HAZOPLOPASIL三者間是什么關系?
前言
石油化工是重要支柱產業,關系到經濟、醫療、能源、材料等諸多方面,同時也是高危行業,一旦發生工藝安全事故,極易導致群死群傷,甚至嚴重破壞自然環境。石油化工裝置工藝流程復雜,工藝條件苛刻,介質大都是具有易燃、易爆、有毒、腐蝕等特性的危險化學品。 石油化工裝置系統設計、實施和操作過程中任何一個小的失誤都有可能帶來嚴重的,甚至是災難性的后果。
危險與可操作性分析(HAZOP)作為生產裝置及工藝流程安全系統評價方法,被國內外眾多石化公司、化工生產企業和設計施工單位普遍接受,并應用于裝置、設備生命周期始終。通過HAZOP分析可以系統地識別工藝裝置或設施中的各種潛在危險和危害,并通過提出合理可行的措施減輕事故發生的可能性及后果。而在HAZOP分析的基礎上,引入保護層分析(LOPA)技術,可以解決HAZOP分析安全保護措施的風險降低和殘余風險無法定量化的缺點。因此,LOPA分析是HAZOP分析的延續,是對HAZOP分析結果的豐富與補充。
當HAZOP分析的后果存在重大風險時,且有些風險的現有保護措施含有安全儀表系統(SIS),或者現有SIS系統的維護成本與帶來的收益相比過于昂貴的,都可以進行LOPA分析。而進行 LOPA分析的目的,主要就是為了確認對于事故后果非常嚴重的風險現有保護是否足夠,是否有必要增加額外的SIS保護,以及確定增加的SIS系統的風險降低目標是多少 。雖然LOPA分析可以確定附加的SIS系統的風險降低目標,而SIS系統是否達到要求的安全完整性等級(SIL),是否實現了這一風險降低目標,則需要通過SIL分析進行驗證,這也是SIL分析的主要內容。所以, SIL分析是對LOPA分析結果的驗證,HAZOP、LOPA分析是SIL分析的前期準備工作。
HAZOP分析方法
HAZOP方法是英國帝國化學工業公司(ICI)為解決除草劑制造過程中的危害,于1960年代發展起來的一套以引導詞為主體的危害分析方法,1974年,該方法正式對外發表。 HAZOP對工藝系統進行危害辨識和分析,是有效預防各種事故發生的重要方法和手段,它可以系統地識別工藝裝置或設施中的各種潛在危險和危害,并通過提出合理可行的措施達到減輕事故發生可能性及后果的目的,從而有利于保障石油、化工企業安全生產的順利進行。
HAZOP是基于這樣一個基本概念,即 各個專業具有不同知識背景的人員所組成的分析組一起工作比他們獨自工作更具有創造性和系統性,能識別更多的問題 。HAZOP方法通過分析生產運行過程中工藝狀態參數的變動,操作控制中可能出現的偏差,以及這些變動與偏差對系統的影響,找出出現變動或偏差的原因,分析可能導致的后果,明確現有的保護措施,并針對超出可接受水平的變動與偏差的后果提出建議措施。
1.劃分節點。對連續工藝過程,HAZOP分析的第一步即是將生產過程根據工藝流程劃分為合理的分析節點,這樣有利于分析工作的深入、完善。
2.選擇工藝參數,確定偏差。選擇適用于所選分析節點的工藝參數,如:流量、溫度、壓力、液位、界位、腐蝕侵蝕、破裂泄漏、維修、采樣、污染等。
3.確定風險矩陣,分析偏差的原因和后果。根據各個公司事故統計情況和風險接受程度,制定本公司適用的風險矩陣。針對節點內某一設備工藝參數的偏差,結合現有資料和小組成員的經驗,分析導致這一偏差發生的原因,以及參數發生偏離后可能導致的后果,并根據風險矩陣,確定風險等級。
4.提出建議措施。通過分析,審查現有安全措施是否足夠,若事故風險等級高、后果嚴重且影響惡劣,小組成員就有必要提出合理可行的建議措施。
LOPA分析方法
LOPA分析是一種簡化的風險評估方法,通過對現有保護措施的可靠性進行量化的評估,確定其消除或降低風險的能力。 LOPA的應用一般是在定性危害評估(如HAZOP、PHA)之后,用定性危害審核小組識別的情形進行 。它首先分析未采取安全保護措施之前的風險水平,然后分析各種安全保護措施將風險水平降低的程度。
