作者:[美]化工过程安全中心(CCPS) 著
出版社:化学工业出版社
格式: AZW3, DOCX, EPUB, MOBI, PDF, TXT
保护层分析:使能条件与修正因子导则试读:
前言
自IEC61508/IEC61511这两个功能安全相关标准在2000年及2003年发布后,以工艺危害分析为基础的SIL评估已经成为流程工业的一个重要技术风险管理手段。本书的译者们在过去十年中为大量流程工业新建与在役装置提供了SIL定级、验算、认证等服务。译者发现工程公司、业主单位、设备供应商,甚至每个评估人员在SIL定级中,对规则的理解与把握都可能大相径庭,以至于带来完全不同的SIL定级与评估结果。
译者通过不断积累比对各大国际石油公司或化工公司的相关SIL评估规则,并关注其在过去十年中的变化,看到了整个流程工业为提高安全性与可用性所做出的努力。但是这些规则之间的差异甚至是矛盾,有时也会给评估人员带来困扰。
2013年年底,CCPS预告将发布一个与LOPA保护层规则相关的新导则,风控工程第一时间引进了这个导则。经过一年时间的翻译,《保护层分析:使能条件与修正因子导则》一书终于完成。本书不是简单地给出了功能安全仪表的工程规定,而是通过对使能条件与修正因子的分类,在更高的层次上梳理了如何去合理地应用规则。
译者在本书的作者名单中还发现了来自雪佛龙菲利普斯化工公司的熟悉名字,某些章节的内容仿佛把译者带回了几年前执行HAZOP/LOPA分析的那段有趣日子。
希望本书能够帮助业主单位编制更符合本公司风险管理策略的SIL评估执行程序,亦能够帮助工程公司及咨询评估单位更加细致准确地把握LOPA分析中的规则。
这些规则虽然拗口且不易理解,但它带来了国际石油与化工公司的多年经验积累,这让我们这些从业者更加坚信我们是走在一条正确的道路上。
感谢风控工程的译者们,你们在繁忙的工作之余,投入自己的时间和热情。安佰芳、江琦良、朱海奇、宫业青、陈维东等都对本书的翻译做出了贡献。时光荏苒你们已经或正在成为行业中的佼佼者,与你们成为同事我深感荣幸。鲁 毅风控(北京)工程技术有限公司www.irc-risk.com2014年12月
本书是化工过程安全中心出版的过程安全导则概念系列图书中的一本,其他书籍名单可登陆www.wiley.com/go/ccps进行查看。
我们真诚地希望这本书中所涉及的内容,能够在整个化工行业安全领域留下浓墨重彩的一笔。美国化学工程师协会和化工过程安全中心技术委员会及附属委员会成员、其所有员工和相关承包商,均为本书的编制提供了直接或间接的帮助。他们的工作提高了本书的准确度和清晰度。美国化学工程师学会,其顾问——CCPS技术指导委员会及其分委员会的委员,这些委员的雇主——高级管理人员和董事,或Unwin公司及其雇员均不担保或代表本书内容的准确性或正确性。本书的用户对本书的使用或滥用所产生的任何后果承担法律责任。缩写
AEGL Acute Exposure Guideline Level 急性暴露指导浓度
AIChE American Institute of Chemical Engineers 美国化学工程师协会
AIHA American Industrial Hygiene Association 美国工业卫生协会
API American Petroleum Institute 美国石油协会
BPCS Basic Process Control System 基本工艺控制系统
CCPS AIChE Center for Chemical Process Safety 美国化学工程师协会化工过程安全中心
CPI Chemical Process Industry 化工行业
CPQRA Chemical Process Quantitative Risk Analysis 化工过程定量风险分析
DDT Deflagration-to-detonation Transition 爆燃转爆轰过程
DTL Dangerous Toxic Load 危险毒性荷载终点指标
EPA U.S. Environmental Protection Agency 美国环境保护局
ERPG Emergency Response Planning Guideline 应急响应预案导则
ETA Event Tree Analysis 事件树分析
FMEA Failure Modes and Effects Analysis 失效模式及影响分析
FMECA Failure Modes,Effects,and Criticality Analysis 失效模式、影响与关键性分析
FTA Failure Tree Analysis 故障树分析
HAZOP Hazard and Operability [Study] 危险及可操作性分析
IDLH Immediately Dangerous to Life and Health 立即危害生命和健康终点指标
IPL Independent Protection Layer 独立保护层
LC Lethal Concentration,Low 最小致死浓度LO
LC Lethal Concentration,50% mortality 半数致死浓度50
LOPA Layer of-Protection Analysis 保护层分析
LOPC Loss of Primary Containment 主要存储设施损失
MAWP Maximum Allowable Working Pressure 最大许可工作压力
NFPA National Fire Protection Association 美国国家消防协会
P Probability(Dimensionless) 概率(无量纲)
PFD Probability of Failure on Demand 需求时失效概率
PSV Pressure Safety Valve 安全阀
