Gevaren- en risicoanalyse van het gasplasmaproces
We hebben twee 4-daagse HAZOP-studies gefaciliteerd voor het ontwerp en de ingebruikname van een bio-syngasfaciliteit, waarbij we mogelijke lacunes in het ontwerp en de veiligheidsmanagementsystemen aan het licht hebben gebracht, zodat het ontwerp kan uitgroeien tot een volledig functionele, grootschalige testfabriek.
Om dit te doen, hebben we de P&ID’s en de procesbeschrijving herzien en HAZOP-studieknooppunten ontwikkeld. We hebben ook de HAZOP-procedure en de risicocriteria bevestigd. We hebben de HAZOP-studie eerst gepland in volgorde van de meest risicovolle systemen; de meeste goedaardige systemen blijven bestaan.
We ondersteunden de klant ook door de adequaatheid van de HAZOP-acties te beoordelen, d.w.z. of het probleem dat aan de orde is gesteld, ook daadwerkelijk is aangepakt.
Functionele Technische Veiligheidsevaluatie
We hebben een risicobeoordelingsmethode ontwikkeld op basis van de LOPA-theorie (Layer of Protection Analysis) om de integriteitseisen voor een brand- en gasdetectiesysteem (F&G) op een drijvende opslageenheid (FSU – Floating Storage Unit) die in de Britse Noordzee zal worden afgemeerd, te beoordelen.
De FSU veiligheidssystemen werden gespecificeerd volgens de Noorse norm OLF070, maar de aanpak in deze norm is iets anders dan de aanpak in de internationale norm IEC61511 en helaas was er enige verwarring ontstaan die tot ontwerpproblemen leidde.
Er was geen voorbeeld waarop we onze methodologie konden baseren, dus hebben we onze eigen voorzichtige aanpak ontwikkeld:
We hebben alle kamers op het schip bekeken om te bepalen welke waarschijnlijk bezet zouden zijn.
We ontwikkelden een bemanningsprofiel en vervolgens een bezettingsgraad, gebaseerd op onze ervaring en ons technisch inzicht.
We ontwikkelden verschillende regels-sets om een voorzichtige benadering van de risico-inschatting mogelijk te maken, waardoor deze robuust is en in staat om weerstand te bieden aan eventuele uitdagingen.
Het resultaat van deze oefening was dat zelfs in de drie geïdentificeerde gebieden met een hoger risico (machinekamer, materiaalruimte, ondergedompelde koepelruimte), er geen vereiste was voor een gelijkwaardige integriteitsclassificatie.
Deze werkzaamheden hebben geleid tot een extra verzoek om een vergelijkbare reikwijdte voor noodstops (ESD – Emergency Shutdown) en processtops (PSD – Process Shutdown) uit te voeren. Ook hebben we het F&G-systeem vanuit commercieel oogpunt extra onder de loep genomen.
We hebben een evaluatie op hoog niveau voorbereid om te bepalen of een SIL-beoordeling geschikt was voor de ESD-functies. We hebben onze ervaring en ons technisch oordeel gebruikt om een frequentie van optreden en de waarschijnlijke gevolgen te bepalen.
De uitkomst van de evaluatie was dat een formele SIL-beoordeling boven SIL1 niet te rechtvaardigen was.
SIL Verificatieberekeningen
We hebben de verificatieberekeningen van het veiligheidsintegriteitsniveau (SIL) voor een COMAH-locatie in het Verenigd Koninkrijk uitgevoerd. De locatie had wijzigingen aangebracht in de procesvoering en nieuwe apparatuur geïnstalleerd.
We bezochten de locatie en verzamelden informatie over het merk en het model van de apparatuur van de fabriek in elke functie van de veiligheidsinstrumenten. Vervolgens hebben we getracht gegevens over het storingspercentage te verkrijgen van de fabrikanten van de apparatuur.
