目前,中国石油多家油田、炼化企业相继开展了装置的危险与可操作性分析(Hazard and Operability Analysis,以下简称HAZOP)工作。HAZOP分析可以系统地识别工艺装置或设施中的各种潜在危险和危害,识别现有的保护措施,但现有的保护措施是否足够、保护措施提供的风险降低如何量化、是否需要增加新的保护措施、所增系统的风险降低目标是多少等,这些都是HAZOP分析解决不了的[1]。
保护层分析(Layers of Protection Analysis,以下简称LOPA)是一种半定量的风险分析和评估工具,通过对现有保护措施的可靠性进行量化的评估,确定其消除或降低风险的能力。它首先分析未采取安全保护措施之前的风险水平,然后分析各种安全保护措施将风险水平降低的程度,是HAZOP分析的继续,是对HAZOP分析结果的丰富和补充[2]。
LOPA分析是一种简化的风险评估方法,通常使用初始事件频率、后果严重程度和独立保护层(Independent Protection Layers,以下简称IPLs)失效频率的数量级大小来近似表征场景的风险[3]。
LOPA分析是一种特殊的事件树分析形式,如图 1所示。初始事件位于事件链的开始,并且导致不期望发生的后果。为了降低不期望事件的发生频率,通过一个或者更多的保护层来防止事故发生,即通过各种安全保护措施及其失效概率(Probability of Failure on Demand, 以下简称PFD)将事故发生概率降低到可接受范围内[4]。通过将风险水平和可接受风险比较,最终可以确定附加系统的安全完整性等级(Safety Integrity Level,以下简称SIL)。
LOPA分析的应用一般是在定性危害评估之后,用定性危害分析小组识别的情形进行。当定性危害分析的结果表明需要降低风险,而定性危害分析小组又碰到了如下问题时,就需要进行LOPA分析:①事故场景过于复杂,以至于定性方法不能描述;②事故场景后果严重,无法确定事故后果的发生频率;③无法判断防护措施是否为真正的独立保护层;④需要确定事故场景的风险等级,以及各保护层降低的风险水平;⑤其他情形等[5]。
保护层就是保护措施,可以是一台设备、一个系统或一系列对应的行动,作用是预防或减轻不希望的后果。这些保护层有些可以独立完成其保护功能;有些需同其他措施共同作用后对风险起到消减作用[6]。总体来说可分为两大类:事件阻止层和后果减弱层,事件阻止层可以阻止潜在危险的发生;后果减弱层则是针对已经发生的危险,尽可能减少后果的危害程度,降低损失。
保护层分析的思想,可以用一个“洋葱”来形象地描述,如图 2所示。外部设立多重保护层,以保证生产过程的安全运行。
独立保护层是指能够阻止场景向不良后果继续发展的并且独立于初始事件或场景中其他保护层的行动、设备或系统。一个独立保护层必须特定地防止某一种风险后果的发生,且保护层的操作必须独立于其他保护层,必须具有可靠性,无论是系统失效还是随机失效,都需要在保护层的设计中被考虑到。
在开展LOPA分析之前,企业应根据实际情况编制风险矩阵,如表 1所列,其中对事故发生频率和后果严重程度要进行定量描述,便于确定风险[7]。
同很多分析方法一样,LOPA分析也有自己的规则,图 3给出了LOPA分析的步骤。
(1) 识别后果,筛选事故场景。在LOPA分析中,首先要确定事故场景,即找出导致不良后果的意外事件或一系列事件。每个场景至少包括两个要素:引起一连串事件的初始事件及其对应的单一后果。一般情况下,以后果严重的事件作为事故场景进行分析。
(2) 事故场景描述。LOPA分析中要首先对事故发生的原因、事故导致的后果进行详细描述,同时也要对事故导致后果的严重程度和风险允许值进行量化,量化的标准要根据公司实际情况采用本公司的风险矩阵。
(3) 确定场景的初始事件和触发事件,并修正后果。初始事件,即引发原因,在LOPA分析中成为始发事件;触发事件,即条件事件,也就是说可能在初始事件导致后果发生之前有这些触发事件或条件存在,后果才能发生。而相应的发生频率,需要根据各公司的实际情况选定。若后果中存在人员死亡、商业或环境损害的情况,则要利用结果修正因子进行修正。
(4) 确定事故场景的风险。事故场景是指初始事件发生且所有的保护层都失效的情况下,后果事件发生。其发生频率等于初始事件、触发事件和后果事件发生频率的乘积,依据公司自有的风险矩阵确定事故场景的频率等级、后果严重度和风险等级。
