陶 冶，姚安林，2，徐濤龍，蔣宏業(yè)，李又綠

(1.西南石油大學 石油與天然氣工程學院，四川 成都 610500； 2.油氣消防四川省重點實驗室，四川 成都 610500)

0 引言

保護層分析(Layer of Protection Analysis，LOPA)作為一種簡化的、半定量的風險評估方法，是一種評估化工系統(tǒng)安全措施靈活有效的工具，在過程工業(yè)中得到了廣泛的應用[1]。LOPA通過事故后果的嚴重程度與發(fā)生頻率的數(shù)量級大小來近似表征所評估場景的風險水平[2]。針對某一特定場景，LOPA首先識別該場景的初始事件并確認其發(fā)生頻率，然后進行獨立保護層(Independent Protection Layer，IPL)識別并確認其需要時的失效概率(Probability of Failure on Demand，PFD)，計算得到該場景的場景頻率并與企業(yè)的風險容忍標準比較，從而做出決策。

目前，國內(nèi)外許多學者對LOPA進行了研究并提出改進方法。如Markowski等[3]將專家系統(tǒng)與保護層分析法相結合提出了“Exsys-LOPA”；YUN等[4]將貝葉斯理論應用于LOPA提出了“BN-LOPA”；鄧彬等[5]將軌跡交叉理論與LOPA相結合對系統(tǒng)的安全狀況進行分析評價；夏陽光等[6]將模糊故障樹應用于LOPA提出“FFTA-LOPA”；徐青偉等[7]將云模型、BOW-TIE模型與LOPA結合對LOPA進行改進；閆放等[8]將集對分析與LOPA結合，提出“SPA-LOPA”；萬古軍等[9]對LOPA中獨立保護層的識別進行研究；靳江紅等[10]對LOPA中定量問題進行了研究等等。然而，現(xiàn)有的研究均沒有系統(tǒng)全面地考慮非獨立保護層對后果的影響，在實際評價中，一些非獨立保護層并非完全起不到保護作用，若評價過程中不考慮這些保護層的作用，就有可能導致評價結果過于保守，從而造成無謂的技術改造，增加了資金投入。

因此，本文在分析獨立保護層的定義、分類、判定依據(jù)的基礎上，分析非獨立保護層對評估結果的影響并提出相應的改進方案，以期克服LOPA在識別保護層方面以及場景頻率計算方面的局限性，拓展其使用范圍。

1 LOPA中的保護層

1.1 獨立保護層

《保護層分析——簡化的過程風險評估》一書中對獨立保護層的定義為：獨立保護層是能夠阻止場景向不良后果繼續(xù)發(fā)展的一種設備、系統(tǒng)或行動，并獨立于初始事件或場景中其他保護層的行動[11]。獨立保護層作用示意如圖1所示。

圖1 獨立保護層功能示意Fig.1 Functional diagram of IPL

按照獨立保護層的判定規(guī)則，獨立保護層必須滿足有效性、獨立性以及可審查性。有效性是指其必須能有效地防止所評估場景中不期望的后果；獨立性是指其必須獨立于初始事件及同一場景中已經(jīng)被認定為是獨立保護層的任何構成元件；可審查性是指被認定的獨立保護層必須可以驗證其功能的有效性以及確認的PFD的合適性。

一個化工過程通常包含多個保護層，典型的保護層包括工藝設計(本質(zhì)安全設計)、基本過程控制系統(tǒng)(BPCS)、關鍵報警和人員干預、安全儀表系統(tǒng)(SIS)、物理保護(安全閥、爆破片等)、釋放后保護(防火堤、防爆墻等)、工廠及社區(qū)應急響應等。美國化工過程安全中心(CCPS)給出了一些典型獨立保護層及PFD，如表1所示[11]。

