张建荣, 张伟, 张充, 赵挺生

(华中科技大学土木与水利工程学院, 武汉 430074)

流程行业生产具有工艺繁多、工序关联耦合、生产环境恶劣等特点,一旦发生事故,轻则影响生产稳定性,造成经济财产损失,重则引发重大安全事故,导致人员伤亡。据国家应急管理部及各省市应急管理局统计数据显示,以钢铁行业为例,2018—2022年共发生安全事故111起,其中较大事故21起,平均每起事故伤亡2.54人,造成经济损失204.4万元。2022年2月18日,广东省惠州市某铸造厂炼钢车间发生电弧炉爆炸事故,造成3人死亡,15人受伤。总的来说,流程生产风险防控的压力较大,运用先进技术手段、完善管理体系刻不容缓。

功能安全的概念起源于20世纪60—70年代,在航空领域和核技术领域最先运用,后逐步拓展到流程生产领域,它是基于风险的安全理论[1],运用风险评估、完全完整性等级(safety integrity level, SIL)定级与验证等技术措施,确保安全相关系统(safety related system, SRS)被有效执行,以降低风险或减轻事故后果,保障生产安全。常见的SIL定级方法有风险图法、保护层分析法等,廖柯熹等[2]基于风险图法确定了输气站场紧急切断系统的安全仪表所需功能安全完整性等级为2级,Piesik等[3]通过修正风险图,提高了安全完整性等级定级的适用性和准确性。风险图法属于定性方法,依赖于专家经验,主观性强,而保护层法(layer of protection analysis, LOPA)可以定量估计各保护层的风险水平,SIL定级可信性强。宋飞等[4]和Bacha等[5]分别对油库站场汽油储罐和石油热工液压系统丙烷储罐的高风险点进行保护层分析,确保作业现场风险可控。常见的SIL验证方法有故障树分析、可靠性框图等,Metatla等[6]基于可靠性框图和故障树方法实现是否考虑共因失效的可靠性对比研究;Darwish等[7]运用逻辑模糊法验证了直接还原铁工艺流程安全仪表系统的功能安全完整性等级。除了硬件的随机失效,测试自身引起的失效、非理想检验测试等[8]也会影响SIL验证的结果,刘进东等[9]融合检测失效模型建立了循环流化床锅炉压力保护系统功能安全评估模型;岑康等[10]进一步将人因失效概率引入SIL验证模型中,实现了对非常规安全仪表的功能安全评价。

现有研究以SRS为研究对象,在进行功能安全分析时局限于SIL定级或SIL验证,忽略了数据缺失或数据不确定对SIL验证的影响,仅能控制系统的局部风险。现以流程生产系统安全为着眼点,提出流程生产风险防控功能安全分析的一般程序,并结合钢铁连铸场景进行系统性运用;基于保护层分析法构建流程生产中高危险性事故发生概率的计算流程,增强SIL定级的可靠性;引入蒙特卡洛-马尔可夫模型提高数据不确定条件下SIL验证的准确性。以期为流程行业生产安全管控提供参考。

1 功能安全概述

1.1 基本概念

功能安全是国际电工委发布的国际标准IEC61508提出的一种将系统的整体风险控制在可接受范围内的原理与方法[11],它是与流程行业、制造业等行业的设备和设备控制系统有关的整体安全组成部分,取决于安全相关系统能否正确执行特定的安全功能[12]。安全相关系统作为实施主体,又被分解为多个子系统[13],包括基本过程控制系统(basic process control system, BPCS)、安全仪表系统(safety instrumented system, SIS)、物理保护层等若干子系统,每个子系统都对应一定的安全功能,以预防危险事件发生或减轻事故后果。

安全完整性等级表示安全相关系统正确执行安全功能的能力,IEC61508标准将其分为4个等级,等级越高,则降低系统风险发生概率的能力越强,用风险降低因子(risk reduction factor, RRF)表示系统风险降低的程度,具体如表1所示。

表1 低要求操作模式下的安全完整性等级Table 1 Safety integrity level in low demand mode

1.2 安全相关系统作用机理

功能安全中将安全定义为“不存在不可接受的风险”。IEC61508还定义了允许风险和残余风险,前者表示当前社会发展水平下在能够接受的风险,后者表示采取防护措施后仍存在的风险,通过引入功能安全概念将安全问题转换为风险控制问题。

