本文探讨了在HAZOP分析中关于双重失效的常见误区,指出错误判断可能导致忽略重要工艺安全风险。通过举例说明,强调了在分析过程中需要正确评估显性失效和隐性失效,避免将可能的可信失效场景误判为双重失效。
石油化工行业的众多的事故调查报告都揭露出,一些悲剧性和灾难性事件是由极不可能的初始事件组合导致的。在广为讨论的2005年BP德克萨斯州爆炸及2008年Bayer农药工厂爆炸事故中,都存在多个初始事件或偏离同时发生的情况。以后者事故中的残渣处理器爆炸为例,以下两个初始事件的同时发生,导致了残渣处理器中的分解反应失控,最终引起爆炸:
1)操作工未根据操作程序要求,在残渣处理器进料前,加入足够的甲基异丁基酮(MIBK)溶剂并加热到最低温度;
2)上游结晶工段操作不当导致进入残渣处理器中的灭多威(Methomyl)产品浓度过高;
问题是:
我们需要在工艺危害分析(如HAZOP)或者工程设计(如安全阀工况)中考虑上述两个初始事件同时发生的场景吗?
你可以通过视频了解详细的事故过程:
参考1: CSB Report No. 2008-08-I-WV
双重失效(Double Jeopardy)
两个独立的显性失效同时发生
Concurrent incidence of two independent initiating events or other revealed failures(参考2)
为什么要澄清“双重失效”的适用范围?
双重失效的概念在工艺危害分析(如HAZOP)中经常被误用,滥用。经常会在HAZOP会议上听到“这种情况不可能发生”、“以前出现过一次太过于偶然”或者“两个情况同时发生概率太低”的。由于在HAZOP的规则中如果某个危害场景被判定为双重失效,意味着该场景存在的可能性过低,不需要进一步讨论,包括后续可能的后果,保护措施及建议措施。
错误地判定为双重失效,可能导致严重的工艺危害没有被识别出来。但事实上大概率这些都并非真正的、可以忽略讨论的双重失效。
为什么规则认为双重失效的场景不需要讨论?
举例来说,两个独立的初始事件/偏差,“催化剂添加过多”和“搅拌器失效”,在极端的情况下这两个初始事件(IE)同时发生了。如果这两个初始事件的失效场景可以被迅速的发现,并且都有足够的独立保护层(IPL),那么这种双初始事件场景发生概率可能性极低,而且通常我们应当已经有充足的保护措施防止极端的后果发生。为了避免PHA小组浪费过多时间在讨论这种双重失效场景,制定了该规则。
通过如下定量计算双重失效失效概率的案例,你可以了解双重失效发生的低可能性。
(向上滑动查看)
假设场景
一个常压储罐,通过罐内蒸汽盘管加热升温原料,储罐配置吹扫氮气。
初始事件及失效概率
蒸汽控制阀失效开大,原料温度过高导致可能的火灾;(失效概率0.1/年)
氮气压力调节阀失效开大,导致储罐超压;(失效概率 0.02/年)
假设如上两个初始事件失效相互独立,并且失效导致的系统偏离可以被迅速检出(显性失效)。
那么温度控制回路失效和压力控制回路失效同时发生的概率有多大?
错误的计算
通过下图示意的“与”门将两个失效合并,简单的将两个失效概率相乘是错误的,从乘积的单位就可以看出来这种方法的错误。
正确的双重失效概率计算
对于显性失效(可检出失效)来说,评估失效的复位时间/持续时间是非常必要的。我们需要首先确定温度控制回路失效和压力控制回路失效,从失效、检出、修正到复位所需的时间。在本案例中,我们假设:
温度控制回路的复位时间为:4小时
压力控制回路的复位时间为:8小时
正确的分析应当评估,一旦引入过量蒸汽需要多长时间才将原料加热至高温失效,以及氮气阀门失效需要多久将导致储罐超压。
那么,本案例中这两个同时发生的可检出修复失效,应该被当作以下两个独立场景:
温度控制回路首先失效,在4小时内检出复位,而后压力控制回路失效,最后导致容器超压;
压力控制回路首先失效,在8小时内检出复位,而后温度控制回路失效,最后系统高温失效;
概率计算的结果如下图,最终概率低至3 E-6/年,这也表明,两个显性失效(可检出)并行发生造成双重失效的概率非常之小。
概念澄清:显性失效与隐性失效
在我们讨论真正的双重失效与可信的失效场景之前,需要首先澄清显性失效与隐性失效这个基本概念。
显性失效(可检出失效)
影响:立即对系统及周边影响较大
时间:短时间内可检测出失效
例如:存储设施失效泄漏,控制系统失效导致流量中断或系统超压
隐性失效(未检出失效)
影响:不会产生立即的影响
时间:失效可能在系统中长期存在
例如:安全阀入口管线堵塞,常开(NO)的紧急切断阀卡死无法关闭
在传统的瑞士奶酪事故模型中(见下图),显性失效近似于导致系统偏离的初始事件,隐性失效通常可认为是在保护层分析中的保护层薄弱环节(图中的孔洞)。初始事件发生频率可被理解为试图穿透系统保护层的挑战频率。
区分“双重失效”与“可信的失效场景”
