LNG卸料臂緊急脫離系統(tǒng)SIL評(píng)估與改進(jìn)

亢海洲 朱建新 方向榮 江 克 袁文彬

(合肥通用機(jī)械研究院國(guó)家壓力容器與管道安全工程技術(shù)研究中心)

LNG卸料臂緊急脫離系統(tǒng)SIL評(píng)估與改進(jìn)

亢海洲 朱建新 方向榮 江 克 袁文彬

(合肥通用機(jī)械研究院國(guó)家壓力容器與管道安全工程技術(shù)研究中心)

對(duì)某LNG接收站進(jìn)行了危險(xiǎn)可操作性分析(HAZOP)，根據(jù)分析結(jié)果發(fā)現(xiàn)LNG卸料臂是最關(guān)鍵的危險(xiǎn)源之一。結(jié)合IEC61508、IEC61511和相關(guān)國(guó)內(nèi)標(biāo)準(zhǔn)，對(duì)LNG接收站卸料臂緊急脫離系統(tǒng)進(jìn)行了安全完整性評(píng)估。評(píng)估確定了兩個(gè)卸料臂ERS的安全聯(lián)鎖功能SIF、各安全聯(lián)鎖功能所需SIL等級(jí)和實(shí)際能達(dá)到的SIL等級(jí)，并對(duì)現(xiàn)有安全聯(lián)鎖功能的設(shè)置提出了具體改進(jìn)建議。

緊急脫離系統(tǒng) LNG 卸料臂 安全聯(lián)鎖系統(tǒng) 安全完整性等級(jí)

安全聯(lián)鎖系統(tǒng)(SIS)是一種自動(dòng)安全保護(hù)系統(tǒng)，它是保證正常生產(chǎn)和人身、設(shè)備安全的必不可少的措施，已發(fā)展成為工業(yè)自動(dòng)化的重要組成部分。聯(lián)鎖回路對(duì)裝置的可靠性和安全運(yùn)行影響極大。聯(lián)鎖系統(tǒng)設(shè)計(jì)不當(dāng)，一種可能的后果是該跳車時(shí)不跳，造成拒動(dòng)作；另一種可能的后果是不該跳車時(shí)跳車，造成誤跳車。拒動(dòng)作會(huì)造成嚴(yán)重甚至災(zāi)難性的后果，誤動(dòng)作的直接后果是裝置停車，造成巨額的經(jīng)濟(jì)損失?？梢?，對(duì)SIS進(jìn)行安全完整性等級(jí)(Safety Integrity Level，SIL)評(píng)估，使聯(lián)鎖系統(tǒng)的性能具有合理的水平，既能預(yù)防拒動(dòng)作，又能降低誤動(dòng)作，對(duì)于減小事故的發(fā)生和避免經(jīng)濟(jì)損失具有重要的意義[1～3]。

SIL評(píng)估的起點(diǎn)，源自對(duì)工藝流程中存在的危險(xiǎn)源辨識(shí)和可操作性分析(Hazard and Operability Study，HAZOP)。HAZOP用于辨識(shí)工藝危險(xiǎn)源，就LNG站來說，分為工藝危害與設(shè)備危害。其中工藝危害指與LNG物化特性相關(guān)的燃燒、爆炸、閃蒸、翻滾及人員窒息等；而設(shè)備危害指如BOG壓縮機(jī)、LNG外輸高壓泵、LNG卸料臂及外送槽車等引起的機(jī)械類危害，如振動(dòng)、泄漏、超壓、機(jī)械損傷及罐基礎(chǔ)下沉等。

經(jīng)過辨識(shí)危險(xiǎn)源和事故后果分類，依據(jù)HAZOP分析報(bào)告的輸出，作為SIL評(píng)估的輸入條件。依據(jù)國(guó)際電工協(xié)會(huì)標(biāo)準(zhǔn)IEC61508、IEC61511和GB/T 20438、GB/T 21109的要求，對(duì)LNG接收站卸料臂安全聯(lián)鎖功能(Safety Instrumented Function, SIF)進(jìn)行劃分與可靠性計(jì)算。通過引入國(guó)際公認(rèn)的多項(xiàng)部件可靠性數(shù)據(jù)庫(kù)，如挪威船級(jí)社的OREDA、美國(guó)化學(xué)工程師學(xué)會(huì)CCPS等，考慮部件不同失效模式、共因失效及失效可檢測(cè)性等特征，利用Markov模型進(jìn)行矩陣運(yùn)算，求解聯(lián)鎖回路的可靠性。

