LNG接收站中的SIL定級與驗(yàn)證方法

劉 冰 畢曉星 吳健宏 邢 楠 任玉潔

(中海石油氣電集團(tuán)有限責(zé)任公司,北京 100028)

LNG接收站中的SIL定級與驗(yàn)證方法

劉 冰 畢曉星 吳健宏 邢 楠 任玉潔

(中海石油氣電集團(tuán)有限責(zé)任公司,北京 100028)

以LNG接收站的典型回路為例介紹了常用的安全完整性等級(SIL)定級與驗(yàn)證方法，并結(jié)合LNG接收站的可接受風(fēng)險(xiǎn)目標(biāo)，論述保護(hù)層分析方法的半定量計(jì)算原則和SIL驗(yàn)證的基本步驟。針對安全儀表系統(tǒng)設(shè)計(jì)的薄弱環(huán)節(jié)，總結(jié)并提出了提升SIL回路本質(zhì)安全的幾個(gè)原則。

SIL定級與驗(yàn)證 LNG接收站 安全儀表系統(tǒng) 保護(hù)層分析方法 本質(zhì)安全

LNG接收站在我國增加天然氣進(jìn)口量、加大清潔能源的開發(fā)與利用方面起到了重要作用。LNG接收站處理的天然氣量較大，無論是氣態(tài)還是液態(tài)天然氣都是易燃易爆品，在LNG卸船、儲存、輸送和汽化過程中極易發(fā)生泄漏和火災(zāi)爆炸事故。目前，LNG接收站全部采用安全儀表系統(tǒng)(SIS)來確保工藝裝置的生產(chǎn)安全，SIS可在工藝生產(chǎn)過程發(fā)生危險(xiǎn)故障時(shí)將系統(tǒng)自動或手動帶回到預(yù)先設(shè)計(jì)的安全狀態(tài)，避免重大人身傷害與設(shè)備損壞事故[1]。但是近年來，國內(nèi)外的部分重大化工事故多與SIS失效或設(shè)置不當(dāng)有關(guān)，雖然設(shè)置了SIS，但即使是SIS回路中的一個(gè)元件發(fā)生失效也可能造成災(zāi)難性的后果。以LNG儲罐為例，在LNG卸船過程中，如果高高液位檢測儀表失效，將導(dǎo)致LNG充裝過量，大量LNG溢出內(nèi)罐，進(jìn)而造成外罐壓力上升破壞水泥外墻，不僅造成儲罐本體損壞甚至發(fā)生火災(zāi)爆炸。

2014年，國家安監(jiān)總局印發(fā)了關(guān)于《加強(qiáng)化工安全儀表系統(tǒng)管理的指導(dǎo)意見》，提出規(guī)范SIS管理工作亟待加強(qiáng)，應(yīng)重點(diǎn)加強(qiáng)SIS全生命周期中3個(gè)關(guān)鍵節(jié)點(diǎn)的把控。一般，在分析設(shè)計(jì)階段可能存在危險(xiǎn)與風(fēng)險(xiǎn)分析不足、安全完整性等級(Safety Integrity Level,SIL)定級過高或過低、冗余容錯(cuò)結(jié)構(gòu)不合理及缺乏明確的檢驗(yàn)測試周期等問題；工程實(shí)施階段易發(fā)生產(chǎn)品設(shè)計(jì)選型不當(dāng)、無法滿足SIL定級要求及安裝調(diào)試管理不規(guī)范等問題；操作運(yùn)行階段易存在聯(lián)鎖回路擅自改停、SIS產(chǎn)品維護(hù)不合理及變更管理不規(guī)范等問題。

