保護層識別改進在油氣站場工藝流程SIL定級中的應(yīng)用

施昊彤，李慧娜，郭輝，陳鑫，張彥華，梁昌晶

(1. 國家管網(wǎng)集團建設(shè)項目管理分公司 西四線甘寧(新疆)項目部，寧夏 中衛(wèi) 755000； 2. 中國石油華北油田分公司 第一采油廠，河北 任丘 062552；3. 中油國際管道有限公司 中哈天然氣管道項目，北京 100029；4. 中國石油管道局工程有限公司 管道投產(chǎn)運行分公司，河北 廊坊 065000)

隨著油氣行業(yè)自動化、智慧化的實施推進，對油氣站場工藝流程的完整性及可靠性管理提出了更高要求。目前，油氣站場已廣泛開展保護層分析(LOPA)工作，通過系統(tǒng)梳理站場內(nèi)的主要風(fēng)險點，判斷現(xiàn)有保護措施是否滿足企業(yè)風(fēng)險可容許準則，確定是否增加安全防護措施，并對安全儀表系統(tǒng)(SIS)的安全儀表回路提出安全完整性等級(SIL)需求，以此提高油氣站場的風(fēng)險管控能力[1-2]。參照GB/T 32857—2016《保護層分析應(yīng)用指南》，LOPA分析的流程包括： 場景識別與篩選、后果及嚴重性評估、初始事件描述及頻率確定、獨立保護層識別及要求時危險失效概率(PFD)確認、風(fēng)險評估及建議、后續(xù)追蹤及審查等，其中獨立保護層識別及PFD確認對于SIL等級的確定具有重要意義，微小的識別誤差往往導(dǎo)致SIL定級結(jié)果相距甚遠[3-4]。目前，諸多研究人員對于LOPA分析進行了大量應(yīng)用和改進，但均集中在初始事件描述、使能條件判定和修正因子調(diào)整等方面[5-8]，對于保護層識別方面的研究較少。在實際評價過程中，一些保護層并不滿足獨立保護層的屬性，但依然可以起到減緩后果或降低事故場景發(fā)生頻率的目的?；诖?，在分析獨立保護層定義、屬性和分類的基礎(chǔ)上，有效識別不滿足獨立保護層屬性的保護層，并依據(jù)實例分析提出改進措施，研究最優(yōu)的定量計算方法，為LOPA分析的改進和SIL等級的確定提供實際參考。

1 保護層

1.1 獨立保護層

保護層是為工藝裝置和流程設(shè)置的不同類型的安全防護措施，每一層應(yīng)保持獨立性，能有效防止事故發(fā)生且不受初始事件或其他保護層影響。在LOPA分析中，判斷保護層是否為獨立保護層，應(yīng)滿足有效性(可用性)、獨立性和可審查性的先決屬性。

有效性是指保護層可以及時檢測到響應(yīng)條件，并防止場景中不期望后果的發(fā)生，保護層的PFD≤0.1，即風(fēng)險降低能力不能小于1個數(shù)量級；獨立性是指保護層的執(zhí)行能力不能受初始事件、其他保護層及外界環(huán)境的影響；可審查性是指保護層必須經(jīng)過審查，如審查其設(shè)計、施工、試運行、維護等，確保其能夠按照設(shè)計要求阻止場景發(fā)生不期望后果。

油氣站場內(nèi)工藝流程的典型保護層有本質(zhì)安全設(shè)計、基本過程控制系統(tǒng)(BPCS)、關(guān)鍵報警及人員干預(yù)、安全儀表系統(tǒng)、物理保護、釋放后的保護措施、工廠和周圍社區(qū)的應(yīng)急響應(yīng)等，其中事故發(fā)生后組織人員疏散及滅火、救援等措施存在諸多不確定性因素，并不能保證其有效性，故一般LOPA分析中不把工廠和周圍社區(qū)的應(yīng)急響應(yīng)作為獨立保護層使用。典型獨立保護層的PFD推薦值見表1所列。

表1 典型獨立保護層的PFD推薦值

1.2 非獨立保護層

一般保護層均具有可檢查的信息、文檔和維護程序等，其可審查性可以保證，因此保護層主要考察有效性和獨立性。但有些保護層并不全部滿足屬性特征，如不作為獨立保護層考慮，將增大風(fēng)險評價結(jié)果，夸大SIL定級結(jié)果，造成不必要的資金浪費。

