前言
在过程安全评价时,来自不同专业的人员采用头脑风暴方式进行危害识别的过程中,就安全措施是否足以将风险降到可容忍风险标准之下往往会进行激烈的辩论,因为来自不同背景专业的人员各自的经历不同,对同样的降低风险的措施,其认知也会有很大的差别。这主要是他们根据各自的经验得出的结论。举例来说,一个经历过事故或处理过安全设施故障的人和没有这方面经历的人对安全措施的有效性可能会有两种极端的看法,一种认为措施还不足以防止事故的发生,并且会以自己的经历为例说明。另一种看法则相反,他会认为安全措施足够了,他也会以自己的工作经历来佐证自己的说法。这种看法的分歧导致产生的争论会极大的延长分析时间,最后达成结论时可能往往会以一方的妥协或放弃发表意见来形成一致意见。但实际的结果可能是存在过保护或保护不足。过保护会造成资源的浪费,保护不足则风险降低的不够,这都是我们不愿看到的。据Source公司一份统计,在进行LOPA分析后,针对炼油厂制氢装置,有49%的安全仪表安全保护系统是过保护的,有4%是不足的。(这是以Source公司的风险可承受标准作为风险衡量的依据,对Source公司来说,他们对各种保护措施的PFDavg(平均需求故障概率)取值和IEC-61511标准的取值会有不同,具体的PFDavg取值需要每个公司依据自己的管理维护水平在IEC-61511的标准数值上进行适当的调整。(过保护与保护不足的判断必须依据公司自己的风险可接受标准或公司统一采用的国家相关标准,我国现在还没有类似的强制标准。)
1.保护层分析(LOPA)介绍
1.1.风险的概念和理解
风险是事故发生的频率和后果的合成。
对事故来说,他的后果通常是确定的,比如爆炸或人员伤害等,但发生的频率是可以变化的,每年发生一次爆炸和每十年或每百年发生一次爆炸给人们产生的影响是不同的,不同的人们对此产生的承受能力也是不同的。保护层的运用就是从降低事故的发生频率来考虑削减事故的风险等级。
1.2.保护层分析(LOPA)的概念
保护层分析是英译引用,具体名为: Layer of Protection Analysis(LOPA)。通过名称即可看出该方法主要是对每一假定事故情形的每一个保护措施进行分析,具体来讲就是分析防止事故情形发生的保护措施是否有效,每种保护措施的有效程度为多少,各种保护措施综合运用后对于风险的削减作用为多大,是否还需要增加保护措施,所增加的保护措施对风险的削减等级为多大。而所有这些分析最终都是通过具体的数学综合运算来计算得出,包括初始事件频率与独立保护层(IPL) 故障可能性的数量级(即有效程度)、后果严重度以及可容忍风险标准。
因此保护层分析方法也是一种半定量的方法,通过对一些通用的保护措施的故障可能性的数量级PFDavg进行赋值,不同专业背景的人员可以容易地在此基础上达成对风险削减程度的共识,从而很容易的计算出已有的安全措施可以将风险降低到什么程度,是否符合公司的风险标准,提出的安全措施应该将风险削减到什么程度,从而避免过保护或保护不足的情况。在IEC-61511标准中,对LOPA保护层的应用举了一个例子来说明如何运用保护层分析的方法计算消减的风险,并以此来确定需要的安全仪表系统的等级。具体的过程如图1所示。
IPL1 IPL2 IPL3
图-1
1.3.独立保护层
保护层,就是保护措施,可以是一个设备,系统或对应的行动,对不希望的后果起到预防或减轻作用。
这些保护层有些是共同作用后对风险起到削减作用,单独分开时则作用减弱,甚至不起作用,而有些则可以独立的完成其保护功能,因此安全分析专家们将这种可以独立起到保护作用的保护层称为独立保护层。对于保护层分析(LOPA)方法而言,为了能充分而适当的对风险做出评估,所要求的保护层就要求必须能真正起到作用,在该方法中称其为独立保护层,且给了更为严格的要求标准,在IEC-61511标准中,要求独立保护层的确认必须满足四方面的要求:
专一性,独立保护层是针对特定的后果或危险事件而设计。
独立性,独立保护层的效果不依赖于其他保护层或受其他保护层的限制,在结构上完全独立。同时还独立于初始事件或独立于与情形有关的其它保护层的对应行动。
可靠性,独立保护层必须能有效的依照设计的功能运行并防止危害事件的发生,其PFDavg值应该低于1×10-1。
可审核性。独立保护层必须能够定期进行审核和确认。他需要定期的维护和校验以确保其可靠性维持在设计的水平。
在IEC-61508及IEC-61511均对保护层分析类型进行了图示描述,如图-2
图中每一保护层的可靠性数值如下:
基础工艺控制系统 (BPCS )其PFDavg=1×10-1~1×10-2
