關于減緩性安全措施與保護層分析有效融合的探討

徐志杰，黃中輝，葉波，林濤

(1. Kenexis咨詢公司，天津 300270；2. 中國石油廣東石化分公司，廣東 揭陽 522000；3. 中國石化南京化學工業有限公司，江蘇 南京 210047；4. 中國石油大連石化公司，遼寧 大連 116031)

保護層分析(LOPA)作為風險評估和管理工具已在流程工業無處不在。為了彌補“快捷但全定性”的PHA方法(例如，危險與可操作性分析(HAZOP))和更為精細但繁瑣的定量風險評估(QRA)之間的差距，LOPA分析提供了一種經濟手段，其能夠以重復且合乎情理的方式快速分析系統風險。然而，LOPA分析并不是萬靈藥。如果保護層是預防性的，分析人員可以使用概率手段來考慮單一后果事件的頻率。從風險分析的角度講，會導致兩種必須要解決的不同后果： 如果保護層失效，后果嚴重；如果保護層有效，后果降低。不幸的是，目前實施的LOPA分析仍不能解決該情況，而減緩性安全措施要么被忽視，要么被給予過多的信任，即被視為預防性措施。雖然LOPA分析可以覆蓋許多、甚至大多數風險分析場景，但鑒于LOPA分析中的固有假設，很多安全措施和危險場景并不能在傳統LOPA分析中得到充分體現。更為糟糕的是，當個人或組織要求將LOPA分析用作風險分析工具時，該局限性和LOPA分析人員缺乏理解有可能會導致分析出現瑕疵，而且暴露的風險也許會超過可承受范圍。

1 獨立保護層與LOPA分析假設的關系

LOPA分析中使用的許多假設均圍繞如何識別獨立保護層(IPL)以及如何為這些IPL分配風險降低。眾所周知，IPL應該獨立、專一、有效/可靠且可審核。這是否就意味著不滿足該類要求中一項或多項內容的安全措施便不會在安全方面帶來好處了呢？如果非共享組件是失效的原因，則處于觸發場景的控制回路和旨在中止場景的聯鎖之間的共享組件，例如，閥門或變送器，是否能夠防止聯鎖終止場景的發展？如果火災檢測觸發了雨淋系統，那么僅僅降低場景的嚴重度而不能消除該嚴重度，則雨淋系統是否就沒有價值，答案顯然是否定的，但針對IPL的LOPA規則能夠確保維持LOPA內置簡化所需的各類假設，而且所獲得的結果也不會高估該類IPL所提供的風險降低。最主要的要求之一就是IPL必須有效或可靠。通常將其解釋為IPL可提供的風險降低至少為10(風險降低因子)。這與LOPA的一般分析量級相一致，并且通常認為IPL的要求時失效概率(PFD)值必須小于0.1。預防性保護層的情況亦是如此，其成功啟動可以防止后果的發生。以機泵密封失效的簡單例子，考慮減緩性保護層失效頻率，可以使用領結圖來表示該種場景，如圖1所示。

圖1 考慮減緩性保護層失效頻率的機泵密封失效領結圖示意

由圖1可知，左側實質上是故障樹，包括初始事件和預防性保護層。在一次(主要)圍堵失效事件的右側，本質上是以事件樹的形式展示了保護措施對最終后果的影響，也有可能是對多種后果的影響。借助于LOPA分析假設，事件樹可以被簡化，其結果可以簡化到最惡劣的場景發生，或將沒有后果作為唯一選擇。如此一來，減緩性保護層就被有效地去除了。

未考慮減緩性保護層的機泵密封失效領結圖如圖2所示。

圖2 未考慮減緩性保護層失效頻率的機泵密封失效領結圖示意

LOPA分析期間，通常只考慮領結圖故障樹一側的預防性保護層。盡管有時可能會包含一些條件修正因子例如，居留率、點火概率等，但只有在減緩效果能夠有效消除后果的情況下才會這樣做。從示例當中可以看出，LOPA分析提供了更為保守的風險估計。

