《4_英国邦斯菲尔德油库爆炸事故调查总结报告.docx》由会员分享,可在线阅读,更多相关《4_英国邦斯菲尔德油库爆炸事故调查总结报告.docx(28页珍藏版)》请在三一办公上搜索。
1、英国邦斯菲尔德地区油库火灾爆炸事故调查总结报告邦斯菲尔德地区油库爆炸事故调查总结报告第 11 页 共 28 页1.前言2005 年 12 月 11 日凌晨位于伦敦的东北部的邦斯菲尔德油库由于充装过量发生泄 漏,并最终引发爆炸和持续 60 多小时的大火,事故摧毁了 20 个储罐,造成 43 人受伤和 高达 8.94 亿英镑(相当于 101 亿人民币)的经济损失,是英国和欧洲迄今为止遭遇的最 大火灾。2006 年 1 月成立的独立的事故调查委员会,自 2006 年 2 月 21 日发布第一份调 查报告以来,一共公布了 9 份报告,直到 2008 年 7 月才宣布调查结束。委员会进行了深 入而全面的
2、调查,事故的完整过程和和深层原因被逐步揭示,整个工业界都在反思调查 结果,以从中吸取教训。本文通过对事故调查报告的分析与总结,提出可供国内油气储运企业借鉴的经验, 以方便企业对自身进行检查,或者依据检查结果采取进一步的风险管理措施。风险管理已经被世界上很多能源产业公司所接受和认可,尤其是在石油化工、电 力、核电、化工工业等高风险的行业都有很好的实践和应用。风险管理是一个系统化的 方法和理论,它包括各种不同的风险管理手段,本文所涉及到的风险管理手段只是整个 风险管理体系中的一部分,关于的它的详细内容可以参照 Scandpower 风险管理中国公司 的其他报告,本文不作进一步的深入介绍。2.英文缩
3、写本文中用到了多处英文缩写,其完整表达如下(按文中出现的顺序):HOSL COMAHHertfoudshire Oil Storage LimitedControl of Major Accident Hazards Regulations哈福德郡储油有限公司重大危险源控制法案BPABritish Pipeline Agency Limited英国管道运营公司BPBritish Petroleum Limited英国石油公司UKOPUK Oil Pipelines Ltd英国石油管道公司ATGAutomatic Tank Gauging储罐测量监控系统SILSafety Integrity L
4、evel安全完整性等级QRAQuantitative Risk Assessment量化风险评价3.邦斯菲尔德地区介绍3.1区域布置邦斯菲尔德地区是一个大型的油料储存区,位于伦敦的东北部,某种意义上具备战 略储备油库的功能。该地区存在有多家储油公司,是依照原有的英国健康安全署土地规 划法发展起来的,这部方案按照已建设危险源为起点,不断向往扩展安全距离,并规定 在不同的安全距离内允许被规划的土地使用。因为工厂只被允许在最小的安全距离内发5 May 2011展,这使得先后发展的多家储油公司基本上毗邻建设,甚至互相渗透,形成今天邦斯菲尔德地区独特的油库地区现状。整个油库地区夹在樱桃树路(Cherry
5、 tree Lane)和邦斯菲尔德路(Buncefield Lane) 之间,北部、东部和南部均为农田,在西部和班得瑞大道(Boundary Way)之间分布有 大量的公司和民房(在事故中遭到严重破坏),距离西部的外围墙在 120m 左右(英国 健康安全署按规定可以规划民房的最近距离)。图 3-1 展示了油库地区的周边情况。事故池消防泵房A 罐区樱桃树路#12班 得 瑞 大 道绿化带民房 Fuji公司围墙#912应急 发电机房Northgate公司邦 斯 菲 尔 德3COM 路公司RO事故池公司B 罐区图 3-1: 邦斯菲尔德库区区域布置图3.2平面布置哈福德郡储油有限公司(HOSL),是道达