安全阀或泄压阀 PFDavg=1×10-1~1×10-3
仪表连锁系统 根据其安全完整等级的不同其取值PFDavg=1×10-1~1×10-3
围堰 PFDavg=1×10-2~1×10-3
可燃气检测或火焰检测加上相应的人员响应 PFDavg=1×10-1~1×10-2
工艺报警和在规程上规定的人员响应 PFDavg=1×10-1~1×10-2
上述数值来源于一些公开发表的文献资料。
图-2 保护层图
从图中还可以看出,对于各公司的管理规定等措施,如罐区或装置区域的防火防爆禁令,人员的定时巡检签到制度等等没有列入,主要是因为这些措施只能属于保护措施,可以将风险减低,但没有满足独立保护层规定的四个特性因而不能称之为独立保护层。而且作为管理措施,他对风险的消减值是很难量化的,而且其有效性也无法达到独立保护层的要求:即PFDavg大于10-1。
1.4. 保护层分析(LOPA)基本步骤
2.保护层分析(LOPA)在生产中的运用效果
保护层分析(LOPA)本身不是一种风险识别的方法,只是风险识别过程中用来分析已有安全措施有效性的一种工具。在具体运用中,他可以在很多方面起到帮助分析人员做出判断或帮助决策人员做出决策的作用。
保护层分析(LOPA)可以识别原来定性风险分析过程中被忽略的危险。我们知道定性分析只是识别危害,但对危害发生的可能性,包括其保护措施发生作用后危害发生的可能性均不做详细讨论,在具体的运用过程中是依靠分析人员的经验来确认风险等级,很可能这种粗略的判断会掩盖一些问题,使得实际风险升高。
我们通过具体的实例进行说明。
下面是某石化公司装置某一局部流程的保护层分析(LOPA),在分析过程中就发现装置工艺、设备技术员以及操作人员把存在共模故障的保护层当作了两个保护层,从而导致在辨识过程中认为危害发生的可能性很低,而实际情况并非如此。
2.1. 装置局部流程描述
图-4是我们分析具体流程图
图中所描述的具体工艺操作为:高温气体通过E-112换热器降温后,其回收的热量被用来产生蒸汽。E-112的出口温度TIC-119由D-112的蒸汽压力PIC-150来控制(串级控制)。同时设计DCS液位控制回路LIC-115,以及防止锅炉无液位发生干锅导致爆炸事故的低低液位联锁LSLL116。后装置对此处液位联锁进行了变更,将液位控制回路LIC-115的传感检测引入到联锁传感系统中。
2.2. 汽包发生干锅爆炸的保护层分析(LOPA)
通常保护层分析是在装置危害识别的基础上进行,如装置HAZOP分析基础上进行,因此选取该处HAZOP分析表格记录如下表-1:
表-1:装置汽包D-112/E-112的局部HAZOP分析
|
偏差 |
原因 |
后果 |
预防措施 |
风险 |
建议 |
备注 | ||
|
严重度 |
可能性 |
风险等级 | ||||||
|
低温 |
PIC150控制回路故障开 |
压力突然下降,造成D112内大量蒸汽突然损失,导致D112内液位下降,直至发生干锅,若再次补充锅炉给水时会发生爆炸 |
1. 有液位控制回路LIC-115; |
4 |
2 |
III |
|
|
|
2. 自产蒸汽出口线上有流量显示及报警FI154; | ||||||||
|
3. 有低液位报警及联锁LALL116; | ||||||||
|
4. 有低液位报警LAL115; | ||||||||
|
5. E112出口有温度低报警TI161; | ||||||||
|
6. PV150有手轮 | ||||||||
|
7. 有操作规程 | ||||||||
正如保护层的定义所描述,在其分析方法中重点是确定每个保护措施的有效性,并且通常是在装置危害识别的基础上进行,因此对于保护层分析步骤中前三步就不需重复进行分析,直接运用危险识别过程中原因、后果的内容,并对其原因即保护层分析所确定为的引发事件赋予一定数值即可。本分析中的引发事件则指PIC150控制回路故障开,假设引发频次为f1=0.1。
下面则是对表中每一项预防措施进行确认,看其是否为独立保护层。
2.2.1.基础工艺控制:液位控制回路LIC-115
根据保护层图-2中所示,第一层即为基础工艺控制系统。
本单元则指液位控制回路LIC-115,该保护措施独立于各保护措施,具有独立性;并且是专门针对控制液位而设计,同时进行着定期的审核与检验,所以满足保护层分析方法的要求,是独立保护层。假设平均需求故障率为PFD1=0.1。
2.2.2.报警及人员干预
因为报警响后所采取的措施必须依赖于人来完成,因此表中虽然有三个报警可以响应,但人只要对其中一个采取了行动即可,因此对于满足保护层分析(LOPA)中标准要求来说此处仅将三个报警作为一个独立保护层。假设平均需求故障率为PFD2=0.1。