在钢铁连铸工艺流程中,安全相关系统构建了“控制-防护-抑制”的多层风险降低体系,保障连铸工艺安全生产,其作用机理如图1所示。基本过程控制系统关注连铸工艺生产过程,控制物质和能量在生产装置中的相互转换,如脱硫控制系统、坯料切断控制系统等;安全仪表系统监视设备、材料在生产过程的状态,实时预警,避免人员伤亡和财产损失,如火焰检测系统、气体检测系统等;物理保护层用于缓解危险事件发生后可能造成的后果,如围挡、爆破片等。

图1 功能安全的作用机理Fig.1 Mechanism of functional safety

2 流程生产功能安全分析方法

2.1 功能安全分析流程

以系统和全局视角展开功能安全研究,根据功能安全概念和安全相关系统的作用机理,将流程生产风险防控功能安全分析划分为风险分析、SIL定级和SIL验证3个阶段,其中风险分析是功能安全分析的先决条件,旨在识别和确定重大危险源;SIL的定级和验证是功能安全技术的具体实施,其目的是定量化地降低事故风险,具体的流程如图2所示。

图2 功能安全分析的流程Fig.2 Process of functional safety analysis

步骤1风险分析阶段:结合钢铁连铸生产的工艺原理、作业要求,辨识存在的风险节点、可能发生的安全事故类型并评估危险程度和建立其可接受频率标准。

步骤2SIL定级阶段:比较安全事故的发生概率与事故后果严重程度的可接受频率,判断当前防护条件下是否需要新增防护措施,如果需要,完成SIL定级。

步骤3SIL验证阶段:通过确定新增防护措施的失效概率、冗余表决结构等关键数据,来验证SIL是否满足要求,若不符合要求,则需要对新增防护措施进行改进。

2.2 马尔可夫模型

SIL验证是功能安全分析的核心,马尔可夫模型相比可靠性框图和故障树等方法,定量可靠性分析精度高,它包括离散模型和连续模型,其中离散模型被称为马尔可夫链(Markov chain, MC),将系统分为几个不同的状态,一个状态会以一定概率变化到其他状态或者保持原状态,且下一状态的概率分布只能由当前状态决定,这种特性被称为“无记忆性”[14]。假定{Xt:t≥0}为一组随机的样本空间,随机样本空间中所有可能取值构成集合S,称为状态空间。对于∀t≥0及任一状态sj,si,…,s0都有

P(Xt+1=sj|Xt=si…,X0=s0)=P(Xt+1=

sj|Xt=si)

(1)

式(1)表示从状态si变化到sj的转移概率,进一步可以表示为P(i,j)。若状态空间中有n种状态,则在t时刻n种状态间的两两变化的转移概率为

(2)

设Q(t)为在t时刻状态空间概率的行向量,则有

Q(t+1)=Q(t)U(t)=[Q(t-1)]U(t-1)2

(3)

通过连续迭代,最终可得Q(t)=Q(0)U(0)n,其中马尔可夫链的初始行向量Q(0)用于表示状态空间概率的初始值。通常情况下,初始行向量的一个分量为1,其余分量为0,这表明马尔可夫链从指定状态开始,随着时间的推移,概率逐渐扩散到整个状态空间。

3 实证研究与仿真

结合钢铁连铸工艺进行流程生产风险防控的功能安全完整性分析。大冶特钢有限公司为我国特殊钢冶炼生产的代表性企业,有2台方圆坯合金钢连铸机和1台大断面合金钢连铸机,设备体积庞大,作业连续性强,控制要点多且风险分散。以该公司炼钢厂连铸作业区为验证场景,将功能安全分析方法运用到连铸工艺流程中。

3.1 风险分析

连铸工艺流程如图3所示,钢水从钢包连续地流入中间包,经中间包混合分流后注入结晶器冷却凝固,在拉矫机与结晶器振动装置的共同作用下,拉出铸坯,经切割后的铸坯可以直接供轧钢生产使用,涉及的主要设备设施有钢水包及回转台、中间包、结晶器、引锭系统、火焰切割器等。

