馬家駒，金玉宏

（浙江省天正設(shè)計(jì)工程有限公司，浙江 杭州 310030）

隨著經(jīng)濟(jì)發(fā)展和社會(huì)進(jìn)步，新材料、農(nóng)藥、油漆、醫(yī)藥等化工行業(yè)蓬勃發(fā)展。各類(lèi)化學(xué)品在給人們生活增添幸福感的同時(shí)，也帶來(lái)了嚴(yán)峻的安全問(wèn)題，涉及危險(xiǎn)化學(xué)品（具有毒害、腐蝕、爆炸、燃燒、助燃等性質(zhì)）及化學(xué)反應(yīng)（如強(qiáng)放熱、高溫/高壓、真空等）的生產(chǎn)與儲(chǔ)存裝置均構(gòu)成潛在的危險(xiǎn)源。當(dāng)保護(hù)層失效或操作失誤時(shí)，危險(xiǎn)源將導(dǎo)致不同類(lèi)型及不同嚴(yán)重程度的后果，包括人員傷亡、環(huán)境污染、財(cái)產(chǎn)損失等。為了從根本上消除事故隱患，防范化解系統(tǒng)性重大安全風(fēng)險(xiǎn)，遏制重特大事故，減少人員傷亡、降低財(cái)產(chǎn)損失，預(yù)防事故的發(fā)生非常必要。

“洋蔥模型”作為工藝安全措施的總結(jié)，將保護(hù)層分為多個(gè)層級(jí)，確保當(dāng)一個(gè)保護(hù)層失效時(shí)，剩余保護(hù)層仍可起作用，從而預(yù)防事故的發(fā)生，避免嚴(yán)重后果。

1 洋蔥模型

“洋蔥模型”源自于國(guó)際電工委員會(huì)發(fā)布的IEC 61511-1:2016（《功能安全-流程工業(yè)的安全儀表系統(tǒng)》）的第9.3 章節(jié)（Requirements on the basic process control system as a protection layer），是對(duì)過(guò)程或系統(tǒng)的安全措施進(jìn)行的科學(xué)性總結(jié)，將不同類(lèi)型的保護(hù)層按照失效順序進(jìn)行的形象化排布（圖1）。高一層級(jí)的保護(hù)層都將在相應(yīng)低一級(jí)的保護(hù)層失效時(shí)啟用，從而遏制事故的發(fā)生或發(fā)展。各級(jí)保護(hù)層的作用見(jiàn)表1。

表1 保護(hù)層描述[1]

圖1 洋蔥模型

1.1 過(guò)程設(shè)計(jì)

過(guò)程設(shè)計(jì)是指涵蓋原料經(jīng)過(guò)一些列化學(xué)或物理處理后成為產(chǎn)物的全流程，其決定了工藝路線(xiàn)、操作/設(shè)計(jì)工況等技術(shù)核心。如此階段就考慮本質(zhì)安全設(shè)計(jì)，將大幅降低事故發(fā)生頻率或后果嚴(yán)重性。

本質(zhì)安全是指設(shè)備、設(shè)施或技術(shù)工藝包含內(nèi)在的能夠從根本上防止事故發(fā)生的功能。即由于操作者的操作失誤或不安全行為的發(fā)生，也仍然能保證對(duì)操作者、設(shè)備或系統(tǒng)的安全而不發(fā)生事故[2]。

在這一階段，可考慮以下幾點(diǎn)原則[3]：

（1）替代

盡量避免在生產(chǎn)過(guò)程中使用危險(xiǎn)化學(xué)品。當(dāng)不存在危險(xiǎn)化學(xué)品時(shí)，將會(huì)大幅降低事故后果的嚴(yán)重性；當(dāng)危險(xiǎn)化學(xué)品是中間產(chǎn)品時(shí)，可考慮采用其他的化學(xué)反應(yīng)路線(xiàn)進(jìn)行生產(chǎn)。精細(xì)化工行業(yè)經(jīng)常會(huì)使用溶劑，而大部分的溶劑具有毒性及易燃性。如甲苯即是三類(lèi)致癌物，又是低閃點(diǎn)的甲類(lèi)介質(zhì)，若處理不當(dāng)，將會(huì)造成嚴(yán)重的后果。此時(shí)如使用比較安全的溶劑（低毒、不易燃等特點(diǎn)），即使在意外的情況下，也會(huì)大大降低后果的嚴(yán)重性。

