陶 冶，姚安林，2，徐濤龍，蔣宏業(yè)，李又綠

(1.西南石油大學(xué) 石油與天然氣工程學(xué)院，四川 成都 610500； 2.油氣消防四川省重點(diǎn)實(shí)驗(yàn)室，四川 成都 610500)

0 引言

保護(hù)層分析(Layer of Protection Analysis，LOPA)作為一種簡(jiǎn)化的、半定量的風(fēng)險(xiǎn)評(píng)估方法，是一種評(píng)估化工系統(tǒng)安全措施靈活有效的工具，在過(guò)程工業(yè)中得到了廣泛的應(yīng)用[1]。LOPA通過(guò)事故后果的嚴(yán)重程度與發(fā)生頻率的數(shù)量級(jí)大小來(lái)近似表征所評(píng)估場(chǎng)景的風(fēng)險(xiǎn)水平[2]。針對(duì)某一特定場(chǎng)景，LOPA首先識(shí)別該場(chǎng)景的初始事件并確認(rèn)其發(fā)生頻率，然后進(jìn)行獨(dú)立保護(hù)層(Independent Protection Layer，IPL)識(shí)別并確認(rèn)其需要時(shí)的失效概率(Probability of Failure on Demand，PFD)，計(jì)算得到該場(chǎng)景的場(chǎng)景頻率并與企業(yè)的風(fēng)險(xiǎn)容忍標(biāo)準(zhǔn)比較，從而做出決策。

目前，國(guó)內(nèi)外許多學(xué)者對(duì)LOPA進(jìn)行了研究并提出改進(jìn)方法。如Markowski等[3]將專家系統(tǒng)與保護(hù)層分析法相結(jié)合提出了“Exsys-LOPA”；YUN等[4]將貝葉斯理論應(yīng)用于LOPA提出了“BN-LOPA”；鄧彬等[5]將軌跡交叉理論與LOPA相結(jié)合對(duì)系統(tǒng)的安全狀況進(jìn)行分析評(píng)價(jià)；夏陽(yáng)光等[6]將模糊故障樹應(yīng)用于LOPA提出“FFTA-LOPA”；徐青偉等[7]將云模型、BOW-TIE模型與LOPA結(jié)合對(duì)LOPA進(jìn)行改進(jìn)；閆放等[8]將集對(duì)分析與LOPA結(jié)合，提出“SPA-LOPA”；萬(wàn)古軍等[9]對(duì)LOPA中獨(dú)立保護(hù)層的識(shí)別進(jìn)行研究；靳江紅等[10]對(duì)LOPA中定量問(wèn)題進(jìn)行了研究等等。然而，現(xiàn)有的研究均沒(méi)有系統(tǒng)全面地考慮非獨(dú)立保護(hù)層對(duì)后果的影響，在實(shí)際評(píng)價(jià)中，一些非獨(dú)立保護(hù)層并非完全起不到保護(hù)作用，若評(píng)價(jià)過(guò)程中不考慮這些保護(hù)層的作用，就有可能導(dǎo)致評(píng)價(jià)結(jié)果過(guò)于保守，從而造成無(wú)謂的技術(shù)改造，增加了資金投入。

因此，本文在分析獨(dú)立保護(hù)層的定義、分類、判定依據(jù)的基礎(chǔ)上，分析非獨(dú)立保護(hù)層對(duì)評(píng)估結(jié)果的影響并提出相應(yīng)的改進(jìn)方案，以期克服LOPA在識(shí)別保護(hù)層方面以及場(chǎng)景頻率計(jì)算方面的局限性，拓展其使用范圍。

1 LOPA中的保護(hù)層

1.1 獨(dú)立保護(hù)層

《保護(hù)層分析——簡(jiǎn)化的過(guò)程風(fēng)險(xiǎn)評(píng)估》一書中對(duì)獨(dú)立保護(hù)層的定義為：獨(dú)立保護(hù)層是能夠阻止場(chǎng)景向不良后果繼續(xù)發(fā)展的一種設(shè)備、系統(tǒng)或行動(dòng)，并獨(dú)立于初始事件或場(chǎng)景中其他保護(hù)層的行動(dòng)[11]。獨(dú)立保護(hù)層作用示意如圖1所示。

