刘荫,王海清,许小林,刘美晨
(1中国石油大学(华东)机电工程学院,山东青岛266580;2中石油广东石化分公司设备管理中心,广东揭阳522000)
石化工厂内泄放至火炬系统的装置通常由多个保护层保护,常见的有:压力调节回路(PCV),超压联锁保护回路(SIF),机械泄压设备等。当PCV和SIF保护层失效时,装置通常由机械泄压设备来泄放至火炬系统,导致产生火炬负荷。目前国内在进行SIL定级分析时广泛采用保护层分析(LOPA)技术,但是IEC 61511《过程工业安全仪表系统的功能安全》(Functional safty-safety instrmented systems for the process industry sector)等标准[1-4]在应用中也暴露了目前使用LOPA等技术确定SIL(safety integrity level)的缺陷[5-6]:无法同时考虑多个SIF回路之间的相互影响,及其跳车后的潜在次生灾害影响。具体而言,使用LOPA技术对超压保护SIF回路进行定级时,通常只考虑单个被保护压力容器的风险,同一初始事件导致多个装置同时泄放的情况则未被考虑[7-8],这类初始事件发生时,火炬系统可能存在较大风险。本文针对此缺陷进行研究,旨在寻找一种考虑多个装置同时泄放而引起次生风险情况的SIL定级修正方法。
采用IEC标准给出的LOPA方法对压力设备的超压保护SIF回路进行定级时,只能考虑单一场景的风险降低需求及风险分配,不能考虑多个关联场景之间的风险耦合及其对SIL定级的影响。例如,导致多个压力设备发生超压风险的单一初始事件(公用工程失效等)的发生,可能使火炬系统压力超过设计值,进而可能导致火炬管网的背压、噪声、马赫数等超出设计标准,造成泄放憋压、火炬气泄漏甚至火灾爆炸等事故,因此存在较大的风险[9-10]。当SIS保护的装置有多个时,火炬负荷变化更为复杂,难以进行风险的量化计算。如图1所示多单元组成的联合装置,精馏塔1至精馏塔4均由多个超压联锁SIF回路和安全阀保护,其中每个SIF回路均采用2oo3表决结构。在特殊工况发生时精馏塔内压力迅速升高,通过SIS系统切断再沸器蒸汽,精馏塔内压力不再上升,此时安全阀将不会起跳,即不会产生火炬负荷;若联合装置的部分SIF回路失效导致某些精馏塔失去仪表保护功能,则精馏塔内压力会持续升高导致安全阀起跳向火炬系统释放火炬气。因此,当诸如停电、外部火灾等公用工程导致的初始事件发生时[11],精馏塔1至精馏塔4可能发生(多个)SIF回路失效,此时火炬系统负荷可能超出设计容量进而产生风险。
针对关联泄放导致的风险,Lopez等[12]已做出相应研究:针对CCF(common-cause failure,相同原因导致的多个设备、功能或系统故障)导致的火炬系统风险提出了一种基于事故树的概率风险评估方法,用于确定组合火炬情景而导致火炬超载的可能性。本文借鉴多源同时泄放叠加方法,为存在压力设备组合泄放情况的联合装置提供一种SIF回路SIL等级的修正方法,对传统LOPA技术中事故发生频率进行合理修正,进而得到符合要求的压力保护SIF回路的SIL等级。
图1 多SIF回路保护的泄放装置群实例Fig.1 Example of a group of relief devices protected by multiple SIFcircuit
多源同时泄放的叠加方法通过计算多装置同时泄放时泄放路径及泄放路径出现概率得到所有可能发生的泄放情况及其发生概率[13]。该方法依据以下原则:某特殊工况下多个泄放源同时发生泄放时,应按照每个工艺单元依次取得100%的泄压负荷连同50%其他单元的量来计算,泄放组合按照排列组合的方式列出,并认为同一泄放组合下各泄放路径的出现概率相同。
举例说明:假设电力失效情况下有装置a、装置b、装置c可能发生泄放,装置a、装置b、装置c的泄放概率分别为Pa、Pb、Pc,依照上述原则,可得到如图2所示的泄放路径及泄放路径出现概率。
本文提供的方法适用于以下场景:为方便演示,假设(以下假设适用于本节)厂区共有M(M>0)个泄放装置可能泄放至火炬系统,且目标工况发生时可能导致厂区内多个装置发生超压。其中有N(0<N≤M)个装置由包括SIS系统在内的保护层提供保护,在事故工况下,若保护层(诸如SIF回路、压力调节回路PCV等)不失效则N个装置没有泄放到火炬的需求;反之则会泄放至火炬系统,产生火炬负荷。其他(M-N)个装置无超压联锁功能保护。
