楊艷，王瑞琪，郝郁，蔣娟，高滿倉，梁昌晶

(1. 國家管網(wǎng)集團 山東運維中心濟南作業(yè)區(qū)，山東 淄博 255000；2. 中國石油化工集團中原油田分公司 濮東采油廠，河南 濮陽 457000；3. 中油國際管道有限公司，北京 100029；4. 中國石油華北油田公司 工程技術(shù)研究院，河北 任丘 062552；5. 中國石油集團 渤海鉆探工程有限公司 井下作業(yè)分公司，河北 任丘 062552)

保護層分析(LOPA)是一種半定量、簡化的風險評估方法，用于評估事故場景的后果發(fā)生頻率或嚴重程度是否達到風險可接受準則，并根據(jù)差距確定是否采取風險減緩措施，其結(jié)果是進行安全儀表功能(SIF)辨識和安全完整性等級(SIL)定級的基礎(chǔ)[1]。目前，LOPA分析通常選取最嚴重事故場景，即不考慮事故發(fā)生頻率[2-3]，這在工程設(shè)計階段會使風險被夸大，導致非獨立保護層設(shè)置過多，同時易忽略后果嚴重但發(fā)生頻率較小的場景。此外，LOPA分析時通常采用危險與可操作性分析(HAZOP)進行危險場景辨識，HAZOP作為一種定性評價方法，在場景辨識的過程中，未考慮使能條件和修正因子對事故風險的修正作用[4]，且未能明確表示損失事件與初始事件和事故后果的關(guān)系，因此降低了風險評估的客觀性和可靠性?；谝陨峡紤]，為滿足LOPA場景識別與篩選的要求，充分考慮初始事件、使能條件和修正因子對風險的影響，采用領(lǐng)結(jié)分析法(Bow-tie)識別LOPA場景[5-6]，并改進最大可信事故場景的計算方法[7-8]，得到需進行LOPA分析的場景，以某站場儲罐進行實例驗證。研究結(jié)果可為后續(xù)LOPA分析及保護層優(yōu)化設(shè)計提供實際參考。

1 基于Bow-tie的場景識別

Bow-tie法是一種圖形化的安全分析方法，通過領(lǐng)結(jié)關(guān)系清晰表達事故產(chǎn)生的原因和可能導致的后果，并涵蓋預防事故發(fā)生的控制方法及降低事故后果的減緩措施[6]。通過對比分析發(fā)現(xiàn)，Bow-tie中的原因、頂事件和后果，與LOPA場景中的初始事件、損失事件和事故后果相對應，同時Bow-tie中的預防性安全屏障和減緩型安全屏障對應LOPA場景中主動型保護層和被動型保護層，但由于LOPA分析前期進行場景識別時不考慮保護層的作用，故可簡化Bow-tie模型，用于LOPA場景辨識，如圖1所示。此外，考慮使能條件對簡化后的Bow-tie模型中左側(cè)事故樹中初始事件對損失事件發(fā)生概率的影響，包括季節(jié)性風險和過程狀態(tài)風險的影響；考慮修正因子對右側(cè)事件樹中損失事件對事故后果發(fā)展的影響，包括點火概率、人員出現(xiàn)在事故影響區(qū)域內(nèi)的概率(暴露因子)和火災、爆炸及有毒物質(zhì)釋放導致暴露致死概率的影響。

圖1 Bow-tie模型簡化前后對比示意

2 LOPA場景識別與篩選步驟

2.1 場景識別

LOPA場景識別有以下幾方面：

1)確定損失事件。根據(jù)歐盟工業(yè)意外事故風險評價體系中的要求，將液體、氣體損失事件定義為泄漏，固體損失事件定義為放熱或化學反應，根據(jù)API 581中關(guān)于泄漏孔徑狀態(tài)的定義，將損失事件細化為設(shè)備或管道小孔泄漏(5 mm)、中孔泄漏(25 mm)、大孔泄漏(100 mm)和災難性破裂(150 mm)，同時增加儲罐溢流。