表1 典型的獨立保護層及其PFDTable 1 Typical IPL and its PFD

1.2 非獨立保護層

對于過程工業(yè)典型的保護層，保護層的可審查性基本都會予以保證，所以獨立保護層的有效性及獨立性是其核心特性[12]。但在實際評估過程中，一些保護層可能不滿足某個特性，將不作為獨立保護層考慮，但其并非起不到作用，如果單純將其忽視，很可能會夸大風險、使評價結果偏于保守，從而造成不必要或過多的技術改造和資金投入。

根據(jù)獨立保護層的定義，非獨立保護層可定義為“不能夠完全阻止場景向不良后果繼續(xù)發(fā)展的一種設備、系統(tǒng)或行動，或不獨立于初始事件或場景中其他保護層的行動”。CCPS總結了一些通常情況下不視作獨立保護層的例子，包括培訓和取證、設備維護、標識等[11]。在實際評估過程中，這些例子通常對評估結果造成不了影響，所以在討論非獨立保護層對后果的影響暫不予考慮[13]。故可以將非獨立保護層分為2類，即不滿足有效性的保護層和不滿足獨立性的保護層，下面將分別對其進行分析，并對其影響LOPA結果的處理方法構建起相應的改進策略。

2 不滿足有效性的保護層

不滿足有效性的保護層，即不能有效地防止不期望后果的保護層，或者說只能部分有效的保護層。而傳統(tǒng)LOPA對于獨立保護層的選取原則，一個保護層不是生效就是失效，不存在部分生效的情況，這就導致了某些保護層實際上可以起到一定的降低、減緩風險的作用，但實際被忽略的情況，從而夸大了風險。對于通常在事故發(fā)生前便生效的主動保護層(如BPCS，SIS等)而言，若其生效，則事故后果便不會發(fā)生，若其失效，則事故后果發(fā)生，其有效性容易判斷。但對于事故發(fā)生后才發(fā)揮作用的被動型保護層(如防火堤、防爆墻等)，若生效，其事故后果不一定會完全規(guī)避，若失效，其也有可能減緩事故后果。所以，在處理這類保護層時有必要對現(xiàn)有的方法進行改進，以增加其適用性。

2.1 改進策略

對于某一場景，其風險可以表征為事故后果與場景頻率的乘積，即：

RC=fC×C

(1)

式中：RC為場景的風險等級；fC為場景的發(fā)生頻率；C為場景的后果嚴重程度。

進行LOPA分析時，在確定了一個獨立保護層，其場景頻率也會隨之相應降低，后果嚴重程度并不會改變，然而，類似于防火堤之類的被動保護層，往往是降低了后果的嚴重程度。而削減系數(shù)可以量化風險的削減程度，并可以通過推導轉化為更深層次的、合理的評價結果，在工程上得到廣泛的應用。由此，為了合理處理此類非獨立保護層有效部分對后果的削減效果并將其削減程度轉化為場景頻率的表征，引入削減系數(shù)λ[14]。

設某一場景無任何保護層時的后果嚴重度為C，保護層發(fā)生作用時場景后果嚴重程度為C1，則削減系數(shù)為：

(2)

從式(2)中不難看出，0<λ<1，且隨著λ的減小，保護層對風險的削減作用增強。λ之所以不能取0和1，是因為當λ為0時，表示風險被完全規(guī)避，說明保護層起到了完全保護的作用，即為獨立保護層，便不是非獨立保護層；當λ為1時，表示風險沒有被削減，說明保護層已經(jīng)失效，便不是保護層，這都與非獨立保護層的意義相悖。引入削減系數(shù)的非獨立保護層分析示意如圖2所示，其中λ1，λ2，λ3分別為不滿足有效性的非獨立保護層1，2，3的削減系數(shù)。

圖2 引入削減系數(shù)的非獨立保護層分析示意Fig.2 Schematic diagram of Non-IPL analysis with reduction coefficient

引入削減系數(shù)后，便可將后果削減轉化為場景風險頻率進行計算。設某一場景后果為C，有不滿足有效性的非獨立保護層(PL)a個，每個非獨立保護層的削減系數(shù)為λ1，λ2，，λa，獨立保護層(IPL)b個，則由式(1)，場景風險R為：

(3)

