李 雁
(中國五環(huán)工程有限公司,湖北 武漢 430223)
近年來,國內(nèi)危險化學(xué)品生產(chǎn)裝置及儲存設(shè)施規(guī)模越來越大,生產(chǎn)過程自動化水平也有了顯著提高,對加強和規(guī)范安全儀表系統(tǒng)的設(shè)置和管理的需求也越來越迫切。根據(jù)《關(guān)于加強化工安全儀表系統(tǒng)管理的指導(dǎo)意見》(安監(jiān)總管三〔2014〕116號)的要求,危險化學(xué)品生產(chǎn)裝置及儲存設(shè)施安全儀表系統(tǒng)的設(shè)計需要符合具體時間節(jié)點的要求,自2020年1月1日起,凡是新建涉及“兩重點一重大”的化工裝置和危險化學(xué)品儲存設(shè)施,均要執(zhí)行功能安全相關(guān)標(biāo)準(zhǔn),設(shè)計符合要求的安全儀表系統(tǒng)。
當(dāng)前,安全儀表系統(tǒng)(SIS)的設(shè)計執(zhí)行的功能安全標(biāo)準(zhǔn)主要有GB/T20438《電氣電子可編程電子安全相關(guān)系統(tǒng)的功能》和GB/T21109《過程工業(yè)領(lǐng)域安全儀表系統(tǒng)的功能安全》,而安全儀表系統(tǒng)(SIS)的設(shè)計首先需要確定各安全儀表功能(SIF)的安全完整性等級(SIL)。當(dāng)前,確定安全儀表系統(tǒng)所要求的安全完整性等級的方法很多,有定性、半定性、半定量等,采用哪種SIL定級方法取決于許多因素,其中主要包括:①工藝過程的復(fù)雜程度;②國家及管理部門的現(xiàn)行標(biāo)準(zhǔn);③風(fēng)險特性和降低風(fēng)險的方法;④操作人員的經(jīng)驗和技能;⑤相關(guān)風(fēng)險參數(shù)的可用信息等。在一些工藝過程分析應(yīng)用中,也可以使用不止一種方法。
保護(hù)層分析(Layer of Protection Analysis,簡稱LOPA)法是建立在過程危險源定性分析(例如HAZOP分析)基礎(chǔ)上的SIL定級中常用方法。它是通過對初始事件頻率、后果嚴(yán)重程度和獨立保護(hù)層(IPLs)失效頻率來近似表征特定場景的風(fēng)險,并進(jìn)行風(fēng)險決策的一種系統(tǒng)方法,其主要目的是確定當(dāng)前的保護(hù)層是否可滿足企業(yè)可容許風(fēng)險基準(zhǔn)。LOPA以數(shù)量級作為衡量尺度,是一種簡化的半定量的風(fēng)險評估方法。
LOPA分析可以用一個“洋蔥頭”來描述其模型,通過所有的“洋蔥外皮”對中心核起到獨立保護(hù)作用,使得“洋蔥中心核”遭受的外侵風(fēng)險大幅降低。因此,在對每個特定事故場景進(jìn)行保護(hù)層分析時,確定哪些保護(hù)層能夠真正起到防止不期望時間的發(fā)生,或降低不期望事件后果嚴(yán)重性的目的尤為重要。
圖1 “洋蔥頭”保護(hù)層模型示意
保護(hù)層分析(LOPA)法是近年來廣泛應(yīng)用的一種安全設(shè)計與管理技術(shù)。對于特定的場景,基于LOPA提供的一致性基礎(chǔ),判斷是否有足夠的獨立保護(hù)層來控制事故風(fēng)險。雖然LOPA是一個半定量風(fēng)險評估方法,但它是一種適合評估事故場景保護(hù)層價值的簡化方法。當(dāng)前,絕大多數(shù)咨詢公司、工程公司均選擇LOPA分析法進(jìn)行SIF回路的SIL定級,在不斷地小組實戰(zhàn)分析實踐中,對遇到的問題進(jìn)行多角度地分析討論、評估,并確定原則和對策,再通過業(yè)主方在運行階段進(jìn)行驗證與回歸,反饋并指導(dǎo)優(yōu)化設(shè)計,形成閉環(huán)管理升級。LOPA分析法行之有效,不但適用于新建項目,對在役裝置也具有很好的適用性,通過定期LOPA分析得出的結(jié)果,對已投用的SIS系統(tǒng)進(jìn)行核實和改進(jìn),將有助于不斷提高裝置自動化水平、規(guī)范人員行為,提高對風(fēng)險辨識、評估和控制管理能力。
