施昊彤,李慧娜,郭辉,陈鑫,张彦华,梁昌晶
(1. 国家管网集团建设项目管理分公司 西四线甘宁(新疆)项目部,宁夏 中卫 755000; 2. 中国石油华北油田分公司 第一采油厂,河北 任丘 062552;3. 中油国际管道有限公司 中哈天然气管道项目,北京 100029;4. 中国石油管道局工程有限公司 管道投产运行分公司,河北 廊坊 065000)
随着油气行业自动化、智慧化的实施推进,对油气站场工艺流程的完整性及可靠性管理提出了更高要求。目前,油气站场已广泛开展保护层分析(LOPA)工作,通过系统梳理站场内的主要风险点,判断现有保护措施是否满足企业风险可容许准则,确定是否增加安全防护措施,并对安全仪表系统(SIS)的安全仪表回路提出安全完整性等级(SIL)需求,以此提高油气站场的风险管控能力[1-2]。参照GB/T 32857—2016《保护层分析应用指南》,LOPA分析的流程包括: 场景识别与筛选、后果及严重性评估、初始事件描述及频率确定、独立保护层识别及要求时危险失效概率(PFD)确认、风险评估及建议、后续追踪及审查等,其中独立保护层识别及PFD确认对于SIL等级的确定具有重要意义,微小的识别误差往往导致SIL定级结果相距甚远[3-4]。目前,诸多研究人员对于LOPA分析进行了大量应用和改进,但均集中在初始事件描述、使能条件判定和修正因子调整等方面[5-8],对于保护层识别方面的研究较少。在实际评价过程中,一些保护层并不满足独立保护层的属性,但依然可以起到减缓后果或降低事故场景发生频率的目的。基于此,在分析独立保护层定义、属性和分类的基础上,有效识别不满足独立保护层属性的保护层,并依据实例分析提出改进措施,研究最优的定量计算方法,为LOPA分析的改进和SIL等级的确定提供实际参考。
保护层是为工艺装置和流程设置的不同类型的安全防护措施,每一层应保持独立性,能有效防止事故发生且不受初始事件或其他保护层影响。在LOPA分析中,判断保护层是否为独立保护层,应满足有效性(可用性)、独立性和可审查性的先决属性。
有效性是指保护层可以及时检测到响应条件,并防止场景中不期望后果的发生,保护层的PFD≤0.1,即风险降低能力不能小于1个数量级;独立性是指保护层的执行能力不能受初始事件、其他保护层及外界环境的影响;可审查性是指保护层必须经过审查,如审查其设计、施工、试运行、维护等,确保其能够按照设计要求阻止场景发生不期望后果。
油气站场内工艺流程的典型保护层有本质安全设计、基本过程控制系统(BPCS)、关键报警及人员干预、安全仪表系统、物理保护、释放后的保护措施、工厂和周围社区的应急响应等,其中事故发生后组织人员疏散及灭火、救援等措施存在诸多不确定性因素,并不能保证其有效性,故一般LOPA分析中不把工厂和周围社区的应急响应作为独立保护层使用。典型独立保护层的PFD推荐值见表1所列。
表1 典型独立保护层的PFD推荐值
一般保护层均具有可检查的信息、文档和维护程序等,其可审查性可以保证,因此保护层主要考察有效性和独立性。但有些保护层并不全部满足属性特征,如不作为独立保护层考虑,将增大风险评价结果,夸大SIL定级结果,造成不必要的资金浪费。
此外,根据美国化学工程师协会化工过程安全中心(CCPS)的规定,不作为独立保护层的保护层,即在LOPA分析时,这些保护层的PFD应小于10-1,不会对风险评价结果造成影响[9],故本文不讨论该类保护层。不被认定为独立保护层的保护措施见表2所列。
表2 不被认定为独立保护层的保护措施
根据独立保护层的定义和属性,有效性是指一个保护层要么有效,要么失效,不存在中间状态。从表1可以看出,保护层分为控制型(本质安全设计和基本过程控制系统)、预防型(关键报警及人员干预、安全仪表系统)、减轻型(物理保护、释放后的保护措施),其中控制型和预防型属于主动保护层,一旦工艺流程中出现风险,立即生效,其有效性容易判定。而减轻型保护层通常是事故场景已经发生后保护层才起作用,TSG 21—2016《固定式压力容器安全技术监察规程》中规定了安全阀和爆破片的使用要求,两者可在压力容器发生超压泄放时作用,当组合设置时,爆破片可位于安全阀的上游,且爆破片在动作过程中不能产生碎片;防火堤用于防止油池火的扩散;耐火涂料用于减弱容器表面受到的热辐射强度;防爆墙体用于阻止蒸气云爆炸及沸腾液体扩散蒸气爆炸引发的超压对设备和人员的伤害,这些措施也是在事故发生后对事故起到减缓作用。综上所述,这类保护层可能无法全部有效,一旦部分有效,则有可能减缓事故后果,阻止事故发生情况,因此必须增加这一类保护层的识别。
减轻型保护层主要是减缓事故后果严重程度,故引入减缓系数λ,当保护层不起作用时的后果严重程度为C1,当保护层完全起作用时的后果严重程度为C2,则有:
(1)
