基于風(fēng)險矢量圖的多場景保護層分析方法研究*

任超群，都 亮，劉德宇，張國健，靳江紅，李 粵

(1.海南大學(xué) 機電工程學(xué)院，海南 海口 570228； 2.中國特種設(shè)備檢測研究院，北京 100029；3.海南省鍋爐壓力容器和特種設(shè)備檢驗所，海南 ?？?570203； 4.北京市勞動保護科學(xué)研究所，北京 100054)

0 引言

保護層分析(Layers of Protection Analysis，LOPA)是1種分析和評價風(fēng)險的半定量工具。1個完整的化學(xué)工藝過程應(yīng)包含多種保護層，如本質(zhì)安全設(shè)計(ISD)、基本工藝過程控制(BPCS)、安全儀表系統(tǒng)(SIF)、物理防護、泄漏后防護、人為措施干預(yù)等。這些防護措施猶如“洋蔥”一般將化學(xué)工藝過程層層保護起來，通常情況下其中任何1種保護措施生效，即可保護工藝系統(tǒng)免遭事故。某種情形可能需要1個或多個保護層，其主要取決于過程的復(fù)雜程度和事故的嚴(yán)重性。在LOPA中，通常認(rèn)為沒有永久有效的保護措施，所有安全防護系統(tǒng)都存在失效的可能性。李娜等[1-2]介紹保護層分析的概念并使用SIL分析技術(shù)對煉化企業(yè)在役裝置進行實用分析；陶冶等[3]引用削減系數(shù)對LOPA計算方法進行改進；閆放等[4]等開發(fā)(SPA-LOPA)方法，將集對分析與傳統(tǒng)的LOPA相結(jié)合，提升評價質(zhì)量；羅偉等[5]結(jié)合因果圖、CCA，LOPA方法，使安全防護系統(tǒng)分析形成閉合的回路；靳江紅等[6]針對LOPA的定量問題建立數(shù)學(xué)模型，并分析低要求模式與高要求模式的使用條件；陳碩等[7]、王起全等[8]、李慧領(lǐng)等[9]應(yīng)用HAZOP與LOPA對各種化工設(shè)備進行安全防護系統(tǒng)的分析。以上分析均只針對單一初始事件引發(fā)的事故后果頻率，未考慮多重初始事件對后果發(fā)生頻率造成的影響。對多場景下的保護層進行分析，有利于減少后果發(fā)生頻率計算時產(chǎn)生的誤差，增加安全系數(shù)。

美國化工安全過程中心[10]出版的保護層分析中提出將計算方法分為高要求模式及低要求模式2種。然而對于復(fù)雜的工藝流程，設(shè)備發(fā)生某種不可接受的風(fēng)險(如爆炸、中毒)往往有多種觸發(fā)事件，在不考慮安全防護措施的情況下，事故發(fā)生頻率應(yīng)為所有獨立不相關(guān)初始事件的頻率總和。實際應(yīng)用中，往往存在多個初始事件共用同一保護層(IPL)的情況，如果仍采用求和法難免會使結(jié)果出現(xiàn)誤差。因此本文就多重初始事件對事故后果頻率產(chǎn)生的影響進行分析，研究最優(yōu)的定量計算方法，為LOPA應(yīng)用提供參考。

1 LOPA的定量計算

LOPA根據(jù)事故場景的發(fā)生概率及事故嚴(yán)重程度來預(yù)測造成的后果。事故場景從初始事件發(fā)展到事故后果是1個復(fù)雜的過程，事故場景需要考慮的主要因素如圖1所示，包括原因、后果、使能條件、時間序列和獨立保護層(IPLs)等。針對初始事件，分析現(xiàn)有安全防護措施是否起作用，如果未發(fā)現(xiàn)獨立保護層或現(xiàn)有保護層不足以保障安全生產(chǎn)，則根據(jù)風(fēng)險矩陣判定發(fā)生事故的風(fēng)險是否可以接受，對不可接受的生產(chǎn)安全事故所引發(fā)的后果提出相應(yīng)的建議措施[11-13]。

圖1 事故場景的要素Fig.1 Elements of accident scenario

在實際應(yīng)用中，假設(shè)發(fā)生初始事件d，保護層IPL-1,IPL-2,…，IPL-n互不相關(guān)，則發(fā)生后果E的概率如式(1)所示：

(1)

