李凱

（中國(guó)航發(fā)北京航空材料研究院，北京 100095）

0 引言

鈦合金材料因其具有強(qiáng)度高、耐熱性好、耐腐蝕等特性，被廣泛用于航天航空等高端裝備制造領(lǐng)域[1-3]。真空電弧凝殼爐是實(shí)現(xiàn)鈦合金熔煉制備高性能鈦合金零部件的重要工藝設(shè)備。同時(shí)，真空電弧凝殼爐高溫熔煉工藝過(guò)程，存在爐體爆炸的重大安全風(fēng)險(xiǎn)，現(xiàn)已出現(xiàn)過(guò)多起真空電弧凝殼爐在鈦合金熔煉過(guò)程中發(fā)生爐體爆炸事故，造成嚴(yán)重的人員傷亡和財(cái)產(chǎn)損失[4-6]。因此，如何有效評(píng)估真空電弧凝殼爐的爆炸風(fēng)險(xiǎn)，是企業(yè)進(jìn)行風(fēng)險(xiǎn)決策的重要依據(jù)。

保護(hù)層分析（LOPA）作為一種簡(jiǎn)化的、半定量的風(fēng)險(xiǎn)評(píng)估方法，通過(guò)先期定性危害分析，再進(jìn)一步評(píng)估事故場(chǎng)景保護(hù)層的有效性，最后進(jìn)行風(fēng)險(xiǎn)決策，被廣泛應(yīng)用于化工行業(yè)安全風(fēng)險(xiǎn)評(píng)估中[7-8]。一個(gè)典型的化工過(guò)程通常包含多種保護(hù)層，如工藝設(shè)計(jì)(本質(zhì)安全設(shè)計(jì))、基本過(guò)程控制系統(tǒng)（BPCS）、關(guān)鍵報(bào)警和人員干預(yù)、安全儀表系統(tǒng)（SIS）、物理保護(hù)（安全閥、爆破片等）、釋放后保護(hù)（防火堤、防爆墻等）、工廠及社區(qū)應(yīng)急響應(yīng)等[9]，其保護(hù)過(guò)程可以用洋蔥模型示意，見(jiàn)圖1。這些保護(hù)層在機(jī)械制造行業(yè)設(shè)備設(shè)施設(shè)計(jì)制造、使用運(yùn)行過(guò)程同樣被作為典型的安全措施，尤其在安全風(fēng)險(xiǎn)突出的復(fù)雜系統(tǒng)中的特定場(chǎng)景，如金屬熔煉過(guò)程，進(jìn)行工藝安全風(fēng)險(xiǎn)時(shí)，保護(hù)層是否充分，是否可靠，是否達(dá)到事故風(fēng)險(xiǎn)的可接受水平，LOPA方法為其風(fēng)險(xiǎn)評(píng)估與決策提供了技術(shù)方案。

圖1 洋蔥模型圖

1 LOPA改進(jìn)方法

1.1 LOPA方法的特點(diǎn)

保護(hù)層分析方法通過(guò)計(jì)算初始事件發(fā)生頻率、各個(gè)獨(dú)立保護(hù)層（IPL）失效頻率和后果嚴(yán)重程度的乘積數(shù)量級(jí)大小來(lái)近似表征場(chǎng)景的風(fēng)險(xiǎn)，其關(guān)鍵點(diǎn)在于如何判定哪些保護(hù)層屬于獨(dú)立保護(hù)層（IPL）。

依據(jù)AQ T 3054—2015《保護(hù)層分析（LOPA）方法應(yīng)用導(dǎo)則》（簡(jiǎn)稱(chēng)《導(dǎo)則》），判斷獨(dú)立保護(hù)層（IPL）的方法：1）保護(hù)層是否獨(dú)立于事故場(chǎng)景的初始事件和其他保護(hù)層；2）是否能夠阻止事故場(chǎng)景向不期望后果發(fā)展。作為獨(dú)立保護(hù)層（IPL），應(yīng)同時(shí)滿(mǎn)足獨(dú)立性、有效性、安全性、變更管理、可審查性的五大特性[7]。獨(dú)立保護(hù)層對(duì)場(chǎng)景事故發(fā)生的保護(hù)過(guò)程可用圖2表示，通過(guò)一道道保護(hù)層屏障，逐漸降低不期望事件的發(fā)生頻率，直至事故發(fā)生頻率降低到可接受水平[10]，場(chǎng)景事故發(fā)生的頻率計(jì)算公式如式（1）所示。

