流程生產(chǎn)風(fēng)險防控的功能安全完整性

張建榮, 張偉, 張充, 趙挺生

(華中科技大學(xué)土木與水利工程學(xué)院, 武漢 430074)

流程行業(yè)生產(chǎn)具有工藝繁多、工序關(guān)聯(lián)耦合、生產(chǎn)環(huán)境惡劣等特點,一旦發(fā)生事故,輕則影響生產(chǎn)穩(wěn)定性,造成經(jīng)濟財產(chǎn)損失,重則引發(fā)重大安全事故,導(dǎo)致人員傷亡。據(jù)國家應(yīng)急管理部及各省市應(yīng)急管理局統(tǒng)計數(shù)據(jù)顯示,以鋼鐵行業(yè)為例,2018—2022年共發(fā)生安全事故111起,其中較大事故21起,平均每起事故傷亡2.54人,造成經(jīng)濟損失204.4萬元。2022年2月18日,廣東省惠州市某鑄造廠煉鋼車間發(fā)生電弧爐爆炸事故,造成3人死亡,15人受傷?？偟膩碚f,流程生產(chǎn)風(fēng)險防控的壓力較大,運用先進技術(shù)手段、完善管理體系刻不容緩。

功能安全的概念起源于20世紀(jì)60—70年代,在航空領(lǐng)域和核技術(shù)領(lǐng)域最先運用,后逐步拓展到流程生產(chǎn)領(lǐng)域,它是基于風(fēng)險的安全理論[1],運用風(fēng)險評估、完全完整性等級(safety integrity level, SIL)定級與驗證等技術(shù)措施,確保安全相關(guān)系統(tǒng)(safety related system, SRS)被有效執(zhí)行,以降低風(fēng)險或減輕事故后果,保障生產(chǎn)安全。常見的SIL定級方法有風(fēng)險圖法、保護層分析法等,廖柯熹等[2]基于風(fēng)險圖法確定了輸氣站場緊急切斷系統(tǒng)的安全儀表所需功能安全完整性等級為2級,Piesik等[3]通過修正風(fēng)險圖,提高了安全完整性等級定級的適用性和準(zhǔn)確性。風(fēng)險圖法屬于定性方法,依賴于專家經(jīng)驗,主觀性強,而保護層法(layer of protection analysis, LOPA)可以定量估計各保護層的風(fēng)險水平,SIL定級可信性強。宋飛等[4]和Bacha等[5]分別對油庫站場汽油儲罐和石油熱工液壓系統(tǒng)丙烷儲罐的高風(fēng)險點進行保護層分析,確保作業(yè)現(xiàn)場風(fēng)險可控。常見的SIL驗證方法有故障樹分析、可靠性框圖等,Metatla等[6]基于可靠性框圖和故障樹方法實現(xiàn)是否考慮共因失效的可靠性對比研究;Darwish等[7]運用邏輯模糊法驗證了直接還原鐵工藝流程安全儀表系統(tǒng)的功能安全完整性等級。除了硬件的隨機失效,測試自身引起的失效、非理想檢驗測試等[8]也會影響SIL驗證的結(jié)果,劉進東等[9]融合檢測失效模型建立了循環(huán)流化床鍋爐壓力保護系統(tǒng)功能安全評估模型;岑康等[10]進一步將人因失效概率引入SIL驗證模型中,實現(xiàn)了對非常規(guī)安全儀表的功能安全評價。

現(xiàn)有研究以SRS為研究對象,在進行功能安全分析時局限于SIL定級或SIL驗證,忽略了數(shù)據(jù)缺失或數(shù)據(jù)不確定對SIL驗證的影響,僅能控制系統(tǒng)的局部風(fēng)險。現(xiàn)以流程生產(chǎn)系統(tǒng)安全為著眼點,提出流程生產(chǎn)風(fēng)險防控功能安全分析的一般程序,并結(jié)合鋼鐵連鑄場景進行系統(tǒng)性運用;基于保護層分析法構(gòu)建流程生產(chǎn)中高危險性事故發(fā)生概率的計算流程,增強SIL定級的可靠性;引入蒙特卡洛-馬爾可夫模型提高數(shù)據(jù)不確定條件下SIL驗證的準(zhǔn)確性。以期為流程行業(yè)生產(chǎn)安全管控提供參考。

