HAZOP、LOPA和SIL之間有什么聯(lián)系?
通過此次新冠肺炎疫情,我們深刻的認識到石油、化工是我國的重要支柱產業(yè)之一,關系到國民經濟、醫(yī)療、能源、材料等許多方面,同時也是危險性極高的行業(yè)。石油化工行業(yè)裝置流程復雜,工藝條件苛刻,介質大都具有易燃、易爆、有毒、腐蝕等特性,屬于高危險行業(yè)。系統(tǒng)設計、實施和操作過程中任何一個小的失誤都有可能帶來嚴重的甚至是災難性的后果。
近年來,危險與可操作性分析(HAZOP)作為生產裝置及工藝流程安全系統(tǒng)評價方法,被國內外眾多石油石化公司、化工生產企業(yè)和設計施工單位普遍接受,并應用于裝置、設備生命周期始終。通過HAZOP分析可以系統(tǒng)地識別工藝裝置或設施中的各種潛在危險和危害,并通過提出合理可行的措施減輕事故發(fā)生的可能性及后果。而在HAZOP分析的基礎上,引入保護層分析(LOPA)技術,可以解決HAZOP分析中存在的安全保護措施起到的風險降低和殘余風險不能定量化等不足。因此,LOPA分析是HAZOP分析的繼續(xù),是對HAZOP分析結果的豐富和補充。
當HAZOP分析的后果存在重大風險時,且有些風險的現有保護措施含有安全儀表系統(tǒng)(SIS),或者現有SIS系統(tǒng)的維護成本與帶來的收益相比過于昂貴的,都可以進行LOPA分析。而進行LOPA分析的目的,主要就是為了確認對于事故后果非常嚴重的風險現有保護是否足夠,是否有必要增加額外的SIS保護,以及確定增加的SIS系統(tǒng)的風險降低目標是多少。雖然LOPA分析可以確定附加的SIS系統(tǒng)的風險降低目標,而SIS系統(tǒng)是否達到要求的安全完整性等級(SIL),是否實現了這一風險降低目標,則需要通過SIL分析進行驗證,這也是SIL分析的主要內容。所以,SIL分析是對LOPA分析結果的驗證,HAZOP、LOPA分析是SIL分析的前期準備工作。
01 HAZOP分析方法
HAZOP方法是英國帝國化學工業(yè)公司(ICI)為解決除草劑制造過程中的危害,于1960年代發(fā)展起來的一套以引導詞為主體的危害分析方法,1974年,該方法正式對外發(fā)表。HAZOP對工藝系統(tǒng)進行危害辨識和分析,是有效預防各種事故發(fā)生的重要方法和手段,它可以系統(tǒng)地識別工藝裝置或設施中的各種潛在危險和危害,并通過提出合理可行的措施達到減輕事故發(fā)生可能性及后果的目的,從而有利于保障石油、化工企業(yè)安全生產的順利進行。
HAZOP是基于這樣一個基本概念,即各個專業(yè)具有不同知識背景的人員所組成的分析組一起工作比他們獨自工作更具有創(chuàng)造性和系統(tǒng)性,能識別更多的問題。HAZOP方法通過分析生產運行過程中工藝狀態(tài)參數的變動,操作控制中可能出現的偏差,以及這些變動與偏差對系統(tǒng)的影響,找出出現變動或偏差的原因,分析可能導致的后果,明確現有的保護措施,并針對超出可接受水平的變動與偏差的后果提出建議措施。
①劃分節(jié)點。對連續(xù)工藝過程,HAZOP分析的第一步即是將生產過程根據工藝流程劃分為合理的分析節(jié)點,這樣有利于分析工作的深入、完善。
②選擇工藝參數,確定偏差。選擇適用于所選分析節(jié)點的工藝參數,如:流量、溫度、壓力、液位、界位、腐蝕侵蝕、破裂泄漏、維修、采樣、污染等。
③確定風險矩陣,分析偏差的原因和后果。根據各個公司事故統(tǒng)計情況和風險接受程度,制定本公司適用的風險矩陣。針對節(jié)點內某一設備工藝參數的偏差,結合現有資料和小組成員的經驗,分析導致這一偏差發(fā)生的原因,以及參數發(fā)生偏離后可能導致的后果,并根據風險矩陣,確定風險等級。
④提出建議措施。通過分析,審查現有安全措施是否足夠,若事故風險等級高、后果嚴重且影響惡劣,小組成員就有必要提出合理可行的建議措施。
02 LOPA分析方法
LOPA分析是一種簡化的風險評估方法,通過對現有保護措施的可靠性進行量化的評估,確定其消除或降低風險的能力。LOPA的應用一般是在定性危害評估(如HAZOP、PHA)之后,用定性危害審核小組識別的情形進行。它首先分析未采取安全保護措施之前的風險水平,然后分析各種安全保護措施將風險水平降低的程度。
保護層分析的思想,可以用一個“洋蔥”來形象地描述其模型,每一層洋蔥皮就相當于一個保護層,由于所有的洋蔥皮對內核都起到獨立保護作用,從而洋蔥內核遭受外侵的風險就大大降低。
