馬家駒，金玉宏

（浙江省天正設(shè)計工程有限公司，浙江 杭州 310030）

隨著經(jīng)濟(jì)發(fā)展和社會進(jìn)步，新材料、農(nóng)藥、油漆、醫(yī)藥等化工行業(yè)蓬勃發(fā)展。各類化學(xué)品在給人們生活增添幸福感的同時，也帶來了嚴(yán)峻的安全問題，涉及危險化學(xué)品（具有毒害、腐蝕、爆炸、燃燒、助燃等性質(zhì)）及化學(xué)反應(yīng)（如強(qiáng)放熱、高溫/高壓、真空等）的生產(chǎn)與儲存裝置均構(gòu)成潛在的危險源。當(dāng)保護(hù)層失效或操作失誤時，危險源將導(dǎo)致不同類型及不同嚴(yán)重程度的后果，包括人員傷亡、環(huán)境污染、財產(chǎn)損失等。為了從根本上消除事故隱患，防范化解系統(tǒng)性重大安全風(fēng)險，遏制重特大事故，減少人員傷亡、降低財產(chǎn)損失，預(yù)防事故的發(fā)生非常必要。

“洋蔥模型”作為工藝安全措施的總結(jié)，將保護(hù)層分為多個層級，確保當(dāng)一個保護(hù)層失效時，剩余保護(hù)層仍可起作用，從而預(yù)防事故的發(fā)生，避免嚴(yán)重后果。

1 洋蔥模型

“洋蔥模型”源自于國際電工委員會發(fā)布的IEC 61511-1:2016（《功能安全-流程工業(yè)的安全儀表系統(tǒng)》）的第9.3 章節(jié)（Requirements on the basic process control system as a protection layer），是對過程或系統(tǒng)的安全措施進(jìn)行的科學(xué)性總結(jié)，將不同類型的保護(hù)層按照失效順序進(jìn)行的形象化排布（圖1）。高一層級的保護(hù)層都將在相應(yīng)低一級的保護(hù)層失效時啟用，從而遏制事故的發(fā)生或發(fā)展。各級保護(hù)層的作用見表1。

表1 保護(hù)層描述[1]

圖1 洋蔥模型

1.1 過程設(shè)計

過程設(shè)計是指涵蓋原料經(jīng)過一些列化學(xué)或物理處理后成為產(chǎn)物的全流程，其決定了工藝路線、操作/設(shè)計工況等技術(shù)核心。如此階段就考慮本質(zhì)安全設(shè)計，將大幅降低事故發(fā)生頻率或后果嚴(yán)重性。

本質(zhì)安全是指設(shè)備、設(shè)施或技術(shù)工藝包含內(nèi)在的能夠從根本上防止事故發(fā)生的功能。即由于操作者的操作失誤或不安全行為的發(fā)生，也仍然能保證對操作者、設(shè)備或系統(tǒng)的安全而不發(fā)生事故[2]。

在這一階段，可考慮以下幾點原則[3]：

（1）替代

盡量避免在生產(chǎn)過程中使用危險化學(xué)品。當(dāng)不存在危險化學(xué)品時，將會大幅降低事故后果的嚴(yán)重性；當(dāng)危險化學(xué)品是中間產(chǎn)品時，可考慮采用其他的化學(xué)反應(yīng)路線進(jìn)行生產(chǎn)。精細(xì)化工行業(yè)經(jīng)常會使用溶劑，而大部分的溶劑具有毒性及易燃性。如甲苯即是三類致癌物，又是低閃點的甲類介質(zhì)，若處理不當(dāng)，將會造成嚴(yán)重的后果。此時如使用比較安全的溶劑（低毒、不易燃等特點），即使在意外的情況下，也會大大降低后果的嚴(yán)重性。

（2）最小化

在過程中盡可能減少危險化學(xué)品的使用量，盡量保證使用量剛好滿足反應(yīng)的需求。同時涉及危險的操作工況，也可考慮縮小設(shè)備的尺寸及反應(yīng)規(guī)模。對于危險化學(xué)品中間體，可通過精準(zhǔn)控制反應(yīng)所需的化學(xué)品數(shù)量，減少中間產(chǎn)物的生產(chǎn)。如針對重點監(jiān)管的危險化工工藝[4-5]（硝化、胺基化等），可考慮選擇微通道反應(yīng)器代替反應(yīng)釜，持液量少，反應(yīng)條件溫和，危險性大幅降低。

（3）緩和

篩選反應(yīng)條件溫和的工藝，避免出現(xiàn)高溫、高壓等工況，嚴(yán)苛的反應(yīng)工況將會導(dǎo)致事故發(fā)生的可能性大增。如能選擇相對安全的過程操作條件，使物料在更安全的工況下反應(yīng)，泄漏的可能性將會大大降低。