圖2 獨(dú)立保護(hù)層功能示意圖

1.2 LOPA方法的局限性分析

在實(shí)際風(fēng)險(xiǎn)評(píng)估過(guò)程，有些保護(hù)層可能并不滿(mǎn)足獨(dú)立保護(hù)層的某個(gè)特性。例如，有的保護(hù)層不是獨(dú)立保護(hù)層，但對(duì)場(chǎng)景事故后果有減緩或防止出現(xiàn)的作用，如果直接忽略，那么事故風(fēng)險(xiǎn)評(píng)估結(jié)果可能偏大，使其評(píng)價(jià)結(jié)果過(guò)于保守，從而造成過(guò)度的技術(shù)改造和資金投入[11-12]。本文主要針對(duì)保護(hù)層不具備完全獨(dú)立性或有效性的情況，分析LOPA方法的局限性和改進(jìn)策略。

第一種類(lèi)型，保護(hù)層不完全具備有效性。一個(gè)保護(hù)層如不能完全有效防止場(chǎng)景事故后果，不是單純的有效和無(wú)效的問(wèn)題，而是對(duì)場(chǎng)景事故后果起到一定的降低、減緩風(fēng)險(xiǎn)的作用。例如防火堤、防爆墻等保護(hù)層，若發(fā)揮作用，其事故后果并不一定完全規(guī)避。所以，在處理這類(lèi)保護(hù)層時(shí)，有必要對(duì)LOPA方法進(jìn)行改進(jìn)，以確保評(píng)估方法的準(zhǔn)確性和通用性。

第二種類(lèi)型，保護(hù)層不完全具備獨(dú)立性。在同一個(gè)場(chǎng)景中，當(dāng)同一BPCS具有多個(gè)功能回路時(shí)，通常將相關(guān)聯(lián)的多個(gè)保護(hù)層按1個(gè)獨(dú)立保護(hù)層計(jì)算。但是，保護(hù)層不滿(mǎn)足獨(dú)立性并非對(duì)場(chǎng)景事故起不到保護(hù)作用，若按一個(gè)保護(hù)層處理，可能造成評(píng)價(jià)結(jié)果的過(guò)于保守。所以，在處理這類(lèi)保護(hù)層時(shí)，同樣需要對(duì)LOPA方法進(jìn)行改進(jìn)，以提升評(píng)估方法的準(zhǔn)確性和通用性。

1.3 LOPA方法的改進(jìn)策略

對(duì)于第一種情況，保護(hù)層不滿(mǎn)足有效性，例如防火堤或防爆墻類(lèi)似的保護(hù)層，其作用往往是降低了事故后果的嚴(yán)重程度。可以引入修正系數(shù)k，假設(shè)某一場(chǎng)景無(wú)任何保護(hù)層時(shí)，后果嚴(yán)重度為C，當(dāng)保護(hù)層發(fā)生作用時(shí)，場(chǎng)景后果嚴(yán)重程度即為kC，其中0＜k＜1，保護(hù)層的失效概率為PFD，用式（2）表示在該保護(hù)層作用下的場(chǎng)景后果的風(fēng)險(xiǎn)值R。這樣通過(guò)引入修正系數(shù)可量化風(fēng)險(xiǎn)的削減程度，通過(guò)推導(dǎo)轉(zhuǎn)化為更加合理的評(píng)價(jià)結(jié)果，在工程上也能得到廣泛應(yīng)用。

場(chǎng)景后果的風(fēng)險(xiǎn)值R為：

那么，場(chǎng)景后果的發(fā)生頻率f為：

對(duì)于第二種情況，保護(hù)層不滿(mǎn)足獨(dú)立性，也就是該保護(hù)層與其他保護(hù)層存在共因失效問(wèn)題，而對(duì)于共因失效問(wèn)題[13]，故障樹(shù)分析(FTA) 可以有效地解決[14]。故障樹(shù)分析通過(guò)樹(shù)狀的邏輯關(guān)系圖，將系統(tǒng)的故障與組成系統(tǒng)各部件的故障有機(jī)地聯(lián)系在一起，逐層、全面地分析系統(tǒng)所有的失效模式，然后通過(guò)邏輯運(yùn)算，計(jì)算出系統(tǒng)失效的概率。具體分析流程如圖3所示。最后通過(guò)求最小割集計(jì)算出頂事件的發(fā)生頻率，從而計(jì)算出場(chǎng)景頻率。

