殷衛(wèi)兵 左 信 杜殿林 張惠良 曲德偉

(1.中國石油大學(北京)，北京 102249；2.北京安穩(wěn)優(yōu)科技有限公司，北京 102200)

保護層分析(Layer of Protection Analysis，LOPA)是一種可重復評估選定事故場景風險的方法[1]。一個典型的化工過程包括各種保護層，如工藝設計(本質安全概念)、基本過程控制系統(tǒng)(Basic Process Control System，BPCS)、安全儀表系統(tǒng)(Safety Instruments System，SIS)、被動減緩或隔離防護設施(如堤壩)、主動防護設施(如安全閥)及人工干預等，這一系列保護層都有效地降低了事故發(fā)生的頻率。而保護層分析作為一種半定量的風險分析和評估方法，能夠使用合理、客觀、基于風險的方法，對保護層的有效性進行分析，并將所有保護層共同作用下的事故風險與風險可容忍標準進行比較[2,3]。

對于特定場景，LOPA基于一致的事故場景分析，能夠判斷該事故風險是否擁有足夠的獨立保護層以防止事故風險發(fā)生。LOPA適用于那些對于定性分析來說過于復雜、后果嚴重的場景，也能為進一步需要定量分析的場景做出預先篩選[4,5]。

1 獨立保護層的定義①

獨立保護層(Independent Protection Layer，IPL)和一般保護措施是指能夠中斷初始事件發(fā)生后事件鏈中的任何一種設備、系統(tǒng)或行動；但由于有效性、確定性和獨立性不同，獨立保護層和一般保護措施有著本質的差別，獨立保護層及其構成元素必須具備有效性、獨立性和可審查性[1]，具體如下：

a. 有效性。按照設計功能發(fā)揮作用，一定能夠有效防止后續(xù)事件發(fā)生。

b. 獨立性。必須獨立于初始事件或同一場景中其他獨立保護層的構成元素。

c. 可審查性。對于阻止后續(xù)事件發(fā)生的有效性和要求時失效概率(Probability of Failure on Demand，PFD)必須能夠通過某種方式驗證，驗證方式可以是審查及測試等。

獨立保護層能夠防止特定場景分析中的事件發(fā)生，或將事件發(fā)生后的不良影響降至最低。根據(jù)保護作用和行動方式，獨立保護層可以劃分為：主動作用或被動作用；事件前阻止發(fā)生或事件發(fā)生后減緩。

2 獨立保護層的識別

設備、系統(tǒng)或行動只有滿足有效性、獨立性和可審查性，才能作為獨立保護層。

2.1 有效性

作為獨立保護層，必須能夠有效防止所在場景中的事故風險的發(fā)生，有效性包括：

a. 獨立保護層必須能夠有效檢測所要采取行動的條件，該條件可以是過程變量或報警等。如果不能檢測到行動條件，那么就不可能產(chǎn)生進一步的行動，則保護自然不可能實現(xiàn)。

b. 行動條件的檢測和保護行動的及時性，也就是必須有時效性。這里包括行動條件檢測及時、決策及時和行動及時，這樣才能共同作用產(chǎn)生及時的保護行動，任何一個環(huán)節(jié)上的時間遲緩都可能造成保護行動的失效。

c. 保護行動一旦作用，就必須具備有效強度，足以遏制事故風險的發(fā)生。

2.2 獨立性

獨立保護層的獨立性，用以保證初始事件或其他獨立保護層不會對該獨立保護層產(chǎn)生影響，來確保該獨立保護層的保護能力。獨立性包括兩個方面：

a. 構成獨立保護層的任一元素必須獨立于初始事件及其后果。因為如果獨立保護層的構成元素與初始事件或后果時間有重疊，這將造成獨立保護層的這一元素無法發(fā)揮作用，從而造成保護失效。

b. 構成獨立保護層的任一元素必須獨立于同一場景其他獨立保護層構成元素。這是因為具有相同組成元素的保護層，如果其中一個失效，那么另一個也可能無法作用。

2.3 可審查性

組成獨立保護層的元素、系統(tǒng)或行動都必須經(jīng)過審查，證明其滿足阻止或減緩事故風險的要求。此外，獨立保護層的設計、安裝、功能測試和后期維護也必須具有可審查性。

