马家驹，金玉宏

（浙江省天正设计工程有限公司，浙江 杭州 310030）

随着经济发展和社会进步，新材料、农药、油漆、医药等化工行业蓬勃发展。各类化学品在给人们生活增添幸福感的同时，也带来了严峻的安全问题，涉及危险化学品（具有毒害、腐蚀、爆炸、燃烧、助燃等性质）及化学反应（如强放热、高温/高压、真空等）的生产与储存装置均构成潜在的危险源。当保护层失效或操作失误时，危险源将导致不同类型及不同严重程度的后果，包括人员伤亡、环境污染、财产损失等。为了从根本上消除事故隐患，防范化解系统性重大安全风险，遏制重特大事故，减少人员伤亡、降低财产损失，预防事故的发生非常必要。

“洋葱模型”作为工艺安全措施的总结，将保护层分为多个层级，确保当一个保护层失效时，剩余保护层仍可起作用，从而预防事故的发生，避免严重后果。

1 洋葱模型

“洋葱模型”源自于国际电工委员会发布的IEC 61511-1:2016（《功能安全-流程工业的安全仪表系统》）的第9.3 章节（Requirements on the basic process control system as a protection layer），是对过程或系统的安全措施进行的科学性总结，将不同类型的保护层按照失效顺序进行的形象化排布（图1）。高一层级的保护层都将在相应低一级的保护层失效时启用，从而遏制事故的发生或发展。各级保护层的作用见表1。

表1 保护层描述[1]

图1 洋葱模型

1.1 过程设计

过程设计是指涵盖原料经过一些列化学或物理处理后成为产物的全流程，其决定了工艺路线、操作/设计工况等技术核心。如此阶段就考虑本质安全设计，将大幅降低事故发生频率或后果严重性。

本质安全是指设备、设施或技术工艺包含内在的能够从根本上防止事故发生的功能。即由于操作者的操作失误或不安全行为的发生，也仍然能保证对操作者、设备或系统的安全而不发生事故[2]。

在这一阶段，可考虑以下几点原则[3]：

（1）替代

尽量避免在生产过程中使用危险化学品。当不存在危险化学品时，将会大幅降低事故后果的严重性；当危险化学品是中间产品时，可考虑采用其他的化学反应路线进行生产。精细化工行业经常会使用溶剂，而大部分的溶剂具有毒性及易燃性。如甲苯即是三类致癌物，又是低闪点的甲类介质，若处理不当，将会造成严重的后果。此时如使用比较安全的溶剂（低毒、不易燃等特点），即使在意外的情况下，也会大大降低后果的严重性。

（2）最小化

在过程中尽可能减少危险化学品的使用量，尽量保证使用量刚好满足反应的需求。同时涉及危险的操作工况，也可考虑缩小设备的尺寸及反应规模。对于危险化学品中间体，可通过精准控制反应所需的化学品数量，减少中间产物的生产。如针对重点监管的危险化工工艺[4-5]（硝化、胺基化等），可考虑选择微通道反应器代替反应釜，持液量少，反应条件温和，危险性大幅降低。

（3）缓和

筛选反应条件温和的工艺，避免出现高温、高压等工况，严苛的反应工况将会导致事故发生的可能性大增。如能选择相对安全的过程操作条件，使物料在更安全的工况下反应，泄漏的可能性将会大大降低。

（4）遏制

当工艺设计无法避免使用危险化学品时，则须考虑设备及管道的机械完整性等措施,其材质及规格须完全满足设计工况。如设计选型时考虑高压力等级的设备及管道（留有一定的安全裕量）以减少设备失效的风险，确保物料无超压泄漏的可能。在过程设计阶段能考虑以上因素，即使在意外的情况下，也会大大降低事故后果的严重程度。

在实际工作中，企业通常都会结合经济可行性、工艺先进性等因素来确定工艺生产路线。从设计的角度出发，在满足业主工艺需求的前提下，结合以上几点原则，尽可能降低工艺的安全风险。

1.2 基本控制

在最初的工艺参数控制中，基本靠人工进行调节控制。人工操作存在许多弊端，如控制不精准、容易误操作等，是潜在的风险点。随着自动化的发展，自动化控制逐渐取代了人工的操作。