近年來，中海石油氣電集團(tuán)有限責(zé)任公司(以下簡稱氣電集團(tuán))下屬全部LNG接收站均依據(jù)國家法律法規(guī)和標(biāo)準(zhǔn)規(guī)范，邀請第三方評估機(jī)構(gòu)開展了危險(xiǎn)與可操作性分析(Hazard and Operability Analysis,HAZOP)和SIL定級工作。針對SIL驗(yàn)證評估結(jié)果，對不滿足SIL定級要求的回路，都已根據(jù)評估意見修改了測試周期或優(yōu)化了冗余回路設(shè)計(jì)。氣電集團(tuán)還通過配套開發(fā)適用于LNG接收站的SIL分析評估軟件和相關(guān)數(shù)據(jù)庫的手段，規(guī)范SIL定級與驗(yàn)證方法及其引用數(shù)據(jù)的科學(xué)性和規(guī)范性；通過建立標(biāo)準(zhǔn)化的招標(biāo)采辦文件規(guī)范產(chǎn)品選型與供應(yīng)商標(biāo)準(zhǔn)要求，提高SIL回路的本質(zhì)安全設(shè)計(jì)水平。在此，筆者根據(jù)SIL定級與驗(yàn)證方法，結(jié)合LNG接收站的可接受風(fēng)險(xiǎn)目標(biāo)，給出了保護(hù)層分析(Layer of Protection Analysis,LOPA)方法的半定量計(jì)算原則和SIL驗(yàn)證的基本步驟。針對SIS的薄弱環(huán)節(jié)，給出了提升SIL回路本質(zhì)安全的選型原則，為提升LNG接收站SIS的設(shè)計(jì)與安全分析水平提供思路。

1.1 SIL

LNG接收站設(shè)置SIS的目的是自動防止對人員、環(huán)境、廠房設(shè)備、生產(chǎn)和財(cái)產(chǎn)造成損失、損害或不良影響的情況發(fā)生。SIL的確定是SIS全生命周期管理的源頭，其數(shù)值代表SIS使過程風(fēng)險(xiǎn)降低的數(shù)量級，直接關(guān)系到SIS的安全性與可靠性，也影響到系統(tǒng)相關(guān)設(shè)備的選型、運(yùn)行維護(hù)周期與成本。對于新建、擴(kuò)建和改造的LNG接收站，通常在初步設(shè)計(jì)階段以HAZOP結(jié)果為基礎(chǔ)開展SIL定級工作，在詳細(xì)設(shè)計(jì)階段對SIS設(shè)計(jì)是否達(dá)到預(yù)期SIL要求進(jìn)行驗(yàn)證，進(jìn)一步減少安全相關(guān)的人為失誤，減小系統(tǒng)故障風(fēng)險(xiǎn)[2]。

1.2SIL定級方法

LNG接收站中普遍采用的SIL定級方法有校正風(fēng)險(xiǎn)圖法和LOPA方法。校正風(fēng)險(xiǎn)圖法根據(jù)原因發(fā)生頻率與后果的嚴(yán)重等級，以人員、環(huán)境和財(cái)產(chǎn)3個(gè)風(fēng)險(xiǎn)圖評估出的最高SIL為準(zhǔn)，是定性分析，大部分評估依賴于分析人員的經(jīng)驗(yàn)和知識，分析結(jié)果偏保守。LOPA方法是一種半定量分析方法，通過逐層計(jì)算各個(gè)獨(dú)立保護(hù)層對風(fēng)險(xiǎn)的消減，并將風(fēng)險(xiǎn)消減之和與企業(yè)可接受風(fēng)險(xiǎn)標(biāo)準(zhǔn)進(jìn)行比較，進(jìn)而確定SIS的SIL等級。LOPA方法更少受限于人員經(jīng)驗(yàn)的差異性，對保護(hù)層的分解更加精細(xì)，并且有原因發(fā)生頻率、中間事件失效概率等經(jīng)驗(yàn)數(shù)據(jù)的支撐，因此該方法正逐漸成為LNG接收站SIL定級的主要方法[3]。

