深水井控STAMP/STPA安全性分析

孟祥坤, 陳國明, 張肖錦,2, 朱 淵, 趙倩琳,3

(1.中國石油大學(華東)海洋油氣裝備與安全技術研究中心,山東青島 266580; 2.清華蘇州環(huán)境創(chuàng)新研究院,江蘇蘇州 215163; 3.中國石油化工股份有限公司天然氣分公司,北京 100120)

深水海域目前已成為油氣勘探開發(fā)的重要接替區(qū),與陸上鉆井相比,深水鉆井更為復雜[1]。信息化和自動化程度的提高使得深水鉆井平臺呈現(xiàn)出信息集成、勞動密集和設備集中的特點,也為鉆井事故模型的構建和分析提出了新的挑戰(zhàn)。井噴作為深水鉆井作業(yè)平臺面臨的最嚴重事故[2],一旦失控引發(fā)火災爆炸,將嚴重威脅平臺人員、設備和環(huán)境安全。如2010年墨西哥灣“深水地平線”半潛式平臺井噴爆炸事故,造成11人遇難及490萬桶原油泄漏,事故成本超過600億美元[3]。因此防止井噴的發(fā)生并控制其災變事故是保障深水鉆井作業(yè)安全的重中之重。深水井控失效導致井噴的致災機制復雜,風險因素眾多。深水作業(yè)外部環(huán)境的惡劣性以及系統(tǒng)內部組件關聯(lián)、信息融合、軟硬件組合和人機結合的特點,使得影響井噴的風險因素增加且關聯(lián)性增強,加之人為因素的復雜性,導致安全分析更加困難。傳統(tǒng)的基于故障類型的事故模型,如事件樹和事故樹模型均假設事故的發(fā)生是線性的,認為系統(tǒng)的安全性依賴于系統(tǒng)各部件的可靠性;同時,將人、軟件與硬件作為獨立要素考慮,忽略了系統(tǒng)各組成部分之間的耦合性和相關性,無法從系統(tǒng)聯(lián)系的角度解釋鉆井事故發(fā)生的內在機制[4]。基于系統(tǒng)理論的事故模型和過程(system-theoretic accident model and process,STAMP)作為傳統(tǒng)安全分析方法的拓展[5],一方面適應深水鉆井系統(tǒng)集成化、信息化發(fā)展的安全可靠性評估需求,另一方面可直觀闡明深水鉆井失效連鎖災變事故的發(fā)生過程。STAMP模型由Leveson[6-7]提出,目前已在航空航天[8]、核電[9-10]和高鐵[11-12]等行業(yè)得到廣泛應用。該模型適用于現(xiàn)代復雜的人與軟硬件結合系統(tǒng)的安全性分析與控制,但在定量分析方面尚顯不足。鑒于此,筆者針對復雜系統(tǒng)安全分析所面臨的系統(tǒng)性和定量性挑戰(zhàn),提出STAMP系統(tǒng)性分析與動力學分析相結合的方法,從控制角度對深水井控作業(yè)安全性進行分析:基于STAMP/STPA方法,根據(jù)井控作業(yè)流程,定義安全控制結構,對其不安全控制行為和潛在風險進行詳細分析;采用OLGA動力學分析方法,分析井涌后“沒有提供控制行為”和“控制行為發(fā)生延遲”工況下系統(tǒng)的安全性。

1 STAMP/STPA機制

1.1 STAMP基本原理

復雜系統(tǒng)安全性是特定環(huán)境下由系統(tǒng)相關要素交互作用所產(chǎn)生的一種涌現(xiàn)特性[6],事故的原因是對系統(tǒng)組件、人為因素、環(huán)境以至社會與管理因素間復雜相互作用控制不當?shù)慕Y果[12],系統(tǒng)安全性分析要求發(fā)現(xiàn)系統(tǒng)中潛在的不安全行為或因素,并及時采取控制與約束措施。區(qū)別于傳統(tǒng)的基于部件可靠性理論的安全性分析方法,STAMP模型是基于系統(tǒng)理論和控制理論,將安全性視為系統(tǒng)組元、人為因素、環(huán)境因素和組織管理因素在非線性相互作用下的一種整體涌現(xiàn)性。復雜系統(tǒng)作為一種開放的非線性系統(tǒng)[13],子系統(tǒng)之間以及系統(tǒng)與外界之間有物質、信息和能量的交互,安全評估的要點是要明確系統(tǒng)內部各種功能組件及其邏輯控制關系,分析組件可能遭遇的外部干擾和環(huán)境因素,從而明確系統(tǒng)正常運行所需的控制要求。