如果計(jì)算可靠性等級(jí)無法滿足所需，還需要引入獨(dú)立保護(hù)層分析(LOPA)[4]。從風(fēng)險(xiǎn)降低的角度，分析與此聯(lián)鎖保護(hù)回路相關(guān)的風(fēng)險(xiǎn)降低措施，如安全閥、爆破片的排放量是否滿足最危險(xiǎn)工況要求，液位變動(dòng)所需時(shí)間是否足夠操作工及時(shí)正確處理，罐區(qū)可燃性氣體探測(cè)和水幕噴淋消防措施的可靠性水平等。

1 LNG接收站工藝介紹

LNG接收站的主要功能是LNG接卸、儲(chǔ)存、加壓和氣化、蒸發(fā)氣(BOG)處理、槽車灌裝、天然氣計(jì)量和外輸。主要設(shè)備有LNG卸料臂、LNG儲(chǔ)罐、LNG高低壓輸送泵、BOG壓縮機(jī)、再冷凝器及氣化器等[5]。

LNG主要流程如圖1所示。LNG運(yùn)輸船抵達(dá)專用碼頭后，通過液相卸船臂和卸船管線，由船上卸料泵將LNG送至接收站的LNG儲(chǔ)罐。在卸船期間，LNG儲(chǔ)罐內(nèi)將會(huì)產(chǎn)生大量蒸發(fā)氣。BOG一部分經(jīng)氣相返回管線和氣相返回臂返回LNG船，以平衡料艙內(nèi)的壓力；另一部分通過BOG壓縮機(jī)升壓進(jìn)入再冷凝器被來自低壓輸送泵過冷的LNG冷凝，再經(jīng)高壓輸出泵送入氣化器，LNG被加熱氣化成NG，經(jīng)調(diào)壓、計(jì)量后送進(jìn)輸氣管網(wǎng)。

圖1 LNG接收站主要流程

2 LNG卸料臂緊急脫離系統(tǒng)

LNG接收站的生產(chǎn)過程由于涉及低溫、高壓及易燃易爆等危險(xiǎn)因素，可能會(huì)發(fā)生因設(shè)備、管線、閥門的泄漏或破裂而引起的火災(zāi)、爆炸等危害事故[6]。LNG儲(chǔ)罐泄漏是重大事故發(fā)生的關(guān)鍵環(huán)節(jié)。而在LNG裝卸料期間，由于操作參數(shù)控制要求高，LNG船體與碼頭距離受風(fēng)浪和天氣因素較明顯，最容易出現(xiàn)LNG的泄漏事故。為此LNG卸料臂(圖2)一般均設(shè)置有卸料緊急脫離系統(tǒng)，即ERS(Emergency Release System)。中央控制室CCS的子模塊JCR01對(duì)卸料臂的狀態(tài)進(jìn)行監(jiān)控[5,7]，當(dāng)遇到突發(fā)情況引起卸料臂位移超限時(shí)，卸料臂與LNG儲(chǔ)罐相關(guān)管線必須緊急脫離，以防止大量LNG泄漏到空氣中引發(fā)火災(zāi)或爆炸事故[8]。

圖2 LNG卸料臂系統(tǒng)結(jié)構(gòu)

卸料臂系統(tǒng)包括內(nèi)臂、外臂、自主配重總成、旋轉(zhuǎn)接頭(STYLE 80、STYLE 50、STYLE 40)、ERS、QCDC(快速連接裝置)、相關(guān)液壓動(dòng)力和控制系統(tǒng)。ERS的組成為：雙切斷球閥DBV、緊急斷開夾具(Powered Emergency Release Collar，PERC)、液壓蓄能器、位置傳感器、選擇閥組及控制柜等。ERS接頭和雙切斷球閥細(xì)節(jié)模型如圖3所示。