此外，根據(jù)美國化學(xué)工程師協(xié)會化工過程安全中心(CCPS)的規(guī)定，不作為獨立保護層的保護層，即在LOPA分析時，這些保護層的PFD應(yīng)小于10-1，不會對風(fēng)險評價結(jié)果造成影響[9]，故本文不討論該類保護層。不被認定為獨立保護層的保護措施見表2所列。

表2 不被認定為獨立保護層的保護措施

2 保護層識別改進

2.1 非有效性的保護層

根據(jù)獨立保護層的定義和屬性，有效性是指一個保護層要么有效，要么失效，不存在中間狀態(tài)。從表1可以看出，保護層分為控制型(本質(zhì)安全設(shè)計和基本過程控制系統(tǒng))、預(yù)防型(關(guān)鍵報警及人員干預(yù)、安全儀表系統(tǒng))、減輕型(物理保護、釋放后的保護措施)，其中控制型和預(yù)防型屬于主動保護層，一旦工藝流程中出現(xiàn)風(fēng)險，立即生效，其有效性容易判定。而減輕型保護層通常是事故場景已經(jīng)發(fā)生后保護層才起作用，TSG 21—2016《固定式壓力容器安全技術(shù)監(jiān)察規(guī)程》中規(guī)定了安全閥和爆破片的使用要求，兩者可在壓力容器發(fā)生超壓泄放時作用，當(dāng)組合設(shè)置時，爆破片可位于安全閥的上游，且爆破片在動作過程中不能產(chǎn)生碎片；防火堤用于防止油池火的擴散；耐火涂料用于減弱容器表面受到的熱輻射強度；防爆墻體用于阻止蒸氣云爆炸及沸騰液體擴散蒸氣爆炸引發(fā)的超壓對設(shè)備和人員的傷害，這些措施也是在事故發(fā)生后對事故起到減緩作用。綜上所述，這類保護層可能無法全部有效，一旦部分有效，則有可能減緩事故后果，阻止事故發(fā)生情況，因此必須增加這一類保護層的識別。

減輕型保護層主要是減緩事故后果嚴重程度，故引入減緩系數(shù)λ，當(dāng)保護層不起作用時的后果嚴重程度為C1，當(dāng)保護層完全起作用時的后果嚴重程度為C2，則有：

(1)

減緩系數(shù)在0～1，當(dāng)C2=0時，λ=0，說明保護層可以完全規(guī)避事故后果，即保護層滿足完全有效性，此時保護層為獨立保護層；當(dāng)C2=C1時，λ=1，說明保護層沒有發(fā)揮任何作用，即風(fēng)險沒有被減緩，此時保護層不具備相應(yīng)的保護層屬性，非有效性保護層識別分析如圖1所示。其中λ1,λ2,λ3分別為3個保護層的減緩系數(shù)。

圖1 非有效性保護層識別分析示意

引入減緩系數(shù)后，可將后果減緩程度轉(zhuǎn)化為事件發(fā)生頻率的減小計算，設(shè)某一場景的后果嚴重程度為C，滿足有效性的獨立保護層(IPL)有a個，不滿足有效性的保護層(PL)有b個，每個不滿足有效性的保護層的減緩系數(shù)分別為λ1,λ2, …,λb，低要求模式下的場景風(fēng)險表示為

(2)

場景發(fā)生頻率為

(3)

式中：R——場景風(fēng)險；f——場景發(fā)生頻率；C——后果嚴重程度；fl——第l個初始事件發(fā)生頻率；Pig,Pex,Pd——點火概率、人員暴露概率和人員傷亡概率；PFDIPL——獨立保護層的要求時危險失效概率；PFDPL——不滿足有效性保護層的要求時危險失效概率。

2.2 非獨立性的保護層

獨立性判斷的難點集中在于BPCS，關(guān)鍵報警及人員干預(yù)和SIS 3個保護層上，這些保護層經(jīng)常在聯(lián)鎖、報警和控制操作中共用傳感器(如信號在機柜間的機柜內(nèi)采用“一進二出”式安全柵或信號分配器)和執(zhí)行機構(gòu)(如在控制閥的氣源管上設(shè)置電磁閥)，且人員干預(yù)通常也要依據(jù)報警傳感器的指示進行下一步工作，這就導(dǎo)致傳統(tǒng)的LOPA分析中將共用回路的保護層視為非獨立性保護層，即出現(xiàn)保護層之間“共因失效”的問題。但即使存在“共因失效”，造成非獨立性保護失效的原因不見得完全與“共因”相同，故需綜合分析，在此采用故障樹對非獨立性保護層分析，計算共因失效概率。

