前言

石油化工是重要支柱產(chǎn)業(yè)，關(guān)系到經(jīng)濟(jì)、醫(yī)療、能源、材料等諸多方面，同時(shí)也是高危行業(yè)，一旦發(fā)生工藝安全事故，極易導(dǎo)致群死群傷，甚至嚴(yán)重破壞自然環(huán)境。石油化工裝置工藝流程復(fù)雜，工藝條件苛刻，介質(zhì)大都是具有易燃、易爆、有毒、腐蝕等特性的危險(xiǎn)化學(xué)品。 石油化工裝置系統(tǒng)設(shè)計(jì)、實(shí)施和操作過程中任何一個(gè)小的失誤都有可能帶來嚴(yán)重的，甚至是災(zāi)難性的后果。

危險(xiǎn)與可操作性分析（HAZOP）作為生產(chǎn)裝置及工藝流程安全系統(tǒng)評(píng)價(jià)方法，被國內(nèi)外眾多石化公司、化工生產(chǎn)企業(yè)和設(shè)計(jì)施工單位普遍接受，并應(yīng)用于裝置、設(shè)備生命周期始終。通過HAZOP分析可以系統(tǒng)地識(shí)別工藝裝置或設(shè)施中的各種潛在危險(xiǎn)和危害，并通過提出合理可行的措施減輕事故發(fā)生的可能性及后果。而在HAZOP分析的基礎(chǔ)上，引入保護(hù)層分析(LOPA)技術(shù)，可以解決HAZOP分析安全保護(hù)措施的風(fēng)險(xiǎn)降低和殘余風(fēng)險(xiǎn)無法定量化的缺點(diǎn)。因此，LOPA分析是HAZOP分析的延續(xù)，是對(duì)HAZOP分析結(jié)果的豐富與補(bǔ)充。

當(dāng)HAZOP分析的后果存在重大風(fēng)險(xiǎn)時(shí)，且有些風(fēng)險(xiǎn)的現(xiàn)有保護(hù)措施含有安全儀表系統(tǒng)（SIS），或者現(xiàn)有SIS系統(tǒng)的維護(hù)成本與帶來的收益相比過于昂貴的，都可以進(jìn)行LOPA分析。而進(jìn)行 LOPA分析的目的，主要就是為了確認(rèn)對(duì)于事故后果非常嚴(yán)重的風(fēng)險(xiǎn)現(xiàn)有保護(hù)是否足夠，是否有必要增加額外的SIS保護(hù)，以及確定增加的SIS系統(tǒng)的風(fēng)險(xiǎn)降低目標(biāo)是多少 。雖然LOPA分析可以確定附加的SIS系統(tǒng)的風(fēng)險(xiǎn)降低目標(biāo)，而SIS系統(tǒng)是否達(dá)到要求的安全完整性等級(jí)(SIL)，是否實(shí)現(xiàn)了這一風(fēng)險(xiǎn)降低目標(biāo)，則需要通過SIL分析進(jìn)行驗(yàn)證，這也是SIL分析的主要內(nèi)容。所以， SIL分析是對(duì)LOPA分析結(jié)果的驗(yàn)證，HAZOP、LOPA分析是SIL分析的前期準(zhǔn)備工作。

HAZOP分析方法

HAZOP方法是英國帝國化學(xué)工業(yè)公司(ICI)為解決除草劑制造過程中的危害，于1960年代發(fā)展起來的一套以引導(dǎo)詞為主體的危害分析方法，1974年，該方法正式對(duì)外發(fā)表。 HAZOP對(duì)工藝系統(tǒng)進(jìn)行危害辨識(shí)和分析，是有效預(yù)防各種事故發(fā)生的重要方法和手段，它可以系統(tǒng)地識(shí)別工藝裝置或設(shè)施中的各種潛在危險(xiǎn)和危害，并通過提出合理可行的措施達(dá)到減輕事故發(fā)生可能性及后果的目的，從而有利于保障石油、化工企業(yè)安全生產(chǎn)的順利進(jìn)行。

