徐志杰，黄中辉，叶波，林涛

(1. Kenexis咨询公司，天津 300270；2. 中国石油广东石化分公司，广东 揭阳 522000；3. 中国石化南京化学工业有限公司，江苏 南京 210047；4. 中国石油大连石化公司，辽宁 大连 116031)

保护层分析(LOPA)作为风险评估和管理工具已在流程工业无处不在。为了弥补“快捷但全定性”的PHA方法(例如，危险与可操作性分析(HAZOP))和更为精细但繁琐的定量风险评估(QRA)之间的差距，LOPA分析提供了一种经济手段，其能够以重复且合乎情理的方式快速分析系统风险。然而，LOPA分析并不是万灵药。如果保护层是预防性的，分析人员可以使用概率手段来考虑单一后果事件的频率。从风险分析的角度讲，会导致两种必须要解决的不同后果： 如果保护层失效，后果严重；如果保护层有效，后果降低。不幸的是，目前实施的LOPA分析仍不能解决该情况，而减缓性安全措施要么被忽视，要么被给予过多的信任，即被视为预防性措施。虽然LOPA分析可以覆盖许多、甚至大多数风险分析场景，但鉴于LOPA分析中的固有假设，很多安全措施和危险场景并不能在传统LOPA分析中得到充分体现。更为糟糕的是，当个人或组织要求将LOPA分析用作风险分析工具时，该局限性和LOPA分析人员缺乏理解有可能会导致分析出现瑕疵，而且暴露的风险也许会超过可承受范围。

1 独立保护层与LOPA分析假设的关系

LOPA分析中使用的许多假设均围绕如何识别独立保护层(IPL)以及如何为这些IPL分配风险降低。众所周知，IPL应该独立、专一、有效/可靠且可审核。这是否就意味着不满足该类要求中一项或多项内容的安全措施便不会在安全方面带来好处了呢？如果非共享组件是失效的原因，则处于触发场景的控制回路和旨在中止场景的联锁之间的共享组件，例如，阀门或变送器，是否能够防止联锁终止场景的发展？如果火灾检测触发了雨淋系统，那么仅仅降低场景的严重度而不能消除该严重度，则雨淋系统是否就没有价值，答案显然是否定的，但针对IPL的LOPA规则能够确保维持LOPA内置简化所需的各类假设，而且所获得的结果也不会高估该类IPL所提供的风险降低。最主要的要求之一就是IPL必须有效或可靠。通常将其解释为IPL可提供的风险降低至少为10(风险降低因子)。这与LOPA的一般分析量级相一致，并且通常认为IPL的要求时失效概率(PFD)值必须小于0.1。预防性保护层的情况亦是如此，其成功启动可以防止后果的发生。以机泵密封失效的简单例子，考虑减缓性保护层失效频率，可以使用领结图来表示该种场景，如图1所示。

图1 考虑减缓性保护层失效频率的机泵密封失效领结图示意

由图1可知，左侧实质上是故障树，包括初始事件和预防性保护层。在一次(主要)围堵失效事件的右侧，本质上是以事件树的形式展示了保护措施对最终后果的影响，也有可能是对多种后果的影响。借助于LOPA分析假设，事件树可以被简化，其结果可以简化到最恶劣的场景发生，或将没有后果作为唯一选择。如此一来，减缓性保护层就被有效地去除了。

未考虑减缓性保护层的机泵密封失效领结图如图2所示。

图2 未考虑减缓性保护层失效频率的机泵密封失效领结图示意

LOPA分析期间，通常只考虑领结图故障树一侧的预防性保护层。尽管有时可能会包含一些条件修正因子例如，居留率、点火概率等，但只有在减缓效果能够有效消除后果的情况下才会这样做。从示例当中可以看出，LOPA分析提供了更为保守的风险估计。

