關于從LOPA分析轉向定量領結分析的探討

李麗娟,田明,徐志杰,劉元,馬文耀

(1. 國家能源集團煤焦化有限責任公司,內蒙古 烏海 016000;2. 國家能源集團煤焦化有限責任公司西來峰分公司,內蒙古 烏海 016000;3. Kenexis咨詢公司,天津 300270;4. 國能烏海硝銨有限責任公司,內蒙古 烏海 016000;5. 中國石油化工股份有限公司 北京燕山分公司,北京 102500)

目前,安全工程師使用過程危害分析(PHA)技術(如HAZOP分析),對化工設備存有的危害進行定性評估,即使效果良好,但HAZOP分析并不能滿足所有要求。對于罕見事件和高后果事件,人為判斷往往不足以理解風險,故定性評估就會顯得力不從心。此外,某些技術安全設計工作需要定量結果,例如“這個聯(lián)鎖需要什么樣的冗余?”或者“多久測試一次安全措施?”,為了解決該類問題,安全工程師開發(fā)了一種技術,最終被稱作保護層分析(LOPA)[1]。幾十年來,LOPA分析為技術安全領域提供了良好的服務,然而LOPA分析固有的一些簡化導致了不恰當結論的產(chǎn)生,或無法評估某些常見安全措施的有效性。同時,LOPA分析的數(shù)字化“電子表格”性質還削弱了許多定性和視覺思考者傳授知識和經(jīng)驗的能力,這反過來又會導致LOPA分析越來越缺乏團隊合作,因為損失預防工程師往往只是簡單地應用表格中的數(shù)字來“計算”結果,而不是進行全面的團隊討論。為了解決該類缺陷,從業(yè)人員對LOPA分析進行了相應擴展和修改,并在其原始形式的基礎上增加了額外屬性。

一種已經(jīng)存在數(shù)十年且以風險溝通和理解技術為基礎的技術,但直到最近才開始受到重視,這種技術就是領結圖[2]。領結圖主要被用作可視化和溝通工具,而不是作為定量決策和設計工具,其主要目的是將重大危險場景可視化。在領結圖中,左側表示多個不同的原因(稱為威脅),每個原因都可能有預防性安全措施(稱為屏障);中間是被預防的危險事件,也被稱為“頂層事件”,這在工業(yè)流程中,通常指工藝過程中發(fā)生的圍堵失效(泄漏),該事件是領結圖中的“結”;右側表示由于危險場景發(fā)生可能導致的多種不同后果(單獨或組合),每種后果都有一種或多種減緩性安全措施(也稱為屏障)。領結圖的典型結構如圖1所示。

圖1 領結圖的典型結構示意

圖1通常會進行擴展,目的是包含與“屏障”(即安全措施)潛在漏洞有關的附加信息,這些漏洞被稱為退化因素,而控制或防止退化因素發(fā)生的相關機制則稱為退化控制。包含典型退化因素和控制措施的領結圖如圖2所示。

圖2 包含典型退化因素和控制措施的領結圖示意

目前,領結圖主要用于更好地理解和管理特定的危險場景,通常是通過審查HAZOP和LOPA等常用分析方法來識別需要特別關注的危險場景(具有嚴重后果),然后將來自HAZOP分析的多個偏離和場景的信息結合起來,以可視化的領結圖格式重新繪制。最終的領結圖可用于向各利益相關方(管理層、一般員工和社區(qū))傳達危險場景的原因、潛在后果的范圍以及為防止(或減緩)后果所采取的安全措施。該工具還可以協(xié)助管理,將各種安全措施(屏障)的設計、管理和維護分配給特定的人員或團隊,以便持續(xù)審查安全措施的存在和性能。然而,對于下一代風險分析,上述領結圖會引入數(shù)字,以便在設計安全措施時能夠實現(xiàn)企業(yè)的可容忍風險目標。