圖1 獨(dú)立保護(hù)層功能示意Fig.1 Functional diagram of IPL

按照獨(dú)立保護(hù)層的判定規(guī)則，獨(dú)立保護(hù)層必須滿足有效性、獨(dú)立性以及可審查性。有效性是指其必須能有效地防止所評(píng)估場(chǎng)景中不期望的后果；獨(dú)立性是指其必須獨(dú)立于初始事件及同一場(chǎng)景中已經(jīng)被認(rèn)定為是獨(dú)立保護(hù)層的任何構(gòu)成元件；可審查性是指被認(rèn)定的獨(dú)立保護(hù)層必須可以驗(yàn)證其功能的有效性以及確認(rèn)的PFD的合適性。

一個(gè)化工過(guò)程通常包含多個(gè)保護(hù)層，典型的保護(hù)層包括工藝設(shè)計(jì)(本質(zhì)安全設(shè)計(jì))、基本過(guò)程控制系統(tǒng)(BPCS)、關(guān)鍵報(bào)警和人員干預(yù)、安全儀表系統(tǒng)(SIS)、物理保護(hù)(安全閥、爆破片等)、釋放后保護(hù)(防火堤、防爆墻等)、工廠及社區(qū)應(yīng)急響應(yīng)等。美國(guó)化工過(guò)程安全中心(CCPS)給出了一些典型獨(dú)立保護(hù)層及PFD，如表1所示[11]。

表1 典型的獨(dú)立保護(hù)層及其PFDTable 1 Typical IPL and its PFD

1.2 非獨(dú)立保護(hù)層

對(duì)于過(guò)程工業(yè)典型的保護(hù)層，保護(hù)層的可審查性基本都會(huì)予以保證，所以獨(dú)立保護(hù)層的有效性及獨(dú)立性是其核心特性[12]。但在實(shí)際評(píng)估過(guò)程中，一些保護(hù)層可能不滿足某個(gè)特性，將不作為獨(dú)立保護(hù)層考慮，但其并非起不到作用，如果單純將其忽視，很可能會(huì)夸大風(fēng)險(xiǎn)、使評(píng)價(jià)結(jié)果偏于保守，從而造成不必要或過(guò)多的技術(shù)改造和資金投入。

根據(jù)獨(dú)立保護(hù)層的定義，非獨(dú)立保護(hù)層可定義為“不能夠完全阻止場(chǎng)景向不良后果繼續(xù)發(fā)展的一種設(shè)備、系統(tǒng)或行動(dòng)，或不獨(dú)立于初始事件或場(chǎng)景中其他保護(hù)層的行動(dòng)”。CCPS總結(jié)了一些通常情況下不視作獨(dú)立保護(hù)層的例子，包括培訓(xùn)和取證、設(shè)備維護(hù)、標(biāo)識(shí)等[11]。在實(shí)際評(píng)估過(guò)程中，這些例子通常對(duì)評(píng)估結(jié)果造成不了影響，所以在討論非獨(dú)立保護(hù)層對(duì)后果的影響暫不予考慮[13]。故可以將非獨(dú)立保護(hù)層分為2類，即不滿足有效性的保護(hù)層和不滿足獨(dú)立性的保護(hù)層，下面將分別對(duì)其進(jìn)行分析，并對(duì)其影響LOPA結(jié)果的處理方法構(gòu)建起相應(yīng)的改進(jìn)策略。