圖3 故障樹(shù)分析示意圖

2 實(shí)例分析

2.1 工藝描述

以真空電弧凝殼爐為例，在進(jìn)行鈦合金熔煉時(shí)，大電流高溫熔化自耗電極，在水冷銅坩堝內(nèi)形成熔融的鈦合金液體。在高溫熔煉過(guò)程中，一旦爐子的冷卻系統(tǒng)失效，冷卻水不能及時(shí)冷卻坩堝，坩堝內(nèi)壁的鈦合金凝殼溫度會(huì)逐漸升高直至熔化，熔融狀態(tài)下的鈦液會(huì)燒穿銅坩堝，冷卻水從坩堝破裂處流出，流出的冷卻水遇高溫狀態(tài)下的鈦合金融液，會(huì)迅速汽化產(chǎn)生水蒸氣，同時(shí)高溫下的鈦合金融液活性極強(qiáng)，會(huì)與水發(fā)生化學(xué)反應(yīng)，生成二氧化鈦和氫氣，爐內(nèi)壓強(qiáng)不斷升高，直至發(fā)生爐體爆炸。

2.2 場(chǎng)景識(shí)別與篩選

本例選擇的場(chǎng)景是某真空電弧凝殼爐高溫熔煉過(guò)程，冷卻水故障，水溫監(jiān)測(cè)報(bào)警失效，操作人員未能及時(shí)發(fā)現(xiàn)并處置，盛裝熔融鈦合金的水冷銅坩堝被燒穿，冷卻水與熔融鈦合金發(fā)生劇烈反應(yīng)，爐體爆炸，防爆墻失效，沖擊波可能造成現(xiàn)場(chǎng)3人及以上死亡，依據(jù)《導(dǎo)則》后果定性分級(jí)方法，后果等級(jí)評(píng)定為5級(jí)。

2.3 場(chǎng)景頻率計(jì)算

初始事件（IE）選定為坩堝冷卻水系統(tǒng)失效，根據(jù)《導(dǎo)則》失效數(shù)據(jù)中IE典型頻率值，冷卻水失效頻率取為10-1/a。

對(duì)場(chǎng)景的保護(hù)措施進(jìn)行評(píng)估：

1）BPCS報(bào)警和人員響應(yīng)。該系統(tǒng)設(shè)計(jì)了冷卻水溫度監(jiān)測(cè)報(bào)警及響應(yīng)功能，同時(shí)設(shè)置了人員監(jiān)測(cè)水溫及響應(yīng)的動(dòng)作。兩者之間并不相互獨(dú)立，共用水溫傳感器的數(shù)據(jù)作為響應(yīng)依據(jù)，存在共因失效的問(wèn)題，不能簡(jiǎn)單處理為一個(gè)IPL，應(yīng)參考本文第二種改進(jìn)方法，故障樹(shù)分析( FTA)如圖4所示，其頂事件的概率為。

式中，參考美國(guó)化工過(guò)程安全中心（CCPS）典型獨(dú)立保護(hù)層及PFD數(shù)據(jù)[15]：PT—爐體爆炸T發(fā)生的概率，單位為1/a；PA—操作人員失效發(fā)生的概率，單位為1/a；PB—BPCS失效發(fā)生的概率，單位為1/a；Pa1—員工誤操作發(fā)生的概率，為10-2/a；Pa2—傳感器失效發(fā)生的概率，為10-2/a；Pa3—邏輯控制失效發(fā)生的概率，為10-3/a；Pa4—執(zhí)行元件失效發(fā)生的概率，為10-1/a。

