基于改进LOPA 分析的油气站场风险评价研究

李缙 王春洁 常振磊 武清泉 宋明垚 刘志娟

1大庆油田设计院有限公司

2中国石油华北油田公司二连分公司

3中国石油华北油田公司第一采油厂

随着国民经济的快速发展，我国已建成西气东输、中俄东线、中缅油气、中亚天然气等一系列纵横东西、互联互通的油气管网[1]。其中，保护层（LOPA）分析作为一种半定量的分析方法被广泛应用于油气站场工艺流程风险评价中，它是在危险与可操作性分性（HAZOP）的基础上进一步对具体事故场景风险进行量化分析，用于评估保护层的有效性和确定安全仪表回路（SIF）的安全完整性等级，并可识别SIF 回路的安全关键动作[2-3]。目前，LOPA 分析过程中对于初始事件只给出了确定原则，未给出初始事件具体的发生频率，也未对多初始事件引发同一事故后果进行分析；保护层分析中未考虑非独立保护层的识别，使评价结果过于保守，造成不必要的浪费和资金投入。基于此，根据初始事件的失效类型，分别对初始事件发生频率进行修正，引入后果减缓系数计算非独立保护层失效概率，并通过实例验证计算结果。研究结果可为油气站场的安全评价提供理论依据和实际参考。

1 LOPA 分析

LOPA 分析中需考虑事故场景发生的原因、后果、时间序列、使能条件和独立保护层等相关信息[4-5]。目前，石油石化行业普遍采用低要求模式[6]，其事故场景导致后果发生的频率计算公式为

式中：fiC为初始事件i在后果C 上的发生频率，a-1；fiI为初始事件i发生的频率，a-1；fiE为使能事件或条件发生概率；Pig为点火概率；Pex为人员暴露概率；Pd为人员伤亡概率；PFDij为初始事件i中第j个独立保护层要求时危险失效概率。

AQ/T 3054—2015 中的附录E 给出了部分初始事件的典型频率值，但其值为一个区间数，具体数据还需要通过专家判断。很多时候企业为降低SIF回路的SIL 等级会选择较低的初始事件发生频率值，造成事故发生时SIF 回路无法针对场景作出足够响应，故需对初始事件发生频率进行修正[7]。此外，由于独立保护层需满足有效性、独立性和可审查性的属性，规范中要求对于部分不满足属性的保护层直接认定为非独立保护层，造成了LOPA 分析结果的保守性，故也需对非独立保护层进行分析。

2 初始事件发生频率

通过对常见的初始事件进行失效分析，得到初始事件类型主要有设备失效、控制系统失效、人因失效和外部事件等，其中外部事件多由第三方破坏造成，具有随机性和可不预见性，在此不予考虑。

2.1 设备失效

对于设备失效，参照API 581 的相关算法[8]，设备失效概率F设备为

式中：FG为同类设备失效概率；FE为设备修正系数；FM为管理系统评价系数。

对于同一个油气站场而言，FG和FM的取值相对固定，影响设备失效概率的主要为FE。该参数与设备的技术、工艺、环境等因素相关，用于衡量待评价设备偏离同类设备失效概率的程度，其计算由技术因子、通用因子、机械因子和工艺因子等四部分组成（图1）。技术因子根据设备损伤机理和技术状态进行评估和筛选，是实际环境中特定失效机制对设备失效概率的影响程度。目前油气站场内设备的损伤机理主要为腐蚀减薄，根据腐蚀速率、运行时间和设备壁厚计算腐蚀减薄因子，在腐蚀速率的确定上通常采用现场挂片或无损检测的相关数据，并利用最小二乘法进行拟合。但该方法中会出现大量的离群点，故采用二次样条曲线的方式进行拟合，得到任意时间的腐蚀速率，使腐蚀减薄因子的计算更加准确。通用因子、机械因子和工艺因子均与外部工艺环境相关，可通过设备运行数据和外部环境的不断变化进行动态更新。

图1 设备修正系数计算Fig.1 Calculation of equipment correction coefficient

2.2 控制系统失效

对于控制系统失效，参照SIL 验证中IEC-61508 的简易公式计算方法，其失效概率与测试周期、修复时间以及逻辑结构等因素相关，以冗余表决结构1oo1 型（即任何危险失效均会导致安全功能失效）为例，其单个子系统的失效概率PFDavg为

