包括使用不合格的替代材料包括使用不合格的替代材料)所造成所造成 的失效;的失效;30 SAHTECH 財團法人財團法人安全衛生技術中心安全衛生技術中心起始事件起始事件 (續續3)l高溫高溫(如火災暴露、冷卻失效如火災暴露、冷卻失效)或低溫,及脆性或低溫,及脆性斷裂斷裂(如自如自 動冷凍、低環境氣溫動冷凍、低環境氣溫)引起的失效;引起的失效;l湍流或水擊引起的失效;湍流或水擊引起的失效;l內部爆炸、分解或其他失控反應造成的失效。內部爆炸、分解或其他失控反應造成的失效。 與人為失效相關的原因或者
37、是疏忽或者是錯誤,與人為失效相關的原因或者是疏忽或者是錯誤,其中包其中包 括括(但不限於但不限於):l未能按正確順序執行任務步驟,或遺漏一些未能按正確順序執行任務步驟,或遺漏一些步驟步驟(有些行有些行 動沒有執行動沒有執行);l未能正確觀察或因應製程或系統顯示的條件未能正確觀察或因應製程或系統顯示的條件或其他提示或其他提示 (有些行動執行錯誤有些行動執行錯誤)。31 SAHTECH 財團法人財團法人安全衛生技術中心安全衛生技術中心起始事件典型頻率起始事件典型頻率 起始事件起始事件來自文獻的頻率範圍來自文獻的頻率範圍(每年每年)某公司進行某公司進行LOPA時的選擇時的選擇值(每年每年)壓力容器疲
38、勞失效壓力容器疲勞失效10-510-7110-6管線疲勞失效管線疲勞失效-100m-全部斷裂全部斷裂10-510-6110-5管線洩漏管線洩漏(10截面積截面積)-100m10-310-4110-3常壓儲槽失效常壓儲槽失效10-310-5110-3墊片墊片/填料爆裂填料爆裂10-210-6110-2渦輪渦輪/柴油發動機超速,外套破裂柴油發動機超速,外套破裂10-310-4110-4第三方破裂第三方破裂(怪手、車輛等外部影響怪手、車輛等外部影響)10-210-4110-2起重機載荷掉落起重機載荷掉落10-310-4/起吊起吊110-4/起吊起吊雷擊雷擊10-310-4110-3安全閥誤開安全閥誤
39、開啟10-210-4110-232 SAHTECH 財團法人財團法人安全衛生技術中心安全衛生技術中心起始事件典型頻率起始事件典型頻率(續續) 冷卻水失誤冷卻水失誤110-2110-1泵密封失效密封失效10-110-2110-1卸載卸載/裝載軟管失效裝載軟管失效110-2110-1BPCS儀表控制迴路失效儀表控制迴路失效注:注:IEC61511的限制大於的限制大於110-5/h或或8.7610-2/a(IEC, 2001)110-2110-1調節器失效調節器失效110-1110-1小的外部火災小的外部火災(多因素多因素)10-110-2110-1大的外部火災大的外部火災(多因素多因素)10-21
40、0-3110-2LOTO(鎖定、標定鎖定、標定)程序失效程序失效(多個元件的總失多個元件的總失效效)10-310-4/次次110-3/次次操作人員失效操作人員失效(執行一般程序,假設得到較好執行一般程序,假設得到較好的訓練、不緊張、不疲勞的訓練、不緊張、不疲勞)10-110-3/次次110-2/次次33 SAHTECH 財團法人財團法人安全衛生技術中心安全衛生技術中心獨立保護層定義和功能獨立保護層定義和功能 獨立保護層是能夠阻止情境朝向不良後果繼獨立保護層是能夠阻止情境朝向不良後果繼續發展的設備、系統或行動,並且獨立於啟續發展的設備、系統或行動,並且獨立於啟始事件或情境中其他保護層的行動。獨立
41、保始事件或情境中其他保護層的行動。獨立保護層的有效性和獨立性必須具有可審查性。護層的有效性和獨立性必須具有可審查性。如如下圖的事件鏈中,下圖的事件鏈中,A點安裝的獨立保護層點安裝的獨立保護層IPL必要時應採取行動,如果必要時應採取行動,如果A點的獨立保護點的獨立保護層如期作動,則可以阻止不良後果發生。如層如期作動,則可以阻止不良後果發生。如果情境中所有的獨立保護層都無法如期作動,果情境中所有的獨立保護層都無法如期作動,那麼不良後果將隨著啟始事件發生。那麼不良後果將隨著啟始事件發生。 起始事件起始事件IPL如期作動如期作動A安全後果安全後果後果發生後果發生(儘管存在儘管存在IPL)獨立保護層獨立