2 减缓性保护层的意义及与预防性保护层的关系

将减缓层给予信任是有问题的。通常，为了给予信任，减缓性保护层必须有效且能够彻底地防止后果。然而，只需稍作调整便可以轻松地将减缓性保护层纳入到针对LOPA分析而设计的软件当中，从而对只能降低却不能消除后果的减缓层进行分析。为此，需要充分理解减缓性保护层，不仅要考虑该保护层的PFD，包括触发动作的硬件失效，还应考虑即使正确执行动作也不能充分降低后果的概率，而且还要考虑保护层成功减缓后果时的预期结果。场景可以被有效性划分为已减缓和未减缓结果，两者均需要进行评估，从而无需执行全面的QRA分析便可开展更加细至入微的分析。这样做的“净效果”是降低了通常称为残余风险的最恶劣场景预计发生的频率，然而却增加了需要检查与减缓后场景有关风险是否可以容忍的责任。有关未减缓风险的风险矩阵如图3所示，已减缓风险的风险矩阵如图4所示。

图3 未减缓风险的风险矩阵示意

图4 已减缓风险的风险矩阵示意

预防性保护层仍然照常考虑既适用于已减缓场景的结果也适用于未减缓场景的结果。如果已减缓的风险和未减缓的风险都可以容忍，则无需采取进一步措施。如果其中一个(或两个)风险等级均不能容忍，则应建议采取额外的风险降低措施来弥合风险差距。

3 减缓性措施未给予信任的原因

通过计算两次风险来考虑减缓性措施所提供的风险降低的分析过程(即一次针对安全措施失效的情况，另一次针对安全措施成功运行的情况)有诸多的优点。首先，可以更加准确地评估那些严重依赖减缓措施场景的风险。与全面QRA分析有所不同，这样不但可以降低高昂成本和过度设计安全措施的可能性，同时还能够在LOPA分析期间轻松整合和应用安全措施，指在评估安全措施的设计时须同时考虑两种后果场景。以某一周边配备有护堤或围堰的储罐为例，可以采用多种方法在LOPA分析时对其进行建模。某些公司将围堰视为减缓性措施而非预防性措施，因此，在LOPA分析期间不会对围堰给予信任，特别是在即使被包容的液体点燃后有可能导致潜在伤害的情况下。其他公司则认为围堰是防止可能影响其他装置的大型泄漏的可靠安全措施，因此，他们可能会判定围堰始终有效，并认为围堰包容溢出物作为后果的一部分。这两种做法都是检查LOPA分析中相关场景的简化方式，但是两者都有可能导致分析结果不准确。典型的LOPA分析场景，储罐溢流的领结图如图5所示。该场景可用于处理储罐中液态烃的满溢/溢出，在该情况下，围堰并未被给予风险降低的信任。

图5 储罐溢流的领结图示意

假设目标风险(严重度)为1.0×10-4，则分析包括预防性安全措施在内的场景时会导致2个数量级的风险差距。如此一来，便需要实施2个额外数量级的风险降低，例如，采用SIL 2等级的SIS联锁来防止储罐溢流。若考虑围堰预防的好处，分析团队则会认为围堰能够显著降低释放的后果，即便溢流物被点燃也只会导致伤害而并非死亡。针对LOPA分析的典型指南，例如CCPS出版的《保护层分析： 初始事件与独立保护层应用指南》并未对围堰给予信任，原因是围堰不能够完全消除后果。假设围堰满足其他要求，例如，正确的维护/检验/排液，充足的包容体积以及壁高能够防止液压波溅过围堰壁，则再向“围堵”分配某种程度的风险降低就是不合理的。

减缓影响可分为已减缓和未减缓的风险等级，假设使用通常分配给围堰的推荐PFD值，通常认为0.01是预防性的，则可以看到潜在死亡的频率已从1.0×10-2/a降至1.0×10-4/a，但仍存在9.9×10-3/a的潜在伤害频率。带有围堰的储罐溢流领结图如图6所示。

图6 带有围堰的储罐溢流领结图示意

图6中，死亡事件现在处于可容忍的风险水平，而伤害级别的可能性大约高于可容忍一个数量级。通过查看风险矩阵，也可以看到相同的结果。带有围堰的储罐溢流风险矩阵如图7所示。