1.3軟件平臺

國際上知名的第三方評估機(jī)構(gòu)均為SIL定級與驗(yàn)證開發(fā)了軟件平臺，如BV公司的VeriSIL、DNV的Orbit SIL及勞式的故障樹軟件RiskSpectrum等。目前，我國相關(guān)技術(shù)支持方也正在積極打造專用于LNG接收站的一體化分析平臺，該平臺在已建LNG接收站歷史分析流程和分析結(jié)果的基礎(chǔ)上，集HAZOP、SIL定級與SIL驗(yàn)證于一體。同時(shí)，LOPA方法用初始原因與發(fā)生頻率數(shù)據(jù)庫按工藝單元?jiǎng)澐止?jié)點(diǎn)，匯總各工藝單元的常見風(fēng)險(xiǎn)、觸發(fā)原因與常用的安全儀表功能(Safety Instrumented Function,SIF)。企業(yè)可容許風(fēng)險(xiǎn)矩陣根據(jù)LNG行業(yè)風(fēng)險(xiǎn)類型與評價(jià)標(biāo)準(zhǔn)，制定最基本的可接受風(fēng)險(xiǎn)矩陣。獨(dú)立保護(hù)層失效頻率數(shù)據(jù)庫匯總了LNG接收站常用的保護(hù)層類型及其失效概率，為確定SIL提供快速決策，為科學(xué)指導(dǎo)并規(guī)范LNG行業(yè)SIL定級與驗(yàn)證提供輔助信息。

2 LNG接收站可接受風(fēng)險(xiǎn)目標(biāo)

LNG接收站(年產(chǎn)200萬t以上)的風(fēng)險(xiǎn)后果與觸發(fā)原因的識別體系建立后，LNG作為低溫介質(zhì)，對人員傷亡、環(huán)境破壞、關(guān)鍵設(shè)備損壞、閃蒸汽放空及外輸中斷等帶來的經(jīng)濟(jì)損失程度也逐漸清晰。LNG接收站普遍采用的可接受風(fēng)險(xiǎn)目標(biāo)見表1。

表1 可接受的風(fēng)險(xiǎn)目標(biāo)

當(dāng)涉及到一個(gè)以上人員死亡或LNG泄漏至收集池外造成持續(xù)性破壞等時(shí)，嚴(yán)重性等級將上升至最高的5級，導(dǎo)致此后果的原因可能是多個(gè)，如儀表失效、多個(gè)人員同時(shí)操作失效或儲罐的持續(xù)性損壞等。在此風(fēng)險(xiǎn)降低目標(biāo)的約束下，LNG接收站對SIL要求較高的回路主要有LNG儲罐液位高高、再冷凝器壓力高高、汽化器出口溫度低低、海水流量低低(適用于海水介質(zhì)汽化器)、壓縮機(jī)入口吸入罐液位高高、燃料氣電加熱器出口天然氣溫度低低及火炬分液罐高高液位等，以上回路的最低SIL要求為SIL2。

3 LOPA的應(yīng)用方法

LNG接收站中，SIL較高的回路主要集中在碼頭、LNG存儲及汽化外輸?shù)裙に噯卧?。下面以LNG儲罐壓力低低PALL為例介紹LOPA的應(yīng)用方法。

劇情識別與篩選。劇情由影響事件與后果組成，從HAZOP的分析后果中篩選出需要SIF的劇情，得到LNG儲罐壓力低低回路失效將導(dǎo)致LNG儲罐受損這一劇情；嚴(yán)重后果是LNG儲罐損壞、大量LNG外泄造成火災(zāi)爆炸及外輸停產(chǎn)等。

觸發(fā)原因分析。針對每個(gè)辨識出的危險(xiǎn)，用圖表列出其觸發(fā)原因。導(dǎo)致LNG儲罐壓力低低的兩個(gè)原因是壓力控制回路失效和人員操作失誤(如，當(dāng)需啟動一臺壓縮機(jī)時(shí)啟動了兩臺)。

獨(dú)立保護(hù)層(Independent Protection Layer,IPL)分析。通過圖表分析防護(hù)措施或抑制危險(xiǎn)后果的減災(zāi)措施，具體見表2。

