Gasplasma-Prozessgefährdung & Risikobewertung
Wir ermöglichten zwei Viertägige HAZOP Studien für Vorbauplanung und Vorinbetriebnahme von einer Bio-Synthesegas-Anlage, Hervorhebung potenzieller Konstruktionslücken und Hervorhebung potenzieller Konstruktionslücken und Sicherheitsmanagementsysteme, bereit für den Entwurf einer voll funktionsfähigen Großpilotanlage.
Zu diesem Zweck haben wir die P & IDs und die Prozessbeschreibung überprüft und HAZOP Studienknoten entwickelt. Wir bestätigten den HAZOP verfahren und Risikoranking-Kriterien. Wir planten die HAZOP Studie in Reihenfolge von meist gefährliches System zuerst; meist harmloses System zuletzt.
Wir unterstützen unsere Kunden durch Überprüfung der Angemessenheit der HAZOP Aktionsreaktionen; d.h war der Besorgnis geäußert auch angesprochen.
Funktionelle Sicherheitstechnik Rezension
Wir haben einen Risikobewertungsansatz entwickelt, der auf der LOPA Theorie (Layer of Protection Analysis) basiert, um die Integritätsanforderungen für ein Brand- und Gaserkennungssystem (F & G) auf einer schwimmenden Speichereinheit (FSU) zu bewerten, die in der britischen Nordsee festgemacht werden soll.
Das FSU Sicherheitssystem wurden spezifiziert per der norwegischen Standard OLF070 aber der Ansatz dieses Standards ist etwas anders von dem Ansatz der in der internationalen Standard IEC61511, weswegen leider eine gewisse Verwirrung aufgetreten, die Designprobleme verursachte.
Da es kein Beispiel für unsere Methodik gab, entwickelten wir unseren eigenen konservativen Ansatz:
Wir überprüften alle Raume am Schiff zu bestimmen, welche wahrscheinlich besetzt waren.
Wir entwickelten ein Besatzungsprofil, und anschließend Belegung demografisch, basierend auf unserer Erfahrung und unserem technischen Urteilsvermögen.
Zusammen haben wir verschiedene Regelsätze entwickelt, um einen Konservativen Ansatz für die Risikobewertung zu ermöglichen, der robust und Herausforderung besteht.
Das Resultat diese Übung war das sogar in den drei Identifizierten höchsten Risiko bereichen (Motorraum, Ausstattungraum, untergetauchter Kuppelraum) , es gab keine Anforderung für eine äquivalente Integritätsbewertung.
Diese Arbeit führte zu einer weiteren Anfrage einen ähnlichen Umfang zu übernehmen für Notfall Abschaltung (ESD – Emergency Shutdown) und Prozess herunterfahren (PSD – Process Shutdown) funktionen. Wir unternahmen auch weitere Untersuchungen für das F&G System von einer Kommerziellen Perspektive.
Wir haben eine hochwertige Auswertung vorbereitet zu bestimmen, ob eine SIL Bewertung für die ESD Funktion angemessen wäre. Wir nutzten unsere Erfahrung und technisches Urteil um die Häufigkeit das Ereignis und wahrscheinlichen Folgen zu bestimmen.
Das Ergebnis der Rezension war das eine formelle SIL-Bewertung über SIL1 hinaus nicht zu rechtfertigen war.
SIL-Überprüfungsberechnungen
Wir haben SIL-Überprüfungen (Safety Integrity Level) für einen COMAH-Standort in Großbritannien durchgeführt. Das Gelände hatte Änderungen an seinen Prozessabläufen vorgenommen und neue Geräte installiert.
Wir besuchten den Standort und sammelten Information auf welcher Herstellung und Modellierung die Anlagenausrüstung in jeder Sicherheitsinstrumentierte Funktion war. Danach versuchten wir Daten zur Ausfallrate von den Geräteherstellern zu erhalten.
Für Stil-Bewertete konforme Ausrüstung mit der Anforderung des internationalen Standards IEC61508, dies normalerweise in Form ein Fehlermodi, Auswirkungen und Diagnoseanalyse (FMEDA Modes, Effects and Diagnostic Analysis) Dokument. Beachten Sie, dass Motorschütze gemäß den Normen EN ISO 13849 oder möglicherweise EN 62061 häufiger SIL-zertifiziert sind und wahrscheinlich keine FMEDA haben.
