任超群，都 亮，劉德宇，張國(guó)健，靳江紅，李 粵

(1.海南大學(xué) 機(jī)電工程學(xué)院，海南 ?？?570228； 2.中國(guó)特種設(shè)備檢測(cè)研究院，北京 100029；3.海南省鍋爐壓力容器和特種設(shè)備檢驗(yàn)所，海南 ?？?570203； 4.北京市勞動(dòng)保護(hù)科學(xué)研究所，北京 100054)

0 引言

保護(hù)層分析(Layers of Protection Analysis，LOPA)是1種分析和評(píng)價(jià)風(fēng)險(xiǎn)的半定量工具。1個(gè)完整的化學(xué)工藝過(guò)程應(yīng)包含多種保護(hù)層，如本質(zhì)安全設(shè)計(jì)(ISD)、基本工藝過(guò)程控制(BPCS)、安全儀表系統(tǒng)(SIF)、物理防護(hù)、泄漏后防護(hù)、人為措施干預(yù)等。這些防護(hù)措施猶如“洋蔥”一般將化學(xué)工藝過(guò)程層層保護(hù)起來(lái)，通常情況下其中任何1種保護(hù)措施生效，即可保護(hù)工藝系統(tǒng)免遭事故。某種情形可能需要1個(gè)或多個(gè)保護(hù)層，其主要取決于過(guò)程的復(fù)雜程度和事故的嚴(yán)重性。在LOPA中，通常認(rèn)為沒(méi)有永久有效的保護(hù)措施，所有安全防護(hù)系統(tǒng)都存在失效的可能性。李娜等[1-2]介紹保護(hù)層分析的概念并使用SIL分析技術(shù)對(duì)煉化企業(yè)在役裝置進(jìn)行實(shí)用分析；陶冶等[3]引用削減系數(shù)對(duì)LOPA計(jì)算方法進(jìn)行改進(jìn)；閆放等[4]等開(kāi)發(fā)(SPA-LOPA)方法，將集對(duì)分析與傳統(tǒng)的LOPA相結(jié)合，提升評(píng)價(jià)質(zhì)量；羅偉等[5]結(jié)合因果圖、CCA，LOPA方法，使安全防護(hù)系統(tǒng)分析形成閉合的回路；靳江紅等[6]針對(duì)LOPA的定量問(wèn)題建立數(shù)學(xué)模型，并分析低要求模式與高要求模式的使用條件；陳碩等[7]、王起全等[8]、李慧領(lǐng)等[9]應(yīng)用HAZOP與LOPA對(duì)各種化工設(shè)備進(jìn)行安全防護(hù)系統(tǒng)的分析。以上分析均只針對(duì)單一初始事件引發(fā)的事故后果頻率，未考慮多重初始事件對(duì)后果發(fā)生頻率造成的影響。對(duì)多場(chǎng)景下的保護(hù)層進(jìn)行分析，有利于減少后果發(fā)生頻率計(jì)算時(shí)產(chǎn)生的誤差，增加安全系數(shù)。

美國(guó)化工安全過(guò)程中心[10]出版的保護(hù)層分析中提出將計(jì)算方法分為高要求模式及低要求模式2種。然而對(duì)于復(fù)雜的工藝流程，設(shè)備發(fā)生某種不可接受的風(fēng)險(xiǎn)(如爆炸、中毒)往往有多種觸發(fā)事件，在不考慮安全防護(hù)措施的情況下，事故發(fā)生頻率應(yīng)為所有獨(dú)立不相關(guān)初始事件的頻率總和。實(shí)際應(yīng)用中，往往存在多個(gè)初始事件共用同一保護(hù)層(IPL)的情況，如果仍采用求和法難免會(huì)使結(jié)果出現(xiàn)誤差。因此本文就多重初始事件對(duì)事故后果頻率產(chǎn)生的影響進(jìn)行分析，研究最優(yōu)的定量計(jì)算方法，為L(zhǎng)OPA應(yīng)用提供參考。