1 功能安全概述

1.1 基本概念

功能安全是國際電工委發(fā)布的國際標(biāo)準(zhǔn)IEC61508提出的一種將系統(tǒng)的整體風(fēng)險控制在可接受范圍內(nèi)的原理與方法[11],它是與流程行業(yè)、制造業(yè)等行業(yè)的設(shè)備和設(shè)備控制系統(tǒng)有關(guān)的整體安全組成部分,取決于安全相關(guān)系統(tǒng)能否正確執(zhí)行特定的安全功能[12]。安全相關(guān)系統(tǒng)作為實施主體,又被分解為多個子系統(tǒng)[13],包括基本過程控制系統(tǒng)(basic process control system, BPCS)、安全儀表系統(tǒng)(safety instrumented system, SIS)、物理保護層等若干子系統(tǒng),每個子系統(tǒng)都對應(yīng)一定的安全功能,以預(yù)防危險事件發(fā)生或減輕事故后果。

安全完整性等級表示安全相關(guān)系統(tǒng)正確執(zhí)行安全功能的能力,IEC61508標(biāo)準(zhǔn)將其分為4個等級,等級越高,則降低系統(tǒng)風(fēng)險發(fā)生概率的能力越強,用風(fēng)險降低因子(risk reduction factor, RRF)表示系統(tǒng)風(fēng)險降低的程度,具體如表1所示。

表1 低要求操作模式下的安全完整性等級Table 1 Safety integrity level in low demand mode

1.2 安全相關(guān)系統(tǒng)作用機理

功能安全中將安全定義為“不存在不可接受的風(fēng)險”。IEC61508還定義了允許風(fēng)險和殘余風(fēng)險,前者表示當(dāng)前社會發(fā)展水平下在能夠接受的風(fēng)險,后者表示采取防護措施后仍存在的風(fēng)險,通過引入功能安全概念將安全問題轉(zhuǎn)換為風(fēng)險控制問題。

在鋼鐵連鑄工藝流程中,安全相關(guān)系統(tǒng)構(gòu)建了“控制-防護-抑制”的多層風(fēng)險降低體系,保障連鑄工藝安全生產(chǎn),其作用機理如圖1所示?；具^程控制系統(tǒng)關(guān)注連鑄工藝生產(chǎn)過程,控制物質(zhì)和能量在生產(chǎn)裝置中的相互轉(zhuǎn)換,如脫硫控制系統(tǒng)、坯料切斷控制系統(tǒng)等;安全儀表系統(tǒng)監(jiān)視設(shè)備、材料在生產(chǎn)過程的狀態(tài),實時預(yù)警,避免人員傷亡和財產(chǎn)損失,如火焰檢測系統(tǒng)、氣體檢測系統(tǒng)等;物理保護層用于緩解危險事件發(fā)生后可能造成的后果,如圍擋、爆破片等。

圖1 功能安全的作用機理Fig.1 Mechanism of functional safety

2 流程生產(chǎn)功能安全分析方法

2.1 功能安全分析流程

以系統(tǒng)和全局視角展開功能安全研究,根據(jù)功能安全概念和安全相關(guān)系統(tǒng)的作用機理,將流程生產(chǎn)風(fēng)險防控功能安全分析劃分為風(fēng)險分析、SIL定級和SIL驗證3個階段,其中風(fēng)險分析是功能安全分析的先決條件,旨在識別和確定重大危險源;SIL的定級和驗證是功能安全技術(shù)的具體實施,其目的是定量化地降低事故風(fēng)險,具體的流程如圖2所示。

圖2 功能安全分析的流程Fig.2 Process of functional safety analysis

步驟1風(fēng)險分析階段:結(jié)合鋼鐵連鑄生產(chǎn)的工藝原理、作業(yè)要求,辨識存在的風(fēng)險節(jié)點、可能發(fā)生的安全事故類型并評估危險程度和建立其可接受頻率標(biāo)準(zhǔn)。

步驟2SIL定級階段:比較安全事故的發(fā)生概率與事故后果嚴(yán)重程度的可接受頻率,判斷當(dāng)前防護條件下是否需要新增防護措施,如果需要,完成SIL定級。

步驟3SIL驗證階段:通過確定新增防護措施的失效概率、冗余表決結(jié)構(gòu)等關(guān)鍵數(shù)據(jù),來驗證SIL是否滿足要求,若不符合要求,則需要對新增防護措施進行改進。

2.2 馬爾可夫模型

SIL驗證是功能安全分析的核心,馬爾可夫模型相比可靠性框圖和故障樹等方法,定量可靠性分析精度高,它包括離散模型和連續(xù)模型,其中離散模型被稱為馬爾可夫鏈(Markov chain, MC),將系統(tǒng)分為幾個不同的狀態(tài),一個狀態(tài)會以一定概率變化到其他狀態(tài)或者保持原狀態(tài),且下一狀態(tài)的概率分布只能由當(dāng)前狀態(tài)決定,這種特性被稱為“無記憶性”[14]。假定{Xt:t≥0}為一組隨機的樣本空間,隨機樣本空間中所有可能取值構(gòu)成集合S,稱為狀態(tài)空間。對于?t≥0及任一狀態(tài)sj,si,…,s0都有

