关于从LOPA分析转向定量领结分析的探讨

李丽娟,田明,徐志杰,刘元,马文耀

(1. 国家能源集团煤焦化有限责任公司,内蒙古 乌海 016000;2. 国家能源集团煤焦化有限责任公司西来峰分公司,内蒙古 乌海 016000;3. Kenexis咨询公司,天津 300270;4. 国能乌海硝铵有限责任公司,内蒙古 乌海 016000;5. 中国石油化工股份有限公司 北京燕山分公司,北京 102500)

目前,安全工程师使用过程危害分析(PHA)技术(如HAZOP分析),对化工设备存有的危害进行定性评估,即使效果良好,但HAZOP分析并不能满足所有要求。对于罕见事件和高后果事件,人为判断往往不足以理解风险,故定性评估就会显得力不从心。此外,某些技术安全设计工作需要定量结果,例如“这个联锁需要什么样的冗余?”或者“多久测试一次安全措施?”,为了解决该类问题,安全工程师开发了一种技术,最终被称作保护层分析(LOPA)[1]。几十年来,LOPA分析为技术安全领域提供了良好的服务,然而LOPA分析固有的一些简化导致了不恰当结论的产生,或无法评估某些常见安全措施的有效性。同时,LOPA分析的数字化“电子表格”性质还削弱了许多定性和视觉思考者传授知识和经验的能力,这反过来又会导致LOPA分析越来越缺乏团队合作,因为损失预防工程师往往只是简单地应用表格中的数字来“计算”结果,而不是进行全面的团队讨论。为了解决该类缺陷,从业人员对LOPA分析进行了相应扩展和修改,并在其原始形式的基础上增加了额外属性。

一种已经存在数十年且以风险沟通和理解技术为基础的技术,但直到最近才开始受到重视,这种技术就是领结图[2]。领结图主要被用作可视化和沟通工具,而不是作为定量决策和设计工具,其主要目的是将重大危险场景可视化。在领结图中,左侧表示多个不同的原因(称为威胁),每个原因都可能有预防性安全措施(称为屏障);中间是被预防的危险事件,也被称为“顶层事件”,这在工业流程中,通常指工艺过程中发生的围堵失效(泄漏),该事件是领结图中的“结”;右侧表示由于危险场景发生可能导致的多种不同后果(单独或组合),每种后果都有一种或多种减缓性安全措施(也称为屏障)。领结图的典型结构如图1所示。

图1 领结图的典型结构示意

图1通常会进行扩展,目的是包含与“屏障”(即安全措施)潜在漏洞有关的附加信息,这些漏洞被称为退化因素,而控制或防止退化因素发生的相关机制则称为退化控制。包含典型退化因素和控制措施的领结图如图2所示。

图2 包含典型退化因素和控制措施的领结图示意

目前,领结图主要用于更好地理解和管理特定的危险场景,通常是通过审查HAZOP和LOPA等常用分析方法来识别需要特别关注的危险场景(具有严重后果),然后将来自HAZOP分析的多个偏离和场景的信息结合起来,以可视化的领结图格式重新绘制。最终的领结图可用于向各利益相关方(管理层、一般员工和社区)传达危险场景的原因、潜在后果的范围以及为防止(或减缓)后果所采取的安全措施。该工具还可以协助管理,将各种安全措施(屏障)的设计、管理和维护分配给特定的人员或团队,以便持续审查安全措施的存在和性能。然而,对于下一代风险分析,上述领结图会引入数字,以便在设计安全措施时能够实现企业的可容忍风险目标。

1 LOPA的不足与演变

LOPA是一种简化工具,用于分析由HAZOP分析中偏离的原因所导致的“因果对”。LOPA分析通过计算事件的预计发生频率,并与考虑后果严重程度的可容忍频率进行比较,对单一原因和相关单一后果的风险进行评估,以确定其可容忍度。在评估过程中,考虑了原因(初始事件)的频率、安全措施(独立保护层)的有利影响、允许初始事件发生条件的概率(使能条件),以及导致安全后果的条件的概率(例如易燃气体释放物点火的概率,也称为条件修正因子),所有以上信息将以单一因果对LOPA表格形式进行记录。然而,该种繁琐的表格形式很快会被淘汰,取而代之的是更加电子化的表格文档,这样的文档能够以更紧凑和可操作的方式记录多个场景,通过单行的形式呈现更多的信息。