在IPL辨識階段，首先應(yīng)確定基本過程控制系統(tǒng)(Basic Process Control System,BPCS)應(yīng)獨(dú)立于SIS設(shè)計(jì)，如果BPCS回路的失效會觸發(fā)初始原因，則該BPCS回路不應(yīng)作為IPL。當(dāng)LNG儲罐處于壓力低報(bào)PAL時(shí)，自動補(bǔ)氣控制回路啟動，該回路各元件與SIS中的PALL回路完全獨(dú)立，因此補(bǔ)氣控制回路可作為IPL。在確定失效概率時(shí)，由于除PAL回路外，沒有再單獨(dú)設(shè)置控制回路來防止壓力測量的共因失效，因此，該IPL的失效概率應(yīng)選擇GB/T 21109-2007中推薦的0.10以上值(對應(yīng)SIL1以下)，又考慮到回路失效也有人員操作維護(hù)的因素，因此最終IPL失效概率取0.11。針對操作和報(bào)警，應(yīng)分析該報(bào)警是否來自獨(dú)立的壓力變送器、壓力報(bào)警設(shè)定器和報(bào)警裝置。如果BPCS的失效導(dǎo)致報(bào)警異常，則該報(bào)警與響應(yīng)不能作為IPL，并且在一個(gè)事故中只允許有一個(gè)報(bào)警和人員干預(yù)。此外，在防護(hù)層中，由于儲罐設(shè)置了真空閥機(jī)械保護(hù)系統(tǒng)，因此真空閥應(yīng)作為IPL參與分析。在分析時(shí)應(yīng)考慮真空閥吸入量和設(shè)定壓力能否完全阻止危險(xiǎn)向后傳播，因此，在LOPA計(jì)算時(shí)有必要核實(shí)真空閥的設(shè)計(jì)依據(jù)。最后，根據(jù)GB/T 21109-2007和AIChE給出的推薦數(shù)據(jù)，得出PALL應(yīng)定級為SIL1回路[3～5]。

表2 壓力低低導(dǎo)致儲罐損壞的LOPA列表

注：*代表真空補(bǔ)氣回路；中間事件概率是頻率、BPCS、操作和報(bào)警、IPL額外措施的乘積。

4 SIL驗(yàn)證方法

LNG接收站通常采用故障樹方法進(jìn)行SIL驗(yàn)證。GB/T 20438-2006根據(jù)安全功能被要求的頻率定義了兩種評估SIL的量化指標(biāo)，同時(shí)考慮到LNG接收站屬于低要求模式，即要求頻率小于每年一次，因此采用平均失效概率(PFDavg)對SIL進(jìn)行評估。根據(jù)GB/T 20438-2006提供的簡化公式可計(jì)算相關(guān)元件的PFDavg，計(jì)算所需的具體參數(shù)包括每個(gè)通道的危險(xiǎn)失效率、危險(xiǎn)診斷覆蓋率、公因失效率、設(shè)備平均修復(fù)時(shí)間和檢測周期。數(shù)據(jù)來源主要以產(chǎn)品供應(yīng)商提供的基礎(chǔ)失效數(shù)據(jù)為主，如果此部分?jǐn)?shù)據(jù)不完全，通常采用權(quán)威發(fā)布的基本工業(yè)統(tǒng)計(jì)數(shù)據(jù)和相應(yīng)的假設(shè)條件，并聲明和討論可能由此產(chǎn)生的偏差。表3為儲罐PALL回路SIL驗(yàn)證的計(jì)算結(jié)果，可以看出SIL1的定級滿足要求。