1 LOPA的定量計(jì)算

LOPA根據(jù)事故場(chǎng)景的發(fā)生概率及事故嚴(yán)重程度來(lái)預(yù)測(cè)造成的后果。事故場(chǎng)景從初始事件發(fā)展到事故后果是1個(gè)復(fù)雜的過(guò)程，事故場(chǎng)景需要考慮的主要因素如圖1所示，包括原因、后果、使能條件、時(shí)間序列和獨(dú)立保護(hù)層(IPLs)等。針對(duì)初始事件，分析現(xiàn)有安全防護(hù)措施是否起作用，如果未發(fā)現(xiàn)獨(dú)立保護(hù)層或現(xiàn)有保護(hù)層不足以保障安全生產(chǎn)，則根據(jù)風(fēng)險(xiǎn)矩陣判定發(fā)生事故的風(fēng)險(xiǎn)是否可以接受，對(duì)不可接受的生產(chǎn)安全事故所引發(fā)的后果提出相應(yīng)的建議措施[11-13]。

圖1 事故場(chǎng)景的要素Fig.1 Elements of accident scenario

在實(shí)際應(yīng)用中，假設(shè)發(fā)生初始事件d，保護(hù)層IPL-1,IPL-2,…，IPL-n互不相關(guān)，則發(fā)生后果E的概率如式(1)所示：

(1)

式中：P(E)為后果發(fā)生的概率;P(d)為初始事件發(fā)生的概率;P(F1)為IPL-1失效導(dǎo)致事件F1發(fā)生的概率;P(Fn+1)為第n+1個(gè)保護(hù)層失效導(dǎo)致事件Fn+1發(fā)生的概率。

后果E發(fā)生的頻率如式(2)所示：

(2)

在計(jì)算后果發(fā)生頻率時(shí)，還應(yīng)考慮使能條件與修正因子，計(jì)算公式如式(3)所示：

P(h)=P(h1)×P(h2)×P(h3)×…×P(hn+1)

(3)

式中：P(h)為使能條件與修正因子存在的可能性;P(h1)為第1個(gè)存在的使能條件或修正因子;P(hn+1)為第n+1個(gè)存在的使能條件或修正因子。

單一事件導(dǎo)致后果發(fā)生的概率如式(4)所示：

(4)

式(1)中，后果P(E)的發(fā)生概率應(yīng)為初始事件d的發(fā)生概率與所有保護(hù)層全部失效的概率相乘，而在實(shí)際使用過(guò)程中，當(dāng)存在單一IPL同時(shí)防護(hù)多種失效的情況時(shí)，保護(hù)層的重復(fù)計(jì)算會(huì)對(duì)系統(tǒng)安全完整性等級(jí)判定造成干擾，使場(chǎng)景后果頻率增大。因此應(yīng)對(duì)每個(gè)“初始事件-后果”逐一分析，最后計(jì)算后果頻率之和。

2 多重初始事件導(dǎo)致后果頻率分析

傳統(tǒng)分析場(chǎng)景后果發(fā)生頻率時(shí)，先將所有可能導(dǎo)致同一后果的初始事件羅列出來(lái)，之后代入式(2)計(jì)算，則得到基于該獨(dú)立事件的后果發(fā)生頻率。然后將各獨(dú)立初始事件導(dǎo)致場(chǎng)景后果的頻率相加，得到整體的場(chǎng)景后果頻率，如式(5)所示：

“更可氣的是，他吃完飯回到家就開(kāi)始看電視、逗狗，一點(diǎn)觸動(dòng)都沒(méi)有。我說(shuō)你看別人都這么上進(jìn)，你咋不知道加把勁兒多做出點(diǎn)成績(jī)讓上司看到呢，晚兩年進(jìn)公司的人都快要跟你平起平坐了。他倒氣定神閑，說(shuō)急不得，好好做好手頭上的事不愁老板看不到。

(5)

LOPA的原則是將風(fēng)險(xiǎn)降低至企業(yè)可接受水平，而不是徹底杜絕風(fēng)險(xiǎn)。過(guò)多的保護(hù)層不但會(huì)造成浪費(fèi)，還會(huì)使設(shè)備運(yùn)行效率降低，影響產(chǎn)能。設(shè)計(jì)人員一般根據(jù)風(fēng)險(xiǎn)可接受水平，設(shè)計(jì)能夠保障設(shè)備安全運(yùn)行的保護(hù)層。實(shí)際上，1個(gè)IPL往往會(huì)同時(shí)承擔(dān)多種異常工況的防護(hù)任務(wù)。如果在計(jì)算后果發(fā)生頻率時(shí)直接將不同初始事件導(dǎo)致后果的頻率相加，則保護(hù)層失效概率被重復(fù)計(jì)算，造成后果發(fā)生頻率升高，導(dǎo)致對(duì)系統(tǒng)安全性產(chǎn)生誤判，增加冗余保護(hù)層，造成經(jīng)濟(jì)損失。