式中：λDU为未检测到的危险失效率，h-1；λDD为检测到的危险失效率，h-1；λD为危险失效率，h-1；TI为功能测试周期，h；MTTR为平均修复时间，h。

如果是整个控制系统失效，则失效概率为传感器子系统、逻辑控制子系统和执行元件子系统的失效概率和。

2.3 人因失效

根据以往发生的事故原因统计，人的不稳定因素占据事故原因的比例较大，操作人员的工作状态与心情、工作环境、疲劳程度、抗压能力、技能水平等诸多因素相关。因此，对于人因失效参照人因可靠性的相关理论，将人的行为认知分为观察、决策和执行三个过程，采用人因事件树进行分析（图2）。其中，观察和执行阶段易受外界情景的影响导致误操作，故采用依赖情景环境输出的认知可靠性和失误分析方法（CREAM）计算人因失效概率[9]；决策阶段与现场的决策响应时间相关，响应时间越短，人因失效概率越大，故采用涉及时间参数变量的认知可靠性模型（HCR）计算人因失效概率[10-11]。CREAM+HCR 模型可结合不同站场的实际情况，通过合理确定权重因子对人因失效概率进行计算，为风险分析提供准确数据。

图2 人因事件树Fig.2 Human error event tree

2.4 多初始事件导致同一后果

在大多数事故场景中，初始事件之间并不独立，存在多个初始事件对应同一后果，传统计算中往往将各独立初始事件的发生频率相加，得到总体场景的发生频率。

式中：f1为初始事件1 发生的频率；fn为初始事件n发生的频率。

LOPA 分析的原则是将风险降低到企业可容忍风险水平，不是彻底消除风险。当初始事件之间存在相关性或同一保护层可承担多个初始事件对应的后果时，保护层失效概率将会被重复计算，导致初始事件发生频率计算结果过大，增加冗余保护层，造成经济损失。故对于该情况采用最大值法，只需取发生频率最高的1 项即可。

对于部分初始事件独立，而其余部分初始事件存在相关性或共用保护层时，可将2 部分初始事件发生频率分别按照求和法和最大值法计算，然后将两种处理结果相加。

3 非独立保护层

在LOPA 分析中，一个初始事件往往包含多个保护层，典型的保护层有本质安全设计、基本过程控制系统、关键报警与人员干预、安全仪表系统、物理保护、释放后保护、工厂及社区应急响应等。对于传统保护层的认定不是生效就是失效，没有部分失效，这对于基本过程控制系统、安全仪表系统等主动型保护层而言，可以正确识别保护层；但对于非独立的被动保护层（如防火堤、安全阀、防爆墙等）而言，则容易被忽略。原因是这部分保护层均在事故发生后起作用，效果不是降低初始事件发生频率而是降低事故发生后果。如保护层生效，事故后果不一定完全减缓；如失效，事故后果也有可能被减缓。基于此，引入后果减缓系数β来衡量事故后果被减缓的程度。

式中：C1为未启动非独立保护层时的后果严重程度；C2为启动非独立保护层时的后果严重程度。

后果减缓系数β在（0，1）区间，但不能取0和1。因为当β=1 时，说明风险没有被减缓，保护层已失效，此时不构成保护层；当β=0 时，说明风险被完全减缓，保护层起到了完全保护的作用，此时保护层为独立保护层。

4 实例分析

某站场内油水混合物经三相分离器处理后，水进入水区处理，气经气线管道进加热炉燃烧以提供站内热量，原油进入油区储罐进行沉降处理。油区储罐液位受基本过程控制系统（BPCS）控制，储罐容量为1 000 m3。假设发生储罐液位高，储罐出现溢流现象，导致人员伤亡。对该场景进行危险与可操作性分析，结果见表1。