Voor SIL-apparatuur die voldoet aan de eisen van de internationale norm IEC61508, komt dit normaal gesproken in de vorm van een Failure Modes, Effects and Diagnostic Analysis (FMEDA) document. Merk op dat motorschakelaars vaker een SIL-classificatie hebben volgens de normen EN ISO 13849 of misschien EN 62061 en dat het onwaarschijnlijk is dat ze een FMEDA hebben.
Onze voorkeur voor SIL-verificatieberekeningen is om de gegevens van de fabrikant over het storingspercentage te gebruiken. Omdat dergelijke gegevens in optimale omstandigheden worden verkregen, hanteren we een voorzichtige aanpak en verhogen we de storingsfrequentie met een bepaalde grootteorde. Deze aanpak laat ook enige flexibiliteit toe om rekening te houden met niet-perfecte testen.
Wanneer de gegevens over de storingsfrequentie van de fabrikant niet beschikbaar zijn (typisch voor niet-SIL-apparatuur), hebben we de neiging om generieke gegevens te gebruiken (bijvoorbeeld van het Center for Chemical Process Safety of de Offshore Reliability Database).
Het resultaat van de oefening was dat de onderzochte systemen maandelijks moesten worden getest om het beoogde SIL doel te bereiken. Dit is uiteraard een zware last voor de onderhoudsafdeling, maar op een batch-installatie kan dit wel haalbaar zijn. Voor een continu proces is het zeer onwaarschijnlijk dat deze regeling geschikt is en daarom is onze aanbeveling om in eerste instantie SIL-apparatuur aan te schaffen.
Functionele Veiligheidsbeoordelingen
In het Verenigd Koninkrijk werden enkele aanpassingen aan een olieopslagfaciliteit en de heringebruikname van een opslagtank uitgevoerd. Er werd een gevaren- en risicoanalyse uitgevoerd en daarbij werd vastgesteld dat sommige veiligheidsinstrumenten (SIF’s) nodig waren om bescherming te bieden in geval van slechte werking. Uit een verdere evaluatie bleek dat deze SIF’s volgens de internationale norm IEC61511 een SIL-norm zouden moeten hebben.
IEC61511 vereist dat functionele veiligheidsbeoordelingen (FSA’s) worden uitgevoerd op alle SIF’s die worden ontworpen, in bedrijf zijn of worden gewijzigd/uitgevoerd. Er zijn vijf FSA-fasen die de levenscyclus van een SIF bestrijken. We hebben twee functionele veiligheidsbeoordelingen van het ontwerp uitgevoerd; FSA1 en FSA2.
FSA1 is op een hoog niveau vastgesteld en is gericht op het waarborgen van de basisprincipes en de juistheid ervan, zodat de kans op fouten in het ontwerp tot een minimum wordt beperkt. Het doel is vast te stellen of er een functioneel veiligheidsbeheersysteem is en of er voldoende bekwaam personeel wordt ingezet in het ontwerpproces. Er moet ook een planning voor beoordelings- en verificatieactiviteiten worden opgesteld om ervoor te zorgen dat er voldoende personeel, fysieke middelen en regelingen zijn om aan de eisen van de norm te voldoen. Dit is systematische bekwaamheid en is een van de drie uitgangspunten waarop een geclaimde SIL-classificatie is gebaseerd.
FSA2 is meer gericht op het ontwerp zelf en tracht ervoor te zorgen dat de voorzieningen voor het minimaliseren van systematische vermogenstekorten tot een minimum worden beperkt door diepgaandere vragen te stellen. Het stelt ook belangrijke vragen over cyberveiligheid, evenals over de planning van de ontwikkeling, het testen en de verificatie van alle software en hardware.
Daarnaast gaat de FSA2 na welke aanbevelingen in de FSA1 zijn gedaan (zoals bij alle FSA’s het geval is, moet rekening worden gehouden met de resultaten van eventuele eerdere FSA’s).
Het resultaat van de FSA1 was dat, hoewel het ontwerpbedrijf een gevestigde EPC was die processen en procedures had moeten hebben, er geen bewijs werd geleverd om een bewering over de naleving van de standaard te staven.