6、尔英国公司和德士古石油公司合资经营 的。HOSL 分为西区和东区两个区,西区就是本次事故的发源地以及大火的中心,它分 布有 A、B、C、D 四个罐区。HOSL 被批准的最大储存量是 34000 吨车用燃料和 15000 吨煤油。依据重大危险源控制法案(COMAH)要求的安全评估报告在事故发生时正在 进程中,还未完成。英国管道运行公司(BPA)是由壳牌和英国石油公司(BP)负责运营的管道公司, 但它所管理的管道资产属于英国石油管道公司(UKOP)。BPA 在邦斯菲尔德地区的油 库被一条小路(樱桃树路,Cherry Tree Lane)分割为两个部分,分别是路北边的北区和南边的主区,都几乎被摧毁在
7、大火中。BPA 被批准储存 70000 吨车用燃料和其他油品。COMAH 要求的安全评估报告已经完成。英国石油公司(BP)的储罐位于整个邦斯费尔迪库区的南部,由于距离 HOSL 西区 最远得以在这场大火中幸免。BP 被允许储存 75000 吨车用燃料和来自 BPA 的所有油 品。COMAH 要求的安全评估报告已经完成。图 3.2 显示各个区域的相互关系。整个邦斯菲尔德库区通过三条独立的输油管线输送油料,分别是: 10 英寸的 Finalline,首站在道达尔的 Lindsey 炼厂,末站在 HOSL 西区; 10 英寸的 M/B 管线,首站在壳牌的 Stanlow 炼厂,末站在 BPA 北区;
8、 14 英寸的 T/K 管线,首站来自壳牌的码头和 Coryton 炼厂,末站在 BPA 主区。三条管道均采用分批次顺序输送的方式进行输送,混油返回炼厂重新炼制或者直接 混入低品位油罐。油料到达 HOSL 后按不同种类储存在相应的的储罐,表 3.-1 显示了发 生事故的 HOSL 西区各罐区的储存情况。车用燃料主要由 HOSL 西区、BP 和很少的一部分从 BPA 用油罐车运输出邦斯菲尔 德库区,航空煤油依靠一条 6 英寸和一条 8 英寸的管道从 BPA 输送至伦敦机场,图 3-3 显示了各个管线的相互关系。3.3主要安全设施和事故相关设施3.3.1 储罐测量监控系统(Automatic Ta
9、nk Gauging,ATG)#912 储罐安装有 ATG 系统,这是一个储罐的监测和控制系统。ATG 可以监控储罐 液位、温度和阀门状态,并可以实现远程控制。同时 ATG 系统还可以接受来自系统外部 的报警信号并进行相应的动作。对于所监控的数据,包括异常事件和阀门状态均会被保 存数月。ATG 系统前端包括一个安装在罐顶的伺服液位计和和安装在底部的热电偶温度计, 测量数据被传送到 ATG,HOSL 所有的储罐的液位和温度数据均接入 ATG,由操作人员 在控制室通过 ATG 进行日常作业。图 3-4 显示了 ATG 系统的组件和安装位置。3.3.2 液位超限报警装置#912 储罐在顶部安装有一个
10、独立的液位超限报警装置(安全仪表系统),当储罐液 位达到极限位置(实现设定)后该装置将向控制室发出声光报警并同时自动关闭储罐的 进料阀门,同时报警信号还会传向上游的 BPA 控制室,这时 BPA 将关闭通向西区的进 油主管线。西区控制室还有一个优先选择开关可以阻止西区的关断信号传向 BPA,当优先选择 开关被确定为阻止时,会在控制面板上亮起一个红色的警示灯。3.3.3 通气孔#912 储罐在顶部设置有 8 个 0.07m2 的三角形通气孔,一是为浮盘上方的油气提供足 够的与外界大气流通的面积;二是在事故状态下起到油品溢流作用。3.3.4 消防水折流板#912 储罐罐顶的外延设计有一圈消防水折流
11、板,折流板的设计意图是为了让罐顶的 消防喷淋装置喷出的消防水可以程瀑布状流下,以最大程度的覆盖罐体;同时也在高温 天气用来冷却罐体温度。图 3-5 显示了折流板的安装位置和外观。3.3.5 防风梁#912 储罐的罐体中部有一个防风梁的结构设计,设计的目的是为了抵御来在罐体侧 面的风载荷,但它会在罐体的外部形成一个突起,图 3-5 显示了防风梁在罐体的位置和 外观。3.3.6 防火堤#912 储罐所在的 A 罐区(类似与其他罐区),设计有防火堤,防火堤的设计容量是 罐区内最大容量储罐的 110%,同时防火堤设计有雨水排出口。防火堤上存在管道的穿越 现象。HOSL 消防泵房BPA#12 罐BPA
