このブログを検索

2014年9月27日土曜日

メキシコで原油パイプラインからの油窃盗失敗で流出事故

 今回は、タンク施設に関連するパイプラインの事故について紹介します。2014年8月16日、メキシコのヌエボ・レオン州 でペメックス社所有のパイプラインから原油が漏洩し、近くのサンファン川へ流出して流域に環境汚染をもたらしました。この漏洩原因はパイプラインからの油窃盗の失敗によるものだとみられています。
ヌエボ・レオン州サンファン川へ流出した原油のクリーンアップ作業
(写真News.vice.com から引用
 <事故の状況> 
■  2014年8月16日(土)、メキシコのヌエボ・レオン州 でパイプラインからの油漏洩があり、近くの河川へ流出する事故があった。事故があったのは、メキシコ国営石油のペメックス社(Petroleos Mexicanos: Pemex)所有のパイプラインで約1,500トンの原油が漏洩し、ヌエボ・レオン州北部にあるサンファン川へ流出して流域に環境汚染をもたらした。漏洩の原因は油窃盗の失敗によるものだとみられる。
           ヌエボ・レオン州モンテレイ付近 (手前はカデレイタにあるペメックス社の製油所)
(写真はグーグルマップから引用)
■ ペメックス社は、817日(日)、同社のマデロ-カデレイタ・パイプラインにおいて油を窃盗するため呼び径24インチの配管に抜出し口を付けようと試みて失敗して破裂し、油が漏洩したと発表した。パイプラインは近くのペメックス社カデレイタ製油所へ原油を移送するためのものだった。同社は、違法な抜出し口を付けようとしたパイプラインは制御下に入っていると語った。

■ メキシコ国家水資源委員会のデビット・コレンフェルド委員長によると、流出はサンファン川の流域6kmに広がったが、オイルフェンスによって囲い込まれたといい、コレンフェルド委員長は、「この流出区域のクリーンアップは2~3か月かかるだろう」と語った。さらに、コレンフェルド委員長は、河川が汚染された区域に暮らす住民に取水しないよう助言したと付け加えた。流出場所はヌエボ・レオン州の州都であるモンテレイから約40km離れたところになる。

■ 環境省のファン・ホセ・ゲラ・アブド氏は、8月26日(火)、サンファン川へ流出した油量は4,000バレル(630KL)近くとみられると語った。ゲラ・アブド氏は、「ペメックス社に確認したところ、本日までにクリーンアップは60%以上完了したとのことだった」と語った。
 国家水資源委員会のコレンフェルド委員長は、「私たちはペメックス社に作業を急ぐように要請しています。というのも、数日中に雨の降る予報があり、その雨も通常より多いとみられるので、そうなれば油汚染が広がってしまいます」と語った。ペメックス社の安全・環境部のムズクイズ・マルティン・ルイス部長は、クリーンアップのため100名を超える作業員を雇用して対応していると報告した。

■ 9月3日(水)、ペメックス社は油窃盗失敗による油の流出量が1,500トンを超えるとみていると報じている。当局は、油の帯がすでに8kmに延びているといい、今後数日から数週間の雨の予報によってさらに油汚染が広がっていくことを懸念していると語った。汚染源の下流にはエルクチロ・ダムがあり、雨水はダムの方へ流れる。このダムはメキシコ第三の都市であるモンテレイの飲料水源になっている。この水系は飲料水源のほか農業用灌漑にも使われているが、汚染源は48kmしか離れていない。

■ 9月3日(水)のペメックス社の報道発表によると、汚染区域でクリーンアップに従事している作業員は500名以上にのぼり、流出油の90%を回収したと述べている。また、ペメックス社は水から油を回収するため、6台のスキマー装置と28台のバキューム車を投入していると語った。
 しかし、前の週の月曜(8月25日)、漏洩は封じ込められ、現場の懸命の努力によって今週初めには終了する見込みだとペメックス社は語っていた。一方、国家水資源委員会は、油の回収が終わっても、必要なクリーンアップ作業が続くとみていた。国家水資源委員会は、必要な作業は3か月以上かかるだろうと予想している。

■ サンファン川へ油を漏洩したマデロ-カデレイタ・パイプラインは、油窃盗と石油闇市場に暗躍している犯罪組織の活動地区を通っている。これらの犯罪活動は日常化している。2010年12月には、プエブラ州サン・マルティン・テスメルカンにおいて、違法な石油窃盗の失敗によって生じた漏洩油の爆発で30名が亡くなるという事故が起こっている。
(写真は両方ともNews.vice.com から引用
(写真は両方ともNews.vice.com から引用)
(写真はTelesurtv.netから引用)
(写真は両方ともElmercurio.com.mx から引用)
補 足             
■ 「メキシコ」は、正式にはメキシコ合衆国で、北アメリカ南部に位置する連邦共和制国家である。人口約12,200万人で、首都はメキシコシティである。
 「ヌエボ・レオン州」は、メキシコの北東部に位置する州で、人口約465万人の州である。州都は人口約114万人の「モンテレイ」で、メキシコ第三の都市である。

■ 「ペメックス社」(Petroleos Mexicanos: Pemex)は1938年に設立された国営石油会社で、原油・天然ガスの掘削・生産、製油所での精製、石油製品の供給・販売を行っている。ペメックス社はメキシコのガソリンスタンドにガソリンを供給している唯一の組織で、メキシコシティに本社ビルがあり、従業員数約138,000人の巨大企業である。
 メキシコには国内に6製油所があり、いずれもペメックス社が保有し、合計の精製能力は154万バレル/日である。東部メキシコ湾岸にシウダード・マデロ(Ciudad  Madero)製油所 (19.0万バレル/日)、北部内陸にカデレイタ(Cadereyta)製油所 (27.5万バレル/日)を保有している。
 シウダード・マデロ製油所では、2014年7月22日、「メキシコのペメックス社でタンク火災、負傷者も発生」する事故があり、従業員23名が負傷した。

