过程安全管理（PSM）体系对 BP Texas 事故探析

导读

过程安全管理，曾称工艺安全管理，是欧美国家从灾难性化工事故中形成的一种先进管理体系和方法。半个多世纪以来，欧美国家率先加强危化企业的工艺安全管理，尤其是近30年来，各国相继出台了一些相关管理法规。如1992年美国职业安全与健康管理局(OSHA)发布了PSM法规(29CFR1910.119)。AQ/T3034-2010《化工企业工艺安全管理实施导则》的发布，标志着中国建立过程(工艺)安全体系的起步，并且已经开始注重从事故源头抓起和从本质安全上控制的做法。

过程安全管理体系

按照美国化学工程师协会化工过程安全中心(AIChE CCPS)的定义：过程(工艺)安全管理体系(PSM)，是指一个重点针对与某设施工艺过程相关的化学品或能量的灾难性释放进行预防、缓解、响应和恢复的管理系统。

按照美国杜邦公司的定义，它是指应用于危害工艺和操作的管理控制过程，通过其对危害的识别、理解和有序控制，从而消除与过程有关的伤害和事故。

美国OSHAPSM体系由14个要素构成，具体要素名称见图1。

在不同的体系中要素名称和数量可能不同，如中国“化工企业工艺安全管理实施导则”具有12个要素，与OSHAPSM标准相比，缺少“员工参与”和“商业机密”两个要素，总体上中国PSM体系基本涵盖在OSHAPSM体系之中。CCPS将PSM体系扩展成20个要素，除与OSHA14个要素均有相应的要素对应之外，还增加了“遵从标准、过程(工艺)安全能力、影响利益相关方、操作守则、测量和指标、管理评审和持续改进”6个要素，对OSHA体系进行了补充和细化。

BPTexas装置工艺过程和事故简介

事故概况：2005年3月23日13：20，在装置检修之后开车过程中，BP Texas炼油厂异构化装置(ISOM)发生爆炸和火灾事故，导致15人死亡和170人受伤。ISOM装置和附近装置遭受重大损坏。

工艺流程如图2所示。

重石脑油原料经过与塔釜出料预热及明火加热炉加热之后，进入抽余油分离塔分离，塔顶和塔釜轻、重组分采出后分别送往罐区。该塔按老式设计设置了泄压系统，经过安全阀泄压之后进入排放罐直接向大气排放(非密闭向火炬排放系统)，同时塔顶回流罐不凝气送往装置3号气体系统。事故简要经过和原因概述：抽余油分离塔发生了超压和液体溢流，导致塔顶管线上安全阀起跳，经排放罐直接向环境中排放，喷射出大量气相和液相可燃物料，被引燃后导致着火爆炸事故。

经过事故调查与现场分析证实，原项目没有识别出可能向现场大量排液的危害，因而设计没有考虑相应的保护措施；排放罐位置存在隐患，没有接入火炬系统和相关变更没有得到有效管理；安全阀安装位置存在隐患，在满塔时入口管线存在45m液封；没有执行开车程序，且操作程序不完善和操作人员经验技能不足等等，这些都是导致此次事故的关键原因。另外，现场可移动临时办公室附近承包商员工较多，以及事故应急处置不当，加剧了此次事故的严重后果。

事故PSM要素分析

以美国OSHAPSM体系14个要素为基础，对BPTexas炼油厂事故进行分析。针对严重不符合体系要求的8个要素具体分析过程如下。

(1)工艺危害分析(PHA)

装置曾进行了危害与可操作性分析(HAZOP)和定量风险分析(QRA)，但是没有识别出以下危害，因而原设计没有考虑相应的保护措施，是导致此次事故的关键原因。

第一，安全阀安装在塔顶气相管道45m垂直管段下方，当分离塔满塔，超过了安全阀定压值，存在向环境排放大量可燃液体的风险。

第二，按照APIRP521标准规定，泄放物料向大气排放不能形成可燃混合物，但没有证据表明进行了该项评估。

第三，QRA没有妥当地评估现场临时办公室位置风险，没有识别出检修运维人员及车辆停放与装置太近等重大风险。由于变更导致了排放罐使用频率增加，冷却系统停用，也未进行充分风险评估。

(2)机械设备完整性(IM)

排放罐为老式设计，存在很多缺陷，如早已发现分离挡板被腐蚀损坏，但未制定修复计划；没有当作安全关键设备管理，导致向现场大量排液。

在开车前和开车过程中没有对仪表进行全面和及时检查处理，应该在满刻度78%发出高液位报警的塔釜液位开关没有动作，排放罐高液位报警在报警前没有显示。尤其是重抽余液到罐区的关键仪表出现故障，造成了操作人员盲目操作。