2 不滿足有效性的保護(hù)層

不滿足有效性的保護(hù)層，即不能有效地防止不期望后果的保護(hù)層，或者說(shuō)只能部分有效的保護(hù)層。而傳統(tǒng)LOPA對(duì)于獨(dú)立保護(hù)層的選取原則，一個(gè)保護(hù)層不是生效就是失效，不存在部分生效的情況，這就導(dǎo)致了某些保護(hù)層實(shí)際上可以起到一定的降低、減緩風(fēng)險(xiǎn)的作用，但實(shí)際被忽略的情況，從而夸大了風(fēng)險(xiǎn)。對(duì)于通常在事故發(fā)生前便生效的主動(dòng)保護(hù)層(如BPCS，SIS等)而言，若其生效，則事故后果便不會(huì)發(fā)生，若其失效，則事故后果發(fā)生，其有效性容易判斷。但對(duì)于事故發(fā)生后才發(fā)揮作用的被動(dòng)型保護(hù)層(如防火堤、防爆墻等)，若生效，其事故后果不一定會(huì)完全規(guī)避，若失效，其也有可能減緩事故后果。所以，在處理這類保護(hù)層時(shí)有必要對(duì)現(xiàn)有的方法進(jìn)行改進(jìn)，以增加其適用性。

2.1 改進(jìn)策略

對(duì)于某一場(chǎng)景，其風(fēng)險(xiǎn)可以表征為事故后果與場(chǎng)景頻率的乘積，即：

RC=fC×C

(1)

式中：RC為場(chǎng)景的風(fēng)險(xiǎn)等級(jí)；fC為場(chǎng)景的發(fā)生頻率；C為場(chǎng)景的后果嚴(yán)重程度。

進(jìn)行LOPA分析時(shí)，在確定了一個(gè)獨(dú)立保護(hù)層，其場(chǎng)景頻率也會(huì)隨之相應(yīng)降低，后果嚴(yán)重程度并不會(huì)改變，然而，類似于防火堤之類的被動(dòng)保護(hù)層，往往是降低了后果的嚴(yán)重程度。而削減系數(shù)可以量化風(fēng)險(xiǎn)的削減程度，并可以通過(guò)推導(dǎo)轉(zhuǎn)化為更深層次的、合理的評(píng)價(jià)結(jié)果，在工程上得到廣泛的應(yīng)用。由此，為了合理處理此類非獨(dú)立保護(hù)層有效部分對(duì)后果的削減效果并將其削減程度轉(zhuǎn)化為場(chǎng)景頻率的表征，引入削減系數(shù)λ[14]。

設(shè)某一場(chǎng)景無(wú)任何保護(hù)層時(shí)的后果嚴(yán)重度為C，保護(hù)層發(fā)生作用時(shí)場(chǎng)景后果嚴(yán)重程度為C1，則削減系數(shù)為：

(2)

從式(2)中不難看出，0<λ<1，且隨著λ的減小，保護(hù)層對(duì)風(fēng)險(xiǎn)的削減作用增強(qiáng)。λ之所以不能取0和1，是因?yàn)楫?dāng)λ為0時(shí)，表示風(fēng)險(xiǎn)被完全規(guī)避，說(shuō)明保護(hù)層起到了完全保護(hù)的作用，即為獨(dú)立保護(hù)層，便不是非獨(dú)立保護(hù)層；當(dāng)λ為1時(shí)，表示風(fēng)險(xiǎn)沒(méi)有被削減，說(shuō)明保護(hù)層已經(jīng)失效，便不是保護(hù)層，這都與非獨(dú)立保護(hù)層的意義相悖。引入削減系數(shù)的非獨(dú)立保護(hù)層分析示意如圖2所示，其中λ1，λ2，λ3分別為不滿足有效性的非獨(dú)立保護(hù)層1，2，3的削減系數(shù)。

圖2 引入削減系數(shù)的非獨(dú)立保護(hù)層分析示意Fig.2 Schematic diagram of Non-IPL analysis with reduction coefficient