■ 「マデロ-カデレイタ・パイプライン」の詳細はわからないが、東部メキシコ湾岸のシウダード・マデロからカデレイタ製油所へ原油を移送する呼び径24インチのパイプラインである。
 ペメックス社の石油施設では、 2010年12月のプエブラ州においてパイプライン石油窃盗の失敗によって生じた漏洩油の爆発で30名が亡くなるという事故のほか、 2013年7月にもパイプライン石油窃盗の失敗で爆発事故があり、7名の負傷者が出ている。このほかに、2012年8月には、タンカーに原油を荷役するときに使用するブイが沈没して海上に原油が流出する事故があり、油汚染された地域のクリーンアップ作業が行われている。 2012年9月には、レイノサにあるガスプラントで火災があり、26名が死亡する事故が起こっている。
   201012月プエブラ州における爆発事故現場            20128月海上への原油流出事故現場   
(写真は左: AFPBB.comから引用、右:Banderasnews.com から引用)
■ パイプラインの油窃盗の方法は「ホットタッピング」によるものと思われる。もともとはパイプラインの内容物を抜かずにバルブを切り込んだり、バイパスラインを設置するために開発された工法である。パイプラインに枝管(バルブ付き)のノズル部を溶接し、ホットタッピング・マシンという特殊な穿孔機を使用してパイプラインに孔を明け、抜出し口を設ける。通常はパイプラインの流れを一時的に止め、内圧を下げてから溶接工事や穿孔工事を行なう。パイプラインからの油窃盗では、当然、内圧がかかったままであるので、極めて危険な工事である。 
ホットタッピング・マシンの例
メキシコにおける油窃盗の現場の例
(写真は左:24-horas.mxから引用、右:Diariodelatarde.mx から引用)
所 感
■ 緊急事態発生時の危機管理の観点でみると、対応の体制がなっていない。通常(の国)であれば、地方自治体の緊急対応部隊や環境保全部署が主管して対応するが、 ペメックス社が国の組織体制のためか、まったくペメックス任せの対応になっている。また、原油流出が油窃盗という原因でペメックス社自体も被害者意識のためか、積極的とはいえず、対応が後手後手に回っている。元来、公共エリアでの油流出事故の対応(クリーンアップ)は責任や役割が曖昧になる傾向があり、対応について事前の危険予知によって問題点を抽出して備えておく必要がある。

■ パイプラインや貯蔵タンクからの油窃盗という事故(事件)は、日本では考えられない話であるが、メキシコだけでなく、アフリカや中国でも社会問題になっているという。
 しかし、日本でもまったく油窃盗事件がないかというと、そうではない。2014年2月22日、北海道十勝鹿追町のJA給油所の貯蔵タンクから灯油約8,200リットルが抜き取られるという窃盗事件が起こっている。現在では、貯蔵タンクやパイプラインからの油窃盗が起こらないという予断は持つべきではない。

備 考
 本情報はつぎのようなインターネット情報に基づいてまとめたものである。
     ・Reuters.com, Oil Spill that Fouled Mexican River Will Take Months to Clean up, August 21, 2014
     ・Telesurtv.net, Clean-up Starts on Mexican Oil Spill, August 26, 2014   
     ・Online.WSJ.com, Pemex Oil-Spill Cleanup of Mexico River Is 90% Complete, August 28, 2014
     News.vice.com, A Massive Oil Spill Is Threatening Mexico's Third Largest City's Water Supply, September 03, 2014
     Firedirect.net, Mexico-Pemex Says It’s Recovered 90% of Oil Spilled into River, September 03, 2014
     ・Banerrasnews.com, Pemex Ordered to Clean Up Oil Spill, August 27, 2012
     ・Tokachi.co.jp, 給油所で灯油8000リットル盗難被害,  January  22, 2014  



後 記: 1970年初め頃の原油価格は23ドル/バレルだったものが、現在では100ドル/バレルを超える状況です。水より安いと言われた昔の安価な時代を知っている人にとって、石油の窃盗などは考えられないですが、社会の状況が変わったことを感じる事故(事件)です。
 社会の状況変化といえば、このブログの後記に何回か紹介している出光徳山製油所の精製設備の閉鎖・解体工事ですが、流動接触分解装置(FCC装置)がほとんど解体されました。1957年(昭和32年)に当時の最新のガソリン製造装置として建設されたものです。今年、群馬の富岡製糸場が世界遺産に登録され、注目されましたが、石油工業の施設は文化財としての話などはなく、可哀想なものですね。
再生塔も半分解体されたFCC装置
(手前は新幹線の高架用柱)

2014年9月20日土曜日

クウェートの製油所におけるタンク火災(2008年)