3 保護層分析

3.1 典型的獨立保護層

典型的獨立保護層大致包括七類[1]。

本質安全的工藝設備設計。工藝設計或設備設計的本質安全能夠從根本上杜絕初因事件的發(fā)生。例如設計高壓容器時，設計使用遠遠高于工藝運行負荷的高壓標準。遠遠高于工藝運行負荷的高壓容器作為保護層，同時滿足有效性、獨立性及可審查性等幾個方面的要求，因此是獨立保護層。

基本過程控制系統(tǒng)。基于DCS的自動控制回路或手動控制回路通常均可作為獨立保護層。但要注意，控制回路的測量儀表部分不能與初因事件或同一場景中的其他獨立保護層的測量儀表相同，否則獨立性不具備。同樣，控制回路中的執(zhí)行元件(閥門及變頻器等)也不能與初因事件或同一場景中的其他獨立保護層的執(zhí)行元件相同。當同一場景中確實出現(xiàn)了多個基本過程控制系統(tǒng)類型的獨立保護層時，由于均使用DCS邏輯控制作為決策元件，此時獨立保護層的失效概率(PFD)應適當調(diào)增。

系統(tǒng)報警與人工干涉。系統(tǒng)報警作為檢測、人工決策、再配合人員行動也構成了保護層，但能否作為獨立保護層，就要嚴格考核人工決策與人員行動的有效性、獨立性和可審查性。人工決策和人員行動必須簡單、快捷、有效，否則就不能被認定為獨立保護層。例如操作室內(nèi)系統(tǒng)報警后，人工決策要快速關閉閥門，但目標閥門為位于室外裝置區(qū)遠處的手動閥，由于關閥時間不能得到保證，則這一保護一般不能作為獨立保護層。

安全儀表功能。安全儀表功能由安全儀表系統(tǒng)的專用傳感器、邏輯運算模塊和執(zhí)行器組成，一般能夠滿足有效性、獨立性和可審查性的要求，可作為獨立保護層。但也有例外情況，如傳感器或執(zhí)行器可能采用與其他安全儀表功能或控制回路中的傳感器或執(zhí)行器共用，則此時獨立性條件不滿足，不能視作獨立保護層。

物理保護設施。設計、性能、維護適合的主動保護設備中，滿足有效性、獨立性和可審查性的設施可作為獨立保護層。例如某些高壓容器配置的安全閥，當初因事件引發(fā)的壓力升高至設定值，安全閥自動打開、泄壓。

減緩設施。事故風險發(fā)生后，能夠減緩事故后果的設施中，符合有效性、獨立性和可審查性的設施也可視作獨立保護層。例如消防蒸汽、自動噴淋可在明火發(fā)生后遏制火勢蔓延，甚至滅火。

其他如現(xiàn)場應急響應、消防、撤離及隔離等措施，往往由于有效性不能保證，也不具有獨立性，因此不能作為獨立保護層。

3.2 獨立保護層分析示例

3.2.1濾后原料油罐液位低

濾后原料油罐是某柴油加氫裝置中的工藝環(huán)節(jié)，經(jīng)過濾后的柴油進入緩存儲罐，罐底流出的柴油與氫氣混合后依次進入一系列換熱器，再經(jīng)加熱爐升溫后，進入反應器進行柴油加氫反應，其流程如圖1所示。原料油罐液位低會造成罐出口管線流量低或斷流，可能導致原料油泵損壞，加熱爐爐管高溫結焦。

圖1 濾后原料油罐部分流程

對于由于儲罐底部流量控制回路FIC702失效初因引發(fā)的事故場景，可用的獨立保護層分析如下:

a. BPCS保護層。液位控制回路LIC601，其中傳感器LT601、DCS邏輯控制、調(diào)節(jié)閥LY601均滿足獨立性、有效性和可審查性的要求，因此構成獨立保護層。

b. 系統(tǒng)報警加人員干涉。液位低報警LI602、LI603加人工判定并開啟儲罐進料管線副線手動截止閥，雖然LI602、LI603與前面的LT601都是同一儲罐的液位測量，而安裝、元件組成均相互獨立，因此這里的液位報警滿足要求。人工判定、副線手動截止閥的可操作性與有效性經(jīng)現(xiàn)場認定，符合要求，因此也構成獨立保護層。

c. 安全儀表功能。安全儀表功能UC601由傳感器LT601、LT602、LT603、SIS邏輯控制和數(shù)個安全截止閥構成，能夠實現(xiàn)柴油加氫裝置局部停車，避免事故發(fā)生。雖然SIS邏輯控制與安全截止閥滿足要求，但三取二(2oo3)的傳感器與上述兩個獨立保護層的傳感器部分有重復，當這兩個獨立保護層由于傳感器故障不能起作用時，安全儀表功能UC601必然不能作用，因此不滿足獨立保護層獨立性的要求，不能作為獨立保護層。若重新設計安裝，使用獨立的液位傳感器或液位開關，則UC601可以作為獨立保護層。