12、事故池HOSL 事故池HOSL 西区 A 罐区HOSL 西区 B 罐区壳牌 BPHOSL 西区BPAHOSL 东区HOSL 西区 C 罐区HOSL 东区事故池BP 罐区图 3-2: 邦斯菲尔德库区平面示意图T/K 管线Finaline 管线Finaline 管线计量区航空煤油外输管线M/B 管线M/B 管线计量区T/K 管线计量区图 3-3: HOSL 库区来料管线示意图8 个通气孔检查窗伺服液位计独立的液位安 全仪表装置探测竖井液位传感器检查孔内浮顶滑动密封热电偶 温度计图 3-4: #912 储罐结构示意图通气孔消防水折流板防风梁图 3-5: #912 储罐外部表 3-1: HOSL 西区
13、储存情况列表罐区储罐编号介质进料管线A910汽油T/KA 912 汽油 T/KA915 汽油 Finalline B911 汽油 Finalline B913 柴油B 914 柴油B 916 柴油C901 汽油 T/K C902 汽油 T/K C903 汽油 T/K C904 汽油 T/K C905 汽油 T/K D906 混油D 907 混油D 908 柴油D 909 混油4.事故调查总结4.1事故发生经过2005 年 12 月 10 日 19 时,HOSL 西区 A 罐区的#912 储罐照生产计划开始接受来自 于 T/K 管线的无铅汽油,输送速度为 550m3/h。2005 年 12 月
14、11 日 0 时,该批次输送结束,并开始进行例行的液位检查。2005 年 12 月 11 日 1 时 30 分,例行检查结束,一切正常,继续向#912 储罐输送。2005 年 12 月 11 日 1 时 3 时左右, ATG 的液位数据停止变化,至事故发生时一直显示储罐液位在大约 2/3 处。由于 ATG 的数据一直没有发生变化,因此和 ATG 相联的警 报系统一直没有动作,致使充装一直继续。2005 年 12 月 11 日 5 时 20 分左右,按照当时的充装速度和#912 储罐容量,储罐已 经完全充满。2005 年 12 月 11 日 5 时 20 分左右,#912 储罐上安装的独立液位超
15、限报警装置未动 作,充装继续,导致汽油开始从罐顶的通气孔向外溢出。2005 年 12 月 11 日 5 时 38 分左右,溢出的汽油开始在 A 罐区内由#912 储罐位置向 西蔓延,从视频和目击者反映的证据显示,当时的蒸汽云厚度已经达到了大致 1m。2005 年 12 月 11 日 5 时 46 分左右,液态的汽油开始从 A 罐区的围堰内溢出,蒸汽 云的厚度达到了 2m。2005 年 12 月 11 日 5 时 50 分,蒸汽云扩散到 Northgate 公司和 Fuji 公司的停车场。2005 年 12 月 11 日 5 时 54 分,由于通往金斯顿地区的阀门关闭,T/K 管线输向#912储
16、罐的流量由 550 m3/h 增加到 890 m3/h,溢油进一步扩大。2005 年 12 月 11 日 6 时 01 分 32 秒,当地的地震记录仪记录到了最大的一次爆炸, 随后又发生了多次爆炸以及持续的大火。图 4-1 显示了事故发生过程的主要事件,图 4-2 显示了蒸汽云扩散过程。图 4-1: 事故发生过程12 284-2: Northgate5 May 2011邦斯菲尔德地区油库爆炸事故调查总结报告第 28 页 共 28 页4.2爆炸发生时的安全设施及相关设施状态事故发生时的三条管线状态如下: Finaline 管线以 220 m3/h 向 A 罐区的#915 储罐输送汽油; M/B