在對某個事故場景進行保護層分析時,確定哪些保護層措施能夠起到預防事故的目的尤為重要。
LOPA分析具體步驟如下:
①識別后果,選擇分析所需的情景。LOPA分析中所需的情景其實就是事故場景。事故場景是發(fā)生事故的事件鏈,包括起始事件、一系列中間事件和后果事件。一般情況下以后果嚴重的事件作為事故場景進行分析。
②對所選定的事故情景進行具體描述。LOPA分析中要對事故發(fā)生的原因、事故導致的后果、后果的嚴重程度、風險不可接受值和風險容許值進行量化,量化的標準要根據公司實際情況采用本公司的風險矩陣。
③確定情景的初始事件、中間事件和后果事件,并確定相應的頻率。初始事件,即引發(fā)原因,在LOPA分析中成為始發(fā)事件;中間事件,即誘發(fā)事件,在LOPA分析中成為條件事件;后果事件,即導致的嚴重后果。而相應的頻率,需要根據各公司的實際情況選定。
④預計情景的風險。預計情景,即未減輕事件,是指初始事件發(fā)生而且所有的保護層都失效的情況下,后果事件發(fā)生。未減輕事件發(fā)生頻率等于始發(fā)事件、中間事件和后果事件發(fā)生頻率的乘積。
⑤確定獨立保護層(IPL)及其需求故障概率(PFD)。保護層分為事件阻止層和后果減弱層,事件阻止層也叫主動保護層,通過在原因和事件之間增加屏障,來預防事故發(fā)生;后果減弱層也叫被動保護層,通過在事件和結果之間增加屏障,來減少事故后果的損失。不同的保護層其PFD是不同的。
⑥考慮獨立保護層時,確定減輕事件的剩余風險及其等級。減輕事件的發(fā)生頻率等于未減輕事件的發(fā)生頻率與獨立保護層各安全保護措施失效概率(PFD)的乘積。確定了減輕事件的頻率后,根據公司的風險矩陣確定頻率等級和剩余風險等級。
⑦確定附加保護層達到可容忍風險還需降的級別。若獨立保護層起到了安全保護措施的作用后,減輕事件的剩余風險達到公司可接受的水平,則不需進一步采取安全措施和建議措施。否則,要提出切實可行的附加保護層,直至將剩余風險降低到可承受的風險水平為止。
03 SIL分析方法
問什么是安全儀表系統(tǒng)(SIS)?
介紹按照IEC61511中的定義,安全儀表系統(tǒng)是由傳感器、邏輯控制器和執(zhí)行器組成的、能夠行使一項或多項安全儀表功能的儀表系統(tǒng)。安全儀表系統(tǒng)是一種自動安全保護系統(tǒng),它已發(fā)展成為工業(yè)自動化的重要組成部分。很多人容易把基本過程控制系統(tǒng)(BPCS)和安全儀表系統(tǒng)混淆。BPCS是執(zhí)行常規(guī)正常生產功能的控制系統(tǒng),它是主動的、動態(tài)的,是用來滿足生產需要的,因此,它必須根據系統(tǒng)的設定要求和生產過程的擾動狀態(tài)不斷地動態(tài)運行,才能保持生產過程的連續(xù)穩(wěn)定運行。一旦其運行終止,則整個生產過程也就隨之失去控制。而SIS系統(tǒng)則監(jiān)視生產過程的狀態(tài),判斷是否出現危險條件,防止風險的發(fā)生或者減輕風險發(fā)生后造成的后果。它是被動的、休眠的,在BPCS正常運行時,SIS一般是處于靜態(tài)的,它在很長一段時間里都會處于“休眠”狀態(tài)。
問什么是安全生命周期?
在IEC61508和IEC61511中都提出了安全生命周期(SLC)的概念。安全生命周期的定義為:在安全儀表功能(SIF)實施中,從項目的概念設計階段到所有安全儀表功能停止使用之間的整個時間段。安全儀表系統(tǒng)整體的安全生命周期從其概念開始,經歷若干中間階段一直到安全系統(tǒng)停用,包括了為達到必需的安全完整性水平而進行的一切活動。換句話說,安全生命周期包括了安全儀表系統(tǒng)在概念、設計、運行、測試、維修及停用各階段的所有活動,以達到高水平的功能安全。在一定時間、一定條件下,安全相關系統(tǒng)執(zhí)行其所規(guī)定的安全功能的可能性,被稱為安全完整性等級(SIL),其數值代表著安全儀表系統(tǒng)使過程風險降低的數量級。安全完整性等級貫穿于安全系統(tǒng)生命周期的始終。安全系統(tǒng)的安全完整性等級不僅是安全系統(tǒng)安全性能的度量標準,而且是安全系統(tǒng)生命周期中的主線,將安全系統(tǒng)整體生命周期的各個階段聯(lián)系起來。
問SIL選擇方法?