RV Relief Valve 泄压阀
SIF Safety Instrumented Function 安全仪表功能
SIS Safety instrumented system 安全仪表系统
SLOD Significant Likelihood of Death 显著死亡概率
SLOT Specified Level of Toxicity 特定毒性水平
U.K. United Kingdom 英国
U.S. United States 美国名词解释
异常工况:装置运行中可能导致工艺偏离其正常工况的一个或一系列扰动。在危害评估程序中,与偏离含义一致。
管理控制:指导和/或检查与装置操作相关的工程系统或操作人员绩效的程序要求。
可审核性:可通过检查相关信息、文件以及程序来确认其设计、检验、维护、测试以及操作实践可以实现其核心功能的充分性及一致性。
自燃点:一种可燃物/氧化剂的混合物,在不存在其他点火源的情况下,在某一指定测试条件下自发燃烧的最低温度。
基本工艺控制系统(BPCS):根据来自工艺信息及其相关设备、其他编程系统的输入信号,和/或来自操作人员提供的输入信号进行响应(逻辑解算),产生相应的输出信号,并在正常生产终点指标内对工艺及其相关设备进行操作调整,使其满足设计要求的控制系统。
原因:在危害评估程序中,与初始事件含义一致。
共因失效:由单一事件或特定工况导致两个或两个以上的失效场景同时发生。(条件)修正因子:一种或几种在场景风险计算时使用的可能性概率,通常在风险可接受标准表现为影响后果时(例如:人身伤亡)而不是主要损失事件后果(例如:泄漏、管道破裂)时使用。修正因子包括但不仅限于:危险环境概率,点火概率,爆炸概率,人员暴露概率,伤亡概率,以及设备损坏或其他经济损失概率。
后果:某一特定事件的结果。在定性危害评估程序中,后果是指由初始事件导致的影响,包括损失事件,有些时候甚至包括损失事件造成的影响。在定量风险分析中,后果指的是损失事件造成的物理性影响,通常包括火灾、爆炸,或者是有毒/腐蚀性物料泄漏。
后果分析:独立于频率或概率分析的可预期事故后果影响分析。
泄漏防护措施:通过主要工艺设施、基本工艺控制系统、操作程序及培训等措施,将工艺流程中的物料和能量保持在工艺设施内,并且使工艺流程处于设计和运行的安全范围内,从而避免发生异常工况和泄漏事件及其可能导致的损失、破坏和人员伤亡。
化工过程定量风险分析(CPQRA):首先对工艺过程中的危害进行辨识,然后定量评估事故发生的可能性及后果的严重性,对化工行业来说,经常将可能性及严重性组合成风险进行度量。CPQRA特别适用于偶然事件。它类似于核工业上常用的定量方法——概率风险评估(PRA),但是不尽相同。
偏离:操作条件超出了设计条件范围、安全操作条件范围或标准操作程序的要求。
使能条件:某个并不是失效、错误或者保护层但却是将事故序列转变为最终结果的必须条件。它是由一个不直接导致事故场景的条件或者操作阶段组成,但是它是事故场景转变为损失事件的必要条件;表示为无量纲的概率。
使能事件:使能条件的另一个专业名称。一般来说“使能条件”的名称较为恰当,因为使能条件通常指的不是事件,而更接近于一种条件状态。
终点指标:在LOPA或QRA中考虑的事故场景的最大范围。根据所采用分析方法的不同,终点指标可以用一种物料或能源的泄放量、定性的潜在损失和危害影响类别、带有/无修正因子的量化影响等级,或者全定量的损失和危害影响来表示。
偶然事件:一段时限内发生的非预期事件,通常与事故有关。
非连续泄漏:一段时限内的泄漏,通常与事故有关。
事件:由设备性能或人员操作或外部事件导致的与工艺相关的场景。事件包括初始事件、损失事件以及保护措施成功或失效。
事件序列:见事故序列。
事件树:一种通过图形的方式来表示事故序列里事件和环境的逻辑相关性,常用来分析事故形成过程。
外部事件:外部事件包括:(1)自然灾害,例如地震、洪水、龙卷风、极端环境温度、闪电等;(2)人为事故,例如飞机失事、导弹、附近工业事故、火灾、恶意损坏等;(3)公用工程中断,例如电力或工厂风。
失效:系统预期性能与实际性能间的不可接受的差距。
失效模式:可用来识别设备失效的事件或条件。失效模式包括安全功能失效、安全功能动作过早或误动作(多余动作)、超过设计终点指标或者某种物理状态(如检验时发现泄漏)。
失效模式与影响分析(FMEA):一种系统的、表格式的分析方法,用来评估和记录设备部件各种类型的失效造成的影响。
失效模式、影响与关键性分析(FMECA):FMEA的一个变种,包括失效模式的潜在严重性后果的评估。
故障树:一种图形化的逻辑模型,用来描述可能导致某个特定的主要失效或事件(顶上事件)的多个失效事件组合及其逻辑关系。
频率:在指定单位时间内,某一事件发生或预期发生的次数。
危害:可能对人员、财产和/或环境造成潜在损害的一种物理或化学状态。
危险与可操作性分析(HAZOP):一种基于场景的危险评估程序,在一个团队里使用一系列引导词来识别设计或程序操作时可能出现的偏差,然后审查偏差可能导致的潜在的后果以及确保目前存在足够的安全措施。
危害评估:辨识某个系统中的个人危害,确定可能导致非预期事件的机理,并评估这些非预期事件在安全(包括公众安全)、环境及财产方面可能造成的影响。危害评估通常是以定性方法来判断装置设计及操作中可能导致事故的薄弱环节。
危害辨识:在事故发生时对可能造成非预期后果的物料、系统、工艺及装置特性的总结。
危害事件:见损失事件。
HAZOP/LOPA分析:HAZOP/LOPA分析是HAZOP分析的一种扩展,包括:选择HAZOP分析识别出的场景进行LOPA分析;评估初始事件频率,后果严重性以及独立保护层的有效性(通常表示为频率/后果消减因子);在评估场景风险时考虑适当的使能条件和/或修正因子;将评估出的场景风险与风险可接受标准相比较以确定现有风险控制措施是否充分。