2)完善Bow-tie模型。利用事故樹確定導致?lián)p失事件發(fā)生的初始事件，識別的初始事件包括設(shè)備失效、控制系統(tǒng)失效、人員失誤和外部事件導致的失效，外部事件一般由自然環(huán)境因素造成，故不做分析。同理，利用事件樹確定損失事件發(fā)生后可能造成事故后果，主要考慮泄漏、爆炸和毒性擴散等后果。

3)確定事故后果發(fā)生頻率和嚴重程度。計算事故后果發(fā)生頻率時，需考慮初始事件發(fā)生概率，還要考慮使能條件和修正因子，使能條件是使事故序列轉(zhuǎn)化為最終結(jié)果的重要條件，修正因子與事故后果的嚴重程度相關(guān)。

2.2 場景一次篩選

完成上述操作后，得到初步場景集合，由于LOPA分析只針對風險較高的場景，故對低風險的場景進行篩除。從后果發(fā)生頻率和后果嚴重程度兩方面考慮，當后果發(fā)生頻率小于10-6/a時，認為事故發(fā)生的可能性較低，無需考慮該類場景；對于后果嚴重程度，各公司和企業(yè)的標準有所不同，且人員傷亡、經(jīng)濟損失、環(huán)境影響、聲譽影響等不同角度的可接受后果也不同。因此，場景一次篩選應符合后果不可接受同時發(fā)生頻率不小于10-6/a的條件。

2.3 場景二次篩選

完成場景一次篩選后，將初始事件與損失事件相同，但后果不同的場景集合為一個場景單元，計算場景單元中各場景的風險大小如式(1)所示：

R=P×L

(1)

式中：R——風險；P——后果發(fā)生頻率；L——后果嚴重程度。

Khan等[9-10]提出的最大可信事故場景模型由于在計算過程中，需根據(jù)風險大小確定可信因子，導致極端情況易忽略，故對其進行改進。首先，確定各場景容許的后果發(fā)生頻率Ps，即在當前場景后果嚴重程度的前提下，達到中低風險所需的最大容許發(fā)生頻率；同理，確定各場景容許的后果嚴重程度Ls。其次，計算P與Ps的等級差O，L與Ls的等級差S，如式(2)～(3)所示：

O=lg(P/Ps)

(2)

S=L-Ls

(3)

根據(jù)后果發(fā)生頻率和后果嚴重程度的權(quán)重計算可信度C如式(4)所示：

(4)

式中：μ，θ——后果嚴重程度和后果發(fā)生頻率的權(quán)重，在此均取0.5。

最后，將C進行歸一化處理得到Cstd，當場景單元中只包含一個場景時，Cstd=1；當場景單元中包含多個場景時，Cstd按照式(5)計算：

(5)

式中：Cmin，Cmax——場景單元中可信度的最小值和最大值。

按照可信度分級原則，根據(jù)Cstd的結(jié)果，將Cstd>0.6定義為最大可信區(qū)域，該區(qū)域內(nèi)的場景易造成較為嚴重的后果；0.20.6的最大可信區(qū)域作為后續(xù)LOPA分析的場景。

3 實例分析

以某集中處理站內(nèi)1.0×104m3原油儲罐為例，針對原油泄漏和溢流等損失事件進行Bow-tie的場景識別，如圖2所示。其中，小孔和中孔泄漏的當量泄漏速率較小，不足以引發(fā)蒸氣云爆炸和沸騰液體擴散蒸氣爆炸(BLEVE)，故不予考慮；當泄漏孔徑較大或溢流時，按照立即點火或延遲點火對事故后果分類，并根據(jù)延遲點火的環(huán)境進行細化，因此事故后果包括閃火、池火災、毒性擴散、蒸氣云爆炸等。儲罐泄漏及溢流場景見表1所列。