(3)变更管理(MOC)

企业变更程序没有得到全面执行。一是程序要求对临时建筑物及其附近人员的危险进行评估，特别是木质框架拖车活动房。明确规定如果没有经过现场分析，则不得位于距离工艺装置100m以内，但实际距离最近的只有45m，也未进行评估。二是排放罐急冷水停止使用，没有经过MOC流程审批；塔顶“安全阀定压值修改”没有及时纳入操作程序。

(4)操作程序(SOP)

违反操作程序和操作失误是对该要素最严重的偏离，是导致该事故最主要的直接原因。按照开车程序，每一个步骤均要签字确认，没有得到落实。开车无人监督，日班主管离开岗位去做个人事务；交接班管理也存在严重问题，如夜班人员发现了塔釜满液位和独立液位开关未报警，并没有对问题及时分析和处理。具体以下诸多方面存在问题。

第一，按照开车程序，超压则向3号燃料气系统自动泄放，但是操作人员按习惯操作，打开用链条操作的8号安全阀旁路阀门，采用放空罐泄压并向系统中引入N2，这是形成系统超压的重要原因之一。

第二，按照规定分离塔底部加热升温速度应不大于100℃/h，而实际在240℃/h以上，导致排放气液量过大。第三，按照开车程序要求，正常塔底液位控制在50%，而实际液位已达100%，到发生事故时，分离塔液位已经上升到大约42m，淹没了57到70块塔盘。而且在72%发出高液位报警，但是独立液位报警仪未在设定值78%发出报警，导致操作人员判断失误。总之，违反操作程序达11次之多。

(5)培训(Training)

操作人员开车操作能力不足和培训不到位，也是导致事故的关键原因。

在分离塔底部液位与进料流量控制指示存在较大偏差时，控制室内操没有考虑到装置物料和能量平衡问题。同时，外操在可以看到分离塔底泵的吸入口压力上升而回流罐没有建立液位的情况下，也没有意识到物料可能没有采出的问题。

2003年和2004年没有装置培训计划和操作人员个人培训计划。装置培训协调员在培训活动中所花费的时间仅为其工作时间的5%。对于已经更新的操作程序，内外操不清楚，没有组织班组集体学习。操作工认为开车是一次日常的操作，没有意识到不遵守程序所带来的风险。

(6)应急预案与响应(ERPR)

SOP没有包括在该种工艺状态混乱、紧急条件下立即停车的指令。操作工在切断再沸器加热炉燃料气时行动缓慢，而且没有停止分离塔的进料，在爆炸后1.5h停电时才停止。应急预案缺乏实战演习和模拟训练。

在塔顶安全阀起跳后，装置没有发出疏散报警。如果当时响起疏散警报，有可能使更多的人从附近撤离。该要素的严重不符合扩大了事故影响范围，加重了灾难后果。

(7)开车前安全审查(PSSR)

在开车前没有对仪表进行全面检查，没有对分离塔进料表和现场液位计及时确认，没有发现作为独立液位开关的问题，没有识别出操作员工培训不到位、操作程序不完善和现场施工和维护人员过多，以及现场活动办公室距离装置太近等问题，没有发挥出PSSR的有效作用。

(8)符合性审核(CR)

在该方面主要存在审计深度不够，以及行动项没有得到落实的问题。

第一，缺乏深层次的专业审计，如在企业过程安全标准(PSS)明确规定禁止安装任何新的排放罐，并要求将现有的排放罐在装置扩能或重大变更时予以更换，错过了两次在该装置附近安装火炬系统的整改机会，审计未曾发现这些问题。

第二，审计提出的建议项基本集中在现场操作程序、文件记录管理系统和流程等方面，没有发现安全阀设定值的变更问题。同时很多以往的行动项没有及时关闭，而且几乎没有工艺主管和装置经理进行现场验证。

为了比较分析方便，将14个要素存在的问题和对其符合性评估情况纳入表1，构成该事故PSM要素符合性矩阵评估表。

从以上分析过程和表1看出，在OSHA14个要素中8个要素长期严重不符合是导致该事故的关键原因。直接原因为违反操作程序和操作失误、进料流量仪表和塔釜高液位开关故障、安全阀安装位置不当，以及排放罐从现场直接排放和内件损坏5项问题。拖车活动房位置、现场人员控制以及事故应急响应缓慢等问题加剧了事故的严重性。该结论与两个事故报告的结论是一致的。