人员失误:任何超过系统定义的允许范围的人员行动(或行动缺失)。包括可能导致事故的设计人员、操作人员与管理人员失误。
影响:对失效事件最终损失及危害的衡量。影响可表现为受伤和/或死亡的人数,环境污染的范围和/或财产损失、物料泄漏、生产中断,市场份额损失和复原成本。
事故:会导致或可能导致不利影响的意外事件或事件序列。
事故序列:由初始事件和导致非预期后果的中间事件组成的一系列事件。
独立保护层(IPL):能防止某个场景向非预期后果发展的一种设备、系统或行动,并且独立于指定场景的初始事件或其他任何保护层。
初始原因:在危害评估程序中,初始原因是事故序列中的首个事件,通常包括操作失误、机械故障或外部事件/影响等。初始原因标识了系统从正常状态向非正常状态的转变。
初始事件:使事故序列开始扩展所需的失效或错误的最小组合。它可以由一个单独的初始原因、多个原因或带有使能条件中的初始原因组成。(初始事件是保护层分析中的常用词,用来表示初始原因或初始原因及其造成直接影响的集合,比如“BPCS失效导致的反应进料流量过高”。有些情况下初始事件也可能是由同一时间发生的两种不同初始原因构成的,可参见附件A中关于特殊场景的讨论。)
中间事件:在事故序列中发生在初始事件之后、损失事件之前的事件。
保护层:依托于一套管理系统、能够阻止场景向非预期后果发展的设备、系统或行动。
保护层分析(LOPA):保护层分析是一种同一时间对单一事故场景(原因-后果配对)进行分析的方法,使用预设的初始事件频率值,独立保护层失效概率以及后果严重性来评估场景的风险,再将场景风险与风险可接受标准进行比较,决定是否需要采取额外的风险消减措施或进一步分析。通常LOPA所分析的事故场景是通过基于场景的危害评估方法(例如HAZOP分析)来识别的。
可能性:对某一事件预期发生的概率或频率的衡量。可能性可以表现为事件频率(例如:事件年发生率)、指定时间间隔(例如:年度)内的发生概率或条件概率(例如:某一前置事件发生后特定事件的发生概率)。
损失事件:损失事件指的是发生了可能造成潜在的损失或伤害的不可逆物理事件时的异常情景。例如危险物料的泄漏,可燃气体或者可燃粉尘的点燃,和储罐/容器的超压破裂。一次事故可能包含多个损失事件。例如,第一损失事件是可燃液体溢出,然后可燃液体被点燃形成闪火和池火(即第二损失事件),火灾致使邻近的容器升温并破裂(第三损失事件)。通常情况下与“危险事件”意义相同。
主工艺物料泄漏(LOPC):主要工艺设施中物料的非预期或不可控泄漏,包括无毒性的和不可燃的物料(例如:水蒸气、蒸汽凝液、氮气、压缩二氧化碳或压缩空气)。
减缓:减少损失事件的影响。
减缓措施:被设计为用来减少损失事件造成的影响的保护措施。
操作员:负责在系统进行生产活动时所必须的监控、控制和执行任务的人员。一般来说还包括执行所有种类任务的人员(例如:读数、校对、维护)。
工艺安全管理:一种为了确保工艺装置安全性而进行的包含了管理法则及分析技术应用的项目或活动。有时也称作“工艺危害管理”。
预防性保护措施:在特定初始事件发生后,能够避免相应特定损失事件的保护措施。例如,能够终止初始事件发展为损失事件这一事故链条的特定保护措施。(注:某种程度上来说,泄漏防护措施也可能预防初始事件的发生;然而在危害评估中,“预防性保护措施”特指本名词解释所指含义。)
主要工艺设施:直接与工艺物料接触,用于物料反应、存储或输送等目的的设施,如储罐、容器、管线、储运容器或设备。一般来说主要工艺设施在设计时会考虑泄漏防护措施,用来容纳或控制主要工艺设施的泄漏。泄漏防护措施包括但不限于储罐围堰、工艺设备外壳、连至油水分离系统的排污收集系统以及双重壁储罐的外壳。
概率:表示为一个事件或一个事件序列在一个事件间隔内发生的可能性或一个事件在测试/要求时成功或失效的可能性,为0~1的无量纲数字。
需求时失效概率(PFD):系统在需要实施指定功能(如,紧急情况或手动触发)时失效的概率。
定量风险分析(QRA):通过工程评估及模拟的方法来定量计算某装置或工艺过程中潜在事故的预期发生频率与后果严重性的系统分析方法。
可检出失效:某个可能立刻或马上引起报警/指示系统的故障。它可以在相对较短的时间内导致矫正动作。
风险:一个或一组潜在事故的预期发生频率(年频率)和后果严重性的组合。
风险分析:通过识别潜在事故场景,然后将预期发生可能性及每个场景可能造成的后果影响进行评估和结合,来对场景、装置、工厂和/或公司风险进行预估。需要时可将各风险场景进行叠加来获取总体风险。
风险评估:风险评估指的是一种利用风险分析结果来进行风险消减策略决策的过程,可通过相对风险等级或对比风险目标的方式来进行评估。
风险控制措施:预期可降低损失事件发生可能性或减缓损失事件后果的工艺相关手段。
风险管理:风险管理指的是用于分析、评估及控制风险(为了保护人员、公众及环境安全,保护公司资产、避免生产中断)的管理政策、程序和操作实践等的系统应用。包括运用适当的设计和管理控制来降低风险的决策支持系统。
保护措施:初始事件发生后可能中断事件链的任何设施、系统或动作或可以减轻损失事件影响的措施。见“预防性保护措施”、“减缓保护措施”以及“防泄漏保护措施”。
安全系统:设计用于限制或终止一个事故序列的设备和/或程序,从而避免损失事件的发生或减轻它的后果。
场景:场景指的是会导致损失事件及影响的一个非预期事件或事故序列,包括事故序列中相关的保护措施是否失效。
泄漏源参数:指的是用来确定危险物料和/或能量泄漏至周边环境导致的最终损失事件后果的初始事件的相关泄漏参数(例如:量级、速率、时长、方向、温度)。对于气体扩散模型来说,泄漏源参数指的是扩散模型的输入条件,包括实际蒸气云的温度、气体组成、密度、大小、速率和质量等条件。
顶上事件:在故障树“顶部”的损失事件或其他非预期事件,可以通过布尔逻辑门来分析其可能的原因,并向下追溯到基本事件。
未检出失效:未检出失效指的是无法在系统正常运行时被检测出来的失效,只能通过全面的诊断测试来检测。