圖2 Bow-tie模型場景識別示意

表1 儲罐泄漏及溢流場景

續(xù)表1

初始事件中對于設(shè)備失效概率計算，參照API 581從技術(shù)模塊、通用條件、機械因子和工藝因子等方面計算設(shè)備修正系數(shù)。目前，儲罐的損傷機理為腐蝕壁厚減薄，通過設(shè)備壁厚檢測和檢測時間間隔確定腐蝕速率，計算腐蝕減薄因子；通用條件、機械因子和工藝因子等與工藝連續(xù)性和外部環(huán)境等相關(guān)，可根據(jù)實際工況實時更新，計算如式(6)所示：

F=FG×FE×FM×FL

(6)

式中：F——機械設(shè)備失效概率；FG——同類設(shè)備失效概率；FE——設(shè)備修正系數(shù)；FM——管理評價系數(shù)；FL——超標缺陷影響系數(shù)。

控制系統(tǒng)失效概率計算參照IEC 61508中SIL等級驗證方法，利用簡易公式法計算控制系統(tǒng)各元件的失效概率，計算公式如式(7)所示：

(7)

PFDavg BPCS=PFDavg S+PFDavg L+PFDavg SE

(8)

式中：PFDavg——子系統(tǒng)失效概率；λDD——檢測到的危險失效率，h-1；λDD——未檢測到的危險失效率，h-1；RT——設(shè)備的平均恢復時間，h；TI——設(shè)備的測試周期，h；PFDavg BPCS——BPCS控制系統(tǒng)失效概率；PFDavg S——傳感器子系統(tǒng)失效概率；PFDavg L——邏輯控制器子系統(tǒng)失效概率；PFDavg SE——執(zhí)行元件子系統(tǒng)失效概率。

人員失誤參照AQ/T 3054—2015《保護層分析(LOPA)方法應用導則》中附錄的推薦數(shù)值[11]，假設(shè)人員在較好的培訓、不緊張、不疲勞的條件下失誤，取值為10-1～10-3。

對于小孔和中孔泄漏，修正因子中點火概率按照國際油氣生產(chǎn)者協(xié)會(OGP)的推薦取值，不區(qū)分立即點火和延遲點火，小孔泄漏點火概率取0.001 5，中孔泄漏點火概率取0.006 5；對于大孔泄漏、災難性破裂和溢流，由于涉及蒸氣云爆炸，按照紫皮書中關(guān)于固定裝置的推薦值，立即點火概率取0.065，延遲點火概率取0.144。

修正因子中暴露因子應包括可能出現(xiàn)在場景中的人員，如巡檢人員、維修人員、日常運行人員，這些人員只會在特定時間經(jīng)過危險區(qū)域，故應根據(jù)廠區(qū)內(nèi)設(shè)置的巡檢頻率，計算人員暴露因子。

修正因子中的致死概率不能獨立于暴露因子，只有人員在危險區(qū)域內(nèi)才有可能死亡，致死概率采用傷害區(qū)域同心圓準則計算，如圖3所示。將傷害區(qū)域劃分為死亡區(qū)、重傷區(qū)、輕傷區(qū)和安全區(qū)四類，其中死亡區(qū)的半徑為R0.5，在圓心處的致死概率為1，死亡區(qū)外徑處的致死概率為0.5。同理，重傷區(qū)的半徑為R0.15，外徑處的致死概率為0.15；輕傷區(qū)的半徑為R0.05，外徑處的致死概率為0.05。

圖3 傷害區(qū)域同心圓示意

在考慮使能條件和修正因子的條件下，計算各場景后果發(fā)生頻率，以儲罐溢流損失事件中BPCS液位傳感器失效為例，傳感器采用“1oo1”冗余結(jié)構(gòu)，其λDU=2×10-6，λDD=1.5×10-6，TI=8 760 h，RT=8 h，代入式(7)計算得PFDavg=0.008 77。BPCS失效只與收發(fā)油操作有關(guān)，按照年周轉(zhuǎn)次數(shù)20，每次的收發(fā)油時長為5 d計算，故使能條件概率為20×5/365=0.27。儲罐溢流后，人員一定會前往事故現(xiàn)場進行手動操作控制系統(tǒng)或確認事故，故暴露因子取1。