因此當(dāng)各初始事件存在相關(guān)性，或共用同一保護(hù)層時(shí)，只需計(jì)算1次保護(hù)層失效概率，采用場(chǎng)景后果發(fā)生頻率最高的1項(xiàng)即可。采用最大值法計(jì)算場(chǎng)景頻率，如式(6)所示：

(6)

式中：

為初始事件存在相關(guān)性或共用同一保護(hù)層的場(chǎng)景后果發(fā)生頻率值中最大1項(xiàng)。

當(dāng)導(dǎo)致同一后果的初始事件中，部分初始事件相互獨(dú)立，部分具有相關(guān)性或存在共用IPL，則將2部分的場(chǎng)景發(fā)生頻率分別按照求和法和最大值法處理，然后各初始事件間存在相關(guān)性或共用將2種處理結(jié)果相加，即采用綜合計(jì)算法獲得后果發(fā)生總頻率值，如式(7)所示：

(7)

在面對(duì)多重初始事件引發(fā)的失效場(chǎng)景時(shí)，LOPA需要對(duì)所有可能發(fā)生的事故場(chǎng)景進(jìn)行預(yù)測(cè)，并對(duì)現(xiàn)有保護(hù)層進(jìn)行評(píng)估，分析在現(xiàn)有保護(hù)層下發(fā)生事故的概率能否被接受。通過(guò)建立風(fēng)險(xiǎn)矢量導(dǎo)圖，按照計(jì)算流程將IPL失效概率、修正因子、初始事件發(fā)生頻率、現(xiàn)有保護(hù)層、總后果頻率以及可接受的后果頻率進(jìn)行歸納總結(jié)，使LOPA過(guò)程更加簡(jiǎn)潔高效，同時(shí)避免了對(duì)同一保護(hù)層重復(fù)計(jì)算。風(fēng)險(xiǎn)矢量導(dǎo)圖如圖2所示。

圖2 風(fēng)險(xiǎn)矢量導(dǎo)圖Fig.2 Risk vector map

3 修正因子對(duì)后果頻率的影響分析

在進(jìn)行LOPA時(shí)，通常將人員安全放在首位。修正因子與IPL都可以起到削減風(fēng)險(xiǎn)因子的作用。IPL針對(duì)管理設(shè)計(jì)存在的安全漏洞，杜絕或者減輕事故造成的損失。修正因子并不能對(duì)事故進(jìn)行響應(yīng)從而降低事故損失，而是作為1種客觀存在的事實(shí)，成為事件流程中的某個(gè)不可或缺的要素。通常需要考慮的修正因子包括但不限于：點(diǎn)火源、暴露因子、致死概率。修正因子采用的邏輯如圖3所示。

在選用修正因子作為條件修正時(shí)，該修正因子的概率應(yīng)保持穩(wěn)定。例如，某些設(shè)備在1 a中不同時(shí)期的工作時(shí)間不同，當(dāng)生產(chǎn)任務(wù)加重時(shí)，設(shè)備全天不間斷運(yùn)行，持續(xù)一段時(shí)間；而在無(wú)生產(chǎn)任務(wù)時(shí)不會(huì)有工作人員靠近設(shè)備。這時(shí)不能簡(jiǎn)單地將設(shè)備全年工作時(shí)間平均分配到每1 d。當(dāng)設(shè)備不間斷運(yùn)行時(shí)，相關(guān)人員出現(xiàn)在設(shè)備周圍的暴露因子會(huì)上升，同時(shí)IPL失效概率也會(huì)隨著運(yùn)行時(shí)間的增加成正比上升。因此只有長(zhǎng)時(shí)間相對(duì)穩(wěn)定的環(huán)境，修正因子才具有參考價(jià)值。