考虑关联泄放的泄放装置SIL定级方法步骤如下。
(1)场景分析。
对目标场景进行如下分析。
①确认初始场景:判断初始事件是否可能导致多个装置同时发生超压。
②确定初始事件发生时可能发生超压泄放的装置及各装置在初始场景下的最大泄放量[14-17]。
(2)计算M个装置所有可能发生的泄放路径及其发生概率。
利用上述多源同时泄放的叠加方法得到M个装置的泄放路径及每条泄放路径下各装置的泄放量,每条泄放路径的出现概率不同,需逐条计算。假设共有I条泄放路径,以第i条泄放路径为例,该泄放路径中有J个设备发生泄放,则第i条泄放路径的出现概率PDi由式(1)计算:
式中,αi为第i条泄放路径所在泄放组合内所有泄放路径总数;PFDDj为第i条泄放路径中第j个装置的泄放概率。
假设第i条泄放路径中第j个装置由H个独立保护层提供超压保护,则PFDDj由式(2)得出:
式中,PFDh为第h个独立保护层的失效概率,可由企业历史统计数据获得,也可从《保护层分析(LOPA)方法应用导则》提供的典型独立保护层失效概率数据选取并按照其要求对数据进行相应修正。
(3)计算火炬管网参数超高事件发生频率。
使用API 521提供的计算方法或相关软件计算每条泄放路径下各泄放装置安全阀背压、管道压力、管道马赫数、噪声等参数。假设在所有泄放路径中共有K条出现火炬管网参数超高的情况,火炬管网参数超高的概率PFDsum由式(3)得出:
图2 泄放路径及泄放路径出现概率示例图Fig.2 Example diagramof the discharge path and the probability of the discharge path
式中,Pe为初始事件的发生频率[18],可由企业历史统计数据得到,也可由公共领域数据库提供的通用数据得到,如:海上可靠性数据(OREDA)[19],以及电气和电子工程师协会(IEEE)[20]、海洋与石油技术中心(CMPT)[21]、国际油气生产商协会(OGP)[22]等提供的通用数据。使用公共领域提供的通用数据时应按《保护层分析(LOPA)方法应用导则》的要求,根据场景的具体情况进行选择,并根据企业的具体条件对数据进行修正。
(4)判断是否需要对部分泄放装置进行SIF回路再定级。
确定火炬管网参数超高可能导致的事故及其后果,并根据厂区提供的风险矩阵确定事故的后果严重性等级[23]。依据事故发生频率f和后果严重性等级确定风险等级,若风险等级在厂区可接受范围内,则不需整改;若风险等级超出可接受范围,继续进行步骤(5)。
(5)选取一个装置,对其SIF回路的SIL等级进行重新定级。
选取重新进行SIL定级的装置时应遵循尽量减少重新定级的SIF回路个数的原则,并优先将对风险影响较大的泄放装置的SIF回路重新定级。因此定义N个装置的选取顺序:依据所有可能存在风险的泄放路径中同一装置的出现次数由大到小为泄放装置进行排序(需要注意的是仅对由SIF回路保护的装置进行排序)。通常第一次选取装置进行SIL等级重新定级时应选取顺序中位于第一位的装置。
所选装置的SIF回路风险降低因子RRF由式(5)得出:
式中,fu为选取装置未实施SIS保护层时的危险频率;fs为最大可接受危险频率。
计算选取装置未实施SIS保护层时的危险频率fu需考虑多装置的关联泄放产生的风险,因此应利用上述多源同时泄放的叠加方法得到fu。选取装置未实施SIS保护层时M个装置仍有I条泄放路径,且其中有K条泄放路径存在风险。fu由式(6)得出:
式中,Pdi为选取装置未实施SIS保护层时第i条泄放路径的出现概率,由式(7)得出。
式中,PFDdj为所选装置未实施SIS保护层时第i条泄放路径中第j个装置的泄放概率。
所选装置的SIF回路风险降低因子RRF与SIL等级的对应关系如表1所示。根据GB/T 21109的要求:分配给安全仪表系统仪表安全功能的安全完整性等级不能高于4,且由于安全完整性等级4需满足苛刻的条件,安全完整性等级4的应用较为罕见[24-26]。因此式(5)所得风险降低因子RRF一般不大于104。
表1 风险降低因子与SIL等级对应关系Table 1 Risk reduction factor and SIL level correspondence table
