保护层分析LOPA在炼化生产中的运用

保护层分析（LOPA）在炼化生产中的运用前言在过程安全评价时，来自不同专业的人员采用头脑风暴方式进行危害识别的过程中，就安全措施是否足以将风险降到可容忍风险标准之下往往会进行激烈的辩论，因为来自不同背景专业的人员各自的经历不同，对同样的降低风险的措施，其认知也会有很大的差别。这主要是他们根据各自的经验得出的结论。举例来说，一个经历过事故或处理过安全设施故障的人和没有这方面经历的人对安全措施的有效性可能会有两种极端的看法，一种认为措施还不足以防止事故的发生，并且会以自己的经历为例说明。另一种看法则相反，他会认为安全措施足够了，他也会以自己的工作经历来佐证自己的说法。这种看法的分歧导致产生的争论会极大的延长分析时间，最后达成结论时可能往往会以一方的妥协或放弃发表意见来形成一致意见。但实际的结果可能是存在过保护或保护不足。过保护会造成资源的浪费，保护不足则风险降低的不够，这都是我们不愿看到的。据Source公司一份统计，在进行LOPA分析后，针对炼油厂制氢装置，有49%的安全仪表安全保护系统是过保护的，有4%是不足的。（这是以Source公司的风险可承受标准作为风险衡量的依据，对Source公司来说，他们对各种保护措施的PFDavg（平均需求故障概率）取值和IEC-61511标准的取值会有不同，具体的PFDavg取值需要每个公司依据自己的管理维护水平在IEC-61511的标准数值上进行适当的调整。（过保护与保护不足的判断必须依据公司自己的风险可接受标准或公司统一采用的国家相关标准，我国现在还没有类似的强制标准。）1.保护层分析（LOPA）介绍1.1.风险的概念和理解风险是事故发生的频率和后果的合成。对事故来说，他的后果通常是确定的，比如爆炸或人员伤害等，但发生的频率是可以变化的，每年发生一次爆炸和每十年或每百年发生一次爆炸给人们产生的影响是不同的，不同的人们对此产生的承受能力也是不同的。保护层的运用就是从降低事故的发生频率来考虑削减事故的风险等级。1.2.保护层分析（LOPA）的概念保护层分析是英译引用，具体名为：LayerofProtectionAnalysis（LOPA）。通过名称即可看出该方法主要是对每一假定事故情形的每一个保护措施进行分析，具体来讲就是分析防止事故情形发生的保护措施是否有效，每种保护措施的有效程度为多少，各种保护措施综合运用后对于风险的削减作用为多大，是否还需要增加保护措施，所增加的保护措施对风险的削减等级为多大。而所有这些分析最终都是通过具体的数学综合运算来计算得出，包括初始事件频率与独立保护层(IPL)故障可能性的数量级（即有效程度）、后果严重度以及可容忍风险标准。因此保护层分析方法也是一种半定量的方法，通过对一些通用的保护措施的故障可能性的数量级PFDavg进行赋值，不同专业背景的人员可以容易地在此基础上达成对风险削减程度的共识，从而很容易的计算出已有的安全措施可以将风险降低到什么程度，是否符合公司的风险标准，提出的安全措施应该将风险削减到什么程度，从而避免过保护或保护不足的情况。在IEC-61511标准中，对LOPA保护层的应用举了一个例子来说明如何运用保护层分析的方法计算消减的风险，并以此来确定需要的安全仪表系统的等级。具体的过程如图1所示。IPL1IPL2IPL3图-11.3.独立保护层保护层，就是保护措施，可以是一个设备，系统或对应的行动，对不希望的后果起到预防或减轻作用。这些保护层有些是共同作用后对风险起到削减作用，单独分开时则作用减弱，甚至不起作用，而有些则可以独立的完成其保护功能，因此安全分析专家们将这种可以独立起到保护作用的保护层称为独立保护层。对于保护层分析（LOPA）方法而言，为了能充分而适当的对风险做出评估，所要求的保护层就要求必须能真正起到作用，在该方法中称其为独立保护层，且给了更为严格的要求标准，在IEC-61511标准中，要求独立保护层的确认必须满足四方面的要求：专一性，独立保护层是针对特定的后果或危险事件而设计。