故障樹是一種特殊的倒立邏輯因果關(guān)系圖，用于表征事故或故障事件發(fā)生的前因后果和邏輯關(guān)系，是系統(tǒng)安全工程的主要分析方法[10]。通過分析非獨立性保護層的失效原因，采用最小割級或最小徑級計算頂上事件的發(fā)生概率[11]，分析流程如圖2所示。

圖2 非獨立性保護層識別分析流程示意

3 實例分析

以某油氣站場內(nèi)原油儲罐進液溢流為例進行分析，由于儲罐溢流、介質(zhì)泄漏，導(dǎo)致發(fā)生火災(zāi)爆炸事故，造成人員傷亡，HAZOP分析結(jié)果見表3所列。

表3 HAZOP分析結(jié)果

只將“液位控制回路失效”這一原因作為LOPA分析的初始事件進行分析，基于站場數(shù)據(jù)，失效概率取1×10-1。回溯整個進料流程，儲罐進料前，操作人員檢查現(xiàn)場液位計，當(dāng)BPCS的液位計顯示儲罐有足夠的空間時，開始進料操作，否則切斷進料泵，當(dāng)?shù)竭_預(yù)設(shè)液位時，BPCS控制停泵，相關(guān)報警和控制參數(shù)在中心控制室顯示。當(dāng)控制回路失效時，儲罐發(fā)生溢流，泄漏量為50 m3，防火堤的設(shè)置符合石油天然氣工程設(shè)計防火規(guī)范的要求，但在40 m3的高度上存在較大裂紋。

通過場景描述可知，人員檢查、BPCS報警、防火堤均可作為保護層使用，前兩者共用一個液位傳感器，即有可能傳感器失效導(dǎo)致這兩個保護層均不具備獨立性而不可用；防火堤作為減輕型保護層，存在裂紋，無法將全部的泄漏油品限制在防火堤內(nèi)，即該保護層不滿足有效性而不可用。

按照傳統(tǒng)的LOPA分析計算方法，沒有獨立保護層可用，點火概率、人員暴露概率和人員傷亡概率均取0.5，則場景發(fā)生頻率為

f=flPigPexPd=
1×10-1×0.5×0.5×0.5=1.25×10-2

假設(shè)風(fēng)險可接受標(biāo)準為1×10-4，則殘余風(fēng)險為0.8×10-2，所需的SIL等級為2。

根據(jù)前面提出的非有效性保護層和非獨立性保護層計算方法，防火堤可以容納40 m3的泄漏量，相當(dāng)于泄漏了10 m3，因此減緩系數(shù)λ=10/50=0.2。

分析人員檢查和BPCS報警2個非獨立性保護層應(yīng)用故障樹，如圖3所示?；臼录l(fā)生概率參照CCPS的規(guī)定，見表4所列。

圖3 非獨立性保護層故障樹分析示意

表4 基本事件發(fā)生概率

利用最小割集遵循布爾代數(shù)運算法則，計算頂上事件“儲罐溢流”的發(fā)生概率：

PT=PM1PM2=(Px1+Px2)×
(Px2+Px3+Px4)=
(0.1+0.1)×(0.1+0.001+0.01)=0.022 2

由此計算保護層識別改進后的場景發(fā)生頻率，防火堤的PFD參照表1取1×10-2，結(jié)果如下：

保護層識別改進后的場景發(fā)生頻率與傳統(tǒng)計算結(jié)果相比，降低了3個數(shù)量級，其值小于風(fēng)險可接受標(biāo)準，不存在殘余風(fēng)險，無需設(shè)置額外的保護層。綜上所述，在LOPA分析和SIL定級中，對保護層的識別改進和風(fēng)險評價是有必要的。

4 結(jié)束語

在進行LOPA分析的過程中，有些保護層不滿足有效性和獨立性的屬性要求，針對該類保護層，分別引入消減系數(shù)量化事故后果減緩程度，計算非有效性保護層對場景頻率的影響；引入故障樹量化共因失效概率，計算非獨立保護層對場景頻率的影響。以儲罐溢流事件進行案例分析，結(jié)果表明保護層識別改進后的場景發(fā)生頻率與傳統(tǒng)計算結(jié)果相比，降低了3個數(shù)量級，降低了傳統(tǒng)方法對于結(jié)果的保守性，其改進方法科學(xué)有效，可在今后的SIL定級中推廣使用。