（2）最小化

在過(guò)程中盡可能減少危險(xiǎn)化學(xué)品的使用量，盡量保證使用量剛好滿(mǎn)足反應(yīng)的需求。同時(shí)涉及危險(xiǎn)的操作工況，也可考慮縮小設(shè)備的尺寸及反應(yīng)規(guī)模。對(duì)于危險(xiǎn)化學(xué)品中間體，可通過(guò)精準(zhǔn)控制反應(yīng)所需的化學(xué)品數(shù)量，減少中間產(chǎn)物的生產(chǎn)。如針對(duì)重點(diǎn)監(jiān)管的危險(xiǎn)化工工藝[4-5]（硝化、胺基化等），可考慮選擇微通道反應(yīng)器代替反應(yīng)釜，持液量少，反應(yīng)條件溫和，危險(xiǎn)性大幅降低。

（3）緩和

篩選反應(yīng)條件溫和的工藝，避免出現(xiàn)高溫、高壓等工況，嚴(yán)苛的反應(yīng)工況將會(huì)導(dǎo)致事故發(fā)生的可能性大增。如能選擇相對(duì)安全的過(guò)程操作條件，使物料在更安全的工況下反應(yīng)，泄漏的可能性將會(huì)大大降低。

（4）遏制

當(dāng)工藝設(shè)計(jì)無(wú)法避免使用危險(xiǎn)化學(xué)品時(shí)，則須考慮設(shè)備及管道的機(jī)械完整性等措施,其材質(zhì)及規(guī)格須完全滿(mǎn)足設(shè)計(jì)工況。如設(shè)計(jì)選型時(shí)考慮高壓力等級(jí)的設(shè)備及管道（留有一定的安全裕量）以減少設(shè)備失效的風(fēng)險(xiǎn)，確保物料無(wú)超壓泄漏的可能。在過(guò)程設(shè)計(jì)階段能考慮以上因素，即使在意外的情況下，也會(huì)大大降低事故后果的嚴(yán)重程度。

在實(shí)際工作中，企業(yè)通常都會(huì)結(jié)合經(jīng)濟(jì)可行性、工藝先進(jìn)性等因素來(lái)確定工藝生產(chǎn)路線(xiàn)。從設(shè)計(jì)的角度出發(fā)，在滿(mǎn)足業(yè)主工藝需求的前提下，結(jié)合以上幾點(diǎn)原則，盡可能降低工藝的安全風(fēng)險(xiǎn)。

1.2 基本控制

在最初的工藝參數(shù)控制中，基本靠人工進(jìn)行調(diào)節(jié)控制。人工操作存在許多弊端，如控制不精準(zhǔn)、容易誤操作等，是潛在的風(fēng)險(xiǎn)點(diǎn)。隨著自動(dòng)化的發(fā)展，自動(dòng)化控制逐漸取代了人工的操作。

基本過(guò)程控制系統(tǒng)(BPCS,basic process control system)用于處理和監(jiān)控整個(gè)體系運(yùn)行的工作狀態(tài)。從傳感器得到輸入信息，經(jīng)過(guò)處理器處理后，按照設(shè)計(jì)的控制策略提供輸出動(dòng)作。在裝置的參數(shù)（包括溫度、壓力、流量、液位和成分等）發(fā)生偏差時(shí)，能夠保持裝置回到安全運(yùn)行中。在大部分連續(xù)運(yùn)行的裝置中，過(guò)程控制系統(tǒng)會(huì)嘗試保持工藝在穩(wěn)定狀態(tài)的合理波動(dòng)范圍。只有使系統(tǒng)處于穩(wěn)定狀態(tài)，才能使生產(chǎn)效率達(dá)到最好的狀態(tài)。當(dāng)體系出現(xiàn)了具有擾亂正常程序的因素，有些變量就會(huì)處于不穩(wěn)定的狀態(tài)，此時(shí)就需要有一定的控制措施，使其慢慢地回到穩(wěn)定的狀態(tài)。

在設(shè)計(jì)時(shí)，需要對(duì)整個(gè)流程進(jìn)行仔細(xì)梳理，確保工藝控制時(shí)能夠進(jìn)行自動(dòng)調(diào)節(jié)，不會(huì)波動(dòng)到安全范圍外。此時(shí)可開(kāi)展工藝安全分析（PHA,process hazard analysis），對(duì)偏差（常見(jiàn)的偏差如溫度、壓力、液位、流量等）發(fā)生后可能導(dǎo)致的后果嚴(yán)重性進(jìn)行分析，并設(shè)置相應(yīng)的自動(dòng)化保護(hù)措施，從而使危害發(fā)生的概率降低到可接受的范圍。也可根據(jù)體系BPCS 控制回路故障時(shí)體系的后果嚴(yán)重程度，進(jìn)一步增加洋蔥模型中高一級(jí)別的保護(hù)層。常見(jiàn)的工藝安全分析（PHA）方法[6]包括檢查表方法 (checklist)、假設(shè)分析方法（what if）、危險(xiǎn)與可操作性分析方法（HAZOP,hazard and operability），以及潛在失效模式及后果分析（FEMA,failure mode and effects analysis）等。

