HAZOP分析方法在SCADA運維中的應用

陳秀麗

(中國石化銷售有限公司華南分公司，廣東廣州510620)

企業安全生產生命周期主要包括： 設計開發、制造安裝、操作保養、停止使用和報廢四個階段，不同的階段采用的風險辨識和評估方法有所差異。安全生產的風險辨識和風險評估，一般采用工作危害分析JHA(job hazard analysis)和危險與可操作性分析HAZOP(hazard and operability analysis)等方法。JHA通常用于作業分析；而HAZOP是以引導詞及偏差為主體的危害分析方法，主要是為了保障工藝操作的安全及順利實現，并為制訂應急預案和基本防災措施提供參考依據，以保證各種工藝過程的操作性更好、安全性更強。HAZOP在安全生產生命周期的詳細設計階段的應用非常廣泛且有效，能夠檢查、分析操作設施，同時還能針對設備變更分期預期，是一種有效且可靠的風險分析工具[1-2]。

1 風險辨識和風險評估方法比較

要識別安全生產過程中的危險及有害因素，通常結合生產流程、作業任務等劃分作業活動。作業活動劃分后，應填寫作業活動清單；在識別出作業活動、設備設施、作業環境等存在的危險及有害因素后，應依據風險評價準則，選定合適的評價方法，定期、及時地對作業活動和設備設施進行風險辨識和風險評估[3]。

1)JHA。該方法適用于分析作業活動中存在的風險，通過制訂控制和改進措施，控制風險，減少或杜絕事故的發生。風險度為表示事故發生的可能性和后果嚴重性的函數：

R=f(L，S)

(1)

式中：R——風險度；L——事故發生的可能性；S——事故發生后果的嚴重性。在JHA的分析記錄中，R=LS，R從影響人、財產、環境等的可能性和嚴重程度方面分析，取值范圍可劃分為輕微風險、可接受風險、重大風險、巨大風險等。

2)HAZOP[4]。該方法用于辨識設計缺陷、工藝過程危害及操作性問題的定性風險評價，通過分析生產運行過程中工藝狀態參數的變動、操作控制中可能出現的偏差，并且分析這些變動與偏差對系統的影響及可能導致的后果，找出出現變動與偏差的原因，明確裝置或系統內及生產過程中存在的主要危險及危害因素，并針對變動與偏差的后果提出應采取的措施。通常從作業活動清單中選定某項作業活動；將作業活動分解為若干個相連的工作步驟；然后識別每個步驟的潛在危險后果；通過風險評價，判定風險等級，制訂控制措施。作業步驟應按實際作業步驟劃分，偏差法能讓人明白錯誤的操作將導致的影響后果，對維護人員可起到指導作用，在油氣管道詳細設計階段發揮了重要作用[5-6]。

