2014年9月16日火曜日

石油貯蔵タンクの過充填防止の基準

 今回は、 国際計測制御学会(ISA)のドン・ニューウェル氏(Don Newell)らが発表した「タンク過充填防止ーAPI RP 2350およびIEC 61511の安全考察」 (Tank Overfill Protection - API 2350 and  IEC 1511 Safety Considerations)(2009年)について紹介します。内容は石油貯蔵タンクの過充填防止に関する既存のAPI RP 2350「石油施設における貯蔵タンクの過充填防止」およびIEC 61511「装置産業における安全計装システム」の基準を比較しながら、安全システムについて解説したものです。
石油タンクの過充填により爆発・火災を起こしたバンスフィールド石油貯蔵所
<要 旨 >
 揮発性の高い油を貯蔵するタンクの過充填防止について、石油工業界で作成された中で最も優れた基準はAPI RP 2350 「石油施設の貯蔵タンクにおける過充填防止の推奨基準」の資料である。最近の事故から、過充填防止の必要性を再考し、さらに安全性を高めようという動きが出始めている。装置産業界における安全計装システムに関するスタンダードとしてはIEC 61511 「装置産業における安全計装システム」がある。IEC 61511のスタンダードは、装置産業界における安全関係のシステムに関するリスクを評価するために広く採用されている。多くの企業では、APIスタンダードとともに、IECスタンダードを適用していくことを望んでいる。このことは、安全性を追求していく上で一貫性をもつことであり、施設に関する特定のリスクを確認するために有効だということである。
図1 バンスフィールド爆発事故
 この論文では、石油工業界における最近の傾向、特にバンスフィールド事故の調査結果に関連する事項について考察し、APIの推奨基準とIECのスタンダードの両方に合致するタンク過充填防止システムの設計について解説する。

はじめに
■ API(米国石油協会)は、20051月に石油貯蔵タンクの過充填防止に関する推奨基準API RP 2350を発行した。このスタンダードが出て以降、多くの事故、とりわけバンスフィールド爆発事故(2005年)の重要な結果は石油貯蔵タンクの安全問題として大いに注目されることとなった。バンスフィールド事故調査委員会の最終報告書では重要な推奨事項が提案されており、これはAPI RP 2350IEC 61511の安全基準へ反映されることになった。
図2 バンスフィールド事故調査委員会最終報告書の推奨事項1

規範的スタンダードおよび機能的スタンダード
■ 装置産業界では、安全を考えるには2つの方法がある。規範的な方法は適用に当たって規則通りの解決策を定めている。機能的スタンダードでは、対応策の代わりに方法論と達成機能のスタンダードを定めている。タンク過充填対策の対象がはっきりしている仕様の場合、規範的スタンダードは作業を進めるには非常に都合よく書かれている。一方、検討過程や変数に多様性があるような場合、機能的スタンダードの方が使いやすいといえる。

表1 石油類のクラス分け
■ 最近見直されたAPI RP 2350は、適用が極めて狭い範囲に限られている。適用対象は石油流体のある限られたクラスだけである。クラスⅠおよびクラスⅡの流体を取り扱ったり、貯蔵したりする場合、 API RP 2350は直接的で規範的な対策を示している。この基準は、石油工業界の推奨基準として、適用する会社にとって最小限のスタンダードとなっている。しかし、規範的なスタンダードは、バンスフィールド事故調査報告の推奨事項1で指摘した設置場所や適用個所に関する個々の問題を予見できるわけではない。

■ ここに機能的スタンダードの有用になりうる点がある。 IEC 61511の安全計装システムに関するスタンダードは、装置産業の中でいろいろな適用場面において安全システムに伴うリスクを評価するために広く用いられている。規範的スタンダードが無いわけでなくとも、会社としてIECの機能的スタンダードを適用する利点は主に2つある。ひとつは、機能的スタンダードによって事故への軽減要因が明らかにされ、必要な防護手段がはっきりとし得ることである。すなわち、対象施設に伴う固有のリスクが軽減されることになる。ふたつめは、施設および施設周辺エリアの安全性を検討する際、 IEC 61511によって設計思想の一貫性がとれるからである。