1.3 重要報(bào)警及人員干涉/調(diào)整

當(dāng)工藝參數(shù)超過(guò)安全操作上下限時(shí)，將觸發(fā)控制中心的報(bào)警。其目的是警示工藝操作員有異常的情況發(fā)生，操作者可根據(jù)實(shí)際情況進(jìn)行干預(yù)。報(bào)警在正常的工藝波動(dòng)時(shí)不會(huì)被觸發(fā)，通常設(shè)置有一定的裕量，確保留給操作人員一定的響應(yīng)時(shí)間，也避免下一個(gè)保護(hù)層被立即觸發(fā)（只有超過(guò)臨界點(diǎn)時(shí)才能被觸發(fā)）。

設(shè)計(jì)報(bào)警時(shí)應(yīng)特別注意報(bào)警數(shù)量，太多報(bào)警會(huì)引起操作人員的緊張，同時(shí)增加操作失誤的可能性。目前許多的報(bào)警值設(shè)定都是依靠設(shè)計(jì)人員及業(yè)主的經(jīng)驗(yàn)判斷，沒(méi)有進(jìn)行科學(xué)的分析。

設(shè)計(jì)時(shí)需對(duì)報(bào)警的有效性進(jìn)行評(píng)估，方可確保其合理性。在國(guó)際標(biāo)準(zhǔn)中制定有不同的報(bào)警優(yōu)先級(jí)評(píng)估方法，如EEMUA191、ISA 18.2、SCADA1167 等，設(shè)計(jì)時(shí)可結(jié)合實(shí)際工況進(jìn)行分析。

1.4 自動(dòng)防護(hù)層

當(dāng)報(bào)警及人工響應(yīng)失效時(shí)，工藝參數(shù)極有可能超出上下限，增加系統(tǒng)風(fēng)險(xiǎn)。此時(shí)，安全儀表系統(tǒng)（SIS,safety instrumented system）將被觸發(fā)。SIS用于執(zhí)行安全儀表功能（SIF,safety instrumented functions）回路中預(yù)設(shè)的執(zhí)行動(dòng)作，使整個(gè)系統(tǒng)能保持在過(guò)程安全的狀態(tài)，它通常由傳感器、邏輯計(jì)算器和最終執(zhí)行元件組成。安全儀表功能（SIF）是指達(dá)到功能性安全，并具有確定的安全完整性等級(jí)的安全功能，可以是安全儀表保護(hù)功能或安全儀表控制功能[7]。根據(jù)IEC-61511-2016 規(guī)范中的規(guī)定，SIF 回路可分為：（1）低需求模式：按照要求完成安全功能，將單元置于特定的安全狀態(tài)，并且要求的頻率不大于每年一次；（2）高需求模式：按照要求完成安全功能，將單元置于特定的安全狀態(tài)，并且要求的頻率大于每年一次；（3）連續(xù)模式：安全功能將生產(chǎn)裝置保持在安全狀態(tài)是正常操作的組成部分。

在石油化工行業(yè)中，SIF 回路為低需求模式。SIF 回路具有安全完整性等級(jí)(SIL,safety integrity level)，不同的SIL 等級(jí)對(duì)應(yīng)有不同要求時(shí)危險(xiǎn)失效平均概率（PFDavg,average probability of dangerous failure on demand），即SIF 回路在關(guān)鍵時(shí)失效的可能性。不同模式下的PFDavg 見(jiàn)表2 及表3。

表2 安全完整性等級(jí)劃分（低需求模式）

表3 安全完整性等級(jí)劃分（高需求模式及連續(xù)模式）

進(jìn)行判斷SIL 等級(jí)時(shí)，可根據(jù)初始事件風(fēng)險(xiǎn)和風(fēng)險(xiǎn)可接受水平確定需要所有保護(hù)層削減風(fēng)險(xiǎn)的大?。≧RFtotal），然后辨識(shí)除安全儀表功能外其他風(fēng)險(xiǎn)削減措施的風(fēng)險(xiǎn)削減水平，從而達(dá)到要求安全儀表功能所應(yīng)達(dá)到的風(fēng)險(xiǎn)削減水平，再根據(jù)SIL 等級(jí)劃分確定安全儀表功能所要求的SIL 等級(jí)，分析流程見(jiàn)圖2。