 今回は、2008年9月3日、クウェートのアハマディ州にあるウェート国営石油会社のミナアル·アーマディ製油所で起こった石油タンク火災について紹介します。
クウェート国営石油会社ミナアル·アーマディ製油所のタンク火災
(写真はQna.org.qa から引用)
 <事故の状況> 
■  2008年9月3日(水)午前10時頃、クウェートのアハマディ州にある製油所でタンクの火災事故があった。事故があったのは、アハマディ州のクウェートシティから南へ約45km離れたクウェート国営石油会社(Kuwait National Petroleum Company: KNPC)のミナアル·アーマディ製油所(Mina Al-Ahmadi Refinery)にある石油タンクで起こった。
                                        ミナアル·アーマディ製油所付近  (写真はグーグルマップから引用)
■ KNPCによると、93日水曜に起こった火災は同日、制圧下に入り、操業には影響がないという。
 「製油所は現時点、フル操業中で、輸出や出荷に影響はありません」とKNPC広報担当のアハマド・アル・ムザイエル氏はロイター通信に語った。さらに、ケガ人はいないとムザイエル氏は付け加えた。発生した火災によって多少の被害は受けたタンク地区の被災タンクへのパイプラインは閉止したとムザイエル氏は語った。メンテナンス地区の作業員1名の所在が事故直後に分からないときがあったが、すぐに無事に発見されたとムザイエル氏は語った。

■ ガソリンの入ったタンクと別な空のタンクの間にあったクレーンから火が出たもので、火災は限定的で短時間だったと会社側はみているという。

■ 極度の疲労によって6名の消防士が火災現場から退避したと、クウェートテレビは伝えている。

■ 火災のあったミナアル·アーマディ製油所は精製能力46万バレル/日である。製油所は輸出基地で、ジェット燃料の大半は欧州に運ばれている。
                     ミナアル·アーマディ製油所のタンク火災  (写真はArabianoilandgas.com から引用)
補 足                
■ 「クウェート」は正式にはクウェート国で、アラビア半島の付け根に位置し、東はペルシア湾に面している。人口約325万人で、首都はクウェート・シティである。1938年に大油田が発見され、19616月英国から独立した。
 「アハマディ州」はクウェートにある6つの州のひとつで、クウェート南部に位置する。「州」ではなく「県」と訳す場合もある。

■ 「クウェート国営石油会社」(Kuwait National Petroleum Company: KNPC)は1960年に設立され、クウェート国営の石油精製および国内への石油製品供給を行っている会社である。クウェート国営石油会社は、クウェート国営石油精製会社と訳されることがある。これは1980年に設立されたクウェート国営石油会社( Kuwait Petroleum Corporation :KPC)やクウェート国営石油開発会社(Kuwait Oil Company :KOC)と区別するためである。なお、KPC(Kuwait Petroleum Corporation)はクウェート石油公社と訳すことがある。
 クウェート国営石油会社(KNPC)は国内3箇所に製油所を有している。
 ● ミナアル·アーマディ製油所(Mina Al-Ahmadi Refinery): クウェートシティから南へ約45km離れた場所で、精製能力は46万バレル/日
 ● シュアイバ製油所(Shuaiba Refinery): クウェートシティから南へ約50km離れた・ シュアイバ工業団地にあり、精製能力は20万バレル/日
 ● ミナアブドラ製油所(Mina Abdullah Refinery): クウェートシティから南へ約60km離れた場所で、精製能力は27万バレル/日
                                             KNPCのミナアル·アーマディ製油所  (写真は同社ウェブサイトから引用)
■ 「ミナアル·アーマディ製油所」は1949年に建設され、その後の増強によって常圧蒸留装置は現在、3系列で合計46.6万バレル/日の精製能力を有する。桟橋は輸出基地として増強され、現在5つの埠頭があり、最大着桟能力は16DWT、水深17mである。貯蔵タンクの貯蔵能力は同社ウェブサイトに記載がなく、わからない。グーグルマップによると、タンク地区には24KL級の浮き屋根式タンク群があるのはわかるが、発災タンクTK-46-610は判別がつかない。また、建て替えられたのか、補修して再使用されたのかもわからない。
 ミナアル·アーマディ製油所では、2014年8月17日(日)、廃水処理装置で火災があり、数名が病院に搬送される事故があった。また、2010年6月2日には、構内のパイプラインで火災が発生し、作業員2名が負傷する事故が起こっている。
                          ミナアル·アーマディ製油所のタンク地区    (写真はグーグルマップから引用)
所 感
■ 当該タンク火災は、防油堤内における火災発生からタンクのリムシール火災へと移行したものと思われる。タンク側板が広範囲に黒くなっており、堤内火災はかなり激しいものだったとみえる。発災の要因はクレーンとなっており、おそらく工事用に堤内に降りた移動式クレーン(クレーン車)だと思われる。堤内の配管は車両の衝突に対して無防備であり、注意が必要なことはよく知られている。

■ 今回の事故情報で言えることは、堤内火災の輻射熱に注意が必要だということである。タンク火災と異なり、堤内火災ではかなり火炎に接近して消火活動を行なうものと思われる。(接近することが可能だともいえる) 現実には火炎の規模は一定でなく、強弱があり、火炎が立ち昇った場合には、消防士が受ける輻射熱は大きく、許容できないこともあるだろう。 2014年7月22日の「メキシコのペメックス社でタンク火災、負傷者も発生」の事故でも、堤内火災を伴うタンク火災があり、消防士23名が火傷のほか、脱水症状と極度疲労に陥っている。


備 考
 本情報はつぎのようなインターネット情報に基づいてまとめたものである。
      ・Khaleejtimes.com, Kuwait Refinery Fire Controlled, Output Unaffected, September 03, 2008
     ・Community.248am.com, Blast at Mina Al Ahmadi Refinery, September 03, 2008   
      ・Aaj.tv, Fire at Kuwait’s Largest Oil Refinery, September 03, 2008
      ・Qna.org.qa, Fire Breaks out in Ahmadi Refinery in Kuwait, August 17, 2014
      ・FireDirect.net, Kuwait- Workers Injured in Refinery Fire, September 05, 2014 
      ・Arabianoilandgas.com, Refinery Blaze in Kuwait Forces 72-hour Shutdown, June 03, 2014


