深水井控STAMP/STPA安全性分析

孟祥坤, 陈国明, 张肖锦,2, 朱 渊, 赵倩琳,3

(1.中国石油大学(华东)海洋油气装备与安全技术研究中心,山东青岛 266580; 2.清华苏州环境创新研究院,江苏苏州 215163; 3.中国石油化工股份有限公司天然气分公司,北京 100120)

深水海域目前已成为油气勘探开发的重要接替区,与陆上钻井相比,深水钻井更为复杂[1]。信息化和自动化程度的提高使得深水钻井平台呈现出信息集成、劳动密集和设备集中的特点,也为钻井事故模型的构建和分析提出了新的挑战。井喷作为深水钻井作业平台面临的最严重事故[2],一旦失控引发火灾爆炸,将严重威胁平台人员、设备和环境安全。如2010年墨西哥湾“深水地平线”半潜式平台井喷爆炸事故,造成11人遇难及490万桶原油泄漏,事故成本超过600亿美元[3]。因此防止井喷的发生并控制其灾变事故是保障深水钻井作业安全的重中之重。深水井控失效导致井喷的致灾机制复杂,风险因素众多。深水作业外部环境的恶劣性以及系统内部组件关联、信息融合、软硬件组合和人机结合的特点,使得影响井喷的风险因素增加且关联性增强,加之人为因素的复杂性,导致安全分析更加困难。传统的基于故障类型的事故模型,如事件树和事故树模型均假设事故的发生是线性的,认为系统的安全性依赖于系统各部件的可靠性;同时,将人、软件与硬件作为独立要素考虑,忽略了系统各组成部分之间的耦合性和相关性,无法从系统联系的角度解释钻井事故发生的内在机制[4]。基于系统理论的事故模型和过程(system-theoretic accident model and process,STAMP)作为传统安全分析方法的拓展[5],一方面适应深水钻井系统集成化、信息化发展的安全可靠性评估需求,另一方面可直观阐明深水钻井失效连锁灾变事故的发生过程。STAMP模型由Leveson[6-7]提出,目前已在航空航天[8]、核电[9-10]和高铁[11-12]等行业得到广泛应用。该模型适用于现代复杂的人与软硬件结合系统的安全性分析与控制,但在定量分析方面尚显不足。鉴于此,笔者针对复杂系统安全分析所面临的系统性和定量性挑战,提出STAMP系统性分析与动力学分析相结合的方法,从控制角度对深水井控作业安全性进行分析:基于STAMP/STPA方法,根据井控作业流程,定义安全控制结构,对其不安全控制行为和潜在风险进行详细分析;采用OLGA动力学分析方法,分析井涌后“没有提供控制行为”和“控制行为发生延迟”工况下系统的安全性。

1 STAMP/STPA机制

1.1 STAMP基本原理

复杂系统安全性是特定环境下由系统相关要素交互作用所产生的一种涌现特性[6],事故的原因是对系统组件、人为因素、环境以至社会与管理因素间复杂相互作用控制不当的结果[12],系统安全性分析要求发现系统中潜在的不安全行为或因素,并及时采取控制与约束措施。区别于传统的基于部件可靠性理论的安全性分析方法,STAMP模型是基于系统理论和控制理论,将安全性视为系统组元、人为因素、环境因素和组织管理因素在非线性相互作用下的一种整体涌现性。复杂系统作为一种开放的非线性系统[13],子系统之间以及系统与外界之间有物质、信息和能量的交互,安全评估的要点是要明确系统内部各种功能组件及其逻辑控制关系,分析组件可能遭遇的外部干扰和环境因素,从而明确系统正常运行所需的控制要求。

STAMP模型认为事故的发生是系统在运行过程中对组元失效、外部扰动和交互紊乱缺乏有效控制,导致不安全情形出现[14]。该方法重点考虑事件发生的时机和次序,通过对复杂动态过程的控制流程辨识安全威胁,开展安全评估。STAMP提出3类基本控制缺陷,指导复杂系统的安全分析[8],具体包含:①控制指令错误或不足(不安全控制行为);②控制行为执行不充分;③反馈信息错误或不足。

1.2 STPA分析方法

STPA(system-theoretic process analysis)是基于STAMP的系统性安全评估方法,通过构建由控制器、执行器、控制过程和传感器构成的反馈控制回路(图1)[10],分析控制行为在性能、时间或逻辑上的不合理情形,辨识不安全控制作用和场景。STPA的执行包含以下步骤[15]:①辨识导致事故的系统状态或条件,定义系统风险;②开发安全控制结构,识别系统元件之间的关联关系,分析安全需求和限制;③识别不安全控制行为导致的约束失效,STPA定义了4种不安全控制行为，即没有提供控制行为、控制行为错误或不安全、控制行为发生延迟、控制行为结束过早;④不安全控制行为关键原因分析。