2）釋放后保護(hù)。該系統(tǒng)在爐門(mén)泄爆的方向設(shè)計(jì)了防爆墻，可獨(dú)立于其他保護(hù)層，可以有效防護(hù)沖擊波造成的影響，但是該防爆墻的設(shè)計(jì)為L(zhǎng)型，只能防護(hù)爐門(mén)泄壓的正對(duì)面和一個(gè)從側(cè)面，不能有效防護(hù)爆炸沖擊波的影響。根據(jù)本文第一種改進(jìn)方法，該防爆墻發(fā)揮作用可以減弱2/3的爆炸影響，引入修正系數(shù)k取0.67，失效概率為PL，根據(jù)《導(dǎo)則》失效數(shù)據(jù)中IE典型頻率值，防爆墻的失效頻率為10-2/a，則其修正后的失效頻率為：

2.4 風(fēng)險(xiǎn)評(píng)估與決策

根據(jù)上述的初始事件頻率和保護(hù)層失效頻率，則基于LOPA改進(jìn)方法的場(chǎng)景后果發(fā)生的頻率為：

相比于LOPA方法改進(jìn)前，單純從獨(dú)立保護(hù)層的有效性和獨(dú)立性來(lái)分析，將BPCS報(bào)警和人員響應(yīng)作為一個(gè)IPL，其PFD為10-1/a，同時(shí)因防爆墻保護(hù)范圍有限不具備有效性而將其忽略，那么其場(chǎng)景后果發(fā)生頻率為10-2/a，與LOPA方法改進(jìn)后的頻率數(shù)據(jù)7.710-4/a相比，改進(jìn)前比改進(jìn)后的場(chǎng)景發(fā)生頻率大了1～2個(gè)數(shù)量級(jí)，可見(jiàn)改進(jìn)前的評(píng)估結(jié)果相對(duì)保守。

根據(jù)改進(jìn)后場(chǎng)景發(fā)生頻率7.710-4/a和事故后果等級(jí)5級(jí)，查詢(xún)《導(dǎo)則》風(fēng)險(xiǎn)評(píng)估矩陣，屬于高風(fēng)險(xiǎn)場(chǎng)景，應(yīng)選采取措施降低風(fēng)險(xiǎn)。分析小組認(rèn)為安裝一個(gè)獨(dú)立的安全儀表功能（SIF），增加爐內(nèi)真空監(jiān)測(cè)、邏輯控制和斷電保護(hù)功能，可作為獨(dú)立保護(hù)層，根據(jù)《導(dǎo)則》失效數(shù)據(jù)，該SIF的PFD為10-2/a。對(duì)于場(chǎng)景，增加SIF功能可將場(chǎng)景事故發(fā)生頻率7.710-4/a降低為7.710-6/a，降低兩個(gè)數(shù)量級(jí)，對(duì)照《導(dǎo)則》風(fēng)險(xiǎn)評(píng)估矩陣，此時(shí)風(fēng)險(xiǎn)等級(jí)為中風(fēng)險(xiǎn)，可選擇性的采取行動(dòng)。此時(shí)，企業(yè)可以根據(jù)企業(yè)成本效益分析，決定是否進(jìn)一步采取額外的措施降低風(fēng)險(xiǎn)。

3 結(jié)論

1）分析了LOPA方法存在的局限性，該方法未考慮不滿(mǎn)足獨(dú)立性和有效性的保護(hù)層所發(fā)揮的保護(hù)作用。提出了LOPA 改進(jìn)方法，通過(guò)引入故障樹(shù)分析解決共因失效的問(wèn)題，引入修正系數(shù)解決釋放后保護(hù)不完全的問(wèn)題。

2）以某真空電弧凝殼爐為實(shí)例，計(jì)算了高溫熔煉過(guò)程冷卻水故障導(dǎo)致?tīng)t體爆炸的場(chǎng)景頻率，發(fā)現(xiàn)LOPA方法改進(jìn)后的場(chǎng)景事故頻率比改進(jìn)前低1～2個(gè)數(shù)量級(jí)，提高了風(fēng)險(xiǎn)評(píng)估的準(zhǔn)確性。

3）對(duì)照風(fēng)險(xiǎn)評(píng)估矩陣，該場(chǎng)景為高風(fēng)險(xiǎn)，提出了增加真空監(jiān)測(cè)報(bào)警響應(yīng)功能（SIF），可進(jìn)一步降低場(chǎng)景事故發(fā)生頻率2個(gè)數(shù)量級(jí)，改造后場(chǎng)景事故風(fēng)險(xiǎn)可降為中風(fēng)險(xiǎn)。