基于LOPA分析的成品油库的SIL定级应用

高鹏飞

国家管网集团北方管道有限责任公司石家庄输油气分公司 河北 石家庄 050000

随着我国化工装置、危险化学品储存设施规模大型化、生产过程自动化水平逐步提高，加强和规范安全仪表系统规范设计和管理十分迫切和必要。2014年，国家安全监管总局关于加强化工安全仪表系统指导意见（116号文），涉及“两重点一重大”在役装置或设施咋化工企业和危险化学品储存单位，要在全面开展过程危险分析（如危险与可操作性分析的）的基础上，通过风险分析功能及其风险降低要求，并尽快评估现有安全仪表功能是否满足风险降低的要求。SIL定级是在建系统、在役装置是否需要设置SIS系统的依据。自2017年以来，为了降低风险和提高本质安全，化工行业在SIL定级上做了大量的工作。马勇梧等人开展了输气站场的安全仪表系统的评估和验证。李毅等人将HAZOP分析和LOPA分析应用于海上平台安全仪表系统评估。

化工安全仪表系统包括安全联锁系统、紧急停车系统和有毒有害气体及火灾监测系统等。安全仪表系统独立与过程控制系统。化工安全仪表系统一旦生产装置或者设备设施出现可能导致安全事故的情况时，能够瞬间准确动作，使生产过程安全停止运行或自动导入预定的安全状态。

安全仪表系统包括检测单元、逻辑处理器和执行单元。本次研究在研究对象的HAZOP分析的基础上进行SIL定级。

1 分析对象

本文研究对象为坐落于华北平原的成品油库的一级石油库，储存汽柴油，属于两重点一重大企业。油库于1992年建立，位于城市郊外。重点监管的危险化学品为汽油、柴油。根据GB18218-2018《危险化学品重大危险源辨识》和《危险化学品重大危险源监督管理暂行规定》（原安监总局令〔2011〕第 40 号、〔2015〕第 79 号修改）的有关规定和辨识可知，该油库参照重大危险源企业进行管理。该油库设置了基本过程控制系统、视频监控系统、消防自动化系统、火气报警系统以及安全仪表系统。

2 HAZOP 分析

HAZOP 分析是一种用于辨识设计缺陷、工艺过程危害及操作性问题的结构化分析方法，方法的本质就是通过一系列的会议对工艺图纸和操作规程进行分析。在这个过程中，由各专业人员组成的分析小组在HAZOP分析主席的引导下，按规定的方式展开头脑风暴，系统地研究每一个分析节点，分析偏离设计工艺条件的偏差所导致的危害和可操作性问题，并针对问题提出应改进的管理措施、应提高的工程措施等，达到有效的保障油库安全生产的目的。

根据该油库的工艺流程图、操作规程以及工艺管理人员的描述将该油库工艺流程划分为7个节点，分别为进油流程、出油流程、倒罐流程、全站系统等7个节点，采用压力、温度、液位、流量等4个参数，设置低、高、大、小等4个引导词，对各节点中可能出现的偏差进行辨识。借助表1安全评价风险矩阵，利用事故的后果严重级和事故性可能性在风险矩阵中判定事故的风险等级，本次分析重点是较大风险液位高偏差。分析偏差导致的事故最严重后果作为LOPA分析的一个基础。

表1 安全评价风险矩阵

表2 HAZOP分析结果

经分析造成液位高偏差的原因包括人员误操作导致高液位收油、液位计失效、人员误操作导致收油切罐不及时、阀门内漏或关闭不严造成油罐间连通四种初始事件。根据核实造成该后果的初始事件是否在油库或者该公司范围内出现过，如果曾经，可根据实际情况出具统计频率；如果没有出现过，则根据集团及或者行业级别数据，确定概率。

保护措施是指可以独立的行使安全保护功能而不受其他保护措施失效影响的安全的保护措施。针对油库液位高该偏差的保护措施包括以下内容：安全仪表系统系统；基本控制、火气报警系统；安全仪表系统；操作人员的干预；公众紧急响应；工厂紧急响应等。现有保护措施见表3。根据溢罐、环境污染、经济损失、潜在的火灾爆炸。

表3 液位高对应的现有保护措施

2.1 HAZOP 分析和LOPA 分析的关系

根据企业自制定的安全风险评价矩阵，从人员伤亡、财产损失、停工影响、环境影响和声誉影响等几方面确定初始风险（没有任何保护措施）与剩余风险（现有保护措施下的残余风险）。针对剩余风险中仍为中风险及以上的偏差，应增加保护措施（如SIF回路），并进一步开展LOPA分析。