スタンダードの適用
API 2350の要件
■ 注意しなければならないことは、 米国石油協会としてはAPI RP 2350について常に見直しを行っているということであり、今回対象としているのは安全基準に関連する範囲の一部だということである。我々が対象とするのは2005年制定版だけである。

■  API RP 2350の基準を適用する上で一般的に必要なことは、ほかの安全基準や安全に関する法令、そして特にIEC 61511との整合性を認識できるような知見をもち、適切に検討を進めることができることである。「安全ライフサイクル」について詳述しないが、はっきり言えることは、操業会社および検討の進め方が重要な役割をもっていることと、安全への全取組みの中の一部だということである。

■ 過充填防止システムを検討する際には、「オペレーター常駐での運転操作」と「オペレーター非常駐での運転操作」を分けて考える。オペレーター常駐のタンク施設の場合、現場には有資格者によるバックアップが整っており、基本的な監視システムによるのが適切だと思われる。オペレーター非常駐のタンク施設の場合、防止機能の追加策を要し、独立した安全検出装置(レベルセンサー)と遮断システムが必要である。

IEC 61511の要件
■  IEC 61511スタンダードでは、具体的な改善策を求めているのではなく、プロセス・ハザード分析に基づく成果レベルや許容できるリスク要因を見極めることに主眼を置いている。機能的スタンダードの利点は、設置場所や適用個所における固有の問題に対して幅広く検討を進めることができることである。リスクを明確にすれば、それらのリスクを軽減するために適用可能な方法の検討を進めることによって、どのような安全システムが必要になってくるかがはっきりしてくる。必要なシステムを決め、結果としての「安全度水準」(SIL)を求めるために最も普及しているのが「安全防護層解析」(LOPA)である。

■ オペレーター常駐のタンク施設の場合、有資格者の存在は防護策の中でひとつの独立した層を構成しているとみるが、それでもオペレーターでプロセスリスクを軽減できるレベルには限界がある。タンクの過充填安全機能の要求が安全度水準SIL1の場合、API基準に合致している安全計装システムのほかに特に追加する必要はない。

■  オペレーター非常駐のタンク施設の場合、タイムリーなオペレーターによる介入は期待できないので、タンク系統に関する安全度水準SIL1の要求にも独立した防護層を追加する必要がある。API RP 2350に詳述されている分散型の計装安全監視システムはこの要求に合致した設計である。高いリスクの存在がはっきりし、安全度水準SIL1よりもっと高い水準の安全計装システムが要求される場合、防護層を追加するか、あるいは安全度水準を高く設定する必要性がある。

■  IEC 61511による方法は、揮発性の高い液体条件、あるいは他の危険プロセスや住民が近いというような厳しいリスク要因が付帯している場合に、必要な対応策を検討するのに有用である。このようにして、対象のシステムがIEC 61511を用いて検討した他のプロセス装置の分析や評価書と整合性をもつことになる。

タンク過充填防止に関する安全システムの問題
 タンク過充填防止に伴う安全計装システムに関わる問題はいくつかある。

安全応答時間
■ タンク液位における安全応答時間は、他のプロセスの安全対象に比べ概して遅い。 API RP 2350では、応答時間について分かりやすく記述されており、タンク液位の警報設定への影響について書かれている。しかし、考慮すべきことは、往々にしてタンク施設が遠隔地に設置されていることがあり、緊急事態時に人による応答(時間)が遅れることがある。このことは、安全計装システムの分析においてリスク要因が増えることを意味する。