圖3 修正因子使用邏輯Fig.3 Use logic of correction factors

3.1 點(diǎn)火源

針對(duì)易燃易爆物質(zhì)進(jìn)行LOPA，應(yīng)考慮物質(zhì)燃點(diǎn)以及設(shè)備周圍是否存在點(diǎn)火源。某些情況下，當(dāng)設(shè)備本身工作會(huì)釋放大量熱時(shí)，若達(dá)到物質(zhì)燃點(diǎn)，則不需第三方火源即可引燃物質(zhì)導(dǎo)致失火或爆炸。通常進(jìn)行LOPA時(shí)將點(diǎn)燃或觸發(fā)物質(zhì)燃點(diǎn)的概率設(shè)置為100%，但是將點(diǎn)火源存在概率一概而論無(wú)疑會(huì)放大風(fēng)險(xiǎn)等級(jí)，對(duì)分析結(jié)果產(chǎn)生誤導(dǎo)。在計(jì)算物質(zhì)點(diǎn)燃概率時(shí)，還應(yīng)考慮物質(zhì)的化學(xué)性質(zhì)，有些原料泄漏時(shí)摩擦?xí)a(chǎn)生大量靜電，從而導(dǎo)致延遲點(diǎn)燃。美國(guó)化工安全過(guò)程中心在綜合公共數(shù)據(jù)和專家意見(jiàn)后，建議將立即點(diǎn)燃概率設(shè)定為15%，延遲點(diǎn)燃概率(非立即點(diǎn)燃概率)設(shè)定為30%。實(shí)際分析時(shí)，應(yīng)先確定易燃物質(zhì)的燃點(diǎn)、閃點(diǎn)，并對(duì)現(xiàn)場(chǎng)是否存在熱源進(jìn)行分析，從而確定較準(zhǔn)確的點(diǎn)燃概率。另外，延遲點(diǎn)燃概率隨著泄漏時(shí)間的增加而增大，因此在進(jìn)行LOPA時(shí)，應(yīng)根據(jù)設(shè)備實(shí)際情況考慮點(diǎn)燃概率。

3.2 暴露因子

人員暴露因子同樣是修正因子。在進(jìn)行LOPA時(shí)，應(yīng)考慮發(fā)生事故時(shí)所有可能會(huì)出現(xiàn)在場(chǎng)景中的人員，包括日常操作人員、巡檢人員、維修人員等。值得注意的是，如果將人員響應(yīng)作為IPL保護(hù)層，即當(dāng)發(fā)生異常工況時(shí)由操作人員前往處理，則應(yīng)認(rèn)為該員工100%處于危險(xiǎn)環(huán)境中。同樣的情況還有日常操作人員長(zhǎng)期在設(shè)備附近工作。另1種情況則是巡檢人員的暴露因子。因?yàn)檠矙z人員只會(huì)在特定的時(shí)間經(jīng)過(guò)可能產(chǎn)生危險(xiǎn)的區(qū)域，因此應(yīng)提前詢問(wèn)廠方巡檢頻率，之后計(jì)算巡檢人員的暴露頻率，如式(8)所示：

(8)

暴露因子示例如圖4所示。圖4中：人員A代表可能出現(xiàn)在設(shè)備附近的日常操作人員或維修人員，人員B代表巡檢人員，人員C代表廠區(qū)內(nèi)其他不在影響范圍的工作人員。

圖4 暴露因子Fig.4 Exposure factors

3.3 致死概率

致死概率為人員暴露在影響區(qū)域時(shí)的死亡概率。致死概率不能獨(dú)立于暴露因子，只有在人員處于事故影響范圍內(nèi)喪生時(shí)，才可以使用死亡修正因子。然而即使暴露在事故范圍內(nèi)，與設(shè)備的距離、原料泄漏時(shí)間、現(xiàn)場(chǎng)人員是否經(jīng)歷過(guò)安全培訓(xùn)等均會(huì)對(duì)致死概率產(chǎn)生影響?；て髽I(yè)定量風(fēng)險(xiǎn)評(píng)價(jià)導(dǎo)則[14]中對(duì)不同熱輻射造成的傷害和損壞進(jìn)行定義，在計(jì)算致死概率時(shí)，可參考相關(guān)資料確定原料燃燒爆炸能釋放的熱量，判斷對(duì)人員的傷害程度，從而確定致死概率。

綜上所述，修正因子可避免風(fēng)險(xiǎn)值被夸大。分析人員應(yīng)根據(jù)可接受風(fēng)險(xiǎn)水平，構(gòu)建合理的保護(hù)層，將風(fēng)險(xiǎn)控制在可接受的范圍之內(nèi)。

4 應(yīng)用實(shí)例

以某公司柴油加氫裝置為例，該裝置以催化柴油和直餾柴油1∶1混合油為原料，設(shè)計(jì)壓力7.8 MPa。生產(chǎn)優(yōu)質(zhì)柴油產(chǎn)品及重裝原料油，裝置采用一段串聯(lián)中壓加氫改制新工藝，產(chǎn)能為11萬(wàn)t/a。