故場景頻率f為：

(4)

式中：R為場景的風險等級；f為場景的發(fā)生頻率；C為場景的后果嚴重程度；fI為初始事件頻率；PFDPL為非獨立保護層失效概率；PFDIPL為獨立保護層失效概率；λ為非獨立保護層的削減系數(shù)。

2.2 案例分析

來自上游工藝單元的油品進入儲罐，儲罐液位受液位控制回路控制，儲罐總容量為1×104m3，該儲罐位于防火堤內(nèi)?，F(xiàn)因液位控制回路失效(失效概率為1×10-1次/a)，導致儲罐溢流，泄漏量為40 m3，泄漏物進入防火堤(PFD為1×10-2次/a)，但現(xiàn)場發(fā)現(xiàn)該防火堤在容納30 m3泄漏物高度處有1較大裂縫。場景為：液位控制系統(tǒng)失效導致40 m3油品流出儲罐，引發(fā)火災、人員傷亡。

對于此場景，防火堤是唯一的保護層，但溢流量為40 m3，而防火堤在30 m3處存在較大裂縫，按照LOPA對于獨立保護層的要求，顯然該保護層不滿足有效性，按照傳統(tǒng)LOPA，此時場景頻率即為初始事件頻率1×10-1次/a。

但實際上，雖然防火堤存在缺口，但仍然可以容納30 m3的溢流物，相當于泄漏了10 m3，故按照改進的方法，λ=10/40=0.25，按照(4)式，此場景頻率為：

顯然，改進方法得到的場景頻率降低了1個數(shù)量級，糾正了傳統(tǒng)LOPA過于保守的評價結果，提高了LOPA的準確性?？梢?，充分考慮不滿足有效性的非獨立保護層對后果的削減作用而引入削減系數(shù)的改進方法是合理而有效的。

3 不滿足獨立性的保護層

不滿足獨立性的保護層，即保護層與同一場景中已被認定為是獨立保護層或初始事件等存在共同元件。對于傳統(tǒng)LOPA，存在共同構成元件的多個保護層均按1個IPL計算，同不滿足有效性的保護層一樣，不滿足獨立性的保護層也并非起不到保護作用，單純忽略也可能造成評價結果的過于保守。所以，有必要針對不滿足獨立性的保護層，在處理方法上進行改進。

3.1 改進策略

保護層不滿足獨立性，也就是該保護層與其他獨立保護層等存在共因失效問題，而對于共因失效問題，故障樹分析(FTA)可以有效地解決[15]。故障樹分析通過樹狀的邏輯關系圖，將系統(tǒng)的故障與組成系統(tǒng)各部件的故障有機地聯(lián)系在一起，逐層、全面地分析系統(tǒng)所有的失效模式[16]，然后通過邏輯運算，計算出系統(tǒng)失效的概率。故障樹也有其弊端，對于復雜場景，故障樹的構建以及失效概率的計算量可能相當巨大，而將FTA集成于LOPA中來分析保護層之間的共因失效問題，通常只涉及到幾個部件，故障樹的構建以及計算量也會大幅減小[17]，故將二者集成，取長補短，對傳統(tǒng)LOPA進行改進。

方法思路：在傳統(tǒng)LOPA分析的基礎上，在識別保護層時增加不滿足獨立性的保護層識別，具體分析流程如圖3所示。最后通過求最小割集計算出頂事件(非獨立保護層部分)的發(fā)生頻率，從而計算出場景頻率。

圖3 改進的保護層分析流程Fig.3 Improved procedure of LOPA

3.2 案例分析

為體現(xiàn)出改進策略的有效性，以文獻[11]中的案例及數(shù)據(jù)進行分析。某油品的進罐操作，儲罐位于圍堰內(nèi)，其庫存量由庫存控制系統(tǒng)控制，儲罐裝有液位指示器和高液位報警器，進行卸載輸送工作時，1名操作人員在現(xiàn)場通過液位指示計進行監(jiān)視，當?shù)竭_控制液位時，立即停泵切斷進料，相關參數(shù)在控制室進行顯式和報警。場景：儲罐庫存量控制系統(tǒng)失效，槽車卸載油品到空間不足的儲罐內(nèi)，導致儲罐溢流，潛在的火災風險、造成人員傷亡，初始事件儲罐庫存量控制系統(tǒng)的失效頻率基于工廠數(shù)據(jù)取1.0/a。

