​壳牌:​本质安全在浮式液化天然气生产储卸装置上的应用

2021年4月22日,应急管理部国家安全科学与工程研究院在华外企安全生产专家委员会(以下简称外专委)成立暨座谈会在上海举行。外专委秘书处组织外专委专家以本质安全为主题,探讨对本质安全理论的认识,并结合实际工作,分享本企业安全生产具体做法和实践。秘书处通过精心筛选,汇编成册,形成《在华外企本质安全理论认识与实践汇编》。本微信公众号将以连载的形式进行分享。


壳牌:本质安全在浮式液化天然气生产储卸装置上的应用

——在华外企本质安全理论认识与实践(六)
文/周兴臣  壳牌(中国)有限公司


 本质安全工艺就是通过一系列的方法,来辨识、评估和控制存在于工艺系统内的所有危险源,降低生产过程和现场作业环境中的各种风险,不因时间、空间的变化而发生重大事故,形成工艺系统与其它要素相互补充、相互制约的安全可靠性体系。

一个化工生产装置的设计依次经历了可行性研究、工艺包开发、初步设计、下达投资计划、详细设计与施工图设计等阶段;随着设计的深入,可以获得的工艺信息越来丰富,工艺的确定性越来越高,本质安全的应用机会也会逐渐降低。实施本质安全工艺的最佳时间就是在研究与开发阶段,特别是概念设计阶段。

本文简要介绍本质安全在浮式液化天然气生产储卸装置上的应用。 



一、关键安全设备的确定

关键安全设备是根据壳牌“关键安全设备管理规范”【178】导则,从重大灾难事件屏障中识别而来。

(一)特殊HEMP方法

使用本文中介绍的特殊HEMP方法,对项目的环境、安保和健康风险进行了识别和进一步评估。部分方法如下:

环境危害-通过环境危害识别工具(ENVID)来识别。环境危害详见项目环保计划;

安保危害-通过安保危害评估方法进行识别;

健康危害-通过健康评估工具(HRA)来评估。


二、浮式液化天然气生产储卸装置风险降到最低可行(ALARP)的证明标准

 本节提供了证明浮式液化天然气生产储卸装置风险级别降到最低可行(ALARP)的流程和风险标准要求。本装置证明风险级别降到最低可行(ALARP)的流程开始于“概念选择阶段”,在这个阶段,选择了最低风险的方案。在“浮式液化天然气生产储卸装置”被选择为本项目方案后,在项目初期、一路经过初步设计、详细设计、执行阶段,持续到资产的运行生命周期,每个阶段都要按照以下步骤检验并证明风险已降到最低可行(ALARP)的水平:

(一)危害与后果管理流程HEMP (即危害识别,风险评估,识别重大灾难事件,编制蝴蝶结,识别安全关键设备,制定其性能标准)

危害与后果管理流程HEMP工具被用来系统性识别危害、进行风险评估和管理设施中存在的危害。对于可能导致重大灾难事件的危害开发蝴蝶结。这些蝴蝶结的基础形成于壳牌全球多年的陆上、海上相关经验。下列因素帮助了“浮式液化天然气生产储卸装置”特定蝴蝶结的成熟和固化:

遵守法规和相关法律要求;

应用最佳实践;

与壳牌设计规范有关的事故教训;

工人参与;

通过一套正式的安全评估工具(ERA, FRA, CSRA, EERA, DOS)对项目特有危害进行详细分析。FSA(消防安全评估)提出的推荐项已纳入设计中,以减低风向;

特别的HEMP工具,如HAZOP,SIL/IPF,桌面安全审查,人机工程设计,3D模型审查,应急反应计划和启动前安全审查,识别了可能导致危害释放的威胁,评估了每一条威胁的控制和补救屏障;这些工具涵盖硬件屏障(如泄压阀,仪表保护功能)和与某条关键程序有关的人员屏障(关键报警+操作工干预)。对各种失效模式(包括通用失效模式)进行了评估,以确保在各种情况下,屏障可以有效预防顶级事件或潜在的事件升级。

以上这些因素被用于流程的下一步,即关键安全设备的识别和相关性能标准的开发。本项目的蝴蝶结将特殊的安全关键设备与控制措施/屏障相关联。这些安全关键设备按功能性能要求来设计,来预防或缓解已识别的危害。这些性能要求详细反映在设计性能标准中,包括功能性、可用性、可靠性、耐受性、相依性。