2.2.3. 联锁LALL116
一般来说联锁与其它保护层是相互独立,且具有可审核性,并能有效执行的,是保护层分析中一个重要的独立保护层。原有联锁LALL116的设计就满足这些要求,是一个独立保护层。不过因为装置对此处设计进行了变更,需要重新审核新的设计与旧的设计之间的差异,以判断是否具有独立保护层特性。先假设其平均需求故障率为PFD3=0.1。
a)装置原始设计是:独立的DCS液位控制LIC-115用于调节汽包D-112内水位以防止低或无液位情况,独立的低低液位停汽包进料联锁LSLL116防止锅炉无液位发生干锅导致爆炸的事故,设计类型为1选1(即只有一个液位传感器);而低液位联锁LSLL116又会导致装置自动停车。因此只要此处联锁误触发就会导致装置停车,造成不希望的生产损失,而且装置也确实多次发生LSLL116误触发导致的停车事故。为了保证正常生产,装置对此联锁进行了技术改造。
b)装置变更后设计:将液位DCS控制系统LIC-115的液位传感器加入到联锁LSLL116的传感器选择系统,并将检测类型选择逻辑设计为2选2,即只有LSLL116和LIC-115的液位传感器同时发出低液位信号时,联锁LSLL116才会触发停车。这种变更装置只需要在控制程序上修改就完成,不需要增加新的硬件设施,而且装置认为这是个好办法。那么实际会产生什么样的状况?
通过LOPA分析,我们可以发现,当液位控制回路LIC-115的传感检测发生故障,显示正常或虚高时,而汽包内实际液位已经下降,这时因为联锁LIC-116需要LIC-115与LSLL-116的传感检测都发出低液位信号时才可以发生联锁触动停车,而LIC-115此时根本不可能发出低液位信号,因而LSLL-116就根本不可能采取正确处理措施,则干锅就会发生,随之而来的爆炸事故就可能发生。这种变更实际是提高了锅炉干锅爆炸的风险。也就是说当DCS液位控制系统由于液位传感器系统出现故障时,这个貌似保护的低低液位连锁系统也将失去作用。这种变更使得联锁LSLL-116与基础工艺控制系统LIC-115存在关联,不独立,因而不能当作独立保护层对待。
2.2.4.操作规程
正如LOPA对于独立保护层的定义,操作规程不具有可量化性,不是独立保护层。
2.2.5.风险比较
通过对该单元保护层分析,将原有设计与变更后设计的风险进行比较:
原有设计的风险R1=f1×PFD1×PFD2×PFD3=0.1×0.1×0.1×0.1=10-4
变更后的风险R2=f1×PFD1×PFD2=0.1×0.1×0.1=10-3
可以看出风险提高十倍,与之前所述一致。
经LOPA分析后该工艺点的风险结果见表-2。
表-2:LOPA分析结果表
|
偏差 |
原因 |
后果 |
预防措施 |
风险 |
建议 |
备注 | ||
|
严重度 |
可能性 |
风险等级 | ||||||
|
低温 |
PIC150控制回路故障开 |
压力突然下降,造成D112内大量蒸汽突然损失,导致D112内液位下降,直至发生干锅,若再次补充锅炉给水时会发生爆炸 |
1. 液位控制回路LIC-115 |
4 |
3 |
II |
|
|
|
2.自产蒸汽出口线上有流量显示及报警FI154;或低液位报警及联锁LALL116;或E112出口有温度低报警TI161;;同时有人员响应 | ||||||||
但这个改动确实可以有效的减少伪跳闸的次数。从表-3中我们可以看出1选1系统与2选2系统的差异。(其中T为连锁系统的测试时间间隔,λs代表安全故障率,λd代表危险故障率)
表-3:1001(1选1)与2002(2选2)类型对比表
|
传感检测类型 |
伪跳闸率 |
平均需求故障概率 |
|
1001(1选1) |
λs |
|
|
2002(2选2) |
|
|
保护层分析就在于帮助装置判断出所面临的风险的真实大小,并最后将其与公司的风险标准进行比较。但由于安全与生产总存在一个平衡的关系,这时候装置需要考虑是甘愿冒更大的风险来维持生产还是维持原样(有较高的伪跳闸率,影响生产但却是安全的,会造成经济损失)?或者有其他更好的办法吗?通过LOPA分析,可以使参与人员很清晰的明白每个保护措施的有效性,从而更多的避免人为的干扰对分析后果的评判。
3.保护层分析(LOPA)的优势
3.1.确定保证安全的关键设备,提供更精确的维护和维修信息。