42、保護層IPL未如期作動未如期作動34 SAHTECH 財團法人財團法人安全衛生技術中心安全衛生技術中心獨立保護層定義和功能獨立保護層定義和功能(續續) 區分獨立保護層和防護措施非常重要,防護區分獨立保護層和防護措施非常重要,防護措施可以是中斷起始事件發生後的事件鏈的措施可以是中斷起始事件發生後的事件鏈的任何設備、系統或行動。但是,由於一些防任何設備、系統或行動。但是,由於一些防護措施的有效性、獨立性或其他因素缺乏數護措施的有效性、獨立性或其他因素缺乏數據,具有不確定性,因此這些防護措施的有據,具有不確定性,因此這些防護措施的有效性難以確定。效性難以確定。 獨立保護層的有效性根據要求失效機率獨立
43、保護層的有效性根據要求失效機率(PFD)進行確認,進行確認,PFD定義為系統要求時定義為系統要求時IPL失效不失效不能發揮具體功能的機率。能發揮具體功能的機率。PFD為為0和和1之間的之間的無因次數字,無因次數字,PFD值越小,該保護層對某一值越小,該保護層對某一啟始事件後果頻率降低的越多,獨立保護層啟始事件後果頻率降低的越多,獨立保護層的的“降低頻率降低頻率”有時被稱為有時被稱為“風險降低因子。風險降低因子。35 SAHTECH 財團法人財團法人安全衛生技術中心安全衛生技術中心常見保護層的特性常見保護層的特性程序設計程序設計許多公司假設若製程符合本質更安全設計,一許多公司假設若製程符合本質更
44、安全設計,一些情境不可能發生。例如設備可能被設計用於些情境不可能發生。例如設備可能被設計用於承受特定情境的最大壓力、限制批次反應器的承受特定情境的最大壓力、限制批次反應器的容量、存量更低或化學物質替代等,本質更安容量、存量更低或化學物質替代等,本質更安全設計可以消除一些情境。有些公司認為本質全設計可以消除一些情境。有些公司認為本質更安全製程設計功能有一個非零的更安全製程設計功能有一個非零的PFD,也就,也就是說,在實際製程中,已經證實它們具有一定是說,在實際製程中,已經證實它們具有一定的失效模式。這些公司將本質更安全的製程設的失效模式。這些公司將本質更安全的製程設計功能作為一種獨立保護層計功能
45、作為一種獨立保護層IPL,這類獨立保,這類獨立保護層的設計是為了防止後果的發生。護層的設計是為了防止後果的發生。 36 SAHTECH 財團法人財團法人安全衛生技術中心安全衛生技術中心常見保護層的特性常見保護層的特性(續續1) 基本製程控制系統基本製程控制系統基本製程控制系統基本製程控制系統(Basic Process Control System, BPCS)包括正常的手動控制,是製程包括正常的手動控制,是製程正常運用期間的第一層保護,正常運用期間的第一層保護,BPCS的設計是的設計是為了使製程處在安全操作範圍。如果為了使製程處在安全操作範圍。如果BPCS控控制環路的正常操作符合適當的標準,
46、則可作為制環路的正常操作符合適當的標準,則可作為獨立保護層。獨立保護層。BPCS失效可以被視為起始事件,失效可以被視為起始事件,當考慮使用當考慮使用BPCS作為獨立保護層時,分析人作為獨立保護層時,分析人員必須評估員必須評估BPCS使用和管理系統使用和管理系統(Access Control and Security System)的有效性,因為的有效性,因為人員疏失會破壞人員疏失會破壞BPCS的功能。的功能。37 SAHTECH 財團法人財團法人安全衛生技術中心安全衛生技術中心常見保護層的特性常見保護層的特性(續續2)關鍵警報和人員干預關鍵警報和人員干預這類系統是製程正常運作期間的第二層保護,
47、這類系統是製程正常運作期間的第二層保護,並且這些系統應該被並且這些系統應該被BPCS啟動,當報警或觀啟動,當報警或觀察引發的操作人員行為符合各種標準,確保行察引發的操作人員行為符合各種標準,確保行動的有效性時動的有效性時(例如獨立性例如獨立性) ,則操作人員行動,則操作人員行動可作為獨立保護層。公司的程序和訓練可以改可作為獨立保護層。公司的程序和訓練可以改善操作人員的執行能力,但警報因應步驟本身善操作人員的執行能力,但警報因應步驟本身並不是獨立保護層。並不是獨立保護層。38 SAHTECH 財團法人財團法人安全衛生技術中心安全衛生技術中心常見保護層的特性常見保護層的特性(續續3)安全儀控功能安
