刘 宇,张海锋,路 通
(中海石油技术检测有限公司,天津 300452)
火气系统功能有效性的绩效评估方法
刘 宇,张海锋,路 通
(中海石油技术检测有限公司,天津 300452)
火气系统作为减灾保护层安全仪表系统,以抑制火灾和气体泄漏带来的风险为目的,在石化现场发挥着重要的保护作用。风险抑制能力取决于火气系统的功能有效性,受多方因素影响,如现场探测器的布置、系统自身配置、应急响应和灭火能力等。要实现对火气系统功能有效性的绩效评估,需要综合多方因素进行分析。采用ISA-TR84.00.07推荐的事件树风险分析模型,从探测覆盖率、系统安全完整性及灾难抑制措施有效性三个层面综合分析、计算系统的功能有效性和风险抑制能力,从而实现定量评价。通过典型案例分析,对探测覆盖率分析技术和安全完整性评估技术的基本理论和方法进行了梳理和介绍,并验证了基于事件树模型的火气系统有效性评估理论的可操作性,证明了采用事件树模型、结合探测覆盖率和功能安全基础理论,可以较好地实现火气系统功能有效性的绩效评估。
监测报警; 安全仪表系统; 安全完整性等级; 功能安全; SFF; HFT
火灾及气体监测报警系统(fire and gas system,FGS),简称火气系统,是用于监控火灾和可燃气及毒气泄漏事故,并具备报警和一定灭火功能的安全仪表系统。火气系统属于减灾保护层安全仪表系统,与预防保护层安全仪表系统(如紧急停车系统)相比,影响火气系统功能有效性的因素更为复杂。除FGS自身的安全完整性外,现场探测设备的数量、布局和安装位置、输出响应后消防、喷淋等灾难抑制措施的有效性、人员应急响应能力等因素都对会火气系统的整体有效性造成影响[1]。依据设计经验,通常对火气系统的功能有效性和风险削减能力作深层次分析,但这其实与安全仪表系统的设计和管理要求存在差距。
国家安监总局在“安监总管三〔2014〕116号文件——加强化工安全仪表系统管理的指导意见”中明确将火气系统列入了安全仪表系统范畴,并要求加强对新建及在役“两重点一重大”化工装置和危险化学品储存设施的安全仪表系统的风险评估管理。如何对火气系统的功能有效性(风险削减水平)进行绩效评估已成为系统设计及管理的重点课题。
综合分析火气系统的原理和功能,火气系统的功能有效性取决于三方面的因素:探测覆盖率、系统安全完整性、灾难抑制措施有效性[2]。
探测覆盖率:在预设表决机制下,现场探测器探测覆盖空间占火灾/泄漏可能出现空间的比重,也可以理解为现场火灾/泄漏事件被有效探测到的概率。
安全完整性:火气系统有效执行某项安全仪表功能(safety instrumented function,SIF)的能力,通常可以用SIF要求的平均失效概率或称平均危险故障率(probability of failure on demand,PFDavg),或安全完整性等级(safety integrity level,SIL)来表征。
灾难抑制措施有效性:启动终端减灾设备,可有效减弱危害后果的概率,如阻止火灾的蔓延和泄漏气体的积累。减灾措施需要以足够迅速的方式进行启动才能有效减弱事故的严重性。否则,减灾措施可能会失效或不足,例如:
①灭火系统不足以控制火势;
②隔离或泄压太慢,未能阻止泄漏气体的积累;
③通知和提醒设备启动不够迅速,人员逃离滞后;
④应急预案不足以正确指导人员撤离。
在ISA-TR84.00.07研究报告中,推荐采用事件树模型来定量评估火气系统的风险削减水平[2-3]。该模型以火灾或气体泄漏危险情景为起点,按照险情的发展趋势,分析每一个因素对火气系统正确执行功能(成功YES / 失败NO)的影响,用定量分析的方式计算每一种可能性的发生概率。用事件概率与后果严重性的乘积来表征过程风险,可加权计算出由火气系统失效所引入的风险因子(weighted average consequence,CWA),其倒数1/CWA便可表征火气系统的风险削减倍数。事件树风险分析模型如图1所示。
图1 事件树风险分析模型
在上述模型的基础上,可按式(1)定量计算火气过程风险(R)。R=CWA×Funmiltigated×PFD(IPL1)×PFD(IPL2)×…×PFD(IPLn)
(1)
式中: Funmitigated为火气危险事件发生的频率(次/年);PFD(IPL)为针对此火气危险事件其他独立保护层的失效概率。将过程风险与用户风险的标准进行比较,就可以判断当前火气系统的功能有效性及其他保护层措施是否满足火气风险的控制要求。
探测覆盖率作为火气系统的特征参数,直接影响系统的功能有效性。如果现场探测设备覆盖率不足,硬件配置再高的火气系统也未必能有效削减现场火气风险。
表1引用了GeneralMonitors相关研究报告(SIL104)中的风险降低数据[4],通过数据分析发现:在探测覆盖率95%的条件下,硬件配置达到SIL3(PFDavg=9.9×10-4)的系统,实际的风险削减能力仅为5.09×10-2,相当于SIL1水平。由此可见,对于火气系统而言,抛开探测覆盖率而单纯追求系统硬件的高可靠性是没有意义的。
