楊 健

(中國石化工程建設(shè)有限公司，北京 100101)

危險(xiǎn)與可操作性分析 (HAZOP，Hazard and Operability Study)是過程系統(tǒng)(包括流程工業(yè))的危險(xiǎn)(安全)分析(PHA，Process Hazard Analysis) 中識(shí)別危險(xiǎn)發(fā)生過程的有效方法【1】；SIL用來規(guī)定分配給安全儀表系統(tǒng)的儀表安全功能的安全完整性的等級(jí)。根據(jù)國家政府部門有關(guān)文件，近年來HAZOP和SIL評(píng)估已經(jīng)成為石化裝置工程設(shè)計(jì)過程中的規(guī)定動(dòng)作。

我公司是國內(nèi)最早開展石化項(xiàng)目HAZOP和SIL評(píng)估的工程公司之一，已經(jīng)在多個(gè)項(xiàng)目中成功開展了HAZOP和SIL分級(jí)工作；隨著有關(guān)工作的不斷完善與深入，目前已延伸至成套設(shè)備的分析工作。本文將結(jié)合我公司在石化裝置成套設(shè)備HAZOP和SIL評(píng)估工作中的經(jīng)驗(yàn)，總結(jié)相應(yīng)的工作流程和關(guān)注問題，為今后工作的順利進(jìn)行提供依據(jù)。

1 HAZOP

HAZOP以引導(dǎo)詞(Guide Words)為核心，通過審查會(huì)議實(shí)現(xiàn)集體智慧，確定工藝系統(tǒng)可能發(fā)生的有意義的偏離，反向追溯導(dǎo)致偏離的特定初始事件(原因)，正向推理偏離可能導(dǎo)致的后果，包括考慮已有防護(hù)措施降低事故風(fēng)險(xiǎn)的作用，必要時(shí)按照最低合理可行(ALARP)的原則提出建議措施，進(jìn)一步降低事故風(fēng)險(xiǎn)【1】。

2013年，國家安全監(jiān)管總局同住房城鄉(xiāng)建設(shè)部聯(lián)合頒布的《關(guān)于進(jìn)一步加強(qiáng)危險(xiǎn)化學(xué)品建設(shè)項(xiàng)目安全設(shè)計(jì)管理的通知》(安監(jiān)總管三〔2013〕76號(hào))要求涉及“兩重點(diǎn)一重大”和首次工業(yè)化設(shè)計(jì)的建設(shè)項(xiàng)目，必須在基礎(chǔ)設(shè)計(jì)階段開展HAZOP分析。2014年國家安全監(jiān)管總局頒布的《關(guān)于加強(qiáng)化工安全儀表系統(tǒng)管理的指導(dǎo)意見》(安監(jiān)總管三〔2014〕116號(hào))對安全儀表系統(tǒng)的設(shè)計(jì)過程提出了相應(yīng)要求，也凸顯了進(jìn)行SIL評(píng)估的必要性和重要性。

HAZOP的分析流程見圖1。

2 成套設(shè)備

成套設(shè)備也稱包設(shè)備。對于石化裝置而言，成套設(shè)備是指為實(shí)現(xiàn)一項(xiàng)或多項(xiàng)工藝目的或參數(shù)而配置的跨專業(yè)的多個(gè)設(shè)備和元件的集成，通常由一個(gè)供應(yīng)商負(fù)責(zé)供貨并提供性能保證。石化裝置常見的成套設(shè)備包括壓縮機(jī)組、工業(yè)爐、冷箱、粒料風(fēng)送系統(tǒng)，等等。相對而言，撬裝式成套設(shè)備比較簡單，所有的設(shè)備和元件設(shè)置在一個(gè)底座上，通常整體發(fā)貨和安裝；分體式成套設(shè)備則比較復(fù)雜，設(shè)備和元件往往分別交貨和安裝且需要有機(jī)地組合為一個(gè)整體以實(shí)現(xiàn)其功能，通常涉及多個(gè)供貨和分工界面，需要大量的協(xié)調(diào)工作。

3 成套設(shè)備開展HAZOP的必要性

由于國內(nèi)石化項(xiàng)目開展HAZOP的時(shí)間并不長，目前的HAZOP工作主要集中在工藝裝置或系統(tǒng)主工藝流程方面。對于壓縮機(jī)組等成套設(shè)備而言，通常其工藝流程和配置方案在設(shè)備采購前已有既定技術(shù)要求，一般認(rèn)為在主流程HAZOP分析中可做一并考慮。但根據(jù)筆者經(jīng)驗(yàn)，由于成套設(shè)備自身由多個(gè)設(shè)備、元件和系統(tǒng)組成，工藝裝置主流程所進(jìn)行的HAZOP分析往往僅局限于其工藝系統(tǒng)部分，不足以保證其整體的安全性和可靠性。