後 記: 今回の事故情報をブログへ投稿するきっかけは、まったく別な最近の事故報道記事からです。「補足」に付記したようにミナアル·アーマディ製油所では、2014817日、廃水処理装置で火災事故ありました。この報道記事の中にタンク火災の写真がありました。記事内容には合わないのです。このために調べると、別な記事にもタンク火災の写真がついています。また、別な記事ではタンク火災の写真がついているのですが、説明に2008年のタンク火災と記載してあります。結局、わかったことはミナアル·アーマディ製油所において2008年に写真のようなタンク火災があったということでした。インターネットの報道記事の中には事故とは関係のない写真が掲載されることがあります。事故の写真は文章よりも訴えるものがあり、私も重要視しているのですが、本当に事故の写真かどうか判断し、関係のない(と思われる)写真はとりあげないようにしています。しかし、実際に現場に行っているわけでないので、事故状況や他の写真との整合性から見極めるようにしています。怪しいものの判断は最終的には「勘」でしょうね。

2014年9月16日火曜日

石油貯蔵タンクの過充填防止の基準

 今回は、 国際計測制御学会(ISA)のドン・ニューウェル氏(Don Newell)らが発表した「タンク過充填防止ーAPI RP 2350およびIEC 61511の安全考察」 (Tank Overfill Protection - API 2350 and  IEC 1511 Safety Considerations)(2009年)について紹介します。内容は石油貯蔵タンクの過充填防止に関する既存のAPI RP 2350「石油施設における貯蔵タンクの過充填防止」およびIEC 61511「装置産業における安全計装システム」の基準を比較しながら、安全システムについて解説したものです。
石油タンクの過充填により爆発・火災を起こしたバンスフィールド石油貯蔵所
<要 旨 >
 揮発性の高い油を貯蔵するタンクの過充填防止について、石油工業界で作成された中で最も優れた基準はAPI RP 2350 「石油施設の貯蔵タンクにおける過充填防止の推奨基準」の資料である。最近の事故から、過充填防止の必要性を再考し、さらに安全性を高めようという動きが出始めている。装置産業界における安全計装システムに関するスタンダードとしてはIEC 61511 「装置産業における安全計装システム」がある。IEC 61511のスタンダードは、装置産業界における安全関係のシステムに関するリスクを評価するために広く採用されている。多くの企業では、APIスタンダードとともに、IECスタンダードを適用していくことを望んでいる。このことは、安全性を追求していく上で一貫性をもつことであり、施設に関する特定のリスクを確認するために有効だということである。
図1 バンスフィールド爆発事故
 この論文では、石油工業界における最近の傾向、特にバンスフィールド事故の調査結果に関連する事項について考察し、APIの推奨基準とIECのスタンダードの両方に合致するタンク過充填防止システムの設計について解説する。

はじめに
■ API(米国石油協会)は、20051月に石油貯蔵タンクの過充填防止に関する推奨基準API RP 2350を発行した。このスタンダードが出て以降、多くの事故、とりわけバンスフィールド爆発事故(2005年)の重要な結果は石油貯蔵タンクの安全問題として大いに注目されることとなった。バンスフィールド事故調査委員会の最終報告書では重要な推奨事項が提案されており、これはAPI RP 2350IEC 61511の安全基準へ反映されることになった。
図2 バンスフィールド事故調査委員会最終報告書の推奨事項1

規範的スタンダードおよび機能的スタンダード
■ 装置産業界では、安全を考えるには2つの方法がある。規範的な方法は適用に当たって規則通りの解決策を定めている。機能的スタンダードでは、対応策の代わりに方法論と達成機能のスタンダードを定めている。タンク過充填対策の対象がはっきりしている仕様の場合、規範的スタンダードは作業を進めるには非常に都合よく書かれている。一方、検討過程や変数に多様性があるような場合、機能的スタンダードの方が使いやすいといえる。

表1 石油類のクラス分け
■ 最近見直されたAPI RP 2350は、適用が極めて狭い範囲に限られている。適用対象は石油流体のある限られたクラスだけである。クラスⅠおよびクラスⅡの流体を取り扱ったり、貯蔵したりする場合、 API RP 2350は直接的で規範的な対策を示している。この基準は、石油工業界の推奨基準として、適用する会社にとって最小限のスタンダードとなっている。しかし、規範的なスタンダードは、バンスフィールド事故調査報告の推奨事項1で指摘した設置場所や適用個所に関する個々の問題を予見できるわけではない。

■ ここに機能的スタンダードの有用になりうる点がある。 IEC 61511の安全計装システムに関するスタンダードは、装置産業の中でいろいろな適用場面において安全システムに伴うリスクを評価するために広く用いられている。規範的スタンダードが無いわけでなくとも、会社としてIECの機能的スタンダードを適用する利点は主に2つある。ひとつは、機能的スタンダードによって事故への軽減要因が明らかにされ、必要な防護手段がはっきりとし得ることである。すなわち、対象施設に伴う固有のリスクが軽減されることになる。ふたつめは、施設および施設周辺エリアの安全性を検討する際、 IEC 61511によって設計思想の一貫性がとれるからである。

スタンダードの適用
API 2350の要件
■ 注意しなければならないことは、 米国石油協会としてはAPI RP 2350について常に見直しを行っているということであり、今回対象としているのは安全基準に関連する範囲の一部だということである。我々が対象とするのは2005年制定版だけである。

■  API RP 2350の基準を適用する上で一般的に必要なことは、ほかの安全基準や安全に関する法令、そして特にIEC 61511との整合性を認識できるような知見をもち、適切に検討を進めることができることである。「安全ライフサイクル」について詳述しないが、はっきり言えることは、操業会社および検討の進め方が重要な役割をもっていることと、安全への全取組みの中の一部だということである。