独立性，独立保护层的效果不依赖于其他保护层或受其他保护层的限制，在结构上完全独立。同时还独立于初始事件或独立于与情形有关的其它保护层的对应行动。可靠性，独立保护层必须能有效的依照设计的功能运行并防止危害事件的发生，其PFDavg值应该低于1×10-1。可审核性。独立保护层必须能够定期进行审核和确认。他需要定期的维护和校验以确保其可靠性维持在设计的水平。在IEC-61508及IEC-61511均对保护层分析类型进行了图示描述，如图-2图中每一保护层的可靠性数值如下：基础工艺控制系统（BPCS）其PFDavg=1×10-1～1×10-2安全阀或泄压阀PFDavg=1×10-1～1×10-3仪表连锁系统根据其安全完整等级的不同其取值PFDavg=1×10-1～1×10-3围堰PFDavg=1×10-2～1×10-3可燃气检测或火焰检测加上相应的人员响应PFDavg=1×10-1～1×10-2工艺报警和在规程上规定的人员响应PFDavg=1×10-1～1×10-2上述数值来源于一些公开发表的文献资料。图-2保护层图从图中还可以看出，对于各公司的管理规定等措施，如罐区或装置区域的防火防爆禁令，人员的定时巡检签到制度等等没有列入，主要是因为这些措施只能属于保护措施，可以将风险减低，但没有满足独立保护层规定的四个特性因而不能称之为独立保护层。而且作为管理措施，他对风险的消减值是很难量化的，而且其有效性也无法达到独立保护层的要求：即PFDavg大于10-1。1.4.保护层分析（LOPA）基本步骤2.保护层分析（LOPA）在生产中的运用效果保护层分析（LOPA）本身不是一种风险识别的方法，只是风险识别过程中用来分析已有安全措施有效性的一种工具。在具体运用中，他可以在很多方面起到帮助分析人员做出判断或帮助决策人员做出决策的作用。保护层分析（LOPA）可以识别原来定性风险分析过程中被忽略的危险。我们知道定性分析只是识别危害，但对危害发生的可能性，包括其保护措施发生作用后危害发生的可能性均不做详细讨论，在具体的运用过程中是依靠分析人员的经验来确认风险等级，很可能这种粗略的判断会掩盖一些问题，使得实际风险升高。我们通过具体的实例进行说明。下面是某石化公司装置某一局部流程的保护层分析（LOPA），在分析过程中就发现装置工艺、设备技术员以及操作人员把存在共模故障的保护层当作了两个保护层，从而导致在辨识过程中认为危害发生的可能性很低，而实际情况并非如此。2.1.装置局部流程描述图-4是我们分析具体流程图图中所描述的具体工艺操作为：高温气体通过E-112换热器降温后，其回收的热量被用来产生蒸汽。E-112的出口温度TIC-119由D-112的蒸汽压力PIC-150来控制（串级控制）。同时设计DCS液位控制回路LIC-115，以及防止锅炉无液位发生干锅导致爆炸事故的低低液位联锁LSLL116。后装置对此处液位联锁进行了变更，将液位控制回路LIC-115的传感检测引入到联锁传感系统中。2.2.汽包发生干锅爆炸的保护层分析（LOPA）通常保护层分析是在装置危害识别的基础上进行，如装置HAZOP分析基础上进行，因此选取该处HAZOP分析表格记录如下表-1：表-1：装置汽包D-112/E-112的局部HAZOP分析偏差原因后果预防措施风险建议备注严重度可能性风险等级低温PIC150控制回路故障开压力突然下降，造成D112内大量蒸汽突然损失，导致D112内液位下降，直至发生干锅，若再次补充锅炉给水时会发生爆炸1.有液位控制回路LIC-115；42III2.自产蒸汽出口线上有流量显示及报警FI154；3.有低液位报警及联锁LALL116；4.有低液位报警LAL115；5.E112出口有温度低报警TI161；6.PV150有手轮7.有操作规程正如保护层的定义所描述，在其分析方法中重点是确定每个保护措施的有效性，并且通常是在装置危害识别的基础上进行，因此对于保护层分析步骤中前三步就不需重复进行分析，直接运用危险识别过程中原因、后果的内容，并对其原因即保护层分析所确定为的引发事件赋予一定数值即可。