(6)若满足风险降低要求,则输出各装置SIF回路的SIL等级;若不能,则进行下一步。
(7)再次选取装置,进行SIF回路重新定级。
将步骤(5)所选装置的SIF回路SIL等级调整为厂区可接受的最大等级,并依据装置选取顺序选取下一位装置,重复步骤(5)~步骤(7),直到满足风险降低需要。
(8)得到所有需要进行SIF回路重新定级的装置及符合要求的SIL等级。
考虑关联泄放的SIL定级方法流程图如3所示。
图3 考虑关联泄放的SIL定级方法流程图Fig.3 Flow chart of SIL grading method considering associated release
图4 某厂区火炬系统流程简图Fig.4 Flow chart of flare system in a factory
某石化厂一联合装置群共有五套设备,简记为A、B、C、D、E,这五套设备均泄放至同一火炬系统,设备A、B、C、D、E对应的安全阀编号分别为1、2、3、4、5。图4为本实例的火炬系统流程示意图。精馏塔C、精馏塔D、精馏塔E均由2oo3结构的SIF回路C、SIF回路D、SIF回路E保护。本实例选择停电工况进行泄放装置SIL等级分析,停电工况发生时设备A、B、C、D、E均可能发生泄放。已知部分部件的参数如表2所示。
表2 安全阀参数Table 2 Safety valve parameter
使用LOPA技术确定SIL等级的程序可由标准和相关文献获得[27]。以精馏塔C为例,停电导致精馏塔C底泵停机,塔内压力增高,物料泄放至火炬管网造成火炬管网超压,严重时发生可燃物料泄漏,进而导致火灾爆炸事故,给工作场所带来严重影响,后果严重等级评定为4。根据该公司的经验数据:停电的发生频率Pe为10-2/a,此初始事件下点火概率为1,人员暴露概率和人员伤亡概率均为0.5。根据风险标准,后果等级为4级的事故后果发生频率应小于10-5/a,即最大可接受危险频率fs为10-5/a。该事故场景精馏塔C除SIF回路C外的独立保护层为安全阀3,根据厂区统计数据,安全阀3的失效概率为0.085,如表4所示。
SIF回路C的风险降低因子RRF由式(8)可得。
式中,PFDL为安全阀3的失效概率。
精馏塔D、精馏塔E的风险降低因子计算同理。由LOPA方法确定的各SIF回路SIL等级如表3所示。
表3 LOPA方法确定的设备超压SIF回路SIL等级Table 3 SIL level of equipment overpressure SIF circuit determined by LOPA method
(1)场景分析。
停电工况下,设备A、设备B、精馏塔C、精馏塔D、精馏塔E均可能发生泄放,其最大泄放量如表2所示。停电导致精馏塔C、D、E的底泵全部停机,精馏塔C、D、E由于塔内压力升高同时泄放至火炬管网,超过火炬处理能力,火炬管网压力超高导致安全阀无法正常打开,造成装置和管道憋压、破裂,导致重大可燃物料泄漏[28],最终引起火灾爆炸事故。后果严重等级评定为5级。
(2)求解泄放路径及泄放路径出现概率。
①在本实例中,设备A、B在装置停电工况下通过安全阀向火炬系统泄放,根据厂区历史数据,停电工况下设备A的泄放概率PFDD1和设备B的泄放概率PFDD2为:PFDD1=PFDD2=1。
②精馏塔C、D、E分别由2oo3结构的SIF回路和安全阀保护,以精馏塔C为例,停电工况下SIF回路C和安全阀3同时失效时,精馏塔C会泄放至火炬系统。精馏塔C、D、E的泄放概率如表4所示。
表4 精馏塔C、D、E泄放概率Table 4 Release probability of rectification tower C,D,E
因此停电工况下的泄放组合、泄放路径如表5所示,每条泄放路径下各设备的泄放量及泄放路径的出现概率如表6所示。
(3)计算超压事故发生频率。
使用Aspen Flarenet软件对本实例中的火炬管网建模[29-30],并进行模拟计算,得到每条泄放路径下各安全阀的阀后背压,如表7所示。
由表7可知,背压超高的泄放路径有M1、M4、M5、M6、M10、M11、M12。根据式(3)可得背压超高的概率为:PFDsum=2.900×10-3。根据式(4)可得超压事故发生频率f为:f=7.250×10-6/a。