Unsere Präferenzen für SIL Verifizirungsberechnungen ist die Verwendung der Daten zur Ausfallrate des Herstellers. Weil solche Daten unter optimalen Bedingungen erhalten werden, verwenden wir einen konservativen Ansatz und erhöhen die Ausfallhäufigkeit um eine Größenordnung. Dieser Ansatz erlaubt auch etwas Flexibilität nicht perfekte Probe-Tests zu berücksichtigen.
Wo die Ausfallrate des Herstellers unterhaltbar sind (typisch für nicht SIL-Bewartete Ausrüstung), neigen wir dazu generische Daten zu nutzen (z.B. von ein Chemische Prozesssicherheit oder die Offshore-Zuverlässigkeitsdatenbank).
Das Resultat der Übung war, dass die Systeme infrage monatliche Tests benötigten, um das Ziel-SIL zu erreichen. Offensichtlich, ist dies ist eine belastende Belastung für die Wartungsabteilung, obwohl auf einer Batch-Anlage, erreichbar sein kann. Für einen kontinuierlichen Prozess würde diese Anordnung wahrscheinlich ungeeignet sein und deshalb war unsere Empfehlung in erster Linie die Beschaffung von SQL-bewerteten Geräten.
Funktionale Sicherheitsbewertungen
In Großbritannien wurden einige Änderungen an einem Öllager und die Wiederinbetriebnahme eines Lagertanks vorgenommen. Eine Gefahren- und Risikobewertung wurde unternommen und dies identifizierte das einige sicherheitsgerichtete Funktionen (SIFs) Sicherung im fall einer Fehlbedienung benötigten. Weitere Auswertung stellte fest das diese SIFs würden eine SIL-Bewertung gemäß der internationalen Norm IEC61511 erfordern.
IEC61511 benötigt das Funktionssicherheitsbewertungen (FSAs) unternehmen werden auf jedem SIFs die entweder entworfen werden, in benutzt sind, oder modifiziert/außer Betrieb genommen werden. Es gibt fünf Stufen von FSA die den Lebenszyklus eines SIF abdecken. Wir durchgeführten zwei Funktionale Sicherheitsbewertungen für das Design; FSA1 und FSA2.
FSA1 ist auf einem hohen Niveau und konzentriert sich darauf, sicherzustellen, dass die Grundlagen vorhanden und korrekt sind,sodass die Wahrscheinlichkeit von Fehlern in der Konstruktion minimiert wird. Es soll festgestellt werden, dass ein funktionierendes Sicherheitsmanagementsystem vorhanden ist und dass im Entwurfsprozess ausreichend kompetentes Personal eingesetzt wird. Einstellung für die Bewertung und Verifizierung sollte auch vorhanden sein um zu versichern dass ausreichend Personal, physische Ressourcen und Vorkehrungen vorhanden sind, damit die Anforderungen der Norm erfüllt werden. Dies ist Systematische Fähigkeit und ist eins von drei Grundsätze auf dem ein beanspruchtes SIL-Rating basiert ist.
FSA2 ist mehr fokussiert an dem Design selbst und soll feststellen das bestimmungen für die minimierung systematischer Fähigkeitsschwächen minimiert werden indem Sie eingehendere Fragen stellen. Außerdem werden höherem niveau Fragen zur Cybersicherheit gestellt, ebenso gut wie die Entwicklung, Testen und Verifizierung Planung für allerlei Software und Hardware.
Zusätzlich, die FSA2 prüft welche empfehlungen in der FSA1 ausgesprochen wurden (wie es bei allen FSAs üblich ist, das Ergebnis einer früheren FSAs sollte berücksichtigt werden).
Das Ergebnis der FSA1 war das, obwohl die Design Firma eine anerkannte EPC war, die Prozesse und Verfahren haben sollten, wurden keine beweise bereitgestellt, um jegliche Behauptung der Einhaltung des Standards zu unterstützen.