表3 儲罐PALL回路的SIL驗(yàn)證結(jié)果

5 SIS各環(huán)節(jié)的選型

SIS是由檢測元件、各種I/O卡件、控制單元、執(zhí)行機(jī)構(gòu)或元件及它們之間的信號傳輸構(gòu)成的完整系統(tǒng)。系統(tǒng)整體的可靠性和可用性與構(gòu)成系統(tǒng)的各個(gè)環(huán)節(jié)密切相關(guān)，因此，在確定SIL后應(yīng)重點(diǎn)關(guān)注各環(huán)節(jié)元件的設(shè)計(jì)選型和配置的合規(guī)性與合理性，使每個(gè)SIL回路的設(shè)計(jì)與執(zhí)行切實(shí)滿足工藝過程安全要求。

針對檢測元件，應(yīng)嚴(yán)格選擇具有安全等級認(rèn)證的變送器產(chǎn)品，并要求廠家提供TUV、Exida等權(quán)威機(jī)構(gòu)的SIL認(rèn)證、危險(xiǎn)失效率等關(guān)鍵參數(shù)。在產(chǎn)品選型上，應(yīng)優(yōu)先采用模擬量變送器信號作為檢測信號，避免開關(guān)類儀表由于長期不動作而發(fā)生觸點(diǎn)粘合等異常情況，導(dǎo)致系統(tǒng)誤動作。選擇本安型儀表時(shí)，應(yīng)額外考慮引入安全柵風(fēng)險(xiǎn)對SIL的影響。由于執(zhí)行元件出現(xiàn)故障的比率最高，因此，在選擇電磁閥時(shí)應(yīng)選擇絕緣耐用型線圈，切斷閥門尤其是低溫閥門的抗低溫性能應(yīng)格外注意，避免因材料選擇不合理導(dǎo)致后期變形卡死、因材料加工和低溫試驗(yàn)不合格為后期埋下隱患。在對SIS關(guān)斷閥執(zhí)行機(jī)構(gòu)進(jìn)行選型時(shí)，應(yīng)嚴(yán)格要求其輸出是最大設(shè)計(jì)扭矩的兩倍，以滿足閥門在最小供氣壓力下、最壞情況時(shí)的操作需要。對于關(guān)鍵部位的執(zhí)行機(jī)構(gòu)，可選擇多電磁閥、多執(zhí)行機(jī)構(gòu)的冗余設(shè)置。對于邏輯設(shè)計(jì)單元與I/O卡件的設(shè)置，雖然它們出現(xiàn)故障的概率較小，但也應(yīng)選擇技術(shù)先進(jìn)可靠的產(chǎn)品，以提高整個(gè)系統(tǒng)回路的可靠性。

6 結(jié)束語

筆者針對SIS設(shè)計(jì)的關(guān)鍵環(huán)節(jié)，結(jié)合LNG行業(yè)安全功能分析與SIS的設(shè)計(jì)經(jīng)驗(yàn)，介紹了LNG接收站功能安全分析和SIL定級與驗(yàn)證方法。通過總結(jié)LNG接收站以往的設(shè)計(jì)經(jīng)驗(yàn)，提出需要注意的有關(guān)本質(zhì)安全設(shè)計(jì)的幾點(diǎn)原則，為SIS的后生命周期管理奠定基礎(chǔ)。

[1] 莊力健,朱建新,方向榮,等.典型石化裝置加熱爐聯(lián)鎖系統(tǒng)安全完整性評估與現(xiàn)狀[J].化工自動化及儀表,2015,42(1):31～35.

[2] 朱春麗,洪毅,丁傳暉.海洋石油平臺安全儀表系統(tǒng)安全完整性等級評估[J].化工自動化及儀表,2014,41(4):410～413.

[3] 張建國.安全儀表系統(tǒng)在過程工業(yè)中的應(yīng)用[M].北京:中國電力出版社,2010.

[4] GB/T 20438-2006,電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全[S].北京:中華人民共和國國家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局,2006.

[5] GB/T 21109-2007,過程工業(yè)領(lǐng)域安全儀表系統(tǒng)的功能安全[S].北京:中華人民共和國國家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局,2007.

TH862+.7

B

1000-3932(2016)06-0665-04

2016-05-12(修改稿)