(4)判断是否需要SIF回路再定级。
表5 泄放组合及泄放路径Table 5 Discharge combination and discharge path
由场景分析可知后果严重等级评定为5。据后果等级和事故发生频率得到风险等级为“中”,因此可通过部分装置SIF回路重新定级将风险等级降至“低”。
由2.2节可知背压超高的泄放路径有M1(装置ABC同时泄放)、M4(装置ABCD同时泄放)、M5(装置ABCD同时泄放)、M6(装置ABCE同时泄放)、M10(装置ABCDE同时泄放)、M11(装置ABCDE同时泄放)、M12(装置ABCDE同时泄放),根据上述泄放路径中同一装置的出现次数,装置选取序列为:精馏塔C(7次)>精馏塔D(5次)>精馏塔E(4次)。本节选择精馏塔C进行SIF回路重新定级。停电工况下精馏塔C无SIS系统保护时独立保护层为安全阀3,所以此时精馏塔C的泄放概率应为安全阀3的失效概率,即0.085。
精馏塔C无SIS系统保护状态下超压泄放路径及出现概率如表8所示。
“低”风险等级对应最大可接受危险频率fs=10-6/a。由式(6)可得fu=2.132×10-4/a,由式(5)可得RRF=214(取整)。因此精馏塔C的SIF回路SIL等级应为SIL2。由于上述调整能够满足风险降低需要,因此无须做其他调整。
对比2.1节,本节由“考虑关联泄放的SIL定级方法”确定的精馏塔C的SIF回路C的SIL等级(SIL2)高于传统LOPA方法确定的SIL等级(SIL1),说明传统LOPA方法确定的SIL等级过低,不能满足本实例中厂区风险降低的需要。两种方法确定的SIF回路C的SIL等级的不同主要来源于以下两方面:
①在对SIF回路C进行定级时,与仅考虑精馏塔C泄放的传统LOPA方法相比,本节考虑了停电工况下联合装置的五套设备同时泄放的可能,此时火炬管网承受的总泄放量和负荷明显大于仅考虑精馏塔C泄放时火炬管网承受的泄放量与负荷。更大的泄放量与火炬管网负荷将导致更严重的事故后果,因此本节场景分析得到的事故后果等级(5级)高于2.1节传统LOPA方法得到的后果等级(4级),进而导致了两种方法确定的最大可接受危险频率fs的不同。
②停电工况(初始事件)发生时,使用传统LOPA方法和“考虑关联泄放的SIL定级方法”对SIF回路C定级时使用的初始事件发生频率(Pe)及后果场景频率修正数据(点火概率、人员暴露概率、人员伤亡概率)相同,而本节考虑了多种组合泄放情况且通过对每种泄放情况下火炬管网的模拟计算准确求得了火炬系统管网背压超高的频率。本节认为停电工况下事故发生频率为组合泄放下火炬管网背压超高的概率与后果场景频率修正数据的乘积,而非2.1节中传统LOPA方法认为的安全阀3的失效概率与后果场景频率修正数据的乘积,因此本节计算得到的事故发生频率与传统LOPA方法相比更为准确。
表6 各泄放路径下装置泄放量及泄放路径出现概率Table 6 The discharge volume of the device and occurrence probability under each discharge path
表7 出现超压的泄放路径参数Table 7 Overpressure relief path parameters
表8 精馏塔C无SIS系统保护时超压泄放路径及其出现概率Table 8 Overpressure relief path and occurrence probability of distillation column C without SISsystem protection
(1)针对目前厂方对泄放装置SIF保护回路进行SIL定级时不考虑同一初始事件导致多个装置泄放的情况,本文基于多源同时泄放的火炬负荷叠加技术,提出了一种全新的关联超压保护回路的SIL定级“校核”方法:考虑关联泄放的SIL定级方法。该方法对传统LOPA技术得到的SIL等级进行了合理的修正,有效规避了组合泄放导致的火炬系统风险。
(2)本文提供的方法理论上无须更改火炬管网的布置和管径,仅需对部分泄放装置SIF回路重新定级即可有效降低火炬系统风险至可接受范围,因此该方法具有成本低、易执行的优点。该方法在实际应用中的可行性及有效性还需进一步研究。