2 HAZOP在SCADA運維中的應用

2.1 SCADA的故障統計分析

某成品油管網數據采集與監控系統(SCADA)在2007—2017年共發生故障22件，近十年來SCADA的故障及相關事件所占比例[7]如圖1所示。

圖1 SCADA的故障及相關事件占比示意

1)維修過程是發生風險事件較多的環節，期間統計顯示發生事件10次，占比約45%。主要體現在：

a)大修項目增加的設備未按要求完成測試、驗收，即投入使用。

b)操作人員對檢修結果和相關流程確認不到位，如沒有及時恢復旁路閥到初始狀態等。

c)搶維修人員對工作原理和故障判斷所需的知識掌握不到位，無法有效判別存在的安全風險及隱患。

d)聯鎖管理存在漏洞，按照SIL等級確定的周期，應定期檢查軟件程序、維護界面等，并進行聯鎖測試。

2)環境變化導致的事件反復發生6次，占比約23%。主要體現在：

a)故障的UPS自動重復投用送電，在重啟過程中，干擾作用使PLC控制器程序運行異常。

b)現場供電設備斷電后自動重復送電，模擬量反饋信號受外供電線路突然切換的沖擊，出現跳變的可能性較大。由于設置了自動跟蹤現場閥位信號邏輯，因此導致設備異常動作。

c)線路破損、觸點故障或個別線路虛接存在明顯的破損現象等。

3)設備BUG事件發生3次，占比約14%。主要體現在： 系統軟件BUG、網絡陷入環路節點切換失敗、主備服務器、主備控制器無法正常切換等。

4)操作事件發生2次，占比約9%。主要體現在： 操作人員沒有正確觀察開關標簽，誤將SCADA服務器柜電源開關關閉，SCADA服務器掉電，導致SCADA控制中斷。

5)設計缺陷事件發生2次，占比約9%。主要體現在： 電涌保護器和模擬量(AI)卡件底板保險的匹配性選擇不合理，雷電發生時，感應雷電流造成AI卡件燒毀?？刂破骱涂灿秒娫?，如卡件通道供電回路短路可能導致控制器瞬間失電的情況發生。

2.2 斷電及恢復流程在線維修的應用

HAZOP在分析過程中應全面考察過程對象，對每個細節提出問題[4]。

1)以SCADA斷電恢復為例，首先要了解意外斷電的原因，分析與實際發生偏差的地方，再進一步分析偏差出現的原因及其產生的后果，并提出相應的對策。

a)提出問題。意外斷電包括晃電、UPS故障、市電斷電、2路電源全部斷電等情況。

b)明確功能。將分析對象劃分為處理斷電措施、現場設備處置、SCADA處置三部分，每個部分再按類別進行偏差分析。

c)定義關鍵詞。按關鍵詞逐一分析每道工序可能產生的偏差，一般從工序過程的起點開始分析，直至工序結束。

d)分析原因及后果。如在線程序下載后，輸出寄存器初始化顯示為零，此時必須將調節閥下載操作前的狀態由遠控切為就地，否則將導致閥門關閉。

e)制訂對策。針對斷電、上電、恢復幾個步驟采取相應的有效措施。

f)填寫匯總表。按HAZOP分析表進行匯總填寫時，為了保證不遺漏，分析時應按照關鍵詞逐一檢索填寫。

2)在明確SCADA斷電應采取的措施后，現場設備在控制器程序恢復前、程序恢復時、程序恢復后的HAZOP分析見表1所列。以對調節閥產生的影響為例，斷電后要考慮控制器程序下載前后兩種情況：

a)控制器程序下載前。如控制器程序的某暫存器若初始化，將導致閥門的OP數值輸出為零；如部分氣動調節閥、計量撬座電動閥門沒有就地遠控切換按鈕，因此在實施程序下載前應采取相應的保護措施： 如停車或工控調整的準備，閥門處于就地狀態等。

b)控制器程序下載后。如果控制器程序運行后，閥門處于遠控狀態，閥門將自動關閉，導致水擊或聯鎖等事件發生。因此，處于就地狀態的閥門將不接受來自系統OP信號的控制，將自動跟蹤現場閥門反饋位置，并實現了無擾切換。

表1 控制器運行前后現場設備處置的HAZOP分析

3)明確斷電應采取的措施后，SCADA斷電并恢復上電，暫存器、順序控制程序等在控制器程序運行前、運行后的HAZOP分析見表2所列。以聯鎖回路為例，斷電后要考慮控制器程序運行前后兩種情況：

a)控制器程序運行前。在控制器程序中，若聯鎖回路的某個暫存器初始化，聯鎖回路將失效。

b)控制器運行后。若工程師及時發現暫存器已經初始化，需要檢查確認并投用相應的聯鎖回路。

表2 控制器運行前后軟件處置的HAZOP分析

續表2

3 結束語

HAZOP具有系統性、結構性、創造性和前瞻性的優點，采用HAZOP方法后，維修類過程中人為因素、操作類導致的事件或事故發生率大幅降低，特別是SCADA斷電恢復或在線下載維護事件發生率降至零，證明HAZOP是行之有效的安全評估辦法，在系統安全分析中具有特別的優勢，值得推廣應用。