冗長化
■ プロセス安全システムにおいて冗長化するのは3つの理由のうちのいずれかである。
 ① 安全システムを指定する安全度水準のレベル(すなわち、2oo3アーキテクチャ)に合致させる必要性から。(注: 2oo3=2-out-of-3)
 ② ユーザーがシステムの高い信頼性(すなわち、経済的ペナルティあるいは安全ペナルティからフェールセーフ状態にすること)を要望していることから。
 ③ 安全度水準が高く、IEC 61511で最低限の冗長化を規定していることから。
 タンクの過充填について、標準的にいえば安全度水準は低い方である。しかし、さらにもっと重要なことは、運転停止に対するペナルティは一般的に小さいということである。従って、冗長化が必要な場合とは、選択したシステムがIEC 61511のもとで安全度水準を高く設定する必要性があるときに限られるかもしれない。

作動要求失敗確率(PFD)
■  現時点のAPI RP 2350には記載されていないが、バンスフィールド事故調査報告書に提言されている事項の中に、安全監視システムで発見されない可能性のことがある。 IEC 61511では、作動要求失敗確率について自己診断率、すなわち故障に対して装置自身がいかに良くモニタリングするかということと結びつけている。検査機関認定あるいは使用実績による証明のいずれかを有した装置を使うことによって、システムの作動要求失敗確率を明確にすることができる。
テスト
■  API RP 2350では、標準的なテスト・スケジュールについて規定している。 IEC 61511では、システムの保証試験(プルーフテスト)のテスト間隔が安全システムの発見機能失敗に対する最終的な番人だとしている。APIのテスト間隔を適用する場合、 IEC 61511の計算によるテスト間隔の分析結果と合致しなければならない。このテスト間隔に従って保証試験を行わなければならない。

複合問題解決への取組み
過充填防止への取組み課題
■ 個々のタンクの監視方法や防護方法は非常に複雑なものだとはいえないが、タンクの設置場所や使用方法によってシステム設計には検討すべき課題がある。

入出力計算
■ タンク過充填安全システムの検討を進めるには、特有の検討課題がある。安全システムは基本的なタンク監視システムと分ける必要がある。従って、各タンクの入出力(I/O)の数は非常に少なく、信号数は標準的に2~5個であり、小型のリレー型またはスタンドアローン型のシステムを使用することができる。しかし、通信・診断機能に優れた電子システムの利点は魅力的である。従来のプロセス安全システムは、大型で高い信頼性の緊急シャットダウン・システムとして設計されたもので、高信頼性だけでなく、高い統合性を必要とする小型で地理的に離れたシステムには適さないかもしれない。

■ 検討すべき課題としては既設設備での問題、すなわち、既設設備では、通信基盤が並行の安全システムとして設計されていないことである。

地理的問題
■ 入出力差が小さいという問題に加え、多くのタンク基地では、タンク設備が広いエリアに設置されていたり、中央計器室との距離がかなり離れていることがある。このことは、大型で別の通信回路を確立させる必要性があることを意味する。

■ この2つの問題を従来の方法でタンク液位監視と安全システムを実行しようとすると、非常に高価なものになる。しかし、システムの必要性を検討することによって、妥当な費用構成に抑え、防護策を達成させ得る代替策のシステムを探ることである。

アーキテクチャー
システム・アーキテクチャー
■ 従来の緊急シャットダウン用プロセス安全システムは、大規模集中システムとして煩雑な入出力計算と高い信頼性をもつように設計されていた。誤トリップを最小限にするため、アーキテクチャーは通常、 2-out-of-3または1-out-of 2Dにする。このシステムは一般的に地理的に広いタンク施設には向いていない。バンスフィールド事故から学んだ教訓としては、安全性の不足を原因解決策とすべきでないということである。一般にタンク基地では、誤トリップの影響は荷役の遅れ程度で、経済的な損失は小さいといえる。従って、システム設計において、我々は「安全性」と「信頼性」を分けて考えなければならない。ここで、「安全性」とは必要時(要求時)にシステムが有効に作動することであり、「信頼性」とはプロセスの要求に反した(誤トリップ)時でも、システムがフェイルセーフ側へ移行することである。タンク施設への適用では、極めて高い「信頼性」を要求されるのではなく、「安全性」の部分が必要とされるだろう。
図3 タンク毎に独立した安全度水準のシステム
■ 液位システムでは、各設置対象ごとに特有のものになっているが、 API RP 2350およびIEC 61511の両方を取り入れたタンク過充填防止システムの実施には、2つの基本的な選択肢(オプション)がある。ひとつは、小型の非冗長化構成で指定の安全度水準を有した安全システムを用いる方法である。この安全システムでは、各タンク毎またはタンク群毎に、記録報告と警報システムの情報を中央に返す通信機能をもっている。