随后,主要以LOPA分析为基础来设计安全仪表系统(SIS)的人员,发现仅使用单一的“因果对”无法正确评估风险,这是因为安全仪表功能(SIF)所涵盖的场景通常涉及多个原因,需要将这些原因的频率相加,以了解整体风险并确定SIF的风险降低要求。例如,导致机泵密封失效的低流量场景可能存在多个根本原因,“低流量停泵”功能不仅可以预防上述场景,还必须应对其他场景,从而大幅提高了风险降低的能力。因此,LOPA从业人员对方法进行了修改,考虑到场景后果的多个原因,创建了一个名为“后果索引”的文件,列出导致特定后果的多个原因,而HAZOP分析通常在文件中列出单一原因的多个后果(即“原因索引”)。

2 LOPA与定量领结的数学基础

针对上述情况,Marszal先生的《系统安全完整性等级选择》[3]中详细解释了风险分析计算中使用的概率结果,包括假设和简化方法。例如,通常采用的罕见事件近似概率加法,最终事件的概率和频率通过它们的逻辑关系进行组合,具体来说是逻辑“或”或逻辑“与”。对于传统LOPA计算中后果发生频率的特定情况,由于场景是逻辑“与”关系,因此使用概率乘法来组合事件。这意味着只有在初始事件发生且所有使能事件为真,且所有条件修正因子为真,同时所有独立保护层失效时,后果才会发生。当将多个场景的频率组合起来计算后果的总体频率时,可以使用概率加法,此时场景是逻辑“或”关系。这意味着如果第1个原因发生,或者第2个原因发生,或者第3个原因发生,后果就会发生。包含多个原因的LOPA报告电子表格样式见表1所列,通过扩展表格式的LOPA工作表,可以实现多行表示单一后果的多个原因。同时,减缓事件可能性(MEL)频率是基于单个原因及其相关安全措施的频率之和。

表1 流量偏低包含多个原因的LOPA报告电子表格样式

表1中包含的逻辑和数学运算也可以在定量领结图中进行计算和显示,如图3所示。

图3 场景多个原因的定量领结分析示意

在定量领结中,使用初始事件的频率与各预防性安全措施的失效概率相乘,计算并显示初始事件对顶层事件频率的贡献。每个初始事件的频率在领结图的左侧,沿着通往顶层事件的各个分支上显示,通过概率加法,将所有单个初始事件分支的频率相加,得出顶层事件发生的总频率,并在领结图的下方显示出来。与传统的保护层分析相同,所有计算都按照相同的方式进行,但以领结图的形式呈现,可以通过可视化更好地理解。

3 统一危害评估

统一危害评估是定量领结分析中的术语,与传统的定性领结图的术语不同。本文和定量领结分析中使用的术语源自Marszal先生在“统一危害评估—以统一结构整合HAZOP分析,LOPA分析,危害登记和领结分析”[4]中提出的概念。统一危害评估假设所有风险分析,包括HAZOP分析,LOPA分析,领结图和危害登记等,都包含相同数据集的子集,但会以略有不同的方式呈现。通过使用统一的术语和一致的数据结构,可以更好地满足行业需求,实现数据的便捷移动和以不同格式呈现数据的目标。在统一危害评估中,使用的术语与LOPA分析最为相似,原因被称为初始事件,而不是威胁;预防性安全措施和减缓性安全措施的术语是安全措施,而不是屏障;独立保护层、条件修正因子和初始事件是特定类型的安全措施,它们记录在安全措施的属性中,与传统的领结分析一致;后果的名称被保留作为顶层事件所造成伤害的最终描述。

4 减缓性安全措施的定量领结处理

图3展示的领结图是传统LOPA的可视化代表,但定量领结图的主要优势在于相对于LOPA分析,它更好地处理减缓性安全措施,并同时考虑存在条件修正因子的场景。举例来说,图3所示的液池火灾后果取决于泄漏的烃类液体是否由于点火控制程序失效而引发着火,这种情况可以通过定量领结图的方式呈现。条件修正因子在定量领结中作为减缓性安全措施如图4所示。

图4 条件修正因子在定量领结中作为减缓性安全措施示意

条件修正因子属于减缓性安全措施,因为它们能够在围堵失效发生后对后果进行修正,在流程工业定量领结分析中,围堵失效事故通常成为领结图中的顶层事件或结,所以条件修正因子在领结图中显示在顶层事件的右侧。从定量的角度来看,后果的频率是通过将顶层事件的频率乘以与结果相关的所有减缓性安全措施的条件概率来计算的,由于情况的逻辑“与”性质,因此同样采用概率乘法。与LOPA相同,可以为后果分配一个可容忍频率,即目标减缓减缓事件可能性。如图4所示,计算出的后果频率(3.60×10-3)大于TMEL值(1.00×10-4)。因此,该后果的频率是不可容忍的,因此在图4中标记为“红灯”。

