HAZOP、LOPA和SIL之间有什么联系?
通过此次新冠肺炎疫情,我们深刻的认识到石油、化工是我国的重要支柱产业之一,关系到国民经济、医疗、能源、材料等许多方面,同时也是危险性极高的行业。石油化工行业装置流程复杂,工艺条件苛刻,介质大都具有易燃、易爆、有毒、腐蚀等特性,属于高危险行业。系统设计、实施和操作过程中任何一个小的失误都有可能带来严重的甚至是灾难性的后果。
近年来,危险与可操作性分析(HAZOP)作为生产装置及工艺流程安全系统评价方法,被国内外众多石油石化公司、化工生产企业和设计施工单位普遍接受,并应用于装置、设备生命周期始终。通过HAZOP分析可以系统地识别工艺装置或设施中的各种潜在危险和危害,并通过提出合理可行的措施减轻事故发生的可能性及后果。而在HAZOP分析的基础上,引入保护层分析(LOPA)技术,可以解决HAZOP分析中存在的安全保护措施起到的风险降低和残余风险不能定量化等不足。因此,LOPA分析是HAZOP分析的继续,是对HAZOP分析结果的丰富和补充。
当HAZOP分析的后果存在重大风险时,且有些风险的现有保护措施含有安全仪表系统(SIS),或者现有SIS系统的维护成本与带来的收益相比过于昂贵的,都可以进行LOPA分析。而进行LOPA分析的目的,主要就是为了确认对于事故后果非常严重的风险现有保护是否足够,是否有必要增加额外的SIS保护,以及确定增加的SIS系统的风险降低目标是多少。虽然LOPA分析可以确定附加的SIS系统的风险降低目标,而SIS系统是否达到要求的安全完整性等级(SIL),是否实现了这一风险降低目标,则需要通过SIL分析进行验证,这也是SIL分析的主要内容。所以,SIL分析是对LOPA分析结果的验证,HAZOP、LOPA分析是SIL分析的前期准备工作。01
HAZOP分析方法
HAZOP方法是英国帝国化学工业公司(ICI)为解决除草剂制造过程中的危害,于1960年代发展起来的一套以引导词为主体的危害分析方法,1974年,该方法正式对外发表。HAZOP对工艺系统进行危害辨识和分析,是有效预防各种事故发生的重要方法和手段,它可以系统地识别工艺装置或设施中的各种潜在危险和危害,并通过提出合理可行的措施达到减轻事故发生可能性及后果的目的,从而有利于保障石油、化工企业安全生产的顺利进行。
HAZOP是基于这样一个基本概念,即各个专业具有不同知识背景的人员所组成的分析组一起工作比他们独自工作更具有创造性和系统性,能识别更多的问题。HAZOP方法通过分析生产运行过程中工艺状态参数的变动,操作控制中可能出现的偏差,以及这些变动与偏差对系统的影响,找出出现变动或偏差的原因,分析可能导致的后果,明确现有的保护措施,并针对超出可接受水平的变动与偏差的后果提出建议措施。
①划分节点。对连续工艺过程,HAZOP分析的第一步即是将生产过程根据工艺流程划分为合理的分析节点,这样有利于分析工作的深入、完善。
②选择工艺参数,确定偏差。选择适用于所选分析节点的工艺参数,如:流量、温度、压力、液位、界位、腐蚀侵蚀、破裂泄漏、维修、采样、污染等。
③确定风险矩阵,分析偏差的原因和后果。根据各个公司事故统计情况和风险接受程度,制定本公司适用的风险矩阵。针对节点内某一设备工艺参数的偏差,结合现有资料和小组成员的经验,分析导致这一偏差发生的原因,以及参数发生偏离后可能导致的后果,并根据风险矩阵,确定风险等级。
④提出建议措施。通过分析,审查现有安全措施是否足够,若事故风险等级高、后果严重且影响恶劣,小组成员就有必要提出合理可行的建议措施。02
LOPA分析方法
LOPA分析是一种简化的风险评估方法,通过对现有保护措施的可靠性进行量化的评估,确定其消除或降低风险的能力。LOPA的应用一般是在定性危害评估(如HAZOP、PHA)之后,用定性危害审核小组识别的情形进行。它首先分析未采取安全保护措施之前的风险水平,然后分析各种安全保护措施将风险水平降低的程度。
