流程生產風險防控的功能安全完整性

張建榮, 張偉, 張充, 趙挺生

(華中科技大學土木與水利工程學院, 武漢 430074)

流程行業生產具有工藝繁多、工序關聯耦合、生產環境惡劣等特點,一旦發生事故,輕則影響生產穩定性,造成經濟財產損失,重則引發重大安全事故,導致人員傷亡。據國家應急管理部及各省市應急管理局統計數據顯示,以鋼鐵行業為例,2018—2022年共發生安全事故111起,其中較大事故21起,平均每起事故傷亡2.54人,造成經濟損失204.4萬元。2022年2月18日,廣東省惠州市某鑄造廠煉鋼車間發生電弧爐爆炸事故,造成3人死亡,15人受傷。總的來說,流程生產風險防控的壓力較大,運用先進技術手段、完善管理體系刻不容緩。

功能安全的概念起源于20世紀60—70年代,在航空領域和核技術領域最先運用,后逐步拓展到流程生產領域,它是基于風險的安全理論[1],運用風險評估、完全完整性等級(safety integrity level, SIL)定級與驗證等技術措施,確保安全相關系統(safety related system, SRS)被有效執行,以降低風險或減輕事故后果,保障生產安全。常見的SIL定級方法有風險圖法、保護層分析法等,廖柯熹等[2]基于風險圖法確定了輸氣站場緊急切斷系統的安全儀表所需功能安全完整性等級為2級,Piesik等[3]通過修正風險圖,提高了安全完整性等級定級的適用性和準確性。風險圖法屬于定性方法,依賴于專家經驗,主觀性強,而保護層法(layer of protection analysis, LOPA)可以定量估計各保護層的風險水平,SIL定級可信性強。宋飛等[4]和Bacha等[5]分別對油庫站場汽油儲罐和石油熱工液壓系統丙烷儲罐的高風險點進行保護層分析,確保作業現場風險可控。常見的SIL驗證方法有故障樹分析、可靠性框圖等,Metatla等[6]基于可靠性框圖和故障樹方法實現是否考慮共因失效的可靠性對比研究;Darwish等[7]運用邏輯模糊法驗證了直接還原鐵工藝流程安全儀表系統的功能安全完整性等級。除了硬件的隨機失效,測試自身引起的失效、非理想檢驗測試等[8]也會影響SIL驗證的結果,劉進東等[9]融合檢測失效模型建立了循環流化床鍋爐壓力保護系統功能安全評估模型;岑康等[10]進一步將人因失效概率引入SIL驗證模型中,實現了對非常規安全儀表的功能安全評價。

現有研究以SRS為研究對象,在進行功能安全分析時局限于SIL定級或SIL驗證,忽略了數據缺失或數據不確定對SIL驗證的影響,僅能控制系統的局部風險。現以流程生產系統安全為著眼點,提出流程生產風險防控功能安全分析的一般程序,并結合鋼鐵連鑄場景進行系統性運用;基于保護層分析法構建流程生產中高危險性事故發生概率的計算流程,增強SIL定級的可靠性;引入蒙特卡洛-馬爾可夫模型提高數據不確定條件下SIL驗證的準確性。以期為流程行業生產安全管控提供參考。

1 功能安全概述

1.1 基本概念

功能安全是國際電工委發布的國際標準IEC61508提出的一種將系統的整體風險控制在可接受范圍內的原理與方法[11],它是與流程行業、制造業等行業的設備和設備控制系統有關的整體安全組成部分,取決于安全相關系統能否正確執行特定的安全功能[12]。安全相關系統作為實施主體,又被分解為多個子系統[13],包括基本過程控制系統(basic process control system, BPCS)、安全儀表系統(safety instrumented system, SIS)、物理保護層等若干子系統,每個子系統都對應一定的安全功能,以預防危險事件發生或減輕事故后果。

安全完整性等級表示安全相關系統正確執行安全功能的能力,IEC61508標準將其分為4個等級,等級越高,則降低系統風險發生概率的能力越強,用風險降低因子(risk reduction factor, RRF)表示系統風險降低的程度,具體如表1所示。

表1 低要求操作模式下的安全完整性等級Table 1 Safety integrity level in low demand mode

1.2 安全相關系統作用機理

功能安全中將安全定義為“不存在不可接受的風險”。IEC61508還定義了允許風險和殘余風險,前者表示當前社會發展水平下在能夠接受的風險,后者表示采取防護措施后仍存在的風險,通過引入功能安全概念將安全問題轉換為風險控制問題。