本分析中的引发事件则指PIC150控制回路故障开，假设引发频次为f1＝0.1。下面则是对表中每一项预防措施进行确认，看其是否为独立保护层。2.2.1.基础工艺控制：液位控制回路LIC-115根据保护层图-2中所示，第一层即为基础工艺控制系统。本单元则指液位控制回路LIC-115，该保护措施独立于各保护措施，具有独立性；并且是专门针对控制液位而设计，同时进行着定期的审核与检验，所以满足保护层分析方法的要求，是独立保护层。假设平均需求故障率为PFD1＝0.1。2.2.2.报警及人员干预因为报警响后所采取的措施必须依赖于人来完成，因此表中虽然有三个报警可以响应，但人只要对其中一个采取了行动即可，因此对于满足保护层分析（LOPA）中标准要求来说此处仅将三个报警作为一个独立保护层。假设平均需求故障率为PFD2＝0.1。2.2.3.联锁LALL116一般来说联锁与其它保护层是相互独立，且具有可审核性，并能有效执行的，是保护层分析中一个重要的独立保护层。原有联锁LALL116的设计就满足这些要求，是一个独立保护层。不过因为装置对此处设计进行了变更，需要重新审核新的设计与旧的设计之间的差异，以判断是否具有独立保护层特性。先假设其平均需求故障率为PFD3＝0.1。a)装置原始设计是：独立的DCS液位控制LIC-115用于调节汽包D-112内水位以防止低或无液位情况，独立的低低液位停汽包进料联锁LSLL116防止锅炉无液位发生干锅导致爆炸的事故，设计类型为1选1（即只有一个液位传感器）；而低液位联锁LSLL116又会导致装置自动停车。因此只要此处联锁误触发就会导致装置停车，造成不希望的生产损失，而且装置也确实多次发生LSLL116误触发导致的停车事故。为了保证正常生产，装置对此联锁进行了技术改造。b)装置变更后设计：将液位DCS控制系统LIC-115的液位传感器加入到联锁LSLL116的传感器选择系统，并将检测类型选择逻辑设计为2选2，即只有LSLL116和LIC-115的液位传感器同时发出低液位信号时，联锁LSLL116才会触发停车。这种变更装置只需要在控制程序上修改就完成，不需要增加新的硬件设施，而且装置认为这是个好办法。那么实际会产生什么样的状况？通过LOPA分析，我们可以发现，当液位控制回路LIC-115的传感检测发生故障，显示正常或虚高时，而汽包内实际液位已经下降，这时因为联锁LIC-116需要LIC-115与LSLL-116的传感检测都发出低液位信号时才可以发生联锁触动停车，而LIC-115此时根本不可能发出低液位信号，因而LSLL-116就根本不可能采取正确处理措施，则干锅就会发生，随之而来的爆炸事故就可能发生。这种变更实际是提高了锅炉干锅爆炸的风险。也就是说当DCS液位控制系统由于液位传感器系统出现故障时，这个貌似保护的低低液位连锁系统也将失去作用。这种变更使得联锁LSLL-116与基础工艺控制系统LIC-115存在关联，不独立，因而不能当作独立保护层对待。2.2.4.操作规程正如LOPA对于独立保护层的定义，操作规程不具有可量化性，不是独立保护层。2.2.5.风险比较通过对该单元保护层分析，将原有设计与变更后设计的风险进行比较：原有设计的风险R1＝f1×PFD1×PFD2×PFD3＝0.1×0.1×0.1×0.1＝10-4变更后的风险R2＝f1×PFD1×PFD2＝0.1×0.1×0.1＝10-3可以看出风险提高十倍，与之前所述一致。经LOPA分析后该工艺点的风险结果见表-2。表-2：LOPA分析结果表偏差原因后果预防措施风险建议备注严重度可能性风险等级低温PIC150控制回路故障开压力突然下降，造成D112内大量蒸汽突然损失，导致D112内液位下降，直至发生干锅，若再次补充锅炉给水时会发生爆炸1.液位控制回路LIC-11543II2.自产蒸汽出口线上有流量显示及报警FI154；或低液位报警及联锁LALL116