STAMP模型認為事故的發(fā)生是系統(tǒng)在運行過程中對組元失效、外部擾動和交互紊亂缺乏有效控制,導致不安全情形出現(xiàn)[14]。該方法重點考慮事件發(fā)生的時機和次序,通過對復雜動態(tài)過程的控制流程辨識安全威脅,開展安全評估。STAMP提出3類基本控制缺陷,指導復雜系統(tǒng)的安全分析[8],具體包含:①控制指令錯誤或不足(不安全控制行為);②控制行為執(zhí)行不充分;③反饋信息錯誤或不足。

1.2 STPA分析方法

STPA(system-theoretic process analysis)是基于STAMP的系統(tǒng)性安全評估方法,通過構建由控制器、執(zhí)行器、控制過程和傳感器構成的反饋控制回路(圖1)[10],分析控制行為在性能、時間或邏輯上的不合理情形,辨識不安全控制作用和場景。STPA的執(zhí)行包含以下步驟[15]:①辨識導致事故的系統(tǒng)狀態(tài)或條件,定義系統(tǒng)風險;②開發(fā)安全控制結構,識別系統(tǒng)元件之間的關聯(lián)關系,分析安全需求和限制;③識別不安全控制行為導致的約束失效,STPA定義了4種不安全控制行為，即沒有提供控制行為、控制行為錯誤或不安全、控制行為發(fā)生延遲、控制行為結束過早;④不安全控制行為關鍵原因分析。

圖1 安全控制回路Fig.1 General safety control structure based on STAMP

2 深水鉆井系統(tǒng)STAMP/STPA分析

與其他安全分析方法相似,STAMP/STPA方法主要識別系統(tǒng)存在的風險,但不同之處在于,傳統(tǒng)安全分析方法通過分析得到系統(tǒng)各組件的危險概率;STPA是通過辨識在井控過程中的控制指令錯誤或不足、控制行為執(zhí)行不充分以及反饋信息錯誤或不足等,識別系統(tǒng)控制回路中的不安全狀態(tài),從系統(tǒng)控制和約束的角度進行安全性分析。

2.1 深水鉆井系統(tǒng)安全風險與約束

深水鉆井時,地層孔隙壓力和破裂壓力之間的安全窗口比較窄,導致井控作業(yè)窗口較窄;井涌余量、最大允許關井套壓和隔水管鉆井液安全增量隨水深增加而降低;同時,深水地層上覆巖層壓力低,導致地層疏松,井壁穩(wěn)定性差,井控操作容易造成井漏等復雜狀況[16]。

圖2為典型的控壓鉆井(MPD)過程[17],水下井口處配置防噴器組,經(jīng)隔水管、輔助管線等與鉆臺上的節(jié)流壓井設備連通。正常鉆進時,鉆井液在循環(huán)系統(tǒng)中單相流動;發(fā)生井涌后,地層流體首先侵入井筒環(huán)空,若發(fā)現(xiàn)較晚,油氣可能進入隔水管段,并迅速發(fā)展為井噴;關井時,通過關閉防噴器(BOP)使得套管壓力穩(wěn)定;壓井時,通過鉆桿—井筒環(huán)空—節(jié)流管線的循環(huán)通道驅替溢流,使地層和井底壓力達到新的平衡。

圖2 控壓鉆井流程示意圖Fig.2 Schematic of managed pressure drilling (MPD) flow process

將井筒壓力作為深水鉆井井噴事故的安全約束條件,通過相應的約束屏障對壓力進行控制[18]?？貕恒@井通過相關設備控制鉆進過程中的壓力場,利用鉆井液柱壓力平衡地層壓力,可有效阻止地層流體侵入井筒[19],是防止井涌的初級約束屏障;但在深水作業(yè)過程中,常因內外環(huán)境變化使得壓力控制遭到破壞而產(chǎn)生井涌,此時則需要依靠防噴器組、旋轉控制頭和節(jié)流壓井管匯等設備進行關井和壓井作業(yè),重新恢復對深水井的壓力控制,此為防止井噴的二級約束屏障;若沒有及時發(fā)現(xiàn)井涌或防噴器失效,則會升級成為井噴,作用于井噴失控災變事故擴大后的應急階段的消防系統(tǒng)等為三級約束屏障。

2.2 定義安全控制結構

對于井控安全,最有效的策略是在鉆井過程中控制井筒液柱壓力,并在溢流出現(xiàn)初期進行及時控制。據(jù)圖1所示的反饋控制回路,深水鉆井作為復雜的人機系統(tǒng),鉆臺上由工控機和相關操作人員共同構成控制器(圖3),節(jié)流壓井管匯、節(jié)流閥、旋轉控制頭和水下防噴器組(圖2)構成執(zhí)行器,井筒壓力為控制過程,隨鉆測壓系統(tǒng)PWD和其他信號傳遞設備則為傳感器。