故障假设分析:故障假设分析是一种基于场景的风险评估过程。使用头脑风暴的方法在一个熟悉待分析对象的团队中进行提问或考虑可能出现什么错误、会发生什么后果以及现有的安全措施是否足够。
故障假设/检查表分析:通过使用检查表或其他常用的列表来构建假设的一种故障假设分析方法。鸣谢
CCPS感谢所有参与本书编写的CCPS管理委员会成员,感谢他们在本书编辑过程中提供的与使能条件和修正因子相关的数据、评论、技术指导和鼓励。CCPS也感谢管理委员会成员对本书提供的建议和支持。
本项目的联络人由CCPS的约翰.F.墨菲担任,他主要负责协调会议以及与促进委员会审查和交流。另外,对CCPS的下列成员做出的巨大努力和贡献同样表示感谢:
小组委员会主席:伊士曼化学公司,韦恩·查斯顿
小组委员会副主席:杜邦公司,斯坦利·乌尔鲍尼克
沙特基础工业公司,拉里·鲍勒
工艺改进研究所,比尔·布里奇斯
指数公司,安德鲁·卡彭特
塞拉尼斯化工,克里斯·德夫林
阿尔伯马尔,托马斯·迪莱奥
道康宁公司,杰弗里·福克斯
S&PP咨询公司,兰迪·弗里曼
SP,迈克·金泰尔
BP,基兰·格林
雪佛龙菲利普斯化工有限公司,肯尼斯·哈林顿
AcuTech咨询公司,大卫·卡恩
雪佛龙菲利普斯化工有限公司,金佰利·穆林斯
美国福陆公司,杰克·赖斯多夫
AE解决方案公司,凯茜·谢尔
陶氏化学公司,鲍勃·斯塔克
安全仪表系统科技解决方案公司,安吉拉·萨默斯
弗林特希尔斯资源公司,戴夫·汤普森
南卡罗来纳大学,文森特·布伦特
NOVA化学公司,罗伯特·瓦吉里斯克
陶氏化学公司,蒂姆·瓦格纳
Unwin公司(俄亥俄州哥伦布市)根据合同要求在CCPS的指导下撰写了本书。昂温公司的罗伯特·约翰逊担任项目经理,史蒂芬·鲁迪担任首席作者,纳尔逊·尼尔森协助其进行了文字编辑。
为了保证本书用语的精确度和技术信息的准确性,我们按照CCPS项目的标准惯例,在本导则出版前邀请下列学者共同对本导则进行了校核,名单如下:
危害和风险分析,约翰·奥德曼
exida亚太公司,彼得·克拉克
PE律师事务所,阿特·道威尔·AM·道威尔三世
艾默生过程控制有限公司,鲍勃·盖尔
伊士曼化学公司,彼得.N.洛达尔
优势风险解决方案有限公司,菲利普.M.梅尔斯
普莱克斯公司,布拉德·纽曼
航空工程解决方案公司,罗纳德·尼科尔斯
普莱克斯公司,基思R·佩斯
CCPS咨询顾问,艾德里安·斯皮达
exida公司,哈尔·托马斯
弗林特希尔斯资源公司,诺拉·威廉姆斯
CCPS和Unwin公司项目团队衷心感谢提出宝贵建议和反馈的同行审稿人。前言
美国化学工程师协会(AIChE)在过去的40多年里一直在密切参与化工和其相关行业的化工过程安全和损失控制问题的研究。通过与工艺设计人员、建设施工人员、操作运营人员、安全专业人员及学术界成员的紧密联系与持续沟通,AIChE致力于对行业的高安全标准进行持续改进。AIChE的刊物和研讨会已经成为了一种信息来源渠道,为相关人员分析了解危害事故原因、寻求更好的手段来阻止事故发生及其减缓这些事故可能带来的后果提供了便利。
化工过程安全中心(CCPS)成立于1985年,作为AIChE的下属机构,致力于开发及传播用于预防重大化学品事故的相关技术信息。目前有超过100家化工行业(CPI)及其相关行业的公司为CCPS提供赞助。这些公司为CCPS提供了必要的资金和拥有专业经验的技术小组委员会。
CCPS的第一个项目是危害评估程序导则的编制,CCPS实现了在1985年出版导则的既定目标,并在此后不断促进过程安全知识在所有行业的发展。
保护层分析(LOPA)是一种用于分析和评估场景风险的工具。随着第一本关于该领域的CCPS/AICHE导则(保护层分析:简化的过程风险评估方法;CCPS2001)出版时,LOPA方法已经逐渐开始被接受及使用。它将事故原因发生频率、独立保护层失效概率和潜在后果严重性的评估结合起来,采用相对保守的规则来进行评估。
本书介绍了与使能条件和修正因子相关的导则,主要供经验丰富的分析工程师和技术熟练的从业者阅读。
编制本书的目的是:
对于生产运营公司或承包公司中负责建立及维护LOPA程序的经理和工程师。在公司内部使用使能条件和修正因子时,执行程序可以确保公司在使用(或停用)使能条件与修正因子时与企业的风险可接受标准保持一致,同时避免它们的过度使用。此外,管理者和风险分析人员在建立或修正用于单一场景风险评估的企业风险可接受标准时,本书也可指导他们了解修正因子与风险可接受标准间的相互作用。
LOPA分析人员。本书可用于帮助充分理解并正确使用使能条件和修正因子,包括了解它们在使用过程中容易出现的错误。
工艺工程师、仪表工程师、操作维护人员或其他需要参加保护层分析的人员。理解本书的内容将有助于保护层分析参与者在LOPA分析中适当地应用使能条件和修正因子。
以下是本书的章节内容简介。
第1章 背景
简要介绍了保护层分析(LOPA)及其在使用中可能出现的变种形式,并总结了LOPA分析评估事件序列/场景的典型分析流程及其中可能涉及的各种术语。
概述了使能条件和修正因子重要的理论基础和实践局限性,总结了从业人员和管理人员对采用了更细致LOPA及QRA分析方法(应用使能条件及修正因子)的分析结果的合理预期。
第2章 保护层分析的使能条件
定义了使能条件并介绍了其与初始事件间的相互关联。
定义并阐述了使能条件的常见类型。
对LOPA分析中使能条件的记录管理及确认方法进行了讨论。
第3章 保护层分析的修正因子
定义了修正因子并介绍了其与风险可接受标准间的相互关联。
定义并阐述了修正因子的常见类型。
对LOPA分析中修正因子的记录管理及确认方法进行了讨论。
第4章 使能条件与修正因子在其他风险评估方法中的应用
讨论了使能条件和修正因子在定量风险分析中的应用。
阐述了在HAZOP/LOPA分析和其他类似分析方法中使能条件和修正因子的应用。
讨论了在蝴蝶结分析中的使能条件和/或修正因子的应用。