48、全儀控功能(Safety Instrumented Function,SIF)安全儀控功能是由量測器、邏輯運算器和最終安全儀控功能是由量測器、邏輯運算器和最終控制元件組成,具有一定的安全完整性要求,控制元件組成,具有一定的安全完整性要求,安全儀控功能偵測超過安全恕限安全儀控功能偵測超過安全恕限(異常異常)條件,條件,控制程序進入功能性安全狀態。安全儀控功能控制程序進入功能性安全狀態。安全儀控功能SIF在功能上獨立於在功能上獨立於BPCS,安全儀控功能通常,安全儀控功能通常為一種獨立保護層。安全儀控功能系統的設計、為一種獨立保護層。安全儀控功能系統的設計、系統備份程度、測試頻率和類型將決定系統備
49、份程度、測試頻率和類型將決定LOPA中中SIF的的PFD。39 SAHTECH 財團法人財團法人安全衛生技術中心安全衛生技術中心常見保護層的特性常見保護層的特性(續續4)物理保護物理保護(安全閥、破裂盤等安全閥、破裂盤等)如果這類設備設計、維護和尺寸合適,則可以如果這類設備設計、維護和尺寸合適,則可以提供較高程度的超壓保護。但是,如果切斷閥提供較高程度的超壓保護。但是,如果切斷閥安裝在洩壓閥下方或者檢查和維護工作品質較安裝在洩壓閥下方或者檢查和維護工作品質較差,則這類設備的有效性可能受到污垢或腐蝕差,則這類設備的有效性可能受到污垢或腐蝕的影響。如果物質從安全閥排放到大氣,則可的影響。如果物質從
50、安全閥排放到大氣,則可能會造成其他後果,這需要進一步的評估,這能會造成其他後果,這需要進一步的評估,這會涉及燃燒塔、驟冷槽、洗滌塔等設備有效性會涉及燃燒塔、驟冷槽、洗滌塔等設備有效性的檢查。的檢查。40 SAHTECH 財團法人財團法人安全衛生技術中心安全衛生技術中心常見保護層的特性常見保護層的特性(續續5)釋放後保護釋放後保護(防液堤、防爆牆等防液堤、防爆牆等)這些獨立保護層是被動的保護設備,如果設計這些獨立保護層是被動的保護設備,如果設計和維護正確,這類獨立保護層可提供較有效的和維護正確,這類獨立保護層可提供較有效的保護。雖然它們的失效率低,但是在情境中也保護。雖然它們的失效率低,但是在情
51、境中也應考慮應考慮PFD。此外,如果自動灑水系統、泡沫。此外,如果自動灑水系統、泡沫系統或氣體偵測系統等滿足獨立保護層的要求,系統或氣體偵測系統等滿足獨立保護層的要求,在一些特殊情境中,也可以將它們作為獨立保在一些特殊情境中,也可以將它們作為獨立保護層。護層。41 SAHTECH 財團法人財團法人安全衛生技術中心安全衛生技術中心常見保護層的特性常見保護層的特性(續續6)工廠緊急應變工廠緊急應變這些措施如消防隊、人工防洪系統、工廠緊急這些措施如消防隊、人工防洪系統、工廠緊急疏散等通常不視為獨立保護層,因為它們是在疏散等通常不視為獨立保護層,因為它們是在初始釋放之後被啟動,並且有太多因素初始釋放之
52、後被啟動,並且有太多因素(如時間如時間延遲延遲)影響了它們在消減情境的整體有效性。影響了它們在消減情境的整體有效性。42 SAHTECH 財團法人財團法人安全衛生技術中心安全衛生技術中心常見保護層的特性常見保護層的特性(續續7)社區緊急應變社區緊急應變這些措施,如社區撤離和避難所,通常不被視這些措施,如社區撤離和避難所,通常不被視為獨立保護層,因為它們是在初始釋放之後被為獨立保護層,因為它們是在初始釋放之後被啟動,並且有太多因素影響了它們在消減情境啟動,並且有太多因素影響了它們在消減情境的整體有效性,它們對工廠的工人沒有提供任的整體有效性,它們對工廠的工人沒有提供任何保護。何保護。43 SAH
53、TECH 財團法人財團法人安全衛生技術中心安全衛生技術中心獨立保護層基本原則獨立保護層基本原則 設備、系統或行動作為獨立保護層時,必須設備、系統或行動作為獨立保護層時,必須滿足的條件是:滿足的條件是:l有效性:按照設計的功能發揮作用,必須能有效性:按照設計的功能發揮作用,必須能有效地防止有效地防止 後果發生;後果發生;l獨立性:獨立於起始事件和任何其他已經被獨立性:獨立於起始事件和任何其他已經被認為是同一認為是同一 情境的獨立保護層的構成元件;情境的獨立保護層的構成元件;l可審查性:對於阻止後果的有效性和可審查性:對於阻止後果的有效性和PFD必必須能夠以某須能夠以某 種方式種方式(通過記錄、審