17、管线以 400 m3/h 向 D 罐区的#908 储罐输送柴油; T/K 管线以 890 m3/h 向 A 罐区的#912 储罐输送汽油。ATG 系统的数据显示,爆炸发生时#912 储罐的进口阀处于打开状态,液位处于 2/3处,温度数据 3 时开始一直处于上升状态。液位超限报警装置未发出任何报警动作,BPA 的控制室 SCADA 系统未接到自该系 统的报警信号。4.3事故后果4.3.1 爆炸最大的爆炸发生在西库区、Fuji 公司和 Northgate 公司之间的范围内。在第一次爆炸 发生时,蒸汽云向西已经扩散到了班得瑞路,向西北已经达到凯瑟琳家房屋的东南角, 向北超过了英国管道公司的#12 罐
18、,向南越过了整个罐区但还未达到 HOSL 西区的装油 平台,向东达到了英国管道公司的办公室。在富士和 Northgate 的停车场处产生的超压达 到 7-10MPa,在 2km 的地方衰减到 70-100Kpa。图 4-3 显示了通过事故现场的破坏程度 确认的超压分布范围,图 4-4 显示了超压在空间内的传播以及形成的二次超压传播方 向。第一次爆炸产生的闪火范围大致有 8000m2,图 4-5 显示了通过现场被烧过痕迹确定 的闪火的影响范围。在第一爆炸发生后随后的多次本证实是空罐或者浮顶罐上部空隙发生的爆炸。事后 在 Northgate 的停车场发现了#910 储罐的罐顶,当时该储罐处于停用状
19、态,说明在罐体内 部发生了爆炸。消防泵房内发生过一次爆炸,数据显示在爆炸发生前火警启动了消防泵,可能是启 动引燃了可燃气体。备用发电机房发生过一次爆炸,可燃气体可能通过柴油发电机的进气口进入了室 内,室内设置的一台温控加热器如果开始加热,在电路系统中的任何一个火星都有可能 点燃可燃气体。4.3.2 火灾5 May 2011持续的大火燃烧了 60 多个小时,烧毁了 20 余座储罐,烟尘和大火形成了高达 60m的火柱,大火烧毁了防火堤的密封剂和防水剂,穿越防火堤的管线与防火堤之间的密封 也为破坏,导致大量的油料流出,加剧了火势的蔓延。图 4-6 中第一张和第二张图片为被爆炸破坏后的周边建筑,图 4
20、-7 显示了被破坏的防 火堤,图 4-8 显示了事故后的库区全景。图 4-3: 爆炸产生的超压分布注:红色为一次超压,蓝色为二次超压图 4-4: 爆炸产生的超压传播方向周边建筑物邦斯菲尔德油库范围事故区闪火影响范围图 4-5: 爆炸产生的闪火影响范围图 4-6: 事故后现场及周边图 4-7: 被大火破坏的防护堤图 4-8: 事故后罐区全景5.事故原因分析5.1溢油的发生从 ATG 系统记录的数据来看,自 11 时 3 时#912 储罐的液位数据不再发生变化,大 概停止在储罐 2/3 液位处,这直接导致控制室对#912 储罐液位失去有效的检测并获得错 误的数据,使 ATG 系统一直允许向#912
21、 储罐充装直至开始溢油,甚至只要不发生爆炸 允许一直充装西区。BPA 的 SCADA 系统显示事故发生时并没有接到来自西区的液位超限报警信号,通 过模拟一个超限报警信号,证明通向 BPA 的线路以及系统均是正常的,但是启动优先选 择开关,发现并不引发声光报警,但可以阻止信号向 BPA 控制室传送。由于超限报警器以及系统的供电电缆已经被毁坏了,无法判断究竟是哪一部分发生 了故障。但可以肯定液位超限报警装置(安全仪表系统)在#912 储罐达到警戒液位后, 未进行报警动作,导致#912 储罐在已经开始溢油后,控制室仍然继续向储罐充装直到爆 炸发生。据管理资料显示超限报警器在事故发生前不久才被安装完毕
22、,可能并没有被调试正 确,而且通过事后对同类产品的调研,该报警装置的正确运行完全取决一个核心传感器 在储罐内是否被正确安装。5.2蒸汽云的形成#912 储罐的内浮顶有多处只需要很小的背压就可以穿透的潜在泄漏点,比如伺服液 位计探测竖井的环形密封,检查孔的密封等,使得汽油从这些地方溢出储罐并通过罐顶 通气孔开始向外泄漏。在汽油开始从罐顶向往溢流后,有三个主要原因加剧了蒸汽云的形成: 罐顶外延的折流板阻碍了汽油的向下流动从而形成一个瀑布状的流动形态; 罐体中部的防风梁第二次阻碍了汽油的向下流动从而再次形成一个瀑布; 罐体底部的防火堤内形成一个大面积的液池; 溢流出防火堤的汽油形成更大面积的液池。以