■ ふたつめは、各タンク毎またはタンク群毎にリモートI/Oを設置し、すべての情報を中央の安全用CPUに返す方法である。いずれの選択肢の場合にも、システムは指定の安全度水準で、リモート診断とパラメータ化のためにHART通信またはFieldbusを設置する。
図4 リモートI/Oで集中安全度水準のシステム
■ より小型のモジュラー化した非冗長化構成で指定の安全度水準をもったシステムは、安全性が考慮された高い完成度をもっている。しかも、建設費用は実質的に低い。さらに、電子式安全計装システムを使用して実績のあるインターフェイス機能をもったモニタリング用SCADAやDCSシステムとつなぐことによってインターフェイス上の問題を無くすようにすべきである。

安全システムの通信機能
■ 安全システムのハードウェアのコストは、圧倒的に高い通信ネットワークのコストの中で占める割合としては小さいといえる。API RP 2350に詳述されているようにモニタリングが安全上重要だと考える場合、システムの安全機能部分は同様に安全モニタリングのパッケージにまで広げなければならない。このことは、タンクからのデータを中央計器室へフェイルセーフに伝送するということを意味する。システム全体の安全度水準を維持するためには、より安全性の高い通信回線を導入しなければならない。安全性の高い汎用の通信ネットワークは市販されており、例えば、ドイツの検査技術機関のテュフ(TUV)では、安全度水準3のProfiSafeを採用したProfiBusとProfiNet(Ethernet)を認証している。
図5 PROFIsafe プロトコルの実行
■ 基本のFieldbusは、当然、認証されている。これらの安全プロトコルは独立しており、通常、通信システムが適正に作動していることを確認するためのメディアや代わりに用いられるリンク端に高い診断機能をもったリレーとは独立している。
図6 PROFIsafeの診断項目
(通信エラーとその対策)

■ これまで述べてきたように、既設設備の改造については特に検討すべき課題がある。無線通信は一般的に安全対象の適用に受け入れられてこなかった。しかし、誤トリップに対するペナルティが低いことは認められてきたし、信頼性のある無線通信の実施に対して、タンク適用時に応答時間が比較的遅くても、認められるようになってきた。

■ 既設の通信リンクがモニタリング・システムに利用可能であれば、非干渉モード安全通信のインフラとして使用できるかも知れない。これは投資コストを抑えて安全を維持できることを意味する。

計装機器および最終制御要素
■ 従来のタンクのモニタリングシステムは、液位、圧力、温度、流量を含むいろいろな入力信号から構成されていた。在庫、管理輸送、異種流体などシステムへの要求事項によって、タンクのモニタリングシステムはいろいろ複雑になっていく。プロセス安全の問題を見ていくと、基本的にシンプルが良いといえる。 API RP 2350では、液位表示だけを要求している。 IEC 61511のもとに安全度水準の立証を行なえば、シンプルな液位トランスミッターまたはポイント・レベルスイッチの選択が適切かもしれない。そして、多くはテュフ(TUV)認証の安全度水準を有したものが利用可能である。さらに、センサー類が安全上重要だと考えられる場合、安全計装システムの中にセンサー類を含め、基本レベルSIFあるいは他の確定SIFsとする。
図7 計装機器および最終制御要素
■ 最後になるが、タンク過充填防止をきっかけになった事故の対策をよく吟味する必要があろう。特に無人の基地では、緊急シャットダウン・バルブは安全システムに含める必要があるかもしれない。