HAZOP是基于這樣一個(gè)基本概念，即 各個(gè)專業(yè)具有不同知識(shí)背景的人員所組成的分析組一起工作比他們獨(dú)自工作更具有創(chuàng)造性和系統(tǒng)性，能識(shí)別更多的問題 。HAZOP方法通過分析生產(chǎn)運(yùn)行過程中工藝狀態(tài)參數(shù)的變動(dòng)，操作控制中可能出現(xiàn)的偏差，以及這些變動(dòng)與偏差對(duì)系統(tǒng)的影響，找出出現(xiàn)變動(dòng)或偏差的原因，分析可能導(dǎo)致的后果，明確現(xiàn)有的保護(hù)措施，并針對(duì)超出可接受水平的變動(dòng)與偏差的后果提出建議措施。

1.劃分節(jié)點(diǎn)。對(duì)連續(xù)工藝過程，HAZOP分析的第一步即是將生產(chǎn)過程根據(jù)工藝流程劃分為合理的分析節(jié)點(diǎn)，這樣有利于分析工作的深入、完善。

2.選擇工藝參數(shù)，確定偏差。選擇適用于所選分析節(jié)點(diǎn)的工藝參數(shù)，如：流量、溫度、壓力、液位、界位、腐蝕侵蝕、破裂泄漏、維修、采樣、污染等。

3.確定風(fēng)險(xiǎn)矩陣，分析偏差的原因和后果。根據(jù)各個(gè)公司事故統(tǒng)計(jì)情況和風(fēng)險(xiǎn)接受程度，制定本公司適用的風(fēng)險(xiǎn)矩陣。針對(duì)節(jié)點(diǎn)內(nèi)某一設(shè)備工藝參數(shù)的偏差，結(jié)合現(xiàn)有資料和小組成員的經(jīng)驗(yàn)，分析導(dǎo)致這一偏差發(fā)生的原因，以及參數(shù)發(fā)生偏離后可能導(dǎo)致的后果，并根據(jù)風(fēng)險(xiǎn)矩陣，確定風(fēng)險(xiǎn)等級(jí)。

4.提出建議措施。通過分析，審查現(xiàn)有安全措施是否足夠，若事故風(fēng)險(xiǎn)等級(jí)高、后果嚴(yán)重且影響惡劣，小組成員就有必要提出合理可行的建議措施。

LOPA分析方法

LOPA分析是一種簡(jiǎn)化的風(fēng)險(xiǎn)評(píng)估方法，通過對(duì)現(xiàn)有保護(hù)措施的可靠性進(jìn)行量化的評(píng)估，確定其消除或降低風(fēng)險(xiǎn)的能力。 LOPA的應(yīng)用一般是在定性危害評(píng)估(如HAZOP、PHA)之后，用定性危害審核小組識(shí)別的情形進(jìn)行 。它首先分析未采取安全保護(hù)措施之前的風(fēng)險(xiǎn)水平，然后分析各種安全保護(hù)措施將風(fēng)險(xiǎn)水平降低的程度。

保護(hù)層分析的思想，可以用一個(gè)“洋蔥”來形象地描述其模型，每一層洋蔥皮就相當(dāng)于一個(gè)保護(hù)層，由于所有的洋蔥皮對(duì)內(nèi)核都起到獨(dú)立保護(hù)作用，從而洋蔥內(nèi)核遭受外侵的風(fēng)險(xiǎn)就大大降低。

在對(duì)某個(gè)事故場(chǎng)景進(jìn)行保護(hù)層分析時(shí)，確定哪些保護(hù)層措施能夠起到預(yù)防事故的目的尤為重要。

LOPA分析步驟如下：

1.識(shí)別后果，選擇分析所需的情景。 LOPA分析中所需的情景其實(shí)就是事故場(chǎng)景。事故場(chǎng)景是發(fā)生事故的事件鏈，包括起始事件、一系列中間事件和后果事件。一般情況下以后果嚴(yán)重的事件作為事故場(chǎng)景進(jìn)行分析。