表1 风险降低数据(SIL104)
FGS探测覆盖率分析,实际上就是定量评价火灾/泄漏危险事件被有效探测到的概率。采用几何投影技术,对被保护区域内现场探头的探测覆盖率进行定量分析。
ISA-TR84.00.07中给出了几何覆盖率和场景覆盖率两个概念,可通过图2给出的海洋石油平台单井口撬块案例进行说明[2]。案例的几何参数为长12.2 m、宽3.7 m、高3.7 m;撬块中仅包含一套井口装置,如图2(a)中圆形位置;撬块对角位置设置2台火焰探测器,共同监测此该区域内火灾事件。
根据火焰探测器自身探测范围参数,在考虑空间遮挡的情况下,可核算出该区域内的探测覆盖范围,如图2(a)所示。其中:区域一被2台探测器覆盖;区域二被1台探测器覆盖;区域三无探测器覆盖。系统预设的表决机制为2ooN结构,即2台探测器同时报警时输出下一步响应,所以可以认为区域一为有效探测区域。计算区域一面积占总区域面积的比例,即为被保护空间内的几何覆盖率。经计算,本案例的FGS几何覆盖率为64.5%。
在几何覆盖率的基础上,可进一步进行场景覆盖率分析:在整个受保护区域内,仅井口位置存在因可燃物质泄漏引发火灾的风险。通过定量风险分析,预测可能形成长2 m、直径0.3 m的喷射火焰;火焰喷射方向随机,假设有8个方向的可能,如图2(b)所示。在这个危险场景下,计算探测器对可能出现火焰区域的探测覆盖率就是FGS场景覆盖率。经计算,在火焰可能出现的区域内,88%的区域被2台探测器同时覆盖,即本案例的FGS场景覆盖率为88%。
图2 FGS探测覆盖率分析案例
在实际工程项目中,现场的环境更复杂,风险点也更多,简化的二维理论模型分析不易实施,且偏差较大。通常可采用3D建模的方式,利用几何投影技术相关工程软件进行FGS探测覆盖率的细化分析。在火气系统设计、优化等环节, FGS探测覆盖率分析技术都可发挥关键作用。
火气系统作为安全仪表系统的一个分支,系统的安全完整性可按相关功能安全标准进行定量评估[5]。
为了保证工艺装置的生产安全,安全仪表系统必须具备与工艺过程相适应的SIL可靠度。评估安全完整性等级SIL的主要参数为PFDavg,按其从高到低依次分为1~4级。石化行业一般涉及的只有1~3级[6-7]。低要求模式下,SIL与PFDavg及目标风险降低能力(target risk reduction,TRR)的对应关系如表2所示。
表2 低要求模式下SIL、PFDavg、TRR对应关系
火气系统每项SIF实际具备的SIL是由回路中各环节的失效概率所决定的[8]。IEC 61508/IEC 61511给出了系统平均失效概率计算和评估的指导方法,最常用的方法为可靠性框图法、马尔可夫模型法[8-9]。针对每个SIF的PFDavg计算步骤如下。
(1)画出表示传感器子系统(输入)各部件、逻辑子系统各部件、最终元件子系统(输出)各部件的块图,将每一个子系统描绘成MooN表决组结构。
(2)确定检验测试时间间隔(test interval,TI);确定每次失效的平均恢复时间(mean time to restoration,MTTR)。
(3)对于每一个子系统的表决组,确定:
①表决结构(例如2oo3);
②每个通道的诊断覆盖率(diagnostic coverage,DC)(例如60%);
③每个通道的失效率(每小时)λ(包括:λD、λS、λDD、λDU、λSD、λSU);
④表决组中通道之间相互作用的共同原因失效的系数β。
(4)将确定的参数代入数学模型,计算每个子系统的失效概率PFDavg。PFDavg计算模型如图3所示。
图3 PFDawg计算模型示意图
计算模型此处不作进一步详述,具体方法可参考相关标准。
根据IEC 61508/IEC 61511,评估SIF的SIL时,不仅要考察SIF的PFDawg是否符合表2的要求,同时还需考评子系统的结构约束是否满足表3的要求。对于结构约束的考评,主要针对安全失效分数(safe failure fraction,SFF)和硬件故障裕度(hardware fault tolerance,HFT)2个参数。
表3 SIS系统结构约束要求
表3中:A型子系统指结构简单的常用设备,如阀门、继电器、检测开关等;B型子系统指结构复杂的、或者采用维处理器技术的设备,如可编程控制器、智能变送器等。
以海上平台典型甲板为案例,对火气系统功能有效性评估流程和方法进行介绍。
分析对象基本信息:海洋平台某甲板撬块内部布置3个罐体,罐内为可燃物质,现场存在火灾风险。甲板四周设置3台火焰探测器,监测撬块内火灾事件。甲板撬块FGS保护模型如图4所示。
图4 甲板撬块FGS保护模型
火气系统功能有效性评估流程如下。
①用户的可接受风险分析。通过用户的可接受风险分析,确定风险评价标准,作为火气系统功能效性的评判准则。本案例预定的可接受风险为1×10-4/年,即用户可容忍此撬块发生火灾灾害的频率为10 000年1次。