Het resultaat van de FSA2 was dat, hoewel er een goede ontwerppraktijk werd gevolgd voor de ontwikkeling van standaardinstrumenten, de hoofdontwerper zich er niet van bewust was dat het ontwerp moest voldoen aan de eisen van de norm. Dit is een duidelijke tekortkoming in de communicatie en benadrukt waarom het van vitaal belang is om ervoor te zorgen dat de eisen van de norm die in FSA1 worden geëvalueerd, worden geïmplementeerd.
SIL Autorisatie van Verificatie Testprocedure
Wanneer SIF’s (Safety Instrumented Functions) worden ontworpen en geïnstalleerd, moeten ze worden getest voordat ze in gebruik worden genomen en moet er op worden vertrouwd dat ze een discrete risicovermindering opleveren (d.w.z. om uw mensen en bedrijfsmiddelen veilig te houden). De internationale norm voor functionele veiligheid, IEC61511, vereist dat naast de functionaliteit van de SIF in normale omstandigheden, de functionaliteit in abnormale (d.w.z. foutieve) omstandigheden, grondig wordt getest.
We hebben meer dan 100 SIL-verificatietestprocedures voorbereid voor een gloednieuwe offshore-installatie in de Britse Noordzee.
De procedures bevatten de volgende inhoud:
SIF-beschrijving: wat het doet, unieke identificaties, SIL-classificatie, tijd voor procesveiligheid.
SIF Inventarisatie: een schema van merken, modellen en serienummers van alle apparatuur in elke SIF, evenals IP-adressen voor elke programmeerbare elektronische logische oplossing.
SIF-testinformatie: ruimte voor de registratie van de werkvergunningen en de referentie voor de risicobeoordeling; details van de vereiste testapparatuur en ruimte voor de registratie van het merk, het model en de kalibratiedatum; een lijst van de apparatuur die visueel moet worden geïnspecteerd op duidelijke tekenen van schade.
Testprotocol voor het testen van technische voorzieningen; negatieve testen van sensoren en eindelementen.
Testprotocol voor eind-tot-eind functietest.
Checklist voor herstel.
Sectie “Getuigehandtekeningen”.
Onafhankelijke Getuigenis onshore/offshore
Een Britse COMAH-fabriek op het vasteland had onlangs een HAZOP ondergaan die de behoefte aan een aantal SIF’s (Safety Instrumented Functions) had vastgesteld. Deze zijn geëvalueerd in een LOPA-studie (Layer of Protection Analysis) en er is een veiligheidsintegriteitsniveau (SIL) toegekend volgens de internationale norm IEC61511.
De norm vereist dat een SIF, voordat deze de operationele fase ingaat, d.w.z. voordat er een beroep op wordt gedaan om bescherming te bieden, een verificatietest moet ondergaan om aan te tonen dat deze voldoet aan de ontwerpeisen.
We werden verzocht om de verificatietesten bij te wonen. Wanneer een verificatietest wordt uitgevoerd, betekent één enkele fout in een deel van de test een fout voor de hele test.
Een deel van de test houdt in dat moet worden aangetoond dat de SIF binnen zijn procesveiligheidstijd werkt. Dit is belangrijk omdat de procesveiligheidstijd wordt berekend als de tijd tussen het verlies van de procesbesturing en het optreden van een gevaarlijke gebeurtenis; de SIF moet binnen deze tijd bescherming bieden. Dit is de SIF-reactietijd.
We hebben gezien dat een SIF handelt in een tijd die groter is dan de procesveiligheidstijd. Uiteraard is die SIF niet geslaagd voor zijn testen. Na onderzoek is vastgesteld dat de opgegeven procesveiligheidstijd ten onrechte is vervangen door de SIF-reactietijd. Tijdens het onderzoek kwam ook aan het licht dat er een op software gebaseerde vertragingstijdstip was geïmplementeerd en dat dit bij de berekening van de reactietijd was verwaarloosd. De reactietijd van een SIF is de tijd die nodig is om de gevaarlijke procesvariabele te detecteren totdat het laatste element klaar is met werken.