圖3 深水鉆井STAMP/STPA控制與反饋模型Fig.3 STAMP/STPA model of control and feedback for deepwater drilling

圖3中,下行箭頭均為控制行為,上行箭頭均為反饋過程。確定井涌及井噴事故可承受風險值域后,由深水鉆井相關人員根據(jù)反饋的井筒壓力信息發(fā)出控制指令。井控相關人員(包含平臺經(jīng)理、高級隊長、司鉆、鉆井液錄井工和固井工等)形成上下層控制關系,通過相關傳感器反饋所形成的各項信息,判斷是否超過可承受風險閾值,進而通過控制相關執(zhí)行器(圖2),實現(xiàn)井控操作。

正常鉆進時,PWD實時監(jiān)測地層孔隙壓力和環(huán)空循環(huán)當量鉆井液密度,并上傳至鉆臺控制系統(tǒng),保證在鉆進過程中及時發(fā)現(xiàn)溢流;監(jiān)測到溢流后,停泵并直接關閉防噴器完成關井操作;關井后,緩慢開泵,調節(jié)節(jié)流閥開度控制井口回壓,保持井底壓力略高于地層壓力以防止新溢流進入井筒;采用司鉆法壓井[20],泵入原密度鉆井液,鉆井液經(jīng)鉆桿下行至井底,將溢出流體經(jīng)井筒環(huán)空排出,溢出流體與鉆井液混合物從防噴器經(jīng)節(jié)流管線返回平臺并進行分離;用重鉆井液替換原密度鉆井液,先后經(jīng)鉆桿、井筒環(huán)空、防噴器與節(jié)流管線將鉆井液排出。

2.3 不安全控制行為

依據(jù)STAMP/STPA模型,從4類不安全控制行為角度,分析井控指令錯誤或不足導致的系統(tǒng)性風險。表1識別出的不安全控制行為,可轉化為作用于井筒壓力的安全約束。為防止井噴事故的發(fā)生,在深水鉆井過程中需保證系統(tǒng)控制行為符合安全約束。

表1 潛在不安全控制行為

2.4 關鍵原因分析

在確定不安全控制行為導致的危險后,根據(jù)控制反饋模型以及STAMP/STPA的提出的基本控制缺陷,總結不安全控制行為導致井涌及井噴事故的關鍵因素:控制行為執(zhí)行不充分和反饋信息錯誤或不足。

2.4.1 控制行為執(zhí)行不充分

在鉆進過程中發(fā)現(xiàn)溢流后提供了控制行為,但執(zhí)行時控制行為并不充分,包含:

(1)發(fā)現(xiàn)井涌并發(fā)出防噴器關閉指令后,防噴器未完全關閉。

(2)泵入鉆井液循環(huán)量和注入水泥量不足,導致油井安全余量降低。

(3)關井時,在節(jié)流管線與井筒環(huán)空未形成循環(huán)回路前即注入壓井液,井底壓力短時間內快速增大導致地層壓裂。

(4)壓井時,壓井管線中未注入水合物抑制劑,造成壓井管線堵塞。

(5)天然氣溢流到達井口時,未判斷套壓是否超過套管最大允許壓力,因套壓過高壓漏井筒。

2.4.2 反饋信息錯誤或不足

反饋信息錯誤或不足的關鍵原因包含:

(1)反饋信息產(chǎn)生階段。測量鉆井液密度和井筒壓力的方法存在缺陷[21];系統(tǒng)各閥門狀態(tài)信息的獲取不充分或存在缺陷;井控方法的選擇不恰當;其他與井控相關的重要信息沒有及時獲取或獲取方法錯誤。

(2)反饋信息傳輸階段。有關鉆井液密度和井筒壓力的反饋信息不正確、延時或丟失;各級控制人員的反饋信息不正確、延時或丟失;反饋信息顯示有井涌等危險的發(fā)生,但實際并無危險。

(3)外部因素影響。外部(如平臺監(jiān)理)指揮信息不正確;海洋和地層環(huán)境的獲取不充分、不正確或丟失。

3 深水井控工藝流程控制實例分析

STAMP/STPA分析方法從系統(tǒng)控制和約束的角度定性分析深水井控作業(yè)的安全性,定義安全控制結構,辨識不安全控制行為和產(chǎn)生危險的關鍵原因;以系統(tǒng)性分析為基礎,根據(jù)井控STAMP/STPA分析流程,對深水鉆井作業(yè)控制過程進行定量分析,構建正常鉆進—井涌—關井—壓井階段的動力學模型,以“沒有提供控制行為”和“控制行為發(fā)生延遲”為例,將不安全控制行為抽象成發(fā)現(xiàn)井涌后未施加約束以及延時施加關井和壓井約束,通過井控實際作用時機來評估井控危險狀況。