圖3 ERS接頭和雙切斷球閥細(xì)節(jié)模型

當(dāng)位移傳感器檢測(cè)到卸料臂位移超限時(shí)，第1級(jí)別ESD1啟動(dòng)，雙切斷球閥關(guān)閉；當(dāng)位移超過第1限制，第2級(jí)別ESD2啟動(dòng)，雙切斷球閥關(guān)閉，快速接頭PERC脫開，實(shí)現(xiàn)岸船快速分離以保證安全。

3 緊急脫離系統(tǒng)的SIL分析

3.1 ERS的SIF劃分

根據(jù)HAZOP和事故后果的分析結(jié)果，LNG卸料臂ERS可以分為兩個(gè)安全聯(lián)鎖功能(SIF)：SIF1，當(dāng)位置傳感器檢測(cè)到位移超限ZAHH時(shí)(達(dá)到預(yù)設(shè)值1)，切斷兩只快關(guān)球閥以停止LNG卸料過程；SIF2，當(dāng)位置傳感器檢測(cè)到位移超限(達(dá)到預(yù)設(shè)值2)ZAHHH時(shí)，脫開快速接頭，實(shí)現(xiàn)岸船分離以保障安全。SIF回路劃分情況見表1。

表1 LNG卸料臂SIF劃分

注：雙切斷球閥可靠性按照2oo2計(jì)算，誤跳按照1oo2計(jì)算，雙切斷球閥不同邏輯的可靠性計(jì)算原因可參考文獻(xiàn)[9]。

3.2 LNG接收站ERS所需的風(fēng)險(xiǎn)矩陣

某項(xiàng)目LNG接收站正常情況下，平均3天進(jìn)行一次LNG裝卸操作，事故頻率按照大于0.4進(jìn)行分析。如果LNG泄漏發(fā)生起火爆炸，則造成卸料操作人員重傷1～2名，直接經(jīng)濟(jì)損失超過500萬元。從人員、環(huán)境和經(jīng)濟(jì)損失3個(gè)方面進(jìn)行綜合考慮[10]，則得到LNG卸料臂SIF1-位移超限關(guān)球閥應(yīng)該達(dá)到的SIL等級(jí)為SIL2/SIL4級(jí)(由于直接經(jīng)濟(jì)損失無法精確估計(jì)，所以經(jīng)濟(jì)損失控制要求給出的是SIL等級(jí)范圍)；SIF2-位移超限脫開PERC應(yīng)該達(dá)到的SIL等級(jí)為SIL b/SIL 2。其中，經(jīng)濟(jì)損失控制要求見表2。

表2 SIF1風(fēng)險(xiǎn)矩陣(經(jīng)濟(jì)控制要求)

3.3 ERS的SIF可靠性計(jì)算

3.3.1 邏輯結(jié)構(gòu)

根據(jù)ERS系統(tǒng)的配置情況，繪制方便后期可靠性計(jì)算的聯(lián)鎖回路邏輯結(jié)構(gòu)如圖4所示，SIF2的聯(lián)鎖回路邏輯結(jié)構(gòu)類似于SIF1，故此處省略。

圖4 SIF1聯(lián)鎖回路邏輯結(jié)構(gòu)

3.3.2 失效率數(shù)據(jù)

根據(jù)有關(guān)數(shù)據(jù)庫(kù)和FMECA分析方法，得到傳感器、邏輯求解器和執(zhí)行機(jī)構(gòu)失效率數(shù)據(jù)(表3)。

表3 失效率數(shù)據(jù)

注：表中失效率數(shù)據(jù)僅作為計(jì)算過程的示意，不代表任何一種確定型號(hào)儀表的失效率概率數(shù)據(jù)。

3.3.3 可靠性計(jì)算結(jié)果

可利用專門開發(fā)的SIL評(píng)估軟件，分別計(jì)算3個(gè)子系統(tǒng)可靠性數(shù)據(jù)，計(jì)算結(jié)果見表4。