54、查、測試等通過記錄、審查、測試等)進行驗證。進行驗證。44 SAHTECH 財團法人財團法人安全衛生技術中心安全衛生技術中心獨立保護層基本原則獨立保護層基本原則(續續1) 如果某設備、系統或行動確認為獨立保護層,那麼它如果某設備、系統或行動確認為獨立保護層,那麼它必須有效地防止該情境不期望的後果。為了確定防護必須有效地防止該情境不期望的後果。為了確定防護措施是否是獨立保護層,可利用下列問題協助小組或措施是否是獨立保護層,可利用下列問題協助小組或分析人員作出適當的判斷。分析人員作出適當的判斷。l防護措施能否偵測到需要採取行動的狀況,這可能是防護措施能否偵測到需要採取行動的狀況,這可能是一一 個製
55、程改變或警報等,如果防護措施不能偵測到這些個製程改變或警報等,如果防護措施不能偵測到這些狀狀 況,並且不能產生具體的行動,那麼就不是獨立保護況,並且不能產生具體的行動,那麼就不是獨立保護層。層。l防護措施能否及時偵測到狀況,以採取正確的行動防防護措施能否及時偵測到狀況,以採取正確的行動防止不止不 良後果的發生,所需的時間必須包括:良後果的發生,所需的時間必須包括:偵測到狀況的時間;偵測到狀況的時間;處理信號和作出決策的時間;處理信號和作出決策的時間;採取必要行動的時間;採取必要行動的時間;行動生效的時間。行動生效的時間。45 SAHTECH 財團法人財團法人安全衛生技術中心安全衛生技術中心獨立
56、保護層基本原則獨立保護層基本原則(續續2)l在允許的時間內,獨立保護層是否有足夠能力採在允許的時間內,獨立保護層是否有足夠能力採取所要求的行動,如果需要一項具體的規格要求取所要求的行動,如果需要一項具體的規格要求(例如安全閥洩放面積、防液堤容積等例如安全閥洩放面積、防液堤容積等),那麼安,那麼安裝的防護措施是否能夠符合這些要求裝的防護措施是否能夠符合這些要求?對於所要求對於所要求的行動,獨立保護層的強度是否充足的行動,獨立保護層的強度是否充足? 獨立保護獨立保護層的強度包括:層的強度包括:物理強度物理強度(例如防爆牆或防液堤例如防爆牆或防液堤);某特定情境條件下閥門的關閉能力某特定情境條件下閥
57、門的關閉能力(例如閥門彈例如閥門彈簧、驅動器或元件的強度簧、驅動器或元件的強度);人員強度人員強度(例如所要求的任務是否在操作人員能例如所要求的任務是否在操作人員能力範圍內力範圍內)。 如果防護措施不能滿足這些要求,則它不是獨立如果防護措施不能滿足這些要求,則它不是獨立保護層。保護層。46 SAHTECH 財團法人財團法人安全衛生技術中心安全衛生技術中心獨立保護層基本原則獨立保護層基本原則(續續3) LOPA獨立保護層降低後果頻率的有效性可使用獨立保護層降低後果頻率的有效性可使用PFD予以量化,確定獨立保護層合適的予以量化,確定獨立保護層合適的PFD數值數值是是LOPA程序中重要的一環。獨立保
58、護層應如期程序中重要的一環。獨立保護層應如期運作,但是一些保護層系統可能發生失效。獨立運作,但是一些保護層系統可能發生失效。獨立保護層保護層PFD越低,其正確運作和中斷事件鏈的可越低,其正確運作和中斷事件鏈的可能性就越高。因為能性就越高。因為LOPA是一種簡化的方法,是一種簡化的方法,PFD通常使用最接近的數量級。通常使用最接近的數量級。PFD範圍從最弱範圍從最弱的獨立保護層的獨立保護層(110-1)到最強的獨立保護層到最強的獨立保護層(110-4110-5),LOPA小組或分析人員必須確定防護小組或分析人員必須確定防護措施頻率較高情境的獨立保護層措施頻率較高情境的獨立保護層PFD值,例如情值