危害与后果管理流程HEMP具有持续风险降低“ALARP”环节,即通过各种输入,将风险降低措施加入到蝴蝶结中,不断改善安全关键设备的性能标准。这个环节经历了九次正式修订,到了安全关键设备和其性能标准的第九版,才由独立验证员按法规要求进行了独立验证。

(二)本质安全

风险管理的本质安全理念,是本“浮式液化天然气生产储卸装置“项目基础,通过重视基础设计和布局,来避免/消除危害,或降低发生事故的规模、严重性或可能性。本质安全风险管控等级见图4.4。本质安全风险管控等级图用于项目的每个阶段,开始于从决定设备布局、设备类型或工艺技术方案,持续到项目的全生命周期。

此外,在设计过程中,为了缓解重大灾难事件的风险,应用了两个关键的安全策略:火灾、爆炸和低温介质泄露策略,逃生、疏散和救援(EER)策略。

1.火灾、爆炸和低温介质泄漏策略

“浮式液化天然气生产储卸装置”火灾、爆炸和低温介质泄漏风险主要来源于压力工艺系统失去遏制。将火灾、爆炸和低温介质泄露风险降到最低的首要策略是关注危害预防,主要是降低系统失去遏制的频率。其次,如果碳氢化合物释放,应有控制和缓解措施,以降低着火的可能性及后果的严重性。

2.逃生、疏散和救援(EER)策略

逃生、疏散和救援(EER)策略详见如下:

a)允许"浮式液化天然气生产储卸装置"事故区域的人员安全逃生,提供了冗余逃生方式。

b)在设施的不同位置提供临时避难所,保证足够的尺寸和足够时间的防护,以控制事故,保证有序疏散(如果必要的话)。主临时避难所在船尾,副避难所在"浮式液化天然气生产储卸装置"前端。主/副避难所的耐受时间是一小时。

c)确保可以在不同的关键位置通过不同逃生手段有序安全疏散。

d)要在疏散完成后,方便外部力量进行人员救援。

“浮式液化天然气生产储卸装置”的设计、布局和建造上允许在发生重大灾难事故时,平台上人员能够安全地逃生、进入避难所、疏散和被救援。

(三)风险降低措施的评估

特定风险降低措施是根据图4.5“UKOOA风险决策框架“来评估的。影响决策的因素有规范和标准、现行实践、专家判断、基于风险的分析、价值,或这些要素的组合。如果决策是基于风险分析,则必须采取措施,除非降低风险的代价与收益显著不成比例。如果决策是基于专家的判断或者基于价值,相关利益相关者(包括工人)应参与决策。

 

(四)基于风险的定量法-风险容忍标准

1.作业人员风险容忍标准

  作业人员的风险水平以个体风险(IR)来表述,即单个作业人员由于与作业活动有关的所有危害可能导致死亡的风险。个体风险是以一年为基础,与单个作业人员或一组从事同样活动的人员组别有关。计算出的个体风险水平可以置于图4.6的某个风险区,以反应某一特定操作活动,可作为尺码来测量安全,以此提升对潜在事故的警觉,来提升预防措施。


处于红区的风险(个体风险大于1 x 10-3/年)需要立即采取措施,将风险暴露值降到最低,并将风险降低到黄区或者更低。处于黄区的风险需要进一步分析,采取措施,进一步降低到被证明处于“最低可行的程度“。蓝色风险区(个体风险低于1 x 10-5/年)不需要再证明风险已降到”最低可行的程度“,需要通过HSSE管理体系来管理这些风险,并持续改进,以进一步降低风险。

该“浮式液化天然气生产储卸装置”绝对个体风险可接受标准应该是低于1 x 10-3/年。但是因为采用了创新性方案,该装置绝对个体风险可接受标准提升了50%,即绝对个体风险限制为5 x 10-4/年。

2.作业人员暴露于工艺危害的风险

个体风险是通过识别个体可能暴露的各种风险源来得出的,算出每一种风险源的风险,再将这些风险合并,然后得出总体风险。对于一般作业人员来说,风险源主要有:

职业健康(与岗位有关的危害,滑倒、跌倒、摔倒);

交通(道路交通/航空/海上运输事故);

工艺有关(工艺遏制失控,导致火灾,或者爆炸或者中毒)。

鉴于“浮式液化天然气生产储卸装置“是把一个陆上(分馏和液化)工艺装置搬到了海上,对于其工艺风险有着特别的关注。为了量化工艺危害的风险,本项目将个体风险目标值确定为低于3.3 x 10-4/年。

