倪桂才
(中国石化青岛安全工程研究院,山东青岛 266071)
1994年7月24日早晨,米尔福德港德士古炼油厂上空的雷电干扰了真空蒸馏、烷基化和丁二烯单元以及催化裂化装置(FCCU)的运行。
在非正常运行期间,一系列因管理、设备及控制系统方面存在的疏忽导致从FCCU放火炬出口管道释放了大约20 t烃类物质。当时,烃类液体连续泵入工艺容器,由于阀门故障,其出口关闭。容器被充满后,通过泄压系统泄到火炬线。由于火炬系统的设计并未考虑处理这种异常情况,并且泄压过来的液体在FCCU火炬筒体中发生闪爆导致出口管发生了损坏。共约20 t烃类气液混合物被释放出来,距火炬筒约110 m处遇火炬火花,随后发生爆炸。爆炸和火灾造成26人受伤、4 800万英镑的财产损失和巨大的生产损失。调查发现,在事故发生前的5 h内,警报以每2~3 s一次的速度呈现。爆炸前10.7 min,操作员经历了275次报警。报警泛滥遮蔽了高液位的显示和声光,操作员未采取应急措施导致事件的发生。
英国健康和安全执行局(HSE)调查报告[1]显示的此次事故的主要原因是:①生产装置存在太多的报警,它们之间的优先性不佳;②装置控制室的显示不能够帮助操作人员了解所发生的情况;③缺乏处理压力条件下和持续存在的装置混乱状况的合理培训。
美国化学品安全及危害调查委员会(CSB)调查了西弗吉尼亚州某工厂2010年发生的一起事故[2],一个被忽视的报警信号导致了化学品泄漏到了工艺车间厂房内。一个装有氯甲烷的反应釜上的爆破片发生破裂后,氯甲烷释放到排空管中,而氯甲烷是一种有毒易燃气体。爆破片的初始设计是:当它破裂时,会发出一个报警信号,当时这个报警确实触发了。然而,由于这个点长期存在假报警,操作人员并不知道此设备已经得到改造升级,依然将此次报警视为假报警而未采取任何措施。在排空管上有一段排液管,其排放孔就处在生产车间内,氯甲烷通过该排放孔进入了这个人员并不经常去的区域,泄漏一直持续了5天,直到一个原本设计用来检测其它化学品的气体探测器被触发,发出了报警信号,才被发现。据估计,这次事故共泄漏了大约900 kg的氯甲烷。
石化装置改进报警处理,首先,要确认出所有的问题;其次,计划出要进行的步骤;最后,消除或者控制它。
2.1.1现有的报警系统是否存在问题
采取一些发现问题的措施:①现有多少套报警系统?②这些报警系统都是必要的吗(过程状态指示器不应该设有报警器)?都要求操作人员采取行动吗?③在正常操作期间存在多少报警?④在一套装置发生异常时候,存在多少个报警?⑤存在多少固定报警器?⑥是否有因传感器缺陷或设定值太接近正常运行状态,而频繁出现“假报警”的情况?⑦是否在这些不可靠的报警信号中间,混杂有真正且重要的工艺偏离的报警信号,需要你采取响应措施?
在这里,报警频率指标:装置正常运行期间的长期平均报警频率应该不大于每10 min 1次;并且在发生了装置运行异常之后的首个10 min,报警次数不应大于10次[3]。
2.1.2向操作人员和安全代表咨询他们的经验
向操作人员和安全代表咨询:①他们是否遭受过报警“洪流”的淹没?②是否存在扰人的报警?例如,是否存在大量的报警接二连三地发生?或者声音报警要定期地关闭?③报警优先性有帮助吗?④他们知道如何处理每一个报警吗?⑤控制室报警显示布置合理吗?容易了解吗?⑥显示屏有关报警的页码容易找到吗?⑦显示屏上使用的术语与操作人员使用的术语一致吗?
对于有效的报警优先性[2]:①定义优先性规则,并将此规则应用于所有系统的报警之中;②使用三个优先性;基础优先性要基于如果操作人员未能做出反应的可能后果之上;③优先性比例,例如5%高优先,15%中优先,和80%低优先。
2.1.3向管理人员咨询报警的问题
向管理人员咨询:①是否存在由于操作人员未发现报警;或者做出了错误的反应,而导致的严重事故或者未遂事故?②是否存在一个书面的有关报警的政策或策略?③是否存在一个书面的有关报警的公司标准?