在鋼鐵連鑄工藝流程中,安全相關系統構建了“控制-防護-抑制”的多層風險降低體系,保障連鑄工藝安全生產,其作用機理如圖1所示。基本過程控制系統關注連鑄工藝生產過程,控制物質和能量在生產裝置中的相互轉換,如脫硫控制系統、坯料切斷控制系統等;安全儀表系統監視設備、材料在生產過程的狀態,實時預警,避免人員傷亡和財產損失,如火焰檢測系統、氣體檢測系統等;物理保護層用于緩解危險事件發生后可能造成的后果,如圍擋、爆破片等。

圖1 功能安全的作用機理Fig.1 Mechanism of functional safety

2 流程生產功能安全分析方法

2.1 功能安全分析流程

以系統和全局視角展開功能安全研究,根據功能安全概念和安全相關系統的作用機理,將流程生產風險防控功能安全分析劃分為風險分析、SIL定級和SIL驗證3個階段,其中風險分析是功能安全分析的先決條件,旨在識別和確定重大危險源;SIL的定級和驗證是功能安全技術的具體實施,其目的是定量化地降低事故風險,具體的流程如圖2所示。

圖2 功能安全分析的流程Fig.2 Process of functional safety analysis

步驟1風險分析階段:結合鋼鐵連鑄生產的工藝原理、作業要求,辨識存在的風險節點、可能發生的安全事故類型并評估危險程度和建立其可接受頻率標準。

步驟2SIL定級階段:比較安全事故的發生概率與事故后果嚴重程度的可接受頻率,判斷當前防護條件下是否需要新增防護措施,如果需要,完成SIL定級。

步驟3SIL驗證階段:通過確定新增防護措施的失效概率、冗余表決結構等關鍵數據,來驗證SIL是否滿足要求,若不符合要求,則需要對新增防護措施進行改進。

2.2 馬爾可夫模型

SIL驗證是功能安全分析的核心,馬爾可夫模型相比可靠性框圖和故障樹等方法,定量可靠性分析精度高,它包括離散模型和連續模型,其中離散模型被稱為馬爾可夫鏈(Markov chain, MC),將系統分為幾個不同的狀態,一個狀態會以一定概率變化到其他狀態或者保持原狀態,且下一狀態的概率分布只能由當前狀態決定,這種特性被稱為“無記憶性”[14]。假定{Xt:t≥0}為一組隨機的樣本空間,隨機樣本空間中所有可能取值構成集合S,稱為狀態空間。對于?t≥0及任一狀態sj,si,…,s0都有

P(Xt+1=sj|Xt=si…,X0=s0)=P(Xt+1=

sj|Xt=si)

(1)

式(1)表示從狀態si變化到sj的轉移概率,進一步可以表示為P(i,j)。若狀態空間中有n種狀態,則在t時刻n種狀態間的兩兩變化的轉移概率為

(2)

設Q(t)為在t時刻狀態空間概率的行向量,則有

Q(t+1)=Q(t)U(t)=[Q(t-1)]U(t-1)2

(3)

通過連續迭代,最終可得Q(t)=Q(0)U(0)n,其中馬爾可夫鏈的初始行向量Q(0)用于表示狀態空間概率的初始值。通常情況下,初始行向量的一個分量為1,其余分量為0,這表明馬爾可夫鏈從指定狀態開始,隨著時間的推移,概率逐漸擴散到整個狀態空間。

3 實證研究與仿真

結合鋼鐵連鑄工藝進行流程生產風險防控的功能安全完整性分析。大冶特鋼有限公司為我國特殊鋼冶煉生產的代表性企業,有2臺方圓坯合金鋼連鑄機和1臺大斷面合金鋼連鑄機,設備體積龐大,作業連續性強,控制要點多且風險分散。以該公司煉鋼廠連鑄作業區為驗證場景,將功能安全分析方法運用到連鑄工藝流程中。

3.1 風險分析

連鑄工藝流程如圖3所示,鋼水從鋼包連續地流入中間包,經中間包混合分流后注入結晶器冷卻凝固,在拉矯機與結晶器振動裝置的共同作用下,拉出鑄坯,經切割后的鑄坯可以直接供軋鋼生產使用,涉及的主要設備設施有鋼水包及回轉臺、中間包、結晶器、引錠系統、火焰切割器等。