图1 安全控制回路Fig.1 General safety control structure based on STAMP

2 深水钻井系统STAMP/STPA分析

与其他安全分析方法相似,STAMP/STPA方法主要识别系统存在的风险,但不同之处在于,传统安全分析方法通过分析得到系统各组件的危险概率;STPA是通过辨识在井控过程中的控制指令错误或不足、控制行为执行不充分以及反馈信息错误或不足等,识别系统控制回路中的不安全状态,从系统控制和约束的角度进行安全性分析。

2.1 深水钻井系统安全风险与约束

深水钻井时,地层孔隙压力和破裂压力之间的安全窗口比较窄,导致井控作业窗口较窄;井涌余量、最大允许关井套压和隔水管钻井液安全增量随水深增加而降低;同时,深水地层上覆岩层压力低,导致地层疏松,井壁稳定性差,井控操作容易造成井漏等复杂状况[16]。

图2为典型的控压钻井(MPD)过程[17],水下井口处配置防喷器组,经隔水管、辅助管线等与钻台上的节流压井设备连通。正常钻进时,钻井液在循环系统中单相流动;发生井涌后,地层流体首先侵入井筒环空,若发现较晚,油气可能进入隔水管段,并迅速发展为井喷;关井时,通过关闭防喷器(BOP)使得套管压力稳定;压井时,通过钻杆—井筒环空—节流管线的循环通道驱替溢流,使地层和井底压力达到新的平衡。

图2 控压钻井流程示意图Fig.2 Schematic of managed pressure drilling (MPD) flow process

将井筒压力作为深水钻井井喷事故的安全约束条件,通过相应的约束屏障对压力进行控制[18]。控压钻井通过相关设备控制钻进过程中的压力场,利用钻井液柱压力平衡地层压力,可有效阻止地层流体侵入井筒[19],是防止井涌的初级约束屏障;但在深水作业过程中,常因内外环境变化使得压力控制遭到破坏而产生井涌,此时则需要依靠防喷器组、旋转控制头和节流压井管汇等设备进行关井和压井作业,重新恢复对深水井的压力控制,此为防止井喷的二级约束屏障;若没有及时发现井涌或防喷器失效,则会升级成为井喷,作用于井喷失控灾变事故扩大后的应急阶段的消防系统等为三级约束屏障。

2.2 定义安全控制结构

对于井控安全,最有效的策略是在钻井过程中控制井筒液柱压力,并在溢流出现初期进行及时控制。据图1所示的反馈控制回路,深水钻井作为复杂的人机系统,钻台上由工控机和相关操作人员共同构成控制器(图3),节流压井管汇、节流阀、旋转控制头和水下防喷器组(图2)构成执行器,井筒压力为控制过程,随钻测压系统PWD和其他信号传递设备则为传感器。

图3 深水钻井STAMP/STPA控制与反馈模型Fig.3 STAMP/STPA model of control and feedback for deepwater drilling

图3中,下行箭头均为控制行为,上行箭头均为反馈过程。确定井涌及井喷事故可承受风险值域后,由深水钻井相关人员根据反馈的井筒压力信息发出控制指令。井控相关人员(包含平台经理、高级队长、司钻、钻井液录井工和固井工等)形成上下层控制关系,通过相关传感器反馈所形成的各项信息,判断是否超过可承受风险阈值,进而通过控制相关执行器(图2),实现井控操作。

正常钻进时,PWD实时监测地层孔隙压力和环空循环当量钻井液密度,并上传至钻台控制系统,保证在钻进过程中及时发现溢流;监测到溢流后,停泵并直接关闭防喷器完成关井操作;关井后,缓慢开泵,调节节流阀开度控制井口回压,保持井底压力略高于地层压力以防止新溢流进入井筒;采用司钻法压井[20],泵入原密度钻井液,钻井液经钻杆下行至井底,将溢出流体经井筒环空排出,溢出流体与钻井液混合物从防喷器经节流管线返回平台并进行分离;用重钻井液替换原密度钻井液,先后经钻杆、井筒环空、防喷器与节流管线将钻井液排出。

2.3 不安全控制行为

依据STAMP/STPA模型,从4类不安全控制行为角度,分析井控指令错误或不足导致的系统性风险。表1识别出的不安全控制行为,可转化为作用于井筒压力的安全约束。为防止井喷事故的发生,在深水钻井过程中需保证系统控制行为符合安全约束。

表1 潜在不安全控制行为

2.4 关键原因分析

在确定不安全控制行为导致的危险后,根据控制反馈模型以及STAMP/STPA的提出的基本控制缺陷,总结不安全控制行为导致井涌及井喷事故的关键因素:控制行为执行不充分和反馈信息错误或不足。

