陶 冶,姚安林,2,徐涛龙,蒋宏业,李又绿
(1.西南石油大学 石油与天然气工程学院,四川 成都 610500; 2.油气消防四川省重点实验室,四川 成都 610500)
保护层分析(Layer of Protection Analysis,LOPA)作为一种简化的、半定量的风险评估方法,是一种评估化工系统安全措施灵活有效的工具,在过程工业中得到了广泛的应用[1]。LOPA通过事故后果的严重程度与发生频率的数量级大小来近似表征所评估场景的风险水平[2]。针对某一特定场景,LOPA首先识别该场景的初始事件并确认其发生频率,然后进行独立保护层(Independent Protection Layer,IPL)识别并确认其需要时的失效概率(Probability of Failure on Demand,PFD),计算得到该场景的场景频率并与企业的风险容忍标准比较,从而做出决策。
目前,国内外许多学者对LOPA进行了研究并提出改进方法。如Markowski等[3]将专家系统与保护层分析法相结合提出了“Exsys-LOPA”;YUN等[4]将贝叶斯理论应用于LOPA提出了“BN-LOPA”;邓彬等[5]将轨迹交叉理论与LOPA相结合对系统的安全状况进行分析评价;夏阳光等[6]将模糊故障树应用于LOPA提出“FFTA-LOPA”;徐青伟等[7]将云模型、BOW-TIE模型与LOPA结合对LOPA进行改进;闫放等[8]将集对分析与LOPA结合,提出“SPA-LOPA”;万古军等[9]对LOPA中独立保护层的识别进行研究;靳江红等[10]对LOPA中定量问题进行了研究等等。然而,现有的研究均没有系统全面地考虑非独立保护层对后果的影响,在实际评价中,一些非独立保护层并非完全起不到保护作用,若评价过程中不考虑这些保护层的作用,就有可能导致评价结果过于保守,从而造成无谓的技术改造,增加了资金投入。
因此,本文在分析独立保护层的定义、分类、判定依据的基础上,分析非独立保护层对评估结果的影响并提出相应的改进方案,以期克服LOPA在识别保护层方面以及场景频率计算方面的局限性,拓展其使用范围。
《保护层分析——简化的过程风险评估》一书中对独立保护层的定义为:独立保护层是能够阻止场景向不良后果继续发展的一种设备、系统或行动,并独立于初始事件或场景中其他保护层的行动[11]。独立保护层作用示意如图1所示。
图1 独立保护层功能示意Fig.1 Functional diagram of IPL
按照独立保护层的判定规则,独立保护层必须满足有效性、独立性以及可审查性。有效性是指其必须能有效地防止所评估场景中不期望的后果;独立性是指其必须独立于初始事件及同一场景中已经被认定为是独立保护层的任何构成元件;可审查性是指被认定的独立保护层必须可以验证其功能的有效性以及确认的PFD的合适性。
一个化工过程通常包含多个保护层,典型的保护层包括工艺设计(本质安全设计)、基本过程控制系统(BPCS)、关键报警和人员干预、安全仪表系统(SIS)、物理保护(安全阀、爆破片等)、释放后保护(防火堤、防爆墙等)、工厂及社区应急响应等。美国化工过程安全中心(CCPS)给出了一些典型独立保护层及PFD,如表1所示[11]。
表1 典型的独立保护层及其PFDTable 1 Typical IPL and its PFD
对于过程工业典型的保护层,保护层的可审查性基本都会予以保证,所以独立保护层的有效性及独立性是其核心特性[12]。但在实际评估过程中,一些保护层可能不满足某个特性,将不作为独立保护层考虑,但其并非起不到作用,如果单纯将其忽视,很可能会夸大风险、使评价结果偏于保守,从而造成不必要或过多的技术改造和资金投入。
根据独立保护层的定义,非独立保护层可定义为“不能够完全阻止场景向不良后果继续发展的一种设备、系统或行动,或不独立于初始事件或场景中其他保护层的行动”。CCPS总结了一些通常情况下不视作独立保护层的例子,包括培训和取证、设备维护、标识等[11]。在实际评估过程中,这些例子通常对评估结果造成不了影响,所以在讨论非独立保护层对后果的影响暂不予考虑[13]。故可以将非独立保护层分为2类,即不满足有效性的保护层和不满足独立性的保护层,下面将分别对其进行分析,并对其影响LOPA结果的处理方法构建起相应的改进策略。
