李凯

（中国航发北京航空材料研究院，北京 100095）

0 引言

钛合金材料因其具有强度高、耐热性好、耐腐蚀等特性，被广泛用于航天航空等高端装备制造领域[1-3]。真空电弧凝壳炉是实现钛合金熔炼制备高性能钛合金零部件的重要工艺设备。同时，真空电弧凝壳炉高温熔炼工艺过程，存在炉体爆炸的重大安全风险，现已出现过多起真空电弧凝壳炉在钛合金熔炼过程中发生炉体爆炸事故，造成严重的人员伤亡和财产损失[4-6]。因此，如何有效评估真空电弧凝壳炉的爆炸风险，是企业进行风险决策的重要依据。

保护层分析（LOPA）作为一种简化的、半定量的风险评估方法，通过先期定性危害分析，再进一步评估事故场景保护层的有效性，最后进行风险决策，被广泛应用于化工行业安全风险评估中[7-8]。一个典型的化工过程通常包含多种保护层，如工艺设计(本质安全设计)、基本过程控制系统（BPCS）、关键报警和人员干预、安全仪表系统（SIS）、物理保护（安全阀、爆破片等）、释放后保护（防火堤、防爆墙等）、工厂及社区应急响应等[9]，其保护过程可以用洋葱模型示意，见图1。这些保护层在机械制造行业设备设施设计制造、使用运行过程同样被作为典型的安全措施，尤其在安全风险突出的复杂系统中的特定场景，如金属熔炼过程，进行工艺安全风险时，保护层是否充分，是否可靠，是否达到事故风险的可接受水平，LOPA方法为其风险评估与决策提供了技术方案。

图1 洋葱模型图

1 LOPA改进方法

1.1 LOPA方法的特点

保护层分析方法通过计算初始事件发生频率、各个独立保护层（IPL）失效频率和后果严重程度的乘积数量级大小来近似表征场景的风险，其关键点在于如何判定哪些保护层属于独立保护层（IPL）。

依据AQ T 3054—2015《保护层分析（LOPA）方法应用导则》（简称《导则》），判断独立保护层（IPL）的方法：1）保护层是否独立于事故场景的初始事件和其他保护层；2）是否能够阻止事故场景向不期望后果发展。作为独立保护层（IPL），应同时满足独立性、有效性、安全性、变更管理、可审查性的五大特性[7]。独立保护层对场景事故发生的保护过程可用图2表示，通过一道道保护层屏障，逐渐降低不期望事件的发生频率，直至事故发生频率降低到可接受水平[10]，场景事故发生的频率计算公式如式（1）所示。

图2 独立保护层功能示意图

1.2 LOPA方法的局限性分析

在实际风险评估过程，有些保护层可能并不满足独立保护层的某个特性。例如，有的保护层不是独立保护层，但对场景事故后果有减缓或防止出现的作用，如果直接忽略，那么事故风险评估结果可能偏大，使其评价结果过于保守，从而造成过度的技术改造和资金投入[11-12]。本文主要针对保护层不具备完全独立性或有效性的情况，分析LOPA方法的局限性和改进策略。

第一种类型，保护层不完全具备有效性。一个保护层如不能完全有效防止场景事故后果，不是单纯的有效和无效的问题，而是对场景事故后果起到一定的降低、减缓风险的作用。例如防火堤、防爆墙等保护层，若发挥作用，其事故后果并不一定完全规避。所以，在处理这类保护层时，有必要对LOPA方法进行改进，以确保评估方法的准确性和通用性。

第二种类型，保护层不完全具备独立性。在同一个场景中，当同一BPCS具有多个功能回路时，通常将相关联的多个保护层按1个独立保护层计算。但是，保护层不满足独立性并非对场景事故起不到保护作用，若按一个保护层处理，可能造成评价结果的过于保守。所以，在处理这类保护层时，同样需要对LOPA方法进行改进，以提升评估方法的准确性和通用性。

1.3 LOPA方法的改进策略

对于第一种情况，保护层不满足有效性，例如防火堤或防爆墙类似的保护层，其作用往往是降低了事故后果的严重程度。可以引入修正系数k，假设某一场景无任何保护层时，后果严重度为C，当保护层发生作用时，场景后果严重程度即为kC，其中0＜k＜1，保护层的失效概率为PFD，用式（2）表示在该保护层作用下的场景后果的风险值R。这样通过引入修正系数可量化风险的削减程度，通过推导转化为更加合理的评价结果，在工程上也能得到广泛应用。

场景后果的风险值R为：

那么，场景后果的发生频率f为：

对于第二种情况，保护层不满足独立性，也就是该保护层与其他保护层存在共因失效问题，而对于共因失效问题[13]，故障树分析(FTA) 可以有效地解决[14]。故障树分析通过树状的逻辑关系图，将系统的故障与组成系统各部件的故障有机地联系在一起，逐层、全面地分析系统所有的失效模式，然后通过逻辑运算，计算出系统失效的概率。具体分析流程如图3所示。最后通过求最小割集计算出顶事件的发生频率，从而计算出场景频率。