We waren ook getuige van het testen van een gloednieuwe Floating Storage Unit in de Britse Noordzee. Een aantal SIF’s was gespecificeerd en bij de tests werd vastgesteld dat de laatste elementen (in dit geval kleppen) niet in een veilige staat verkeerden; ze moesten hydraulisch worden verplaatst. Dit staat bekend als ‘Energise to Trip’ en de standaard vereist dat het verlies van de aandrijfkracht (d.w.z. de hydraulische druk) wordt gealarmeerd voor de handeling van de operator en dus deel uitmaakt van de SIF en vereist verificatietesten op zich. Geen drijfkracht = geen trip wanneer dat nodig is.
Classificatie van gevaarlijke gebieden Onshore/Offshore
Bij de indeling van gevaarlijke gebieden voor brandbare stoffen zijn er verschillende belangrijke richtlijnen, afhankelijk van de bedrijfstak waarin u zich bevindt. De onshore aardgasdistributie-industrie kan bijvoorbeeld gebruik maken van IGE/SR/25. Offshore worden de richtlijnen van het Energy Institute in EI15 gebruikt en er zijn enkele tabellen opgenomen voor het type brandbaar gas dat u overweegt, met afstanden tot de onderste brandbare grens op basis van de systeemdruk en de afmetingen van het ontvlammingspunt (d.w.z. de grootte van de gaten). EI15 stond vroeger bekend als IP15, voordat het Instituut voor Aardolie een nieuwe naam kreeg.
We analyseerden enkele mogelijke scenario’s voor het vrijkomen van gas voor aanpassingen aan een Brits Noordzeeplatform, met behulp van IP15-richtlijnen. De gasdrukken die op het platform werden gebruikt, waren echter hoger dan die in de richtlijnen. We hadden de gegevens kunnen extrapoleren en enkele interpretaties kunnen maken, maar we vonden dit niet de beste aanpak. We besloten om wat modelleringsoftware te gebruiken om de gevaarlijke afstanden te bepalen; bekend als de Lower Flammable Limit (LFL). Voorbij de LFL had de uitstoot zich zodanig moeten verspreiden dat deze niet meer brandbaar is.
Eerst hebben we de gegevens opnieuw gevalideerd in IP15 en daarna hebben we onze parameters vervangen. Vervolgens hebben we de afstand tot de standaardbenadering van de helft van de onderste ontvlambaarheidsgrens (1/2 LFL) bepaald. De gehalveerde LFL-waarde wordt gebruikt omdat het moeilijk is om met zekerheid te zeggen dat elke ontvlamming op dezelfde manier zal werken.
Voor hetzelfde platform hebben we ook een aantal modelleringen van de onontvlambaarheid van de vrijkomende vlammen uitgevoerd. Hierbij is gekeken naar potentiële brandbare atmosferen op het platform en is ook gekeken naar de mogelijkheid van eventuele verzamelende branden. Het was bekend dat de samenstelling van het afstekergas varieerde, dus hebben we ook een uitgebreide gassamenstelling gemaakt om een druppelverspreidingsanalyse mogelijk te maken.
Bij het specificeren van elektrische apparatuur die in een brandbaar gebied moet werken, geeft de norm BS EN 60079-10 een bruikbare benadering, die andere normen herneemt. Gevaarlijke gebieden, d.w.z. gebieden waar zich een brandbare uitstoot kan voordoen, hetzij door het ontwerp, hetzij door een ongeval, zijn als volgt ingedeeld voor gassen:
Zone 0: ononderbroken brandbare atmosfeer
Zone 1: brandbare atmosfeer die naar verwachting 100 of meer uur per jaar zal zijn.
Zone 2: brandbare atmosfeer die naar verwachting tussen 10 en 1000 uur per jaar zal liggen.
Alles minder dan 10 uur per jaar is niet geclassificeerd. Merk op dat er vergelijkbare specificaties zijn voor brandbaar stof: Zones 20/21/22.