3.1 深水井控動力學模型

以深水天然氣井為例,進行井涌發(fā)生后的井控動力學分析。天然氣進入井筒環(huán)空后,使得鉆井循環(huán)系統(tǒng)中含有鉆井液、地層巖屑、天然氣三相流體,流體在循環(huán)系統(tǒng)中為多相流動,滿足質量守恒和動量守恒[20]:

(1)

(2)

(3)

(4)

式中,A為井筒環(huán)空橫截面積,m2;ρ1、ρs和ρg為密度(下標1、s和g分別代表鉆井液、地層巖屑與天然氣三相),kg/m3;α為三相的體積分數(shù),%;v為流速,m/s;qs為單位厚度內產(chǎn)出巖屑的速度,kg/(m·s);qg為單位厚度內氣侵速度,kg/(m·s);g為自由落體加速度,m/s2;θ為井斜角,(°)(本文中為豎直井,90°);pf為系統(tǒng)內沿程阻力損失,MPa。

式(1) ～ (3)分別為液相、固相和氣相質量守恒方程,式(4)為三相動量守恒方程。

實例天然氣井的工況為:水深為1 828 m,井深為5 304 m,地層溫度為100 ℃,海底環(huán)境溫度為3 ℃,鉆桿直徑0.108 6 m,井筒環(huán)空當量直徑0.295 3 m,隔水管環(huán)空當量直徑0.47 m,節(jié)流管線直徑0.132 m,地層壓力54 MPa,管壁平均傳熱系數(shù)為500 W/(m2·K)。

根據(jù)鉆井流程和安全控制結構,采用全動態(tài)多相流模擬軟件OLGA進行動力學仿真,建立深水天然氣井控工藝流程模型,如圖4所示。OLGA軟件可對混合流體的質量、動量與能量守恒方程進行數(shù)值求解。

圖4中,將鉆桿和井筒環(huán)空視為連通的U形管,防噴器簡化為1和2兩個節(jié)流閥,鉆桿及隔水管末端加單向閥1和2以防止模型內部發(fā)生倒流,節(jié)流管線末端安裝節(jié)流閥1。正常鉆進時,防噴器1關閉,防噴器2打開,流體按照鉆桿—井筒環(huán)空—隔水管—上部井口流動;發(fā)現(xiàn)井涌后關井時,停止鉆井,防噴器2關閉;壓井時,防噴器1打開,通過調節(jié)節(jié)流閥開度控制壓井過程,流體則按照鉆桿—井筒環(huán)空—節(jié)流管路流動。

圖4 深水天然氣井控流程Fig.4 Deepwater gas well control process

3.2 數(shù)值計算結果分析

3.2.1 沒有提供控制行為

假定在正常鉆進30 min后發(fā)生井涌,“沒有提供控制行為”即不采取關井措施時,井涌初期由于氣體尚未進入下部井口,持液率保持不變,但壓力出現(xiàn)小幅波動;約在60 min井涌氣體開始進入下部井口和隔水管,井口壓力和持液率開始迅速降低,約在100 min降至最低值(圖5(a)),即井筒環(huán)空被噴空。下部井口被噴空后,上部井口約在100 min也迅速被噴空(圖5(b))。因此,氣體進入隔水管之前,系統(tǒng)存在30 min相對安全時間,此時壓井可有效防止井涌升級成為井噴;氣體進入隔水管之后,約在85 min,上下井口壓力和持液率均急劇下降,100 min時形成持續(xù)的井噴。

圖5 未關井時下、上部井口壓力和持液率隨時間變化曲線Fig.5 Relation of pressure and liquid holdup of wellbore with time without shut-in

由圖5可知,發(fā)生井涌后,若因設備或人因失誤等原因而“沒有提供控制行為”,在井涌階段末期,即氣體進入隔水管后,井口壓力和持液率急速下降,井涌在極短的時間內發(fā)展為井噴[22]。

3.2.2 控制行為發(fā)生延遲

假定在井涌發(fā)生后某一時刻(5、15、25和35 min)被井控人員發(fā)現(xiàn),立即施加控制和約束措施,即停泵并關閉防噴器,關井15 min后開始壓井,將溢流驅替排出。