23、上这些原因均导致了汽油的充分挥发并与空气混合,图 5-1 显示了可燃蒸汽云的 加速形成过程。折流板通气孔防风梁形成的瀑布加剧了汽油的挥发, 并与空气混合形成可燃蒸汽云在防火堤内形成的大面积液池, 由于增大了传热面积,也加剧了 防火堤汽油的挥发并与空气混合 形成可燃蒸汽云图 5-1: 可燃蒸汽云的形成过程5.3点火源事故后证明是 HOSL 西区西门外的一位员工违规发动了汽车发动机,排气孔产生的 火星点燃了可燃蒸汽云,同时应急发电机房和消防泵房内的爆炸可能是由于非防爆电器 引起的。5.4防火堤的失效在发生大面积长时间的池火后,导致防火堤本身的多处结构耐火等级是不够的,包 括防火堤的密封剂、防火堤排
24、水口启闭设施、防火堤上穿管的密封剂等等,甚至防火堤 本身不能抵御如此长时间的大火。防火堤的失效导致燃烧的油料四处蔓延,将火势进一 步扩大。同时防火堤本身的容积并不能容纳如此大量的溢油,在着火前汽油已经满溢出了防火堤并随地形向低处聚集,这导致第一次爆炸发生时产生了更大面积的可燃蒸汽云和可 能被引燃范围。5.5区域布置与平面布置的不足邦斯菲尔德地区的区域布置使用以往的距离防范体系,图 5-2 显示了在该体系下建 立的 3 个不同的风险等级区域。在最外层的低风险区域(距离外墙 185m)之外,发展任 何的土地使用都将被允许。在高风险区只被允许建设工厂,在中风险区将被允许发展第 三方的非生产性建筑以及
25、民宅。但在这次事故中,按照该体系建立的中风险区域的建筑物遭到严重破坏,说明以往 的分析方法是存在潜在风险的,这也直径导致这次事故的波及范围被扩大。事故中备用发电机房和消防泵房几乎在爆炸发生后马上遭到破坏,同时 HOSL 西区 和 BPA 的大部分储罐全部被破坏,这反映出平面布置反面的一些不足,导致设计的事故 抑制手段不能发生效用,同时更易发生多米诺效应,造成事故的不多扩大。5.6应急准备方面的不足库区以及当地的消防和其他应急组织在准备应急计划时,只设计了储罐泄漏后形成 池火事故和装油区泄漏的形成小范围可燃蒸汽云爆炸事故,这导致事故发生时虽然有及 时的应急响应,却没有对应的应急计划去执行,也没有
26、针对性的应急资源。消防部门基 本没有进行有效的扑救,而只是等待大火自行消灭并只对可能波及到范围进行疏散。5.7排水系统缺陷排水系统的设计并没有考虑到如此大面积泄漏,因此不但灭火后的消防废液处理没 有达到控制,同时溢出防火堤的汽油也通过排水系统进行了扩散。高风险区120m中风险区135m低风险区185m图 5-2: 邦斯菲尔德地区的风险规划图6.其他类似事故介绍表 6-1 显示了其他一些类似事故的情况。表 6-1: 事故情况列表地点时间事故爆炸过程休斯顿,德克萨斯 州,美国1962 年 4 月一个汽油储罐泄漏了少许汽油,天气基本无风,被一条附近的高速公 路上的汽车引燃。当时的报道为“爆炸”。贝敦
27、,德克萨斯, 美国1977 年 1 月27 日一艘运油船发生充装溢油事故。没有更多细节,发生在不太开阔的空 间。德士古,纽瓦克, 新泽西州,美国1983 年 1 月 7日零点在向储罐充装无铅汽油时发生溢油,大约泄漏了 114-379m3(80-265t)。小风,被 300m 外的点火 源点燃。在最大的爆炸发生前有三次小型的爆 炸,爆炸产生了很 高的超压,但没有 具体数值;发生在 开阔空间。那不勒斯,意大利1985 年 12 月21 号在向储罐充装无铅汽油时发生溢油,大约泄漏了 700t。微风,2m/s。在点燃前汽油已经从顶部向外泄漏了1.5 小时,爆炸超 压通过对事故后果 的反演确定至少大于
28、48kPa;发生在 拥堵的空间。圣艾尔布兰市,法 国1991 年 10 月7 日 4 点一条运输管线发生泄漏,汽油进入围堰,在 20 分钟后,被 50m 远的 停车场上的发动机点燃。风速小于1m/s,形成的可燃蒸汽云估计有23000m3。爆炸产生了很高的超压,现场布置的 储罐加剧了超压的 传播。杰克逊维尔,佛罗 里达州,美国1993 年 1 月 2日 3 点 15 分在向储罐充装无铅汽油时发生溢油,大约泄漏了 190m3(132t)。爆炸产生了很高的超压,但没有具体 数值。林查班,泰国1999 年 12 月2 日 23 点 25分在向储罐充装汽油时发生溢油。爆炸产生了很高的超压,但没有具体 数