保護層分析的思想,可以用一個“洋蔥”來形象地描述其模型,每一層洋蔥皮就相當于一個保護層,由于所有的洋蔥皮對內核都起到獨立保護作用,從而洋蔥內核遭受外侵的風險就大大降低。
在對某個事故場景進行保護層分析時,確定哪些保護層措施能夠起到預防事故的目的尤為重要。
LOPA分析步驟如下:
1.識別后果,選擇分析所需的情景。 LOPA分析中所需的情景其實就是事故場景。事故場景是發生事故的事件鏈,包括起始事件、一系列中間事件和后果事件。一般情況下以后果嚴重的事件作為事故場景進行分析。
2.對所選定的事故情景進行具體描述。LOPA分析中要對事故發生的原因、事故導致的后果、后果的嚴重程度、風險不可接受值和風險容許值進行量化,量化的標準要根據公司實際情況采用本公司的風險矩陣。
3.確定情景的初始事件、中間事件和后果事件,并確定相應的頻率。 初始事件,即引發原因,在LOPA分析中成為始發事件;中間事件,即誘發事件,在LOPA分析中成為條件事件;后果事件,即導致的嚴重后果。而相應的頻率,需要根據各公司的實際情況選定。
4.預計情景的風險。 預計情景,即未減輕事件,是指初始事件發生而且所有的保護層都失效的情況下,后果事件發生。未減輕事件發生頻率等于始發事件、中間事件和后果事件發生頻率的乘積。
5.確定獨立保護層(IPL)及其需求故障概率(PFD)。 保護層分為事件阻止層和后果減弱層,事件阻止層也叫主動保護層,通過在原因和事件之間增加屏障,來預防事故發生;后果減弱層也叫被動保護層,通過在事件和結果之間增加屏障,來減少事故后果的損失。不同的保護層其PFD是不同的。
6.考慮獨立保護層時,確定減輕事件的剩余風險及其等級。 減輕事件的發生頻率等于未減輕事件的發生頻率與獨立保護層各安全保護措施失效概率(PFD)的乘積。確定了減輕事件的頻率后,根據公司的風險矩陣確定頻率等級和剩余風險等級。
7.確定附加保護層達到可容忍風險還需降的級別。 若獨立保護層起到了安全保護措施的作用后,減輕事件的剩余風險達到公司可接受的水平,則不需進一步采取安全措施和建議措施。否則,要提出切實可行的附加保護層,直至將剩余風險降低到可承受的風險水平為止。
SIL分析方法
介紹按照IEC61511中的定義,安全儀表系統是由傳感器、邏輯控制器和執行器組成的、能夠行使一項或多項安全儀表功能的儀表系統 。安全儀表系統是一種自動安全保護系統,它已發展成為工業自動化的重要組成部分。很多人容易把基本過程控制系統(BPCS)和安全儀表系統混淆。BPCS是執行常規正常生產功能的控制系統,它是主動的、動態的,是用來滿足生產需要的,因此,它必須根據系統的設定要求和生產過程的擾動狀態不斷地動態運行,才能保持生產過程的連續穩定運行。一旦其運行終止,則整個生產過程也就隨之失去控制。 而SIS系統則監視生產過程的狀態,判斷是否出現危險條件,防止風險的發生或者減輕風險發生后造成的后果。它是被動的、休眠的,在BPCS正常運行時,SIS一般是處于靜態的,它在很長一段時間里都會處于“休眠”狀態。
在IEC61508和IEC61511中都提出了安全生命周期(SLC)的概念。 安全生命周期 的定義為: 在安全儀表功能(SIF)實施中,從項目的概念設計階段到所有安全儀表功能停止使用之間的整個時間段。 安全儀表系統整體的安全生命周期從其概念開始,經歷若干中間階段一直到安全系統停用,包括了為達到必需的安全完整性水平而進行的一切活動。換句話說,安全生命周期包括了安全儀表系統在概念、設計、運行、測試、維修及停用各階段的所有活動,以達到高水平的功能安全。 在一定時間、一定條件下,安全相關系統執行其所規定的安全功能的可能性,被稱為安全完整性等級(SIL),其數值代表著安全儀表系統使過程風險降低的數量級。 安全完整性等級貫穿于安全系統生命周期的始終。安全系統的安全完整性等級不僅是安全系統安全性能的度量標準,而且是安全系統生命周期中的主線,將安全系統整體生命周期的各個階段聯系起來。
