淺談保護層“洋蔥模型”在化工工藝設計中的應用

馬家駒，金玉宏

（浙江省天正設計工程有限公司，浙江 杭州 310030）

隨著經濟發展和社會進步，新材料、農藥、油漆、醫藥等化工行業蓬勃發展。各類化學品在給人們生活增添幸福感的同時，也帶來了嚴峻的安全問題，涉及危險化學品（具有毒害、腐蝕、爆炸、燃燒、助燃等性質）及化學反應（如強放熱、高溫/高壓、真空等）的生產與儲存裝置均構成潛在的危險源。當保護層失效或操作失誤時，危險源將導致不同類型及不同嚴重程度的后果，包括人員傷亡、環境污染、財產損失等。為了從根本上消除事故隱患，防范化解系統性重大安全風險，遏制重特大事故，減少人員傷亡、降低財產損失，預防事故的發生非常必要。

“洋蔥模型”作為工藝安全措施的總結，將保護層分為多個層級，確保當一個保護層失效時，剩余保護層仍可起作用，從而預防事故的發生，避免嚴重后果。

1 洋蔥模型

“洋蔥模型”源自于國際電工委員會發布的IEC 61511-1:2016（《功能安全-流程工業的安全儀表系統》）的第9.3 章節（Requirements on the basic process control system as a protection layer），是對過程或系統的安全措施進行的科學性總結，將不同類型的保護層按照失效順序進行的形象化排布（圖1）。高一層級的保護層都將在相應低一級的保護層失效時啟用，從而遏制事故的發生或發展。各級保護層的作用見表1。

表1 保護層描述[1]

圖1 洋蔥模型

1.1 過程設計

過程設計是指涵蓋原料經過一些列化學或物理處理后成為產物的全流程，其決定了工藝路線、操作/設計工況等技術核心。如此階段就考慮本質安全設計，將大幅降低事故發生頻率或后果嚴重性。

本質安全是指設備、設施或技術工藝包含內在的能夠從根本上防止事故發生的功能。即由于操作者的操作失誤或不安全行為的發生，也仍然能保證對操作者、設備或系統的安全而不發生事故[2]。

在這一階段，可考慮以下幾點原則[3]：

（1）替代

盡量避免在生產過程中使用危險化學品。當不存在危險化學品時，將會大幅降低事故后果的嚴重性；當危險化學品是中間產品時，可考慮采用其他的化學反應路線進行生產。精細化工行業經常會使用溶劑，而大部分的溶劑具有毒性及易燃性。如甲苯即是三類致癌物，又是低閃點的甲類介質，若處理不當，將會造成嚴重的后果。此時如使用比較安全的溶劑（低毒、不易燃等特點），即使在意外的情況下，也會大大降低后果的嚴重性。

（2）最小化

在過程中盡可能減少危險化學品的使用量，盡量保證使用量剛好滿足反應的需求。同時涉及危險的操作工況，也可考慮縮小設備的尺寸及反應規模。對于危險化學品中間體，可通過精準控制反應所需的化學品數量，減少中間產物的生產。如針對重點監管的危險化工工藝[4-5]（硝化、胺基化等），可考慮選擇微通道反應器代替反應釜，持液量少，反應條件溫和，危險性大幅降低。

（3）緩和

篩選反應條件溫和的工藝，避免出現高溫、高壓等工況，嚴苛的反應工況將會導致事故發生的可能性大增。如能選擇相對安全的過程操作條件，使物料在更安全的工況下反應，泄漏的可能性將會大大降低。

（4）遏制

當工藝設計無法避免使用危險化學品時，則須考慮設備及管道的機械完整性等措施,其材質及規格須完全滿足設計工況。如設計選型時考慮高壓力等級的設備及管道（留有一定的安全裕量）以減少設備失效的風險，確保物料無超壓泄漏的可能。在過程設計階段能考慮以上因素，即使在意外的情況下，也會大大降低事故后果的嚴重程度。

在實際工作中，企業通常都會結合經濟可行性、工藝先進性等因素來確定工藝生產路線。從設計的角度出發，在滿足業主工藝需求的前提下，結合以上幾點原則，盡可能降低工藝的安全風險。

1.2 基本控制

在最初的工藝參數控制中，基本靠人工進行調節控制。人工操作存在許多弊端，如控制不精準、容易誤操作等，是潛在的風險點。隨著自動化的發展，自動化控制逐漸取代了人工的操作。