2.對(duì)所選定的事故情景進(jìn)行具體描述。LOPA分析中要對(duì)事故發(fā)生的原因、事故導(dǎo)致的后果、后果的嚴(yán)重程度、風(fēng)險(xiǎn)不可接受值和風(fēng)險(xiǎn)容許值進(jìn)行量化，量化的標(biāo)準(zhǔn)要根據(jù)公司實(shí)際情況采用本公司的風(fēng)險(xiǎn)矩陣。

3.確定情景的初始事件、中間事件和后果事件，并確定相應(yīng)的頻率。 初始事件，即引發(fā)原因，在LOPA分析中成為始發(fā)事件；中間事件，即誘發(fā)事件，在LOPA分析中成為條件事件；后果事件，即導(dǎo)致的嚴(yán)重后果。而相應(yīng)的頻率，需要根據(jù)各公司的實(shí)際情況選定。

4.預(yù)計(jì)情景的風(fēng)險(xiǎn)。 預(yù)計(jì)情景，即未減輕事件，是指初始事件發(fā)生而且所有的保護(hù)層都失效的情況下，后果事件發(fā)生。未減輕事件發(fā)生頻率等于始發(fā)事件、中間事件和后果事件發(fā)生頻率的乘積。

5.確定獨(dú)立保護(hù)層(IPL)及其需求故障概率(PFD)。 保護(hù)層分為事件阻止層和后果減弱層，事件阻止層也叫主動(dòng)保護(hù)層，通過在原因和事件之間增加屏障，來預(yù)防事故發(fā)生；后果減弱層也叫被動(dòng)保護(hù)層，通過在事件和結(jié)果之間增加屏障，來減少事故后果的損失。不同的保護(hù)層其PFD是不同的。

6.考慮獨(dú)立保護(hù)層時(shí)，確定減輕事件的剩余風(fēng)險(xiǎn)及其等級(jí)。 減輕事件的發(fā)生頻率等于未減輕事件的發(fā)生頻率與獨(dú)立保護(hù)層各安全保護(hù)措施失效概率(PFD)的乘積。確定了減輕事件的頻率后，根據(jù)公司的風(fēng)險(xiǎn)矩陣確定頻率等級(jí)和剩余風(fēng)險(xiǎn)等級(jí)。

7.確定附加保護(hù)層達(dá)到可容忍風(fēng)險(xiǎn)還需降的級(jí)別。 若獨(dú)立保護(hù)層起到了安全保護(hù)措施的作用后，減輕事件的剩余風(fēng)險(xiǎn)達(dá)到公司可接受的水平，則不需進(jìn)一步采取安全措施和建議措施。否則，要提出切實(shí)可行的附加保護(hù)層，直至將剩余風(fēng)險(xiǎn)降低到可承受的風(fēng)險(xiǎn)水平為止。

SIL分析方法

介紹按照IEC61511中的定義，安全儀表系統(tǒng)是由傳感器、邏輯控制器和執(zhí)行器組成的、能夠行使一項(xiàng)或多項(xiàng)安全儀表功能的儀表系統(tǒng) 。安全儀表系統(tǒng)是一種自動(dòng)安全保護(hù)系統(tǒng)，它已發(fā)展成為工業(yè)自動(dòng)化的重要組成部分。很多人容易把基本過程控制系統(tǒng)(BPCS)和安全儀表系統(tǒng)混淆。BPCS是執(zhí)行常規(guī)正常生產(chǎn)功能的控制系統(tǒng)，它是主動(dòng)的、動(dòng)態(tài)的，是用來滿足生產(chǎn)需要的，因此，它必須根據(jù)系統(tǒng)的設(shè)定要求和生產(chǎn)過程的擾動(dòng)狀態(tài)不斷地動(dòng)態(tài)運(yùn)行，才能保持生產(chǎn)過程的連續(xù)穩(wěn)定運(yùn)行。一旦其運(yùn)行終止，則整個(gè)生產(chǎn)過程也就隨之失去控制。 而SIS系統(tǒng)則監(jiān)視生產(chǎn)過程的狀態(tài)，判斷是否出現(xiàn)危險(xiǎn)條件，防止風(fēng)險(xiǎn)的發(fā)生或者減輕風(fēng)險(xiǎn)發(fā)生后造成的后果。它是被動(dòng)的、休眠的，在BPCS正常運(yùn)行時(shí)，SIS一般是處于靜態(tài)的，它在很長(zhǎng)一段時(shí)間里都會(huì)處于“休眠”狀態(tài)。