LOPA分析中有一部分内容来源于HAZOP分析报告，其中偏差对应LOPA分析的偏差，引起偏差大的原因对应初始事件，现有保护措施对应“保护层”。此外，还需要根据保护层的属性（有效性、独立性和可审查性）确定HAZOP分析中的保护层是否为独立保护层。

2.2 保护层分析

保护层分是在是在定性危害分析的基础上，进一步评估保护层的有效性，并进行风险决策的系统方案，其主要目的时确定是否由足够的保护层使过程风险满足企业的风险可接受标准。LOPA分析是一种半定量的风险评估技术，通常使用初始时间频率、后果严重程度和独立保护层（IPL）的数量级大小来近似表征场景的风险。使用LOPA分析来确定在没有安全仪表系统的情况下，距离企业风险可接受水平的风险缺口。

当采用保护层分析法SIL定级时，需要使用企业对于风险的可容忍度和场景发生频率两个概念。其中风险的可容忍度由风险矩阵中查表，，该场景的发生频率指得是，在不考虑SIL系统作为独立保护层的情况下场景发生的频率：

对保护层要求时失效概率（PFD）

（1）确认风险可接受水平

针对该企业的人员、安全、财产、生产及环境建立一项目标可容忍频率，其中。根据HAZOP分析结果，在前面的HAZOP分析，针对偏差液位高产生最严重的后果对应的后果严重程度是3级。目标频率，见表4。

表4 企业风险可接受水平（目标频率）

（2）确定初始事件概率

其中基本工艺控制系统控制回路失效概率为1×10-1,垫片和填料大漏失效概率1×10-1，良好培训、心理健康和精神良好的操作工不遵守正常程序失效概率1×10-1。其中液位计在基本工艺控制系统中进行组态和现实，IE1-IE4初始事件的概率分别为1×10-1、1×10-1、1×10-1、1×10-1。

（3）独立保护层和保护层失效概率

独立保护层：从现有HAZOP分析的现有安全措施中提取保护层，满足条件的为独立保护层，类似于培训取证、程序、正常的测试和监测、维护、通信、标识、火灾保护不作为独立的保护层。通过表1，表2所得出的HAZOP分析结果，可以作为独立保护层的包括基本工艺控制系统，本质安全设计，关键报警和人员响应和防火堤，其失效概率分别为5×10-1、1×10-1、5×10-1、1×10-2。

考虑到人员误操作导致收油切罐不及时（IE1）、人员误操作导致高液位收油（IE2）为关键报警及人员响应失效，该保护层失效。

条件事件点火概率、人员暴露概率、致死率分别为5×10-2、1、1。

将风险降低目标的最小值（2×10-2）作为该场景的的选取要求时失效概率(PFD)，表5为安全完整性等级与PFD、RRF二者的关系表。根据关系表液位高该场景下需要增加SIL≥1的安全仪表回路。

表5 安全整性等级与要求时失效概率、目标风险降低因素关系表

4 结束语

根据要求完成了该油库的SIL定级，在HAZOP分析的基础上，选取分析结果为较大风险中的液位高偏差，针对该场景展开SIL定级，分析后果类别与严重性确立企业对风险的可接受发生概率，识别了初始事件和独立保护层，该油库需要设立SIL等级大于等于1的安全仪表回路来满足风险降低的要求。

在分析过程中，但是由于缺乏实践的数据积累，对于各个系统的失效概率偏重经验和建议，虽然考虑到了设备的使用年限导致的设备老化问题，但是失效概率的给出缺乏一定的数据积累基础。在分析独立保护层的过程中，通过分析，发现增加安全仪表功能回路并不是唯一一个降低风险的因子。比如建议在操作规程中增设报警人员响应事件并定期进行演练，可以提高人员的应急响应能力，从而降低报警和人员响应这一个独立保护层的失效概率，定期开展设备设施维护，提高设备设施的功能安全性，降低设备的失效概率。

LOPA分析的半定量分析，加入了固定的量的成分，数据还需要在设备全生命周期的管理中如实积累，建立全行业、全类型、分区域的设备设施失效概率库。同样，增加了安全仪表系统的企业不仅要加强安全仪表系统的管理，对于其他独立保护层的管理也需要加强，切不可顾此失彼。