（4）遏制

當(dāng)工藝設(shè)計無法避免使用危險化學(xué)品時，則須考慮設(shè)備及管道的機(jī)械完整性等措施,其材質(zhì)及規(guī)格須完全滿足設(shè)計工況。如設(shè)計選型時考慮高壓力等級的設(shè)備及管道（留有一定的安全裕量）以減少設(shè)備失效的風(fēng)險，確保物料無超壓泄漏的可能。在過程設(shè)計階段能考慮以上因素，即使在意外的情況下，也會大大降低事故后果的嚴(yán)重程度。

在實際工作中，企業(yè)通常都會結(jié)合經(jīng)濟(jì)可行性、工藝先進(jìn)性等因素來確定工藝生產(chǎn)路線。從設(shè)計的角度出發(fā)，在滿足業(yè)主工藝需求的前提下，結(jié)合以上幾點原則，盡可能降低工藝的安全風(fēng)險。

1.2 基本控制

在最初的工藝參數(shù)控制中，基本靠人工進(jìn)行調(diào)節(jié)控制。人工操作存在許多弊端，如控制不精準(zhǔn)、容易誤操作等，是潛在的風(fēng)險點。隨著自動化的發(fā)展，自動化控制逐漸取代了人工的操作。

基本過程控制系統(tǒng)(BPCS,basic process control system)用于處理和監(jiān)控整個體系運行的工作狀態(tài)。從傳感器得到輸入信息，經(jīng)過處理器處理后，按照設(shè)計的控制策略提供輸出動作。在裝置的參數(shù)（包括溫度、壓力、流量、液位和成分等）發(fā)生偏差時，能夠保持裝置回到安全運行中。在大部分連續(xù)運行的裝置中，過程控制系統(tǒng)會嘗試保持工藝在穩(wěn)定狀態(tài)的合理波動范圍。只有使系統(tǒng)處于穩(wěn)定狀態(tài)，才能使生產(chǎn)效率達(dá)到最好的狀態(tài)。當(dāng)體系出現(xiàn)了具有擾亂正常程序的因素，有些變量就會處于不穩(wěn)定的狀態(tài)，此時就需要有一定的控制措施，使其慢慢地回到穩(wěn)定的狀態(tài)。

在設(shè)計時，需要對整個流程進(jìn)行仔細(xì)梳理，確保工藝控制時能夠進(jìn)行自動調(diào)節(jié)，不會波動到安全范圍外。此時可開展工藝安全分析（PHA,process hazard analysis），對偏差（常見的偏差如溫度、壓力、液位、流量等）發(fā)生后可能導(dǎo)致的后果嚴(yán)重性進(jìn)行分析，并設(shè)置相應(yīng)的自動化保護(hù)措施，從而使危害發(fā)生的概率降低到可接受的范圍。也可根據(jù)體系BPCS 控制回路故障時體系的后果嚴(yán)重程度，進(jìn)一步增加洋蔥模型中高一級別的保護(hù)層。常見的工藝安全分析（PHA）方法[6]包括檢查表方法 (checklist)、假設(shè)分析方法（what if）、危險與可操作性分析方法（HAZOP,hazard and operability），以及潛在失效模式及后果分析（FEMA,failure mode and effects analysis）等。

1.3 重要報警及人員干涉/調(diào)整

當(dāng)工藝參數(shù)超過安全操作上下限時，將觸發(fā)控制中心的報警。其目的是警示工藝操作員有異常的情況發(fā)生，操作者可根據(jù)實際情況進(jìn)行干預(yù)。報警在正常的工藝波動時不會被觸發(fā)，通常設(shè)置有一定的裕量，確保留給操作人員一定的響應(yīng)時間，也避免下一個保護(hù)層被立即觸發(fā)（只有超過臨界點時才能被觸發(fā)）。

設(shè)計報警時應(yīng)特別注意報警數(shù)量，太多報警會引起操作人員的緊張，同時增加操作失誤的可能性。目前許多的報警值設(shè)定都是依靠設(shè)計人員及業(yè)主的經(jīng)驗判斷，沒有進(jìn)行科學(xué)的分析。

設(shè)計時需對報警的有效性進(jìn)行評估，方可確保其合理性。在國際標(biāo)準(zhǔn)中制定有不同的報警優(yōu)先級評估方法，如EEMUA191、ISA 18.2、SCADA1167 等，設(shè)計時可結(jié)合實際工況進(jìn)行分析。