表4 各子系統(tǒng)可靠性計(jì)算結(jié)果

3.4 ERS的SIL評(píng)價(jià)

根據(jù)各子系統(tǒng)計(jì)算結(jié)果，結(jié)合全概率公式，計(jì)算整個(gè)SIF回路的可靠性結(jié)果見表5。

表5 可靠性計(jì)算結(jié)果

由表5可以看出，經(jīng)實(shí)際計(jì)算，SIF1和SIF2都可以達(dá)到SIL1級(jí)。對(duì)于SIF2而言，由于SIF2觸發(fā)之前，SIF1已經(jīng)觸發(fā)，成功切斷雙球閥，船-岸之間的LNG流體已經(jīng)充分切斷，故SIF2即使拒動(dòng)作，一般也不會(huì)導(dǎo)致大量LNG泄漏急劇氣化甚至引發(fā)火災(zāi)或者爆炸后果。故之前分析它所需的SIL等級(jí)為SIL b～SIL2，可見實(shí)際SIL等級(jí)完全滿足安全要求。

但是SIF1實(shí)際能達(dá)到的SIL等級(jí)為1級(jí)，無法滿足安全要求。由于SIF1一旦拒動(dòng)作，會(huì)引發(fā)LNG泄漏，后果較嚴(yán)重，故它所需的SIL等級(jí)為SIL2～SIL4。僅僅從聯(lián)鎖方面來看，目前SIF1無法滿足安全要求，需要進(jìn)一步進(jìn)行獨(dú)立保護(hù)層(LOPA)分析。

考慮到LNG裝卸料期間，有操作工或技術(shù)人員在就地控制柜實(shí)時(shí)觀測(cè)并處理。一旦LNG卸料臂位移超限，PLC會(huì)給出信號(hào)，就地發(fā)出聲光報(bào)警，提醒操作工注意并處理。操作工有足夠的反應(yīng)時(shí)間，并且可以正確處理，防止出現(xiàn)危險(xiǎn)事故。故操作工可以作為L(zhǎng)NG卸料臂位移超限的獨(dú)立保護(hù)層，故SIF1可以達(dá)到SIL1+1，即SIL2級(jí)，即SIF1也滿足安全要求。

雖然SIF1和SIF2均滿足安全要求，但SIF1依然存在誤跳或安全方面的改進(jìn)空間。由于SIF1誤跳后果較輕微，一般只影響裝卸料過程，造成裝卸料進(jìn)度減緩，不會(huì)導(dǎo)致安全事故；但他的拒動(dòng)作后果很嚴(yán)重，所以需要盡量避免發(fā)生拒動(dòng)作風(fēng)險(xiǎn)。為此，可以從以下幾個(gè)方面降低拒動(dòng)作風(fēng)險(xiǎn)：

a. 定期檢查并維護(hù)液壓蓄能器、選擇閥組和相關(guān)部件，以保證每臺(tái)液壓執(zhí)行器有足夠動(dòng)力，關(guān)鍵時(shí)候能快速切斷球閥，避免LNG泄漏。

b. 建議增加液壓蓄能器壓力低報(bào)警。當(dāng)每臺(tái)卸料臂所屬的蓄能器壓力低時(shí)，現(xiàn)場(chǎng)發(fā)出聲光報(bào)警，并將壓力低信號(hào)送LNG接收站中控室，及時(shí)通知相關(guān)人員進(jìn)行處理。

c. 嚴(yán)格執(zhí)行崗位操作法，LNG裝卸料期間，操作工必須在現(xiàn)場(chǎng)實(shí)時(shí)處理并對(duì)所有異常情況及時(shí)進(jìn)行正確處理；堅(jiān)持崗位培訓(xùn)和巡查，對(duì)突發(fā)狀況進(jìn)行定期演練，確保操作工熟悉應(yīng)急處置程序。