■ 過充填防止システムを検討する際には、「オペレーター常駐での運転操作」と「オペレーター非常駐での運転操作」を分けて考える。オペレーター常駐のタンク施設の場合、現場には有資格者によるバックアップが整っており、基本的な監視システムによるのが適切だと思われる。オペレーター非常駐のタンク施設の場合、防止機能の追加策を要し、独立した安全検出装置(レベルセンサー)と遮断システムが必要である。

IEC 61511の要件
■  IEC 61511スタンダードでは、具体的な改善策を求めているのではなく、プロセス・ハザード分析に基づく成果レベルや許容できるリスク要因を見極めることに主眼を置いている。機能的スタンダードの利点は、設置場所や適用個所における固有の問題に対して幅広く検討を進めることができることである。リスクを明確にすれば、それらのリスクを軽減するために適用可能な方法の検討を進めることによって、どのような安全システムが必要になってくるかがはっきりしてくる。必要なシステムを決め、結果としての「安全度水準」(SIL)を求めるために最も普及しているのが「安全防護層解析」(LOPA)である。

■ オペレーター常駐のタンク施設の場合、有資格者の存在は防護策の中でひとつの独立した層を構成しているとみるが、それでもオペレーターでプロセスリスクを軽減できるレベルには限界がある。タンクの過充填安全機能の要求が安全度水準SIL1の場合、API基準に合致している安全計装システムのほかに特に追加する必要はない。

■  オペレーター非常駐のタンク施設の場合、タイムリーなオペレーターによる介入は期待できないので、タンク系統に関する安全度水準SIL1の要求にも独立した防護層を追加する必要がある。API RP 2350に詳述されている分散型の計装安全監視システムはこの要求に合致した設計である。高いリスクの存在がはっきりし、安全度水準SIL1よりもっと高い水準の安全計装システムが要求される場合、防護層を追加するか、あるいは安全度水準を高く設定する必要性がある。

■  IEC 61511による方法は、揮発性の高い液体条件、あるいは他の危険プロセスや住民が近いというような厳しいリスク要因が付帯している場合に、必要な対応策を検討するのに有用である。このようにして、対象のシステムがIEC 61511を用いて検討した他のプロセス装置の分析や評価書と整合性をもつことになる。

タンク過充填防止に関する安全システムの問題
 タンク過充填防止に伴う安全計装システムに関わる問題はいくつかある。

安全応答時間
■ タンク液位における安全応答時間は、他のプロセスの安全対象に比べ概して遅い。 API RP 2350では、応答時間について分かりやすく記述されており、タンク液位の警報設定への影響について書かれている。しかし、考慮すべきことは、往々にしてタンク施設が遠隔地に設置されていることがあり、緊急事態時に人による応答(時間)が遅れることがある。このことは、安全計装システムの分析においてリスク要因が増えることを意味する。

冗長化
■ プロセス安全システムにおいて冗長化するのは3つの理由のうちのいずれかである。
 ① 安全システムを指定する安全度水準のレベル(すなわち、2oo3アーキテクチャ)に合致させる必要性から。(注: 2oo3=2-out-of-3)
 ② ユーザーがシステムの高い信頼性(すなわち、経済的ペナルティあるいは安全ペナルティからフェールセーフ状態にすること)を要望していることから。
 ③ 安全度水準が高く、IEC 61511で最低限の冗長化を規定していることから。
 タンクの過充填について、標準的にいえば安全度水準は低い方である。しかし、さらにもっと重要なことは、運転停止に対するペナルティは一般的に小さいということである。従って、冗長化が必要な場合とは、選択したシステムがIEC 61511のもとで安全度水準を高く設定する必要性があるときに限られるかもしれない。

作動要求失敗確率(PFD)
■  現時点のAPI RP 2350には記載されていないが、バンスフィールド事故調査報告書に提言されている事項の中に、安全監視システムで発見されない可能性のことがある。 IEC 61511では、作動要求失敗確率について自己診断率、すなわち故障に対して装置自身がいかに良くモニタリングするかということと結びつけている。検査機関認定あるいは使用実績による証明のいずれかを有した装置を使うことによって、システムの作動要求失敗確率を明確にすることができる。
テスト
■  API RP 2350では、標準的なテスト・スケジュールについて規定している。 IEC 61511では、システムの保証試験(プルーフテスト)のテスト間隔が安全システムの発見機能失敗に対する最終的な番人だとしている。APIのテスト間隔を適用する場合、 IEC 61511の計算によるテスト間隔の分析結果と合致しなければならない。このテスト間隔に従って保証試験を行わなければならない。

複合問題解決への取組み
過充填防止への取組み課題
■ 個々のタンクの監視方法や防護方法は非常に複雑なものだとはいえないが、タンクの設置場所や使用方法によってシステム設計には検討すべき課題がある。

入出力計算
■ タンク過充填安全システムの検討を進めるには、特有の検討課題がある。安全システムは基本的なタンク監視システムと分ける必要がある。従って、各タンクの入出力(I/O)の数は非常に少なく、信号数は標準的に2~5個であり、小型のリレー型またはスタンドアローン型のシステムを使用することができる。しかし、通信・診断機能に優れた電子システムの利点は魅力的である。従来のプロセス安全システムは、大型で高い信頼性の緊急シャットダウン・システムとして設計されたもので、高信頼性だけでなく、高い統合性を必要とする小型で地理的に離れたシステムには適さないかもしれない。

