HAZOP、LOPA和SIL之間有什么聯(lián)系?
通過(guò)此次新冠肺炎疫情,我們深刻的認識到石油、化工是我國的重要支柱產(chǎn)業(yè)之一,關(guān)系到國民經(jīng)濟、醫療、能源、材料等許多方面,同時(shí)也是危險性極高的行業(yè)。石油化工行業(yè)裝置流程復雜,工藝條件苛刻,介質(zhì)大都具有易燃、易爆、有毒、腐蝕等特性,屬于高危險行業(yè)。系統設計、實(shí)施和操作過(guò)程中任何一個(gè)小的失誤都有可能帶來(lái)嚴重的甚至是災難性的后果。
近年來(lái),危險與可操作性分析(HAZOP)作為生產(chǎn)裝置及工藝流程安全系統評價(jià)方法,被國內外眾多石油石化公司、化工生產(chǎn)企業(yè)和設計施工單位普遍接受,并應用于裝置、設備生命周期始終。通過(guò)HAZOP分析可以系統地識別工藝裝置或設施中的各種潛在危險和危害,并通過(guò)提出合理可行的措施減輕事故發(fā)生的可能性及后果。而在HAZOP分析的基礎上,引入保護層分析(LOPA)技術(shù),可以解決HAZOP分析中存在的安全保護措施起到的風(fēng)險降低和殘余風(fēng)險不能定量化等不足。因此,LOPA分析是HAZOP分析的繼續,是對HAZOP分析結果的豐富和補充。
當HAZOP分析的后果存在重大風(fēng)險時(shí),且有些風(fēng)險的現有保護措施含有安全儀表系統(SIS),或者現有SIS系統的維護成本與帶來(lái)的收益相比過(guò)于昂貴的,都可以進(jìn)行LOPA分析。而進(jìn)行LOPA分析的目的,主要就是為了確認對于事故后果非常嚴重的風(fēng)險現有保護是否足夠,是否有必要增加額外的SIS保護,以及確定增加的SIS系統的風(fēng)險降低目標是多少。雖然LOPA分析可以確定附加的SIS系統的風(fēng)險降低目標,而SIS系統是否達到要求的安全完整性等級(SIL),是否實(shí)現了這一風(fēng)險降低目標,則需要通過(guò)SIL分析進(jìn)行驗證,這也是SIL分析的主要內容。所以,SIL分析是對LOPA分析結果的驗證,HAZOP、LOPA分析是SIL分析的前期準備工作。
01 HAZOP分析方法
HAZOP方法是英國帝國化學(xué)工業(yè)公司(ICI)為解決除草劑制造過(guò)程中的危害,于1960年代發(fā)展起來(lái)的一套以引導詞為主體的危害分析方法,1974年,該方法正式對外發(fā)表。HAZOP對工藝系統進(jìn)行危害辨識和分析,是有效預防各種事故發(fā)生的重要方法和手段,它可以系統地識別工藝裝置或設施中的各種潛在危險和危害,并通過(guò)提出合理可行的措施達到減輕事故發(fā)生可能性及后果的目的,從而有利于保障石油、化工企業(yè)安全生產(chǎn)的順利進(jìn)行。
HAZOP是基于這樣一個(gè)基本概念,即各個(gè)專(zhuān)業(yè)具有不同知識背景的人員所組成的分析組一起工作比他們獨自工作更具有創(chuàng )造性和系統性,能識別更多的問(wèn)題。HAZOP方法通過(guò)分析生產(chǎn)運行過(guò)程中工藝狀態(tài)參數的變動(dòng),操作控制中可能出現的偏差,以及這些變動(dòng)與偏差對系統的影響,找出出現變動(dòng)或偏差的原因,分析可能導致的后果,明確現有的保護措施,并針對超出可接受水平的變動(dòng)與偏差的后果提出建議措施。
①劃分節點(diǎn)。對連續工藝過(guò)程,HAZOP分析的第一步即是將生產(chǎn)過(guò)程根據工藝流程劃分為合理的分析節點(diǎn),這樣有利于分析工作的深入、完善。
②選擇工藝參數,確定偏差。選擇適用于所選分析節點(diǎn)的工藝參數,如:流量、溫度、壓力、液位、界位、腐蝕侵蝕、破裂泄漏、維修、采樣、污染等。
