李龙

(1. 化学品安全全国重点实验室,山东 青岛 266100;2. 中石化安全工程研究院有限公司,山东 青岛 266100;3. 中石化国家石化项目风险评估技术中心有限公司,山东 青岛 266100)

近年来,国内外石化装置发生多次高压窜低压事故,各企业逐步开始对装置中的高压窜低压风险进行排查,并针对有窜压风险的事故场景进行相关改造。

由于部分装置技术人员或设计人员对独立保护层(IPL)概念了解不透彻,盲目地增加安全仪表系统(SIS)或紧急切断阀,但未分析计算改造后的剩余风险,可能造成改造后的装置仍无法降低窜压风险。同时,对于在役装置,高压设备或管线改造带来的风险,现场空间布置等问题都造成改造的难度增大。在选择改造方案时,应根据实际情况,选择改造难度较低以及改造带来的风险较低的方案。

保护层分析(LOPA)方法作为一种简化的半定量风险评估方法,可以有效地帮助分析人员识别危险场景中各个保护层的有效性,并计算场景的事故风险。

在石化装置窜压改造中,采用LOPA分析可以有效地辨识不同场景下的风险削减,进而根据现场情况选择合理有效的改进措施。

1 LOPA分析简介

LOPA分析是使用初始事件频率,后果严重程度和IPL,失效频率的数量级大小来近似表征场景的风险。

IPL是能够阻止风险场景向不良后果继续发展的一种设备、系统或行动,并且独立于初始事件或场景中其他保护层的行动。IPL应具有独立性、有效性与可审查性。

辨识IPL是LOPA分析工作中重要的一个环节,对于风险分析结果的准确性有着很大的影响。如采用非独立保护层,因存在多个保护措施之间共因失效的可能,因此导致评估的剩余风险过于乐观,无法有效识别风险。

2 独立性与共因失效

IPL的独立性是指初始事件或其他IPL不会对特定的IPL产生相互影响而降低保护层完成功能的能力。绝对的独立一般很难实现,如共用公用工程、相同的维护人员、相同的校验设备等,因此一般初始事件与IPL或2个IPL间共用的元件等失效率足够低时,可以认为是满足独立性要求的。

共因失效是指由1个或多个事件引起1个多通道系统中的2个或多个分离通道失效,从而导致系统失效的一种失效。

部分装置或场景未完全按独立性原则进行设计,此时如何确定各IPL的风险降低倍数,在不同的风险评估单位存在较大的分歧。因此,对共因失效事件的分析研究就有着重要的意义。

3 高压窜低压案例分析

当上游容器存在高压气相时,一旦容器液位空,将导致下游低压设备及管线超压损坏,可燃或有毒物料泄漏至环境,造成人员伤亡事故,因此在石化行业中对于高压窜低压工况十分关注,近年来很多装置也先后对存在高压窜低压风险的场景进行了整改。

对于窜压的风险场景分析,应综合考虑上游设备压力与下游设备压力对比情况,上下游设备超压后果对照见表1所列。表1中,p1为上游设备操作压力,p2为上游设备设计压力,p3为下游设备操作压力,p4为下游设备设计压力。如果窜压风险设备附近存在人员聚集场所,如外操间、现场控制室等,则建议进一步开展定量风险评价(QRA)分析确定外部安全防护距离。

表1 上下游设备超压后果对照

部分企业在未对窜压危险场景进行风险分析的情况下,盲目地依据相关文件增加了独立的切断阀或安全仪表功能(SIF)回路,如液位低低联锁。但根据IPL的定义,改造后由于仪表共用问题,无法进一步降低危险场景的剩余风险。

分别针对窜压改造中常见的仪表设置进行分析,对比各案例中保护层的风险降低,并提出改进方案。

3.1 案例1

高压设备未设SIS联锁的液位调节回路流程,如图1所示,当上游高压设备V101设有双液位计,未设SIS联锁,V101液位由液位调节回路LIC02控制。

图1 高压设备未设SIS联锁的液位调节回路

3.2 案例2

采用“1oo1”联锁逻辑的液位调节回路如图2所示,当V101设有双液位计和SIS联锁,SIS联锁逻辑采用“1oo1”,V101液位由液位调节回路LIC02控制。

图2 采用“1oo1”联锁逻辑的液位调节回路示意

3.3 案例3

采用“2oo2”联锁逻辑的液位调节回路,如图3所示,当V101设有双液位计和SIS联锁,SIS联锁逻辑采用“2oo2”,V101液位由液位调节回路LIC02控制。

图3 采用“2oo2”联锁逻辑的液位调节回路示意

3.4 案例4

采用“2oo3”联锁逻辑的液位调节回路如图4所示,当V101设有3台液位计并设有SIS联锁,SIS联锁逻辑采用“2oo3”,V101液位由液位调节回路LIC02控制。

图4 采用“2oo3”联锁逻辑的液位调节回路示意

3.5 案例分析

采用LOPA分析方法,基于IPL的独立性、有效性与可审计性,针对V101液位低造成高压窜低压的危险事件,不考虑下游低压设备V102的相关保护措施,SIS保护层按SIL1考虑,要求时危险失效概率(PFD)按0.05进行计算,上述案例设置基本过程控制系统(BPCS)与SIS保护层,总失效概率计算结果见表2所列。

表2 BPCS/SIS独立保护层及失效概率

从表2可知,当采用案例3方式进行设置时,SIS联锁“2oo2”会导致液位计LT02失效造成SIS联锁与BPCS控制回路同时失效的风险,当SIS联锁的SIL等级较低时,LOPA分析保护层优先考虑BPCS报警与BPCS调节回路。当SIS联锁的SIL等级达到SIL2及以上时,则可优先考虑按SIS联锁的失效概率作为该场景下的总失效概率。

对比案例1与案例3可发现,在增加了紧急切断阀与SIS联锁的前提下,案例3的总失效概率并没有显著提高,在SIS联锁采用“2oo2”的冗余结构下,由于共因失效造成BPCS相关保护层无法按独立保护层进行考虑并降低风险。因此,在高压窜低压改造中并不建议采用该方案。

方案2与方案4对比方案1,其总失效概率都进一步的降低,并且在总失效概率要求进一步提高时,可通过增加SIS联锁回路的SIL等级来实现。因此,在高压窜低压改造中,建议增设与现有BPCS保护层独立的SIF回路或传感元件冗余结构,如“1oo2”或“2oo3”的SIF回路。

4 结束语

本文结合LOPA分析方法,针对多个常见的高压窜低压改造案例进行分析,对比4个案例中IPL的设置,并计算危险场景下的保护层总失效概率,为石化装置窜压风险改造提供了理论依据,有效地帮助石化装置选择更加可靠的改进方案。