附录
附录内容包括:
论述在少数极端情况下需要考虑同时失效的场景,并就如何量化它们进行了说明。
论述了峰值风险在使能条件和修正因子中的应用。
举例说明了在对一个公司来说如何设定相关规则,以决定其是否应在LOPA分析中应用使能条件和/或修正因子。
和CCPS出版的其他书籍一样,本书既不包含化工过程风险管理的完整程序,也没有就如何建立一个适用于一套装置或一个公司的风险分析程序给出具体的建议。然而,对于实施更加具体的、基于场景的风险评估来说,本导则提供了一些在具体执行过程中应该考虑到的要点。
本导则不能代替具体的危害评估工作。本书可作为风险分析人员进行进一步学习的教辅材料,以及经验丰富的从业人员的参考资料。只有通过学习和积累经验才能将危险分析的使能条件和修正因子熟练运用。在一个完整的过程安全程序体系内使用这部导则可以帮助企业有针对性地不断提高其装置和操作的安全性、环保性及损失预防能力。▶▶第1章背景
本导则介绍了在何时与如何在保护层分析(LOPAs)中应用使能条件与修正因子。LOPA分析中的后果及风险可接受标准中通常会以最终影响来定义,例如:人员死亡或环境污染;在这里,修正因子可以是物料或能量泄漏可能导致人员死亡的概率。LOPA分析中也有可能考虑到使能条件,即初始事件中某个指定场景的发生概率。一种区分这两个因素的方式是:使能条件往往与在事故序列中危险物料或能量泄漏之前的部分相关联,然而修正因子通常与事故序列中泄漏之后的部分相关联。
使能条件和修正因子也可应用于其他风险场景分析方法,例如定量风险分析和危险与可操作性分析/保护层分析,详见第四章。然而,本导则的重点是它们在保护层分析中的应用。
1.1节对保护层分析方法进行了简单介绍。LOPA分析在使用过程中的一些变形见1.2节。1.3节讨论了使能条件与修正因子的应用时机。是否应用修正因子与讨论损失事件影响时使用的企业风险可接受标准密切相关,这部分讨论内容见1.4节。1.1 保护层分析概述
这一节主要取自美国化学工程师学会化工过程安全中心(以下简称CCPS)的《危害评估程序导则》第3版(CCPS2008),为CCPS 2001年发布的《保护层分析——简化的过程风险评估》中介绍的保护层分析方法提供了一个简要的总结及少量的更新。经验丰富的LOPA从业者和使用者可以直接前往1.2节查阅LOPA变种形式的相关信息。
保护层分析是定量风险分析的一种简化形式,它使用初始事件频率、后果严重性和独立保护层(IPLs)的失效概率的数量级类别来对一个或多个事故场景的风险进行分析和评估。LOPA分析可在包括流程开发、流程设计、操作、维护、变更和退役的全生命周期的不同阶段中应用。
LOPA分析的目的
LOPA分析可帮助我们回答以下疑问:
•为了满足我们的风险目标我们的装置需要什么样的保护层?
•每一个保护层可减少或需要减少多少风险?
尽管实际上为了回答这些问题往往需要通过定量风险分析(QRA)来实现,但是LOPA分析也可以以相对QRA分析更短的时间及更少的资源下帮助我们回答这些问题。
LOPA是一种数量级层面上的定量分析方法(有时也被称作半定量分析),它通常建立在定性风险评估(例如HAZOP分析)的基础上。通过具体分析指定的危害场景,LOPA分析可以判断每一个待分析场景的风险是否已经被降低到指定的风险可接受标准内。然而,如果分析者或分析团队可以只通过定性分析方法来做出一个合理的风险决策,那么LOPA分析也许就没有必要了。定性风险评估方法(如HAZOP分析)通常是为了识别一系列潜在的事故场景,并对这些场景中保护措施的充分性进行定性分析。LOPA分析通常被用于对这些潜在事故场景中的部分指定场景进行分析。
有时,简单的数量级级别的LOPA分析可以通过更严格的定义及执行扩展到更加完整的全定量风险分析领域QRA中。使能条件与修正因子的使用也包括在这个领域之中。
描述
一般来说,LOPA的执行往往建立在定性风险评估中的基础之上,但是也可以应用于从其他来源获悉的场景,例如系统审核或事故调查。LOPA可以被用于全面定量风险分析前的事故场景筛选工具。如果需要,LOPA也可以与定性的基于场景的危害评估方法结合起来使用,例如HAZOP分析(见4.2节)。
在定义了分析范围之后,LOPA可以概括为以下七个步骤。LOPA的结果可以用于帮助进行风险相关决策。
步骤1:确定场景筛选标准。自从LOPA被用于评估筛选危害场景的典型方法后,LOPA分析者或分析团队的第一步就是筛选这些场景。最常见的筛选方法是以场景后果作为依据的。其他筛选标准也有可能被使用,例如,基于“未削减风险”(场景后果严重性与初始事件发生频率估算相结合)或者基于风险评估小组对场景仔细分析后做出的决断。
LOPA后果严重性估算和后果筛选阈值可能有很多种方法,每一种都有各自的优缺点,并且在风险分析中的保守程度上各有不同。通常来说,越简单的方法也就越保守。
•方法1:分类的方法没有直接提及对人类的危害。后果的分类是根据泄漏物质类型和量级或其他后果特征来划分的,而不是明确规定了可能由一个指定泄漏场景所造成的最终伤亡人数和受伤严重性程度。
•方法2:对人员伤害的定性评估。对人员的影响通过与组织的风险可接受标准直接比较,但通常是定性评估后果影响的量级。这种方法一般不会明确应用修正因子,例如人员暴露概率。
•方法3:定性或数量级级别的定量评估人员伤害,并通过修正因子来修正泄漏发生后的概率。这种方法是方法2中定性判断的拓展,更加定量(数量级)地评估人员伤害的后果严重性。
•方法4:定量评估人员伤害后果。这种方法与方法3相似,但是在确定泄漏对人员和设备造成的影响时使用了更详细的分析方法。分析过程中可能会使用符合完整化工工艺定量风险分析(CPQRAs)要求的相关软件工具,包括扩散及爆炸模拟等。使用这些软件工具增加了分析的复杂性和时间需求以及对专业知识的需要和其他资源。这类后果分析的复杂性等级远远超过使用LOPA进行的数量级风险估算方法。