②火灾初始风险分析。火灾初始风险分析主要是综合考虑被保护对象的温度、压力、组分及现场环境等因素,通过定量风险分析(quantitative risk analysis,QRA)、装置失效分析、经验假设、历史比对等方法对火灾可能出现的范围及频率进行定量评定,作为FGS功能有效性评估的输入项。火灾初始风险分析相关技术已超出本文范围,此处不作细化。对本案例作简化分析后,得出结论:火灾风险区域为如图4中的虚线区域,火灾发生频率Funmitigated=1.0×10-3次/年。
③FGS探测覆盖率分析。根据现场火气探头的布置情况,采用3D投影技术计算探测覆盖率,得出FGS探测覆盖区域分布情况(h=1.5 m)如图5所示。
图5 FGS探测覆盖区域分布图(h=1.5 m)
计算得出火灾风险区域内的FGS探测覆盖率如表4所示。火气系统设定的现场探头表决制作为2ooN,故此案例的FGS探测覆盖率为77.9%。
表4 FGS探测覆盖率
④FGS安全完整性分析。本案例的SIF回路由现场探测器、逻辑控制器和终端执行器组成,现场探测器表决结构为2ooN,逻辑控制器为1oo2D冗余结构,输出启动消防电磁阀组为1oo2结构。SIL回路内各环节硬件的可靠性数据如表5所示。
表5 FGS回路的可靠性数据
FGS子系统失效概率计算表如表6所示。
表6 FGS子系统失效概率计算表
计算SIL回路整体的失效概率为:
FGS的硬件有效性为:1-0.84×10-3=99.916%。在失效概率层面,该FGS系统的硬件配置可达到SIL2的水平。
⑤FGS减灾有效性分析。FGS系统正常启动发出相应的输出信号,后续的消防、喷淋、应急系统将进一步对火灾进行扑救及抑制[10]。FGS减灾有效性取决于减灾措施的启动速度和灾难削减能力。对于此方面的分析,本文不作进一步详述。假设本案例的减灾有效性为0.95,即FGS正常启动后,减灾措施抑制灾难发生及恶化的几率为95%。
⑥FGS功能有效性绩效评估。应用事件树模型,评估火气系统的功能有效性如图6所示。
图6 FGS功能有效性评估模型
此火灾风险在无其他独立保护层的情况下,当前的火气过程风险为:
R=CWA×Funmitigated×PFD(IPL1)×PFD(IPL2×…×PFD(IPLn)=0.27×1.0×10-3×1×…×1=2.7×10-4/年
此数值超过了用户的可容忍风险1×10-4/年,可判定当前配置下火气系统的功能有效性尚无法满足用户的风险削减要求。
⑦改进与优化。当前火气系统配置无法满足风险控制要求,需进行改进与优化。分析系统的几项指标可以发现:在当前系统的相关硬件安全完整性已达到较高水准(SIL2)的情况下,系统的探测覆盖率仅为77.9%,还有进一步提升的空间。
设计两套方案实现FGS探测覆盖率提升:方案一,将现场探头表决方式更改为1ooN(单探头报警即响应输出),现场探测覆盖率可增加至98.1%(数据见表4);方案二,现场增加布置一个火焰探测器,改进的FGS保持模型如图7所示。经计算,方案二的探测覆盖率可增至97.2%。
图7 改进的FGS保护模型(方案二)
FGS改进方案对比如表7所示。
表7 FGS改进方案对比
通过参数对比,两个改进方案均能有效提高FGS现场探测覆盖率,并使得火气系统的整体功能有效性满足现场风险的控制要求。但是,考虑到1ooN的探头表决结构会增加系统的误报警几率,降低系统的可用性,对正常生产造成不良影响,故建议在条件允许的情况下,采用增加现场探测器的方式(方案二)进行系统优化。
火气系统作为石化现场重要的安全保障系统,其功能有效性越来越受到重视。相比于预防保护层的安全仪表系统,影响火气系统功能有效性的因素则更为复杂。
利用事件树风险评估模型,可以从探测覆盖率、系统安全完整性及灾难抑制措施有效性三个层面,定量分析系统的风险抑制能力和功能有效性,实现对火气系统功能有效性的绩效评估。
[1] 徐伟华.火/气探测系统与安全仪表技术[J].自动化博览,2011(S1):16-18.
[2] Instrument Society of America.ISA-TR84.00.07 Technical Report Guidance on the Evaluation of Fire,Combustible Gas and Toxic Gas System Effectiveness[R].2010.
[3] 张照千.基于FGS风险模型定量分析探测效果[J].石油化工自动化,2011,5(10):5-8.
[4] General Monitors Systems Asia.Technical Report SIL 104:Impact of gas detection coverage on SIF SIL rating[R].2008.
[5] International Electro technical Commission.IEC61511 Functional Safety-safety Instrumented Systems for the Process Industry Sector[R]. 2003.