举例来说:安全阀或仪表联锁系统可以使压力容器发生超压的频率降低一至三个数量级,由于在生产过程中许多情况都可能造成容器超压,而这些诱发超压的因素无法避免,为了防止超压这种现象的出现,安全阀和联锁系统的安全完整性对保证容器的安全运行起到了关键的作用,同时对安全阀的维护检验和对连锁系统的维护管理工作就非常重要。但并非所有的压力容器超压都会造成不可承受的后果,我们需要寻找那些对企业的安全指标有着显著影响的后果,为防止这些特定后果所设置的安全防护措施或设备才是企业管理的优先考虑对象。在有些操作中,是需要依靠操作员的正确操作来保证生产的安全的,对职工的教育培训而言,这些具有非常高的风险的操作步骤就是职工培训的重点。
运用LOPA方法,我们可以识别在为防止事故发生而制定的各种保护措施中每种措施的安全贡献值,这有助于企业识别对安全至关重要的保护措施(或贡献值最大的安全措施)并将有限的资源投入到需要关键关注的地方起到了优化管理节约资源的作用。并建立好这些关键设备的信息档案,做好日常的预防性维护与维修管理。
3.2.明确管理措施对于保护层分析(LOPA)所起作用
在保护层分析(LOPA)中,管理措施,如安全阀定检,安全联锁日常的预防性维护与维修管理,各种人员培训体制等制度是不作为有效独立保护层列入分析中的,但这些措施都对设备的有效性,措施的顺利执行起到关键作用,可使独立保护层有效性得到提高,起到降低风险的作用。故而在保护层分析(LOPA)分析中虽然没有将管理措施列入,但却可以分析在过程中识别出的每一项管理措施的重要性,为装置运行管理提供更好的管理依据。
3.3.为有效分配资源提供依据
在生产过程中,绝对的安全是不存在的,通常只需把风险降低到一定程度即可满足要求。通过LOPA的运用,可随时确定风险是否可以忍受,从而帮助相关设计或项目管理人员从成本和效益的比较方面对安全保护措施的选择做出综合判断,我们都希望用最小的投资取得更大的效益,对各种安全措施的应用也一样,什么样的安全措施可以用最小的成本投入取得最大的风险降低,这也是风险分析和评价人员的价值所在。
4.保护层分析(LOPA)存在的问题
保护层分析(LOPA)是一种半定量分析方法,因此就需要有数据的支持。而数据的来源均是依靠各相关企业之间相互联系与总结得来。如控制阀的平均需求故障率,首先要有设备制造厂家的大量实验与制造结果所得出的数据,其次要有使用厂家提供正常运行状况下所出现的故障频次数据,由这些数据的共同总结与分析而得出适合于公司的控制阀的平均需求故障率数据。因此要获取图-1中各保护层的数据就是一项非常困难的工作。国外也是通过了几十年的收集、积累与分析才逐步完善其数据库的,对于我们正处于发展阶段的中国而言,对于数据收集方面目前来说是不健全的,需要各企业之间达成共识,不断建立好相关数据才能更好发挥保护层分析(LOPA)的作用。故而目前对于各企业来说保护层分析(LOPA)还不具备良好的展开条件。如果确实想进行这项分析,那么只有先通过运用已有数据、国外相关资料提供的数据以及企业对于自身管理能力的判断来对其风险进行判断,至少可以为公司提供大致的风险顺序。即使被视作保护层的设备故障率数据与现实相差较大,但在评价的过程中只要采用了统一的标准,对风险的排序并不影响,仍然可以为风险管理提供可靠的依据。
其次,也因为其是半定量分析方法,必然存在费时费力的问题。那么对于前期公司所进行危险识别要求就非常重要:如果前期风险识别不好,第一会影响保护层分析(LOPA)质量,可能造成特定危害的实际风险概率数据不准确;第二,对于保护层分析(LOPA)团队人员来说,对于风险识别不好的过程会重新进行分析,则相当于重新进行了一次危险识别,自然就造成时间上的浪费。
5. 结论
保护层分析(LOPA)能在危险辨识基础(如HAZOP)上更加正确地分析出有效的独立保护层,定量地比较相关的风险削减措施,从而更好判断出高危险部位所存在的风险程度,避免对风险判断过低或过高,为装置或公司在风险与经济利益之间平衡提供一定的判断依据。保护层分析在西方国家目前已经是一种成熟工艺风险分析方法,而其中最为关键的数据库建立在各公司的相互配合下也日臻完善。对于我国而言,这种方法还处于起步阶段。数据库建立还是一纸空白,这就要求各企业能更主动认真的提供已有或开始建立相关数据,为今后我们此项工作顺利开展并起到作用打好基础。
参考文献
1 Edward M.Marzal,Dr.Eric W.Scharpf,Safety Integrity Level Selection,2002,141-147
2 Layer of Protection Analysis
3 廖学品,化工过程危险性分析,2000,
上一篇:露天采石场安全现状评价
下一篇:某(仓库)储存危险化学品安全评价