1 LOPA的不足與演變

LOPA是一種簡化工具,用于分析由HAZOP分析中偏離的原因所導致的“因果對”。LOPA分析通過計算事件的預計發(fā)生頻率,并與考慮后果嚴重程度的可容忍頻率進行比較,對單一原因和相關單一后果的風險進行評估,以確定其可容忍度。在評估過程中,考慮了原因(初始事件)的頻率、安全措施(獨立保護層)的有利影響、允許初始事件發(fā)生條件的概率(使能條件),以及導致安全后果的條件的概率(例如易燃氣體釋放物點火的概率,也稱為條件修正因子),所有以上信息將以單一因果對LOPA表格形式進行記錄。然而,該種繁瑣的表格形式很快會被淘汰,取而代之的是更加電子化的表格文檔,這樣的文檔能夠以更緊湊和可操作的方式記錄多個場景,通過單行的形式呈現(xiàn)更多的信息。

隨后,主要以LOPA分析為基礎來設計安全儀表系統(tǒng)(SIS)的人員,發(fā)現(xiàn)僅使用單一的“因果對”無法正確評估風險,這是因為安全儀表功能(SIF)所涵蓋的場景通常涉及多個原因,需要將這些原因的頻率相加,以了解整體風險并確定SIF的風險降低要求。例如,導致機泵密封失效的低流量場景可能存在多個根本原因,“低流量停泵”功能不僅可以預防上述場景,還必須應對其他場景,從而大幅提高了風險降低的能力。因此,LOPA從業(yè)人員對方法進行了修改,考慮到場景后果的多個原因,創(chuàng)建了一個名為“后果索引”的文件,列出導致特定后果的多個原因,而HAZOP分析通常在文件中列出單一原因的多個后果(即“原因索引”)。

2 LOPA與定量領結的數(shù)學基礎

針對上述情況,Marszal先生的《系統(tǒng)安全完整性等級選擇》[3]中詳細解釋了風險分析計算中使用的概率結果,包括假設和簡化方法。例如,通常采用的罕見事件近似概率加法,最終事件的概率和頻率通過它們的邏輯關系進行組合,具體來說是邏輯“或”或邏輯“與”。對于傳統(tǒng)LOPA計算中后果發(fā)生頻率的特定情況,由于場景是邏輯“與”關系,因此使用概率乘法來組合事件。這意味著只有在初始事件發(fā)生且所有使能事件為真,且所有條件修正因子為真,同時所有獨立保護層失效時,后果才會發(fā)生。當將多個場景的頻率組合起來計算后果的總體頻率時,可以使用概率加法,此時場景是邏輯“或”關系。這意味著如果第1個原因發(fā)生,或者第2個原因發(fā)生,或者第3個原因發(fā)生,后果就會發(fā)生。包含多個原因的LOPA報告電子表格樣式見表1所列,通過擴展表格式的LOPA工作表,可以實現(xiàn)多行表示單一后果的多個原因。同時,減緩事件可能性(MEL)頻率是基于單個原因及其相關安全措施的頻率之和。

表1 流量偏低包含多個原因的LOPA報告電子表格樣式

表1中包含的邏輯和數(shù)學運算也可以在定量領結圖中進行計算和顯示,如圖3所示。

圖3 場景多個原因的定量領結分析示意

在定量領結中,使用初始事件的頻率與各預防性安全措施的失效概率相乘,計算并顯示初始事件對頂層事件頻率的貢獻。每個初始事件的頻率在領結圖的左側,沿著通往頂層事件的各個分支上顯示,通過概率加法,將所有單個初始事件分支的頻率相加,得出頂層事件發(fā)生的總頻率,并在領結圖的下方顯示出來。與傳統(tǒng)的保護層分析相同,所有計算都按照相同的方式進行,但以領結圖的形式呈現(xiàn),可以通過可視化更好地理解。