尽管定量领结图有助于更清晰地展示点火条件修正因子概率在事件序列中的位置,但最终条件修正因子的使用也可以在传统LOPA中进行建模。然而,条件修正因子只能在其有效的情况下使用,即点火控制程序正常运行且未发生点火,因此没有安全后果。如果有效的条件修正因子不导致任何后果,则可以在LOPA中以与预防性安全措施完全相同的方式处理条件修正因子。

如果无论条件修正因子是否有效,后果都会发生呢?考虑将图4中的池火场景扩展到以下情况： 即如果立即发生点火,液池火灾将发生,并产生与池火效应相关的后果;如果没有点火,假设含有酸性烃类物质的液池将形成少量有毒蒸气云,这可能导致机泵周围区域的人员伤亡。对于这种新场景,无论点火与否,都会产生安全后果,需要评估这两种后果的可容忍性,以便做出有关可容忍风险的决策。这种多重后果分析超出了传统LOPA场景的能力范围,如果使用传统的LOPA进行评估,则需要创建两个独立的场景—每个后果对应一个场景—然后手动将结果组合在一起。另一方面,定量领结图可以在单个场景中有效地处理这种情况,条件修正因子成功和失败的后果如图5所示。

5 场景多重后果的定量领结处理

定量领结分析的优势在于能够跟踪单一场景中的多个后果,并应用于传统LOPA之外的重要场景和重要安全措施中。在定量领结中,为每个后果定义了风险目标以及相关的可容忍性(如TMEL);然后根据前文所述的方法计算每个后果的频率,将后果目标的风险可容忍度与该频率进行比较,以确定该后果的风险是否可以容忍。只有当所有后果的频率都小于为每个单独后果分配的可容忍频率时,整个场景(包括所有多重后果)才被视为可容忍。尽管图5展示了将每个后果的TMEL与计算得出的每个后果的估计频率进行比较的方法,但该方法可以进一步扩展为利用定量后果表示。例如,潜在的生命损失(PLL),该参数允许对某一情景可能导致的所有后果的危害进行汇总。

定量领结分析能够有效地扩展LOPA分析过程,以应对可能产生多种后果并需要进行跟踪的场景,该特性使得对流程工业中常见的减缓性防护措施(如火灾和气体检测与抑制系统)进行有效分析成为可能[5]。相比之下,使用LOPA分析无法有效考虑减缓性措施,例如火灾探测系统探测到机泵处发生火灾时启动雨淋系统的情况,原因在于LOPA分析的假设(如果安全措施有效,则不会产生后果),然而上述例子中,即使雨淋系统成功运行,仍有可能存在一种不可忽视的后果。在LOPA分析中,面对这类安全措施时,分析人员要么完全忽略安全措施,因为无论安全措施是否有效,后果都会发生;要么继续错误地假设,即如果安全措施功能正常,就不会产生后果。本文提供的示例是储罐溢流场景,其中围堰作为安全措施。当围堰作为LOPA分析的安全措施时,需要考虑围堰的失效概率。如果围堰失效,则会形成一个巨大的非封闭液池,有可能导致非常严重的后果;然而,即使围堰没有失效,围堰内仍会形成一个较小的液池,其中的潜在后果(如闪火和池火)不能被忽视。这两种后果都需要被考虑,并且必须确保这两种后果的频率都在可容忍范围内,以确保总体场景的风险可以容忍。

6 火灾及气体监测报警系统的定量领结处理

火灾及气体监测报警系统(FGS)是常见的减缓性安全措施,但也是其中最难进行风险评估的措施之一。首先,FGS是减缓性的,因此如果它们失效,将产生严重的后果;即使它们正常运行,仍可能产生较小的后果。更加复杂的情况是： 从设备的角度来看,FGS可能完全正常,但仍可能无法有效发挥作用。评估FGS功能的有效性是一种多参数计算,在ISA TR 84.00.07： 2018《火灾、可燃气体和有毒气体系统有效性评估指南》[6]中对其进行了探讨和定义,该指南提供了计算FGS有效性的三参数方法,如图6所示。

如图6所示,定义减缓性安全措施(如FGS)有效性的参数有3个,而定义预防性安全措施有效性的参数却只有物理设备要求时失效概率。这3个减缓性安全措施的参数包括设备要求时失效概率,探测覆盖率,减缓有效性。