P(Xt+1=sj|Xt=si…,X0=s0)=P(Xt+1=

sj|Xt=si)

(1)

式(1)表示從狀態(tài)si變化到sj的轉(zhuǎn)移概率,進一步可以表示為P(i,j)。若狀態(tài)空間中有n種狀態(tài),則在t時刻n種狀態(tài)間的兩兩變化的轉(zhuǎn)移概率為

(2)

設(shè)Q(t)為在t時刻狀態(tài)空間概率的行向量,則有

Q(t+1)=Q(t)U(t)=[Q(t-1)]U(t-1)2

(3)

通過連續(xù)迭代,最終可得Q(t)=Q(0)U(0)n,其中馬爾可夫鏈的初始行向量Q(0)用于表示狀態(tài)空間概率的初始值。通常情況下,初始行向量的一個分量為1,其余分量為0,這表明馬爾可夫鏈從指定狀態(tài)開始,隨著時間的推移,概率逐漸擴散到整個狀態(tài)空間。

3 實證研究與仿真

結(jié)合鋼鐵連鑄工藝進行流程生產(chǎn)風(fēng)險防控的功能安全完整性分析。大冶特鋼有限公司為我國特殊鋼冶煉生產(chǎn)的代表性企業(yè),有2臺方圓坯合金鋼連鑄機和1臺大斷面合金鋼連鑄機,設(shè)備體積龐大,作業(yè)連續(xù)性強,控制要點多且風(fēng)險分散。以該公司煉鋼廠連鑄作業(yè)區(qū)為驗證場景,將功能安全分析方法運用到連鑄工藝流程中。

3.1 風(fēng)險分析

連鑄工藝流程如圖3所示,鋼水從鋼包連續(xù)地流入中間包,經(jīng)中間包混合分流后注入結(jié)晶器冷卻凝固,在拉矯機與結(jié)晶器振動裝置的共同作用下,拉出鑄坯,經(jīng)切割后的鑄坯可以直接供軋鋼生產(chǎn)使用,涉及的主要設(shè)備設(shè)施有鋼水包及回轉(zhuǎn)臺、中間包、結(jié)晶器、引錠系統(tǒng)、火焰切割器等。

圖3 鋼鐵連鑄工藝流程Fig.3 Continuous casting process

基于鋼鐵連鑄工藝安全事故機理分析,結(jié)合連鑄作業(yè)現(xiàn)場安全管理實踐經(jīng)驗,從人員班組的不安全行為、工藝設(shè)備的不安全狀態(tài)、不良的作業(yè)環(huán)境以及工藝參數(shù)4個方面識別連鑄工藝流程危險源,確定連鑄作業(yè)區(qū)潛在的如熔融物爆炸、中毒窒息等事故隱患,并采取作業(yè)條件危險性評價法,對事故發(fā)生的可能性L、人員暴露于危險環(huán)境的頻繁程度E、事故后果C進行定性評估,分析其危險性,結(jié)果如表2所示。

表2 鋼鐵連鑄生產(chǎn)典型事故及其危險性Table 2 Typical accidents and their risks in steel continuous casting production

連鑄作業(yè)區(qū)危險性較高的事故類別主要是熔融物爆炸、中毒窒息、火災(zāi)爆炸。在生產(chǎn)過程中,鋼水及鋼渣屬于高溫熔融物,與水接觸時,水在高溫下迅速汽化,會發(fā)生爆炸;氬氣、氮氣作為儀表用氣,無色無臭,當(dāng)環(huán)境中窒息性氣體濃度過高時難以察覺,易發(fā)生中毒窒息事故;天然氣作為火焰切割機燃料介質(zhì),若收集系統(tǒng)密閉不嚴(yán)、與空氣形成爆炸性混合氣體,將引發(fā)火災(zāi)爆炸。

在上述危險性分析的基礎(chǔ)上,定義一個風(fēng)險可接受的判別標(biāo)準(zhǔn),以便幫助風(fēng)險管理人員科學(xué)分配資源,做出合理正確的管理決策。通過收集并統(tǒng)計同類型金屬冶煉企業(yè)的生產(chǎn)事故案例,確定人員傷亡和經(jīng)濟損失的嚴(yán)重性分級,共分為6級,參考《危險化學(xué)品重大危險源監(jiān)督管理暫行規(guī)定》標(biāo)準(zhǔn),確定鋼鐵連鑄生產(chǎn)事故后果(人員傷亡和經(jīng)濟損失)的嚴(yán)重程度及其可接受頻率標(biāo)準(zhǔn),具體如表3所示。