根據(jù)該公司所提供的往年事故調(diào)查報(bào)告確定各初始事件發(fā)生頻率，并參考HAZOP分析方法及實(shí)踐[15]所提供的相關(guān)數(shù)據(jù)。對(duì)該裝置原料油緩沖罐進(jìn)行LOPA，見(jiàn)表1。

風(fēng)險(xiǎn)矢量導(dǎo)圖如圖5所示。

根據(jù)LOPA結(jié)果，導(dǎo)致原料油緩沖罐液位過(guò)高共有4種初始事件：原料油泵P-1故障(發(fā)生頻率為0.1次/a)、原料油脫水罐D(zhuǎn)-19閥門(mén)故障(發(fā)生頻率為0.15次/a)、原料油脫水罐D(zhuǎn)-19凝結(jié)水總管故障無(wú)法使油水分離(發(fā)生頻率為0.25次/a)、D-6液位控制回路LIC2101故障(發(fā)生頻率為0.5次/a)。由于事件2與事件3相關(guān)性較大且使用了相同的IPL(進(jìn)料流量過(guò)大，通常為油水分離不徹底)，因此應(yīng)采用最大值法，則該多場(chǎng)景事件的后果發(fā)生頻率取0.25次/a；之后該結(jié)果代入式(7)，計(jì)算多場(chǎng)景后果發(fā)生總頻率為0.1+0.25+0.5=0.85次/a，即原料油緩沖罐液位過(guò)高的發(fā)生頻率為0.85次/a。在前3種初始事件中，現(xiàn)場(chǎng)工作人員每天出現(xiàn)在事故影響范圍的時(shí)間為12 h，因此暴露因子為0.5，柴油的閃點(diǎn)為120 ℃以上，燃點(diǎn)為300～330 ℃，現(xiàn)場(chǎng)不存在高溫設(shè)備，因此點(diǎn)燃概率取0.15。當(dāng)發(fā)生火災(zāi)時(shí)，雖然工作人員處于影響范圍內(nèi)，但致死概率隨人員與設(shè)備之間距離的增大而降低，在綜合考慮現(xiàn)場(chǎng)情況后，前3種場(chǎng)景人員處于影響范圍內(nèi)致死概率取0.5。而場(chǎng)景4，由于將人員響應(yīng)作為獨(dú)立保護(hù)層，因此當(dāng)發(fā)生火災(zāi)時(shí)，人員必定會(huì)處于設(shè)備周圍，所以致死概率應(yīng)為1。經(jīng)計(jì)算后，液位過(guò)高溢流致死后果發(fā)生頻率為3.2E-02，而企業(yè)可接受風(fēng)險(xiǎn)頻率為2.5E-05，當(dāng)前保護(hù)層不能滿足企業(yè)可接受風(fēng)險(xiǎn)要求，因此須增加IPL以降低風(fēng)險(xiǎn)。

表1 保護(hù)層分析Table 1 LOPA analysis

圖5 風(fēng)險(xiǎn)矢量導(dǎo)圖Fig.5 Risk vector map

5 求和法、最大值法與本文算法比較

應(yīng)用實(shí)例采用綜合計(jì)算法獲得多場(chǎng)景事故后果發(fā)生頻率，以下分別采用求和法和最大值法來(lái)計(jì)算多場(chǎng)景后果頻率，并與綜合計(jì)算法的計(jì)算結(jié)果進(jìn)行比較分析。

綜上所述，對(duì)于多重初始事件導(dǎo)致的后果頻率計(jì)算，求和法過(guò)于保守，最大值法過(guò)于樂(lè)觀，而綜合計(jì)算法更為準(zhǔn)確。

6 結(jié)論

1)針對(duì)多重初始事件進(jìn)行LOPA時(shí)，可借助風(fēng)險(xiǎn)矢量導(dǎo)圖，以避免保護(hù)層失效概率重復(fù)計(jì)算造成的誤差。

2)根據(jù)初始事件的相關(guān)性以及是否共用IPL，多重初始事件導(dǎo)致的后果頻率可采用最大值法、求和法或綜合計(jì)算法來(lái)計(jì)算。求和法過(guò)于保守，最大值法過(guò)于樂(lè)觀，而綜合計(jì)算法更為準(zhǔn)確。

3)進(jìn)行LOPA計(jì)算時(shí)，應(yīng)充分考慮使能條件和修正因子的影響，力求獲得準(zhǔn)確的后果發(fā)生頻率。