59、,例如情境起始事件頻率大於或接近獨立保護層功能有效境起始事件頻率大於或接近獨立保護層功能有效測試頻率時,必須謹慎。測試頻率時,必須謹慎。47 SAHTECH 財團法人財團法人安全衛生技術中心安全衛生技術中心被動式被動式IPLs範例範例 IPL類型類型說說明明(假設具有完善的設計基礎、假設具有完善的設計基礎、充份的檢測和維護程序充份的檢測和維護程序)PFD(來自文獻來自文獻和工業數據和工業數據)CCPS建議建議PFD防液堤防液堤降低儲槽溢流、破裂、洩漏等嚴降低儲槽溢流、破裂、洩漏等嚴重後果重後果(大面積擴散大面積擴散)的頻率的頻率1 10-21 10-31 10-2地下排水系統地下排水系統降低儲
60、槽溢流、破裂、洩漏等嚴降低儲槽溢流、破裂、洩漏等嚴重後果重後果(大面積擴散大面積擴散)的頻率的頻率1 10-21 10-31 10-2開放式排放閥開放式排放閥防止超壓防止超壓1 10-21 10-31 10-2耐火設計耐火設計減少熱輸入率,提供降壓減少熱輸入率,提供降壓/消防等消防等額外的變應時間額外的變應時間1 10-21 10-31 10-2防爆牆防爆牆/掩體掩體通過限制衝擊波,保護設備通過限制衝擊波,保護設備/建築建築物等,降低爆炸重大後果的頻率物等,降低爆炸重大後果的頻率1 10-21 10-31 10-3“本質更安全本質更安全”設計設計如果正確執行,將大幅降低相關如果正確執行,將大幅
61、降低相關情境後果的頻率。備注:一些公情境後果的頻率。備注:一些公司的司的LOPA規定,允許本質更安規定,允許本質更安全設計功能消除某些情境全設計功能消除某些情境(如容器如容器設計壓力超過所有可能的高壓要設計壓力超過所有可能的高壓要求求)1 10-11 10-61 10-2阻焰器或防爆器阻焰器或防爆器如果設計、安裝和維護合適,這如果設計、安裝和維護合適,這些設備能些設備能夠消除通過管線系統進消除通過管線系統進入容器或儲罐入容器或儲罐內內的潛在回火的潛在回火1 10-11 10-31 10-248 SAHTECH 財團法人財團法人安全衛生技術中心安全衛生技術中心主動式主動式IPLs範例範例 IPL
62、說說明(假設具有完善的設明(假設具有完善的設備基礎、充足的檢測和維備基礎、充足的檢測和維護程序)護程序)PFD(來自文來自文獻和工業數獻和工業數據據)CCPS建議建議PFD安全閥安全閥防止系統超壓,其有效性防止系統超壓,其有效性對使用狀況比較敏感對使用狀況比較敏感1 10-11 10-51 10-2破裂盤破裂盤防止系統超壓。其有效性防止系統超壓。其有效性對使用狀況比較敏感對使用狀況比較敏感1 10-11 10-51 10-2基本製基本製程控制程控制系統系統如果與起始事件無關,如果與起始事件無關,BPCS可被視為一種可被視為一種IPL1 10-11 10-2(IEC規定規定1 10-1)1 10
63、-1安全儀安全儀控功能控功能(聯鎖聯鎖)見見IEC 61508 和和IEC 61511生命周期和其他要求。生命周期和其他要求。49 SAHTECH 財團法人財團法人安全衛生技術中心安全衛生技術中心主動式主動式IPLs範例範例(續續3) SIL 1典型組成:典型組成:單一感測器單一感測器(容錯備份容錯備份)單一邏輯控制器單一邏輯控制器(容錯備份容錯備份)單一最終元件單一最終元件(容錯備份容錯備份)1 10-11 10-2SIL 2典型組成:典型組成:多個感測器多個感測器(容錯容錯)多個邏輯控制器多個邏輯控制器(容錯容錯)多個最終元件多個最終元件(容錯容錯)1 10-21 10-3SIL 3典型組
64、成:典型組成:多個傳感器多個傳感器多個邏輯控制器多個邏輯控制器多個執行元件多個執行元件1 10-31 10-4CCPSCCPS不建議具體的不建議具體的SILSIL水準。水準。 50 SAHTECH 財團法人財團法人安全衛生技術中心安全衛生技術中心安全儀控系統特性分析安全儀控系統特性分析 儀錶系統由感測器、邏輯運算器、程序控制器和儀錶系統由感測器、邏輯運算器、程序控制器和最終元件組成,這些元件整合運作,自動調整製最終元件組成,這些元件整合運作,自動調整製程運作或防止製程特定事件的發生。在基本程運作或防止製程特定事件的發生。在基本LOPA分析中考慮了兩種類型的儀錶系統,每種分析中考慮了兩種類型的儀
