李榮強，姜巍巍，曹德舜

(中國石化安全工程研究院，山東青島 266071)

保護層分析在確定安全完整性等級中的應(yīng)用

李榮強，姜巍巍，曹德舜

(中國石化安全工程研究院，山東青島266071)

探討保護層(LOPA)分析步驟、初始事件頻率、事故后果、獨立保護層識別等，依據(jù)風(fēng)險矩陣合理地確定目標(biāo)安全完整性等級(SIL)，提高了石化裝置危險性分析過程的合理性、準確性和科學(xué)性，進而提高安全儀表系統(tǒng)(SIS)的可靠性和可用性。

安全儀表系統(tǒng) 安全儀表功能 安全完整性等級 保護層分析

隨著科技的進步，石化裝置越來越大型化，工藝過程越來越復(fù)雜，對環(huán)境保護和人身安全的要求也越來越高，安全性變得尤為重要。因此，為了防止事故的發(fā)生，減少由此帶來的損失，保證企業(yè)的安全穩(wěn)定運轉(zhuǎn)，一套能夠檢測裝置的異常，并對可能發(fā)生的潛在危害作出相應(yīng)動作的系統(tǒng)是必不可少的。安全儀表系統(tǒng)正是基于該目的被提出來的。

安全儀表系統(tǒng)要具有正確的功能和良好的可靠性。正確的安全功能可以通過充分的危險與風(fēng)險分析來辨識和定義；可靠性的指標(biāo)是安全完整性等級，代表了過程風(fēng)險降低的數(shù)量級。石油化工行業(yè)最常用保護層分析方法確定安全儀表系統(tǒng)安全儀表功能的目標(biāo)SIL。

1 安全完整性等級(SIL)

國際功能安全標(biāo)準IEC61508/61511給出了安全完整性等級的定義[1-2]，指在規(guī)定的條件下、規(guī)定的時間內(nèi)，安全相關(guān)系統(tǒng)成功完成所要求的安全功能的概率，是一個離散的等級。SIL是安全儀表功能可靠性的表征。對于低操作模式，SIL也就是在要求安全系統(tǒng)動作時其功能失效概率的倒數(shù)，SIL等級劃分見表1。IEC81511推薦使用風(fēng)險圖、風(fēng)險矩陣和保護層分析(LOPA)方法確定石化裝置安全儀表系統(tǒng)(SIS)安全儀表功能(SIF)的安全完整性等級(SIL)。

2 保護層分析(LOPA)

LOPA是一種半定量的風(fēng)險分析方法，通常使用初始事件頻率、后果嚴重程度和獨立保護層(IPLs)失效頻率的數(shù)量級大小來近似表征場景的風(fēng)險。LOPA的主要目的是確定是否有足夠的保護層以防止意外事故的發(fā)生。LOPA作為半定量的風(fēng)險分析方法相比于定量風(fēng)險分析花費的時間較少，與定性方法相比具有更可靠的風(fēng)險判斷。

表1 安全完整性等級劃分

注：風(fēng)險降低因子(RRF)[3]——將裝置或設(shè)施現(xiàn)有風(fēng)險降低到可容忍風(fēng)險所需的風(fēng)險降低水平，也稱為風(fēng)險降低因子，RRF=1/PFDavg。

2.1 獨立保護層

如圖1所示，一個場景可能需要一個或多個類型的保護層，這取決于過程的復(fù)雜性和潛在的后果嚴重性。對于特定的場景，LOPA提供了一致的基礎(chǔ)，判斷是否有足夠的獨立保護層來控制事故的風(fēng)險。

圖1 事故場景中的保護層

一般定義下的工程上降低風(fēng)險的保護層應(yīng)該滿足特異性、獨立性、可靠性和可審查性的標(biāo)準[4]。

2.2 LOPA分析步驟

LOPA一般是在過程危險分析(PHA)/危險與可操作性分析(HAZOP)之后進行，保護層分析步驟如圖2所示。

2.3 記錄表格

LOPA評估事故場景發(fā)生的頻率和后果嚴重程度，計算現(xiàn)有獨立保護層的失效概率，確定中間事件發(fā)生的可能性，與企業(yè)可接受風(fēng)險標(biāo)準相比，確定由SIFs提供的額外風(fēng)險降低。

圖2 保護層分析步驟

3 LOPA實施步驟

3.1 確定初始事件頻率

LOPA的每一場景都有單一的初始事件，初始事件頻率通常以每年發(fā)生的次數(shù)表示。初始事件一般分為3個類型：外部事件、設(shè)備故障、人的失效。

為確定一致的初始事件頻率，有許多的失效數(shù)據(jù)來源，主要包括[5]：①行業(yè)數(shù)據(jù)，如《化工過程定量風(fēng)險分析指南，第二版》(CCPS，2000)等；②公司的經(jīng)驗，公司具有充足的歷史數(shù)據(jù)可用來進行有意義的統(tǒng)計分析；③供應(yīng)商的數(shù)據(jù)。