在IEC61508和IEC61511中都提出了安全生命周期(SLC)的概念。 安全生命周期 的定義為： 在安全儀表功能(SIF)實(shí)施中，從項(xiàng)目的概念設(shè)計(jì)階段到所有安全儀表功能停止使用之間的整個(gè)時(shí)間段。 安全儀表系統(tǒng)整體的安全生命周期從其概念開始，經(jīng)歷若干中間階段一直到安全系統(tǒng)停用，包括了為達(dá)到必需的安全完整性水平而進(jìn)行的一切活動(dòng)。換句話說，安全生命周期包括了安全儀表系統(tǒng)在概念、設(shè)計(jì)、運(yùn)行、測(cè)試、維修及停用各階段的所有活動(dòng)，以達(dá)到高水平的功能安全。 在一定時(shí)間、一定條件下，安全相關(guān)系統(tǒng)執(zhí)行其所規(guī)定的安全功能的可能性，被稱為安全完整性等級(jí)(SIL)，其數(shù)值代表著安全儀表系統(tǒng)使過程風(fēng)險(xiǎn)降低的數(shù)量級(jí)。 安全完整性等級(jí)貫穿于安全系統(tǒng)生命周期的始終。安全系統(tǒng)的安全完整性等級(jí)不僅是安全系統(tǒng)安全性能的度量標(biāo)準(zhǔn)，而且是安全系統(tǒng)生命周期中的主線，將安全系統(tǒng)整體生命周期的各個(gè)階段聯(lián)系起來。

安全儀表系統(tǒng)必須滿足系統(tǒng)風(fēng)險(xiǎn)分析后所要求的SIL，SIL不僅是安全儀表系統(tǒng)安全性能的衡量標(biāo)準(zhǔn)，而且是整體安全生命周期中的主線，其選擇應(yīng)該恰到好處，過高會(huì)造成成本的浪費(fèi)，過低會(huì)使風(fēng)險(xiǎn)不可接受。 IEC61508中，SIL4是最高的，SIL1是最低的。

SIL選擇的方法主要有兩類，定性的和定量的。 定性方法通過大致的風(fēng)險(xiǎn)后果和可能性分類來描述風(fēng)險(xiǎn)，主要有風(fēng)險(xiǎn)矩陣和風(fēng)險(xiǎn)圖法。 計(jì)算SIL的半定量方法也被廣泛應(yīng)用，如LOPA分析方法。

1.風(fēng)險(xiǎn)矩陣。 同后果法一樣，風(fēng)險(xiǎn)矩陣是基于分類的方法，這種分類可以是根據(jù)定性的描述，也可以根據(jù)量化的指標(biāo)。 用戶必須創(chuàng)建一個(gè)矩陣，它為風(fēng)險(xiǎn)的后果和可能性制定了大范圍的分類。后果和可能性分別構(gòu)成矩陣二維坐標(biāo)(行x、列y)中的一個(gè)，同時(shí)每一個(gè)矩陣元素為一個(gè)SIL。

2.風(fēng)險(xiǎn)圖。 風(fēng)險(xiǎn)圖最初是為德國工業(yè)標(biāo)準(zhǔn)開發(fā)的，在歐盟中得到了廣泛應(yīng)用。該種方法與風(fēng)險(xiǎn)矩陣中只考慮后果和可能性不同，風(fēng)險(xiǎn)圖考慮了四個(gè)參數(shù)來確定SIL等級(jí)： 危險(xiǎn)事件的后果(C)、處于危險(xiǎn)區(qū)域的頻度(F)、避開風(fēng)險(xiǎn)狀況的概率(P)和不期望事件的概率(W)。 SIL的確定是從左面的起點(diǎn)到右面的方格繪制一條路徑，按照C、F、P的分類，決定這三者的哪一行被選中，具體被選中的行中哪一個(gè)方格被選中則取決于W的分類。

