王海清 于 芳 李玉明 齊心歌

(1.中國(guó)石油大學(xué)(華東)安全科學(xué)與工程系 山東青島 266580； 2.中國(guó)石化青島安全工程研究院 山東青島 266071)

石油化工企業(yè)中設(shè)置火氣系統(tǒng)FGS(Fire and Gas System)來(lái)減緩火災(zāi)和危險(xiǎn)氣體泄漏的事故后果[1]，此類系統(tǒng)的安全完整性等級(jí)SIL(Safety Integrity Level)一般按工程經(jīng)驗(yàn)設(shè)定為SIL2或SIL3，但是目前針對(duì)FGS的SIL定級(jí)方法或技術(shù)鮮有報(bào)道。IEC 61511[2]將FGS定義為減緩型獨(dú)立保護(hù)層，并與預(yù)防型獨(dú)立保護(hù)層(如SIS、PSV)相獨(dú)立。保護(hù)層分析法LOPA(Layer of Protection Analysis)能將風(fēng)險(xiǎn)降低的要求以量化的形式加入到SIL計(jì)算過(guò)程中，因此LOPA通常用來(lái)確定安全儀表功能SIF(Safety Instrumented Function)的SIL要求。為了建立一種基于嚴(yán)格理論基礎(chǔ)之上的FGS的SIL等級(jí)，本文以IEC 61508/61511中風(fēng)險(xiǎn)降低概念為依據(jù)，根據(jù)FGS風(fēng)險(xiǎn)降低要求，設(shè)計(jì)了適用于FGS的風(fēng)險(xiǎn)降低指標(biāo)，并結(jié)合LOPA技術(shù)確定了FGS的SIL等級(jí)。

1 LOPA方法火氣系統(tǒng)的場(chǎng)景風(fēng)險(xiǎn)分配

ISA 84.00.07[3]標(biāo)準(zhǔn)推薦使用事件樹(shù)ETA(Event Tree Analysis)的方式計(jì)算FGS的有效性，其計(jì)算過(guò)程如圖1所示。

圖1 火氣系統(tǒng)有效性ETA計(jì)算過(guò)程Fig .1 FGS effectiveness calculation procedures using ETA

FGS主要通過(guò)預(yù)防某個(gè)容納失效LOC(Loss of Containment)事件發(fā)展成不期望的場(chǎng)景來(lái)減緩后果嚴(yán)重度，ETA中定量的結(jié)果通過(guò)平均權(quán)重后果CWA(Weighted Average Consequence)表現(xiàn)，場(chǎng)景的風(fēng)險(xiǎn)是CWA與未減緩事件頻率Funmitigated和其他保護(hù)層的需求失效概率PFD(Probability of Failure on Demand)的乘積，即

(1)

式(1)中：Risk為場(chǎng)景風(fēng)險(xiǎn)；PFDi為保護(hù)層的需求失效概率，其中i=1,2,…,n。

有別于其他風(fēng)險(xiǎn)分析方法，F(xiàn)GS在使用風(fēng)險(xiǎn)可容許標(biāo)準(zhǔn)RTC(Risk Tolerable Criterion)時(shí)有很大的困難[4]，ISA 84.00.07中所用的CWA本質(zhì)上只適用于場(chǎng)景后果嚴(yán)重度都相同的情況。而FGS系統(tǒng)有多種不同嚴(yán)重度的場(chǎng)景，對(duì)其采用統(tǒng)一的RTC標(biāo)準(zhǔn)是不符合邏輯且不精確的。為更好地分配場(chǎng)景風(fēng)險(xiǎn)，Baybutt[5]提出采用LOPA方法代替ETA計(jì)算火氣系統(tǒng)的有效性。

傳統(tǒng)上LOPA假設(shè)單個(gè)場(chǎng)景的獨(dú)立保護(hù)層IPL(Independent Protection Layer)是成敗型安防屏障(即完全成功或完全失效)，文獻(xiàn)[5]認(rèn)為這不是LOPA本質(zhì)上的缺陷，而是場(chǎng)景分析的一種假設(shè)(即Worst Case)，實(shí)際上LOPA分析可以包括場(chǎng)景部分失效的假設(shè)。以圖1為例，假設(shè)除FGS外沒(méi)有其他的保護(hù)層，把FGS有效性的3個(gè)參數(shù)(探測(cè)器覆蓋率、FGS安全可用性、緩解有效性)視作獨(dú)立的“虛擬IPL”，這樣就可以區(qū)分不同的場(chǎng)景后果分支并進(jìn)行對(duì)應(yīng)計(jì)算處理，其具體算法是用LOPA計(jì)算每個(gè)場(chǎng)景的可能性，將相同后果的場(chǎng)景可能性相加，用LOPA分配RTC并分析其風(fēng)險(xiǎn)是否達(dá)到安全要求。LOPA方法分析對(duì)FGS的場(chǎng)景分析和不同場(chǎng)景的風(fēng)險(xiǎn)分配分別見(jiàn)表1、2。