3.2 確定事故后果和目標(biāo)風(fēng)險

通常從PHA/HAZOP分析結(jié)果中導(dǎo)出事故后果，主要包括人員傷害風(fēng)險、環(huán)境影響風(fēng)險和財產(chǎn)損失風(fēng)險3個方面。在LOPA中，對于后果，將評估其嚴重性的數(shù)量級大小。LOPA分析過程中，分析團隊?wèi)?yīng)該確定每個事故場景在安全、環(huán)境和財產(chǎn)方面減緩事件的可能性。依據(jù)企業(yè)風(fēng)險矩陣，確定風(fēng)險降低目標(biāo)(TMEL)。表2給出了中國石化HSE風(fēng)險矩陣中的人員傷害風(fēng)險對應(yīng)的TMEL[6]。

3.3 場景頻率計算

使用初始事件頻率、IPLs的PFD值，計算減緩后的場景頻率。以下為特定后果終點釋放場景頻率計算的常用方法，見公式(1)。

表2 風(fēng)險降低目標(biāo)(安全)

(1)

PFDij——初始事件i中第j個阻止后果C的獨立保護層要求時的失效概率(PFD)。

進行場景頻率計算，還應(yīng)考慮使能事件(點火概率、人員暴露概率等)對后果頻率的影響，將釋放場景的頻率乘以關(guān)注結(jié)果的概率，對方程1進行修正。以人員傷害后果為例，將得出的后果發(fā)生的頻率與風(fēng)險降低目標(biāo)進行對比，便可得出SIFs的PFD值，進而確定SIFs的目標(biāo)SIL。

(2)

式中：Pig——點火概率；

Pex——人員出現(xiàn)在影響區(qū)的概率；

Ps——傷害發(fā)生的概率。

3.4 典型SIF分析

以某加熱爐燃料氣總管壓力低低聯(lián)鎖為例，當(dāng)壓力變送器PT檢測到壓力低于聯(lián)鎖設(shè)定值時，切斷燃料氣進料并熄滅長明燈，防止因爐子熄火而出現(xiàn)加熱爐內(nèi)燃料氣積聚而導(dǎo)致的遇明火爆炸。LOPA分析見表3。

表3 LOPA分析

表3中：

b)后果：燃料氣中斷后重新供應(yīng)，在爐膛內(nèi)積聚，遇明火發(fā)生爆炸，可能造成1-2人死亡，根據(jù)表2可以確定后果等級為D；

c)目標(biāo)風(fēng)險：由表2可以得出TMEL=10-6；

d)促成后果的條件：Pig=1；Pex=0.1；

e)獨立保護層：設(shè)置有壓力低報警，PFD1=0.1,除此之外無其他獨立保護層；

h)目標(biāo)等級：由表1得出，PFDSIF對應(yīng)SIL2等級。

按照上述程序，可以確定出環(huán)境影響風(fēng)險對應(yīng)的EIL等級及財產(chǎn)損失對應(yīng)的AIL等級。對比SIL、EIL和AIL，選取等級最高的作為SIF回路的最終SIL等級。

4 結(jié)論

采用LOPA的半定量特性，不但可以評估現(xiàn)有保護措施是否足夠、剩余風(fēng)險是否可以接受及是否需要增加新的保護措施，還給定了場景頻率和后果的具體數(shù)值，為企業(yè)提供了更可靠的風(fēng)險判斷。LOPA可以幫助企業(yè)決定操作、維護以及相關(guān)培訓(xùn)的重點應(yīng)該放在哪些防護措施上。

相對于風(fēng)險圖和風(fēng)險矩陣法，采用LOPA分析方法確定SIFs的目標(biāo)SIL，提高了分析過程的客觀性、準確性和科學(xué)性。確定SIFs的目標(biāo)SIL是安全儀表系統(tǒng)安全生命周期的重要環(huán)節(jié)，能夠指導(dǎo)企業(yè)合理設(shè)計、操作和維護安全儀表系統(tǒng)，提高裝置安全穩(wěn)定運行水平。

[1] IEC61508 Functional Safety of Electrical/Electronic/Programmable Electronic Safety-Related System [S].

[2] IEC61511 Functional Safety: Safety Instrumented System for the Process Industry Sector [S].

[3] Alejandro C, Torres-Echeverria. On the use of LOPA and risk graphs for SIL determination[J]. Journal of Loss Prevention in the Process Industries, 2015:1-11.

[4] 陽憲惠，郭海濤.安全儀表系統(tǒng)的功能安全[M].北京：清華大學(xué)出版社，2007：20-2.

[5] 白永忠，黨文義，于安峰.保護層分析——簡化的過程風(fēng)險評估[M].北京：中國石化出版社，2010:52-55.

[6] Q/SH 0560 HSE風(fēng)險矩陣標(biāo)準[S].

ApplicationofLOPAinDeterminationofSafetyIntegrityLevel

Li Rongqiang, Jiang Weiwei, Cao Deshun

(SINOPEC Research Institute of Safety Engineering, Shandong, Qingdao 266071)

In this paper, the steps of analysis of protective layer (LOPA), initial event frequency, accident consequence and independent protection layer identification are discussed. The safety integrity level (SIL) of the target is reasonably determined according to the risk matrix, and the rationality, accuracy and scientificity of the risk analysis process is improved, and thus the safety instrumentation system (SIS) reliability and availability are also enhanced in the same time.

safety instrumented system; safety instrumented function；safety integrity level；layer of protection analysis

2016-08-05

李榮強，工程師，2011年畢業(yè)于中國石油大學(xué)(華東)化工過程機械專業(yè)，現(xiàn)在中國石化安全工程研究院從事功能安全技術(shù)方面的工作。