■ 検討すべき課題としては既設設備での問題、すなわち、既設設備では、通信基盤が並行の安全システムとして設計されていないことである。

地理的問題
■ 入出力差が小さいという問題に加え、多くのタンク基地では、タンク設備が広いエリアに設置されていたり、中央計器室との距離がかなり離れていることがある。このことは、大型で別の通信回路を確立させる必要性があることを意味する。

■ この2つの問題を従来の方法でタンク液位監視と安全システムを実行しようとすると、非常に高価なものになる。しかし、システムの必要性を検討することによって、妥当な費用構成に抑え、防護策を達成させ得る代替策のシステムを探ることである。

アーキテクチャー
システム・アーキテクチャー
■ 従来の緊急シャットダウン用プロセス安全システムは、大規模集中システムとして煩雑な入出力計算と高い信頼性をもつように設計されていた。誤トリップを最小限にするため、アーキテクチャーは通常、 2-out-of-3または1-out-of 2Dにする。このシステムは一般的に地理的に広いタンク施設には向いていない。バンスフィールド事故から学んだ教訓としては、安全性の不足を原因解決策とすべきでないということである。一般にタンク基地では、誤トリップの影響は荷役の遅れ程度で、経済的な損失は小さいといえる。従って、システム設計において、我々は「安全性」と「信頼性」を分けて考えなければならない。ここで、「安全性」とは必要時(要求時)にシステムが有効に作動することであり、「信頼性」とはプロセスの要求に反した(誤トリップ)時でも、システムがフェイルセーフ側へ移行することである。タンク施設への適用では、極めて高い「信頼性」を要求されるのではなく、「安全性」の部分が必要とされるだろう。
図3 タンク毎に独立した安全度水準のシステム
■ 液位システムでは、各設置対象ごとに特有のものになっているが、 API RP 2350およびIEC 61511の両方を取り入れたタンク過充填防止システムの実施には、2つの基本的な選択肢(オプション)がある。ひとつは、小型の非冗長化構成で指定の安全度水準を有した安全システムを用いる方法である。この安全システムでは、各タンク毎またはタンク群毎に、記録報告と警報システムの情報を中央に返す通信機能をもっている。

■ ふたつめは、各タンク毎またはタンク群毎にリモートI/Oを設置し、すべての情報を中央の安全用CPUに返す方法である。いずれの選択肢の場合にも、システムは指定の安全度水準で、リモート診断とパラメータ化のためにHART通信またはFieldbusを設置する。
図4 リモートI/Oで集中安全度水準のシステム
■ より小型のモジュラー化した非冗長化構成で指定の安全度水準をもったシステムは、安全性が考慮された高い完成度をもっている。しかも、建設費用は実質的に低い。さらに、電子式安全計装システムを使用して実績のあるインターフェイス機能をもったモニタリング用SCADAやDCSシステムとつなぐことによってインターフェイス上の問題を無くすようにすべきである。

安全システムの通信機能
■ 安全システムのハードウェアのコストは、圧倒的に高い通信ネットワークのコストの中で占める割合としては小さいといえる。API RP 2350に詳述されているようにモニタリングが安全上重要だと考える場合、システムの安全機能部分は同様に安全モニタリングのパッケージにまで広げなければならない。このことは、タンクからのデータを中央計器室へフェイルセーフに伝送するということを意味する。システム全体の安全度水準を維持するためには、より安全性の高い通信回線を導入しなければならない。安全性の高い汎用の通信ネットワークは市販されており、例えば、ドイツの検査技術機関のテュフ(TUV)では、安全度水準3のProfiSafeを採用したProfiBusとProfiNet(Ethernet)を認証している。
図5 PROFIsafe プロトコルの実行
■ 基本のFieldbusは、当然、認証されている。これらの安全プロトコルは独立しており、通常、通信システムが適正に作動していることを確認するためのメディアや代わりに用いられるリンク端に高い診断機能をもったリレーとは独立している。
図6 PROFIsafeの診断項目
(通信エラーとその対策)

■ これまで述べてきたように、既設設備の改造については特に検討すべき課題がある。無線通信は一般的に安全対象の適用に受け入れられてこなかった。しかし、誤トリップに対するペナルティが低いことは認められてきたし、信頼性のある無線通信の実施に対して、タンク適用時に応答時間が比較的遅くても、認められるようになってきた。

■ 既設の通信リンクがモニタリング・システムに利用可能であれば、非干渉モード安全通信のインフラとして使用できるかも知れない。これは投資コストを抑えて安全を維持できることを意味する。

計装機器および最終制御要素
■ 従来のタンクのモニタリングシステムは、液位、圧力、温度、流量を含むいろいろな入力信号から構成されていた。在庫、管理輸送、異種流体などシステムへの要求事項によって、タンクのモニタリングシステムはいろいろ複雑になっていく。プロセス安全の問題を見ていくと、基本的にシンプルが良いといえる。 API RP 2350では、液位表示だけを要求している。 IEC 61511のもとに安全度水準の立証を行なえば、シンプルな液位トランスミッターまたはポイント・レベルスイッチの選択が適切かもしれない。そして、多くはテュフ(TUV)認証の安全度水準を有したものが利用可能である。さらに、センサー類が安全上重要だと考えられる場合、安全計装システムの中にセンサー類を含め、基本レベルSIFあるいは他の確定SIFsとする。
図7 計装機器および最終制御要素
■ 最後になるが、タンク過充填防止をきっかけになった事故の対策をよく吟味する必要があろう。特に無人の基地では、緊急シャットダウン・バルブは安全システムに含める必要があるかもしれない。