d. 較早設(shè)計(jì)并投運(yùn)的卸料臂，其位移傳感器邏輯結(jié)構(gòu)較為復(fù)雜，一般每個(gè)卸料臂包含4～8個(gè)傳感器。如此會(huì)造成設(shè)計(jì)、采購(gòu)和維護(hù)成本明顯升高，而其可靠性卻不見得有明顯提高。近年來設(shè)計(jì)的邏輯結(jié)構(gòu)均為2oo3，根據(jù)計(jì)算，其SIL等級(jí)可以達(dá)到SIL2，完全滿足安全要求，故建議針對(duì)早前的設(shè)計(jì)，由專業(yè)技術(shù)人員擇機(jī)進(jìn)行梳理并改造。

e. 建議定期對(duì)雙球閥DBV進(jìn)行部分測(cè)試并評(píng)估閥門性能。由于SIF1的執(zhí)行機(jī)構(gòu)為同時(shí)切斷兩只快速球閥才能保證安全，即2oo2邏輯。此邏輯結(jié)構(gòu)計(jì)算得出拒動(dòng)作概率較高，限制了整個(gè)SIF1回路可以達(dá)到的SIL等級(jí)。所以DBV能否快速切斷是SIF1回路成功執(zhí)行的關(guān)鍵環(huán)節(jié)。部分測(cè)試可以在不影響正常工藝流程情況下，檢測(cè)閥門的性能以提高整個(gè)回路的可靠性。對(duì)2oo2球閥分別進(jìn)行6個(gè)月、3個(gè)月、1個(gè)月各執(zhí)行一次部分測(cè)試，得到的可靠性結(jié)果見表6。

表6 不同周期下部分測(cè)試后SIF1回路可靠性數(shù)據(jù)

可以看出，當(dāng)部分測(cè)試的周期從6個(gè)月縮短至1個(gè)月時(shí)，SIF1的風(fēng)險(xiǎn)降低因子RRF超過了100，可以達(dá)到的SIL等級(jí)為SIL2，將SIF1整體回路提升了一個(gè)等級(jí)。SIF1可以不過于依賴操作工的正確處理，也能滿足安全要求，建議每月對(duì)ERS進(jìn)行一次部分測(cè)試或在每次裝卸料后進(jìn)行部分測(cè)試。這樣SIF1就足以滿足安全要求，可以確保操作工可能帶來的疏忽不會(huì)導(dǎo)致發(fā)生危險(xiǎn)事故。

4 結(jié)束語

目前國(guó)內(nèi)對(duì)LNG接收站進(jìn)行SIL評(píng)估還不多見，依據(jù)IEC相關(guān)標(biāo)準(zhǔn)，對(duì)LNG接收站緊急脫離系統(tǒng)ERS進(jìn)行了SIL評(píng)估，分析了其危險(xiǎn)后果，定義了風(fēng)險(xiǎn)矩陣，計(jì)算了各SIF回路的SIL等級(jí)，并對(duì)ERS系統(tǒng)的維護(hù)提出了改進(jìn)建議以提高其可靠性。一般來說，通過有經(jīng)驗(yàn)的獨(dú)立第三方開展SIL評(píng)估技術(shù)服務(wù)，企業(yè)將會(huì)獲得以下益處：解決裝置長(zhǎng)周期所面臨的儀表誤跳車問題；解決裝置聯(lián)鎖系統(tǒng)可能存在的安全隱患，確保裝置安全；解決裝置聯(lián)鎖系統(tǒng)定期檢修與優(yōu)化問題；解決裝置工藝設(shè)計(jì)、安全設(shè)施(安全閥、爆破片)設(shè)置的相容性與完整性問題；建立聯(lián)鎖系統(tǒng)定量風(fēng)險(xiǎn)管理體系，提升裝置儀表系統(tǒng)管理的質(zhì)量與水平。

[1] 朱建新，方向榮，莊力健，等.安全完整性技術(shù)(SIL)在我國(guó)石化裝置上的應(yīng)用實(shí)踐及思考[J].化工自動(dòng)化及儀表，2012，39(10):1253～1259.