安全儀表系統必須滿足系統風險分析后所要求的SIL,SIL不僅是安全儀表系統安全性能的衡量標準,而且是整體安全生命周期中的主線,其選擇應該恰到好處,過高會造成成本的浪費,過低會使風險不可接受。 IEC61508中,SIL4是最高的,SIL1是最低的。
SIL選擇的方法主要有兩類,定性的和定量的。 定性方法通過大致的風險后果和可能性分類來描述風險,主要有風險矩陣和風險圖法。 計算SIL的半定量方法也被廣泛應用,如LOPA分析方法。
1.風險矩陣。 同后果法一樣,風險矩陣是基于分類的方法,這種分類可以是根據定性的描述,也可以根據量化的指標。 用戶必須創建一個矩陣,它為風險的后果和可能性制定了大范圍的分類。后果和可能性分別構成矩陣二維坐標(行x、列y)中的一個,同時每一個矩陣元素為一個SIL。
2.風險圖。 風險圖最初是為德國工業標準開發的,在歐盟中得到了廣泛應用。該種方法與風險矩陣中只考慮后果和可能性不同,風險圖考慮了四個參數來確定SIL等級: 危險事件的后果(C)、處于危險區域的頻度(F)、避開風險狀況的概率(P)和不期望事件的概率(W)。 SIL的確定是從左面的起點到右面的方格繪制一條路徑,按照C、F、P的分類,決定這三者的哪一行被選中,具體被選中的行中哪一個方格被選中則取決于W的分類。
(a) 一個3級的安全儀表功能并不能給該風險等級提供足夠的風險降低。 為了降低風險,需要附加額外的修改措施(見c)。
(b) 一個3級的安全儀表功能并不能給該風險等級提供足夠的風險降低,需要另外復審(見c)。
(c) 此方法不適合SIL4的情況。
SIL分析程序是怎樣的?SIL分析小組在進行SIL評估工作時,假定已經完成了安全生命周期中的概念過程設計階段、工藝危害分析及風險評估階段(HAZOP)、保護層分析階段(LOPA)等,且分析結果是真實的、可靠的。 經分析后,若獨立保護層起到了安全保護措施的作用后,減輕事件的剩余風險仍超出了公司可接受的水平,則要提出切實可行的附加保護層SIS。 在確定了SIS系統所要實現的SIF功能的SIL等級后,接下來的工作就是要如何設計SIS來實現SIF了。
在目標SIL確定后,就要制定安全要求規范,其中包括兩個主要部分:功能要求規范和完整性要求規范。
功能要求規范定義了每一個安全儀表功能應該做什么;完整性規范定義了每一個安全儀表功能能夠多好地被執行。
在SIS系統設計完成且各個SIF的子系統結構確定后,需要檢驗所設計的SIS系統在一定的檢修周期和檢修覆蓋率等條件下的可靠性,就是需要進行SIL驗證工作。 SIL驗證可選用的方法常見的有可靠性框圖法、故障樹法和基于馬爾科夫模型的計算法等。
安全功能分配好之后,就由工程公司或設計院進行安全儀表系統的詳細設計。 當承包商選定之后,由承包商最終完成安全儀表系統的集成、安裝、調試。 當承包商完成與業主的交接后,業主依據承包商提供的操作及維護手冊對安全儀表系統進行使用、維護和定期測試。
小結
1.HAZOP分析方法因不能對偏差產生的事故風險、現有安全措施的風險降低水平和剩余風險水平進行定量化,所以將LOPA引入HAZOP分析中,是解決這一問題的有效途徑。
2.進行LOPA分析的目的主要就是為了確認對于事故后果非常嚴重的風險現有保護是否足夠、是否有必要增加額外的SIS保護,以及確定增加的SIS系統的風險降低目標是多少。 而增加的SIS系統是否能實現要求的SIF,則需要通過SIL分析進行驗證。
3.通過開展SIL分析,對附加的SIS系統進行設計、評估、驗證,使安全儀表系統項目的設計和執行達到最優化,以最低的項目成本實現裝置的安全需求。