基本过程控制系统(BPCS,basic process control system)用于处理和监控整个体系运行的工作状态。从传感器得到输入信息，经过处理器处理后，按照设计的控制策略提供输出动作。在装置的参数（包括温度、压力、流量、液位和成分等）发生偏差时，能够保持装置回到安全运行中。在大部分连续运行的装置中，过程控制系统会尝试保持工艺在稳定状态的合理波动范围。只有使系统处于稳定状态，才能使生产效率达到最好的状态。当体系出现了具有扰乱正常程序的因素，有些变量就会处于不稳定的状态，此时就需要有一定的控制措施，使其慢慢地回到稳定的状态。

在设计时，需要对整个流程进行仔细梳理，确保工艺控制时能够进行自动调节，不会波动到安全范围外。此时可开展工艺安全分析（PHA,process hazard analysis），对偏差（常见的偏差如温度、压力、液位、流量等）发生后可能导致的后果严重性进行分析，并设置相应的自动化保护措施，从而使危害发生的概率降低到可接受的范围。也可根据体系BPCS 控制回路故障时体系的后果严重程度，进一步增加洋葱模型中高一级别的保护层。常见的工艺安全分析（PHA）方法[6]包括检查表方法 (checklist)、假设分析方法（what if）、危险与可操作性分析方法（HAZOP,hazard and operability），以及潜在失效模式及后果分析（FEMA,failure mode and effects analysis）等。

1.3 重要报警及人员干涉/调整

当工艺参数超过安全操作上下限时，将触发控制中心的报警。其目的是警示工艺操作员有异常的情况发生，操作者可根据实际情况进行干预。报警在正常的工艺波动时不会被触发，通常设置有一定的裕量，确保留给操作人员一定的响应时间，也避免下一个保护层被立即触发（只有超过临界点时才能被触发）。

设计报警时应特别注意报警数量，太多报警会引起操作人员的紧张，同时增加操作失误的可能性。目前许多的报警值设定都是依靠设计人员及业主的经验判断，没有进行科学的分析。

设计时需对报警的有效性进行评估，方可确保其合理性。在国际标准中制定有不同的报警优先级评估方法，如EEMUA191、ISA 18.2、SCADA1167 等，设计时可结合实际工况进行分析。

1.4 自动防护层

当报警及人工响应失效时，工艺参数极有可能超出上下限，增加系统风险。此时，安全仪表系统（SIS,safety instrumented system）将被触发。SIS用于执行安全仪表功能（SIF,safety instrumented functions）回路中预设的执行动作，使整个系统能保持在过程安全的状态，它通常由传感器、逻辑计算器和最终执行元件组成。安全仪表功能（SIF）是指达到功能性安全，并具有确定的安全完整性等级的安全功能，可以是安全仪表保护功能或安全仪表控制功能[7]。根据IEC-61511-2016 规范中的规定，SIF 回路可分为：（1）低需求模式：按照要求完成安全功能，将单元置于特定的安全状态，并且要求的频率不大于每年一次；（2）高需求模式：按照要求完成安全功能，将单元置于特定的安全状态，并且要求的频率大于每年一次；（3）连续模式：安全功能将生产装置保持在安全状态是正常操作的组成部分。

在石油化工行业中，SIF 回路为低需求模式。SIF 回路具有安全完整性等级(SIL,safety integrity level)，不同的SIL 等级对应有不同要求时危险失效平均概率（PFDavg,average probability of dangerous failure on demand），即SIF 回路在关键时失效的可能性。不同模式下的PFDavg 见表2 及表3。

表2 安全完整性等级划分（低需求模式）

表3 安全完整性等级划分（高需求模式及连续模式）

进行判断SIL 等级时，可根据初始事件风险和风险可接受水平确定需要所有保护层削减风险的大小（RRFtotal），然后辨识除安全仪表功能外其他风险削减措施的风险削减水平，从而达到要求安全仪表功能所应达到的风险削减水平，再根据SIL 等级划分确定安全仪表功能所要求的SIL 等级，分析流程见图2。

图2 SIL 分析流程图

SIL 分析过程步骤如下：

（1）筛选事故场景，编制安全仪表功能清单。根据PHA 分析报告等资料确定后果严重、可能需要设置安全仪表功能的事故场景，筛选出所有事故场景并确定与场景控制响应有关的传感器和最终元件。

（2）选择并定义一个事故场景。事故场景的定义主要是说明初始事件（IE，initiating event）、最坏后果（不考虑现有保护措施）、条件事件（EE，enabling events）等内容。

（3）辨识场景初始事件并确定初始事件频率（IEF，initiating event frequency）、风险可接受水平。初始事件（通常可于PHA 分析报告中的“原因”偏差寻找）须能够触发事故后果，且独立于拟定级的SIF 回路，同时根据不同类后果确定所对应的风险可接受水平（TEF，tolerable event frequency）。