以某大型乙烯裝置為例， 核心壓縮機(jī)在投產(chǎn)運(yùn)行初期， 因動(dòng)力中心鍋爐給水泵跳車， 導(dǎo)致超高壓蒸汽管網(wǎng)壓力迅速下降， 該壓縮機(jī)被迫緊急停車， 停車過程中出現(xiàn)壓縮機(jī)反轉(zhuǎn)導(dǎo)致密封系統(tǒng)損壞而被迫停產(chǎn)。后經(jīng)對壓縮機(jī)組全面分析并采取額外的安全防護(hù)措施后， 反轉(zhuǎn)問題得以解決。

上例說明，對于成套設(shè)備，鑒于其在石化裝置工藝流程和生產(chǎn)運(yùn)行中的關(guān)鍵性與重要性，有必要在設(shè)計(jì)過程中作為一項(xiàng)工作，進(jìn)行全方位的HAZOP，并根據(jù)分析結(jié)果采取有效措施降低事故風(fēng)險(xiǎn)，這也是確保整個(gè)裝置安全與可靠的必要手段。

4 成套設(shè)備HAZOP要點(diǎn)

首先，成套設(shè)備采購招標(biāo)或詢價(jià)階段，需要明確HAZOP的相關(guān)要求，包括HAZOP工作范圍和所需文件資料，會(huì)議時(shí)間、地點(diǎn)和供應(yīng)商參加人員的要求和工作職責(zé)，這樣可以使供應(yīng)商了解HAZOP的要求，在報(bào)價(jià)中做出相應(yīng)的考慮。

其次，在成套設(shè)備設(shè)計(jì)開工會(huì)期間，需要將HAZOP納入工作節(jié)點(diǎn)和計(jì)劃，明確具體會(huì)議日期和日程安排。通常是在供應(yīng)商提交初版P&ID后1～2周進(jìn)行HAZOP，這樣可以保證工作的高效銜接，有利于成套設(shè)備的設(shè)計(jì)、制造和交付按計(jì)劃完成。

在開展成套設(shè)備HAZOP時(shí)，需要先將復(fù)雜的構(gòu)成系統(tǒng)分解成若干“子系統(tǒng)”，每個(gè)子系統(tǒng)稱作一個(gè)“節(jié)點(diǎn)”。這樣做可以將復(fù)雜的系統(tǒng)簡化，有助于分析團(tuán)隊(duì)集中精力參與討論，同時(shí)也可以充分解釋各節(jié)點(diǎn)的設(shè)計(jì)意圖。通常節(jié)點(diǎn)劃分以成套設(shè)備的構(gòu)成系統(tǒng)(例如，對于大型壓縮機(jī)組包括氣路系統(tǒng)、蒸汽驅(qū)動(dòng)和凝液回收系統(tǒng)、潤滑油系統(tǒng)、干氣密封系統(tǒng)，等等)為中心，將管線按照一定的規(guī)則劃入不同的節(jié)點(diǎn)，設(shè)備的附件可劃入同一節(jié)點(diǎn)，以達(dá)到一個(gè)完整的工藝目的。節(jié)點(diǎn)劃分沒有對與錯(cuò)之說，只有相對合理性，以及使分析清晰、明了。一個(gè)好的節(jié)點(diǎn)劃分建立在對成套設(shè)備系統(tǒng)構(gòu)成及功能關(guān)聯(lián)的充分理解上, 也取決于P&ID對子系統(tǒng)的劃分。