65、錶系統,每種儀錶類型有各自的用途和功能。第一種為連續控儀錶類型有各自的用途和功能。第一種為連續控制器制器(如按照操作人員提供的設定值調節流量、溫如按照操作人員提供的設定值調節流量、溫度或壓力的程序控制器度或壓力的程序控制器),它通常提供操作人員連,它通常提供操作人員連續回饋續回饋(雖然會出現意外故障雖然會出現意外故障),顯示運作正常。,顯示運作正常。第二種為狀態控制器第二種為狀態控制器(對警報指示器或程序閥門採對警報指示器或程序閥門採取措施,執行開、關動作的邏輯運算器取措施,執行開、關動作的邏輯運算器),狀態控,狀態控制器監測製程條件,只有當製程條件達到預先設制器監測製程條件,只有當製程條件達
66、到預先設定值時才採取控制行動。狀態控制行動可以稱為定值時才採取控制行動。狀態控制行動可以稱為製程聯鎖和警報,如反應器高溫監測與蒸汽閥開製程聯鎖和警報,如反應器高溫監測與蒸汽閥開關聯鎖。狀態控制器關聯鎖。狀態控制器(邏輯運算器和相關的現場設邏輯運算器和相關的現場設備備)的失效不易檢測,需要到下一次安全功能失效的失效不易檢測,需要到下一次安全功能失效的人工功能性測試時才發現。的人工功能性測試時才發現。BPCS和安全儀錶和安全儀錶系統都有連續控制器和狀態控制器,但是兩者執系統都有連續控制器和狀態控制器,但是兩者執行風險消減層次有很大差異。行風險消減層次有很大差異。51 SAHTECH 財團法人財團法
67、人安全衛生技術中心安全衛生技術中心安全儀控系統特性分析安全儀控系統特性分析(續續1) BPCS是執行連續監測和控制生產製程的控制是執行連續監測和控制生產製程的控制系統,系統,BPCS可以提供三種不同類型的安全可以提供三種不同類型的安全功能作為獨立保護層:功能作為獨立保護層:l連續控制行動:保持製程在設定的正常範圍連續控制行動:保持製程在設定的正常範圍內,並可防內,並可防 止起始事件導致的異常情境惡化;止起始事件導致的異常情境惡化;l狀態控制器狀態控制器(邏輯運算器或警報停俥單元邏輯運算器或警報停俥單元):辨識超出正辨識超出正 常範圍的製程偏差,並提供操作人員訊息常範圍的製程偏差,並提供操作人員
68、訊息(通通常為警報訊常為警報訊 息息),促使操作人員採取具體的矯正行動,促使操作人員採取具體的矯正行動(控制控制製程或停製程或停 俥俥);l狀態控制器狀態控制器(邏輯運算器或控制繼電器邏輯運算器或控制繼電器):採:採取自動行動取自動行動 迫使製程停俥,而不是試圖使製程回到正常迫使製程停俥,而不是試圖使製程回到正常操作範圍。操作範圍。 這種行動將導致停俥,使製程處於安全狀態。這種行動將導致停俥,使製程處於安全狀態。 52 SAHTECH 財團法人財團法人安全衛生技術中心安全衛生技術中心安全儀控系統特性分析安全儀控系統特性分析(續續2)BPCS是一個相對較弱的獨立保護層,因為是一個相對較弱的獨立保
69、護層,因為BPCS通常:通常:l幾乎沒有元件備份;幾乎沒有元件備份;l自我測試能力有限;自我測試能力有限;l防止未經授權變更控制邏輯的安全性有限。防止未經授權變更控制邏輯的安全性有限。53 SAHTECH 財團法人財團法人安全衛生技術中心安全衛生技術中心安全儀控系統特性分析安全儀控系統特性分析(續續3) 安全儀控系統是由感測器、邏輯運算器和最安全儀控系統是由感測器、邏輯運算器和最終元件組成的,能夠行使一項或多項安全儀終元件組成的,能夠行使一項或多項安全儀控功能(控功能(SIF)的儀控系統,)的儀控系統,SIF為狀態控制為狀態控制系統,有時也稱為安全聯鎖和安全關鍵警報。系統,有時也稱為安全聯鎖和
70、安全關鍵警報。一系列安全儀控功能組成了安全儀控系統一系列安全儀控功能組成了安全儀控系統(也稱為緊急停俥系統)。(也稱為緊急停俥系統)。ISA S84.01、IEC 61508、IEC 61511和化工製程安全自動化指和化工製程安全自動化指南(南(CCPS, 1993)詳細討論安全儀控系統和)詳細討論安全儀控系統和安全儀控功能的設計要求,並且規定了取得安全儀控功能的設計要求,並且規定了取得所期望的所期望的PFD的全生命週期要求(規格、設的全生命週期要求(規格、設計、調試、檢驗、維護和測試),重要的設計、調試、檢驗、維護和測試),重要的設計細節包括以下內容:計細節包括以下內容:54 SAHTECH