表1 LOPA對(duì)FGS的場(chǎng)景分析Table 1 Using LOPA to analyze the scenarios of FGS

表2 LOPA對(duì)不同場(chǎng)景的風(fēng)險(xiǎn)分配Table 2 Allocating tolerable risk to different scenarios by LOPA

通過(guò)以上分析可知,LOPA的計(jì)算結(jié)果與ETA的相同，且LOPA還彌補(bǔ)了ETA方法在分配RTC標(biāo)準(zhǔn)時(shí)的缺陷,因此在確定SIF的SIL等級(jí)時(shí)LOPA是一種非常有效的方法。本文以文獻(xiàn)[4-5]提出的理論為依據(jù)，用ETA技術(shù)分析FGS可能的場(chǎng)景類型，并結(jié)合LOPA方法對(duì)場(chǎng)景風(fēng)險(xiǎn)進(jìn)行分配。

2 火氣系統(tǒng)風(fēng)險(xiǎn)降低要求

通常ISA和IEC標(biāo)準(zhǔn)定義的SIF的SIL主要針對(duì)的是預(yù)防型系統(tǒng)(如安全儀表系統(tǒng)SIS(Safety Instrumented System)、壓力安全閥PSV(Pressure Safety Valve)，而對(duì)緊急減緩系統(tǒng)(如FGS、ESD)的SIL的分配卻沒(méi)有明確說(shuō)明，目前國(guó)際上還沒(méi)有具體的緊急減緩系統(tǒng)的風(fēng)險(xiǎn)降低要求，也沒(méi)有標(biāo)準(zhǔn)的方法定量緊急減緩系統(tǒng)的風(fēng)險(xiǎn)降低的等級(jí)[6]。Tanabe[7]等認(rèn)為IEC標(biāo)準(zhǔn)中風(fēng)險(xiǎn)降低的概念雖然包含了緊急減緩系統(tǒng)，但是并沒(méi)有詳細(xì)介紹如何定量化減緩系統(tǒng)所降低的風(fēng)險(xiǎn)，因此提出采用SIL等級(jí)的概念來(lái)設(shè)計(jì)緊急減緩系統(tǒng)。

由于實(shí)際應(yīng)用中定量的風(fēng)險(xiǎn)降低并未包含緊急減緩系統(tǒng)，為了研究確定FGS的SIL等級(jí)，本文在風(fēng)險(xiǎn)降低的概念中創(chuàng)新引入FGS風(fēng)險(xiǎn)降低目標(biāo)，以滿足實(shí)際FGS風(fēng)險(xiǎn)降低的要求，提出如圖2所示的考慮FGS貢獻(xiàn)的一體化風(fēng)險(xiǎn)降低框架。

圖2 考慮FGS系統(tǒng)貢獻(xiàn)的風(fēng)險(xiǎn)降低框架Fig .2 Risk reduction concept considering FGS contributions

可容忍風(fēng)險(xiǎn)Risktr滿足以下計(jì)算公式：

Risktr≥Riskpr×Riskother×RiskSIS

(2)

式(2)中：Riskpr為過(guò)程風(fēng)險(xiǎn);Riskother為其他保護(hù)層所降低的風(fēng)險(xiǎn);RiskSIS為SIS所降低的風(fēng)險(xiǎn)。

Riskother=Risktr

(3)

式(3)中：RiskFGS為FGS所降低的風(fēng)險(xiǎn);Riskrr為殘余風(fēng)險(xiǎn)(考慮到FGS的風(fēng)險(xiǎn)降低)。

結(jié)合式(2)和式(3)可推斷出如下不等式：

(4)

(5)

式(5)是基于文獻(xiàn)[7]研究的基礎(chǔ)上進(jìn)行的保守推算，企業(yè)可根據(jù)自身實(shí)際情況設(shè)置FGS的風(fēng)險(xiǎn)降低值。本文以式(5)作為FGS場(chǎng)景風(fēng)險(xiǎn)分析的計(jì)算目標(biāo)。

3 用LOPA方法確定FGS的SIL等級(jí)

LOPA場(chǎng)景風(fēng)險(xiǎn)目標(biāo)通常定義為減緩目標(biāo)事件可能性TMEL(Target Mitigated Event Likelihood)，即保護(hù)層風(fēng)險(xiǎn)降低所需滿足的RTC標(biāo)準(zhǔn)[9]。FGS作為SIF時(shí)，其PFDSIF計(jì)算公式為

(6)

式(6)中：PFDSIF為SIF的需求失效概率；TMEL為減緩目標(biāo)事件可能性；IELi為中間事件可能性，其中i=1,2,…,n。

在低需求模式下，IEL的計(jì)算公式為

(7)

