LOPA在确定安全完整性等级上的应用
2020-11-25刘昕宇张春娥凌爱军
刘昕宇,张春娥,凌爱军
(1.中国船级社海洋工程技术中心,天津 300451;2.海洋石油工程股份有限公司,天津 300451)
保护层分析法是对在海洋石油开发中为工艺流程安全分析所提供的一些保护性等级措施或层级的一种系统辨识和记录的分析方法。它是一种介于定性和完全定量风险评价之间的分析方法。在海洋石油工程完成风险分析(如HAZOP分析)后,可根据风险事故的后果和发生的概率来进行安全完整性经由运行泵的出口管线通过暖泵线流分析和分级,以便把风险降低到可以容忍的范围之内。目前这种风险分析方法在海洋石油工程中得到了广泛的应用,特别是在特定的工艺流程设计以及安全分析中有时会用到,例如确定安全仪表系统的安全完整性等级。
1 安全完整性等级
IEC 61508中将安全完整性水平划分为四个档次,分别对应着不同大小的PFD值及相应的风险降低因子RRF,如表1。
表1 安全完整性等级要求时的失效概率(PFD)及RRF
2 LOPA分析法进行SIL分析工作流程
保护层(LOPA)分析法是一种简化风险评估方法,通常使用初始事件频率、后果严重程度和独立保护层失效频率的数量级大小来近似保证场景风险。
2.1 SIL分析工作团队
进行SIL分析需要成立一个涵盖相关专业人员的专家小组。具体组成:主持人、工艺设计工程师、控制/仪表设计工程师、安全设计工程师、业主工艺工程师、业主控制/仪表设计工程师、具有丰富操作经验的作业者。主持人应具有领导才能和丰富的经验,同时应对IEC 61508和IEC 61511要求非常熟悉。
2.2 SIL分析的评估流程
(2)系统划分及确定被保护设备(EUC)。系统划分主要是对整个平台处理系统按照其功能或用途划分为不同的工艺系统,对一些如ESD系统、火灾气体探测系统及消防系统等关键安全功能系统则可单独为一个系统。平台处理系统进行系统划分后,应确定系统中各个安全仪表系统所保护的设备,即EUC。
(3)确定安全仪表系统的安全仪表功能(SIF)。在确定EUC后,对每一个EUC,分析其安全仪表系统的设置,在确定安全仪表的设置后,对每一个安全仪表系统应分析其安全仪表功能SIF。安全仪表系统的设置是采用RBD(Reliability Block Diagram)方法,对每个安全仪表系统归类为触发器、逻辑控制器和最终元件。
通过因果图确定每个安全仪表系统中各个元件,通过管道仪表图及火气布置图等资料确定每个安全仪表系统保护的EUC。通过管道仪表图、因果图、仪表及阀门及控制单元等资料,可以识别出了每个安全仪表系统中每个元件的类型,如压力变送器(或压力开关)、安全可编程系统(或工业类型的可编程系统)及关断阀门(气动、气液联动)。
(4)情景辨识——分析导致安全仪表功能(SIF)动作及其失效的后果。对于安全仪表功能来说,其反应失效有不同的原因,所造成的后果通常也是不同的,因此,必须对所有的反应失效的原因以及其所造成的后果进行全面分析,即识别触发事件和触发事件的频率。一般而言,推荐的触发事件和触发事件频率如表2。
表2 触发事件典型失效频率
(5)识别独立保护层和保护层风险降低程度。海上固定平台对于风险的控制非常重视,对于重要的设备或装置一般有多个保护措施防止其发生失效后对安全、环境及经济造成重大影响。在LOPA分析中只有独立保护层(IPL)才能起到降低风险的作用。图1是独立保护层示意图,根据保护层保护的对象,将图1中的不同保护层分为两类:基本工艺过程、基本过程控制系统、关键报警和人员干预、安全仪表系统均为事件阻止层,即能够阻止危害事件发生;而释放装置、物理保护和应急响应均为后果减弱层,即能够在事故发生后减弱其后果。
图1 保护层示意图
确定独立保护层后,还需确定其PFD,可由美国化学工程师协会工艺安全中心出版的《保护层分析-简化的过程风险评估》指南确定海上固定平台常用保护层及其失效概率,如表3。
