HAZOP分析方法在SCADA運維中的應(yīng)用

陳秀麗

(中國石化銷售有限公司華南分公司，廣東廣州510620)

企業(yè)安全生產(chǎn)生命周期主要包括： 設(shè)計開發(fā)、制造安裝、操作保養(yǎng)、停止使用和報廢四個階段，不同的階段采用的風險辨識和評估方法有所差異。安全生產(chǎn)的風險辨識和風險評估，一般采用工作危害分析JHA(job hazard analysis)和危險與可操作性分析HAZOP(hazard and operability analysis)等方法。JHA通常用于作業(yè)分析；而HAZOP是以引導詞及偏差為主體的危害分析方法，主要是為了保障工藝操作的安全及順利實現(xiàn)，并為制訂應(yīng)急預(yù)案和基本防災(zāi)措施提供參考依據(jù)，以保證各種工藝過程的操作性更好、安全性更強。HAZOP在安全生產(chǎn)生命周期的詳細設(shè)計階段的應(yīng)用非常廣泛且有效，能夠檢查、分析操作設(shè)施，同時還能針對設(shè)備變更分期預(yù)期，是一種有效且可靠的風險分析工具[1-2]。

1 風險辨識和風險評估方法比較

要識別安全生產(chǎn)過程中的危險及有害因素，通常結(jié)合生產(chǎn)流程、作業(yè)任務(wù)等劃分作業(yè)活動。作業(yè)活動劃分后，應(yīng)填寫作業(yè)活動清單；在識別出作業(yè)活動、設(shè)備設(shè)施、作業(yè)環(huán)境等存在的危險及有害因素后，應(yīng)依據(jù)風險評價準則，選定合適的評價方法，定期、及時地對作業(yè)活動和設(shè)備設(shè)施進行風險辨識和風險評估[3]。

1)JHA。該方法適用于分析作業(yè)活動中存在的風險，通過制訂控制和改進措施，控制風險，減少或杜絕事故的發(fā)生。風險度為表示事故發(fā)生的可能性和后果嚴重性的函數(shù)：

R=f(L，S)

(1)

式中：R——風險度；L——事故發(fā)生的可能性；S——事故發(fā)生后果的嚴重性。在JHA的分析記錄中，R=LS，R從影響人、財產(chǎn)、環(huán)境等的可能性和嚴重程度方面分析，取值范圍可劃分為輕微風險、可接受風險、重大風險、巨大風險等。

2)HAZOP[4]。該方法用于辨識設(shè)計缺陷、工藝過程危害及操作性問題的定性風險評價，通過分析生產(chǎn)運行過程中工藝狀態(tài)參數(shù)的變動、操作控制中可能出現(xiàn)的偏差，并且分析這些變動與偏差對系統(tǒng)的影響及可能導致的后果，找出出現(xiàn)變動與偏差的原因，明確裝置或系統(tǒng)內(nèi)及生產(chǎn)過程中存在的主要危險及危害因素，并針對變動與偏差的后果提出應(yīng)采取的措施。通常從作業(yè)活動清單中選定某項作業(yè)活動；將作業(yè)活動分解為若干個相連的工作步驟；然后識別每個步驟的潛在危險后果；通過風險評價，判定風險等級，制訂控制措施。作業(yè)步驟應(yīng)按實際作業(yè)步驟劃分，偏差法能讓人明白錯誤的操作將導致的影響后果，對維護人員可起到指導作用，在油氣管道詳細設(shè)計階段發(fā)揮了重要作用[5-6]。

2 HAZOP在SCADA運維中的應(yīng)用

2.1 SCADA的故障統(tǒng)計分析

某成品油管網(wǎng)數(shù)據(jù)采集與監(jiān)控系統(tǒng)(SCADA)在2007—2017年共發(fā)生故障22件，近十年來SCADA的故障及相關(guān)事件所占比例[7]如圖1所示。

圖1 SCADA的故障及相關(guān)事件占比示意

1)維修過程是發(fā)生風險事件較多的環(huán)節(jié)，期間統(tǒng)計顯示發(fā)生事件10次，占比約45%。主要體現(xiàn)在：

a)大修項目增加的設(shè)備未按要求完成測試、驗收，即投入使用。

b)操作人員對檢修結(jié)果和相關(guān)流程確認不到位，如沒有及時恢復(fù)旁路閥到初始狀態(tài)等。

c)搶維修人員對工作原理和故障判斷所需的知識掌握不到位，無法有效判別存在的安全風險及隱患。

d)聯(lián)鎖管理存在漏洞，按照SIL等級確定的周期，應(yīng)定期檢查軟件程序、維護界面等，并進行聯(lián)鎖測試。

2)環(huán)境變化導致的事件反復(fù)發(fā)生6次，占比約23%。主要體現(xiàn)在：

a)故障的UPS自動重復(fù)投用送電，在重啟過程中，干擾作用使PLC控制器程序運行異常。

b)現(xiàn)場供電設(shè)備斷電后自動重復(fù)送電，模擬量反饋信號受外供電線路突然切換的沖擊，出現(xiàn)跳變的可能性較大。由于設(shè)置了自動跟蹤現(xiàn)場閥位信號邏輯，因此導致設(shè)備異常動作。

c)線路破損、觸點故障或個別線路虛接存在明顯的破損現(xiàn)象等。

3)設(shè)備BUG事件發(fā)生3次，占比約14%。主要體現(xiàn)在： 系統(tǒng)軟件BUG、網(wǎng)絡(luò)陷入環(huán)路節(jié)點切換失敗、主備服務(wù)器、主備控制器無法正常切換等。