1.4 自動防護(hù)層

當(dāng)報警及人工響應(yīng)失效時，工藝參數(shù)極有可能超出上下限，增加系統(tǒng)風(fēng)險。此時，安全儀表系統(tǒng)（SIS,safety instrumented system）將被觸發(fā)。SIS用于執(zhí)行安全儀表功能（SIF,safety instrumented functions）回路中預(yù)設(shè)的執(zhí)行動作，使整個系統(tǒng)能保持在過程安全的狀態(tài)，它通常由傳感器、邏輯計算器和最終執(zhí)行元件組成。安全儀表功能（SIF）是指達(dá)到功能性安全，并具有確定的安全完整性等級的安全功能，可以是安全儀表保護(hù)功能或安全儀表控制功能[7]。根據(jù)IEC-61511-2016 規(guī)范中的規(guī)定，SIF 回路可分為：（1）低需求模式：按照要求完成安全功能，將單元置于特定的安全狀態(tài)，并且要求的頻率不大于每年一次；（2）高需求模式：按照要求完成安全功能，將單元置于特定的安全狀態(tài)，并且要求的頻率大于每年一次；（3）連續(xù)模式：安全功能將生產(chǎn)裝置保持在安全狀態(tài)是正常操作的組成部分。

在石油化工行業(yè)中，SIF 回路為低需求模式。SIF 回路具有安全完整性等級(SIL,safety integrity level)，不同的SIL 等級對應(yīng)有不同要求時危險失效平均概率（PFDavg,average probability of dangerous failure on demand），即SIF 回路在關(guān)鍵時失效的可能性。不同模式下的PFDavg 見表2 及表3。

表2 安全完整性等級劃分（低需求模式）

表3 安全完整性等級劃分（高需求模式及連續(xù)模式）

進(jìn)行判斷SIL 等級時，可根據(jù)初始事件風(fēng)險和風(fēng)險可接受水平確定需要所有保護(hù)層削減風(fēng)險的大?。≧RFtotal），然后辨識除安全儀表功能外其他風(fēng)險削減措施的風(fēng)險削減水平，從而達(dá)到要求安全儀表功能所應(yīng)達(dá)到的風(fēng)險削減水平，再根據(jù)SIL 等級劃分確定安全儀表功能所要求的SIL 等級，分析流程見圖2。

圖2 SIL 分析流程圖

SIL 分析過程步驟如下：

（1）篩選事故場景，編制安全儀表功能清單。根據(jù)PHA 分析報告等資料確定后果嚴(yán)重、可能需要設(shè)置安全儀表功能的事故場景，篩選出所有事故場景并確定與場景控制響應(yīng)有關(guān)的傳感器和最終元件。

（2）選擇并定義一個事故場景。事故場景的定義主要是說明初始事件（IE，initiating event）、最壞后果（不考慮現(xiàn)有保護(hù)措施）、條件事件（EE，enabling events）等內(nèi)容。

（3）辨識場景初始事件并確定初始事件頻率（IEF，initiating event frequency）、風(fēng)險可接受水平。初始事件（通?？捎赑HA 分析報告中的“原因”偏差尋找）須能夠觸發(fā)事故后果，且獨立于擬定級的SIF 回路，同時根據(jù)不同類后果確定所對應(yīng)的風(fēng)險可接受水平（TEF，tolerable event frequency）。

（4）辨識獨立保護(hù)層（IPL）并估算每個IPL 基于要求的失效概率（PFD）。IPL 的使用需同時滿足以下4 個條件，才可以作為有效的保護(hù)措施起到風(fēng)險削減作用，分別為：①針對性—該保護(hù)層必須是針對所分析的危險事件場景而設(shè)置，可預(yù)防其發(fā)生或降低其后果影響；②獨立性—該保護(hù)層必須與其他保護(hù)層和觸發(fā)事件完全獨立；③可靠性—不論是隨機(jī)故障還是系統(tǒng)故障，該保護(hù)層必須能夠有效地實現(xiàn)其安全功能；④可驗證性—必須是可檢驗確認(rèn)的，其風(fēng)險削減作用能得到持續(xù)保證。

（5）估算事故場景頻率。根據(jù)初始事件頻率（IEF）、條件事件概率、條件調(diào)整因子、各獨立保護(hù)層的PFD，估算事故場景削減后的頻率。

（6）評估剩余風(fēng)險是否達(dá)到可接受風(fēng)險標(biāo)準(zhǔn)。剩余風(fēng)險與裝置或企業(yè)的風(fēng)險可接受水平對比，確定是否需要進(jìn)一步降低風(fēng)險。如果剩余風(fēng)險已小于風(fēng)險可接受標(biāo)準(zhǔn)，則說明現(xiàn)有的保護(hù)措施已經(jīng)足夠，不再需要設(shè)置額外的安全儀表系統(tǒng)或安全聯(lián)鎖回路；如果剩余風(fēng)險依舊高于風(fēng)險可接受水平，則需要考慮提高已有獨立保護(hù)層的可靠性，或者設(shè)置額外的獨立保護(hù)層（如安全儀表系統(tǒng)或安全聯(lián)鎖回路）以滿足安全功能要求。