71、 財團法人財團法人安全衛生技術中心安全衛生技術中心安全儀控系統特性分析安全儀控系統特性分析(續續4)l安全儀控功能在功能上獨立於安全儀控功能在功能上獨立於BPCS,用於,用於安全儀控功能安全儀控功能 的量測裝置、邏輯控制器和最終元件獨立於的量測裝置、邏輯控制器和最終元件獨立於BPCS中的類中的類 似似 裝置。除非在不犧牲安全儀控功能的裝置。除非在不犧牲安全儀控功能的PFD的情況下,的情況下, 訊號才可以共用。訊號才可以共用。l安全儀控系統的邏輯運算器(通常包括多項安全儀控系統的邏輯運算器(通常包括多項備份處理備份處理 器、備份電源供應和一個人機介面)可處理器、備份電源供應和一個人機介面)可處理
72、幾項(或多幾項(或多 項)安全儀控功能。項)安全儀控功能。l廣泛使用備份的元件和訊號路徑,可以在幾廣泛使用備份的元件和訊號路徑,可以在幾個方面建置個方面建置 備份,最明顯的是為同一功能安裝多個感測備份,最明顯的是為同一功能安裝多個感測器或多個執器或多個執 行元件如閥門,不同的技術將減少備份元件行元件如閥門,不同的技術將減少備份元件的共同失的共同失 效。效。55 SAHTECH 財團法人財團法人安全衛生技術中心安全衛生技術中心安全儀控系統特性分析安全儀控系統特性分析(續續5)l使用表決方案和容錯邏輯,能夠容忍一些元使用表決方案和容錯邏輯,能夠容忍一些元件的失效,件的失效, 而不會影響安全儀控系統
73、的有效性,不會引而不會影響安全儀控系統的有效性,不會引起製程的誤起製程的誤 跳俥。跳俥。l利用自我診斷功能檢測和通報感測器、邏輯利用自我診斷功能檢測和通報感測器、邏輯運算器以及運算器以及 最終元件的故障,這種診斷作用可以使安全最終元件的故障,這種診斷作用可以使安全儀控功能失儀控功能失 效的平均修復時間減到只有幾個小時。效的平均修復時間減到只有幾個小時。l跳俥切斷功能要求較低的跳俥切斷功能要求較低的PFD。56 SAHTECH 財團法人財團法人安全衛生技術中心安全衛生技術中心安全儀控系統特性分析安全儀控系統特性分析(續續6) 安全儀控功能的風險降低性能由安全儀控功能的風險降低性能由PFD所定,所
74、定,國際標準已經把安全儀控功能在化工製程中國際標準已經把安全儀控功能在化工製程中的應用劃分為四種安全完整性分類,相關定的應用劃分為四種安全完整性分類,相關定義為:義為: SIL 1:110-2PFD110-1,這些安全儀控,這些安全儀控功能通常由單一的感測器、單一的邏輯運算功能通常由單一的感測器、單一的邏輯運算器和單一的最終控制元件完成。器和單一的最終控制元件完成。 SIL 2:110-3PFD110-2,這些安全儀控,這些安全儀控功能以感測器、邏輯運算器到最終控制元件功能以感測器、邏輯運算器到最終控制元件通常都是備份的。通常都是備份的。57 SAHTECH 財團法人財團法人安全衛生技術中心安
75、全衛生技術中心安全儀控系統特性分析安全儀控系統特性分析(續續7) SIL 3:110-4PFD110-3,這些安全儀控,這些安全儀控功能以感測器、邏輯運算器到最終控制元件功能以感測器、邏輯運算器到最終控制元件通常都是備份的,要求進行仔細設計和頻繁通常都是備份的,要求進行仔細設計和頻繁功能測試,以取得較低的功能測試,以取得較低的PFD。由於。由於SIL 3的的安全儀控功能成本高昂,因此許多公司歸類安全儀控功能成本高昂,因此許多公司歸類為為SIL 3的的SIF數量有限。數量有限。 SIL 4:110-5PFD110-4,這些安全儀控,這些安全儀控功能列入了功能列入了IEC 61508和和61511
76、標準,但這些標準,但這些安全儀控功能難以設計和維護,安全儀控功能難以設計和維護,LOPA分析不分析不會使用會使用SIL 4等級的安全儀控系統。等級的安全儀控系統。58 SAHTECH 財團法人財團法人安全衛生技術中心安全衛生技術中心確定情境發生頻率確定情境發生頻率 下述為特定後果終點釋放物質常用的頻率計算下述為特定後果終點釋放物質常用的頻率計算公式,一般而言是起始事件頻率乘以公式,一般而言是起始事件頻率乘以IPL的的PFDs。fiC = fiI x PFDi1 x PFDi2 x .PFDij 式中式中 fiC = 起始事件起始事件i造成造成C後果的頻率後果的頻率 fiI = 起始事件起始事件