29、值;发生在开阔 空间。7.建议通过以上的介绍与分析,我们可以看到邦斯菲尔德地区的 HOSL 油库其实并不缺乏 完善的安全保护措施,图 7-1 显示了它所采用的各种保护措施。但是在第一层的预防性的保护措施液位计量系统和独立的液位安全仪表系统(SIS)发生故障,导致事故发生后,其余的多层保护措施纷纷无法应对或者失效,这让 事故发展到无法预计的严重程度。因此事故调查委员会认为加强第一层保护手段,尤其是液位安全仪表系统(SIS)的 安全完整性等级(SIL)是应该被优先考虑的,应该提高该系统的可靠性,并提供有效的 方法去分析和评价它的可靠性即 SIL 等级,以及如何在设计、安装、调式和运行中保持 其需求
30、的 SIL 等级。同时,事故调查委员会也对于其他保护层提出了全面的建议,以下将结合国内的实 际情况进行介绍。图 7-1: 邦斯菲尔德地区的安全保护层7.1安全完整性等级(SIL)分析评价这次事故揭示的一个重要问题在于用于保证事故不会发生的液位安全仪表系 统(SIS)一旦发生故障,将产生无法遏制的风险,并最终产生严重的后果。对此事故调查 委 员 会 在设计 和操 作方面 建议 了最重 要的 风险管 理手 段 安 全 完 整性等 级( Safety Integrity Level, SIL)分析和评价。主要建议如下:1)由于第二层以及三层保护手段均是设计用来限制泄漏油品的溢流范围,因此显而易 见它
31、们对可燃蒸汽云爆炸是毫无用处的,同时它们还有设计的容量限制,不能应付 超量的泄漏,因此只有将主要的努力关注在第一层保护手段上,要防止出现大范围 的油品泄漏及气云扩散,也就是要提高液位安全仪表系统(SIS)的可靠性。2)主管当局和邦斯菲尔德地区的业主应该为涉及到油库的溢油保护系统的所有安全仪 表系统(SIS)进行 SIL 分析和评价(参照 IEC 61508/61511 国际标准),并且对于 评价应确定指导性的方法和标准,评价中应考虑以下方面: 在油库周边的敏感设施和人员的分布; 油库的操作强度以及运行方式; 油库监测系统可靠性的期望值; 人员监控的范围和周期。3)对于 HOSL 油库和其他所有
32、油库(包括储存其他闪点更高的液体),应设置安全完 整性等级高的自动溢油保护系统,该保护系统必须是完全独立于储罐液位监测系 统。该系统的 SIL 等级应满足相应的等级要求(该要求来自于 SIL 定级评价的结 果)。4)为了保证一级保护层中设备和系统的持续完整性,邦斯菲尔德地区的业主在必要时 应该审查和修订维护管理体系,审查应考虑以下方面: 对于一级保护层安全仪表系统(SIS)的定期检验的安排和程序是否合适,任何被确 定的关于此项工作的修订应立刻被执行; 任何关于一级保护层的设备或系统改动都应被优先确定不会影响一级保护层的运行 效果。5)安全仪表系统(SIS)的(包括液位检测,逻辑电路、控制设备和
33、独立的流量控制 设备)设计、运行和维护都应该达到相应的 SIL 等级的要求。6)安全仪表系统(SIS)的的各个元件应进行周期性的测试,以满足处于相应 SIL 等 级的安全仪表系统(SIS)的要求。7)确保安全仪表系统(SIS)处于不断的技术更新中,与设备制造商和供货商应具备 顺畅而及时的沟通,更新包括: 非传统的液位超限检测手段,它将不依赖于系统中元件的安装位置,以及摆脱传统仪表系统的例行检查、测试、可靠性和维护状态; 增加可靠性的液位检测系统,并且更可靠的传感器可以实现故障自检报警。8)安全仪表系统(SIS)的原始数据记录均应得到很好的保存,并被定期的检查以确 保系统的运行达到了设计要求,检