安全儀表系統(tǒng)必須滿足系統(tǒng)風險分析后所要求的SIL,SIL不僅是安全儀表系統(tǒng)安全性能的衡量標準,而且是整體安全生命周期中的主線,其選擇應該恰到好處,過高會造成成本的浪費,過低會使風險不可接受。IEC61508中,SIL4是最高的,SIL1是最低的。
SIL選擇的方法主要有兩類,定性的和定量的。定性方法通過大致的風險后果和可能性分類來描述風險,主要有風險矩陣和風險圖法。計算SIL的半定量方法也被廣泛應用,如LOPA分析方法。
①風險矩陣。同后果法一樣,風險矩陣是基于分類的方法,這種分類可以是根據定性的描述,也可以根據量化的指標。用戶必須創(chuàng)建一個矩陣,它為風險的后果和可能性制定了大范圍的分類。后果和可能性分別構成矩陣二維坐標(行x、列y)中的一個,同時每一個矩陣元素為一個SIL。
②風險圖。風險圖最初是為德國工業(yè)標準開發(fā)的,在歐盟中得到了廣泛應用。該種方法與風險矩陣中只考慮后果和可能性不同,風險圖考慮了四個參數來確定SIL等級:危險事件的后果(C)、處于危險區(qū)域的頻度(F)、避開風險狀況的概率(P)和不期望事件的概率(W)。SIL的確定是從左面的起點到右面的方格繪制一條路徑,按照C、F、P的分類,決定這三者的哪一行被選中,具體被選中的行中哪一個方格被選中則取決于W的分類。
(a) 一個3級的安全儀表功能并不能給該風險等級提供足夠的風險降低。為了降低風險,需要附加額外的修改措施(見c)。
(b) 一個3級的安全儀表功能并不能給該風險等級提供足夠的風險降低,需要另外復審(見c)。
(c) 此方法不適合SIL4的情況。
問SIL分析程序是怎樣的?
SIL分析小組在進行SIL評估工作時,假定已經完成了安全生命周期中的概念過程設計階段、工藝危害分析及風險評估階段(HAZOP)、保護層分析階段(LOPA)等,且分析結果是真實的、可靠的。經分析后,若獨立保護層起到了安全保護措施的作用后,減輕事件的剩余風險仍超出了公司可接受的水平,則要提出切實可行的附加保護層SIS。在確定了SIS系統(tǒng)所要實現的SIF功能的SIL等級后,接下來的工作就是要如何設計SIS來實現SIF了。
在目標SIL確定后,就要制定安全要求規(guī)范,其中包括兩個主要部分:功能要求規(guī)范和完整性要求規(guī)范。功能要求規(guī)范定義了每一個安全儀表功能應該做什么;完整性規(guī)范定義了每一個安全儀表功能能夠多好地被執(zhí)行。
在SIS系統(tǒng)設計完成且各個SIF的子系統(tǒng)結構確定后,需要檢驗所設計的SIS系統(tǒng)在一定的檢修周期和檢修覆蓋率等條件下的可靠性,就是需要進行SIL驗證工作。SIL驗證可選用的方法常見的有可靠性框圖法、故障樹法和基于馬爾科夫模型的計算法等。
安全功能分配好之后,就由工程公司或設計院進行安全儀表系統(tǒng)的詳細設計。當承包商選定之后,由承包商最終完成安全儀表系統(tǒng)的集成、安裝、調試。當承包商完成與業(yè)主的交接后,業(yè)主依據承包商提供的操作及維護手冊對安全儀表系統(tǒng)進行使用、維護和定期測試。
對以上分析方法的總結
(1) HAZOP分析方法因不能對偏差產生的事故風險、現有安全措施的風險降低水平和剩余風險水平進行定量化,所以將LOPA引入HAZOP分析中,是解決這一問題的有效途徑。
(2) 進行LOPA分析的目的主要就是為了確認對于事故后果非常嚴重的風險現有保護是否足夠、是否有必要增加額外的SIS保護,以及確定增加的SIS系統(tǒng)的風險降低目標是多少。而增加的SIS系統(tǒng)是否能實現要求的SIF,則需要通過SIL分析進行驗證。
(3)通過開展SIL分析,對附加的SIS系統(tǒng)進行設計、評估、驗證,使安全儀表系統(tǒng)項目的設計和執(zhí)行達到最優(yōu)化,以最低的項目成本實現裝置的安全需求。