引入削減系數(shù)后，便可將后果削減轉(zhuǎn)化為場(chǎng)景風(fēng)險(xiǎn)頻率進(jìn)行計(jì)算。設(shè)某一場(chǎng)景后果為C，有不滿足有效性的非獨(dú)立保護(hù)層(PL)a個(gè)，每個(gè)非獨(dú)立保護(hù)層的削減系數(shù)為λ1，λ2，，λa，獨(dú)立保護(hù)層(IPL)b個(gè)，則由式(1)，場(chǎng)景風(fēng)險(xiǎn)R為：

(3)

故場(chǎng)景頻率f為：

(4)

式中：R為場(chǎng)景的風(fēng)險(xiǎn)等級(jí)；f為場(chǎng)景的發(fā)生頻率；C為場(chǎng)景的后果嚴(yán)重程度；fI為初始事件頻率；PFDPL為非獨(dú)立保護(hù)層失效概率；PFDIPL為獨(dú)立保護(hù)層失效概率；λ為非獨(dú)立保護(hù)層的削減系數(shù)。

2.2 案例分析

來(lái)自上游工藝單元的油品進(jìn)入儲(chǔ)罐，儲(chǔ)罐液位受液位控制回路控制，儲(chǔ)罐總?cè)萘繛?×104m3，該儲(chǔ)罐位于防火堤內(nèi)?，F(xiàn)因液位控制回路失效(失效概率為1×10-1次/a)，導(dǎo)致儲(chǔ)罐溢流，泄漏量為40 m3，泄漏物進(jìn)入防火堤(PFD為1×10-2次/a)，但現(xiàn)場(chǎng)發(fā)現(xiàn)該防火堤在容納30 m3泄漏物高度處有1較大裂縫。場(chǎng)景為：液位控制系統(tǒng)失效導(dǎo)致40 m3油品流出儲(chǔ)罐，引發(fā)火災(zāi)、人員傷亡。

對(duì)于此場(chǎng)景，防火堤是唯一的保護(hù)層，但溢流量為40 m3，而防火堤在30 m3處存在較大裂縫，按照LOPA對(duì)于獨(dú)立保護(hù)層的要求，顯然該保護(hù)層不滿足有效性，按照傳統(tǒng)LOPA，此時(shí)場(chǎng)景頻率即為初始事件頻率1×10-1次/a。

但實(shí)際上，雖然防火堤存在缺口，但仍然可以容納30 m3的溢流物，相當(dāng)于泄漏了10 m3，故按照改進(jìn)的方法，λ=10/40=0.25，按照(4)式，此場(chǎng)景頻率為：

顯然，改進(jìn)方法得到的場(chǎng)景頻率降低了1個(gè)數(shù)量級(jí)，糾正了傳統(tǒng)LOPA過(guò)于保守的評(píng)價(jià)結(jié)果，提高了LOPA的準(zhǔn)確性?？梢姡浞挚紤]不滿足有效性的非獨(dú)立保護(hù)層對(duì)后果的削減作用而引入削減系數(shù)的改進(jìn)方法是合理而有效的。

3 不滿足獨(dú)立性的保護(hù)層

不滿足獨(dú)立性的保護(hù)層，即保護(hù)層與同一場(chǎng)景中已被認(rèn)定為是獨(dú)立保護(hù)層或初始事件等存在共同元件。對(duì)于傳統(tǒng)LOPA，存在共同構(gòu)成元件的多個(gè)保護(hù)層均按1個(gè)IPL計(jì)算，同不滿足有效性的保護(hù)層一樣，不滿足獨(dú)立性的保護(hù)層也并非起不到保護(hù)作用，單純忽略也可能造成評(píng)價(jià)結(jié)果的過(guò)于保守。所以，有必要針對(duì)不滿足獨(dú)立性的保護(hù)層，在處理方法上進(jìn)行改進(jìn)。