Das Ergebnis der FSA2 war das, obwohl eine gute Entwurfspraxis bei der Entwicklung von Standardinstrumenten befolgt wurde, der führender Designer war nicht bewusst, dass das Design den Anforderungen der Norm entsprechen. Dies ist eine klare Aufschlüsselung der Kommunikation und zeigt, warum es so wichtig ist das die Anforderungen der Norm, die in FSA1 bewertet werden, auch umgesetzt werden.
SIL Verfassen des Überprüfungstestverfahrens
Wenn SIF’s (Safety Instrumented Functions) entwickelt und Eingerichtet werden, mussen sie getestet werden bevor sie in Betried genommen werden, und sich darauf verlassen, dass sie eine diskrete Risikominderung (d.h. um Ihre Leute und Vermögenswerte zu schützen) Die internationale funktionale Sicherheitsnorm IEC61511, benötigt dass zusätzlich zur Funktionalität des SIF unter normalen Bedingungen die Funktionalität unter abnormalen (d. h. Fehler-) Bedingungen gründlich getestet wird.
Wir haben über 100 SIL Überprüfungstestverfahren vorbereitet für brandneue Offshore-Installation in der britischen Nordsee.
Die Verfahren enthielten den folgenden Inhalt:
SIF Beschreibung: was es macht, eindeutige Kennungen, SIL-Bewertung, Prozesssicherheitszeit.
SIF Inventar: Ein Zeitplan mit Marken, Modellen und Seriennummern aller Geräte in jedem SIF sowie IP-Adressen für alle programmierbaren elektronischen Logik Löser.
SIF-Test vorausgesetzte Informationen: Platz für die Aufzeichnung der Erlaubnis zur Arbeit mit Nummern und Referenz zur Risikobewertung; Dateien jeder notwendigen Testausrüstung und Platz für die Aufzeichnung Marke / Modell / Kalibrierung Datum; eine liste der Geräte-Tags zur visuelle Überprüfung für offensichtliche Anzeichen von Schäden.
Testprotokoll zum Testen von technischen Überschreibungen; negative Prüfung von Sensoren und Endelementen.
Testprotokoll für End-to-End Funktionstest.
Checkliste für die Wiedereinstellung.
Abschnitt mit Zeugenunterschriften.
Unabhängiges Zeugnis Onshore/Offshore
Ein britisches Onshore COMAH Kraftwerk hatte vor kurzem ein HAZOP durchgemacht der die Notwendigkeit eines SIFs (Safety Instrumented Functions) identifiziert hat. Diese wurden bewertet in einer Analyse der Schutzschicht (LOPA-Layer of Protection Analysis) Studie und eine Sicherheitsintegritätsstufe (SIL- safety integrity level) Bewertung wurde zugewiesen, nach dem internationalem Standard IEC61511.
Der Standard verlangt, dass bevor ein SIF in die Betriebsphase tritt, d. h. bevor dem Schutz verlassen wird, muss es eines Überprüfungstests durchmachen um zu beweisen, dass es Designanforderungen trifft.
Wir würden gefördert Zeuge eines Überprüfungstest zu sein. Während einem Überprüfungstest, ein einziger Fehler bedeutet ein Fehler für den gesamten Test.
Ein Teil des Tests beinhaltet zu beweisen, dass der SIF in seiner Prozesssicherheitszeit wirkt. Dies ist wichtig denn, der Prozesssicherheitszeit als die Zeit zwischen ein Verlust der Prozesskontrolle und ein gefährliches Ereignis berechnet wird; der SIF muss in dieser Zeit Schutz liefern. Dies ist der SIF- Reaktionszeit.
Wir haben gesehen, dass ein SIF in einer Zeit handelte, die länger war als seine Prozesssicherheitszeit. Natürlich, der SIF hat die Prüfung nicht bestanden. Nach Untersuchung, wurde es beschlossen, dass der angegebener Prozesssicherheitszeit durch die SIF-Reaktionszeit fälschlicherweise ersetzt wurde. Eine andere Sache, die ans Licht kam wahrend der Untersuchung war das ein Software-basierter Delay-Timer implementiert wurde und dies vernachlässigt wurde während der Berechnung der Reaktionszeit. Die Reaktionszeit eines SIF ist die Zeit genommen, um die gefährliche Prozessvariable zu erkennen, bis das endgültige Element seine Wirkung beendet hat.