2.1.4新的报警是如何增加的,现有的报警是如何改进的?
你最新的HAZOP产生了多少个新的报警系统?他们是如何合理地确定的?这些操作人员能够注意到这些报警,并能够正确做出反应吗?过度的报警对操作人员的影响是否考虑到?在安全报告和风险评估方面,装置是否已经达到了这个可靠水平?在操作人员对报警做出正确反应的可能性方面,你是否做出了不合理的要求?
操作人员的可靠性是指:具体报警的非常明显的显示;较少的误报警;较低的操作人员工作负荷;简单的、明确的操作人员的反应;良好培训的操作人员;操作人员反应的有效性检测。
2.1.5报警的设计是否考虑了人的生理极限?
一个有效的报警系统应该引导操作人员的注意力投向那些要求时刻评估和控制的装置运行条件上[1],并且应该:报警的功能是通知和引导操作人员,允许他们诊断问题,并控制工艺过程处在一个安全的范围之内;防止不必要的停车;仅仅向操作人员提供有用的和相关的报警;对关键的报警确定优先性;对于每一个报警都有明确的应急措施;进行人机工程学设计,满足使用者的需要和能力极限;为操作人员提供足够的反应时间。
2.2.1建立一个处理这些问题的工作组
这个工作组应包括技术方面、操作方面和安全方面的代表。将已经确认出来的问题与整个装置的风险评估联系起来分析。决定哪部分具有最大的风险,并制定一个限时的行动方案处理它们[4]。
一家公司在德士古公司的事故之后,审查了他们的报警系统,发现公司的报警系统的优先性和设计都较差,导致了过高的报警发生率。他们建立了一个审核现有报警系统的项目。这个项目由一个包括一名高级管理者的程序委员会来运作,一个包括操作人员在内的多学科的项目组进行这个工作。他们确认了最佳的方法,并制定了行动计划:减少了常备报警系统的数量;建立了决定优先性程度的规则;提供了操作人员的问题诊断培训;设立了一个最大报警发生率的标准;实施了一个报警过滤方法;制定了一个有关将来项目的现场报警策略文件和工程说明。
2.2.2实施能够为操作人员带来即刻好处的、快速和相对容易的技术性解决方法
EEMUA指南[3]给出了包括下列方面的例子:消除或者审核没有明确的操作人员反应,或者不被了解的报警系统;对扰人的报警进行报警设定调节;对于重复报警要进行静区调节;消除来自停工装置的所有报警;重新设计重复性报警;用类似的传感器更换导致扰人问题的数字报警器。
2.2.3建立运行团队的能力
建立运行团队的能力:①他们的培训是合理、真实的吗?并且是建立在对实际要进行的作业的分析基础之上吗?②他们的能力经过检测了吗?
如果良好设计的模拟器和模拟训练能够合理地融入这个培训计划之中,它们将是十分有效的;确保对于正常和非正常情况下的培训都是真实有效的。
2.2.4为了有效地对报警做出反应,应该为操作人员提供充分的帮助和支持
为操作人员提供帮助和支持:①以最佳的方式显示和在线帮助现有的报警。例如,彩色的模拟物代替报警列表;②正常和非正常情况下的角色和责任保持清晰;③非正常情况所需的操作人员和管理人员要充足;当需要的时候,保证他们能够及时到位。
改进报警处理不是一件单一的工作。需要将它视为正常的安全或质量管理体系的一部分来管理它。例如:起草一个现场或者公司的报警策略和标准。这个策略应该包括所有现场报警的一个清晰的定义和目的以及一个有关进行合理的培训、审核和人机工程设计的承诺。这个标准应该包括定期审核和报警变更控制的方法、责任的确定和操作人员的培训要求等。
检查:包括审查和回顾、与安全代表的咨询和来自操作人员和管理人员的非正式反馈。例如,原先已经实施的评估方法再次用于估计改进工作的进程,并审核表现现在是否合理。报警程序委员会在这个过程中继续审核项目的进程和策略。
新的报警系统的设计:这里所谈的大多是关于改进现有的报警系统。最好是把设计报警系统放在首位。报警标准应该用于设定购买报警系统设备的规范。
良好的报警处理能够对企业安全生产产生重大的影响。一个改进后的报警系统能够带来由操作人员完成的更牢固的质量管理、改进的故障诊断和更有效的装置管理。