式中：P(E)為后果發(fā)生的概率;P(d)為初始事件發(fā)生的概率;P(F1)為IPL-1失效導(dǎo)致事件F1發(fā)生的概率;P(Fn+1)為第n+1個保護層失效導(dǎo)致事件Fn+1發(fā)生的概率。

后果E發(fā)生的頻率如式(2)所示：

(2)

在計算后果發(fā)生頻率時，還應(yīng)考慮使能條件與修正因子，計算公式如式(3)所示：

P(h)=P(h1)×P(h2)×P(h3)×…×P(hn+1)

(3)

式中：P(h)為使能條件與修正因子存在的可能性;P(h1)為第1個存在的使能條件或修正因子;P(hn+1)為第n+1個存在的使能條件或修正因子。

單一事件導(dǎo)致后果發(fā)生的概率如式(4)所示：

(4)

式(1)中，后果P(E)的發(fā)生概率應(yīng)為初始事件d的發(fā)生概率與所有保護層全部失效的概率相乘，而在實際使用過程中，當(dāng)存在單一IPL同時防護多種失效的情況時，保護層的重復(fù)計算會對系統(tǒng)安全完整性等級判定造成干擾，使場景后果頻率增大。因此應(yīng)對每個“初始事件-后果”逐一分析，最后計算后果頻率之和。

2 多重初始事件導(dǎo)致后果頻率分析

傳統(tǒng)分析場景后果發(fā)生頻率時，先將所有可能導(dǎo)致同一后果的初始事件羅列出來，之后代入式(2)計算，則得到基于該獨立事件的后果發(fā)生頻率。然后將各獨立初始事件導(dǎo)致場景后果的頻率相加，得到整體的場景后果頻率，如式(5)所示：

“更可氣的是，他吃完飯回到家就開始看電視、逗狗，一點觸動都沒有。我說你看別人都這么上進，你咋不知道加把勁兒多做出點成績讓上司看到呢，晚兩年進公司的人都快要跟你平起平坐了。他倒氣定神閑，說急不得，好好做好手頭上的事不愁老板看不到。

(5)

LOPA的原則是將風(fēng)險降低至企業(yè)可接受水平，而不是徹底杜絕風(fēng)險。過多的保護層不但會造成浪費，還會使設(shè)備運行效率降低，影響產(chǎn)能。設(shè)計人員一般根據(jù)風(fēng)險可接受水平，設(shè)計能夠保障設(shè)備安全運行的保護層。實際上，1個IPL往往會同時承擔(dān)多種異常工況的防護任務(wù)。如果在計算后果發(fā)生頻率時直接將不同初始事件導(dǎo)致后果的頻率相加，則保護層失效概率被重復(fù)計算，造成后果發(fā)生頻率升高，導(dǎo)致對系統(tǒng)安全性產(chǎn)生誤判，增加冗余保護層，造成經(jīng)濟損失。

因此當(dāng)各初始事件存在相關(guān)性，或共用同一保護層時，只需計算1次保護層失效概率，采用場景后果發(fā)生頻率最高的1項即可。采用最大值法計算場景頻率，如式(6)所示：

(6)

式中：

為初始事件存在相關(guān)性或共用同一保護層的場景后果發(fā)生頻率值中最大1項。

當(dāng)導(dǎo)致同一后果的初始事件中，部分初始事件相互獨立，部分具有相關(guān)性或存在共用IPL，則將2部分的場景發(fā)生頻率分別按照求和法和最大值法處理，然后各初始事件間存在相關(guān)性或共用將2種處理結(jié)果相加，即采用綜合計算法獲得后果發(fā)生總頻率值，如式(7)所示：

(7)

在面對多重初始事件引發(fā)的失效場景時，LOPA需要對所有可能發(fā)生的事故場景進行預(yù)測，并對現(xiàn)有保護層進行評估，分析在現(xiàn)有保護層下發(fā)生事故的概率能否被接受。通過建立風(fēng)險矢量導(dǎo)圖，按照計算流程將IPL失效概率、修正因子、初始事件發(fā)生頻率、現(xiàn)有保護層、總后果頻率以及可接受的后果頻率進行歸納總結(jié)，使LOPA過程更加簡潔高效，同時避免了對同一保護層重復(fù)計算。風(fēng)險矢量導(dǎo)圖如圖2所示。