表3 鋼鐵連鑄生產(chǎn)事故后果嚴(yán)重程度及其可接受頻率標(biāo)準(zhǔn)Table 3 Severity of consequences of steel continuous casting production accidents and acceptable frequency criteria

3.2 SIL定級

依據(jù)上述風(fēng)險分析結(jié)果,對熔融物爆炸這一高度危險事件作LOPA/SIL定級。主要過程如下。

(1)分析導(dǎo)致熔融物爆炸的初始事件、使能事件的概率、現(xiàn)有保護層及其失效概率和條件修正因子,計算事故發(fā)生概率.

(2)將事故發(fā)生概率分別與人員傷亡和經(jīng)濟損失的可接受頻率對比,判斷是否需要新增保護措施。

(3)計算事故發(fā)生概率與可接受頻率的比值得到風(fēng)險降低因子(risk reduction factor,RRF),對應(yīng)于表1確定新增保護措施的安全完整性等級,具體過程如表4所示。

表4 鋼鐵連鑄工藝熔融物爆炸事故LOPA/SIL定級分析情況Table 4 LOPA / SIL grading analysis of melt explosion accident in steel continuous casting process

針對熔融物爆炸事故,主要考慮3種初始事件:結(jié)晶器水冷系統(tǒng)水壓過高導(dǎo)致銅板發(fā)生穿漏,鑄坯拉速過快使形成的鑄坯結(jié)殼過薄導(dǎo)致漏鋼,鋼包回轉(zhuǎn)臺在啟動和停止時轉(zhuǎn)速過快導(dǎo)致鋼水因慣性而潑出,初始事件的發(fā)生概率可參考《保護層分析(LOPA)方法應(yīng)用導(dǎo)則》(AQ/T 3054—2015)。經(jīng)調(diào)研發(fā)現(xiàn),大冶特鋼煉鋼轉(zhuǎn)爐廠連鑄作業(yè)區(qū)配備的兩個獨立保護層分別是人員對BPCS指示或報警的響應(yīng)和火災(zāi)自動報警系統(tǒng),保護層失效概率可參考《保護層分析(LOPA)應(yīng)用指南》(GB/T 32857—2016)。由于鋼液自身溫度高達上千度,因此修正因子只考慮人員暴露率和致死概率,而不考慮點火概率,并依據(jù)《保護層分析:使能條件與修正因子導(dǎo)則》確定概率。最終根據(jù)式(4)計算得到熔融物爆炸事故發(fā)生的概率為1.8×10-4,分別與人員傷亡4級和經(jīng)濟損失3級的可接受頻率做比較,判斷人員傷亡后果風(fēng)險不可接受,還需要新增SIL2級的防護措施。

(4)

相比于熔融物爆炸事故,火災(zāi)事故和中毒事故的多由可燃、有毒氣體泄露導(dǎo)致,而在作業(yè)現(xiàn)場的中間罐預(yù)熱區(qū)、現(xiàn)場泄漏煤氣積聚區(qū)域等位置都布設(shè)了氣體探測器,當(dāng)濃度超過閾值時,會以現(xiàn)場聲光、主控制室報警的形式預(yù)警,故經(jīng)過LOPA/SIL定級分析,判定在已有防護措施下,火災(zāi)事故和中毒窒息事故的發(fā)生概率已降低到可接受范圍。

3.3 SIL驗證

針對熔融物爆炸事故需要新增SIL2級的保護措施,設(shè)計傳感器子系統(tǒng)(sensor subsystem, SS)、邏輯控制器子系統(tǒng)(logic controller subsystem, LS)和執(zhí)行器子系統(tǒng)(actuator subsystem, AS)組成的防爆保護系統(tǒng)(anti-explosion protection system, AEPS),該系統(tǒng)的結(jié)構(gòu)如圖4所示。

圖4 AEPS結(jié)構(gòu)圖Fig.4 The structure of AEPS

傳感器子系統(tǒng)包括布設(shè)在結(jié)晶器銅壁的超聲波傳感器SS1、布設(shè)在回轉(zhuǎn)軸承的角度傳感器SS2和布設(shè)在拉矯機出坯口的位移傳感器SS3,用于監(jiān)測厚度、轉(zhuǎn)速和拉速參數(shù),2oo3型冗余結(jié)構(gòu)表示任意2個傳感器正常工作,系統(tǒng)就可以繼續(xù)運行;邏輯控制子系統(tǒng)和執(zhí)行器子系統(tǒng)都是1oo1冗余結(jié)構(gòu),分別由一臺智能管控儀和一個聲光報警器組成,前者接收傳感器子系統(tǒng)上傳的數(shù)據(jù)并做分析,后者當(dāng)檢測到參數(shù)超過給定限值,則會發(fā)出聲光報警。