(a) 一個(gè)3級(jí)的安全儀表功能并不能給該風(fēng)險(xiǎn)等級(jí)提供足夠的風(fēng)險(xiǎn)降低。 為了降低風(fēng)險(xiǎn)，需要附加額外的修改措施(見c)。

(b) 一個(gè)3級(jí)的安全儀表功能并不能給該風(fēng)險(xiǎn)等級(jí)提供足夠的風(fēng)險(xiǎn)降低，需要另外復(fù)審(見c)。

(c) 此方法不適合SIL4的情況。

SIL分析程序是怎樣的？SIL分析小組在進(jìn)行SIL評(píng)估工作時(shí)，假定已經(jīng)完成了安全生命周期中的概念過程設(shè)計(jì)階段、工藝危害分析及風(fēng)險(xiǎn)評(píng)估階段(HAZOP)、保護(hù)層分析階段(LOPA)等，且分析結(jié)果是真實(shí)的、可靠的。 經(jīng)分析后，若獨(dú)立保護(hù)層起到了安全保護(hù)措施的作用后，減輕事件的剩余風(fēng)險(xiǎn)仍超出了公司可接受的水平，則要提出切實(shí)可行的附加保護(hù)層SIS。 在確定了SIS系統(tǒng)所要實(shí)現(xiàn)的SIF功能的SIL等級(jí)后，接下來的工作就是要如何設(shè)計(jì)SIS來實(shí)現(xiàn)SIF了。

在目標(biāo)SIL確定后，就要制定安全要求規(guī)范，其中包括兩個(gè)主要部分：功能要求規(guī)范和完整性要求規(guī)范。

功能要求規(guī)范定義了每一個(gè)安全儀表功能應(yīng)該做什么；完整性規(guī)范定義了每一個(gè)安全儀表功能能夠多好地被執(zhí)行。

在SIS系統(tǒng)設(shè)計(jì)完成且各個(gè)SIF的子系統(tǒng)結(jié)構(gòu)確定后，需要檢驗(yàn)所設(shè)計(jì)的SIS系統(tǒng)在一定的檢修周期和檢修覆蓋率等條件下的可靠性，就是需要進(jìn)行SIL驗(yàn)證工作。 SIL驗(yàn)證可選用的方法常見的有可靠性框圖法、故障樹法和基于馬爾科夫模型的計(jì)算法等。

安全功能分配好之后，就由工程公司或設(shè)計(jì)院進(jìn)行安全儀表系統(tǒng)的詳細(xì)設(shè)計(jì)。 當(dāng)承包商選定之后，由承包商最終完成安全儀表系統(tǒng)的集成、安裝、調(diào)試。 當(dāng)承包商完成與業(yè)主的交接后，業(yè)主依據(jù)承包商提供的操作及維護(hù)手冊(cè)對(duì)安全儀表系統(tǒng)進(jìn)行使用、維護(hù)和定期測(cè)試。

小結(jié)

1.HAZOP分析方法因不能對(duì)偏差產(chǎn)生的事故風(fēng)險(xiǎn)、現(xiàn)有安全措施的風(fēng)險(xiǎn)降低水平和剩余風(fēng)險(xiǎn)水平進(jìn)行定量化，所以將LOPA引入HAZOP分析中，是解決這一問題的有效途徑。

2.進(jìn)行LOPA分析的目的主要就是為了確認(rèn)對(duì)于事故后果非常嚴(yán)重的風(fēng)險(xiǎn)現(xiàn)有保護(hù)是否足夠、是否有必要增加額外的SIS保護(hù)，以及確定增加的SIS系統(tǒng)的風(fēng)險(xiǎn)降低目標(biāo)是多少。 而增加的SIS系統(tǒng)是否能實(shí)現(xiàn)要求的SIF，則需要通過SIL分析進(jìn)行驗(yàn)證。

3.通過開展SIL分析，對(duì)附加的SIS系統(tǒng)進(jìn)行設(shè)計(jì)、評(píng)估、驗(yàn)證，使安全儀表系統(tǒng)項(xiàng)目的設(shè)計(jì)和執(zhí)行達(dá)到最優(yōu)化，以最低的項(xiàng)目成本實(shí)現(xiàn)裝置的安全需求。