2 減緩性保護層的意義及與預防性保護層的關系

將減緩層給予信任是有問題的。通常，為了給予信任，減緩性保護層必須有效且能夠徹底地防止后果。然而，只需稍作調整便可以輕松地將減緩性保護層納入到針對LOPA分析而設計的軟件當中，從而對只能降低卻不能消除后果的減緩層進行分析。為此，需要充分理解減緩性保護層，不僅要考慮該保護層的PFD，包括觸發動作的硬件失效，還應考慮即使正確執行動作也不能充分降低后果的概率，而且還要考慮保護層成功減緩后果時的預期結果。場景可以被有效性劃分為已減緩和未減緩結果，兩者均需要進行評估，從而無需執行全面的QRA分析便可開展更加細至入微的分析。這樣做的“凈效果”是降低了通常稱為殘余風險的最惡劣場景預計發生的頻率，然而卻增加了需要檢查與減緩后場景有關風險是否可以容忍的責任。有關未減緩風險的風險矩陣如圖3所示，已減緩風險的風險矩陣如圖4所示。

圖3 未減緩風險的風險矩陣示意

圖4 已減緩風險的風險矩陣示意

預防性保護層仍然照?？紤]既適用于已減緩場景的結果也適用于未減緩場景的結果。如果已減緩的風險和未減緩的風險都可以容忍，則無需采取進一步措施。如果其中一個(或兩個)風險等級均不能容忍，則應建議采取額外的風險降低措施來彌合風險差距。

3 減緩性措施未給予信任的原因

通過計算兩次風險來考慮減緩性措施所提供的風險降低的分析過程(即一次針對安全措施失效的情況，另一次針對安全措施成功運行的情況)有諸多的優點。首先，可以更加準確地評估那些嚴重依賴減緩措施場景的風險。與全面QRA分析有所不同，這樣不但可以降低高昂成本和過度設計安全措施的可能性，同時還能夠在LOPA分析期間輕松整合和應用安全措施，指在評估安全措施的設計時須同時考慮兩種后果場景。以某一周邊配備有護堤或圍堰的儲罐為例，可以采用多種方法在LOPA分析時對其進行建模。某些公司將圍堰視為減緩性措施而非預防性措施，因此，在LOPA分析期間不會對圍堰給予信任，特別是在即使被包容的液體點燃后有可能導致潛在傷害的情況下。其他公司則認為圍堰是防止可能影響其他裝置的大型泄漏的可靠安全措施，因此，他們可能會判定圍堰始終有效，并認為圍堰包容溢出物作為后果的一部分。這兩種做法都是檢查LOPA分析中相關場景的簡化方式，但是兩者都有可能導致分析結果不準確。典型的LOPA分析場景，儲罐溢流的領結圖如圖5所示。該場景可用于處理儲罐中液態烴的滿溢/溢出，在該情況下，圍堰并未被給予風險降低的信任。

圖5 儲罐溢流的領結圖示意

假設目標風險(嚴重度)為1.0×10-4，則分析包括預防性安全措施在內的場景時會導致2個數量級的風險差距。如此一來，便需要實施2個額外數量級的風險降低，例如，采用SIL 2等級的SIS聯鎖來防止儲罐溢流。若考慮圍堰預防的好處，分析團隊則會認為圍堰能夠顯著降低釋放的后果，即便溢流物被點燃也只會導致傷害而并非死亡。針對LOPA分析的典型指南，例如CCPS出版的《保護層分析： 初始事件與獨立保護層應用指南》并未對圍堰給予信任，原因是圍堰不能夠完全消除后果。假設圍堰滿足其他要求，例如，正確的維護/檢驗/排液，充足的包容體積以及壁高能夠防止液壓波濺過圍堰壁，則再向“圍堵”分配某種程度的風險降低就是不合理的。

減緩影響可分為已減緩和未減緩的風險等級，假設使用通常分配給圍堰的推薦PFD值，通常認為0.01是預防性的，則可以看到潛在死亡的頻率已從1.0×10-2/a降至1.0×10-4/a，但仍存在9.9×10-3/a的潛在傷害頻率。帶有圍堰的儲罐溢流領結圖如圖6所示。