步骤2:选择一个事故场景。LOPA一次只应用于一个场景。场景可以来自于其他分析,例如定性风险评估和/或变更管理审核,但是每个场景必须包括单独的初始事件-损失事件对(“原因-后果对”)。也有一些特殊场景可能涉及两个并发初始事件(对于这种场景,可能需要使用定量风险分析来进行评估,详见附件A)。
当从定性危险评估(例如HAZOP分析)中筛选出待分析的场景后,这些待分析场景可能被再次分离成若干个场景进行评估。例如,一个包含了紧急泄压系统的场景,在LOPA分析中有可能被分离为紧急泄压系统失效(后果严重性相对较高但发生的可能性较低)和紧急泄压系统功能正常(后果严重性相对较低但发生的可能性较高)这两种场景。
步骤3:确认场景初始事件并且确定它的发生频率。在假设所有预防性保护措施失效的情况下,初始事件必然会导致损失事件发生。(与HAZOP分析类似,初始事件可能包括一个或多个初始原因,只有当初始原因会导致同样的损失事件并且受同样的独立保护层保护时才可将其进行合并。)很多企业都设有相关导则用于初始事件发生频率以保证LOPA后果的一致性,CCPS2001年发布的LOPA导则也提供了相关频率数据。分析团队应根据待分析装置的历史运行数据以及类似装置同类初始事件的发生频率来合理地确定初始事件发生频率。其他因素也可能影响初始事件发生频率,如非常规设计/维护或用于降低操作人员误操作频率的密保系统等。
一般来说背景条件并不是初始事件而是使能条件,例如工艺系统仅在某种特定操作模式下才可能失效的概率。在LOPA分析中,将采用这类使能条件发生概率对初始事件发生频率进行修正。关于这部分的具体内容请参见第2章。
步骤4:识别独立保护层并且预估每个独立保护层的PFD。LOPA方法的核心是识别出给定场景满足独立保护层(IPLs)需求的现有预防性保护措施。(所有独立保护层均为保护措施,但并不是每一个保护措施都满足成为独立保护层的需求。)
独立保护层可以是防止场景演变成不期望的失效事件的装置、系统或动作,并且独立于初始事件或场景。一个满足独立保护层需求的预防性保护措施通常是以下面七点为核心来进行设计的。
•独立性——保护层的性能不会被初始事件或其他保护层的动作所影响。
•功能性——能够在指定的异常场景下做出响应并成功实现其指定功能。
•完整性——通过保护层的设计和管理可以显著降低场景风险。
•可靠性——确保保护层在指定条件的指定时间段内的可操作性。
•验证、维护和审核——通过对信息、文档、程序的执行、维护和验证,确认保护层的设计、检验、维护、测试和操作实践是否被充分设计且满足其需实现的核心功能。
•访问安全——通过权限控制与其他物理方法来减少意外或未经授权的变更。
•变更管理——在执行变更前,用于审核、记录和批准变更而不是替换的正式流程。
独立保护层可被视为保护潜在事故场景的“防御体系”。IPL独立于初始事件和其他独立保护层的特性是非常重要的。保护层分析小组应在独立保护层设计和管理的基础上,评估每个独立保护层的独立性,并预测其失效频率。装置内所有独立保护层都应被包含于装置的机械完整性程序中,并通过适当的检验及验证式测试以确保其维持目标需求时失效概率。依赖于操作人员的独立保护层应有清晰描述其主要步骤的书面程序,相关操作人员接受了足够的培训及测试以确保其可在指定时间内完成响应。任何涉及独立保护层的行为应受控,涉及独立保护层的相关变更应在实施前进行变更管理审查。
安全仪表系统(SIS)是独立保护层的类型之一。CCPS发表过覆盖安全仪表系统和其他仪表保护系统的全生命周期的导则(CCPS 2007)。
独立保护层的完整性可通过需求时失效概率来进行定量,该概率为0和1之间的无量纲数字。独立保护层的需求时失效概率是指当某事故场景需要独立保护层实施其指定功能时,该独立保护层失效的概率。大多数公司会提供一系列预设的需求时失效概率值用于保护层分析,因此分析小组进行分析时,能够挑选最适于待分析场景的独立保护层,以及最适于设备结构和装置完整性管理计划的需求时失效概率值。
步骤5:计算场景发生频率。事故场景的综合发生频率预测是通过计算初始事件发生频率和独立保护层需求时失效概率来实现的。这些方法包括使用公式和图表法等。不管使用何种方法,大多数公司都会提供一种标准程序来记录保护层分析的中间结果和最终结果。以下数学方法适用于低要求情况(需求频率低于第一个独立保护层测试频率的两倍,详见CCPS2001附件F)。
其中,是初始事件i结果C的场景频率;是初始事件i结果C的初始事件频率;PFD是保护初始事件i结果C的独立保护层j的需求ij时失效概率(危险失效模式)。-1
例如,如果初始事件(i=1)概率为每隔十年一次(=10/年),针对这一初始事件的两个独立保护层的需求时失效概率均为-2-20.01(PFD=10,PFD=10),这两个独立保护层成功响应时均1112可阻止初始事件1至出现C后果的事故序列,那么初始事件1()结果-1-2-2-5C的场景计算频率为10/年×10×10=10/年。
如果公司选择在LOPA分析中应用使能条件,事故场景频率计算时应考虑与场景相关的使能条件因子(详见第2章)。使能条件概率的计算与上述需求时失效概率的频率计算公式类似。
如果公司选择在LOPA分析中应用条件修正因子,依据采用后果严重性评估的方法(如本节中步骤1所述方法3或方法4),修正因子(如第3章所述)可在场景频率计算时考虑。例如,当公司评估直接人员伤害频率时,场景频率计算时应包含额外的修正概率,例如着火概率或事故发生时操作人员到场概率。这些概率作为额外因素,包含于频率计算公式中,即:
为考虑着火频率的风险计算公式,以及为进一步考虑着火时操作人员在火灾影响区域内概率的风险计算公式:
步骤6:评估危害场景相关的风险以帮助做出决策。通过将场景后果严重性与场景发生频率相结合来获取场景风险:
这里,为待分析事故k的风险等级,一般通过单位时间内后果等级来表示,例如年死亡人数;为相反单位时间内的利益为待分析事故k的频率,单位为时间的倒数;C为利益为待分析事故k的后k果严重性(影响)的一种指定计量数据(例如:死亡人数,严重伤亡人数,公众影响,环境影响,经济损失)。