（7）判斷是否需要設(shè)置安全儀表功能（SIF）并確定SIL 等級。如果需要設(shè)置新的安全儀表聯(lián)鎖回路，需進(jìn)一步估算出安全儀表功能（SIF）的風(fēng)險貢獻(xiàn)水平（RRF），可根據(jù)表1 中確定安全儀表功能（SIF）所要求的SIL 等級。

確定SIF 回路的等級后，需要對SIF 的回路進(jìn)行驗算，根據(jù)現(xiàn)場安裝的元器件的失效數(shù)據(jù),并調(diào)研各安全功能回路的結(jié)構(gòu)配置、操作模式、檢驗測試間隔等信息，畫出相應(yīng)回路的可靠性框圖，分析計算出PFD 值、安全失效分?jǐn)?shù)、硬件故障裕度，最終確定該安全功能目前達(dá)到的實際水平。馬爾可夫方法是目前SIL 驗算中較為主流的方法。

1.5 物理防護(hù)層

對于超壓工況，當(dāng)裝置的安全儀表系統(tǒng)觸發(fā)后也無法阻止事故發(fā)生或發(fā)展，安全泄放系統(tǒng)將會被激活。在有超壓工況的設(shè)備中，都應(yīng)設(shè)置安全泄放措施。泄放系統(tǒng)應(yīng)經(jīng)過合適的設(shè)計和響應(yīng)的維護(hù)，當(dāng)有超壓工況時，設(shè)備內(nèi)的物料將會通過安全閥及爆破片泄放至泄放系統(tǒng)，液相將回收處理，氣相將送至火炬或大氣。安全泄放系統(tǒng)將保證設(shè)備內(nèi)的超壓介質(zhì)進(jìn)行排放，確保不會破壞設(shè)備。

當(dāng)儲罐破裂物料泄漏時，圍堰將起到收集的作用，確保物料不會隨意流淌，導(dǎo)致危害向四處擴(kuò)散。

1.6 工廠應(yīng)急預(yù)案

當(dāng)化工裝置失去控制時，則需要對事故進(jìn)行緊急響應(yīng)。小規(guī)模的失去控制可能是泄漏或溢出，液體的泄漏通常是明顯可見的。氣相的泄漏可能更難發(fā)現(xiàn)，需要特殊的儀器進(jìn)行監(jiān)控。如果溢出的原料可燃，首先將會發(fā)現(xiàn)有小型著火的現(xiàn)象，應(yīng)對裝置工作人員進(jìn)行一定的應(yīng)急處理培訓(xùn)，確保能在第一時間扼殺風(fēng)險源。較大的化工企業(yè)通常設(shè)有專業(yè)的緊急滅火及化學(xué)品泄漏清掃隊伍。工藝單元中的緊急響應(yīng)動作不一定會導(dǎo)致裝置停車，但是需要依據(jù)事故的等級，找出每個事故的底層原因，并完善裝置中的不足。經(jīng)過分析確認(rèn)無誤后，方可進(jìn)行正常的操作。

1.7 區(qū)域應(yīng)急計劃

當(dāng)事故演變成更嚴(yán)重的事故時，僅憑單一工廠的能力將會無法處理。此時就需當(dāng)?shù)厣鐓^(qū)的緊急響應(yīng)。區(qū)域應(yīng)急管理是一個系統(tǒng)性的體系，包括組織體系、運行機(jī)制、法律法規(guī)體系以及支持保障體系等部分，每一部分都有多個方面組成。

區(qū)域應(yīng)急管理包含以下內(nèi)容：（1）立即組織營救受害人員，組織撤離或者采取其他措施保護(hù)危害區(qū)域內(nèi)的其他人員；（2）迅速控制事態(tài)，并對事故造成的危害進(jìn)行檢測、監(jiān)測，測定事故的危害區(qū)域、危害性質(zhì)及危害程度；（3）消除危害后果，做好現(xiàn)場恢復(fù)；（4）查清事故原因，評估危害程度。

2 總結(jié)

本文通過對洋蔥模型中的保護(hù)層進(jìn)行闡述和分析，對保護(hù)層進(jìn)行了介紹。在化工工藝設(shè)計時能考慮結(jié)合洋蔥模型每一層的保護(hù)措施，并確保護(hù)層能夠滿足相應(yīng)工況下的保護(hù)要求，將會大大提升整個裝置的安全性，從而減少事故發(fā)生的可能性，確保安全風(fēng)險在可接受范圍內(nèi)。安全是一個系統(tǒng)的工程，風(fēng)險來自于方方面面。需要結(jié)合設(shè)計與實際生產(chǎn)中的風(fēng)險點，才能徹底做好本質(zhì)安全。