圖2 風(fēng)險矢量導(dǎo)圖Fig.2 Risk vector map

3 修正因子對后果頻率的影響分析

在進行LOPA時，通常將人員安全放在首位。修正因子與IPL都可以起到削減風(fēng)險因子的作用。IPL針對管理設(shè)計存在的安全漏洞，杜絕或者減輕事故造成的損失。修正因子并不能對事故進行響應(yīng)從而降低事故損失，而是作為1種客觀存在的事實，成為事件流程中的某個不可或缺的要素。通常需要考慮的修正因子包括但不限于：點火源、暴露因子、致死概率。修正因子采用的邏輯如圖3所示。

在選用修正因子作為條件修正時，該修正因子的概率應(yīng)保持穩(wěn)定。例如，某些設(shè)備在1 a中不同時期的工作時間不同，當(dāng)生產(chǎn)任務(wù)加重時，設(shè)備全天不間斷運行，持續(xù)一段時間；而在無生產(chǎn)任務(wù)時不會有工作人員靠近設(shè)備。這時不能簡單地將設(shè)備全年工作時間平均分配到每1 d。當(dāng)設(shè)備不間斷運行時，相關(guān)人員出現(xiàn)在設(shè)備周圍的暴露因子會上升，同時IPL失效概率也會隨著運行時間的增加成正比上升。因此只有長時間相對穩(wěn)定的環(huán)境，修正因子才具有參考價值。

圖3 修正因子使用邏輯Fig.3 Use logic of correction factors

3.1 點火源

針對易燃易爆物質(zhì)進行LOPA，應(yīng)考慮物質(zhì)燃點以及設(shè)備周圍是否存在點火源。某些情況下，當(dāng)設(shè)備本身工作會釋放大量熱時，若達到物質(zhì)燃點，則不需第三方火源即可引燃物質(zhì)導(dǎo)致失火或爆炸。通常進行LOPA時將點燃或觸發(fā)物質(zhì)燃點的概率設(shè)置為100%，但是將點火源存在概率一概而論無疑會放大風(fēng)險等級，對分析結(jié)果產(chǎn)生誤導(dǎo)。在計算物質(zhì)點燃概率時，還應(yīng)考慮物質(zhì)的化學(xué)性質(zhì)，有些原料泄漏時摩擦?xí)a(chǎn)生大量靜電，從而導(dǎo)致延遲點燃。美國化工安全過程中心在綜合公共數(shù)據(jù)和專家意見后，建議將立即點燃概率設(shè)定為15%，延遲點燃概率(非立即點燃概率)設(shè)定為30%。實際分析時，應(yīng)先確定易燃物質(zhì)的燃點、閃點，并對現(xiàn)場是否存在熱源進行分析，從而確定較準(zhǔn)確的點燃概率。另外，延遲點燃概率隨著泄漏時間的增加而增大，因此在進行LOPA時，應(yīng)根據(jù)設(shè)備實際情況考慮點燃概率。

3.2 暴露因子

人員暴露因子同樣是修正因子。在進行LOPA時，應(yīng)考慮發(fā)生事故時所有可能會出現(xiàn)在場景中的人員，包括日常操作人員、巡檢人員、維修人員等。值得注意的是，如果將人員響應(yīng)作為IPL保護層，即當(dāng)發(fā)生異常工況時由操作人員前往處理，則應(yīng)認(rèn)為該員工100%處于危險環(huán)境中。同樣的情況還有日常操作人員長期在設(shè)備附近工作。另1種情況則是巡檢人員的暴露因子。因為巡檢人員只會在特定的時間經(jīng)過可能產(chǎn)生危險的區(qū)域，因此應(yīng)提前詢問廠方巡檢頻率，之后計算巡檢人員的暴露頻率，如式(8)所示：

(8)

暴露因子示例如圖4所示。圖4中：人員A代表可能出現(xiàn)在設(shè)備附近的日常操作人員或維修人員，人員B代表巡檢人員，人員C代表廠區(qū)內(nèi)其他不在影響范圍的工作人員。

圖4 暴露因子Fig.4 Exposure factors

3.3 致死概率

致死概率為人員暴露在影響區(qū)域時的死亡概率。致死概率不能獨立于暴露因子，只有在人員處于事故影響范圍內(nèi)喪生時，才可以使用死亡修正因子。然而即使暴露在事故范圍內(nèi)，與設(shè)備的距離、原料泄漏時間、現(xiàn)場人員是否經(jīng)歷過安全培訓(xùn)等均會對致死概率產(chǎn)生影響?；て髽I(yè)定量風(fēng)險評價導(dǎo)則[14]中對不同熱輻射造成的傷害和損壞進行定義，在計算致死概率時，可參考相關(guān)資料確定原料燃燒爆炸能釋放的熱量，判斷對人員的傷害程度，從而確定致死概率。