式(7)中：Padjust為頻率修改因子(點(diǎn)火概率、占有率因子等)；ICL為初始原因可能性；PFDi為現(xiàn)有的獨(dú)立保護(hù)層的需求失效概率，其中i=1,2,…,n。

本文以CCPS出版的LOPA風(fēng)險(xiǎn)分析書(shū)提出的安全的TMEL為通用RTC標(biāo)準(zhǔn)[10]，在考慮FGS風(fēng)險(xiǎn)降低貢獻(xiàn)的基礎(chǔ)上，根據(jù)式(5)計(jì)算得出FGS風(fēng)險(xiǎn)降低目標(biāo)Risk*tr，如表3所示。

表3 FGS的安全風(fēng)險(xiǎn)降低目標(biāo)Table 3 Safety risk reduction targets of FGS

注：CCPS LOPA規(guī)定嚴(yán)重度等級(jí)為A和B的場(chǎng)景宜采用QRA進(jìn)行分析，故本表未列。

圖3 LOPA方法確定FGS的SIL等級(jí)流程Fig .3 Flow sheet for SIL determination of FGS by LOPA method

值得注意的是，在實(shí)際工程應(yīng)用中FGS系統(tǒng)的SIL等級(jí)一般為SIL2或者SIL3。對(duì)于場(chǎng)景風(fēng)險(xiǎn)降低需要SIL4等級(jí)的FGS實(shí)現(xiàn)時(shí)，應(yīng)首先考慮本質(zhì)安全設(shè)計(jì)或其他可代替的保護(hù)層，或設(shè)計(jì)兩套較低完整性等級(jí)的FGS實(shí)現(xiàn)場(chǎng)景的風(fēng)險(xiǎn)降低。

4 實(shí)例分析

某海洋平臺(tái)處理原油的壓力容器單元設(shè)有基本過(guò)程控制系統(tǒng)BPCS(Basic Process Control System)和FGS，如圖4所示。該壓力容器受環(huán)境影響其容器底部焊縫處發(fā)生腐蝕穿孔導(dǎo)致原油泄漏，容器的失效頻率為1.60×10-2/a，在原油泄漏時(shí)BPCS已經(jīng)失效(失效率為0.1/a)，F(xiàn)GS的可燃?xì)怏w探測(cè)器和火焰探測(cè)器對(duì)泄漏進(jìn)行探測(cè)(覆蓋率分別為0.93和0.91)，當(dāng)探測(cè)器探測(cè)到泄漏或者火焰時(shí)FGS聯(lián)動(dòng)啟動(dòng)水噴淋系統(tǒng)進(jìn)行稀釋和滅火，其減緩有效性為0.90。

圖4 某海洋平臺(tái)處理原油的壓力容器保護(hù)系統(tǒng)布置Fig .4 Protection system layout of a pressure vessel to deal with crude oil in an offshore platform

為提高容器安全，平臺(tái)決定改造FGS以減緩事故后果，為減少FGS設(shè)計(jì)成本，須確定FGS的SIL等級(jí)。已知在原油泄漏初期蒸發(fā)出的可燃?xì)怏w被立即點(diǎn)燃的概率為0.1；原油泄漏一段時(shí)間后形成液池，其延遲點(diǎn)火的概率為0.5，延遲點(diǎn)火最后導(dǎo)致爆炸的概率為0.2；該泄漏可能導(dǎo)致的后果為噴射火、池火、爆炸或者中毒。除自動(dòng)保護(hù)系統(tǒng)外，該壓力容器單元還設(shè)置人員日常巡檢，其人員在場(chǎng)率為0.25。

為全面分析出火氣場(chǎng)景類型，圖5所示的ETA分析的使能事件中包含F(xiàn)GS安全可用性，本文在分析FGS的聯(lián)鎖邏輯時(shí)認(rèn)為在探測(cè)器無(wú)法探測(cè)到泄漏或火災(zāi)時(shí)，其FGS的安全可用性和減緩有效性皆無(wú)法激活。此外，這里的氣體和火焰探測(cè)整體視為一套減緩系統(tǒng)。因此，用LOPA方法確定FGS的SIL等級(jí)時(shí)，所有場(chǎng)景應(yīng)根據(jù)式(7)計(jì)算出其各自的IEL。同時(shí)，將有相同后果嚴(yán)重度場(chǎng)景的IEL值相加，由公式(6)確定出FGS安全可用性的PFDFGS大小，并對(duì)比表4選出相應(yīng)的SIL等級(jí)。表5是該平臺(tái)壓力容器LOPA場(chǎng)景分析的工作表，表6是LOPA計(jì)算的該平臺(tái)壓力容器FGS的SIL等級(jí)結(jié)果。