HAZOP是一個(gè)尋找工藝參數(shù)發(fā)生的偏離、偏離發(fā)生的原因、偏離導(dǎo)致后果以及安全措施的過程。偏離是指對所期望設(shè)計(jì)意圖的偏離，比如壓縮機(jī)出口壓力升高。分析偏離時(shí)，不能只簡單寫壓力高，而應(yīng)該加上設(shè)備名稱和位號(hào)，比如某容器壓力高。原因是指導(dǎo)致偏離(影響)的事件或條件。分析原因時(shí)，一般只分析到初始原因[設(shè)備失效(比如調(diào)節(jié)閥故障)、人員因素(比如誤操作)、環(huán)境因素(比如環(huán)境溫度高)]，必要時(shí)再深入一步到基本原因。后果是指不考慮安全防護(hù)措施的情況下，偏離所導(dǎo)致的結(jié)果(不利后果)。在多個(gè)項(xiàng)目的HAZOP分析中，小組成員經(jīng)常會(huì)考慮采取安全防護(hù)措施后的后果，這是不正確的，這樣不僅導(dǎo)致風(fēng)險(xiǎn)定級(jí)不正確，也會(huì)影響對是否有足夠的安全措施的判斷。安全防護(hù)措施分為現(xiàn)有安全措施(Safeguards)和建議措施(Recommendation)?，F(xiàn)有安全措施是指當(dāng)前設(shè)計(jì)已經(jīng)設(shè)立的設(shè)施或管理實(shí)踐中已經(jīng)存在的安全措施。它是防止事故發(fā)生或減緩事故后果的工程措施或管理措施。建議措施是指HAZOP分析過程中，如果現(xiàn)有安全措施不足以將事故劇情的風(fēng)險(xiǎn)降低到可以接受的水平時(shí)，所提議的消除或控制危險(xiǎn)的措施。根據(jù)圖2 的洋蔥模型，安全防護(hù)措施包括工藝設(shè)計(jì)方面的措施、關(guān)鍵報(bào)警和操作人員干預(yù)、安全儀表功能(SIF)、物理保護(hù)(泄壓裝置)、泄漏后的物理保護(hù)(圍堤)、工廠級(jí)應(yīng)急響應(yīng)和社會(huì)應(yīng)急響應(yīng)。HAZOP分析過程中討論的安全防護(hù)措施不包括泄漏后的物理保護(hù)(圍堤)、工廠級(jí)應(yīng)急響應(yīng)、社會(huì)應(yīng)急響應(yīng)這類減輕事故后果的措施，只關(guān)注降低事故發(fā)生頻率的措施。

前述內(nèi)容是對成套設(shè)備HAZOP方法的簡要介紹。而HAZOP作為一項(xiàng)分析活動(dòng)，包括活動(dòng)策劃、準(zhǔn)備、進(jìn)行和總結(jié)等內(nèi)容。一個(gè)完整的HAZOP分析活動(dòng)流程見圖3。在發(fā)起階段需要界定HAZOP的分析范圍、組建分析團(tuán)隊(duì)、明確參會(huì)各方的工作職責(zé)等。在收到分析圖紙后需準(zhǔn)備分析節(jié)點(diǎn)，并根據(jù)劃分結(jié)果制訂會(huì)議計(jì)劃、研究項(xiàng)目或業(yè)主制定的風(fēng)險(xiǎn)矩陣。HAZOP分析時(shí)按照節(jié)點(diǎn)劃分順序進(jìn)行分析。分析會(huì)結(jié)束后，需整理和發(fā)布HAZOP分析報(bào)告，并由相關(guān)人員關(guān)閉HAZOP提出的建議措施。具體的HAZOP的分析過程和相關(guān)規(guī)定可查閱文獻(xiàn)【2】。

需要進(jìn)一步指出的是，HAZOP是一項(xiàng)“頭腦風(fēng)暴”分析活動(dòng)，是以成套設(shè)備廠商資料和相關(guān)文件為輸入文件的。因此，廠商資料的內(nèi)容深度和完備情況是HAZOP能否達(dá)到預(yù)期目的和效果的關(guān)鍵因素，需要在準(zhǔn)備階段認(rèn)真加以研判。此外，供應(yīng)商等參與HAZOP人員的對設(shè)備構(gòu)成系統(tǒng)的認(rèn)知程度、掌握能力，也是影響HAZOP效果的重要因素。

圖3 成套設(shè)備HAZOP分析活動(dòng)流程

5 成套設(shè)備SIL評(píng)估

SIL評(píng)估分為SIL分級(jí)和SIL驗(yàn)證。SIL定義為用來規(guī)定分配給安全儀表系統(tǒng)的儀表安全功能的安全完整性要求的離散等級(jí)(4個(gè)等級(jí)中的一個(gè)，但應(yīng)盡量避免使用SIL4)【3】。SIL分級(jí)是確定安全儀表功能(SIF)的SIL的過程。SIL驗(yàn)證是在SIF確定了SIL等級(jí)并根據(jù)SIL等級(jí)完成SIF的具體設(shè)計(jì)與元件采購之后確定SIF是否滿足SIL等級(jí)的要求的。對于石化裝置來說，成套設(shè)備通常在工藝流程或?qū)崿F(xiàn)工藝目的和功能方面處于核心或重要位置, 包含大量的安全儀表，對于安全生產(chǎn)和穩(wěn)定運(yùn)行十分關(guān)鍵, 有必要開展SIL評(píng)估工作。