致死概率采用ALOHA軟件中液池模型，得到毒性、閃火/池火災和蒸氣云爆炸傷害半徑與致死概率的關(guān)系，如圖4所示。毒性擴散的閾值根據(jù)常用急性暴露準則限值(AEGLs)，當AEGLs=4×10-3時，人員生命健康受到威脅或死亡，對應死亡區(qū)外徑；當AEGLs=8×10-4時，人員會受到不可逆的傷害或喪失逃生能力，對應重傷區(qū)外徑；當AEGLs=4×10-4時，人員感到不舒服或某些無癥狀的非感覺效應，但這些癥狀是暫時性且可逆，對應輕傷區(qū)外徑。同理，閃火/池火災主要危害形式為熱輻射，其死亡區(qū)、重傷區(qū)和輕傷區(qū)的外徑分別對應10 kW/m2，5 kW/m2和2 kW/m2。取人員與儲罐的距離為50 m，由此確定毒性、閃火/池火災和蒸氣云爆炸事故發(fā)生時的人員致死概率分別為0.78，0.16，0.17。

綜上所述，儲罐溢流損失事件中BPCS液位傳感器失效造成的毒性擴散后果發(fā)生頻率為8.77×10-3×0.27×1×0.78=1.84×10-3。同理，閃火/池火災的后果發(fā)生頻率為8.77×10-3×0.27×0.065×1×0.16=2.46×10-5，蒸氣云爆炸事故后果發(fā)生頻率為8.77×10-3×0.27×0.144×1×0.17=5.79×10-5。

依次計算其余場景下的后果發(fā)生頻率，并確定后果嚴重程度等級。后果嚴重程度等級遵循蒸氣云爆炸>閃火/池火災>毒性擴散，與圖4結(jié)果一致。

圖4 毒性、閃火/池火災和蒸氣云爆炸的傷害半徑與致死概率的關(guān)系示意

由表1計算結(jié)果可知，所有場景的后果發(fā)生頻率均大于10-6a，根據(jù)該站場風險評價矩陣，篩除后果嚴重程度A和B的場景，最終確定大孔泄漏、災難性破裂和儲罐溢流下的所有場景進入二次篩選。按照2.3節(jié)的方法計算各場景單元內(nèi)的可信度C，并計算Cstd，按照可信度分級原則，列出Cstd>0.6的場景，見表2所列。二次篩選后待分析的LOPA場景主要集中在大孔泄漏蒸氣云爆炸，災難性破裂閃火/池火災、蒸氣云爆炸，儲罐溢流閃火/池火災、蒸氣云爆炸等，對于毒性擴散造成的后果無需進行LOPA分析。

綜上所述，采用簡化后的Bow-tie模型進行LOPA場景識別，結(jié)合了站場的實際可容忍風險情況，利用最大可信事故場景的計算方法對LOPA場景進行二次篩選，最終得到了7個待分析的LOPA場景，該方法具有較強的可靠性和科學性。

表2 二次篩選后待分析的LOPA場景

4 結(jié)束語

在LOPA分析中，場景識別與篩選是第一步，是后續(xù)LOPA分析的計算基礎(chǔ)。通過簡化Bow-tie模型，將其用于LOPA場景識別，充分考慮后果可能性和后果發(fā)生頻率的權(quán)重，改進最大可信事故場景計算方法。以某站場儲罐泄漏和溢流損失事件為例，考慮初始事件、使能條件和修正因子的影響，二次篩選事故場景，最終得到7個待分析的LOPA場景，本文提出的方法可更加全面地篩選事故場景，且對于后續(xù)LOPA分析具有指導意義。