不满足有效性的保护层,即不能有效地防止不期望后果的保护层,或者说只能部分有效的保护层。而传统LOPA对于独立保护层的选取原则,一个保护层不是生效就是失效,不存在部分生效的情况,这就导致了某些保护层实际上可以起到一定的降低、减缓风险的作用,但实际被忽略的情况,从而夸大了风险。对于通常在事故发生前便生效的主动保护层(如BPCS,SIS等)而言,若其生效,则事故后果便不会发生,若其失效,则事故后果发生,其有效性容易判断。但对于事故发生后才发挥作用的被动型保护层(如防火堤、防爆墙等),若生效,其事故后果不一定会完全规避,若失效,其也有可能减缓事故后果。所以,在处理这类保护层时有必要对现有的方法进行改进,以增加其适用性。
对于某一场景,其风险可以表征为事故后果与场景频率的乘积,即:
RC=fC×C
(1)
式中:RC为场景的风险等级;fC为场景的发生频率;C为场景的后果严重程度。
进行LOPA分析时,在确定了一个独立保护层,其场景频率也会随之相应降低,后果严重程度并不会改变,然而,类似于防火堤之类的被动保护层,往往是降低了后果的严重程度。而削减系数可以量化风险的削减程度,并可以通过推导转化为更深层次的、合理的评价结果,在工程上得到广泛的应用。由此,为了合理处理此类非独立保护层有效部分对后果的削减效果并将其削减程度转化为场景频率的表征,引入削减系数λ[14]。
设某一场景无任何保护层时的后果严重度为C,保护层发生作用时场景后果严重程度为C1,则削减系数为:
(2)
从式(2)中不难看出,0<λ<1,且随着λ的减小,保护层对风险的削减作用增强。λ之所以不能取0和1,是因为当λ为0时,表示风险被完全规避,说明保护层起到了完全保护的作用,即为独立保护层,便不是非独立保护层;当λ为1时,表示风险没有被削减,说明保护层已经失效,便不是保护层,这都与非独立保护层的意义相悖。引入削减系数的非独立保护层分析示意如图2所示,其中λ1,λ2,λ3分别为不满足有效性的非独立保护层1,2,3的削减系数。
图2 引入削减系数的非独立保护层分析示意Fig.2 Schematic diagram of Non-IPL analysis with reduction coefficient
引入削减系数后,便可将后果削减转化为场景风险频率进行计算。设某一场景后果为C,有不满足有效性的非独立保护层(PL)a个,每个非独立保护层的削减系数为λ1,λ2,,λa,独立保护层(IPL)b个,则由式(1),场景风险R为:
(3)
故场景频率f为:
(4)
式中:R为场景的风险等级;f为场景的发生频率;C为场景的后果严重程度;fI为初始事件频率;PFDPL为非独立保护层失效概率;PFDIPL为独立保护层失效概率;λ为非独立保护层的削减系数。
来自上游工艺单元的油品进入储罐,储罐液位受液位控制回路控制,储罐总容量为1×104m3,该储罐位于防火堤内。现因液位控制回路失效(失效概率为1×10-1次/a),导致储罐溢流,泄漏量为40 m3,泄漏物进入防火堤(PFD为1×10-2次/a),但现场发现该防火堤在容纳30 m3泄漏物高度处有1较大裂缝。场景为:液位控制系统失效导致40 m3油品流出储罐,引发火灾、人员伤亡。
对于此场景,防火堤是唯一的保护层,但溢流量为40 m3,而防火堤在30 m3处存在较大裂缝,按照LOPA对于独立保护层的要求,显然该保护层不满足有效性,按照传统LOPA,此时场景频率即为初始事件频率1×10-1次/a。
但实际上,虽然防火堤存在缺口,但仍然可以容纳30 m3的溢流物,相当于泄漏了10 m3,故按照改进的方法,λ=10/40=0.25,按照(4)式,此场景频率为:
显然,改进方法得到的场景频率降低了1个数量级,纠正了传统LOPA过于保守的评价结果,提高了LOPA的准确性。可见,充分考虑不满足有效性的非独立保护层对后果的削减作用而引入削减系数的改进方法是合理而有效的。
不满足独立性的保护层,即保护层与同一场景中已被认定为是独立保护层或初始事件等存在共同元件。对于传统LOPA,存在共同构成元件的多个保护层均按1个IPL计算,同不满足有效性的保护层一样,不满足独立性的保护层也并非起不到保护作用,单纯忽略也可能造成评价结果的过于保守。所以,有必要针对不满足独立性的保护层,在处理方法上进行改进。