5.1 SIL分級(jí)

獨(dú)立保護(hù)層分析(LOPA)和風(fēng)險(xiǎn)矩陣法是兩種常見的SIL分級(jí)方法，其中LOPA是目前國內(nèi)項(xiàng)目使用最多的方法，而PETRONAS和IRPC等國外業(yè)主采用風(fēng)險(xiǎn)矩陣法。本文僅介紹通過LOPA完成SIL分級(jí)的過程。

圖4的瑞士奶酪模型中，每一片奶酪相當(dāng)于一個(gè)安全防護(hù)措施，當(dāng)安全防護(hù)措施被各個(gè)擊破(即失效)時(shí)，會(huì)導(dǎo)致事故的發(fā)生，但是只要有一層保護(hù)措施有效，事故就不會(huì)發(fā)生。

圖4 瑞士奶酪模型

瑞士奶酪模型中的每一層相當(dāng)于1個(gè)獨(dú)立保護(hù)層(IPL)。獨(dú)立保護(hù)層必須同時(shí)具有有效性、獨(dú)立性、 可檢查性這3個(gè)性質(zhì)【4】。有效性是指多個(gè)獨(dú)立保護(hù)層中至少1個(gè)按照設(shè)計(jì)意圖起作用， 便可以避免事故的發(fā)生， 如圖4中危害1擊中第3層奶酪， 但是擊中的部位不是奶酪的孔洞， 所以事故沒有發(fā)生。獨(dú)立性是指獨(dú)立保護(hù)層不受事故發(fā)生原因的影響， 同時(shí)也不受其他獨(dú)立保護(hù)層失效的影響。可檢查性是指作為獨(dú)立保護(hù)層的設(shè)備、 系統(tǒng)或管理措施， 可以對其有效性進(jìn)行審查。

LOPA考慮的獨(dú)立保護(hù)層是指圖2洋蔥模型中的工藝設(shè)計(jì)方面的措施、關(guān)鍵報(bào)警和操作人員干預(yù)、安全儀表功能(SIF)和物理保護(hù)(泄壓裝置)。這些措施用于降低事故發(fā)生的頻率，從而使事故風(fēng)險(xiǎn)處于風(fēng)險(xiǎn)可接受水平。泄漏后的物理保護(hù)(圍堤)、工廠級(jí)應(yīng)急響應(yīng)、社會(huì)應(yīng)急響應(yīng)是減輕事故后果的措施，不能降低事故發(fā)生的頻率，LOPA 分析時(shí)通常不考慮。

LOPA的分析流程簡述如下：

1) LOPA的輸入是HAZOP。分析前需篩選HAZOP記錄表，保留安全措施中提到SIF的分析。

2) 確定初始事件及初始事件的發(fā)生頻率。初始事件是HAZOP記錄表中的原因，文獻(xiàn)【5】列出了常見初始原因的發(fā)生頻率。

3) 根據(jù)獨(dú)立保護(hù)層的有效性、獨(dú)立性和可檢查性，判斷HAZOP中識(shí)別的安全措施(不包括SIF)是否屬于獨(dú)立保護(hù)層。

4) 確定各獨(dú)立保護(hù)層的失效概率。不同的獨(dú)立保護(hù)層有不同的失效概率，文獻(xiàn)【5】列出了安全閥、BPCS等常見獨(dú)立保護(hù)層的失效概率。

5) 按照下式計(jì)算不考慮SIF時(shí)的事故發(fā)生頻率f(事故場景后果)。

f(事故場景后果)=f(初始事件)×f(保護(hù)層失效)

式中:f(初始事件)——步驟2)中的初始事件的頻率;

f(保護(hù)層失效)——步驟4)中獨(dú)立保護(hù)層的失效概率。

6) 將步驟5)中計(jì)算得到的事故發(fā)生頻率與可接受風(fēng)險(xiǎn)進(jìn)行比較，相差的頻率便是SIF對應(yīng)的SIL等級(jí)。SIL分為4級(jí)(見表1)。SIL4是安全完整性的最高等級(jí)，SIL1為最低等級(jí)。石油化工工廠或裝置的SIL一般情況最高為SIL 3【6】。SIL是SIF失效概率的體現(xiàn)，不同的失效概率表示不同的SIL，比如SIL1表示SIF的失效概率在10-2～10-1之間。如果得到的事故發(fā)生頻率是10-4，而目標(biāo)風(fēng)險(xiǎn)是10-5，兩者之間相差10-1，那么SIF的SIL為SIL1。