結 論
■ 石油タンクの過充填防止の検討を行なう際、API RP 2350「石油施設における貯蔵タンクの過充填防止」およびIEC 61511「装置産業における安全計装システム」の両基準は問題解決にために有効である。 API RP 2350は規範的な方法をとっており、 IEC 61511は機能的な検討方法をとっている。最近の重大事故に照らしてみると、産業界は問題を広くとらえて機能的な検討方法を行なう傾向にある。 API RP 2350はこの傾向を反映した見直しを行っており、各企業はAPIの基準類と汎用的なIEC 61511の両者がひとつになることを希望している。そのようになれば、施設特有のより複雑な問題を取り扱うことが可能となり、他の施設を対象にしても、安全という観点から一貫性のある方法を企業間を越えて提供することができる。API RPsと合うことを欲している会社や、 IEC 61511の方法を通じて安全の実行と検証に協力している会社のために、両方に沿う解決策を産み出すようなスタンダードを組み合わせることである。タンクの自動操作まわりの重要な問題、安全に関わる制限事項および新たに出現する技術について細かく気を配った検討を行なうことによって、両方のスタンダードを取り入れ、さらに操業制約と予算制約を考慮したシステムを設計することができるだろう。

補 足                
■ ISAInternational Society of Automation: 国際計測制御学会)は、計測・計装・制御分野の国際的な学会で、世界120か国5万人以上の会員を擁する。国際会議や展示会を主催し、国際標準化活動、技術書の出版など幅広い活動を行っている。日本にも1996年に支部が設立され、現在、会員は約140名である。
 今回の論文の著者はDon Newell氏(Shamrock Gulf在住)、Siemens Industry inc.のGene Cammack氏、 Praveen Muniyappi氏である。シーメンス社は1847年に設立されたドイツのミュンヘンに本社を置く計測・計装・制御分野の多国籍企業で、現在は情報通信、電力関連、交通、医療、家電製品など幅広い事業を展開している。

■  「IEC 61511」 (Safety Instrumented Systems for the Process Industry Sector: 装置産業における安全計装システム)は、国際電気標準会議(International Electrotechnical Commission: IEC)が制定した機能安全の装置産業向けスタンダードで、 2003 年に発行された。ベースとなる「IEC 61508」(Functional Safety of Electrical/Electronic/Programmable Electronic Safety-Related Systems:電気・電子・プログラマブル電子系の機能安全)が機器の製造者および供給者向けに対し、IEC 61511は安全計装システム設計者、システムインテグレータ、使用者向けのスタンダードである。IEC 61511 は3部構成で、パート1が本文,パート2、3がガイドラインである。パート3では安全度水準(SIL)の決定手法が紹介されている。日本でも、JIS規格として、2000年にJIS C 0508、2008年にJIS C 0511が制定された。

■ 「安全ライフサイクル」とは、製品またはシステムの企画から廃棄に至るまでの全ライフサイクルにわたり安全を確保するという考え方で、IEC 61508では、安全関連系の構想段階から設計・開発を含め、保守・廃棄に至るまでを図のように16のフェーズに分け、各フェーズ毎に要求事項が決められている。

■  「安全度水準」(Safety Integrity Level: SIL)とは、IEC 61508においてシステムの安全性能を表す尺度で、SIL1~SIL4までの4段階に定められている。SIL4が最も高い水準である。表に示すように、低頻度作動要求モードにおける目標の作動要求失敗確率が規定されている。
 「作動要求失敗確率」(Probability of Failure on Demand: PFD)は「機能失敗確率」、「不作動確率」とも呼ばれ、作動要求があったときに安全制御機能が作動しない確率をいう。
 安全度水準の決定要件は、ハザード(潜在危険)の特定、ハザード・リスクの評価、他の独立保護階層(Independent Protection Layers)の評価の3つである。他の独立保護階層の評価の代替方法として回避の評価、発生確率の評価を行なうものがある。
表 低頻度作動要求モード運用時の作動失敗確率
■  「安全防護層解析」(Layer of Protection Analysis: LOPA)は、米国化学工業協会(AIChE)によって構築された半定量的な簡易リスクアセスメント手法である。利用可能なあらゆるリスク低減手段を考慮するという安全防護層の考え方からきている。例えば、異常値になると警報が鳴り、それに対処せず事態が悪化するとインターロックが作動するというように、安全策が複数の層(レイヤー)になっていることを指す。

■ 「2oo3」(2-out-of-3)は冗長化の一つで、3重化したシステムで3つのうち2つ以上が正常ならシステム全体が正常という条件の並列システム構成をいう。逆に3つのシステムのうち2つが機能しなくなった場合はシステム全体をシャットダウンさせる。装置産業の例としては、プロセス装置の重要な遠心圧縮機に振動センサーを3個設置し、3個のうち2個が異常振動を検知した場合、遮断システムが作動するようにし、誤トリップ防止を図ることがある。2重化のシステムが「1-out-of-2D」で、2重系において各系統に診断装置が設置されていて,各系統が危険側故障になっていないことを確認できる仕組みになっている。

■ 「Fieldbus」(フィールドバス)とは、IEC 61158に基づくフィールド機器と計装監視制御システムを結ぶ双方向デジタル通信ネットワークをいう。デジタル化によって一対の電線を使って流せる情報が飛躍的に増やすことができるようになり、計器室と現場機器間の配線数を削減しながら、複数のプロセス計測情報、自己診断、校正・設定情報など様々なデータを送ることができるようになった。これにより現場に行かなくても計器室から機器の校正や調整設定が行え、機器の自己診断などによりプラント稼働率および保全効率を向上させることができる。
 「HART」(Highway Addressable Remote Transducer)は通常、HART通信と呼ばれ、アナログ伝送にデジタル信号を重畳し、多数の信号を伝送する方式をいう。従来の制御信号や配線をそのまま活用して、HART通信対応フィールド機器の持つさまざまな情報(複数のプロセス計測情報、自己診断など)を送ることができるのが利点である。