图7 带有围堰的储罐溢流风险矩阵示意

由图7可知，死亡风险是可以容忍的，而伤害风险却在可容忍水平之上。在该分析中，人们仍然需要提出建议，但该方案仅仅是为降低1个风险量级，而不是先前在未考虑围堰时建议的2个量级。从LOPA分析工作表的角度来讲，该场景有两种结果： 较高的严重度结果，即目标减缓事件可能性(TMEL)为1.0×10-4，可以对围堰给予信任并提供剩余风险，而较低的严重度则表明围堰按预期发挥作用，并提供了已减缓的风险。相关LOPA分析见表1所列。

表1 带有围堰的储罐溢流LOPA分析

4 减缓功能纳入LOPA分析的额外意义

将减缓功能纳入LOPA分析的第二个原因，也许是更为重要的原因是在使用LOPA分析专门分析减缓性安全仪表功能(SIF)的时候。尽管不太常见，但事实上有一些SIF本质上只是减缓性的。当运营公司和LOPA分析从业者试图遵照IEC 61511《过程工业领域安全仪表系统的功能安全》的要求为该类SIF功能进行SIL定级的时候，可能会引起混淆。以管道系统的低压停车为例，联锁的目的是在出现重大破坏和围堵失效时发挥隔离作用，限制损失并减小该种释放的潜在规模。假定所需的风险降低因子为100，将SIL 2目标分配给SIF会变得既简单又诱人。

问题是，就像围堰一样，即使人们将SIL2等级的PFD值0.01分配给该低压SIF功能，当SIF采取安全动作时，如果管道失效的后果足够严重，则事实上根本无法解决该风险。笔者曾经遇到过类似真实的场景，某公司认为通过分配SIL2等级从而遵循了正确的行动方案。然而，LOPA分析却表明未缓解释放的潜在结果是多人死亡事件，原因是很可能会形成巨大的蒸气云，如果气云被点燃，则会对多套装置造成影响，故可能会有许多操作人员身处潜在的致命爆炸区域之内。通过减缓释放有可能会显著降低该情况，但分析团队无法排除操作人员处在释放区域内的可能性，因此，尽管低压SIF功能能够防止大型的蒸气云爆炸(VCE)，但却无法防止管道进入的装置内发生较小规模VCE/闪火从而导致死亡的可能。

SIL2等级减缓功能的风险矩阵如图8所示，可以看出通过实施SIL 2等级的功能解决了与多人死亡事件有关的风险，然而，以单一死亡事件形式存在的风险仍然不可以接受。注意： 进一步降低SIF的PFD值不会影响该风险，这是因为SIL 3等级的功能仍然会导致无法接受的风险，SIL3等级减缓功能的风险矩阵如图9所示。

图8 SIL2等级减缓功能的风险矩阵示意

图9 SIL3等级减缓功能的风险矩阵示意

5 结束语

由于初始释放会导致潜在的死亡，因此减缓性功能无法充分降低风险，将该风险分配给减缓性SIF功能则会导致虚假的安全感。将SIF适宜地评估为减缓性功能表明该场景只有采取预防性措施来降低围堵失效的可能性才能充分地降低风险。

在IPL分析中采用减缓性保护层需要花费一番努力。LOPA分析软件和模板都需要更新，以便将减缓性安全措施轻松地纳入到场景当中，并能够在风险减缓前后将后果分开，同时对二者进行评估。需要制定有关何时以及何种减缓场景应予以考虑的指南，并对LOPA分析组长进行相应培训。一旦完成该项工作，重要减缓性安全措施风险降低的核算工作(该处指给予了多少信任，以及该信任在数学上如何用于风险分析)便可以纳入到LOPA分析工作流程当中，从而对风险进行更为准确的观察，同时还可以更加准确地了解风险，并进一步减少对场景进行价格昂贵且耗时的QRA分析的需要。