（4）辨识独立保护层（IPL）并估算每个IPL 基于要求的失效概率（PFD）。IPL 的使用需同时满足以下4 个条件，才可以作为有效的保护措施起到风险削减作用，分别为：①针对性—该保护层必须是针对所分析的危险事件场景而设置，可预防其发生或降低其后果影响；②独立性—该保护层必须与其他保护层和触发事件完全独立；③可靠性—不论是随机故障还是系统故障，该保护层必须能够有效地实现其安全功能；④可验证性—必须是可检验确认的，其风险削减作用能得到持续保证。

（5）估算事故场景频率。根据初始事件频率（IEF）、条件事件概率、条件调整因子、各独立保护层的PFD，估算事故场景削减后的频率。

（6）评估剩余风险是否达到可接受风险标准。剩余风险与装置或企业的风险可接受水平对比，确定是否需要进一步降低风险。如果剩余风险已小于风险可接受标准，则说明现有的保护措施已经足够，不再需要设置额外的安全仪表系统或安全联锁回路；如果剩余风险依旧高于风险可接受水平，则需要考虑提高已有独立保护层的可靠性，或者设置额外的独立保护层（如安全仪表系统或安全联锁回路）以满足安全功能要求。

（7）判断是否需要设置安全仪表功能（SIF）并确定SIL 等级。如果需要设置新的安全仪表联锁回路，需进一步估算出安全仪表功能（SIF）的风险贡献水平（RRF），可根据表1 中确定安全仪表功能（SIF）所要求的SIL 等级。

确定SIF 回路的等级后，需要对SIF 的回路进行验算，根据现场安装的元器件的失效数据,并调研各安全功能回路的结构配置、操作模式、检验测试间隔等信息，画出相应回路的可靠性框图，分析计算出PFD 值、安全失效分数、硬件故障裕度，最终确定该安全功能目前达到的实际水平。马尔可夫方法是目前SIL 验算中较为主流的方法。

1.5 物理防护层

对于超压工况，当装置的安全仪表系统触发后也无法阻止事故发生或发展，安全泄放系统将会被激活。在有超压工况的设备中，都应设置安全泄放措施。泄放系统应经过合适的设计和响应的维护，当有超压工况时，设备内的物料将会通过安全阀及爆破片泄放至泄放系统，液相将回收处理，气相将送至火炬或大气。安全泄放系统将保证设备内的超压介质进行排放，确保不会破坏设备。

当储罐破裂物料泄漏时，围堰将起到收集的作用，确保物料不会随意流淌，导致危害向四处扩散。

1.6 工厂应急预案

当化工装置失去控制时，则需要对事故进行紧急响应。小规模的失去控制可能是泄漏或溢出，液体的泄漏通常是明显可见的。气相的泄漏可能更难发现，需要特殊的仪器进行监控。如果溢出的原料可燃，首先将会发现有小型着火的现象，应对装置工作人员进行一定的应急处理培训，确保能在第一时间扼杀风险源。较大的化工企业通常设有专业的紧急灭火及化学品泄漏清扫队伍。工艺单元中的紧急响应动作不一定会导致装置停车，但是需要依据事故的等级，找出每个事故的底层原因，并完善装置中的不足。经过分析确认无误后，方可进行正常的操作。

1.7 区域应急计划

当事故演变成更严重的事故时，仅凭单一工厂的能力将会无法处理。此时就需当地社区的紧急响应。区域应急管理是一个系统性的体系，包括组织体系、运行机制、法律法规体系以及支持保障体系等部分，每一部分都有多个方面组成。

区域应急管理包含以下内容：（1）立即组织营救受害人员，组织撤离或者采取其他措施保护危害区域内的其他人员；（2）迅速控制事态，并对事故造成的危害进行检测、监测，测定事故的危害区域、危害性质及危害程度；（3）消除危害后果，做好现场恢复；（4）查清事故原因，评估危害程度。

2 总结

本文通过对洋葱模型中的保护层进行阐述和分析，对保护层进行了介绍。在化工工艺设计时能考虑结合洋葱模型每一层的保护措施，并确保护层能够满足相应工况下的保护要求，将会大大提升整个装置的安全性，从而减少事故发生的可能性，确保安全风险在可接受范围内。安全是一个系统的工程，风险来自于方方面面。需要结合设计与实际生产中的风险点，才能彻底做好本质安全。