表1 SIL與平均需求失效概率的關(guān)系(低需求模式)

LOPA同HAZOP一樣，也是一次分析活動(dòng)，需要組織分析討論會(huì)。在會(huì)議發(fā)起階段需要界定LOPA的分析范圍、組建分析團(tuán)隊(duì)、明確參會(huì)各方的工作職責(zé)等工作。在收到分析圖紙和HAZOP報(bào)告后制訂會(huì)議計(jì)劃、研究業(yè)主的風(fēng)險(xiǎn)矩陣。分析會(huì)議階段按照前述的分析步驟進(jìn)行LOPA，確定SIF的SIL。分析會(huì)結(jié)束后，需整理和發(fā)布SIL分級(jí)報(bào)告。具體的LOPA的分析過程和相關(guān)規(guī)定可查閱文獻(xiàn)【5】。

5.2 SIL驗(yàn)證

SIL驗(yàn)證的步驟見圖5。

完成SIL分級(jí)和SIF的設(shè)計(jì)，需要進(jìn)行SIL驗(yàn)證，以確認(rèn)SIF的設(shè)計(jì)是否滿足SIL等級(jí)的要求。

SIL驗(yàn)證應(yīng)首先確定SIF中傳感器、邏輯控制器(PLC)和執(zhí)行機(jī)構(gòu)這3部分涉及哪些元件，并確定各元件的冗余關(guān)系。

然后，確定各元件的失效數(shù)據(jù)、假設(shè)的檢驗(yàn)測試周期(T1)和平均恢復(fù)時(shí)間(MTTR)。元件的失效數(shù)據(jù)可查閱OREDA數(shù)據(jù)庫或由制造商、業(yè)主提供，并且應(yīng)按檢測到的安全失效率(λSD,單位：h-1)、未檢測到的安全失效率(λSU，單位：h-1)、檢測到的危險(xiǎn)失效率(λDD，單位：h-1)、未檢測到的危險(xiǎn)失效率(λDU，單位：h-1)對失效數(shù)據(jù)進(jìn)行分類。T1和MTTR應(yīng)根據(jù)裝置的運(yùn)行情況確定。

最后，計(jì)算元件和回路的PFDavg，并根據(jù)計(jì)算結(jié)果判斷是否需要采取改進(jìn)措施。目前計(jì)算PFDavg的方法很多，IEC 61508提供了3種比較常用的技術(shù)，即簡易公式法、故障樹法和馬爾科夫模型法，其中簡易公式法和馬爾科夫模型法應(yīng)用較多。對于SIL1的SIF，可以采用簡易公式進(jìn)行計(jì)算；但是對于SIL等級(jí)要求高的工況，因其回路結(jié)構(gòu)復(fù)雜，SIF的失效狀態(tài)很多，采用馬爾科夫模型法計(jì)算更加準(zhǔn)確。具體可參見文獻(xiàn)【7】。

圖5 SIL驗(yàn)證的步驟

6 結(jié)論

本文介紹了HAZOP和SIL評(píng)估在石化裝置成套設(shè)備設(shè)計(jì)中的運(yùn)用，梳理和總結(jié)了危險(xiǎn)與可操作性分析(HAZOP)以及安全完整性等級(jí)(SIL)評(píng)估的流程和關(guān)鍵點(diǎn)，并從中得到以下結(jié)論：

1) HAZOP和SIL評(píng)估對于石化裝置成套設(shè)備十分必要；

2) 開展順序是HAZOP完成后進(jìn)行SIL分級(jí)，并根據(jù)分級(jí)開展SIL驗(yàn)證工作；

3) 成套設(shè)備HAZOP和SIL評(píng)估的目的是通過設(shè)計(jì)工作將事故風(fēng)險(xiǎn)控制在風(fēng)險(xiǎn)可接受水平，但不代表完成了HAZOP和SIL評(píng)估可完全避免事故的發(fā)生；

4) 成套設(shè)備HAZOP和SIL評(píng)估是“頭腦風(fēng)暴”的分析活動(dòng)，文件資料的完備程度，分析團(tuán)隊(duì)的參與程度、專業(yè)程度、認(rèn)知程度、充足的準(zhǔn)備和分析時(shí)間直接影響分析質(zhì)量和效果。