綜上所述，修正因子可避免風(fēng)險值被夸大。分析人員應(yīng)根據(jù)可接受風(fēng)險水平，構(gòu)建合理的保護層，將風(fēng)險控制在可接受的范圍之內(nèi)。

4 應(yīng)用實例

以某公司柴油加氫裝置為例，該裝置以催化柴油和直餾柴油1∶1混合油為原料，設(shè)計壓力7.8 MPa。生產(chǎn)優(yōu)質(zhì)柴油產(chǎn)品及重裝原料油，裝置采用一段串聯(lián)中壓加氫改制新工藝，產(chǎn)能為11萬t/a。

根據(jù)該公司所提供的往年事故調(diào)查報告確定各初始事件發(fā)生頻率，并參考HAZOP分析方法及實踐[15]所提供的相關(guān)數(shù)據(jù)。對該裝置原料油緩沖罐進行LOPA，見表1。

風(fēng)險矢量導(dǎo)圖如圖5所示。

根據(jù)LOPA結(jié)果，導(dǎo)致原料油緩沖罐液位過高共有4種初始事件：原料油泵P-1故障(發(fā)生頻率為0.1次/a)、原料油脫水罐D(zhuǎn)-19閥門故障(發(fā)生頻率為0.15次/a)、原料油脫水罐D(zhuǎn)-19凝結(jié)水總管故障無法使油水分離(發(fā)生頻率為0.25次/a)、D-6液位控制回路LIC2101故障(發(fā)生頻率為0.5次/a)。由于事件2與事件3相關(guān)性較大且使用了相同的IPL(進料流量過大，通常為油水分離不徹底)，因此應(yīng)采用最大值法，則該多場景事件的后果發(fā)生頻率取0.25次/a；之后該結(jié)果代入式(7)，計算多場景后果發(fā)生總頻率為0.1+0.25+0.5=0.85次/a，即原料油緩沖罐液位過高的發(fā)生頻率為0.85次/a。在前3種初始事件中，現(xiàn)場工作人員每天出現(xiàn)在事故影響范圍的時間為12 h，因此暴露因子為0.5，柴油的閃點為120 ℃以上，燃點為300～330 ℃，現(xiàn)場不存在高溫設(shè)備，因此點燃概率取0.15。當(dāng)發(fā)生火災(zāi)時，雖然工作人員處于影響范圍內(nèi)，但致死概率隨人員與設(shè)備之間距離的增大而降低，在綜合考慮現(xiàn)場情況后，前3種場景人員處于影響范圍內(nèi)致死概率取0.5。而場景4，由于將人員響應(yīng)作為獨立保護層，因此當(dāng)發(fā)生火災(zāi)時，人員必定會處于設(shè)備周圍，所以致死概率應(yīng)為1。經(jīng)計算后，液位過高溢流致死后果發(fā)生頻率為3.2E-02，而企業(yè)可接受風(fēng)險頻率為2.5E-05，當(dāng)前保護層不能滿足企業(yè)可接受風(fēng)險要求，因此須增加IPL以降低風(fēng)險。

表1 保護層分析Table 1 LOPA analysis

圖5 風(fēng)險矢量導(dǎo)圖Fig.5 Risk vector map

5 求和法、最大值法與本文算法比較

應(yīng)用實例采用綜合計算法獲得多場景事故后果發(fā)生頻率，以下分別采用求和法和最大值法來計算多場景后果頻率，并與綜合計算法的計算結(jié)果進行比較分析。

綜上所述，對于多重初始事件導(dǎo)致的后果頻率計算，求和法過于保守，最大值法過于樂觀，而綜合計算法更為準(zhǔn)確。

6 結(jié)論

1)針對多重初始事件進行LOPA時，可借助風(fēng)險矢量導(dǎo)圖，以避免保護層失效概率重復(fù)計算造成的誤差。

2)根據(jù)初始事件的相關(guān)性以及是否共用IPL，多重初始事件導(dǎo)致的后果頻率可采用最大值法、求和法或綜合計算法來計算。求和法過于保守，最大值法過于樂觀，而綜合計算法更為準(zhǔn)確。

3)進行LOPA計算時，應(yīng)充分考慮使能條件和修正因子的影響，力求獲得準(zhǔn)確的后果發(fā)生頻率。