圖2 SIL 分析流程圖

SIL 分析過(guò)程步驟如下：

（1）篩選事故場(chǎng)景，編制安全儀表功能清單。根據(jù)PHA 分析報(bào)告等資料確定后果嚴(yán)重、可能需要設(shè)置安全儀表功能的事故場(chǎng)景，篩選出所有事故場(chǎng)景并確定與場(chǎng)景控制響應(yīng)有關(guān)的傳感器和最終元件。

（2）選擇并定義一個(gè)事故場(chǎng)景。事故場(chǎng)景的定義主要是說(shuō)明初始事件（IE，initiating event）、最壞后果（不考慮現(xiàn)有保護(hù)措施）、條件事件（EE，enabling events）等內(nèi)容。

（3）辨識(shí)場(chǎng)景初始事件并確定初始事件頻率（IEF，initiating event frequency）、風(fēng)險(xiǎn)可接受水平。初始事件（通?？捎赑HA 分析報(bào)告中的“原因”偏差尋找）須能夠觸發(fā)事故后果，且獨(dú)立于擬定級(jí)的SIF 回路，同時(shí)根據(jù)不同類(lèi)后果確定所對(duì)應(yīng)的風(fēng)險(xiǎn)可接受水平（TEF，tolerable event frequency）。

（4）辨識(shí)獨(dú)立保護(hù)層（IPL）并估算每個(gè)IPL 基于要求的失效概率（PFD）。IPL 的使用需同時(shí)滿(mǎn)足以下4 個(gè)條件，才可以作為有效的保護(hù)措施起到風(fēng)險(xiǎn)削減作用，分別為：①針對(duì)性—該保護(hù)層必須是針對(duì)所分析的危險(xiǎn)事件場(chǎng)景而設(shè)置，可預(yù)防其發(fā)生或降低其后果影響；②獨(dú)立性—該保護(hù)層必須與其他保護(hù)層和觸發(fā)事件完全獨(dú)立；③可靠性—不論是隨機(jī)故障還是系統(tǒng)故障，該保護(hù)層必須能夠有效地實(shí)現(xiàn)其安全功能；④可驗(yàn)證性—必須是可檢驗(yàn)確認(rèn)的，其風(fēng)險(xiǎn)削減作用能得到持續(xù)保證。

（5）估算事故場(chǎng)景頻率。根據(jù)初始事件頻率（IEF）、條件事件概率、條件調(diào)整因子、各獨(dú)立保護(hù)層的PFD，估算事故場(chǎng)景削減后的頻率。

（6）評(píng)估剩余風(fēng)險(xiǎn)是否達(dá)到可接受風(fēng)險(xiǎn)標(biāo)準(zhǔn)。剩余風(fēng)險(xiǎn)與裝置或企業(yè)的風(fēng)險(xiǎn)可接受水平對(duì)比，確定是否需要進(jìn)一步降低風(fēng)險(xiǎn)。如果剩余風(fēng)險(xiǎn)已小于風(fēng)險(xiǎn)可接受標(biāo)準(zhǔn)，則說(shuō)明現(xiàn)有的保護(hù)措施已經(jīng)足夠，不再需要設(shè)置額外的安全儀表系統(tǒng)或安全聯(lián)鎖回路；如果剩余風(fēng)險(xiǎn)依舊高于風(fēng)險(xiǎn)可接受水平，則需要考慮提高已有獨(dú)立保護(hù)層的可靠性，或者設(shè)置額外的獨(dú)立保護(hù)層（如安全儀表系統(tǒng)或安全聯(lián)鎖回路）以滿(mǎn)足安全功能要求。

（7）判斷是否需要設(shè)置安全儀表功能（SIF）并確定SIL 等級(jí)。如果需要設(shè)置新的安全儀表聯(lián)鎖回路，需進(jìn)一步估算出安全儀表功能（SIF）的風(fēng)險(xiǎn)貢獻(xiàn)水平（RRF），可根據(jù)表1 中確定安全儀表功能（SIF）所要求的SIL 等級(jí)。

確定SIF 回路的等級(jí)后，需要對(duì)SIF 的回路進(jìn)行驗(yàn)算，根據(jù)現(xiàn)場(chǎng)安裝的元器件的失效數(shù)據(jù),并調(diào)研各安全功能回路的結(jié)構(gòu)配置、操作模式、檢驗(yàn)測(cè)試間隔等信息，畫(huà)出相應(yīng)回路的可靠性框圖，分析計(jì)算出PFD 值、安全失效分?jǐn)?shù)、硬件故障裕度，最終確定該安全功能目前達(dá)到的實(shí)際水平。馬爾可夫方法是目前SIL 驗(yàn)算中較為主流的方法。