③確定風(fēng)險矩陣,分析偏差的原因和后果。根據各個(gè)公司事故統計情況和風(fēng)險接受程度,制定本公司適用的風(fēng)險矩陣。針對節點(diǎn)內某一設備工藝參數的偏差,結合現有資料和小組成員的經(jīng)驗,分析導致這一偏差發(fā)生的原因,以及參數發(fā)生偏離后可能導致的后果,并根據風(fēng)險矩陣,確定風(fēng)險等級。
④提出建議措施。通過(guò)分析,審查現有安全措施是否足夠,若事故風(fēng)險等級高、后果嚴重且影響惡劣,小組成員就有必要提出合理可行的建議措施。
02 LOPA分析方法
LOPA分析是一種簡(jiǎn)化的風(fēng)險評估方法,通過(guò)對現有保護措施的可靠性進(jìn)行量化的評估,確定其消除或降低風(fēng)險的能力。LOPA的應用一般是在定性危害評估(如HAZOP、PHA)之后,用定性危害審核小組識別的情形進(jìn)行。它首先分析未采取安全保護措施之前的風(fēng)險水平,然后分析各種安全保護措施將風(fēng)險水平降低的程度。
保護層分析的思想,可以用一個(gè)“洋蔥”來(lái)形象地描述其模型,每一層洋蔥皮就相當于一個(gè)保護層,由于所有的洋蔥皮對內核都起到獨立保護作用,從而洋蔥內核遭受外侵的風(fēng)險就大大降低。
在對某個(gè)事故場(chǎng)景進(jìn)行保護層分析時(shí),確定哪些保護層措施能夠起到預防事故的目的尤為重要。
LOPA分析具體步驟如下:
①識別后果,選擇分析所需的情景。LOPA分析中所需的情景其實(shí)就是事故場(chǎng)景。事故場(chǎng)景是發(fā)生事故的事件鏈,包括起始事件、一系列中間事件和后果事件。一般情況下以后果嚴重的事件作為事故場(chǎng)景進(jìn)行分析。
②對所選定的事故情景進(jìn)行具體描述。LOPA分析中要對事故發(fā)生的原因、事故導致的后果、后果的嚴重程度、風(fēng)險不可接受值和風(fēng)險容許值進(jìn)行量化,量化的標準要根據公司實(shí)際情況采用本公司的風(fēng)險矩陣。
③確定情景的初始事件、中間事件和后果事件,并確定相應的頻率。初始事件,即引發(fā)原因,在LOPA分析中成為始發(fā)事件;中間事件,即誘發(fā)事件,在LOPA分析中成為條件事件;后果事件,即導致的嚴重后果。而相應的頻率,需要根據各公司的實(shí)際情況選定。
④預計情景的風(fēng)險。預計情景,即未減輕事件,是指初始事件發(fā)生而且所有的保護層都失效的情況下,后果事件發(fā)生。未減輕事件發(fā)生頻率等于始發(fā)事件、中間事件和后果事件發(fā)生頻率的乘積。
⑤確定獨立保護層(IPL)及其需求故障概率(PFD)。保護層分為事件阻止層和后果減弱層,事件阻止層也叫主動(dòng)保護層,通過(guò)在原因和事件之間增加屏障,來(lái)預防事故發(fā)生;后果減弱層也叫被動(dòng)保護層,通過(guò)在事件和結果之間增加屏障,來(lái)減少事故后果的損失。不同的保護層其PFD是不同的。
⑥考慮獨立保護層時(shí),確定減輕事件的剩余風(fēng)險及其等級。減輕事件的發(fā)生頻率等于未減輕事件的發(fā)生頻率與獨立保護層各安全保護措施失效概率(PFD)的乘積。確定了減輕事件的頻率后,根據公司的風(fēng)險矩陣確定頻率等級和剩余風(fēng)險等級。
⑦確定附加保護層達到可容忍風(fēng)險還需降的級別。若獨立保護層起到了安全保護措施的作用后,減輕事件的剩余風(fēng)險達到公司可接受的水平,則不需進(jìn)一步采取安全措施和建議措施。否則,要提出切實(shí)可行的附加保護層,直至將剩余風(fēng)險降低到可承受的風(fēng)險水平為止。
03 SIL分析方法
問(wèn)什么是安全儀表系統(SIS)?