結 論
■ 石油タンクの過充填防止の検討を行なう際、API RP 2350「石油施設における貯蔵タンクの過充填防止」およびIEC 61511「装置産業における安全計装システム」の両基準は問題解決にために有効である。 API RP 2350は規範的な方法をとっており、 IEC 61511は機能的な検討方法をとっている。最近の重大事故に照らしてみると、産業界は問題を広くとらえて機能的な検討方法を行なう傾向にある。 API RP 2350はこの傾向を反映した見直しを行っており、各企業はAPIの基準類と汎用的なIEC 61511の両者がひとつになることを希望している。そのようになれば、施設特有のより複雑な問題を取り扱うことが可能となり、他の施設を対象にしても、安全という観点から一貫性のある方法を企業間を越えて提供することができる。API RPsと合うことを欲している会社や、 IEC 61511の方法を通じて安全の実行と検証に協力している会社のために、両方に沿う解決策を産み出すようなスタンダードを組み合わせることである。タンクの自動操作まわりの重要な問題、安全に関わる制限事項および新たに出現する技術について細かく気を配った検討を行なうことによって、両方のスタンダードを取り入れ、さらに操業制約と予算制約を考慮したシステムを設計することができるだろう。


補 足                                                       
■ ISAInternational Society of Automation: 国際計測制御学会)は、計測・計装・制御分野の国際的な学会で、世界120か国5万人以上の会員を擁する。国際会議や展示会を主催し、国際標準化活動、技術書の出版など幅広い活動を行っている。日本にも1996年に支部が設立され、現在、会員は約140名である。
 今回の論文の著者はDon Newell氏(Shamrock Gulf在住)、Siemens Industry inc.のGene Cammack氏、 Praveen Muniyappi氏である。シーメンス社は1847年に設立されたドイツのミュンヘンに本社を置く計測・計装・制御分野の多国籍企業で、現在は情報通信、電力関連、交通、医療、家電製品など幅広い事業を展開している。

■  「IEC 61511」 (Safety Instrumented Systems for the Process Industry Sector: 装置産業における安全計装システム)は、国際電気標準会議(International Electrotechnical Commission: IEC)が制定した機能安全の装置産業向けスタンダードで、 2003 年に発行された。ベースとなる「IEC 61508」(Functional Safety of Electrical/Electronic/Programmable Electronic Safety-Related Systems:電気・電子・プログラマブル電子系の機能安全)が機器の製造者および供給者向けに対し、IEC 61511は安全計装システム設計者、システムインテグレータ、使用者向けのスタンダードである。IEC 61511 は3部構成で、パート1が本文,パート2、3がガイドラインである。パート3では安全度水準(SIL)の決定手法が紹介されている。日本でも、JIS規格として、2000年にJIS C 0508、2008年にJIS C 0511が制定された。

■ 「安全ライフサイクル」とは、製品またはシステムの企画から廃棄に至るまでの全ライフサイクルにわたり安全を確保するという考え方で、IEC 61508では、安全関連系の構想段階から設計・開発を含め、保守・廃棄に至るまでを図のように16のフェーズに分け、各フェーズ毎に要求事項が決められている。