后果類型嚴(yán)重度等級(jí)Risk*tr/a-1無(wú)G1×10-4噴射火D1×10-7池火D1×10-7爆炸C1×10-8中毒E1×10-6

根據(jù)表6的結(jié)果可知，噴射火、池火以及爆炸場(chǎng)景所需的SIL等級(jí)最高，則該壓力容器須設(shè)置SIL3等級(jí)的FGS來(lái)保證安全。通過(guò)以上實(shí)例研究可證明FGS的SIL等級(jí)可通過(guò)改進(jìn)的LOPA方法進(jìn)行綜合分析確認(rèn)，對(duì)于包含更多保護(hù)層或者更復(fù)雜的FGS場(chǎng)景均可使用本文提出的方法進(jìn)行驗(yàn)證。

表5 某海洋平臺(tái)壓力容器LOPA場(chǎng)景分析工作表Table 5 Scenario worksheets of LOPA about the pressure vessel in an offshore platform

表6 采用LOPA計(jì)算的某海洋平臺(tái)壓力容器 FGS的SIL等級(jí)結(jié)果Table 6 Using LOPA to calculate the safety integrity levels of FGS about the pressure vessel in an offshore platform

5 結(jié)論

1) FGS不同于預(yù)防型的安全儀表系統(tǒng)，它設(shè)計(jì)的目的是在危害已經(jīng)發(fā)生的情況下對(duì)事件后果嚴(yán)重度進(jìn)行減緩。由于事件的不可預(yù)知性和FGS行為結(jié)果的不確定性，使得傳統(tǒng)上驗(yàn)證SIF的安全完整性等級(jí)的方法不適用于FGS。

2) 在傳統(tǒng)LOPA方法分配FGS場(chǎng)景風(fēng)險(xiǎn)的基礎(chǔ)上，結(jié)合實(shí)際FGS風(fēng)險(xiǎn)降低要求，修改常規(guī)風(fēng)險(xiǎn)降低概念，制定出適應(yīng)于FGS的風(fēng)險(xiǎn)降低目標(biāo)。根據(jù)所提出FGS的SIL等級(jí)確定流程，將ETA分析出的FGS場(chǎng)景類型依據(jù)風(fēng)險(xiǎn)降低要求劃分成不同的后果等級(jí)。

3) 通過(guò)對(duì)照FGS的風(fēng)險(xiǎn)降低目標(biāo)，可用LOPA方法計(jì)算出FGS的SIL等級(jí)，最后通過(guò)海上平臺(tái)實(shí)例分析證明了此方法的可行性，可為國(guó)內(nèi)類似的實(shí)際工程項(xiàng)目提供參考。

[1] 王海清,王玉秀,宋賢生,等.采用遺傳算法優(yōu)化氣體探測(cè)器布局策略研究[J].中國(guó)安全生產(chǎn)科學(xué)技術(shù),2016,12(9):86-91.WANG Haiqing,WANG Yuxiu， SONG Xiansheng,et al.Study on layout optimization strategy of gas detectors using genetic algorithm[J].Safety Science and Technology,2016,12(9):86-91.

[2] IEC.IEC 61511 Functional safety-safety instrumented systems for the process industry sector-part 3:guidance for the determination of the required safety integrity levels[S].British Standard：IEC,2003.

[3] USA.ISA TR84.00.07 Guidance on the evaluation of fire,combustible gasand toxic gas system effectiveness[S].United States of America:ISA,2010.

[4] ZHANG Ying,WU Zhifeng.Research on risk acceptable criteria of chemical enterprise[J].Safety Health & Environment,2012,12(5):10-14.

[5] BAYBUTT P.Using layers of protection analysis to evaluate fire and gas systems[J].Process Safety Progress,2012,31(3):255-260.

[6] LIU Junfang,WANG Haiqing,LIU Fang.A new SIL conception for emergency system and its application in LNG terminals[C]∥The First China International Chemical Process Safety Symposium and the First CCPS Asia Pacific Process Safety Conference Proceedings State Administration of Work Safety,2013.

[7] TANABE M,MIYAKE A.Risk reduction concept to provide design criteria for emergency systems for onshore LNG plants[J].Journal of Loss Prevention in the Process Industries,2011,24(4):383-390.

[8] WANG Haiqing,SHI Weimin,AN Yuehong.Allocation of individual risk criteria under lopa framework[J].Journal of Chemical Engineering of Japan,2015,48(8):634-640.

[9] ANUAR M,HELMI M K.Application of layer of protection analysis (LOPA)in verificationof safety integrity level of instrumented system[J/OL].(2017-01-25)[2017-04-24].http:∥utpedia-upt.edu.my/6137/.

[10] American Institute of Chemical Engineers.Layer of protection analysis:Simplified process risk assessment[M].New York:Center for Chemical Process Safety of the American Institute of Chemical Engineers,2001.