3 統(tǒng)一危害評估

統(tǒng)一危害評估是定量領結分析中的術語,與傳統(tǒng)的定性領結圖的術語不同。本文和定量領結分析中使用的術語源自Marszal先生在“統(tǒng)一危害評估—以統(tǒng)一結構整合HAZOP分析,LOPA分析,危害登記和領結分析”[4]中提出的概念。統(tǒng)一危害評估假設所有風險分析,包括HAZOP分析,LOPA分析,領結圖和危害登記等,都包含相同數(shù)據(jù)集的子集,但會以略有不同的方式呈現(xiàn)。通過使用統(tǒng)一的術語和一致的數(shù)據(jù)結構,可以更好地滿足行業(yè)需求,實現(xiàn)數(shù)據(jù)的便捷移動和以不同格式呈現(xiàn)數(shù)據(jù)的目標。在統(tǒng)一危害評估中,使用的術語與LOPA分析最為相似,原因被稱為初始事件,而不是威脅;預防性安全措施和減緩性安全措施的術語是安全措施,而不是屏障;獨立保護層、條件修正因子和初始事件是特定類型的安全措施,它們記錄在安全措施的屬性中,與傳統(tǒng)的領結分析一致;后果的名稱被保留作為頂層事件所造成傷害的最終描述。

4 減緩性安全措施的定量領結處理

圖3展示的領結圖是傳統(tǒng)LOPA的可視化代表,但定量領結圖的主要優(yōu)勢在于相對于LOPA分析,它更好地處理減緩性安全措施,并同時考慮存在條件修正因子的場景。舉例來說,圖3所示的液池火災后果取決于泄漏的烴類液體是否由于點火控制程序失效而引發(fā)著火,這種情況可以通過定量領結圖的方式呈現(xiàn)。條件修正因子在定量領結中作為減緩性安全措施如圖4所示。

圖4 條件修正因子在定量領結中作為減緩性安全措施示意

條件修正因子屬于減緩性安全措施,因為它們能夠在圍堵失效發(fā)生后對后果進行修正,在流程工業(yè)定量領結分析中,圍堵失效事故通常成為領結圖中的頂層事件或結,所以條件修正因子在領結圖中顯示在頂層事件的右側。從定量的角度來看,后果的頻率是通過將頂層事件的頻率乘以與結果相關的所有減緩性安全措施的條件概率來計算的,由于情況的邏輯“與”性質,因此同樣采用概率乘法。與LOPA相同,可以為后果分配一個可容忍頻率,即目標減緩減緩事件可能性。如圖4所示,計算出的后果頻率(3.60×10-3)大于TMEL值(1.00×10-4)。因此,該后果的頻率是不可容忍的,因此在圖4中標記為“紅燈”。

盡管定量領結圖有助于更清晰地展示點火條件修正因子概率在事件序列中的位置,但最終條件修正因子的使用也可以在傳統(tǒng)LOPA中進行建模。然而,條件修正因子只能在其有效的情況下使用,即點火控制程序正常運行且未發(fā)生點火,因此沒有安全后果。如果有效的條件修正因子不導致任何后果,則可以在LOPA中以與預防性安全措施完全相同的方式處理條件修正因子。

如果無論條件修正因子是否有效,后果都會發(fā)生呢?考慮將圖4中的池火場景擴展到以下情況： 即如果立即發(fā)生點火,液池火災將發(fā)生,并產(chǎn)生與池火效應相關的后果;如果沒有點火,假設含有酸性烴類物質的液池將形成少量有毒蒸氣云,這可能導致機泵周圍區(qū)域的人員傷亡。對于這種新場景,無論點火與否,都會產(chǎn)生安全后果,需要評估這兩種后果的可容忍性,以便做出有關可容忍風險的決策。這種多重后果分析超出了傳統(tǒng)LOPA場景的能力范圍,如果使用傳統(tǒng)的LOPA進行評估,則需要創(chuàng)建兩個獨立的場景—每個后果對應一個場景—然后手動將結果組合在一起。另一方面,定量領結圖可以在單個場景中有效地處理這種情況,條件修正因子成功和失敗的后果如圖5所示。

5 場景多重后果的定量領結處理

定量領結分析的優(yōu)勢在于能夠跟蹤單一場景中的多個后果,并應用于傳統(tǒng)LOPA之外的重要場景和重要安全措施中。在定量領結中,為每個后果定義了風險目標以及相關的可容忍性(如TMEL);然后根據(jù)前文所述的方法計算每個后果的頻率,將后果目標的風險可容忍度與該頻率進行比較,以確定該后果的風險是否可以容忍。只有當所有后果的頻率都小于為每個單獨后果分配的可容忍頻率時,整個場景(包括所有多重后果)才被視為可容忍。盡管圖5展示了將每個后果的TMEL與計算得出的每個后果的估計頻率進行比較的方法,但該方法可以進一步擴展為利用定量后果表示。例如,潛在的生命損失(PLL),該參數(shù)允許對某一情景可能導致的所有后果的危害進行匯總。