保护层分析的思想,可以用一个“洋葱”来形象地描述其模型,每一层洋葱皮就相当于一个保护层,由于所有的洋葱皮对内核都起到独立保护作用,从而洋葱内核遭受外侵的风险就大大降低。
在对某个事故场景进行保护层分析时,确定哪些保护层措施能够起到预防事故的目的尤为重要。
LOPA分析具体步骤如下:
①识别后果,选择分析所需的情景。LOPA分析中所需的情景其实就是事故场景。事故场景是发生事故的事件链,包括起始事件、一系列中间事件和后果事件。一般情况下以后果严重的事件作为事故场景进行分析。
②对所选定的事故情景进行具体描述。LOPA分析中要对事故发生的原因、事故导致的后果、后果的严重程度、风险不可接受值和风险容许值进行量化,量化的标准要根据公司实际情况采用本公司的风险矩阵。
③确定情景的初始事件、中间事件和后果事件,并确定相应的频率。初始事件,即引发原因,在LOPA分析中成为始发事件;中间事件,即诱发事件,在LOPA分析中成为条件事件;后果事件,即导致的严重后果。而相应的频率,需要根据各公司的实际情况选定。
④预计情景的风险。预计情景,即未减轻事件,是指初始事件发生而且所有的保护层都失效的情况下,后果事件发生。未减轻事件发生频率等于始发事件、中间事件和后果事件发生频率的乘积。
⑤确定独立保护层(IPL)及其需求故障概率(PFD)。保护层分为事件阻止层和后果减弱层,事件阻止层也叫主动保护层,通过在原因和事件之间增加屏障,来预防事故发生;后果减弱层也叫被动保护层,通过在事件和结果之间增加屏障,来减少事故后果的损失。不同的保护层其PFD是不同的。
⑥考虑独立保护层时,确定减轻事件的剩余风险及其等级。减轻事件的发生频率等于未减轻事件的发生频率与独立保护层各安全保护措施失效概率(PFD)的乘积。确定了减轻事件的频率后,根据公司的风险矩阵确定频率等级和剩余风险等级。
⑦确定附加保护层达到可容忍风险还需降的级别。若独立保护层起到了安全保护措施的作用后,减轻事件的剩余风险达到公司可接受的水平,则不需进一步采取安全措施和建议措施。否则,要提出切实可行的附加保护层,直至将剩余风险降低到可承受的风险水平为止。
03SIL分析方法么是安全仪表系统(SIS)?
介绍按照IEC61511中的定义,安全仪表系统是由传感器、逻辑控制器和执行器组成的、能够行使一项或多项安全仪表功能的仪表系统。安全仪表系统是一种自动安全保护系统,它已发展成为工业自动化的重要组成部分。很多人容易把基本过程控制系统(BPCS)和安全仪表系统混淆。BPCS是执行常规正常生产功能的控制系统,它是主动的、动态的,是用来满足生产需要的,因此,它必须根据系统的设定要求和生产过程的扰动状态不断地动态运行,才能保持生产过程的连续稳定运行。一旦其运行终止,则整个生产过程也就随之失去控制。而SIS系统则监视生产过程的状态,判断是否出现危险条件,防止风险的发生或者减轻风险发生后造成的后果。它是被动的、休眠的,在BPCS正常运行时,SIS一般是处于静态的,它在很长一段时间里都会处于“休眠”状态。全生命周期?
在IEC61508和IEC61511中都提出了安全生命周期(SLC)的概念。安全生命周期的定义为:在安全仪表功能(SIF)实施中,从项目的概念设计阶段到所有安全仪表功能停止使用之间的整个时间段。安全仪表系统整体的安全生命周期从其概念开始,经历若干中间阶段一直到安全系统停用,包括了为达到必需的安全完整性水平而进行的一切活动。换句话说,安全生命周期包括了安全仪表系统在概念、设计、运行、测试、维修及停用各阶段的所有活动,以达到高水平的功能安全。在一定时间、一定条件下,安全相关系统执行其所规定的安全功能的可能性,被称为安全完整性等级(SIL),其数值代表着安全仪表系统使过程风险降低的数量级。安全完整性等级贯穿于安全系统生命周期的始终。安全系统的安全完整性等级不仅是安全系统安全性能的度量标准,而且是安全系统生命周期中的主线,将安全系统整体生命周期的各个阶段联系起来。SIL选择方法?