基本過程控制系統(BPCS,basic process control system)用于處理和監控整個體系運行的工作狀態。從傳感器得到輸入信息，經過處理器處理后，按照設計的控制策略提供輸出動作。在裝置的參數（包括溫度、壓力、流量、液位和成分等）發生偏差時，能夠保持裝置回到安全運行中。在大部分連續運行的裝置中，過程控制系統會嘗試保持工藝在穩定狀態的合理波動范圍。只有使系統處于穩定狀態，才能使生產效率達到最好的狀態。當體系出現了具有擾亂正常程序的因素，有些變量就會處于不穩定的狀態，此時就需要有一定的控制措施，使其慢慢地回到穩定的狀態。

在設計時，需要對整個流程進行仔細梳理，確保工藝控制時能夠進行自動調節，不會波動到安全范圍外。此時可開展工藝安全分析（PHA,process hazard analysis），對偏差（常見的偏差如溫度、壓力、液位、流量等）發生后可能導致的后果嚴重性進行分析，并設置相應的自動化保護措施，從而使危害發生的概率降低到可接受的范圍。也可根據體系BPCS 控制回路故障時體系的后果嚴重程度，進一步增加洋蔥模型中高一級別的保護層。常見的工藝安全分析（PHA）方法[6]包括檢查表方法 (checklist)、假設分析方法（what if）、危險與可操作性分析方法（HAZOP,hazard and operability），以及潛在失效模式及后果分析（FEMA,failure mode and effects analysis）等。

1.3 重要報警及人員干涉/調整

當工藝參數超過安全操作上下限時，將觸發控制中心的報警。其目的是警示工藝操作員有異常的情況發生，操作者可根據實際情況進行干預。報警在正常的工藝波動時不會被觸發，通常設置有一定的裕量，確保留給操作人員一定的響應時間，也避免下一個保護層被立即觸發（只有超過臨界點時才能被觸發）。

設計報警時應特別注意報警數量，太多報警會引起操作人員的緊張，同時增加操作失誤的可能性。目前許多的報警值設定都是依靠設計人員及業主的經驗判斷，沒有進行科學的分析。

設計時需對報警的有效性進行評估，方可確保其合理性。在國際標準中制定有不同的報警優先級評估方法，如EEMUA191、ISA 18.2、SCADA1167 等，設計時可結合實際工況進行分析。

1.4 自動防護層

當報警及人工響應失效時，工藝參數極有可能超出上下限，增加系統風險。此時，安全儀表系統（SIS,safety instrumented system）將被觸發。SIS用于執行安全儀表功能（SIF,safety instrumented functions）回路中預設的執行動作，使整個系統能保持在過程安全的狀態，它通常由傳感器、邏輯計算器和最終執行元件組成。安全儀表功能（SIF）是指達到功能性安全，并具有確定的安全完整性等級的安全功能，可以是安全儀表保護功能或安全儀表控制功能[7]。根據IEC-61511-2016 規范中的規定，SIF 回路可分為：（1）低需求模式：按照要求完成安全功能，將單元置于特定的安全狀態，并且要求的頻率不大于每年一次；（2）高需求模式：按照要求完成安全功能，將單元置于特定的安全狀態，并且要求的頻率大于每年一次；（3）連續模式：安全功能將生產裝置保持在安全狀態是正常操作的組成部分。

在石油化工行業中，SIF 回路為低需求模式。SIF 回路具有安全完整性等級(SIL,safety integrity level)，不同的SIL 等級對應有不同要求時危險失效平均概率（PFDavg,average probability of dangerous failure on demand），即SIF 回路在關鍵時失效的可能性。不同模式下的PFDavg 見表2 及表3。

表2 安全完整性等級劃分（低需求模式）

表3 安全完整性等級劃分（高需求模式及連續模式）

進行判斷SIL 等級時，可根據初始事件風險和風險可接受水平確定需要所有保護層削減風險的大小（RRFtotal），然后辨識除安全儀表功能外其他風險削減措施的風險削減水平，從而達到要求安全儀表功能所應達到的風險削減水平，再根據SIL 等級劃分確定安全儀表功能所要求的SIL 等級，分析流程見圖2。

圖2 SIL 分析流程圖

SIL 分析過程步驟如下：

（1）篩選事故場景，編制安全儀表功能清單。根據PHA 分析報告等資料確定后果嚴重、可能需要設置安全儀表功能的事故場景，篩選出所有事故場景并確定與場景控制響應有關的傳感器和最終元件。

（2）選擇并定義一個事故場景。事故場景的定義主要是說明初始事件（IE，initiating event）、最壞后果（不考慮現有保護措施）、條件事件（EE，enabling events）等內容。

（3）辨識場景初始事件并確定初始事件頻率（IEF，initiating event frequency）、風險可接受水平。初始事件（通常可于PHA 分析報告中的“原因”偏差尋找）須能夠觸發事故后果，且獨立于擬定級的SIF 回路，同時根據不同類后果確定所對應的風險可接受水平（TEF，tolerable event frequency）。