[2] 朱建新，王莉君，高增梁.IEC61511標(biāo)準(zhǔn)及在石化行業(yè)安全管理中的應(yīng)用[J].中國(guó)安全科學(xué)學(xué)報(bào),2007，17(2):105～109.

[3] 亢海洲.安全聯(lián)鎖系統(tǒng)(SIS)復(fù)雜邏輯結(jié)構(gòu)的可靠性模擬[D].杭州：浙江工業(yè)大學(xué),2009.

[4] AIChE. Layer of Protection Analysis Simplified Process Risk Assessment[M].New York:CCPS，2001.

[5] 房樹萍.LNG儲(chǔ)罐的監(jiān)測(cè)和控制系統(tǒng)[J].化工自動(dòng)化及儀表，2010,37(5):114～117.

[6] 初燕群，陳文煜，牛軍鋒，等.液化天然氣接收站應(yīng)用技術(shù)(Ⅰ)[J].天然氣工業(yè)，2007,27(1):120～123.

[7] 翟建勇，蒙緒飛，洪濤.國(guó)產(chǎn)控制系統(tǒng)在浮式液化天然氣接收站的應(yīng)用[J].化工自動(dòng)化及儀表,2014,41(8):975～977.

[8] 宋媛玲，白改玲，周偉，等.HAZOP分析方法在液化天然氣接收站的應(yīng)用[J].化學(xué)工程,2012,40(2):74～78.

[9] 朱建新，王莉君，高增梁，等.基于失效模式的聯(lián)鎖系統(tǒng)安全與誤跳車計(jì)算方法[J].壓力容器，2007，24(7):12～16.

[10] 亢海洲，朱建新，方向榮，等.空分壓縮機(jī)組安全完整性等級(jí)(SIL)技術(shù)評(píng)估應(yīng)用及分析[J].自動(dòng)化技術(shù)與應(yīng)用，2015，34(2):74～78.

參考文獻(xiàn)著錄規(guī)范

[書] 編號(hào) 著者名.書名[M].版本.出版地:出版者,出版年：頁碼.

[期刊] 編號(hào) 著者名.題(篇)名[J].刊名,出版年,卷號(hào)(期號(hào)): 頁碼.

[論文集] 編號(hào) 著者名.題(篇)名[C].整本文獻(xiàn)的編者ed(多編者用eds)(編).文集名.出版地:出版者,出版年:頁碼.

[學(xué)位論文] 編號(hào) 著者名.題(篇)名[D].保存地：學(xué)位授予單位,年.

[專利文獻(xiàn)] 編號(hào) 專利申請(qǐng)者名.專利題名[P].專利國(guó)別：專利號(hào),出版日期.

注：①著者姓名應(yīng)列全(3個(gè)以上的只列3個(gè)，并在第3個(gè)著者名后加“等”)；

②國(guó)外作者名應(yīng)將“姓”排前，“名”排后。

SafetyIntegrityAssessmentandImprovementonERSofLNGUnloadingArms

KANG Hai-zhou, ZHU Jian-xin, FANG Xiang-rong, JIANG Ke, YUAN Wen-bin

(NationalSafetyEngineeringTechnologyResearchCenterforPressureVesselsandPipeline,HefeiGeneralMachineryResearchInstitute)

Both hazard and operability study on LNG receiving terminal was implemented to show that the LNG unloading arm is one of the most key hazards. Through having code of IEC61508, IEC61511 and relevant national standards considered, the safety integrity assessment on ERS of LNG loading arms was carried out and two loading arms’ SIF of ERS and the SIL level required as well as the actual SIL level were determined, including the suggestions on setting of safety instrumented functions.

ERS, LNG, loading arms, SIS, SIL

TH865

A

1000-3932(2017)01-0053-06

國(guó)家高技術(shù)研究發(fā)展計(jì)劃(“863”計(jì)劃)項(xiàng)目(2014AA041806)。

亢海洲(1983-)，工程師，從事過程工業(yè)安全聯(lián)鎖系統(tǒng)工程風(fēng)險(xiǎn)評(píng)估工作， 124991381@qq.com。

2016-05-11，

2016-11-22)