以探测某盛装液化石油气(LPG)的压力储罐附近的火灾为例,假设该储罐下方发生了未减缓的大火,并持续了足够长的时间;结果可能是沸腾液体扩展蒸气云爆炸(BLEVE),并伴随着火球的产生。在这种情况下,FGS起着至关重要的作用,它能够检测到火灾的发生并立即启动雨淋系统,通过冷却储罐表面来预防BLEVE事件的发生。

FGS有效性的第一个参数是设备本身发生故障的概率。换句话说,如果火灾探测器或雨淋设备发生故障,雨淋系统便无法启动,可能导致最坏的后果发生;然而,即使设备正常运行,也不能完全避免后果。第二个参数是FGS的覆盖率。在火灾探测系统中,覆盖率指的是探测器能够准确探测到火灾的概率,为确保探测器能够准确“看到”火源,必须正确对准火源,并且火源不能被设备或管道阻挡。为了确定火灾探测器和气体探测器阵列的覆盖范围,通常会使用复杂的计算工具,这些工具考虑到探测器的“视锥”以及设备三维模型中的视线障碍物,工具评估在给定设计基准火灾规模和所定义的火灾探测器阵列情况下,覆盖范围内包含火灾的体积所占比例。第三个参数是减缓有效性,它实际上是所采取的减缓措施能够预防后果发生的概率。在该示例中,即使火灾探测器能够探测到火灾并有效触发雨淋系统,雨淋仍然有可能不足以阻止BLEVE事件的发生。因此,类似FGS这样的减缓保护层的有效性概率比简单的失效概率要复杂得多,并且需要更多参数来描述。

FGS性能要求的分析确实变得更加复杂。预测初始事件或工艺设备自行发生围堵失效的机制既困难又容易出错,由于缺乏对可能出错情况的想象力,往往无法满足要求。与试图预测泄漏模式及其相关频率不同,FGS考虑的是基于各类工艺设备的历史泄漏率来确定初始事件频率,该方法与许多其他定量风险分析过程中常用的方法类似。初始事件泄漏率仅根据设备的“部件数量”和孔尺寸分布进行量化,考虑了这些概念,FGS性能要求的分析步骤如下： 首先,依据历史泄漏率数据量化“LPG存储设备泄漏”的初始事件频率;其次,在确定FGS的有效性时,需要考虑设备失效的概率,同时还要考虑探测器覆盖率和减缓效果;最后,考虑场景后果,包括FGS无法运行时和FGS有效运行时的所有后果。只有当证明与所有后果相关的总体风险是可接受的时,整个场景才能被视为可接受,并且可以确定FGS设备的性能参数,包括失效概率和探测器覆盖率。火灾探测和雨淋功能的定量领结分析如图7所示。

图7 火灾探测和雨淋功能的定量领结分析示意

图7中的定量领结图表明可能出现的三种后果： 第一种后果是释放物未点燃的情况,并且不会造成重大安全后果,同时财务(资产)和环境后果也很低;第二种后果代表释放物点燃的情况,但火灾探测系统成功激活,且雨淋系统能够保持容器冷却并防止BLEVE/火球发生,安全措施的有效性是设备的失效概率、探测覆盖率和减缓有效性的组合;最后一种后果是FGS发生故障,导致BLEVE/火球,预计除人员伤亡外,至少有1人死亡,或“高”后果。图7中领结分析的一个有趣结果是,即使更严重的BLEVE/火球后果可以容忍(例如,TMEL<1.00×10-4),但液池火灾的后果却为不可容忍。LOPA无法得出这样的结论,但定量领结分析却可以,这是因为该方法能够跟踪减缓性安全措施失效和发挥作用时的后果。

7 结束语

通过本文的示例和讨论所示,定量领结分析为LOPA提供了有价值的扩展,同时保留了其相对于全面定量风险分析更简化的分析能力。与单一原因单一后果的LOPA不同,定量领结分析可以综合考虑导致围堵失效事件的多种原因的风险,而不是一次只关注一个原因,从而提供更准确的整体风险评估。定量领结分析方法允许列出多种后果并分别进行风险评估,与传统的LOPA方法相比具有更灵活的能力。在定量领结分析中,可以单独计算和评估每种后果的频率,并确定风险的可容忍度;只有当某个场景的所有后果的风险都可容忍时,整个场景才被视为可容忍。这种能力评估多种后果的特性还使得对以前被忽视或评估不准确的后果的减缓措施有效性进行恰当评估成为可能,通过在单个定量领结中定义多种后果,可以定义出针对后果减缓措施有效的情况以及安全措施失效的情况下的另一种后果。这种方法使得火灾和气体检测及抑制系统等减缓防护措施的设计者能够准确确定系统的全套性能要求。