表3 保护层及失效概率
(6)确定每个安全仪表功能(SIF)所需的SIL等级。根据引起偏差的初始事件发生概率、经过各保护层后的剩余风险发生概率及风险可接受的发生概率即可计算需要设置SIS的安全等级。SIL确定方法如图2。
此外,该配筋审核系统实现的关键技术是准确识别框架柱、框架梁等的相关信息,如图2所示。它直接决定了审核结果的准确性和可靠性。目前,该软件仅包括了框架梁、框架柱的信息读取,后期会进一步加入框架剪力墙等审核内容,使之更加完善。
图2 保护层失效示意图
根据图2可得式1。
MF=IEF×PFDIPL1×PFDIPL2×……×PFDIPLn
(1)
式中:MF——初始事件经保护层阻止后发生频率;IEF——初始事件发生频率;PFDIPLn——各独立保护层的平均要求时失效概率。
根据初始事件经保护层阻止后发生概率与风险可接受概率按式(2)计算SIS的平均要求时失效概率,由PFDSIS确定SIS系统需要达到的SIL等级。进行失效频率计算,还应考虑使能事件(点火概率、人员暴露概率、伤害发生概率等)对后果频率的影响。
(2)
式中:PFDSIS——SIS平均要求时失效概率;F——风险可接受概率;Pig——点火概率;Pex——人员出现在影响区的概率;Ps——伤害发生的概率。
在对每一个安全仪表功能确定SIL后,对安全仪表系统的现有配置进行定量计算,以验证安全仪表系统的现有配置是否达到所需SIL要求。
3 应用实例
某项目包括一个钻采平台和两个平台改造,从井下采出的液体汇集到钻采平台后进入生产分离器,分出大部分游离水后,含少量水的原油经过海底管道输送到另一平台进一步处理。
(1)项目风险可接受准则如图3。
图3 失效后果风险可接受准则
(2)情景辨识。利用HAZOP分析结果将可能发生的严重风险作为风险场景,该项目中生产分离器液位LT-2002高高引起液体窜到火炬系统,有可能形成火雨,火炬头伸出平台,造成人员安全影响和环境污染。联锁原因:分离器液位高高,联锁动作;进出口阀门关闭(进口阀门SDV-1201、生产水出口阀门SDV-2002、伴生气出口阀门SDV-2003、原油出口阀门SDV-2007、密封气入口管线阀门PDY-2004和燃料气出口PDY-2004B阀门),井上控制的井下安全阀关闭、所有电潜泵停。
LOPA分析见表4。
表4 LOPA分析
风险场景选定的初始事件为LT-2002液位控制回路故障、上游来液过大、下游SDV故障关,可能导致液位高高液体溢流。液位控制回路故障属于基本过程控制回路失效,事件发生频率为0.1;上游来液过大属于进料过量,事件发生频率为0.1;SDV故障关,属于SDV阀门误动作,事件发生频率为0.01。
后果。液体溢流窜到火炬系统火炬分液罐,有可能形成火雨,火炬头伸出平台,造成人员安全影响和环境污染。根据风险矩阵,风险类别为重大,安全风险可接受允许值F=1×10-6。
安全影响因素。人员暴露频率为0.5,点火频率为1,致死概率为1,风吹向平台概率0.2。
独立保护层。火炬分液罐BPCS逻辑控制LIT-3401,导致液位高高关断。液位控制回路故障属于基本过程控制回路失效,事件发生频率为0.1。
中间事件可能性。1×10-3。PFDSIF=1×10-3。由表1得出PFDSIF对应SIL2等级。
按照上述程序,可以确定环境风险和财产风险对应的SIL等级。选取等级最高的作为SIF回路的最终SIL等级。
4 结论
通过LOPA分析,可以进一步确定触发器、逻辑控制器和执行机构等具体部位存在的缺陷,发现系统设计存在的不足,为工程设计或装置技术改造提供指导意见,也能避免设计上盲目追求高SIL等级带来的投资浪费。因此,用LOPA分析法来确定固定设施安全仪表系统的完整性等级的方法值得国内进行推广和应用。