(5) 独立保护层评估。前面已经提到保护层分为事件阻止层和后果减弱层。在这一步就要分析确定独立保护层及其平均需求故障概率。
(6) 残余风险评估。在识别了所有的保护层,并确定其失效概率后,就要计算在独立保护层正常起作用的情况下,减轻事件的残余风险和等级。确定了减轻事件的发生频率后,同时根据企业的风险矩阵确定频率等级和残余风险等级。
(7) 风险决策。若减轻事件的残余风险达到公司可接受的水平,则不需进一步采取安全措施和建议措施。否则,要提出切实可行的附加保护层,直至将残余风险降低到风险允许值以下[8]。
LOPA分析在风险分析方面有许多优点,包括:①可以比定量风险分析节省更多的时间;②相比定性风险分析,其结果更加直观,提供了更具可靠性的风险判断;③能更精确地确定原因/后果对,有助于更好地进行场景识别;④可以帮助企业确定风险是否可接受,是否符合最低合理可行原则[3];⑤为最终的风险决策提供了定量参考依据。
LOPA分析虽给出了有价值的风险评估结果,但相比其他定量分析方法要简单得多。LOPA分析中所采用的数值多为经验值,不能准确得出场景风险。LOPA分析要比定性分析方法耗时,且并不适用于所有的场景分析,所以也存在一定的局限性。
经管道混合器混合后的石脑油储存在混合石脑油罐中,并由设在罐区的混合石脑油泵经外管网送至下游装置。简化流程如图 4所示。
首先,针对该流程进行HAZOP分析,对于一个重要的偏差液位高,分析导致液位高的原因、液位高可能导致的后果,以及现有防止后果发生的安全措施,详见表 2。但储罐现设置的安全措施是否可以将风险降低到可接受水平,是否有必要增加新的安全措施,HAZOP分析都未能给出。因此,在HAZOP分析的结果之上开展事故场景的LOPA分析:
(1) 本例选择分析的事故场景为混合石脑油储罐溢流,石脑油蒸气与空气形成爆炸性混合物,扩散遇明火、高热发生火灾爆炸,造成人员伤亡。
(2) 上游向石脑油储罐送料,储罐上的LIA测量故障,假指示低,在已达到储罐的容量时,进料没有停止,导致混合石脑油储罐发生溢流,石脑油蒸气云扩散,可能导致潜在的火灾和(或)人员伤亡事故。
根据风险矩阵,假设事故导致后果的严重程度为4级,风险允许值为1.0×10-4。
(3) 本例选定的初始事件为LIA测量故障,假指示低。危害评估小组估计这种场景一年可能发生一次,失效频率为1.0/a。
触发事件为混合石脑油储罐溢流,其失效频率为1.0×10-1。可燃物质(液体或蒸气释放)的点火概率假设为0.1,人员出现在事件影响区域的概率假设为0.5,暴露下致死伤害的概率为0.5。
(4) 事故场景发生频率=初始事件频率×触发事件频率×结果修正因子=1.0×1.0×10-1×0.1×0.5×0.5=2.5×10-3,依据表 1,事故发生频率定为3级。
事故导致后果的严重程度为4级,则事故场景的风险确定为Ⅲ级风险。
(5) 接下来就要确定独立保护层及其PFD。液位高高联锁能在混合石脑油储罐达到高液位时切断进料,是独立保护层,PFD取1.0×10-2;现场液位计没有报警设置,不能让现场作业人员及时发现液位异常,所以不是独立保护层;一旦发生储罐溢流,防火堤能够防止溢流物流出,因此防火堤是独立保护层,其PFD取1.0×10-2。
(6) 减轻事件的发生频率=事故场景的发生频率×独立保护层要求时失效概率(PFD)=(2.5×10-3)×(1.0×10-2)×(1.0×10-2)=2.5×10-7,依据表 1,事件发生频率定为1级。事故后果严重程度为4级,则残余风险确定为Ⅰ级风险。
(7) 将残余风险与企业的允许风险比较,残余风险远低于企业的风险允许值,则不需进一步采取安全措施[9]。
若残余风险仍然高出企业的风险允许值,则要提出实现某一SIL的安全措施,且该SIL的PFD由企业的风险容许值及减轻事件的发生频率来确定。
(1) LOPA分析作为一种简化的风险评价方法,可得出清楚的事故发生链,故对事故场景的分析和评价比其他定量风险评价方法更省时间和精力。
(2) LOPA分析通过量化现有安全保护措施的风险降低,将残余风险与允许风险比较,从而确定是否有必要增加新的安全措施[10],并确定安全措施的风险降低目标。
(3) LOPA分析过程中,需要对各保护层的要求时失效概率进行量化。通过比较保护层要求时失效概率,可以确定哪些保护措施是企业生产过程中要重点关注及加强实施的。
2013, Vol. 42 Issue (6): 663-666
2013, Vol. 42 Issue (6): 663-666