3.主要安全关键设备的风险

主要关键安全设备的性能标准见表格4.1。从平台设计到运行,一致实施这些HSSE风险管理要求。

主要关键安全设备性能标准

主避难所和副避难所

主避难所和副避难所在灾难环境下在一小时内可能导致其失去完整性的损坏频率

 

如果临时避难所设计用于100人以下,避难所损坏频率要遵守行业标准,即低于1x10-3/年,且降到了最低可行标准。

因此副避难所的设计损坏频率限值= 1 x 10-3。

如果临时避难所设计用于100人以上,采取更严格的损坏频率,即≤ 1/(10 * 平台上人数),因此临时避难所损坏频率限值为 2.9 x 10-4 [见注 1]

逃生系统(逃生到主避难所/副避难所的路径)

评估可信的导致逃生系统损坏的灾难事件。记住冗余体系,证明要至少有一条逃生路径可以抵达主避难所或者副避难所。

要进行量化评估,且风险达到最低可行程度

主避难所和副避难所之间的逃生路径及登船/登机区域

评估可信的导致主避难所和副避难所之间的逃生路径及登船/登机区域在一小时耐受期内损坏的灾难事件。

要进行量化评估,且风险达到最低可行程度

注1-平台按最多340人考虑

表 4.1:主要关键安全设备(临时避难所/副避难所、逃生和疏散通道)性能标准

(五)以风险为依据的理念-保护层分析(LOPA)

对于工艺上可能导致重大灾难事件、带有SIS屏障的蝴蝶结,对其威胁都通过LOPA进行了评估,确保风险降到最低可行程度(ALARP)。对于每项威胁,其剩余风险频率利用初始事件频率乘以控制和恢复屏障在需要时的失效可能性(PFD)来估算,在进行仪表保护SIL评估时完成此项评估。在LOPA分析时,为确保达到最低可行水平,对于有人员伤亡危险的重大灾难事件,剩余风险应该≤ 10-5/年。

(六)ALARP(最低可行水平)的日常证明

对于剩余风险管理和日常证明,是借助于安全管理体系。遵守安全管理体系可以确保对在“浮式液化天然气生产储卸装置“上的人员健康和安全风险降到了最低可行水平。识别出来的进一步风险降低措施,将按安全管理体系和ALARP标准进行评估。

安全管理体系为安全关键设备和体系的维护和运行提供了性能标准要求。开发了运行性能标准,以确保在设施生命周期内安全关键设备的技术完整性。

安全关键活动需要被定义,并植入现有的流程和管理体系,确保重大灾难事件屏障得到建立且有效,负责执行安全关键活动的安全关键岗位需要被识别,并由合格的人员来担任。


三、重大灾难事件管理

(一)“浮式液化天然气生产储卸装置” 重大灾难事件

OPGGS(安全)2009条例将“重大灾难事件“定义为在设施上或附近可能导致多人伤亡的事件。“浮式液化天然气生产储卸装置“危害风险评估采用了壳牌风险评估矩阵(RAM)。在壳牌风险矩阵上,后果等级4可能是永久性完全丧失劳动能力或多达3人死亡。

对于识别出的潜在后果4级的危害,进行了进一步分析,以确定多人伤亡事故(重大灾难事件)是否可信。评估是基于可信的后果情景(直接和升级),人员暴露的潜在可能,以及壳牌和油气行业历史死亡事故数据。此外,在危害登记表中,特别标注4级后果的危害是可能造成单一死亡,还是多人死亡。

其中一个事故后果4级的危害分析例子就是直接比较同时具备4C风险级别的多人高处作业(ref H-05.001.01)和单人高处作业(ref H-05.001.02)。H-05.001.01指多人在脚手架上作业而发生脚手架坍塌事故,因此被分类为可能导致多人伤亡的“重大灾难事件“,做出了该“重大灾难事件“评估表和蝴蝶图。H-05.001.02涉及单人高处作业,因此可信后果是单人死亡。

对于重大灾难事件,危害登记表的最后纵列链接重大灾难事件评估表/蝴蝶结。对于非重大灾难事件,设置了控制措施,执行并维护这些措施可以将其风险管理到最低可行水平。危害登记表的最后纵列总结了风险最低可行水平的证明过程。