Wir beobachteten auch das Testen eines brandneuen schwimmende Speichereinheit in der britischen Nordsee. Eine Anzahl von SIFs wurden angegeben und Tests identifizierten, dass das endgültige Element (in diesem Fall Ventile) nicht scheiterten nicht zu einem sicheren Zustand; sie mussten hydraulisch bewegt werden. Dies ist bekannt als ‘Energise to Trip’ (Energie zum Auslösen) und der Norm verlangt, dass der Verlust der Antriebskraft (d. h. der Hydraulikdruck) wurde wegen Bedienereingriff alarmiert und so ein Teil des SIF und benötigt Verifikationstests für sich. Keine Antriebskraft = kein Auslöser, wenn benötigt.
Gefahrenbereich Klassifizierung Onshore / Offshore
Wenn Unternehmen einer Gefahrenbereich-Klassifizierung für brennbare Freisetzungen, gibt es mehrere Schlüsselinformationen der Anleitung, abhängig von welcher Industrie Sie sind. Die Onshore Erdgas Verteilung Industrie, würde vielleicht IGE/SR/25 nutzen, zum Beispiel. Offshore, die Anleitung der Energieindustrie in EI15 wird genutzt und günstigerweise, werden einige Tabellen enthalten für die Art Brenbarengas, die Sie möglicherweise in Betracht nahmen, mit Distanzen zu bis zur unteren Entflammbarkeitsgrenze basierend auf dem Systemdruck und den Abgabepunktabmessungen (d. h. Lochgröße). EI15 war als IP15 bekannt bevor das Institut für Erdöl umbenannt wurde.
Wir analysierten ein paar potenzielle Gasfreisetzungen Szenarios für Modifizierung zur einer britischen Nordsee Plattform,unter Verwendung der IP 15-Anleitung. Jedoch, die auf der Plattform verwendeten Gasdrücke lagen jedoch über denen in der Anleitung. Wir hätten die Daten extrapolieren können und ein paar Interpretationen gemacht, aber wir waren uns der Meinung dies nicht der richtige Ansatz wäre. Wir entschlossen Modellierungssoftware zu nutzen, um die gefährlichen Entfernungen festzustellen; bekannt als Lower Flammable Limit (LFL) (Untere Brennbare Grenze). Jenseits der LFL, die Freisetzung sollte so weit verteilt sein, dass sie nicht mehr brennbar ist.
Erstens, haben wir die Daten in IP15 erneut validiert und dann unsere Parameter ersetzt. Danach ermittelten wir den Abstand zum Standardansatz von der Hälfte der unteren Entflammbarkeitsgrenze (1/2 LFL). Die ½ LFL Wert benutzt, da es schwierig ist zu sagen, mit welcher Genauigkeit jede Veröffentlichung auf die gleiche Weise verhält.
Für die gleiche Plattform, unternahmen wir auch eine nicht entzündete Flare-Release-Modellierung. Diese bewertet potenzielle brennbare Atmosphären auf der Plattform und berücksichtigte auch das Potenzial für Poolbrände. Die Fackelgas Kompositzion war bekannt dass es variiert daher formulierten wir auch eine Schwergaszusammensetzung, um eine Tröpfchendispersionsanalyse zu ermöglichen.
Bei der Spezifizierung von elektrische Geräte, die in einem brennbaren Bereich betrieben werden müssen, gibt Standard BS EN 60079-10 einen nützlichen Ansatz, was andere Standards widerspiegelt. Gefährliche Bereiche, d. h. bei denen es zu einer brennbaren Freisetzung kommen kann, entweder aufgrund von Design oder versehentlich, werden für Gase wie folgt eingeteilt:
Zone 0: kontinuierliche brennbare Atmosphäre
Zone 1: brennbare Atmosphäre erwartet zwischen 100 oder mehr Stunden pro Jahr
Zone 2: brennbare Atmosphäre erwartet zwischen 10 zu 1000 Stunden pro Jahr.
Alles andere unter 10 Stunden pro Jahr ist nicht klassifiziert. Beachten Sie, dass es ähnliche Spezifizierung für brennbare Stäube gibt: Zonen 20/21/22.