保护层不满足独立性,也就是该保护层与其他独立保护层等存在共因失效问题,而对于共因失效问题,故障树分析(FTA)可以有效地解决[15]。故障树分析通过树状的逻辑关系图,将系统的故障与组成系统各部件的故障有机地联系在一起,逐层、全面地分析系统所有的失效模式[16],然后通过逻辑运算,计算出系统失效的概率。故障树也有其弊端,对于复杂场景,故障树的构建以及失效概率的计算量可能相当巨大,而将FTA集成于LOPA中来分析保护层之间的共因失效问题,通常只涉及到几个部件,故障树的构建以及计算量也会大幅减小[17],故将二者集成,取长补短,对传统LOPA进行改进。
方法思路:在传统LOPA分析的基础上,在识别保护层时增加不满足独立性的保护层识别,具体分析流程如图3所示。最后通过求最小割集计算出顶事件(非独立保护层部分)的发生频率,从而计算出场景频率。
图3 改进的保护层分析流程Fig.3 Improved procedure of LOPA
为体现出改进策略的有效性,以文献[11]中的案例及数据进行分析。某油品的进罐操作,储罐位于围堰内,其库存量由库存控制系统控制,储罐装有液位指示器和高液位报警器,进行卸载输送工作时,1名操作人员在现场通过液位指示计进行监视,当到达控制液位时,立即停泵切断进料,相关参数在控制室进行显式和报警。场景:储罐库存量控制系统失效,槽车卸载油品到空间不足的储罐内,导致储罐溢流,潜在的火灾风险、造成人员伤亡,初始事件储罐库存量控制系统的失效频率基于工厂数据取1.0/a。
通过分析,该场景有3个保护层,卸载前操作人员检查液位、高液位报警及人员响应、围堰。根据CCPS给出的失效数据,确定各保护层失效数据如表2所示。
表2 保护层失效数据Table 2 Failure data of protection layer
对识别出的保护层进行分析以确定是否满足独立保护层要求:
1)槽车卸载前操作人员检查储罐液位。操作人员检查储罐BPCS显示的液位可以确保储罐有足够的空间容纳槽车内的油品,若高液位则不会进行卸载操作,就不会发生溢流,且独立于其他任何行动,故为独立保护层。
2)BPCS报警及人员响应。它并不独立于第一种防护措施,因为它与第一种保护措施使用相同的液位指示传感器,故不是独立保护层。
3)围堰。围堰能够防止溢流物流出围堰的后果,因此是独立保护层。
通过以上分析可知,卸载前操作人员检查液位所用液位指示器同时也是BPCS的一部分,按照传统LOPA方法,BPCS报警将不作为1种独立保护层,所以按照传统LOPA方法计算场景频率为:
按照改进方法分析流程,对非独立保护层部分进行FTA分析,构造的故障树如图4所示。相关失效数据来源于CCPS数据库以及工厂数据,如表3所示。
图4 非独立保护层部分故障树Fig.4 Partial FTA of Non-IPL
基本事件失效频率/(次·a-1)员工误操作1×10-2液位检测元件失效1×10-2逻辑解算器失效1×10-3报警器失效1×10-1
故障树在求最小割集时的逻辑运算遵循布尔代数运算法则[18],则顶事件T的发生概率为:
(5)
式中:PT为顶事件T的发生概率;PA为中间事件的发生概率;PB为底事件的发生概率。其中,B1事件为员工误操作;B2事件为液位检测元件故障;B3事件为逻辑解算器故障;B4事件为报警器故障。
将表3数据代入式(5)得PT为0.011 01,取整为1.1×10-2,故场景频率fC为:
与传统LOPA计算结果对比可见,场景频率降低了近10倍,提高了LOPA的准确性。可见,通过将FTA与LOPA结合,可以有效解决保护层之间的共因失效问题,改进方法是合理而有效的。
1)在进行LOPA分析时,保护层需满足有效性、独立性和可审查性才可以作为独立保护层进行场景频率的计算。但有些不满足某个特性的保护层并非完全起不到保护作用,完全不予考虑是不合理的。
2)针对LOPA对于保护层选取的局限性,考虑了非独立保护层的作用,将非独立保护层分为不满足有效性的保护层与不满足独立性的保护层2类。
3)对于不满足有效性的保护层(被动保护层),采用引入削减系数,利用削减系数对后果削减程度的量化作用对LOPA进行改进;对于不满足独立性的保护层(存在共因失效的保护层),采用将FTA与LOPA相结合的方法,利用FTA在解决共因失效问题的优势对LOPA进行改进。
4)通过案例分析验证了改进方法的适用性,结果表明改进方法的计算结果较传统方法都降低了近1个数量级,避免了传统方法过于保守的评价结果,改进方法是合理而有效的。