2.4.1 控制行为执行不充分

在钻进过程中发现溢流后提供了控制行为,但执行时控制行为并不充分,包含:

(1)发现井涌并发出防喷器关闭指令后,防喷器未完全关闭。

(2)泵入钻井液循环量和注入水泥量不足,导致油井安全余量降低。

(3)关井时,在节流管线与井筒环空未形成循环回路前即注入压井液,井底压力短时间内快速增大导致地层压裂。

(4)压井时,压井管线中未注入水合物抑制剂,造成压井管线堵塞。

(5)天然气溢流到达井口时,未判断套压是否超过套管最大允许压力,因套压过高压漏井筒。

2.4.2 反馈信息错误或不足

反馈信息错误或不足的关键原因包含:

(1)反馈信息产生阶段。测量钻井液密度和井筒压力的方法存在缺陷[21];系统各阀门状态信息的获取不充分或存在缺陷;井控方法的选择不恰当;其他与井控相关的重要信息没有及时获取或获取方法错误。

(2)反馈信息传输阶段。有关钻井液密度和井筒压力的反馈信息不正确、延时或丢失;各级控制人员的反馈信息不正确、延时或丢失;反馈信息显示有井涌等危险的发生,但实际并无危险。

(3)外部因素影响。外部(如平台监理)指挥信息不正确;海洋和地层环境的获取不充分、不正确或丢失。

3 深水井控工艺流程控制实例分析

STAMP/STPA分析方法从系统控制和约束的角度定性分析深水井控作业的安全性,定义安全控制结构,辨识不安全控制行为和产生危险的关键原因;以系统性分析为基础,根据井控STAMP/STPA分析流程,对深水钻井作业控制过程进行定量分析,构建正常钻进—井涌—关井—压井阶段的动力学模型,以“没有提供控制行为”和“控制行为发生延迟”为例,将不安全控制行为抽象成发现井涌后未施加约束以及延时施加关井和压井约束,通过井控实际作用时机来评估井控危险状况。

3.1 深水井控动力学模型

以深水天然气井为例,进行井涌发生后的井控动力学分析。天然气进入井筒环空后,使得钻井循环系统中含有钻井液、地层岩屑、天然气三相流体,流体在循环系统中为多相流动,满足质量守恒和动量守恒[20]:

(1)

(2)

(3)

(4)

式中,A为井筒环空横截面积,m2;ρ1、ρs和ρg为密度(下标1、s和g分别代表钻井液、地层岩屑与天然气三相),kg/m3;α为三相的体积分数,%;v为流速,m/s;qs为单位厚度内产出岩屑的速度,kg/(m·s);qg为单位厚度内气侵速度,kg/(m·s);g为自由落体加速度,m/s2;θ为井斜角,(°)(本文中为竖直井,90°);pf为系统内沿程阻力损失,MPa。

式(1) ～ (3)分别为液相、固相和气相质量守恒方程,式(4)为三相动量守恒方程。

实例天然气井的工况为:水深为1 828 m,井深为5 304 m,地层温度为100 ℃,海底环境温度为3 ℃,钻杆直径0.108 6 m,井筒环空当量直径0.295 3 m,隔水管环空当量直径0.47 m,节流管线直径0.132 m,地层压力54 MPa,管壁平均传热系数为500 W/(m2·K)。

根据钻井流程和安全控制结构,采用全动态多相流模拟软件OLGA进行动力学仿真,建立深水天然气井控工艺流程模型,如图4所示。OLGA软件可对混合流体的质量、动量与能量守恒方程进行数值求解。

图4中,将钻杆和井筒环空视为连通的U形管,防喷器简化为1和2两个节流阀,钻杆及隔水管末端加单向阀1和2以防止模型内部发生倒流,节流管线末端安装节流阀1。正常钻进时,防喷器1关闭,防喷器2打开,流体按照钻杆—井筒环空—隔水管—上部井口流动;发现井涌后关井时,停止钻井,防喷器2关闭;压井时,防喷器1打开,通过调节节流阀开度控制压井过程,流体则按照钻杆—井筒环空—节流管路流动。

图4 深水天然气井控流程Fig.4 Deepwater gas well control process

3.2 数值计算结果分析

3.2.1 没有提供控制行为

假定在正常钻进30 min后发生井涌,“没有提供控制行为”即不采取关井措施时,井涌初期由于气体尚未进入下部井口,持液率保持不变,但压力出现小幅波动;约在60 min井涌气体开始进入下部井口和隔水管,井口压力和持液率开始迅速降低,约在100 min降至最低值(图5(a)),即井筒环空被喷空。下部井口被喷空后,上部井口约在100 min也迅速被喷空(图5(b))。因此,气体进入隔水管之前,系统存在30 min相对安全时间,此时压井可有效防止井涌升级成为井喷;气体进入隔水管之后,约在85 min,上下井口压力和持液率均急剧下降,100 min时形成持续的井喷。