AEPS系統(tǒng)各部分的狀態(tài)變化在時間上具有縱向關(guān)聯(lián)性,可近似地認(rèn)為當(dāng)前時刻的狀態(tài)受到前一時刻的影響,從而將其狀態(tài)變化的時間序列視為馬爾可夫鏈。以1oo1型結(jié)構(gòu)的邏輯控制器子系統(tǒng)為例,狀態(tài)空間S=[正常,安全失效,檢測到的危險失效,未檢測到的危險失效],其狀態(tài)轉(zhuǎn)移矩陣U可表示為

(5)

式(5)中:λS為安全失效的概率;λD為危險失效的概率,又可分為檢測到的危險失效概率λDD和未檢測到的危險失效概率λDU;μSD為安全失效修復(fù)率;μ0為檢測到的危險失效修復(fù)率;μp為未檢測到的危險失效修復(fù)率,計算公式如下。

μSD=1/SD

(6)

μ0=1/MTTR

(7)

μp=1/(0.5TI+MTTR)

(8)

式(6)中:SD為裝置在無故障情況下重啟所需時間;MTTR為平均修復(fù)時間;TI周期性檢查時間。一般情況下,取SD=24 h,MTTR=8 h,TI=8 760 h。

(9)

執(zhí)行器子系統(tǒng)的計算過程同理,而在計算2oo3型結(jié)構(gòu)的傳感器子系統(tǒng)的平均失效概率時,隨著狀態(tài)的增多,其轉(zhuǎn)移矩陣的維度將急劇增加,因此采用基于共因失效參數(shù)(multiple beta factor,MBF)模型[15]來簡化馬爾可夫的計算過程,以傳感器子系統(tǒng)為例,其計算公式為

(10)

(11)

在AEPS系統(tǒng)SIL驗證過程中,由于反饋數(shù)據(jù)缺失、運行狀態(tài)未知和新元件的應(yīng)用等原因?qū)е聟?shù)不確定,為避免不確定參數(shù)對SIL評估影響,引入蒙特卡洛(Monte Carlo, MC)來解決參數(shù)的不確定問題[16]。首先確定AEPS各子系統(tǒng)的λS和λD服從對數(shù)正態(tài)分布,具體如表5所示,在MATLAB中生成n組輸入?yún)?shù),利用馬爾可夫模型計算得到n個PFDavg,為使SIL評估結(jié)果更可靠,n取1×105次,最終每個子系統(tǒng)PFDavg的分布如圖5所示。

圖5 AEPS子系統(tǒng)危險失效狀態(tài)平均失效概率Fig.5 The average dangerous failure probability of AEPS subsystems

表5 AEPS失效數(shù)據(jù)概率分布Table 5 Probability distribution of AEPS failure data

表6 Markov模型MC仿真結(jié)果Table 6 MC simulation results of Markov model

4 結(jié)論

(1)以大冶特鋼煉鋼轉(zhuǎn)爐廠連鑄作業(yè)區(qū)為驗證場景,采用作業(yè)條件危險性評價法成功識別了熔融物爆炸、中毒窒息和火災(zāi)爆炸3類高危險性事故隱患,并從人員傷亡和經(jīng)濟損失兩個維度建立了事故后果嚴(yán)重程度可接受頻率標(biāo)準(zhǔn)。

(2)基于保護層分析法構(gòu)建流程生產(chǎn)中高危險性事故發(fā)生概率的計算流程。計算得到熔融物爆炸事故發(fā)生的概率為1.8×10-4,分別與人員傷亡4級和經(jīng)濟損失3級的可接受頻率做比較,針對人員傷亡后果需要新增SIL2級的防護措施。

(3)基于馬爾可夫模型完成防爆炸保護系統(tǒng)的SIL驗證。運用蒙特卡洛法提高了數(shù)據(jù)缺失或數(shù)據(jù)不確定條件下SIL驗證的準(zhǔn)確性,引入MBF共因失效參數(shù)模型簡化了馬爾可夫模型的計算過程。

(4)在計算失效概率時,未考慮連鑄作業(yè)區(qū)高溫、高粉塵的不良環(huán)境對AEPS系統(tǒng)元件失效概率的影響,所以計算結(jié)果與現(xiàn)場實際情況可能存在偏差,在今后的研究中可考慮引入環(huán)境影響因子對結(jié)果做修正。