定量領結分析能夠有效地擴展LOPA分析過程,以應對可能產(chǎn)生多種后果并需要進行跟蹤的場景,該特性使得對流程工業(yè)中常見的減緩性防護措施(如火災和氣體檢測與抑制系統(tǒng))進行有效分析成為可能[5]。相比之下,使用LOPA分析無法有效考慮減緩性措施,例如火災探測系統(tǒng)探測到機泵處發(fā)生火災時啟動雨淋系統(tǒng)的情況,原因在于LOPA分析的假設(如果安全措施有效,則不會產(chǎn)生后果),然而上述例子中,即使雨淋系統(tǒng)成功運行,仍有可能存在一種不可忽視的后果。在LOPA分析中,面對這類安全措施時,分析人員要么完全忽略安全措施,因為無論安全措施是否有效,后果都會發(fā)生;要么繼續(xù)錯誤地假設,即如果安全措施功能正常,就不會產(chǎn)生后果。本文提供的示例是儲罐溢流場景,其中圍堰作為安全措施。當圍堰作為LOPA分析的安全措施時,需要考慮圍堰的失效概率。如果圍堰失效,則會形成一個巨大的非封閉液池,有可能導致非常嚴重的后果;然而,即使圍堰沒有失效,圍堰內仍會形成一個較小的液池,其中的潛在后果(如閃火和池火)不能被忽視。這兩種后果都需要被考慮,并且必須確保這兩種后果的頻率都在可容忍范圍內,以確?？傮w場景的風險可以容忍。

6 火災及氣體監(jiān)測報警系統(tǒng)的定量領結處理

火災及氣體監(jiān)測報警系統(tǒng)(FGS)是常見的減緩性安全措施,但也是其中最難進行風險評估的措施之一。首先,FGS是減緩性的,因此如果它們失效,將產(chǎn)生嚴重的后果;即使它們正常運行,仍可能產(chǎn)生較小的后果。更加復雜的情況是： 從設備的角度來看,FGS可能完全正常,但仍可能無法有效發(fā)揮作用。評估FGS功能的有效性是一種多參數(shù)計算,在ISA TR 84.00.07： 2018《火災、可燃氣體和有毒氣體系統(tǒng)有效性評估指南》[6]中對其進行了探討和定義,該指南提供了計算FGS有效性的三參數(shù)方法,如圖6所示。

如圖6所示,定義減緩性安全措施(如FGS)有效性的參數(shù)有3個,而定義預防性安全措施有效性的參數(shù)卻只有物理設備要求時失效概率。這3個減緩性安全措施的參數(shù)包括設備要求時失效概率,探測覆蓋率,減緩有效性。

以探測某盛裝液化石油氣(LPG)的壓力儲罐附近的火災為例,假設該儲罐下方發(fā)生了未減緩的大火,并持續(xù)了足夠長的時間;結果可能是沸騰液體擴展蒸氣云爆炸(BLEVE),并伴隨著火球的產(chǎn)生。在這種情況下,FGS起著至關重要的作用,它能夠檢測到火災的發(fā)生并立即啟動雨淋系統(tǒng),通過冷卻儲罐表面來預防BLEVE事件的發(fā)生。