减缓系数在0~1,当C2=0时,λ=0,说明保护层可以完全规避事故后果,即保护层满足完全有效性,此时保护层为独立保护层;当C2=C1时,λ=1,说明保护层没有发挥任何作用,即风险没有被减缓,此时保护层不具备相应的保护层属性,非有效性保护层识别分析如图1所示。其中λ1,λ2,λ3分别为3个保护层的减缓系数。
图1 非有效性保护层识别分析示意
引入减缓系数后,可将后果减缓程度转化为事件发生频率的减小计算,设某一场景的后果严重程度为C,满足有效性的独立保护层(IPL)有a个,不满足有效性的保护层(PL)有b个,每个不满足有效性的保护层的减缓系数分别为λ1,λ2, …,λb,低要求模式下的场景风险表示为
(2)
场景发生频率为
(3)
式中:R——场景风险;f——场景发生频率;C——后果严重程度;fl——第l个初始事件发生频率;Pig,Pex,Pd——点火概率、人员暴露概率和人员伤亡概率;PFDIPL——独立保护层的要求时危险失效概率;PFDPL——不满足有效性保护层的要求时危险失效概率。
独立性判断的难点集中在于BPCS,关键报警及人员干预和SIS 3个保护层上,这些保护层经常在联锁、报警和控制操作中共用传感器(如信号在机柜间的机柜内采用“一进二出”式安全栅或信号分配器)和执行机构(如在控制阀的气源管上设置电磁阀),且人员干预通常也要依据报警传感器的指示进行下一步工作,这就导致传统的LOPA分析中将共用回路的保护层视为非独立性保护层,即出现保护层之间“共因失效”的问题。但即使存在“共因失效”,造成非独立性保护失效的原因不见得完全与“共因”相同,故需综合分析,在此采用故障树对非独立性保护层分析,计算共因失效概率。
故障树是一种特殊的倒立逻辑因果关系图,用于表征事故或故障事件发生的前因后果和逻辑关系,是系统安全工程的主要分析方法[10]。通过分析非独立性保护层的失效原因,采用最小割级或最小径级计算顶上事件的发生概率[11],分析流程如图2所示。
图2 非独立性保护层识别分析流程示意
以某油气站场内原油储罐进液溢流为例进行分析,由于储罐溢流、介质泄漏,导致发生火灾爆炸事故,造成人员伤亡,HAZOP分析结果见表3所列。
表3 HAZOP分析结果
只将“液位控制回路失效”这一原因作为LOPA分析的初始事件进行分析,基于站场数据,失效概率取1×10-1。回溯整个进料流程,储罐进料前,操作人员检查现场液位计,当BPCS的液位计显示储罐有足够的空间时,开始进料操作,否则切断进料泵,当到达预设液位时,BPCS控制停泵,相关报警和控制参数在中心控制室显示。当控制回路失效时,储罐发生溢流,泄漏量为50 m3,防火堤的设置符合石油天然气工程设计防火规范的要求,但在40 m3的高度上存在较大裂纹。
通过场景描述可知,人员检查、BPCS报警、防火堤均可作为保护层使用,前两者共用一个液位传感器,即有可能传感器失效导致这两个保护层均不具备独立性而不可用;防火堤作为减轻型保护层,存在裂纹,无法将全部的泄漏油品限制在防火堤内,即该保护层不满足有效性而不可用。
按照传统的LOPA分析计算方法,没有独立保护层可用,点火概率、人员暴露概率和人员伤亡概率均取0.5,则场景发生频率为
f=flPigPexPd=
1×10-1×0.5×0.5×0.5=1.25×10-2
假设风险可接受标准为1×10-4,则残余风险为0.8×10-2,所需的SIL等级为2。
根据前面提出的非有效性保护层和非独立性保护层计算方法,防火堤可以容纳40 m3的泄漏量,相当于泄漏了10 m3,因此减缓系数λ=10/50=0.2。
分析人员检查和BPCS报警2个非独立性保护层应用故障树,如图3所示。基本事件发生概率参照CCPS的规定,见表4所列。
图3 非独立性保护层故障树分析示意
表4 基本事件发生概率
利用最小割集遵循布尔代数运算法则,计算顶上事件“储罐溢流”的发生概率:
PT=PM1PM2=(Px1+Px2)×
(Px2+Px3+Px4)=
(0.1+0.1)×(0.1+0.001+0.01)=0.022 2
由此计算保护层识别改进后的场景发生频率,防火堤的PFD参照表1取1×10-2,结果如下:
保护层识别改进后的场景发生频率与传统计算结果相比,降低了3个数量级,其值小于风险可接受标准,不存在残余风险,无需设置额外的保护层。综上所述,在LOPA分析和SIL定级中,对保护层的识别改进和风险评价是有必要的。
在进行LOPA分析的过程中,有些保护层不满足有效性和独立性的属性要求,针对该类保护层,分别引入消减系数量化事故后果减缓程度,计算非有效性保护层对场景频率的影响;引入故障树量化共因失效概率,计算非独立保护层对场景频率的影响。以储罐溢流事件进行案例分析,结果表明保护层识别改进后的场景发生频率与传统计算结果相比,降低了3个数量级,降低了传统方法对于结果的保守性,其改进方法科学有效,可在今后的SIL定级中推广使用。