LOPA分析主要過程包括:①場景辨識;②初始事件(IE)識別及頻率確認(rèn);③后果及嚴(yán)重性評估;④獨立保護(hù)層(IPL)識別及要求時的失效概率(PFD)的確認(rèn);⑤場景導(dǎo)致預(yù)期后果的頻率計算;⑥風(fēng)險評估與建議;⑦后續(xù)跟蹤與審查。
獨立保護(hù)層(IPL)是獨立于場景的初始事件或其他保護(hù)層的設(shè)備、系統(tǒng)或行動,能夠阻止場景向不期望后果發(fā)展的保護(hù)措施。AQ/T3054-2015《保護(hù)層分析(LOPA)方法應(yīng)用導(dǎo)則》規(guī)定,化工企業(yè)保護(hù)層作為IPL時,應(yīng)滿足以下五大特性。
(1)獨立性。①與初始事件的發(fā)生及其后果獨立;②與同一場景中的其它獨立保護(hù)層獨立;③應(yīng)考慮共因失效或共模失效的影響。
(2)有效性。①響應(yīng)的時間能夠檢測到;②能在有效的時間內(nèi)及時響應(yīng);③能在可用的時間內(nèi)有足夠的能力采取所要求的行動;④能滿足所選擇的PFD的要求。
(3)安全性。通過管理控制或技術(shù)手段有效減少非故意的或未授權(quán)的變動。
(4)變更管理。應(yīng)對過程的任何改動進(jìn)行復(fù)查、建檔及核準(zhǔn),以滿足變更后保護(hù)層的有效性要求。
(5)可審查性。以某種方式(記錄、審查、測試等),對于保護(hù)層阻止后果的有效性和PFD進(jìn)行驗證,說明保護(hù)層的設(shè)計、檢查、維護(hù)、測試和運行活動能夠使保護(hù)層達(dá)到有效性的要求。①審查確認(rèn)獨立保護(hù)層各項指標(biāo)的合適性,以滿足IPL的使用要求;②審查程序應(yīng)確認(rèn),如果IPL按照設(shè)計發(fā)生作用,將有效地阻止后果。
作為工程公司,在進(jìn)行過程危險源分析工作中,經(jīng)歷了“起步摸索-基本掌握-回看自檢”的過程,遇到過困難和問題,也積累了些許經(jīng)驗,以下摘取3個典型問題進(jìn)行分享。
(1)問題1:同一傳感器不同設(shè)定值涉及多個SIF回路,前一個場景是否作為下一個場景的獨立保護(hù)層?
常見危險化學(xué)品液體儲罐通常有此類設(shè)計,如常壓液氨儲罐壓力控制系統(tǒng)的設(shè)置。通常情況下,常壓液氨儲罐操作壓力為3~8kPa(g),設(shè)計壓力為-0.5/15kPa(g),呼吸閥/安全閥(PSV)的整定壓力為-0.4/14 kPa(g),壓力控制示意見圖2,壓力聯(lián)鎖控制設(shè)定值-聯(lián)鎖動作見表1。
從圖2、表1可知,壓力傳感器為2套,均為3取2冗余配置,2套傳感器按設(shè)定值不同,完成所有聯(lián)鎖動作。
圖2 常壓液氨儲罐壓力控制示意
表1 常壓液氨儲罐壓力控制設(shè)定值-聯(lián)鎖動作
按照SIS的獨立性要求,LOPA分析應(yīng)基于保護(hù)層的獨立性,IEC61511-1中關(guān)于基本過程控制系統(tǒng)(BPCS)作為獨立保護(hù)層的規(guī)定如下:當(dāng)觸發(fā)因素為BPCS本身時,應(yīng)確保BPCS觸發(fā)因素與BPCS保護(hù)層之間的隔離和獨立(見圖3)。
圖3 BPCS保護(hù)層與BPCS中觸發(fā)源之間的獨立性要求
同理,獨立保護(hù)層的傳感器與要定級的SIF回路的傳感器也需要保持獨立分開,才能保證保護(hù)層的獨立性。根據(jù)這一原則,以常壓氨罐壓力高聯(lián)鎖回路的LOPA分析過程為例,分析過程見表2,考慮場景間相互不視為獨立保護(hù)層。
表2 常壓液氨儲罐壓力高聯(lián)鎖分析
考慮到國外專利商通常堅持按“3取中調(diào)節(jié)+3取2聯(lián)鎖”進(jìn)行安全設(shè)計,所以建議的做法為:傳感器為3取2,定級結(jié)果較高時,可酌情考慮削減;當(dāng)傳感器只有1個時,應(yīng)絕對禁止。
(2)問題2:可燃/有毒氣體檢測報警系統(tǒng)是否作為獨立保護(hù)層?
