HAZOP分析方法在SCADA运维中的应用

陈秀丽

(中国石化销售有限公司华南分公司，广东广州510620)

企业安全生产生命周期主要包括： 设计开发、制造安装、操作保养、停止使用和报废四个阶段，不同的阶段采用的风险辨识和评估方法有所差异。安全生产的风险辨识和风险评估，一般采用工作危害分析JHA(job hazard analysis)和危险与可操作性分析HAZOP(hazard and operability analysis)等方法。JHA通常用于作业分析；而HAZOP是以引导词及偏差为主体的危害分析方法，主要是为了保障工艺操作的安全及顺利实现，并为制订应急预案和基本防灾措施提供参考依据，以保证各种工艺过程的操作性更好、安全性更强。HAZOP在安全生产生命周期的详细设计阶段的应用非常广泛且有效，能够检查、分析操作设施，同时还能针对设备变更分期预期，是一种有效且可靠的风险分析工具[1-2]。

1 风险辨识和风险评估方法比较

要识别安全生产过程中的危险及有害因素，通常结合生产流程、作业任务等划分作业活动。作业活动划分后，应填写作业活动清单；在识别出作业活动、设备设施、作业环境等存在的危险及有害因素后，应依据风险评价准则，选定合适的评价方法，定期、及时地对作业活动和设备设施进行风险辨识和风险评估[3]。

1)JHA。该方法适用于分析作业活动中存在的风险，通过制订控制和改进措施，控制风险，减少或杜绝事故的发生。风险度为表示事故发生的可能性和后果严重性的函数：

R=f(L，S)

(1)

式中：R——风险度；L——事故发生的可能性；S——事故发生后果的严重性。在JHA的分析记录中，R=LS，R从影响人、财产、环境等的可能性和严重程度方面分析，取值范围可划分为轻微风险、可接受风险、重大风险、巨大风险等。

2)HAZOP[4]。该方法用于辨识设计缺陷、工艺过程危害及操作性问题的定性风险评价，通过分析生产运行过程中工艺状态参数的变动、操作控制中可能出现的偏差，并且分析这些变动与偏差对系统的影响及可能导致的后果，找出出现变动与偏差的原因，明确装置或系统内及生产过程中存在的主要危险及危害因素，并针对变动与偏差的后果提出应采取的措施。通常从作业活动清单中选定某项作业活动；将作业活动分解为若干个相连的工作步骤；然后识别每个步骤的潜在危险后果；通过风险评价，判定风险等级，制订控制措施。作业步骤应按实际作业步骤划分，偏差法能让人明白错误的操作将导致的影响后果，对维护人员可起到指导作用，在油气管道详细设计阶段发挥了重要作用[5-6]。

2 HAZOP在SCADA运维中的应用

2.1 SCADA的故障统计分析

某成品油管网数据采集与监控系统(SCADA)在2007—2017年共发生故障22件，近十年来SCADA的故障及相关事件所占比例[7]如图1所示。

图1 SCADA的故障及相关事件占比示意

1)维修过程是发生风险事件较多的环节，期间统计显示发生事件10次，占比约45%。主要体现在：

a)大修项目增加的设备未按要求完成测试、验收，即投入使用。

b)操作人员对检修结果和相关流程确认不到位，如没有及时恢复旁路阀到初始状态等。

c)抢维修人员对工作原理和故障判断所需的知识掌握不到位，无法有效判别存在的安全风险及隐患。

d)联锁管理存在漏洞，按照SIL等级确定的周期，应定期检查软件程序、维护界面等，并进行联锁测试。

2)环境变化导致的事件反复发生6次，占比约23%。主要体现在：

a)故障的UPS自动重复投用送电，在重启过程中，干扰作用使PLC控制器程序运行异常。

b)现场供电设备断电后自动重复送电，模拟量反馈信号受外供电线路突然切换的冲击，出现跳变的可能性较大。由于设置了自动跟踪现场阀位信号逻辑，因此导致设备异常动作。

c)线路破损、触点故障或个别线路虚接存在明显的破损现象等。

3)设备BUG事件发生3次，占比约14%。主要体现在： 系统软件BUG、网络陷入环路节点切换失败、主备服务器、主备控制器无法正常切换等。

4)操作事件发生2次，占比约9%。主要体现在： 操作人员没有正确观察开关标签，误将SCADA服务器柜电源开关关闭，SCADA服务器掉电，导致SCADA控制中断。

5)设计缺陷事件发生2次，占比约9%。主要体现在： 电涌保护器和模拟量(AI)卡件底板保险的匹配性选择不合理，雷电发生时，感应雷电流造成AI卡件烧毁。控制器和卡件共用电源，如卡件通道供电回路短路可能导致控制器瞬间失电的情况发生。

2.2 断电及恢复流程在线维修的应用

HAZOP在分析过程中应全面考察过程对象，对每个细节提出问题[4]。

1)以SCADA断电恢复为例，首先要了解意外断电的原因，分析与实际发生偏差的地方，再进一步分析偏差出现的原因及其产生的后果，并提出相应的对策。

a)提出问题。意外断电包括晃电、UPS故障、市电断电、2路电源全部断电等情况。

b)明确功能。将分析对象划分为处理断电措施、现场设备处置、SCADA处置三部分，每个部分再按类别进行偏差分析。

c)定义关键词。按关键词逐一分析每道工序可能产生的偏差，一般从工序过程的起点开始分析，直至工序结束。

d)分析原因及后果。如在线程序下载后，输出寄存器初始化显示为零，此时必须将调节阀下载操作前的状态由远控切为就地，否则将导致阀门关闭。

e)制订对策。针对断电、上电、恢复几个步骤采取相应的有效措施。

f)填写汇总表。按HAZOP分析表进行汇总填写时，为了保证不遗漏，分析时应按照关键词逐一检索填写。

2)在明确SCADA断电应采取的措施后，现场设备在控制器程序恢复前、程序恢复时、程序恢复后的HAZOP分析见表1所列。以对调节阀产生的影响为例，断电后要考虑控制器程序下载前后两种情况：

a)控制器程序下载前。如控制器程序的某暂存器若初始化，将导致阀门的OP数值输出为零；如部分气动调节阀、计量撬座电动阀门没有就地远控切换按钮，因此在实施程序下载前应采取相应的保护措施： 如停车或工控调整的准备，阀门处于就地状态等。

b)控制器程序下载后。如果控制器程序运行后，阀门处于远控状态，阀门将自动关闭，导致水击或联锁等事件发生。因此，处于就地状态的阀门将不接受来自系统OP信号的控制，将自动跟踪现场阀门反馈位置，并实现了无扰切换。

表1 控制器运行前后现场设备处置的HAZOP分析

3)明确断电应采取的措施后，SCADA断电并恢复上电，暂存器、顺序控制程序等在控制器程序运行前、运行后的HAZOP分析见表2所列。以联锁回路为例，断电后要考虑控制器程序运行前后两种情况：

a)控制器程序运行前。在控制器程序中，若联锁回路的某个暂存器初始化，联锁回路将失效。

b)控制器运行后。若工程师及时发现暂存器已经初始化，需要检查确认并投用相应的联锁回路。

表2 控制器运行前后软件处置的HAZOP分析

续表2

3 结束语

HAZOP具有系统性、结构性、创造性和前瞻性的优点，采用HAZOP方法后，维修类过程中人为因素、操作类导致的事件或事故发生率大幅降低，特别是SCADA断电恢复或在线下载维护事件发生率降至零，证明HAZOP是行之有效的安全评估办法，在系统安全分析中具有特别的优势，值得推广应用。