介紹按照IEC61511中的定義,安全儀表系統是由傳感器、邏輯控制器和執行器組成的、能夠行使一項或多項安全儀表功能的儀表系統。安全儀表系統是一種自動(dòng)安全保護系統,它已發(fā)展成為工業(yè)自動(dòng)化的重要組成部分。很多人容易把基本過(guò)程控制系統(BPCS)和安全儀表系統混淆。BPCS是執行常規正常生產(chǎn)功能的控制系統,它是主動(dòng)的、動(dòng)態(tài)的,是用來(lái)滿(mǎn)足生產(chǎn)需要的,因此,它必須根據系統的設定要求和生產(chǎn)過(guò)程的擾動(dòng)狀態(tài)不斷地動(dòng)態(tài)運行,才能保持生產(chǎn)過(guò)程的連續穩定運行。一旦其運行終止,則整個(gè)生產(chǎn)過(guò)程也就隨之失去控制。而SIS系統則監視生產(chǎn)過(guò)程的狀態(tài),判斷是否出現危險條件,防止風(fēng)險的發(fā)生或者減輕風(fēng)險發(fā)生后造成的后果。它是被動(dòng)的、休眠的,在BPCS正常運行時(shí),SIS一般是處于靜態(tài)的,它在很長(cháng)一段時(shí)間里都會(huì )處于“休眠”狀態(tài)。
問(wèn)什么是安全生命周期?
在IEC61508和IEC61511中都提出了安全生命周期(SLC)的概念。安全生命周期的定義為:在安全儀表功能(SIF)實(shí)施中,從項目的概念設計階段到所有安全儀表功能停止使用之間的整個(gè)時(shí)間段。安全儀表系統整體的安全生命周期從其概念開(kāi)始,經(jīng)歷若干中間階段一直到安全系統停用,包括了為達到必需的安全完整性水平而進(jìn)行的一切活動(dòng)。換句話(huà)說(shuō),安全生命周期包括了安全儀表系統在概念、設計、運行、測試、維修及停用各階段的所有活動(dòng),以達到高水平的功能安全。在一定時(shí)間、一定條件下,安全相關(guān)系統執行其所規定的安全功能的可能性,被稱(chēng)為安全完整性等級(SIL),其數值代表著(zhù)安全儀表系統使過(guò)程風(fēng)險降低的數量級。安全完整性等級貫穿于安全系統生命周期的始終。安全系統的安全完整性等級不僅是安全系統安全性能的度量標準,而且是安全系統生命周期中的主線(xiàn),將安全系統整體生命周期的各個(gè)階段聯(lián)系起來(lái)。
問(wèn)SIL選擇方法?