3.1 改進(jìn)策略

保護(hù)層不滿足獨(dú)立性，也就是該保護(hù)層與其他獨(dú)立保護(hù)層等存在共因失效問(wèn)題，而對(duì)于共因失效問(wèn)題，故障樹分析(FTA)可以有效地解決[15]。故障樹分析通過(guò)樹狀的邏輯關(guān)系圖，將系統(tǒng)的故障與組成系統(tǒng)各部件的故障有機(jī)地聯(lián)系在一起，逐層、全面地分析系統(tǒng)所有的失效模式[16]，然后通過(guò)邏輯運(yùn)算，計(jì)算出系統(tǒng)失效的概率。故障樹也有其弊端，對(duì)于復(fù)雜場(chǎng)景，故障樹的構(gòu)建以及失效概率的計(jì)算量可能相當(dāng)巨大，而將FTA集成于LOPA中來(lái)分析保護(hù)層之間的共因失效問(wèn)題，通常只涉及到幾個(gè)部件，故障樹的構(gòu)建以及計(jì)算量也會(huì)大幅減小[17]，故將二者集成，取長(zhǎng)補(bǔ)短，對(duì)傳統(tǒng)LOPA進(jìn)行改進(jìn)。

方法思路：在傳統(tǒng)LOPA分析的基礎(chǔ)上，在識(shí)別保護(hù)層時(shí)增加不滿足獨(dú)立性的保護(hù)層識(shí)別，具體分析流程如圖3所示。最后通過(guò)求最小割集計(jì)算出頂事件(非獨(dú)立保護(hù)層部分)的發(fā)生頻率，從而計(jì)算出場(chǎng)景頻率。

圖3 改進(jìn)的保護(hù)層分析流程Fig.3 Improved procedure of LOPA

3.2 案例分析

為體現(xiàn)出改進(jìn)策略的有效性，以文獻(xiàn)[11]中的案例及數(shù)據(jù)進(jìn)行分析。某油品的進(jìn)罐操作，儲(chǔ)罐位于圍堰內(nèi)，其庫(kù)存量由庫(kù)存控制系統(tǒng)控制，儲(chǔ)罐裝有液位指示器和高液位報(bào)警器，進(jìn)行卸載輸送工作時(shí)，1名操作人員在現(xiàn)場(chǎng)通過(guò)液位指示計(jì)進(jìn)行監(jiān)視，當(dāng)?shù)竭_(dá)控制液位時(shí)，立即停泵切斷進(jìn)料，相關(guān)參數(shù)在控制室進(jìn)行顯式和報(bào)警。場(chǎng)景：儲(chǔ)罐庫(kù)存量控制系統(tǒng)失效，槽車卸載油品到空間不足的儲(chǔ)罐內(nèi)，導(dǎo)致儲(chǔ)罐溢流，潛在的火災(zāi)風(fēng)險(xiǎn)、造成人員傷亡，初始事件儲(chǔ)罐庫(kù)存量控制系統(tǒng)的失效頻率基于工廠數(shù)據(jù)取1.0/a。

通過(guò)分析，該場(chǎng)景有3個(gè)保護(hù)層，卸載前操作人員檢查液位、高液位報(bào)警及人員響應(yīng)、圍堰。根據(jù)CCPS給出的失效數(shù)據(jù)，確定各保護(hù)層失效數(shù)據(jù)如表2所示。

表2 保護(hù)層失效數(shù)據(jù)Table 2 Failure data of protection layer

對(duì)識(shí)別出的保護(hù)層進(jìn)行分析以確定是否滿足獨(dú)立保護(hù)層要求：

1)槽車卸載前操作人員檢查儲(chǔ)罐液位。操作人員檢查儲(chǔ)罐BPCS顯示的液位可以確保儲(chǔ)罐有足夠的空間容納槽車內(nèi)的油品，若高液位則不會(huì)進(jìn)行卸載操作，就不會(huì)發(fā)生溢流，且獨(dú)立于其他任何行動(dòng)，故為獨(dú)立保護(hù)層。