34、查的重点有: 记录应该可以被第三方顺利的取得而不需要特别的授权; 记录应有多处的备份,至少包括现场和其他地方; 主管当局和运行管理单位应定期对记录进行检查,以确保系统处于完好状态并对其 中的各种触发事件进行原因分析,形成闭环反馈; 记录的保留期限至少为一年。7.2关于设计和操作方面的问题这次事故揭示出以往的设计思路、标准以及操作方法存在一些问题,对此事故调查 委员会在设计和方面提出了一些建议以及思考,主要建议如下:1)一个类似于#912 储罐罐顶的满溢相较于一个低处的泄漏而形成油池会更容易引发 爆炸,同时#912 储罐罐体本身的多处设计也有利用油品挥发进而与空气混合形成可 燃气云,因此建议所有
35、有利于罐顶漫溢时油品挥发的设计都应该被改进。2)对于储罐和管道应该设置有效的视频监控系统,对于异常情况应进行报警;在储罐 和管道的附近应设置可燃气体探测报警装置;对于储罐的异常情况报警应有自动的 反馈,比如关闭储罐入口阀门或者来料管线阀门;对于监控系统、气体探测系统、 报警系统等等均应该由业主和管理当局进行定期的检查,确保处于正确的工作状 态,并对于任何的异常情况进行全面的调查分析。3)对于库区的上游接收站在应对紧急事件时,为确保安全应该具有独立的权利去启动 或停止向油库输油,而不需要另外的许可或者沟通,这项计划需要全盘考虑管网和 上游炼厂的联动。4)应对所有的工作区域进行防爆分区划分的重新识
36、别,确定可能存在可燃性气体场所 的电气设备的防爆类别是否正确。5)是否油罐的防火堤可以用来抵御任何形式的泄漏与消防废液,是否需要在任何情况 下都应该阻止它们流出防火堤。6)防火堤的设计容量应该是罐区内最大储罐容量的 110%,还是罐区内所有储罐容量 和的 25%,需要对规范及标准进行讨论和修订。7)防火堤对于罐区内其他储罐的消防水和冷却水是否有必要截留?防火堤的耐火等级是否可以抵御长时间的池火?防火堤的密封剂或防水材料是否有足够的耐火强度?管 线穿过防火堤处是否有可燃的密封材料,或者没有足够的耐火等级?8)当由于爆炸或火灾导致电力中断,所有油泵和电动阀失效时,库区内由于重力作用 而溢流出来的油
37、品是否可以被阻挡在防火堤内?是否可以被控制住而不流出库区?9)对于库区排水系统的排水能力、最终流向、可能被混入的来自其他地区的废水是否 进行了有效评估?10)应建立在一级保护层失效后危险物质逸散到外部空间后的探测系统,不仅包括液态 的还包括可燃性气体,业主应立即着手寻找并评估各种方法以确保最有效的抑制, 比如有: 在可能出现大量高闪点可燃液体或可燃气体的罐区围堰内设置可燃气体探测系统; 在溢油保护系统与气体探测系统之间建立联动,比如当检测到大范围的可燃气云团 时可以判定一级设防已经失效,这时通过联动再启动溢油保护系统可以阻止更大面积的泄漏; 视频监视系统可以协助操作者判断一些早期的异常工况,可
38、以将异常工况作为触发 事件,提醒操作者转到相应的画面来做进一步的判断。11)当局和行业联合会应对以往的关于第二、三级保护层设防的要求进行检查,针对这 次事故提出新的设计导则来: 确定设计二级设防的最低要求(尤其是对于防火堤的容积); 确定新的风险评估方法来适应新要求; 发表正式的标准修订说明,以确保可以得到落实; 改进已有的消防水管理和排水能力,确保在二级设防失效时将废水排向预先设好的 无环境风险的场所; 提供一个更宽泛的三级设防,确保从库区逸散的废液不会形成新的环境事故。12)应从设计、运行、维护以及检修各个角度着手,重点放在提高人员和各个管理要素 的可靠性来制定新的标准和要求,比如对人员任职能力的考察,持续的培训等等。13)行业联合会应与其他高危行业的从业者建立信息共享的机制,确保各种经验可以在 这种机制下顺利的交流。14)主管当局应确保按照 COMAH 要求提交的安全评价报告中应能够反映在设计、运 行、维护以及检修各个环节中的人员和管理要素得到了充分的分析和评价,以证明 可靠性达到了其他安全、控制和环境保护系统的相当要求。15)行业联合会应该针对一些典型的事故或者潜在的风险,比如过量充装、典型设备失 效、可燃气体检测系统、