图5 未关井时下、上部井口压力和持液率随时间变化曲线Fig.5 Relation of pressure and liquid holdup of wellbore with time without shut-in

由图5可知,发生井涌后,若因设备或人因失误等原因而“没有提供控制行为”,在井涌阶段末期,即气体进入隔水管后,井口压力和持液率急速下降,井涌在极短的时间内发展为井喷[22]。

3.2.2 控制行为发生延迟

假定在井涌发生后某一时刻(5、15、25和35 min)被井控人员发现,立即施加控制和约束措施,即停泵并关闭防喷器,关井15 min后开始压井,将溢流驱替排出。

图6为井控作业过程中下部井口持液率变化。由图6可知,发现井涌的时间越晚,进入井筒内的气体越多,井口持液率的最低值越小;在不采取任何控制和约束措施条件下,气体约在60 min进入隔水管(图5(a)),因此,在井涌发生后5、15和25 min关井时,气体尚未到达井口位置,关井初期井口持液率未发生明显变化;井涌发生后35 min关井时,气体已进入下部井口,关井后井口持液率出现波动。压井时,注入钻井液后,由于气体与钻井液混合流体在井筒内上移,造成井口持液率降低;随着钻井液持续注入,钻井液在混合流体中所占比例逐渐上升,溢流逐步被排出,井口持液率上升并恢复至正常钻进时的状态。

图6 井控作业过程中下部井口持液率变化Fig.6 Liquid holdup variation of wellbore during well control

图7为井控作业过程中下部井口压力变化。由图7可知,随着发现井涌的时间增加,提供控制行为后井口压力波动值逐渐增大;关井初期,井内气体仍然进入井筒,造成井口压力增加,且关井越晚,压力增加值越大。压井时,对于井涌发生后5、15和25 min提供控制行为的工况,压井初期由于打开防喷器1,井口压力快速下降,但随即出现一段时间的相对稳定状态,这是由于此3种工况下,井筒内气体尚未到达井口,由井口进入节流管线的仍为钻井液;而对于35 min后提供控制行为的工况,由于关井时气体已经进入到井口,压井后井口压力快速下降。随着注入钻井液量的增加,井筒内气体和钻井液混合流体上移,造成井口压力逐步降至最低值;由于井涌后提供控制行为的时间越晚,井筒内气体越多,气体与钻井液混合流体密度越低,因此井口压力最低值也越小;随着混合流体逐步被驱替排出,井口压力上升,地层和井底压力达到新的平衡,井口压力重新达到稳定,且高于井涌前的压力。

图7 井控作业过程中下部井口压力变化Fig.7 Pressure variation of wellbore during well control

综合图6、7,井涌发现时间越晚,气侵程度越严重,施加约束时系统内的压力波动越大,对设备造成损伤越大,进而引发井喷等严重事故后果的可能性也越大。针对井涌没有及时被监测或判断的情况,通过对关井和压井时机的合理调整,可以实现井涌、关井和压井时的井筒压力控制。但是,延时井控必须满足一定时间范围,综合分析,实例工况的安全操作时间裕量为30 min。深水地平线井喷事故的直接原因就是在发生大量溢流的情况下,仍然开泵循环,而由于“控制行为发生延迟”,停泵关井时,井筒已完全被喷空,防喷器被刺漏后引发强烈井喷。因此,采用STAMP/STPA作为系统性安全分析指导并划定安全操作时间,根据井控系统安全控制结构,保障传感器和执行器可靠性,提高包括井控相关人员在内的控制器的时效性和研判水平,在系统相对安全的时间内对控制过程实施约束,阻止井涌到井喷事故的升级。

4 结 论

(1)STAMP/STPA模型通过辨识系统风险和约束、定义安全控制结构、指出不安全控制行为和分析不安全行为产生的关键原因等流程,可对深水井控作业过程进行安全性分析。

(2)STAMP/STPA模型将工控机和井控人员作为控制器,井控装备作为执行器,井筒压力作为控制过程,信号传递设备作为为传感器。建立的井控过程控制模型以“没有提供控制行为”和“控制行为发生延迟”为例,量化了系统安全控制时间裕量,验证了该方法在指导深水井控安全分析领域的可行性与有效性。

(3)深水井控作为一项复杂系统工程,应用STAMP/STPA安全分析方法可以克服传统安全分析方法无法评价系统组元异常相互作用的缺点;在实际应用时,作为指导准则与动力学分析方法的结合,可实现复杂系统安全分析的系统化与定量化操作。