圖6為井控作業(yè)過程中下部井口持液率變化。由圖6可知,發(fā)現(xiàn)井涌的時間越晚,進入井筒內的氣體越多,井口持液率的最低值越小;在不采取任何控制和約束措施條件下,氣體約在60 min進入隔水管(圖5(a)),因此,在井涌發(fā)生后5、15和25 min關井時,氣體尚未到達井口位置,關井初期井口持液率未發(fā)生明顯變化;井涌發(fā)生后35 min關井時,氣體已進入下部井口,關井后井口持液率出現(xiàn)波動。壓井時,注入鉆井液后,由于氣體與鉆井液混合流體在井筒內上移,造成井口持液率降低;隨著鉆井液持續(xù)注入,鉆井液在混合流體中所占比例逐漸上升,溢流逐步被排出,井口持液率上升并恢復至正常鉆進時的狀態(tài)。

圖6 井控作業(yè)過程中下部井口持液率變化Fig.6 Liquid holdup variation of wellbore during well control

圖7為井控作業(yè)過程中下部井口壓力變化。由圖7可知,隨著發(fā)現(xiàn)井涌的時間增加,提供控制行為后井口壓力波動值逐漸增大;關井初期,井內氣體仍然進入井筒,造成井口壓力增加,且關井越晚,壓力增加值越大。壓井時,對于井涌發(fā)生后5、15和25 min提供控制行為的工況,壓井初期由于打開防噴器1,井口壓力快速下降,但隨即出現(xiàn)一段時間的相對穩(wěn)定狀態(tài),這是由于此3種工況下,井筒內氣體尚未到達井口,由井口進入節(jié)流管線的仍為鉆井液;而對于35 min后提供控制行為的工況,由于關井時氣體已經(jīng)進入到井口,壓井后井口壓力快速下降。隨著注入鉆井液量的增加,井筒內氣體和鉆井液混合流體上移,造成井口壓力逐步降至最低值;由于井涌后提供控制行為的時間越晚,井筒內氣體越多,氣體與鉆井液混合流體密度越低,因此井口壓力最低值也越小;隨著混合流體逐步被驅替排出,井口壓力上升,地層和井底壓力達到新的平衡,井口壓力重新達到穩(wěn)定,且高于井涌前的壓力。

圖7 井控作業(yè)過程中下部井口壓力變化Fig.7 Pressure variation of wellbore during well control

綜合圖6、7,井涌發(fā)現(xiàn)時間越晚,氣侵程度越嚴重,施加約束時系統(tǒng)內的壓力波動越大,對設備造成損傷越大,進而引發(fā)井噴等嚴重事故后果的可能性也越大。針對井涌沒有及時被監(jiān)測或判斷的情況,通過對關井和壓井時機的合理調整,可以實現(xiàn)井涌、關井和壓井時的井筒壓力控制。但是,延時井控必須滿足一定時間范圍,綜合分析,實例工況的安全操作時間裕量為30 min。深水地平線井噴事故的直接原因就是在發(fā)生大量溢流的情況下,仍然開泵循環(huán),而由于“控制行為發(fā)生延遲”,停泵關井時,井筒已完全被噴空,防噴器被刺漏后引發(fā)強烈井噴。因此,采用STAMP/STPA作為系統(tǒng)性安全分析指導并劃定安全操作時間,根據(jù)井控系統(tǒng)安全控制結構,保障傳感器和執(zhí)行器可靠性,提高包括井控相關人員在內的控制器的時效性和研判水平,在系統(tǒng)相對安全的時間內對控制過程實施約束,阻止井涌到井噴事故的升級。

4 結 論

(1)STAMP/STPA模型通過辨識系統(tǒng)風險和約束、定義安全控制結構、指出不安全控制行為和分析不安全行為產(chǎn)生的關鍵原因等流程,可對深水井控作業(yè)過程進行安全性分析。

(2)STAMP/STPA模型將工控機和井控人員作為控制器,井控裝備作為執(zhí)行器,井筒壓力作為控制過程,信號傳遞設備作為為傳感器。建立的井控過程控制模型以“沒有提供控制行為”和“控制行為發(fā)生延遲”為例,量化了系統(tǒng)安全控制時間裕量,驗證了該方法在指導深水井控安全分析領域的可行性與有效性。

(3)深水井控作為一項復雜系統(tǒng)工程,應用STAMP/STPA安全分析方法可以克服傳統(tǒng)安全分析方法無法評價系統(tǒng)組元異常相互作用的缺點;在實際應用時,作為指導準則與動力學分析方法的結合,可實現(xiàn)復雜系統(tǒng)安全分析的系統(tǒng)化與定量化操作。