■  「安全度水準」(Safety Integrity Level: SIL)とは、IEC 61508においてシステムの安全性能を表す尺度で、SIL1~SIL4までの4段階に定められている。SIL4が最も高い水準である。表に示すように、低頻度作動要求モードにおける目標の作動要求失敗確率が規定されている。
 「作動要求失敗確率」(Probability of Failure on Demand: PFD)は「機能失敗確率」、「不作動確率」とも呼ばれ、作動要求があったときに安全制御機能が作動しない確率をいう。
 安全度水準の決定要件は、ハザード(潜在危険)の特定、ハザード・リスクの評価、他の独立保護階層(Independent Protection Layers)の評価の3つである。他の独立保護階層の評価の代替方法として回避の評価、発生確率の評価を行なうものがある。
表 低頻度作動要求モード運用時の作動失敗確率
■  「安全防護層解析」(Layer of Protection Analysis: LOPA)は、米国化学工業協会(AIChE)によって構築された半定量的な簡易リスクアセスメント手法である。利用可能なあらゆるリスク低減手段を考慮するという安全防護層の考え方からきている。例えば、異常値になると警報が鳴り、それに対処せず事態が悪化するとインターロックが作動するというように、安全策が複数の層(レイヤー)になっていることを指す。

■ 「2oo3」(2-out-of-3)は冗長化の一つで、3重化したシステムで3つのうち2つ以上が正常ならシステム全体が正常という条件の並列システム構成をいう。逆に3つのシステムのうち2つが機能しなくなった場合はシステム全体をシャットダウンさせる。装置産業の例としては、プロセス装置の重要な遠心圧縮機に振動センサーを3個設置し、3個のうち2個が異常振動を検知した場合、遮断システムが作動するようにし、誤トリップ防止を図ることがある。2重化のシステムが「1-out-of-2D」で、2重系において各系統に診断装置が設置されていて,各系統が危険側故障になっていないことを確認できる仕組みになっている。

■ 「Fieldbus」(フィールドバス)とは、IEC 61158に基づくフィールド機器と計装監視制御システムを結ぶ双方向デジタル通信ネットワークをいう。デジタル化によって一対の電線を使って流せる情報が飛躍的に増やすことができるようになり、計器室と現場機器間の配線数を削減しながら、複数のプロセス計測情報、自己診断、校正・設定情報など様々なデータを送ることができるようになった。これにより現場に行かなくても計器室から機器の校正や調整設定が行え、機器の自己診断などによりプラント稼働率および保全効率を向上させることができる。
 「HART」(Highway Addressable Remote Transducer)は通常、HART通信と呼ばれ、アナログ伝送にデジタル信号を重畳し、多数の信号を伝送する方式をいう。従来の制御信号や配線をそのまま活用して、HART通信対応フィールド機器の持つさまざまな情報(複数のプロセス計測情報、自己診断など)を送ることができるのが利点である。

■ 「SCADA」(Supervisory Control and Data Acquisition: スキャダ)は、産業制御システムの一種であり、コンピュータによるシステム監視とプロセス制御を行うシステムである。従来、産業用の監視制御システムは「DCS」(Distributed Control System: 分散型制御システム)が利用されてきた。DCSは専用のハードウェアとエンジニアリングツールで構成されるため、コストが高く、導入はある程度限定されていた。しかし、
パソコンやPLC(Programmable Logic Controller)の機能向上、高性能化、ネットワーク対応が進み、パソコンとPLCの組み合わせによって、監視制御システムが実現できるようになった。1990年代に汎用のパソコンと汎用のPLCの組合せによるSCADAパッケージソフトが販売されるようになり、現在ではDCSよりも安価な監視制御システムとして、いろいろな設備にSCADAが導入されるようになっている。

■ 「テュフ」(TÜV:Technischer Überwachungs-Verein)は1872年にドイツで設立された会社組織の検査技術機関である。 テュフはいくつかの組織に統合され、技術・安全・証明サービスの機能安全認証を行っているのはテュフ・ラインランド(TÜV Rheinland)など3つの会社である。1978年には、テュフ・ラインランドが日本国内に第三者検査機関として事務所を設立している。