安全儀表系統必須滿(mǎn)足系統風(fēng)險分析后所要求的SIL,SIL不僅是安全儀表系統安全性能的衡量標準,而且是整體安全生命周期中的主線(xiàn),其選擇應該恰到好處,過(guò)高會(huì )造成成本的浪費,過(guò)低會(huì )使風(fēng)險不可接受。IEC61508中,SIL4是最高的,SIL1是最低的。
SIL選擇的方法主要有兩類(lèi),定性的和定量的。定性方法通過(guò)大致的風(fēng)險后果和可能性分類(lèi)來(lái)描述風(fēng)險,主要有風(fēng)險矩陣和風(fēng)險圖法。計算SIL的半定量方法也被廣泛應用,如LOPA分析方法。
①風(fēng)險矩陣。同后果法一樣,風(fēng)險矩陣是基于分類(lèi)的方法,這種分類(lèi)可以是根據定性的描述,也可以根據量化的指標。用戶(hù)必須創(chuàng )建一個(gè)矩陣,它為風(fēng)險的后果和可能性制定了大范圍的分類(lèi)。后果和可能性分別構成矩陣二維坐標(行x、列y)中的一個(gè),同時(shí)每一個(gè)矩陣元素為一個(gè)SIL。
②風(fēng)險圖。風(fēng)險圖最初是為德國工業(yè)標準開(kāi)發(fā)的,在歐盟中得到了廣泛應用。該種方法與風(fēng)險矩陣中只考慮后果和可能性不同,風(fēng)險圖考慮了四個(gè)參數來(lái)確定SIL等級:危險事件的后果(C)、處于危險區域的頻度(F)、避開(kāi)風(fēng)險狀況的概率(P)和不期望事件的概率(W)。SIL的確定是從左面的起點(diǎn)到右面的方格繪制一條路徑,按照C、F、P的分類(lèi),決定這三者的哪一行被選中,具體被選中的行中哪一個(gè)方格被選中則取決于W的分類(lèi)。
(a) 一個(gè)3級的安全儀表功能并不能給該風(fēng)險等級提供足夠的風(fēng)險降低。為了降低風(fēng)險,需要附加額外的修改措施(見(jiàn)c)。
(b) 一個(gè)3級的安全儀表功能并不能給該風(fēng)險等級提供足夠的風(fēng)險降低,需要另外復審(見(jiàn)c)。
(c) 此方法不適合SIL4的情況。
問(wèn)SIL分析程序是怎樣的?
SIL分析小組在進(jìn)行SIL評估工作時(shí),假定已經(jīng)完成了安全生命周期中的概念過(guò)程設計階段、工藝危害分析及風(fēng)險評估階段(HAZOP)、保護層分析階段(LOPA)等,且分析結果是真實(shí)的、可靠的。經(jīng)分析后,若獨立保護層起到了安全保護措施的作用后,減輕事件的剩余風(fēng)險仍超出了公司可接受的水平,則要提出切實(shí)可行的附加保護層SIS。在確定了SIS系統所要實(shí)現的SIF功能的SIL等級后,接下來(lái)的工作就是要如何設計SIS來(lái)實(shí)現SIF了。
在目標SIL確定后,就要制定安全要求規范,其中包括兩個(gè)主要部分:功能要求規范和完整性要求規范。功能要求規范定義了每一個(gè)安全儀表功能應該做什么;完整性規范定義了每一個(gè)安全儀表功能能夠多好地被執行。
在SIS系統設計完成且各個(gè)SIF的子系統結構確定后,需要檢驗所設計的SIS系統在一定的檢修周期和檢修覆蓋率等條件下的可靠性,就是需要進(jìn)行SIL驗證工作。SIL驗證可選用的方法常見(jiàn)的有可靠性框圖法、故障樹(shù)法和基于馬爾科夫模型的計算法等。
安全功能分配好之后,就由工程公司或設計院進(jìn)行安全儀表系統的詳細設計。當承包商選定之后,由承包商最終完成安全儀表系統的集成、安裝、調試。當承包商完成與業(yè)主的交接后,業(yè)主依據承包商提供的操作及維護手冊對安全儀表系統進(jìn)行使用、維護和定期測試。
對以上分析方法的總結
(1) HAZOP分析方法因不能對偏差產(chǎn)生的事故風(fēng)險、現有安全措施的風(fēng)險降低水平和剩余風(fēng)險水平進(jìn)行定量化,所以將LOPA引入HAZOP分析中,是解決這一問(wèn)題的有效途徑。
(2) 進(jìn)行LOPA分析的目的主要就是為了確認對于事故后果非常嚴重的風(fēng)險現有保護是否足夠、是否有必要增加額外的SIS保護,以及確定增加的SIS系統的風(fēng)險降低目標是多少。而增加的SIS系統是否能實(shí)現要求的SIF,則需要通過(guò)SIL分析進(jìn)行驗證。
(3)通過(guò)開(kāi)展SIL分析,對附加的SIS系統進(jìn)行設計、評估、驗證,使安全儀表系統項目的設計和執行達到最優(yōu)化,以最低的項目成本實(shí)現裝置的安全需求。