表1 HAZOP 分析记录Tab.1 HAZOP analysis record

邀请工艺、消防、给排水、仪表等相关专业的人员组成HAZOP 分析小组，通过分析确定该场景三个初始事件，分别计算其失效概率。对于上游分离器，根据规范要求每6 年检验一次，所属企业已按照要求进行全面的内、外检测。根据历史数据得到外腐蚀速率为0.027 mm/a，内腐蚀速率为0.165 mm/a。根据API581 确定同类设备的失效概率为1×10-2，腐蚀减薄次因子为2，应力腐蚀损伤次因子为10，则技术因子为12；分离器的装置条件与行业标准相符，冬季外界温度在-5～0 ℃之间，站场处于非地震区域，则通用因子为1；分离器的接管数量为6，分离器自建造以来，相关制造规范未作出重大修改，目前服役年限占设计寿命的20%，运行压力和设计压力的比值为0.9～1 之间，则机械因子为2；分离器计划停车周期小于3 次/年，泄压阀误期维护状态小于5%，泄压阀无大量结垢，耐腐蚀且清洁度较好，则工艺因子为-2；参考API 581 中规定的13 类管理问题的101 个子问题对该站场内的管理人员进行问卷调查，确定该站场的管理系统评价系数为0.58。则该分离器故障的发生频率为1×10-4×（12+1+2-2）×0.58=0.075 4（a-1）。

对于液位传感器失效，根据其安全功能认证证书，其低失效模式下的失效数据λDU=2×10-5、λDD=1.5×10-5，功能测试周期TI=8 760 h，平均修复时间MTTR=8 h，且传感器与逻辑控制器、执行元件的逻辑模式为1ool 结构，根据公式（3）～（4），计算液位传感器失效的发生频率为0.065 9 a-1。

对于人员误操作导致进液过多，从观察、决策和执行等三个方面分析。观察阶段失效模式为未观察到液位报警信号和观察液位信号有误等两种；决策阶段中的应急响应时间定为30 s，由该站人员实际情况，确定行为类型为规则性，进而确定威布尔分布参数的取值；执行阶段的失效模式有未手动关停上游阀门。根据站内应急演练结果，确定各失效模式对应的基本失效概率（表2），由此计算出观察、决策和执行阶段的失效概率分别为0.021 56、0.027 85、0.004 865 4，进而计算其总的人员误操作发生频率为0.052 6 a-1。

表2 各失效模式下的基本失效概率Tab.2 Basic failure probability in each failure mode

根据HAZOP 分析结果，三个初始事件中，人员误操作可能是由于液位传感器失效造成的，这两个初始事件存在相关性，而与上游分离器故障的相关性不大，故总的初始事件发生频率为0.075 4+max（0.065 9，0.052 6）=0.141 3(a-1)。

由于液位传感器属于BPCS 系统，故所有进入该BPCS 的回路均不能构成独立保护层。目前该场景只有防火堤一个保护层，其失效概率为10-2a-1，防火堤有效容积为100 m3，现溢流量为125 m3，按照保护层应满足有效性、独立性和可审查性的属性，该保护层不能认定为独立保护层。但该保护层并不是完全不起作用，可以部分减缓事故发生的后果，根据公式（7）确定后果减缓系数β=25/125=0.2，即该非独立保护层起到了80%的作用，失效概率修改为（1-10-2）×0.2=0.198（a-1）。

最终，对该场景进行LOPA 分析（表3），后果发生频率为3.497×10-3a-1，根据人员伤亡确定后果严重程度为4 级，该场景的风险可接受频率为10-4a-1，则该场景需增加新的保护层以降低后果发生频率。按照传统方法不考虑各初始事件之间的关系，且不考虑防火堤保护层的有效性，后果发生频率计算结果为7.271×10-3a-1，较改进后多3.774×10-3a-1，虽然数据上未出现数量级的变化，但仍说明需要增加更多的保护层才能降低后果发生频率，这也意味着浪费更多的资金投入。当初始事件较多，或涉及了更多的非独立保护层时，改进前与改进后的计算结果差异会更大。

表3 LOPA 分析结果Tab.3 LOPA analysis results

5 结论

（1）对LOPA 分析中初始事件发生频率进行修正，其中设备失效概率采用API581 计算，控制系统失效概率采用SIL 等级验证方法计算，人因失效概率采用CREAM+HCR 模型相结合的方法计算，实现了对初始事件发生频率的安全评价，弥补了目前LOPA 分析评价技术的不足。

（2）对多初始事件引发同一后果的发生频率进行修正，引入后果减缓系数计算非独立保护层的失效概率，解决了传统方法中未考虑保护层部分有效的问题，通过实例分析，改进后的风险分析后果发生频率较改进前有所降低，评价结果更具科学性和客观性。