77、i發生頻率發生頻率 PFDij = 起始事件起始事件i中第中第j個阻止後果個阻止後果C的獨立的獨立保護層要求保護層要求 時的失效概率時的失效概率 59 SAHTECH 財團法人財團法人安全衛生技術中心安全衛生技術中心確定情境發生頻率確定情境發生頻率(續續)其他結果頻率計算公式可能有:其他結果頻率計算公式可能有:fi fire = fiI x PFDi1 x PFDi2 x .PFDij x Pignition Pignition代表點火機遇率代表點火機遇率而人員暴露於火災的頻率則為:而人員暴露於火災的頻率則為:fifire exposure = fiI x PFDi1 x PFDi2 x .P
78、FDij x Pignition x Pperson present 而而Pperson present代表代表事事故現場人員機遇率故現場人員機遇率火災引起人員受傷的頻率為:火災引起人員受傷的頻率為:fifire injury = fiI x PFDi1 x PFDi2 x .PFDij x Pignition x Pperson present x Pinjury 而而Pinjury代表代表人員人員受傷機遇率受傷機遇率60 SAHTECH 財團法人財團法人安全衛生技術中心安全衛生技術中心計算風險計算風險如果需要計算風險指標,則風險指標為所探討如果需要計算風險指標,則風險指標為所探討情境結果的
79、頻率情境結果的頻率fk乘以後果嚴重度乘以後果嚴重度Ck:Rkc = fkc x Ck Rkc代表事故第代表事故第K項結果的風險,單位為後果嚴項結果的風險,單位為後果嚴重度重度/時間單位,可能為年度死亡風險、每年時間單位,可能為年度死亡風險、每年死亡人數、每季經濟損失等。死亡人數、每季經濟損失等。fkc為事故第為事故第K項項結果發生的頻率,單位為時間的倒數。結果發生的頻率,單位為時間的倒數。Ck為為事故第事故第K項結果的嚴重度,結果嚴重度可能是項結果的嚴重度,結果嚴重度可能是個人死亡機率、死亡人數、經濟損失額度、個人死亡機率、死亡人數、經濟損失額度、污染物排放量、暴露於有害空氣污染物人數污染物排
80、放量、暴露於有害空氣污染物人數等,等,Ck也可以等級的方式表示。必要時風險也可以等級的方式表示。必要時風險評估人員可將不同起始事件第評估人員可將不同起始事件第C種後果的頻率,種後果的頻率,加總成為一項加總成為一項f c。 f c = f1c + f2c + . fIc 61 SAHTECH 財團法人財團法人安全衛生技術中心安全衛生技術中心風險評估和應採取行動範例風險評估和應採取行動範例 (續續) 等級等級1等級等級2等級等級3等級等級4等級等級5可選擇可選擇(評估替代方案評估替代方案)可選擇可選擇(評估替代方案評估替代方案)有機會時有機會時採取行動採取行動立即採取行動立即採取行動立即採取行動立
81、即採取行動可選擇可選擇(評估替代方案評估替代方案)可選擇可選擇(評估替代方案評估替代方案)可選擇可選擇(評估替代方案評估替代方案)有機會時有機會時採取行動採取行動立即採取行動立即採取行動不需要不需要採取行動採取行動可選擇可選擇(評估方案評估方案)可選擇可選擇(評估替代方案評估替代方案)有機會時有機會時採取行動採取行動有機會時有機會時採取行動採取行動不需要不需要採取行動採取行動不需要不需要採取行動採取行動可選擇可選擇(評估替代方案評估替代方案)可選擇可選擇(評估替代方案評估替代方案)有機會時有機會時採取行動採取行動不需要不需要採取行動採取行動不需要不需要採取行動採取行動不需要不需要採取行動採取行動可選擇可選擇(評估替代方案評估替代方案)可選擇可選擇(評估替代方案評估替代方案)不需要不需要採取行動採取行動不需要不需要採取行動採取行動不需要不需要採取行動採取行動不需要不需要採取行動採取行動可選擇可選擇(評估替代方案評估替代方案)不需要不需要採取行動採取行動不需要不需要採取行動採取行動不需要不需要採取行動採取行動不需要不需要採取行動採取行動不需要不需要採取行動採取行動後果頻率後果頻率( (每年每年) )後果等級後果等級10-210-010-110-310-410-510-610-762