[6] 张建国.安全仪表系统在过程工业中的应用[M].北京:中国电力出版社,2010.
[7] 阳宪惠,郭海涛.安全仪表系统的功能安全[M].北京:清华大学出版社,2007.
[8] 吴少国,张丽丽,俞文光.在役安全仪表系统的SIL验证方法与实例[J].自动化仪表,2016,37(1):6-8.
[9] 许忠仪.安全仪表系统(SIS)的SIL评估[J].化工自动化及仪表,2009,36(5):62-66.
[10]李季.火气系统在海上油气田的应用研究[J].仪器仪表用户,2015,21(2):43-45.
Performance Evaluation Method for Function Effectiveness of FGS
LIU Yu,ZHANG Haifeng,LU Tong
(CNOOC Technical Inspection Co.,Ltd.,Tianjin 300452,China)
As one of the safety instrument systems of the disaster mitigation and protection layer,with the goal of eliminating the risks of fire and gas leakage,the fire and gas system (FGS) plays an important protective role in petrochemical fields.Risk suppression capability depends on the functional effectiveness of FGS;it is affected by many factors,such as the layout of the detectors in the field,the configuration of the system,and the capability of emergency response and extinguishing,etc.To achieve the performance evaluation of functional effectiveness of FGS,it is necessary to comprehensively analyze multiple factors.The event tree risk analysis model recommended by ISA-TR84.00.07 can be used;the analysis includes three aspects,i.e.,the coverage of detection,the safety integrity,and the disaster mitigation measures,then the functional effectiveness of system and risk suppression capability are calculated,thus the quantitative evaluation is implemented. Through analyzing the practical cases,the basic theories and methods of the coverage analysis technology and safety integrity assessment technology are introduced and sorted,the operability of the assessment theory based on event tree model is verified.It is proved that event tree model combing with the basic theories of detector coverage and functional safety is effective for function effectiveness evaluation of FGS.
Monitoring and alarm; Safety instrumented system; Safety integrity level; Functional safety; SFF; HFT
刘宇(1981—),男,硕士,工程师,主要从事海洋石油仪表系统检测评估的研究和应用工作。E-mail:liuyu21@cnooc.com.cn。
TH701;TP277
A
10.16086/j.cnki.issn1000-0380.201704006
修改稿收到日期:2017-01-23