圖3 鋼鐵連鑄工藝流程Fig.3 Continuous casting process

基于鋼鐵連鑄工藝安全事故機理分析,結合連鑄作業現場安全管理實踐經驗,從人員班組的不安全行為、工藝設備的不安全狀態、不良的作業環境以及工藝參數4個方面識別連鑄工藝流程危險源,確定連鑄作業區潛在的如熔融物爆炸、中毒窒息等事故隱患,并采取作業條件危險性評價法,對事故發生的可能性L、人員暴露于危險環境的頻繁程度E、事故后果C進行定性評估,分析其危險性,結果如表2所示。

表2 鋼鐵連鑄生產典型事故及其危險性Table 2 Typical accidents and their risks in steel continuous casting production

連鑄作業區危險性較高的事故類別主要是熔融物爆炸、中毒窒息、火災爆炸。在生產過程中,鋼水及鋼渣屬于高溫熔融物,與水接觸時,水在高溫下迅速汽化,會發生爆炸;氬氣、氮氣作為儀表用氣,無色無臭,當環境中窒息性氣體濃度過高時難以察覺,易發生中毒窒息事故;天然氣作為火焰切割機燃料介質,若收集系統密閉不嚴、與空氣形成爆炸性混合氣體,將引發火災爆炸。

在上述危險性分析的基礎上,定義一個風險可接受的判別標準,以便幫助風險管理人員科學分配資源,做出合理正確的管理決策。通過收集并統計同類型金屬冶煉企業的生產事故案例,確定人員傷亡和經濟損失的嚴重性分級,共分為6級,參考《危險化學品重大危險源監督管理暫行規定》標準,確定鋼鐵連鑄生產事故后果(人員傷亡和經濟損失)的嚴重程度及其可接受頻率標準,具體如表3所示。

表3 鋼鐵連鑄生產事故后果嚴重程度及其可接受頻率標準Table 3 Severity of consequences of steel continuous casting production accidents and acceptable frequency criteria

3.2 SIL定級

依據上述風險分析結果,對熔融物爆炸這一高度危險事件作LOPA/SIL定級。主要過程如下。

(1)分析導致熔融物爆炸的初始事件、使能事件的概率、現有保護層及其失效概率和條件修正因子,計算事故發生概率.

(2)將事故發生概率分別與人員傷亡和經濟損失的可接受頻率對比,判斷是否需要新增保護措施。

(3)計算事故發生概率與可接受頻率的比值得到風險降低因子(risk reduction factor,RRF),對應于表1確定新增保護措施的安全完整性等級,具體過程如表4所示。

表4 鋼鐵連鑄工藝熔融物爆炸事故LOPA/SIL定級分析情況Table 4 LOPA / SIL grading analysis of melt explosion accident in steel continuous casting process

針對熔融物爆炸事故,主要考慮3種初始事件:結晶器水冷系統水壓過高導致銅板發生穿漏,鑄坯拉速過快使形成的鑄坯結殼過薄導致漏鋼,鋼包回轉臺在啟動和停止時轉速過快導致鋼水因慣性而潑出,初始事件的發生概率可參考《保護層分析(LOPA)方法應用導則》(AQ/T 3054—2015)。經調研發現,大冶特鋼煉鋼轉爐廠連鑄作業區配備的兩個獨立保護層分別是人員對BPCS指示或報警的響應和火災自動報警系統,保護層失效概率可參考《保護層分析(LOPA)應用指南》(GB/T 32857—2016)。由于鋼液自身溫度高達上千度,因此修正因子只考慮人員暴露率和致死概率,而不考慮點火概率,并依據《保護層分析:使能條件與修正因子導則》確定概率。最終根據式(4)計算得到熔融物爆炸事故發生的概率為1.8×10-4,分別與人員傷亡4級和經濟損失3級的可接受頻率做比較,判斷人員傷亡后果風險不可接受,還需要新增SIL2級的防護措施。

(4)

相比于熔融物爆炸事故,火災事故和中毒事故的多由可燃、有毒氣體泄露導致,而在作業現場的中間罐預熱區、現場泄漏煤氣積聚區域等位置都布設了氣體探測器,當濃度超過閾值時,會以現場聲光、主控制室報警的形式預警,故經過LOPA/SIL定級分析,判定在已有防護措施下,火災事故和中毒窒息事故的發生概率已降低到可接受范圍。