■ 「安全度水準3のProfiSafeを採用したProfiBusとProfiNet(Ethernet)」
 工場の中には制御システムと安全システムがあり、従来はそれぞれを別々に設計、設置、稼動させていた。安全システムは、いろいろな要因によって発生する人間・機械・環境に対する危険を防止するシステムで、いわゆるシャットダウンシステムである。ProfiBusやProfiNetは工場オートメーションの制御システムである。 ProfiBusは工場オートメーションとプロセスオートメーションを同時にカバーするフィールドバスである。ProfiNetは標準のEthernetをベースとして、最近導入が進んでいるネットワーク技術である。
  ProfiSafeは安全システムの一つで、安全システム内のデータ伝送にデジタル通信を用いたものである。従来、安全システムにデジタル通信を使うことへの信頼性の疑念があり、一本一本配線をつないでいった方が信頼性があるのではないかという固定概念があった。しかし、安全センサとリレーをアナログ信号で配線しても故障する場合もあるし、デジタル通信でも故障する場合があるわけで、機械とは本来故障する可能性があり、故障するリスクを計算して、そのリスクが許容できるものなら安全という考え方から開発されたものである。安全度水準3のPROFIsafeを採用することで安全性を確保した制御システムの運用ができ、 PROFIsafeは最も利用されている安全通信技術だといわれている。

■ 「SIF」(Safety Instrumented Function: SIF)とは「安全計装機能」で、安全計装システム(SIS)構築の各要素をいう。


所 感
■ ガソリンタンクへの過充填によって起こった英国バンスフィールド事故(2005年)を契機に、タンク過充填防止の基準について書かれた当該資料は、ドイツのシーメンス社に所属する著者らが書いたものだけに、欧州における安全に関する論理的な思考方法が垣間見える。この点で、IECの「装置産業における安全計装システム」の紹介は参考になったし、産業界が問題を広くとらえて機能的な検討方法を行なう傾向にあるという指摘は興味深い。これまで石油工業設備の設計基準はAPIが主流だったのに対して、タンク過充填防止の基準には、APIの規範的スタンダードとIECの機能的スタンダードがあるという公平な解説はわかりやすい。

■ 今回の資料で再認識したのは、制御システムや安全システムが急速に進歩していることである。論文中の「従来の考え方」という話はまったく自分自身に当てはまった。無線通信は安全対象の適用に受け入れられないという考え方だったが、信頼性のある無線通信の出現によって見方を変える必要があることがわかった。誤トリップを無くす(最小限にする)には冗長化しかないと思っていたが、安全度水準のレベルを明確にし、認証されたシステムを使用すればよいという考え方にも納得する。
 タンク施設の制御システムにおいて信頼性や安全性を複雑に考えるのではなく、過充填防止が最重要ならば、液位にのみ注目して安全システムを考えるというシンプルさも逆に新鮮で、またそれを可能にする現在の計装技術の進歩を理解できる資料だった。


備 考
 本情報はつぎのインターネット情報に基づいてまとめたものである。
  ・Tank Overfill Protection - API 2350 and  IEC 1511 Safety Considerations, ISA Expo 2009
             Authors:
                Don Newell, Shamrock Gulf
                Gene Cammack, Siemens Industry Inc.
                Praveen Muniyappi, Siemens Industry Inc.



後 記: このブログで「大型石油タンクのハザード評価の方法」(2014年7月)を紹介した際、欧州にとって英国バンスフィールド事故(2005年)の影響は大きく、著者(ギリシャ人)がタンクの過充填と蒸気雲爆発シナリオの事前分析に過度と思えるくらいのこだわりがあると感じ、タンクの過充填防止についてまとめられた今回の資料をとりあげました。 IEC 61511(装置産業における安全計装システム)は、バンスフィールド事故が起こる2年前の2003年に発行されたもので、まさに該当するような大事故がすぐに起こるとは考えていなかったでしょう。バンスフィールド事故が起こっていなければ、タンク施設への適用を考えることはなかったでしょうし、まして既設設備への検討は対象にされていないでしょう。欧州でいろいろ議論されているのがわかるような気がしました。しかし、今回の資料は平易に書かれたものでしょうが、計装専門用語に親しんでいないので、インターネットで検索して意味や内容を理解しながらまとめました。   

0 件のコメント:

コメントを投稿