綜上所述，由于儲罐D2102泄漏初因引發(fā)的事故場景中BPCS保護層和系統(tǒng)報警加人員干涉為獨立保護層。

3.2.2反應加熱爐爐出口溫度高

反應加熱爐及其相關工藝過程是某柴油加氫裝置中的工藝環(huán)節(jié)(圖2)，經(jīng)過一系列換熱器初步升溫的混氫油在加熱爐中被加熱，進一步升溫后進入加氫反應器進行加氫反應，反應流出物經(jīng)冷卻進入高壓分離罐進行三相分離。反應加熱爐的出口混氫油溫度高可能造成反應器超溫、超壓，嚴重時可能引起爆炸或起火等嚴重后果。

對于因燃氣分液罐壓力控制PIC201失效引起燃氣壓力高、流量大造成的被加熱混氫油溫度高引發(fā)的事故場景，可用的獨立保護層分析如下：

a. BPCS保護層。加熱爐出口混氫油溫度串級控制TIC903能夠有效控制進入加熱爐燃燒火嘴的燃氣流量；此外，反應器中段溫度控制TIC001和TIC002的急冷氫注入能有效控制反應器溫度。經(jīng)過對有效性、獨立性和可審查性的考查，這些保護層可視作獨立保護層，但由于同屬BPCS的獨立保護層，在計算PFD時應適當調(diào)增。

b. 系統(tǒng)報警加人員干涉。加熱爐出口溫度報警TIC903，反應器溫度報警TIC001、TIC002，與上面的BPCS獨立保護層測量部分重疊，由于不滿足獨立性要求，無法參與構成獨立保護層。

圖2 加氫反應加熱爐相關工藝環(huán)節(jié)流程

c. 安全儀表功能。加熱爐支路出口溫度TI901/2/3(A-B)構成的安全儀表功能UC901，能夠在支路出口溫度高于聯(lián)鎖值時，實現(xiàn)加熱爐局部停車，避免事故發(fā)生，經(jīng)過對有效性、獨立性和可審查性的考查，該保護層可視作獨立保護層。

d. 物理保護設施。由于加氫反應器與高壓分離器為通路，因此位于高壓分離器頂部的0.7MPa和1.4MPa手動泄壓閥可以作為保護層，但在某些極端情況下，例如加氫反應器與高壓分離器之間的換熱器因除鹽水注入流量過低時，銨鹽結晶可能堵截該通路，此時這兩個位于高壓分離器頂部的泄壓閥將無法對反應器泄壓，因此該保護層不滿足有效性和獨立性要求，不能作為獨立保護層。

綜上所述，由于燃氣分液罐壓力控制PIC201失效初因引發(fā)的事故場景中的BPCS保護層和安全儀表功能為獨立保護層。

4 結束語

LOPA不僅能夠評估過程危險場景的風險等級，評判系統(tǒng)保護層配置是否安全，還能用于裝置布局的風險評價及安全儀表功能的安全完整性等級確定等。而在LOPA執(zhí)行過程中，獨立保護層的識別與確認是關鍵步驟，對LOPA的準確性有著至關重要的作用。識別獨立保護層的標準是有效性、獨立性和可審查性，但對于具體風險事故場景，這些標準的應用卻可能充滿復雜性，評審者必須精心分析、仔細甄別，才能做到準確識別獨立保護層，做好LOPA實施工作。

[1] CCPS．Layer of Protection Analysis-Simplified Process Risk Assessment[M]．New York:Wiley,2001．

[2] 白永忠,萬古軍,張廣文.保護層分析中獨立保護層的識別研究[J].中國安全科學學報,2011,21(7):74～78.

[3] Wei C Y, Rogers W J,Mannan M S.Layer of Protection Analysis for Reactive Chemical Risk Assessment[J].Journal of Hazardous Materials,2008,159(1):19～24.

[4] Markowski A S,Mannan M S.ExSys-LOPA for the Chemical Process Industry[J].Journal of Loss Prevention in the Process Industries,2010，(23):688～696.

[5] 吳重光,張貝克,馬昕.過程工業(yè)安全設計的防護層分析(LOPA)[J].石油化工自動化,2007,43(4):1～3，28.