1.5 物理防護(hù)層

對(duì)于超壓工況，當(dāng)裝置的安全儀表系統(tǒng)觸發(fā)后也無(wú)法阻止事故發(fā)生或發(fā)展，安全泄放系統(tǒng)將會(huì)被激活。在有超壓工況的設(shè)備中，都應(yīng)設(shè)置安全泄放措施。泄放系統(tǒng)應(yīng)經(jīng)過(guò)合適的設(shè)計(jì)和響應(yīng)的維護(hù)，當(dāng)有超壓工況時(shí)，設(shè)備內(nèi)的物料將會(huì)通過(guò)安全閥及爆破片泄放至泄放系統(tǒng)，液相將回收處理，氣相將送至火炬或大氣。安全泄放系統(tǒng)將保證設(shè)備內(nèi)的超壓介質(zhì)進(jìn)行排放，確保不會(huì)破壞設(shè)備。

當(dāng)儲(chǔ)罐破裂物料泄漏時(shí)，圍堰將起到收集的作用，確保物料不會(huì)隨意流淌，導(dǎo)致危害向四處擴(kuò)散。

1.6 工廠(chǎng)應(yīng)急預(yù)案

當(dāng)化工裝置失去控制時(shí)，則需要對(duì)事故進(jìn)行緊急響應(yīng)。小規(guī)模的失去控制可能是泄漏或溢出，液體的泄漏通常是明顯可見(jiàn)的。氣相的泄漏可能更難發(fā)現(xiàn)，需要特殊的儀器進(jìn)行監(jiān)控。如果溢出的原料可燃，首先將會(huì)發(fā)現(xiàn)有小型著火的現(xiàn)象，應(yīng)對(duì)裝置工作人員進(jìn)行一定的應(yīng)急處理培訓(xùn)，確保能在第一時(shí)間扼殺風(fēng)險(xiǎn)源。較大的化工企業(yè)通常設(shè)有專(zhuān)業(yè)的緊急滅火及化學(xué)品泄漏清掃隊(duì)伍。工藝單元中的緊急響應(yīng)動(dòng)作不一定會(huì)導(dǎo)致裝置停車(chē)，但是需要依據(jù)事故的等級(jí)，找出每個(gè)事故的底層原因，并完善裝置中的不足。經(jīng)過(guò)分析確認(rèn)無(wú)誤后，方可進(jìn)行正常的操作。

1.7 區(qū)域應(yīng)急計(jì)劃

當(dāng)事故演變成更嚴(yán)重的事故時(shí)，僅憑單一工廠(chǎng)的能力將會(huì)無(wú)法處理。此時(shí)就需當(dāng)?shù)厣鐓^(qū)的緊急響應(yīng)。區(qū)域應(yīng)急管理是一個(gè)系統(tǒng)性的體系，包括組織體系、運(yùn)行機(jī)制、法律法規(guī)體系以及支持保障體系等部分，每一部分都有多個(gè)方面組成。

區(qū)域應(yīng)急管理包含以下內(nèi)容：（1）立即組織營(yíng)救受害人員，組織撤離或者采取其他措施保護(hù)危害區(qū)域內(nèi)的其他人員；（2）迅速控制事態(tài)，并對(duì)事故造成的危害進(jìn)行檢測(cè)、監(jiān)測(cè)，測(cè)定事故的危害區(qū)域、危害性質(zhì)及危害程度；（3）消除危害后果，做好現(xiàn)場(chǎng)恢復(fù)；（4）查清事故原因，評(píng)估危害程度。

2 總結(jié)

本文通過(guò)對(duì)洋蔥模型中的保護(hù)層進(jìn)行闡述和分析，對(duì)保護(hù)層進(jìn)行了介紹。在化工工藝設(shè)計(jì)時(shí)能考慮結(jié)合洋蔥模型每一層的保護(hù)措施，并確保護(hù)層能夠滿(mǎn)足相應(yīng)工況下的保護(hù)要求，將會(huì)大大提升整個(gè)裝置的安全性，從而減少事故發(fā)生的可能性，確保安全風(fēng)險(xiǎn)在可接受范圍內(nèi)。安全是一個(gè)系統(tǒng)的工程，風(fēng)險(xiǎn)來(lái)自于方方面面。需要結(jié)合設(shè)計(jì)與實(shí)際生產(chǎn)中的風(fēng)險(xiǎn)點(diǎn)，才能徹底做好本質(zhì)安全。