图3 钢铁连铸工艺流程Fig.3 Continuous casting process

基于钢铁连铸工艺安全事故机理分析,结合连铸作业现场安全管理实践经验,从人员班组的不安全行为、工艺设备的不安全状态、不良的作业环境以及工艺参数4个方面识别连铸工艺流程危险源,确定连铸作业区潜在的如熔融物爆炸、中毒窒息等事故隐患,并采取作业条件危险性评价法,对事故发生的可能性L、人员暴露于危险环境的频繁程度E、事故后果C进行定性评估,分析其危险性,结果如表2所示。

表2 钢铁连铸生产典型事故及其危险性Table 2 Typical accidents and their risks in steel continuous casting production

连铸作业区危险性较高的事故类别主要是熔融物爆炸、中毒窒息、火灾爆炸。在生产过程中,钢水及钢渣属于高温熔融物,与水接触时,水在高温下迅速汽化,会发生爆炸;氩气、氮气作为仪表用气,无色无臭,当环境中窒息性气体浓度过高时难以察觉,易发生中毒窒息事故;天然气作为火焰切割机燃料介质,若收集系统密闭不严、与空气形成爆炸性混合气体,将引发火灾爆炸。

在上述危险性分析的基础上,定义一个风险可接受的判别标准,以便帮助风险管理人员科学分配资源,做出合理正确的管理决策。通过收集并统计同类型金属冶炼企业的生产事故案例,确定人员伤亡和经济损失的严重性分级,共分为6级,参考《危险化学品重大危险源监督管理暂行规定》标准,确定钢铁连铸生产事故后果(人员伤亡和经济损失)的严重程度及其可接受频率标准,具体如表3所示。

表3 钢铁连铸生产事故后果严重程度及其可接受频率标准Table 3 Severity of consequences of steel continuous casting production accidents and acceptable frequency criteria

3.2 SIL定级

依据上述风险分析结果,对熔融物爆炸这一高度危险事件作LOPA/SIL定级。主要过程如下。

(1)分析导致熔融物爆炸的初始事件、使能事件的概率、现有保护层及其失效概率和条件修正因子,计算事故发生概率.

(2)将事故发生概率分别与人员伤亡和经济损失的可接受频率对比,判断是否需要新增保护措施。

(3)计算事故发生概率与可接受频率的比值得到风险降低因子(risk reduction factor,RRF),对应于表1确定新增保护措施的安全完整性等级,具体过程如表4所示。

表4 钢铁连铸工艺熔融物爆炸事故LOPA/SIL定级分析情况Table 4 LOPA / SIL grading analysis of melt explosion accident in steel continuous casting process

针对熔融物爆炸事故,主要考虑3种初始事件:结晶器水冷系统水压过高导致铜板发生穿漏,铸坯拉速过快使形成的铸坯结壳过薄导致漏钢,钢包回转台在启动和停止时转速过快导致钢水因惯性而泼出,初始事件的发生概率可参考《保护层分析(LOPA)方法应用导则》(AQ/T 3054—2015)。经调研发现,大冶特钢炼钢转炉厂连铸作业区配备的两个独立保护层分别是人员对BPCS指示或报警的响应和火灾自动报警系统,保护层失效概率可参考《保护层分析(LOPA)应用指南》(GB/T 32857—2016)。由于钢液自身温度高达上千度,因此修正因子只考虑人员暴露率和致死概率,而不考虑点火概率,并依据《保护层分析:使能条件与修正因子导则》确定概率。最终根据式(4)计算得到熔融物爆炸事故发生的概率为1.8×10-4,分别与人员伤亡4级和经济损失3级的可接受频率做比较,判断人员伤亡后果风险不可接受,还需要新增SIL2级的防护措施。

(4)

相比于熔融物爆炸事故,火灾事故和中毒事故的多由可燃、有毒气体泄露导致,而在作业现场的中间罐预热区、现场泄漏煤气积聚区域等位置都布设了气体探测器,当浓度超过阈值时,会以现场声光、主控制室报警的形式预警,故经过LOPA/SIL定级分析,判定在已有防护措施下,火灾事故和中毒窒息事故的发生概率已降低到可接受范围。