AQ/T 3054—2015《保護(hù)層分析(LOPA)方法應(yīng)用導(dǎo)則》第7.2條,化工企業(yè)典型保護(hù)層及作為IPL的要求,在表3中已明確作為保護(hù)層的“釋放后保護(hù)措施”中包含有“火氣系統(tǒng):可燃?xì)怏w和有毒氣體檢測報警系統(tǒng)……”,同時也說明了作為獨立保護(hù)層IPL的要求為:①獨立于場景中的其他保護(hù)層;②在確定設(shè)備的PFD 時,應(yīng)考慮其實際運行環(huán)境中可能出現(xiàn)的污染、堵塞、腐蝕、不恰當(dāng)維護(hù)等因素對PFD進(jìn)行修正。T/CCSAS 001—2018《危險與可操作性分析質(zhì)量控制與審查導(dǎo)則》附錄G安全措施消減因子數(shù)據(jù)表中,將可燃/有毒性氣體報警儀作為 “其他安全措施”,其失效概率為1×10-1,并且強調(diào)“超溫超壓引起的泄漏且壓力和溫度設(shè)置有報警時不考慮消減”。
具體工程項目中,可燃/有毒氣體探測器的檢測點需根據(jù)工藝要求和設(shè)備管道布置,結(jié)合氣體的理化性質(zhì)、釋放源特征以及環(huán)境氣候條件、探測器特點、檢測報警可靠性要求、操作巡檢路線等因素,按照GB/T 50493-2019《石油化工可燃?xì)怏w和有毒氣體檢測報警設(shè)計標(biāo)準(zhǔn)》,選擇可燃/有毒氣體容易積聚、便于采樣檢測和儀表維護(hù)處進(jìn)行布點。但是,受現(xiàn)場風(fēng)向、氣壓等多種因素影響,可燃/有毒氣體的存在及分布具有很大的不確定性,氣體檢測器的覆蓋率也將影響檢測率,使得氣體檢測也存在不確定性。檢測器報警一定有可燃/有毒氣體存在,但可燃/有毒氣體存在,檢測器不一定會報警。基于這一考慮的做法是,專門為某個偏離或某個特定位置(如地下槽)設(shè)置報警器,檢測報警帶聯(lián)鎖動作需要人員響應(yīng)的可以算做獨立保護(hù)層,其他情況下設(shè)置的可燃/有毒氣體檢測報警系統(tǒng)均不算。同時需要強調(diào)的是,作為獨立保護(hù)層的可燃/有毒氣體報警,需列入跟蹤檢查表進(jìn)行跟蹤檢查,以確保獨立保護(hù)層的獨立性和可審查性。
(3)問題3:一個SIF回路,涉及多個最終元件時,該如何處理?
SIF回路通常由傳感器、邏輯解算器和最終元件組成。一個SIF回路涉及多個最終元件的情況常見于某個工序大聯(lián)鎖。若氣化爐或轉(zhuǎn)化爐溫度高,通常要求關(guān)閉多個(3個以上)閥門。此類安全聯(lián)鎖往往由于后果嚴(yán)重且保護(hù)層相互關(guān)聯(lián),可用的獨立保護(hù)層較少而導(dǎo)致回路SIL等級較高;而同時由于涉及多個最終元件,使得SIF回路龐雜,給后期執(zhí)行驗證帶來較大挑戰(zhàn)。采取的做法如下:因最終元件的數(shù)量對SIF回路的定級結(jié)果無影響,故所有最終元件仍在此SIF回路中按定級結(jié)果進(jìn)行設(shè)計和采購;增加確定關(guān)鍵最終元件的環(huán)節(jié),分析小組主席與工藝、儀表、業(yè)主相關(guān)人員、專利商代表及分析小組其他成員共同確定不多于3個關(guān)鍵最終元件,確定的原則為能夠直接消除初始事件或減緩后果;驗證時,只選取關(guān)鍵最終元件的PFD值參與計算。這種做法在一些海外項目及國內(nèi)項目都使用過,也是獨立咨詢公司的通常做法。
識別和確定場景中的IPL,并確定合適的PFD,是LOPA分析的核心內(nèi)容;確定SIF回路的安全完整性等級(SIL),是LOPA分析的最終目標(biāo)及SIS系統(tǒng)的設(shè)計依據(jù);而篩選SIF回路中的關(guān)鍵元件是下一步確認(rèn)現(xiàn)有配置是否達(dá)到所需的SIL等級要求的關(guān)鍵輸入。在實際運用中,進(jìn)行了一些必要的歸納和總結(jié),謹(jǐn)慎識別各類IPL,并盡力確保后期驗證的合理可行,歸根到底,都是為了更全面、系統(tǒng)地識別流程中的風(fēng)險,以便更好地把控和規(guī)避風(fēng)險。