双重失效是两个独立的显性失效同时发生。双重失效讨论的是初始事件同时发生,而不是保护措施的同时失效,事实上HAZOP中的后果就是在不考虑保护措施的情况下的最严重场景。
双重失效不是
组件的顺序故障;
由于共同原因同时发生两个或多个故障;
已经存在的隐性故障,随后失效;
以上3种情况皆为可信的失效场景,而不是双重失效。
更多的非双重失效及举例见下图:
审慎判定HAZOP中的“双重失效”
让我们回到文章开篇时提到2008年Bayer爆炸事故,这两个初始事件貌似构成了双重失效,在PHA中将不会展开讨论。但是事故调查所揭示的是:
这两个初始事件并非相互独立:相同的操作工参与了事故序列的各个环节;
溶剂量不足和原料浓度过高:均不是显性失效可以在短时间内检出、复位;
所以事实上,这两个事故致因是可信的失效,需要在PHA中进行讨论。事故调查进一步揭示出,Bayer工厂的PHA并没有对所有的操作工况进行分析,包括开车、正常、临时、紧急停车、正常停车、检修后或紧急停车后开车。由于在不同的操作工况下并非所有的保护措施均有效,而Bayer在PHA中忽略了开车工况下的同时失效及隐性失效。
我们必须非常审慎地判定两个初始事件是否是“双重失效”。误判可能错过重要的失效场景,高风险持续存在。
我们的建议
在PHA过程中,如果讨论到多个初始事件失效时,审视如下三个问题:
初始事件是否相互独立?是否存在导致两个初始事件同时发生的失效模式?
两个初始事件的失效是否都为显性失效?是否存在一个失效被检出,但是另一失效为隐性失效未被检出?
如果两个独立的初始事件共同失效,后果的严重程度是否可以被视为极端高的风险?
如果初始事件是相互独立、显性失效、后果风险非极端,那么这两个初始事件的共同失效可以被认定为“双重失效”。
我们的经验是,在批次反应及开停车操作中,需要特别注意,团队是否错误地将可以存在的共同失效认定为双重失效。
延展讨论:工程设计中的双重失效
在工程设计中涉及双重失效的典型,是在安全阀工况选择中。参考API 521-2014(泄压与减压系统)中的定义及解释,同时考虑两个不相关的工况(没有工艺、机械、电气关联,或者两个事件之间的间隔时间足够长),可能会无谓增大安全阀设计的泄放能力,反而造成经济上和运行上的不利。举例来说,外部火灾和换热器内管破裂同时发生,出口堵塞和供电失效同时发生。
API 521中同时也建议,设计人员可以选择超越标准,核算多种工况同时发生的泄放量,尤其是在后果极其严重的情况。
从设计安全的角度来说,综合PHA分析结果,当我们进行安全阀工况选择和泄放能力计算时,只有当两个工况涉及的初始事件是相互独立、显性失效、后果风险非极端的情况下,才可以认为两个工况同时发生属于“双重失效”而不需要考虑。
给HAZOP主席的建议
重大事故通常都涉及多个原因,在PHA中我们主要关注物理流程层面的原因,但是事故揭示出来的多数根本原因都存在于工艺安全管理(PSM)层面。这些根本原因可能是员工培训的缺乏、机械完整性管理的缺陷,它们导致了一些失效从相互独立变成了同时失效。
遗憾的是,PHA工具并不是用于识别组织运行及工艺安全管理(PSM)层面的缺陷。也就是说,无论PHA本身多么细致,组织或工艺安全管理(PSM)缺陷仍然可以影响物理流程层面,导致隐性失效或同时失效,最终造成重大事故。
虽然双重失效的情况非常少见,常见的PHA方法如HAZOP也并非专注于发现双重失效的场景,在HAZOP过程中如果小组想要去讨论可能的双重失效,我们建议作为主席应当允许适当的讨论,因为极有可能在组员的过往经历中发生过类似的情况。
如需详细的咨询辅导,请联系中安咨询
参考
1. CSB, Investigation Report: Pesticide Chemical Runaway Reaction Pressure Vessel Explosion, at Bayer CropScience, Report No. 2008-08-I-WV.
2. CCPS,《Guidelines for Enabling Conditions and Conditional Modifiers in Layer of Protection Analysis》, 2013.
3. API 521-2014 Pressure-relieving and Depressuring Systems.
4. AIChE, Treatment of Multiple Failures in Process Hazard Analysis, Process Safety Progress, 2013.
作者:
李国林
工艺安全管理专家
中安咨询(广州)有限公司
info@ChinaSafer.cn
专业于中 致任于安
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