计算出事故场景的风险或频率通常会与指定的风险可接受准则进行对比,或通过将其转化为风险矩阵中的不同位置来表示。
步骤7:通过保护层分析进行风险决策。当已经通过LOPA分析评估出了事故场景的风险等级,则可在此基础上进行风险决策。这一决策过程一般是通过将事故场景风险等级与公司风险可接受标准进行对比来实施的(可参见CCPS2009中相关内容)。如果计算出的场景风险超过企业风险可接受标准,则超出的部分风险即为需要采取措施进行削减的部分。风险削减可通过多种手段来实现,包括通过进行本质安全设计消除潜在风险,降低初始事件发生频率,提高独立保护层的完整性,增设安全保护设施或削减事故后果等。LOPA分析结果也适用于其他用途,包括调整机械完整性管理程序来重点监测特定的设备部件等。
LOPA分析预期成果
通过LOPA分析评估可获取一系列事故场景的数量级级别的风险等级。保护层分析也包括对每个事故场景现有独立保护层的充分性进行评估,通过对比场景风险与风险可接受标准来进行风险决策,在必要的情况下建议增设额外的独立保护层以使场景风险满足企业风险管理要求。
表1.1为保护层分析工作表的一个案例,展示了单一场景的分析结果。可结合阅读CCPS(2001)以完整理解这个案例的具体内容。本案例包含一个使能条件(反应器冷却失效时发生失控的概率),以及两个修正因子(操作人员出现在后果影响区域的概率;致死概率),虽然在本案例中两个修正因子都没有实际对风险进行削减(即每个修正因子概率=1)。表1.1 LOPA记录表示例(改编自CCPS2001,表B.2)1.2 关于LOPA的变形
用户可以在基本的LOPA分析方法(参见1.1节)基础上开发出很多不同的变化形式。本节讨论了这些变形与使能条件和修正因子的使用间的关系。这些变形的作用主要有以下三点:
①决定LOPA计算中所使用到的数值;
②确定这些数值所用的方法;
③对损失事件的后果范围进行评估。
LOPA取值的变形
通常LOPA分析中频率或概率的取值方式是数量级级别下的取值。例如,初始事件发生频率通常以10的倍数的年频率(10/年,1/年,0.1/年,0.01/年等)来表示,概率为1,0.1,0.01,0.001等。同样的,后果的估算也通常是在数量级级别上粗略地估算出来的。
这种方法的其中一个变化形式是不限制使用数量级级别的数值。前面的表1.1举例说明了这种变形,分析中使能条件的概率是0.5。另一种变化形式是利用半数量级级别方法来进行判断。LOPA分析中使用的数值并不一定完全要使用数量级级别来输入数据,也支持采用其他取值形式。
有效数字。大多数LOPA计算的变化形式都不会将LOPA的数值限制为数量级形式,而是采用一个有效数字来记录LOPA和随后的计算数值。需要强调的是,自从使用软件来辅助进行LOPA记录后,有时会出现显示的有效数字缺失而导致数据出错的情况。相比较而言,全定量风险分析通常只使用两位有效数字来进行风险评估,即使它们常常无法保证某些输入数据的不确定程度。在本书中,将会从数量级级别和定量风险分析两种方法来讨论使能条件和修正因子的概率取值。
使能条件和修正因子的数值的确定与准确性。基于待评估对象的特点,使能条件及修正因子概率的确定方法可能有很多种方式(参见本书第2章及第3章)。数量级级别的估算适用于一些有着相对较高的不确定性的因素(例如点火概率)。
有些因素可以通过经验性数据的支持来达到相对较高的准确度。例如,使能条件是当环境温度在零度时,冷却水供应管线的伴热发生故障导致冷却水管道结冰。通过当地历史气象数据来选用一年中当地环境温度低于零度的比例,这样的数据可靠性相对是更高的。另一个例子是,使能条件与修正因子的概率也可以通过工艺单元在某种操作模式(例如全循环等)下的时间比例以及危害物质朝某特定区域扩散有利风向的比例等来评估。
然而,在使用使能条件与修正因子概率时出现错误取值的区间可能大于那些典型的初始事件频率和独立保护层的需求时失效概率错误取值的区间。也就是说,相对于在LOPA或QRA中不使用使能条件和/或修正因子,使用这些因子会增加了风险计算公式中的影响因素和不确定性,会导致增加LOPA/QRA分析中潜在的不确定性。
在给定因素中存在不确定性的情况下,LOPA或QRA分析可以考虑使用以下几种可能的方法:
①取一个最坏场景、最保守的值;
②取一个合理、保守的值;
③取一个最佳估算值;
④如果不确定性太高的话,在场景分析或QRA中不使用使能条件与修正因子。
当分析小组具备足够的数据、经验和/或标准可以支持的情况下,推荐采用最佳估算值方法。当某个特殊的因素的频率或者概率存在一定程度上的不确定性时,则取一个合理、保守的值。在所有的风险评估中有着很大程度上的不确定性因素。在执行完灵敏度分析后,如果出现非预期的极高或极低值,则应该进行检查,并且观察它们在各自范围内的不同取值对场景风险的影响。这种方法避免了在多种因素同时倾向于保守估计时可能产生的缺陷(例如,整体上趋向于更高的场景发生频率),并且最终得出场景频率高得超出正常工程经验。上文中的讨论尤其适用于修正因子的使用,因为在一个典型的LOPA场景评估中仅需考虑一个使能条件(如果有的话),然而分析中通常可能包含了三个或更多分别存在不确定性的修正因子。
总的来说,在执行LOPA的过程中存在着一个普遍的缺陷,即试图采用更多位数的有效数字来精确记录单个影响因素和/或表示风险结果时,往往由于数据来源的不可靠性而导致这些数值的不可靠性增加。一个使用数量级级别的风险计算结果也应当用数量级级别的数值来进行记录。即使在分析过程中,由于数据来源的不同,某些个别因素的有效数字位数较多,但是最终场景风险的结果应当采用一位有效数字来进行记录。使用过多的有效数字位数对于风险评估结果的准确性来说是一种误导。
LOPA频率的变形和PFD的定义