图3 故障树分析示意图

2 实例分析

2.1 工艺描述

以真空电弧凝壳炉为例，在进行钛合金熔炼时，大电流高温熔化自耗电极，在水冷铜坩埚内形成熔融的钛合金液体。在高温熔炼过程中，一旦炉子的冷却系统失效，冷却水不能及时冷却坩埚，坩埚内壁的钛合金凝壳温度会逐渐升高直至熔化，熔融状态下的钛液会烧穿铜坩埚，冷却水从坩埚破裂处流出，流出的冷却水遇高温状态下的钛合金融液，会迅速汽化产生水蒸气，同时高温下的钛合金融液活性极强，会与水发生化学反应，生成二氧化钛和氢气，炉内压强不断升高，直至发生炉体爆炸。

2.2 场景识别与筛选

本例选择的场景是某真空电弧凝壳炉高温熔炼过程，冷却水故障，水温监测报警失效，操作人员未能及时发现并处置，盛装熔融钛合金的水冷铜坩埚被烧穿，冷却水与熔融钛合金发生剧烈反应，炉体爆炸，防爆墙失效，冲击波可能造成现场3人及以上死亡，依据《导则》后果定性分级方法，后果等级评定为5级。

2.3 场景频率计算

初始事件（IE）选定为坩埚冷却水系统失效，根据《导则》失效数据中IE典型频率值，冷却水失效频率取为10-1/a。

对场景的保护措施进行评估：

1）BPCS报警和人员响应。该系统设计了冷却水温度监测报警及响应功能，同时设置了人员监测水温及响应的动作。两者之间并不相互独立，共用水温传感器的数据作为响应依据，存在共因失效的问题，不能简单处理为一个IPL，应参考本文第二种改进方法，故障树分析( FTA)如图4所示，其顶事件的概率为。

式中，参考美国化工过程安全中心（CCPS）典型独立保护层及PFD数据[15]：PT—炉体爆炸T发生的概率，单位为1/a；PA—操作人员失效发生的概率，单位为1/a；PB—BPCS失效发生的概率，单位为1/a；Pa1—员工误操作发生的概率，为10-2/a；Pa2—传感器失效发生的概率，为10-2/a；Pa3—逻辑控制失效发生的概率，为10-3/a；Pa4—执行元件失效发生的概率，为10-1/a。

2）释放后保护。该系统在炉门泄爆的方向设计了防爆墙，可独立于其他保护层，可以有效防护冲击波造成的影响，但是该防爆墙的设计为L型，只能防护炉门泄压的正对面和一个从侧面，不能有效防护爆炸冲击波的影响。根据本文第一种改进方法，该防爆墙发挥作用可以减弱2/3的爆炸影响，引入修正系数k取0.67，失效概率为PL，根据《导则》失效数据中IE典型频率值，防爆墙的失效频率为10-2/a，则其修正后的失效频率为：

2.4 风险评估与决策

根据上述的初始事件频率和保护层失效频率，则基于LOPA改进方法的场景后果发生的频率为：

相比于LOPA方法改进前，单纯从独立保护层的有效性和独立性来分析，将BPCS报警和人员响应作为一个IPL，其PFD为10-1/a，同时因防爆墙保护范围有限不具备有效性而将其忽略，那么其场景后果发生频率为10-2/a，与LOPA方法改进后的频率数据7.710-4/a相比，改进前比改进后的场景发生频率大了1～2个数量级，可见改进前的评估结果相对保守。

根据改进后场景发生频率7.710-4/a和事故后果等级5级，查询《导则》风险评估矩阵，属于高风险场景，应选采取措施降低风险。分析小组认为安装一个独立的安全仪表功能（SIF），增加炉内真空监测、逻辑控制和断电保护功能，可作为独立保护层，根据《导则》失效数据，该SIF的PFD为10-2/a。对于场景，增加SIF功能可将场景事故发生频率7.710-4/a降低为7.710-6/a，降低两个数量级，对照《导则》风险评估矩阵，此时风险等级为中风险，可选择性的采取行动。此时，企业可以根据企业成本效益分析，决定是否进一步采取额外的措施降低风险。

3 结论

1）分析了LOPA方法存在的局限性，该方法未考虑不满足独立性和有效性的保护层所发挥的保护作用。提出了LOPA 改进方法，通过引入故障树分析解决共因失效的问题，引入修正系数解决释放后保护不完全的问题。

2）以某真空电弧凝壳炉为实例，计算了高温熔炼过程冷却水故障导致炉体爆炸的场景频率，发现LOPA方法改进后的场景事故频率比改进前低1～2个数量级，提高了风险评估的准确性。

3）对照风险评估矩阵，该场景为高风险，提出了增加真空监测报警响应功能（SIF），可进一步降低场景事故发生频率2个数量级，改造后场景事故风险可降为中风险。