4)操作事件發(fā)生2次，占比約9%。主要體現(xiàn)在： 操作人員沒有正確觀察開關(guān)標簽，誤將SCADA服務(wù)器柜電源開關(guān)關(guān)閉，SCADA服務(wù)器掉電，導致SCADA控制中斷。

5)設(shè)計缺陷事件發(fā)生2次，占比約9%。主要體現(xiàn)在： 電涌保護器和模擬量(AI)卡件底板保險的匹配性選擇不合理，雷電發(fā)生時，感應(yīng)雷電流造成AI卡件燒毀?？刂破骱涂灿秒娫?，如卡件通道供電回路短路可能導致控制器瞬間失電的情況發(fā)生。

2.2 斷電及恢復(fù)流程在線維修的應(yīng)用

HAZOP在分析過程中應(yīng)全面考察過程對象，對每個細節(jié)提出問題[4]。

1)以SCADA斷電恢復(fù)為例，首先要了解意外斷電的原因，分析與實際發(fā)生偏差的地方，再進一步分析偏差出現(xiàn)的原因及其產(chǎn)生的后果，并提出相應(yīng)的對策。

a)提出問題。意外斷電包括晃電、UPS故障、市電斷電、2路電源全部斷電等情況。

b)明確功能。將分析對象劃分為處理斷電措施、現(xiàn)場設(shè)備處置、SCADA處置三部分，每個部分再按類別進行偏差分析。

c)定義關(guān)鍵詞。按關(guān)鍵詞逐一分析每道工序可能產(chǎn)生的偏差，一般從工序過程的起點開始分析，直至工序結(jié)束。

d)分析原因及后果。如在線程序下載后，輸出寄存器初始化顯示為零，此時必須將調(diào)節(jié)閥下載操作前的狀態(tài)由遠控切為就地，否則將導致閥門關(guān)閉。

e)制訂對策。針對斷電、上電、恢復(fù)幾個步驟采取相應(yīng)的有效措施。

f)填寫匯總表。按HAZOP分析表進行匯總填寫時，為了保證不遺漏，分析時應(yīng)按照關(guān)鍵詞逐一檢索填寫。

2)在明確SCADA斷電應(yīng)采取的措施后，現(xiàn)場設(shè)備在控制器程序恢復(fù)前、程序恢復(fù)時、程序恢復(fù)后的HAZOP分析見表1所列。以對調(diào)節(jié)閥產(chǎn)生的影響為例，斷電后要考慮控制器程序下載前后兩種情況：

a)控制器程序下載前。如控制器程序的某暫存器若初始化，將導致閥門的OP數(shù)值輸出為零；如部分氣動調(diào)節(jié)閥、計量撬座電動閥門沒有就地遠控切換按鈕，因此在實施程序下載前應(yīng)采取相應(yīng)的保護措施： 如停車或工控調(diào)整的準備，閥門處于就地狀態(tài)等。

b)控制器程序下載后。如果控制器程序運行后，閥門處于遠控狀態(tài)，閥門將自動關(guān)閉，導致水擊或聯(lián)鎖等事件發(fā)生。因此，處于就地狀態(tài)的閥門將不接受來自系統(tǒng)OP信號的控制，將自動跟蹤現(xiàn)場閥門反饋位置，并實現(xiàn)了無擾切換。

表1 控制器運行前后現(xiàn)場設(shè)備處置的HAZOP分析

3)明確斷電應(yīng)采取的措施后，SCADA斷電并恢復(fù)上電，暫存器、順序控制程序等在控制器程序運行前、運行后的HAZOP分析見表2所列。以聯(lián)鎖回路為例，斷電后要考慮控制器程序運行前后兩種情況：

a)控制器程序運行前。在控制器程序中，若聯(lián)鎖回路的某個暫存器初始化，聯(lián)鎖回路將失效。

b)控制器運行后。若工程師及時發(fā)現(xiàn)暫存器已經(jīng)初始化，需要檢查確認并投用相應(yīng)的聯(lián)鎖回路。

表2 控制器運行前后軟件處置的HAZOP分析

續(xù)表2

3 結(jié)束語

HAZOP具有系統(tǒng)性、結(jié)構(gòu)性、創(chuàng)造性和前瞻性的優(yōu)點，采用HAZOP方法后，維修類過程中人為因素、操作類導致的事件或事故發(fā)生率大幅降低，特別是SCADA斷電恢復(fù)或在線下載維護事件發(fā)生率降至零，證明HAZOP是行之有效的安全評估辦法，在系統(tǒng)安全分析中具有特別的優(yōu)勢，值得推廣應(yīng)用。