圖6 帶有圍堰的儲罐溢流領結圖示意

圖6中，死亡事件現在處于可容忍的風險水平，而傷害級別的可能性大約高于可容忍一個數量級。通過查看風險矩陣，也可以看到相同的結果。帶有圍堰的儲罐溢流風險矩陣如圖7所示。

圖7 帶有圍堰的儲罐溢流風險矩陣示意

由圖7可知，死亡風險是可以容忍的，而傷害風險卻在可容忍水平之上。在該分析中，人們仍然需要提出建議，但該方案僅僅是為降低1個風險量級，而不是先前在未考慮圍堰時建議的2個量級。從LOPA分析工作表的角度來講，該場景有兩種結果： 較高的嚴重度結果，即目標減緩事件可能性(TMEL)為1.0×10-4，可以對圍堰給予信任并提供剩余風險，而較低的嚴重度則表明圍堰按預期發揮作用，并提供了已減緩的風險。相關LOPA分析見表1所列。

表1 帶有圍堰的儲罐溢流LOPA分析

4 減緩功能納入LOPA分析的額外意義

將減緩功能納入LOPA分析的第二個原因，也許是更為重要的原因是在使用LOPA分析專門分析減緩性安全儀表功能(SIF)的時候。盡管不太常見，但事實上有一些SIF本質上只是減緩性的。當運營公司和LOPA分析從業者試圖遵照IEC 61511《過程工業領域安全儀表系統的功能安全》的要求為該類SIF功能進行SIL定級的時候，可能會引起混淆。以管道系統的低壓停車為例，聯鎖的目的是在出現重大破壞和圍堵失效時發揮隔離作用，限制損失并減小該種釋放的潛在規模。假定所需的風險降低因子為100，將SIL 2目標分配給SIF會變得既簡單又誘人。

問題是，就像圍堰一樣，即使人們將SIL2等級的PFD值0.01分配給該低壓SIF功能，當SIF采取安全動作時，如果管道失效的后果足夠嚴重，則事實上根本無法解決該風險。筆者曾經遇到過類似真實的場景，某公司認為通過分配SIL2等級從而遵循了正確的行動方案。然而，LOPA分析卻表明未緩解釋放的潛在結果是多人死亡事件，原因是很可能會形成巨大的蒸氣云，如果氣云被點燃，則會對多套裝置造成影響，故可能會有許多操作人員身處潛在的致命爆炸區域之內。通過減緩釋放有可能會顯著降低該情況，但分析團隊無法排除操作人員處在釋放區域內的可能性，因此，盡管低壓SIF功能能夠防止大型的蒸氣云爆炸(VCE)，但卻無法防止管道進入的裝置內發生較小規模VCE/閃火從而導致死亡的可能。

SIL2等級減緩功能的風險矩陣如圖8所示，可以看出通過實施SIL 2等級的功能解決了與多人死亡事件有關的風險，然而，以單一死亡事件形式存在的風險仍然不可以接受。注意： 進一步降低SIF的PFD值不會影響該風險，這是因為SIL 3等級的功能仍然會導致無法接受的風險，SIL3等級減緩功能的風險矩陣如圖9所示。

圖8 SIL2等級減緩功能的風險矩陣示意

圖9 SIL3等級減緩功能的風險矩陣示意

5 結束語

由于初始釋放會導致潛在的死亡，因此減緩性功能無法充分降低風險，將該風險分配給減緩性SIF功能則會導致虛假的安全感。將SIF適宜地評估為減緩性功能表明該場景只有采取預防性措施來降低圍堵失效的可能性才能充分地降低風險。

在IPL分析中采用減緩性保護層需要花費一番努力。LOPA分析軟件和模板都需要更新，以便將減緩性安全措施輕松地納入到場景當中，并能夠在風險減緩前后將后果分開，同時對二者進行評估。需要制定有關何時以及何種減緩場景應予以考慮的指南，并對LOPA分析組長進行相應培訓。一旦完成該項工作，重要減緩性安全措施風險降低的核算工作(該處指給予了多少信任，以及該信任在數學上如何用于風險分析)便可以納入到LOPA分析工作流程當中，從而對風險進行更為準確的觀察，同時還可以更加準確地了解風險，并進一步減少對場景進行價格昂貴且耗時的QRA分析的需要。