3.3 SIL验证

针对熔融物爆炸事故需要新增SIL2级的保护措施,设计传感器子系统(sensor subsystem, SS)、逻辑控制器子系统(logic controller subsystem, LS)和执行器子系统(actuator subsystem, AS)组成的防爆保护系统(anti-explosion protection system, AEPS),该系统的结构如图4所示。

图4 AEPS结构图Fig.4 The structure of AEPS

传感器子系统包括布设在结晶器铜壁的超声波传感器SS1、布设在回转轴承的角度传感器SS2和布设在拉矫机出坯口的位移传感器SS3,用于监测厚度、转速和拉速参数,2oo3型冗余结构表示任意2个传感器正常工作,系统就可以继续运行;逻辑控制子系统和执行器子系统都是1oo1冗余结构,分别由一台智能管控仪和一个声光报警器组成,前者接收传感器子系统上传的数据并做分析,后者当检测到参数超过给定限值,则会发出声光报警。

AEPS系统各部分的状态变化在时间上具有纵向关联性,可近似地认为当前时刻的状态受到前一时刻的影响,从而将其状态变化的时间序列视为马尔可夫链。以1oo1型结构的逻辑控制器子系统为例,状态空间S=[正常,安全失效,检测到的危险失效,未检测到的危险失效],其状态转移矩阵U可表示为

(5)

式(5)中:λS为安全失效的概率;λD为危险失效的概率,又可分为检测到的危险失效概率λDD和未检测到的危险失效概率λDU;μSD为安全失效修复率;μ0为检测到的危险失效修复率;μp为未检测到的危险失效修复率,计算公式如下。

μSD=1/SD

(6)

μ0=1/MTTR

(7)

μp=1/(0.5TI+MTTR)

(8)

式(6)中:SD为装置在无故障情况下重启所需时间;MTTR为平均修复时间;TI周期性检查时间。一般情况下,取SD=24 h,MTTR=8 h,TI=8 760 h。

(9)

执行器子系统的计算过程同理,而在计算2oo3型结构的传感器子系统的平均失效概率时,随着状态的增多,其转移矩阵的维度将急剧增加,因此采用基于共因失效参数(multiple beta factor,MBF)模型[15]来简化马尔可夫的计算过程,以传感器子系统为例,其计算公式为

(10)

(11)

在AEPS系统SIL验证过程中,由于反馈数据缺失、运行状态未知和新元件的应用等原因导致参数不确定,为避免不确定参数对SIL评估影响,引入蒙特卡洛(Monte Carlo, MC)来解决参数的不确定问题[16]。首先确定AEPS各子系统的λS和λD服从对数正态分布,具体如表5所示,在MATLAB中生成n组输入参数,利用马尔可夫模型计算得到n个PFDavg,为使SIL评估结果更可靠,n取1×105次,最终每个子系统PFDavg的分布如图5所示。

图5 AEPS子系统危险失效状态平均失效概率Fig.5 The average dangerous failure probability of AEPS subsystems

表5 AEPS失效数据概率分布Table 5 Probability distribution of AEPS failure data

表6 Markov模型MC仿真结果Table 6 MC simulation results of Markov model

4 结论

(1)以大冶特钢炼钢转炉厂连铸作业区为验证场景,采用作业条件危险性评价法成功识别了熔融物爆炸、中毒窒息和火灾爆炸3类高危险性事故隐患,并从人员伤亡和经济损失两个维度建立了事故后果严重程度可接受频率标准。

(2)基于保护层分析法构建流程生产中高危险性事故发生概率的计算流程。计算得到熔融物爆炸事故发生的概率为1.8×10-4,分别与人员伤亡4级和经济损失3级的可接受频率做比较,针对人员伤亡后果需要新增SIL2级的防护措施。

(3)基于马尔可夫模型完成防爆炸保护系统的SIL验证。运用蒙特卡洛法提高了数据缺失或数据不确定条件下SIL验证的准确性,引入MBF共因失效参数模型简化了马尔可夫模型的计算过程。

(4)在计算失效概率时,未考虑连铸作业区高温、高粉尘的不良环境对AEPS系统元件失效概率的影响,所以计算结果与现场实际情况可能存在偏差,在今后的研究中可考虑引入环境影响因子对结果做修正。