FGS有效性的第一個參數(shù)是設備本身發(fā)生故障的概率。換句話說,如果火災探測器或雨淋設備發(fā)生故障,雨淋系統(tǒng)便無法啟動,可能導致最壞的后果發(fā)生;然而,即使設備正常運行,也不能完全避免后果。第二個參數(shù)是FGS的覆蓋率。在火災探測系統(tǒng)中,覆蓋率指的是探測器能夠準確探測到火災的概率,為確保探測器能夠準確“看到”火源,必須正確對準火源,并且火源不能被設備或管道阻擋。為了確定火災探測器和氣體探測器陣列的覆蓋范圍,通常會使用復雜的計算工具,這些工具考慮到探測器的“視錐”以及設備三維模型中的視線障礙物,工具評估在給定設計基準火災規(guī)模和所定義的火災探測器陣列情況下,覆蓋范圍內包含火災的體積所占比例。第三個參數(shù)是減緩有效性,它實際上是所采取的減緩措施能夠預防后果發(fā)生的概率。在該示例中,即使火災探測器能夠探測到火災并有效觸發(fā)雨淋系統(tǒng),雨淋仍然有可能不足以阻止BLEVE事件的發(fā)生。因此,類似FGS這樣的減緩保護層的有效性概率比簡單的失效概率要復雜得多,并且需要更多參數(shù)來描述。

FGS性能要求的分析確實變得更加復雜。預測初始事件或工藝設備自行發(fā)生圍堵失效的機制既困難又容易出錯,由于缺乏對可能出錯情況的想象力,往往無法滿足要求。與試圖預測泄漏模式及其相關頻率不同,FGS考慮的是基于各類工藝設備的歷史泄漏率來確定初始事件頻率,該方法與許多其他定量風險分析過程中常用的方法類似。初始事件泄漏率僅根據(jù)設備的“部件數(shù)量”和孔尺寸分布進行量化,考慮了這些概念,FGS性能要求的分析步驟如下： 首先,依據(jù)歷史泄漏率數(shù)據(jù)量化“LPG存儲設備泄漏”的初始事件頻率;其次,在確定FGS的有效性時,需要考慮設備失效的概率,同時還要考慮探測器覆蓋率和減緩效果;最后,考慮場景后果,包括FGS無法運行時和FGS有效運行時的所有后果。只有當證明與所有后果相關的總體風險是可接受的時,整個場景才能被視為可接受,并且可以確定FGS設備的性能參數(shù),包括失效概率和探測器覆蓋率?；馂奶綔y和雨淋功能的定量領結分析如圖7所示。

圖7 火災探測和雨淋功能的定量領結分析示意

圖7中的定量領結圖表明可能出現(xiàn)的三種后果： 第一種后果是釋放物未點燃的情況,并且不會造成重大安全后果,同時財務(資產(chǎn))和環(huán)境后果也很低;第二種后果代表釋放物點燃的情況,但火災探測系統(tǒng)成功激活,且雨淋系統(tǒng)能夠保持容器冷卻并防止BLEVE/火球發(fā)生,安全措施的有效性是設備的失效概率、探測覆蓋率和減緩有效性的組合;最后一種后果是FGS發(fā)生故障,導致BLEVE/火球,預計除人員傷亡外,至少有1人死亡,或“高”后果。圖7中領結分析的一個有趣結果是,即使更嚴重的BLEVE/火球后果可以容忍(例如,TMEL<1.00×10-4),但液池火災的后果卻為不可容忍。LOPA無法得出這樣的結論,但定量領結分析卻可以,這是因為該方法能夠跟蹤減緩性安全措施失效和發(fā)揮作用時的后果。

7 結束語

通過本文的示例和討論所示,定量領結分析為LOPA提供了有價值的擴展,同時保留了其相對于全面定量風險分析更簡化的分析能力。與單一原因單一后果的LOPA不同,定量領結分析可以綜合考慮導致圍堵失效事件的多種原因的風險,而不是一次只關注一個原因,從而提供更準確的整體風險評估。定量領結分析方法允許列出多種后果并分別進行風險評估,與傳統(tǒng)的LOPA方法相比具有更靈活的能力。在定量領結分析中,可以單獨計算和評估每種后果的頻率,并確定風險的可容忍度;只有當某個場景的所有后果的風險都可容忍時,整個場景才被視為可容忍。這種能力評估多種后果的特性還使得對以前被忽視或評估不準確的后果的減緩措施有效性進行恰當評估成為可能,通過在單個定量領結中定義多種后果,可以定義出針對后果減緩措施有效的情況以及安全措施失效的情況下的另一種后果。這種方法使得火災和氣體檢測及抑制系統(tǒng)等減緩防護措施的設計者能夠準確確定系統(tǒng)的全套性能要求。