通過分析，該場景有3個保護層，卸載前操作人員檢查液位、高液位報警及人員響應、圍堰。根據(jù)CCPS給出的失效數(shù)據(jù)，確定各保護層失效數(shù)據(jù)如表2所示。

表2 保護層失效數(shù)據(jù)Table 2 Failure data of protection layer

對識別出的保護層進行分析以確定是否滿足獨立保護層要求：

1)槽車卸載前操作人員檢查儲罐液位。操作人員檢查儲罐BPCS顯示的液位可以確保儲罐有足夠的空間容納槽車內(nèi)的油品，若高液位則不會進行卸載操作，就不會發(fā)生溢流，且獨立于其他任何行動，故為獨立保護層。

2)BPCS報警及人員響應。它并不獨立于第一種防護措施，因為它與第一種保護措施使用相同的液位指示傳感器，故不是獨立保護層。

3)圍堰。圍堰能夠防止溢流物流出圍堰的后果，因此是獨立保護層。

通過以上分析可知，卸載前操作人員檢查液位所用液位指示器同時也是BPCS的一部分，按照傳統(tǒng)LOPA方法，BPCS報警將不作為1種獨立保護層，所以按照傳統(tǒng)LOPA方法計算場景頻率為：

按照改進方法分析流程，對非獨立保護層部分進行FTA分析，構造的故障樹如圖4所示。相關失效數(shù)據(jù)來源于CCPS數(shù)據(jù)庫以及工廠數(shù)據(jù)，如表3所示。

圖4 非獨立保護層部分故障樹Fig.4 Partial FTA of Non-IPL

基本事件失效頻率/(次·a-1)員工誤操作1×10-2液位檢測元件失效1×10-2邏輯解算器失效1×10-3報警器失效1×10-1

故障樹在求最小割集時的邏輯運算遵循布爾代數(shù)運算法則[18]，則頂事件T的發(fā)生概率為：

(5)

式中：PT為頂事件T的發(fā)生概率；PA為中間事件的發(fā)生概率；PB為底事件的發(fā)生概率。其中，B1事件為員工誤操作；B2事件為液位檢測元件故障；B3事件為邏輯解算器故障；B4事件為報警器故障。

將表3數(shù)據(jù)代入式(5)得PT為0.011 01，取整為1.1×10-2，故場景頻率fC為：

與傳統(tǒng)LOPA計算結果對比可見，場景頻率降低了近10倍，提高了LOPA的準確性?？梢?，通過將FTA與LOPA結合，可以有效解決保護層之間的共因失效問題，改進方法是合理而有效的。

4 結論

1)在進行LOPA分析時，保護層需滿足有效性、獨立性和可審查性才可以作為獨立保護層進行場景頻率的計算。但有些不滿足某個特性的保護層并非完全起不到保護作用，完全不予考慮是不合理的。

2)針對LOPA對于保護層選取的局限性，考慮了非獨立保護層的作用，將非獨立保護層分為不滿足有效性的保護層與不滿足獨立性的保護層2類。

3)對于不滿足有效性的保護層(被動保護層)，采用引入削減系數(shù)，利用削減系數(shù)對后果削減程度的量化作用對LOPA進行改進；對于不滿足獨立性的保護層(存在共因失效的保護層)，采用將FTA與LOPA相結合的方法，利用FTA在解決共因失效問題的優(yōu)勢對LOPA進行改進。

4)通過案例分析驗證了改進方法的適用性，結果表明改進方法的計算結果較傳統(tǒng)方法都降低了近1個數(shù)量級，避免了傳統(tǒng)方法過于保守的評價結果，改進方法是合理而有效的。