（4）辨識獨立保護層（IPL）并估算每個IPL 基于要求的失效概率（PFD）。IPL 的使用需同時滿足以下4 個條件，才可以作為有效的保護措施起到風險削減作用，分別為：①針對性—該保護層必須是針對所分析的危險事件場景而設置，可預防其發生或降低其后果影響；②獨立性—該保護層必須與其他保護層和觸發事件完全獨立；③可靠性—不論是隨機故障還是系統故障，該保護層必須能夠有效地實現其安全功能；④可驗證性—必須是可檢驗確認的，其風險削減作用能得到持續保證。

（5）估算事故場景頻率。根據初始事件頻率（IEF）、條件事件概率、條件調整因子、各獨立保護層的PFD，估算事故場景削減后的頻率。

（6）評估剩余風險是否達到可接受風險標準。剩余風險與裝置或企業的風險可接受水平對比，確定是否需要進一步降低風險。如果剩余風險已小于風險可接受標準，則說明現有的保護措施已經足夠，不再需要設置額外的安全儀表系統或安全聯鎖回路；如果剩余風險依舊高于風險可接受水平，則需要考慮提高已有獨立保護層的可靠性，或者設置額外的獨立保護層（如安全儀表系統或安全聯鎖回路）以滿足安全功能要求。

（7）判斷是否需要設置安全儀表功能（SIF）并確定SIL 等級。如果需要設置新的安全儀表聯鎖回路，需進一步估算出安全儀表功能（SIF）的風險貢獻水平（RRF），可根據表1 中確定安全儀表功能（SIF）所要求的SIL 等級。

確定SIF 回路的等級后，需要對SIF 的回路進行驗算，根據現場安裝的元器件的失效數據,并調研各安全功能回路的結構配置、操作模式、檢驗測試間隔等信息，畫出相應回路的可靠性框圖，分析計算出PFD 值、安全失效分數、硬件故障裕度，最終確定該安全功能目前達到的實際水平。馬爾可夫方法是目前SIL 驗算中較為主流的方法。

1.5 物理防護層

對于超壓工況，當裝置的安全儀表系統觸發后也無法阻止事故發生或發展，安全泄放系統將會被激活。在有超壓工況的設備中，都應設置安全泄放措施。泄放系統應經過合適的設計和響應的維護，當有超壓工況時，設備內的物料將會通過安全閥及爆破片泄放至泄放系統，液相將回收處理，氣相將送至火炬或大氣。安全泄放系統將保證設備內的超壓介質進行排放，確保不會破壞設備。

當儲罐破裂物料泄漏時，圍堰將起到收集的作用，確保物料不會隨意流淌，導致危害向四處擴散。

1.6 工廠應急預案

當化工裝置失去控制時，則需要對事故進行緊急響應。小規模的失去控制可能是泄漏或溢出，液體的泄漏通常是明顯可見的。氣相的泄漏可能更難發現，需要特殊的儀器進行監控。如果溢出的原料可燃，首先將會發現有小型著火的現象，應對裝置工作人員進行一定的應急處理培訓，確保能在第一時間扼殺風險源。較大的化工企業通常設有專業的緊急滅火及化學品泄漏清掃隊伍。工藝單元中的緊急響應動作不一定會導致裝置停車，但是需要依據事故的等級，找出每個事故的底層原因，并完善裝置中的不足。經過分析確認無誤后，方可進行正常的操作。

1.7 區域應急計劃

當事故演變成更嚴重的事故時，僅憑單一工廠的能力將會無法處理。此時就需當地社區的緊急響應。區域應急管理是一個系統性的體系，包括組織體系、運行機制、法律法規體系以及支持保障體系等部分，每一部分都有多個方面組成。

區域應急管理包含以下內容：（1）立即組織營救受害人員，組織撤離或者采取其他措施保護危害區域內的其他人員；（2）迅速控制事態，并對事故造成的危害進行檢測、監測，測定事故的危害區域、危害性質及危害程度；（3）消除危害后果，做好現場恢復；（4）查清事故原因，評估危害程度。

2 總結

本文通過對洋蔥模型中的保護層進行闡述和分析，對保護層進行了介紹。在化工工藝設計時能考慮結合洋蔥模型每一層的保護措施，并確保護層能夠滿足相應工況下的保護要求，將會大大提升整個裝置的安全性，從而減少事故發生的可能性，確保安全風險在可接受范圍內。安全是一個系統的工程，風險來自于方方面面。需要結合設計與實際生產中的風險點，才能徹底做好本質安全。