2)BPCS報(bào)警及人員響應(yīng)。它并不獨(dú)立于第一種防護(hù)措施，因?yàn)樗c第一種保護(hù)措施使用相同的液位指示傳感器，故不是獨(dú)立保護(hù)層。

3)圍堰。圍堰能夠防止溢流物流出圍堰的后果，因此是獨(dú)立保護(hù)層。

通過(guò)以上分析可知，卸載前操作人員檢查液位所用液位指示器同時(shí)也是BPCS的一部分，按照傳統(tǒng)LOPA方法，BPCS報(bào)警將不作為1種獨(dú)立保護(hù)層，所以按照傳統(tǒng)LOPA方法計(jì)算場(chǎng)景頻率為：

按照改進(jìn)方法分析流程，對(duì)非獨(dú)立保護(hù)層部分進(jìn)行FTA分析，構(gòu)造的故障樹如圖4所示。相關(guān)失效數(shù)據(jù)來(lái)源于CCPS數(shù)據(jù)庫(kù)以及工廠數(shù)據(jù)，如表3所示。

圖4 非獨(dú)立保護(hù)層部分故障樹Fig.4 Partial FTA of Non-IPL

基本事件失效頻率/(次·a-1)員工誤操作1×10-2液位檢測(cè)元件失效1×10-2邏輯解算器失效1×10-3報(bào)警器失效1×10-1

故障樹在求最小割集時(shí)的邏輯運(yùn)算遵循布爾代數(shù)運(yùn)算法則[18]，則頂事件T的發(fā)生概率為：

(5)

式中：PT為頂事件T的發(fā)生概率；PA為中間事件的發(fā)生概率；PB為底事件的發(fā)生概率。其中，B1事件為員工誤操作；B2事件為液位檢測(cè)元件故障；B3事件為邏輯解算器故障；B4事件為報(bào)警器故障。

將表3數(shù)據(jù)代入式(5)得PT為0.011 01，取整為1.1×10-2，故場(chǎng)景頻率fC為：

與傳統(tǒng)LOPA計(jì)算結(jié)果對(duì)比可見，場(chǎng)景頻率降低了近10倍，提高了LOPA的準(zhǔn)確性。可見，通過(guò)將FTA與LOPA結(jié)合，可以有效解決保護(hù)層之間的共因失效問(wèn)題，改進(jìn)方法是合理而有效的。

4 結(jié)論

1)在進(jìn)行LOPA分析時(shí)，保護(hù)層需滿足有效性、獨(dú)立性和可審查性才可以作為獨(dú)立保護(hù)層進(jìn)行場(chǎng)景頻率的計(jì)算。但有些不滿足某個(gè)特性的保護(hù)層并非完全起不到保護(hù)作用，完全不予考慮是不合理的。

2)針對(duì)LOPA對(duì)于保護(hù)層選取的局限性，考慮了非獨(dú)立保護(hù)層的作用，將非獨(dú)立保護(hù)層分為不滿足有效性的保護(hù)層與不滿足獨(dú)立性的保護(hù)層2類。

3)對(duì)于不滿足有效性的保護(hù)層(被動(dòng)保護(hù)層)，采用引入削減系數(shù)，利用削減系數(shù)對(duì)后果削減程度的量化作用對(duì)LOPA進(jìn)行改進(jìn)；對(duì)于不滿足獨(dú)立性的保護(hù)層(存在共因失效的保護(hù)層)，采用將FTA與LOPA相結(jié)合的方法，利用FTA在解決共因失效問(wèn)題的優(yōu)勢(shì)對(duì)LOPA進(jìn)行改進(jìn)。

4)通過(guò)案例分析驗(yàn)證了改進(jìn)方法的適用性，結(jié)果表明改進(jìn)方法的計(jì)算結(jié)果較傳統(tǒng)方法都降低了近1個(gè)數(shù)量級(jí)，避免了傳統(tǒng)方法過(guò)于保守的評(píng)價(jià)結(jié)果，改進(jìn)方法是合理而有效的。