3.3 SIL驗證

針對熔融物爆炸事故需要新增SIL2級的保護措施,設計傳感器子系統(sensor subsystem, SS)、邏輯控制器子系統(logic controller subsystem, LS)和執行器子系統(actuator subsystem, AS)組成的防爆保護系統(anti-explosion protection system, AEPS),該系統的結構如圖4所示。

圖4 AEPS結構圖Fig.4 The structure of AEPS

傳感器子系統包括布設在結晶器銅壁的超聲波傳感器SS1、布設在回轉軸承的角度傳感器SS2和布設在拉矯機出坯口的位移傳感器SS3,用于監測厚度、轉速和拉速參數,2oo3型冗余結構表示任意2個傳感器正常工作,系統就可以繼續運行;邏輯控制子系統和執行器子系統都是1oo1冗余結構,分別由一臺智能管控儀和一個聲光報警器組成,前者接收傳感器子系統上傳的數據并做分析,后者當檢測到參數超過給定限值,則會發出聲光報警。

AEPS系統各部分的狀態變化在時間上具有縱向關聯性,可近似地認為當前時刻的狀態受到前一時刻的影響,從而將其狀態變化的時間序列視為馬爾可夫鏈。以1oo1型結構的邏輯控制器子系統為例,狀態空間S=[正常,安全失效,檢測到的危險失效,未檢測到的危險失效],其狀態轉移矩陣U可表示為

(5)

式(5)中:λS為安全失效的概率;λD為危險失效的概率,又可分為檢測到的危險失效概率λDD和未檢測到的危險失效概率λDU;μSD為安全失效修復率;μ0為檢測到的危險失效修復率;μp為未檢測到的危險失效修復率,計算公式如下。

μSD=1/SD

(6)

μ0=1/MTTR

(7)

μp=1/(0.5TI+MTTR)

(8)

式(6)中:SD為裝置在無故障情況下重啟所需時間;MTTR為平均修復時間;TI周期性檢查時間。一般情況下,取SD=24 h,MTTR=8 h,TI=8 760 h。

(9)

執行器子系統的計算過程同理,而在計算2oo3型結構的傳感器子系統的平均失效概率時,隨著狀態的增多,其轉移矩陣的維度將急劇增加,因此采用基于共因失效參數(multiple beta factor,MBF)模型[15]來簡化馬爾可夫的計算過程,以傳感器子系統為例,其計算公式為

(10)

(11)

在AEPS系統SIL驗證過程中,由于反饋數據缺失、運行狀態未知和新元件的應用等原因導致參數不確定,為避免不確定參數對SIL評估影響,引入蒙特卡洛(Monte Carlo, MC)來解決參數的不確定問題[16]。首先確定AEPS各子系統的λS和λD服從對數正態分布,具體如表5所示,在MATLAB中生成n組輸入參數,利用馬爾可夫模型計算得到n個PFDavg,為使SIL評估結果更可靠,n取1×105次,最終每個子系統PFDavg的分布如圖5所示。

圖5 AEPS子系統危險失效狀態平均失效概率Fig.5 The average dangerous failure probability of AEPS subsystems

表5 AEPS失效數據概率分布Table 5 Probability distribution of AEPS failure data

表6 Markov模型MC仿真結果Table 6 MC simulation results of Markov model

4 結論

(1)以大冶特鋼煉鋼轉爐廠連鑄作業區為驗證場景,采用作業條件危險性評價法成功識別了熔融物爆炸、中毒窒息和火災爆炸3類高危險性事故隱患,并從人員傷亡和經濟損失兩個維度建立了事故后果嚴重程度可接受頻率標準。

(2)基于保護層分析法構建流程生產中高危險性事故發生概率的計算流程。計算得到熔融物爆炸事故發生的概率為1.8×10-4,分別與人員傷亡4級和經濟損失3級的可接受頻率做比較,針對人員傷亡后果需要新增SIL2級的防護措施。

(3)基于馬爾可夫模型完成防爆炸保護系統的SIL驗證。運用蒙特卡洛法提高了數據缺失或數據不確定條件下SIL驗證的準確性,引入MBF共因失效參數模型簡化了馬爾可夫模型的計算過程。

(4)在計算失效概率時,未考慮連鑄作業區高溫、高粉塵的不良環境對AEPS系統元件失效概率的影響,所以計算結果與現場實際情況可能存在偏差,在今后的研究中可考慮引入環境影響因子對結果做修正。