■ 「SCADA」(Supervisory Control and Data Acquisition: スキャダ)は、産業制御システムの一種であり、コンピュータによるシステム監視とプロセス制御を行うシステムである。従来、産業用の監視制御システムは「DCS」(Distributed Control System: 分散型制御システム)が利用されてきた。DCSは専用のハードウェアとエンジニアリングツールで構成されるため、コストが高く、導入はある程度限定されていた。しかし、
パソコンやPLC(Programmable Logic Controller)の機能向上、高性能化、ネットワーク対応が進み、パソコンとPLCの組み合わせによって、監視制御システムが実現できるようになった。1990年代に汎用のパソコンと汎用のPLCの組合せによるSCADAパッケージソフトが販売されるようになり、現在ではDCSよりも安価な監視制御システムとして、いろいろな設備にSCADAが導入されるようになっている。

■ 「テュフ」(TÜV:Technischer Überwachungs-Verein)は1872年にドイツで設立された会社組織の検査技術機関である。 テュフはいくつかの組織に統合され、技術・安全・証明サービスの機能安全認証を行っているのはテュフ・ラインランド(TÜV Rheinland)など3つの会社である。1978年には、テュフ・ラインランドが日本国内に第三者検査機関として事務所を設立している。

■ 「安全度水準3のProfiSafeを採用したProfiBusとProfiNet(Ethernet)」
 工場の中には制御システムと安全システムがあり、従来はそれぞれを別々に設計、設置、稼動させていた。安全システムは、いろいろな要因によって発生する人間・機械・環境に対する危険を防止するシステムで、いわゆるシャットダウンシステムである。ProfiBusやProfiNetは工場オートメーションの制御システムである。 ProfiBusは工場オートメーションとプロセスオートメーションを同時にカバーするフィールドバスである。ProfiNetは標準のEthernetをベースとして、最近導入が進んでいるネットワーク技術である。
  ProfiSafeは安全システムの一つで、安全システム内のデータ伝送にデジタル通信を用いたものである。従来、安全システムにデジタル通信を使うことへの信頼性の疑念があり、一本一本配線をつないでいった方が信頼性があるのではないかという固定概念があった。しかし、安全センサとリレーをアナログ信号で配線しても故障する場合もあるし、デジタル通信でも故障する場合があるわけで、機械とは本来故障する可能性があり、故障するリスクを計算して、そのリスクが許容できるものなら安全という考え方から開発されたものである。安全度水準3のPROFIsafeを採用することで安全性を確保した制御システムの運用ができ、 PROFIsafeは最も利用されている安全通信技術だといわれている。

■ 「SIF」(Safety Instrumented Function: SIF)とは「安全計装機能」で、安全計装システム(SIS)構築の各要素をいう。


所 感
■ ガソリンタンクへの過充填によって起こった英国バンスフィールド事故(2005年)を契機に、タンク過充填防止の基準について書かれた当該資料は、ドイツのシーメンス社に所属する著者らが書いたものだけに、欧州における安全に関する論理的な思考方法が垣間見える。この点で、IECの「装置産業における安全計装システム」の紹介は参考になったし、産業界が問題を広くとらえて機能的な検討方法を行なう傾向にあるという指摘は興味深い。これまで石油工業設備の設計基準はAPIが主流だったのに対して、タンク過充填防止の基準には、APIの規範的スタンダードとIECの機能的スタンダードがあるという公平な解説はわかりやすい。

■ 今回の資料で再認識したのは、制御システムや安全システムが急速に進歩していることである。論文中の「従来の考え方」という話はまったく自分自身に当てはまった。無線通信は安全対象の適用に受け入れられないという考え方だったが、信頼性のある無線通信の出現によって見方を変える必要があることがわかった。誤トリップを無くす(最小限にする)には冗長化しかないと思っていたが、安全度水準のレベルを明確にし、認証されたシステムを使用すればよいという考え方にも納得する。
 タンク施設の制御システムにおいて信頼性や安全性を複雑に考えるのではなく、過充填防止が最重要ならば、液位にのみ注目して安全システムを考えるというシンプルさも逆に新鮮で、またそれを可能にする現在の計装技術の進歩を理解できる資料だった。


備 考
 本情報はつぎのインターネット情報に基づいてまとめたものである。
  ・Tank Overfill Protection - API 2350 and  IEC 1511 Safety Considerations, ISA Expo 2009
             Authors:
                Don Newell, Shamrock Gulf
                Gene Cammack, Siemens Industry Inc.
                Praveen Muniyappi, Siemens Industry Inc.



後 記: このブログで「大型石油タンクのハザード評価の方法」(2014年7月)を紹介した際、欧州にとって英国バンスフィールド事故(2005年)の影響は大きく、著者(ギリシャ人)がタンクの過充填と蒸気雲爆発シナリオの事前分析に過度と思えるくらいのこだわりがあると感じ、タンクの過充填防止についてまとめられた今回の資料をとりあげました。 IEC 61511(装置産業における安全計装システム)は、バンスフィールド事故が起こる2年前の2003年に発行されたもので、まさに該当するような大事故がすぐに起こるとは考えていなかったでしょう。バンスフィールド事故が起こっていなければ、タンク施設への適用を考えることはなかったでしょうし、まして既設設備への検討は対象にされていないでしょう。欧州でいろいろ議論されているのがわかるような気がしました。しかし、今回の資料は平易に書かれたものでしょうが、計装専門用語に親しんでいないので、インターネットで検索して意味や内容を理解しながらまとめました。