安全仪表系统必须满足系统风险分析后所要求的SIL,SIL不仅是安全仪表系统安全性能的衡量标准,而且是整体安全生命周期中的主线,其选择应该恰到好处,过高会造成成本的浪费,过低会使风险不可接受。IEC61508中,SIL4是最高的,SIL1是最低的。
SIL选择的方法主要有两类,定性的和定量的。定性方法通过大致的风险后果和可能性分类来描述风险,主要有风险矩阵和风险图法。计算SIL的半定量方法也被广泛应用,如LOPA分析方法。
①风险矩阵。同后果法一样,风险矩阵是基于分类的方法,这种分类可以是根据定性的描述,也可以根据量化的指标。用户必须创建一个矩阵,它为风险的后果和可能性制定了大范围的分类。后果和可能性分别构成矩阵二维坐标(行x、列y)中的一个,同时每一个矩阵元素为一个SIL。
②风险图。风险图最初是为德国工业标准开发的,在欧盟中得到了广泛应用。该种方法与风险矩阵中只考虑后果和可能性不同,风险图考虑了四个参数来确定SIL等级:危险事件的后果(C)、处于危险区域的频度(F)、避开风险状况的概率(P)和不期望事件的概率(W)。SIL的确定是从左面的起点到右面的方格绘制一条路径,按照C、F、P的分类,决定这三者的哪一行被选中,具体被选中的行中哪一个方格被选中则取决于W的分类。
(a) 一个3级的安全仪表功能并不能给该风险等级提供足够的风险降低。为了降低风险,需要附加额外的修改措施(见c)。
(b) 一个3级的安全仪表功能并不能给该风险等级提供足够的风险降低,需要另外复审(见c)。
(c) 此方法不适合SIL4的情况。SIL分析程序是怎样的?
SIL分析小组在进行SIL评估工作时,假定已经完成了安全生命周期中的概念过程设计阶段、工艺危害分析及风险评估阶段(HAZOP)、保护层分析阶段(LOPA)等,且分析结果是真实的、可靠的。经分析后,若独立保护层起到了安全保护措施的作用后,减轻事件的剩余风险仍超出了公司可接受的水平,则要提出切实可行的附加保护层SIS。在确定了SIS系统所要实现的SIF功能的SIL等级后,接下来的工作就是要如何设计SIS来实现SIF了。
在目标SIL确定后,就要制定安全要求规范,其中包括两个主要部分:功能要求规范和完整性要求规范。功能要求规范定义了每一个安全仪表功能应该做什么;完整性规范定义了每一个安全仪表功能能够多好地被执行。
在SIS系统设计完成且各个SIF的子系统结构确定后,需要检验所设计的SIS系统在一定的检修周期和检修覆盖率等条件下的可靠性,就是需要进行SIL验证工作。SIL验证可选用的方法常见的有可靠性框图法、故障树法和基于马尔科夫模型的计算法等。
安全功能分配好之后,就由工程公司或设计院进行安全仪表系统的详细设计。当承包商选定之后,由承包商最终完成安全仪表系统的集成、安装、调试。当承包商完成与业主的交接后,业主依据承包商提供的操作及维护手册对安全仪表系统进行使用、维护和定期测试。
对以上分析方法的总结
(1) HAZOP分析方法因不能对偏差产生的事故风险、现有安全措施的风险降低水平和剩余风险水平进行定量化,所以将LOPA引入HAZOP分析中,是解决这一问题的有效途径。
(2) 进行LOPA分析的目的主要就是为了确认对于事故后果非常严重的风险现有保护是否足够、是否有必要增加额外的SIS保护,以及确定增加的SIS系统的风险降低目标是多少。而增加的SIS系统是否能实现要求的SIF,则需要通过SIL分析进行验证。
(3)通过开展SIL分析,对附加的SIS系统进行设计、评估、验证,使安全仪表系统项目的设计和执行达到最优化,以最低的项目成本实现装置的安全需求。
中国电石工业协会 版权所有 京ICP备19004746号-1
电子邮箱:ccia00@126.com 电 话:(010)84885707 ,84885830
地址:北京市朝阳区亚运村安慧里 4 区 16 号楼501室