通常,企业会在其LOPA标准或程序中规定了多种初始事件频率值(例如,经过标准维护/维修服务的通常服役环境下泵故障频率为0.1/年)和独立保护层失效的概率(例如,非堵塞工况下安全阀无法正常起跳泄压的PFD约为0.01)。对于使能条件与修正因子,也可以使用类似的方法从一个标准数据库中选取适当的值。标准数据库应该为实际待评估场景中的各因子取值的适当性提供依据。
然而,使能条件与修正因子概率取值需要建立在对指定场景进行深入分析的基础之上。这种方法比较接近定量风险分析,有些时候可能需要通过逻辑模型或数据分析来确定最合理的取值。是否使用上述方法来进行取值,主要取决于其是否能够对LOPA分析结果提供最佳的支持,并且与企业建立的分析方法及风险可接受标准保持一致。
LOPA后果评估的变形
对LOPA后果严重性评估的不同方法遵循1.1节(步骤1)中的后果筛选方法描述。(1)通过对危险物料、过程中能量泄放或其他典型后果的类型和量级分类来进行后果严重性分析。这种方法的优势在于简单,而且避免了评估后果影响的需求(例如对于人员的影响),但是仍然需要对泄漏量做出一定的评估。然而,这种方法无法区分开同一装置区里不同区域或其他装置区的人口密集区域中发生的相同泄漏事件所造成的不同影响。因此,按级别后果分类评估本身就应当是针对某一具体装置的。泄漏的量级意味着预期的影响,因此,通常在设定泄漏量级分类时常常包含了事故场景可能造成实际损失及危害的概率。(2)使用人员伤害影响、环境影响和/或经济影响来对后果进行分类并定性评估。上文中的表1.1对这种方法进行了举例说明,LOPA团队对容器破裂的后果严重性进行了评估,等级为5(潜在的人员伤亡后果或许可达到“高严重性后果”)。这种评估通常会使用较为保守的假设,例如可燃物泄漏时总是会被点燃和/或泄漏、火灾、爆炸发生时总有人员在其影响范围之内。(3)将后果分为人员伤害影响、环境影响和/或经济影响等类别,使用数量级级别的定量分析来确定后果的影响,且在分析时对修正因子(泄漏后概率)进行修正。这种方法通常包括一种明确的、书面的修正因子(例如点火概率和人员在后果影响区域内的暴露概率)取值的程序文件。(4)定量评估人员伤害影响、环境影响和/或经济影响时,对泄漏特征及其影响进行详细分析。这里可能会使用与完整QRA分析中使用的相关软件工具,包括扩散模拟与爆炸影响分析等。在使用这种分析方法时,相关的使能条件(如适用)和修正因子可能会作为对失效事件频率的影响因素进行详细评估。
需要强调的是,上述严重性评估方法的选择必须与LOPA中使用的风险可接受标准相一致,以对风险控制措施的足够性进行决策。这部分内容将会在1.4节(风险可接受标准的终点指标)中进一步讨论。1.3 何时使用使能条件和修正因子
不是在所有的LOPA分析中都需要应用使能条件和修正因子。通常来说,只有当它们对LOPA分析的目标有所帮助并且与使用的风险可接受标准保持一致时才会被使用。
关于何时应用使能条件
下面是在LOPA中应用使能条件的典型场景。(1)事件序列只有当装置处在某个特定操作场景下时才会发生(比如,在全循环模式或直接由罐车进料的场景中),以独立于其他事故序列为前提对此场景进行分析是必要且有意义的。(2)这种后果只有当装置在使用某种特殊原料、催化剂或加工某个特定的配方时才会发生,以独立于其他事故序列为前提对此场景进行分析是必要且有意义的。(3)事件序列能够发生的前提是,初始事件在某个特定的工况(例如环境温度较低或较高)下发生。
在每一种工况下,只有当使能条件是异常工况转化为最终后果的必要因素时才需要应用使能条件。LOPA分析者的能力、完善的企业LO-PA执行程序和有效的支撑数据都是使能条件应用的基本条件。
LOPA分析的使能条件及相关案例将在第2章中详细叙述。使能条件可能与有着潜在严重后果并且持续时间较短的工况有关。这种工况下的暴露风险(术语称为“峰值风险”)应当被妥善地考虑和管理。这部分将在附录B中进行讨论。
关于何时不能使用使能条件
以下几点阐明了在哪些情况下LOPA分析团队应当避免使用使能条件。(1)LOPA分析者对使能条件没有足够的认识并且无法正确使用LOPA分析方法。(2)没有充足的数据或信息可以用来评估指定的使能条件的可能性。(3)企业所制定的LOPA执行程序中已明确指出在任何情况下都不能使用使能条件。(4)潜在的使能条件无法满足企业的风险可接受标准。比如,企业程序中已经明确指出只有在使能条件能够给出完整的频率削减的数量级的情况下才能使用,但是潜在的使能条件却不满足这个要求。(5)企业没有足够的资源、能力或实践行动能够对使能条件的使用及有效性的维持给予适当的评估(请参考2.6节)。另外,一个特殊场景下的使能条件(通常被称为“风险时刻”的使能条件)可能不会被使用,详见2.3节。
关于何时应用修正因子
修正因子在LOPA中使用的典型场景是,企业的风险判断标准是基于最佳预估量风险值而不是基于保守的边界预估值。在这种情况下,不使用修正因子就会导致场景风险预估值与企业的风险判断标准不一致。比如,对一个既定释放事件点燃概率的预估值远小于100%,那么使用100%的点火概率将得到一个保守的风险预估值而不是最佳预估值。把风险管理决议建立在过度保守的风险预估值上可能导致风险削减资源的不合理分配。对涉及多个修正因子的场景,过度保守的风险预估值可能会更大。
LOPA分析者的能力、完善的LOPA(企业或相关装置)分析方法和有效的支撑数据都是修正因子使用的基本条件。LOPA分析的修正因子及相关案例将在第3章中详细叙述。
关于何时不能使用修正因子
企业在LOPA分析中不使用修正因子的原因有多种,可能包括以下的一个或几个。(1)如果一些企业的习惯做法是在选择后果严重性时就已经间接地将修正因子的概率包含了进去,那么当他们在LOPA分析中直接使用修正因子时就有可能会对这些因素进行重复计算。(2)企业认为修正因子在LOPA分析中的不确定性或复杂性太大,以至于不确定能否正确使用修正因子。
试读结束[说明:试读内容隐藏了图片]