LNG卸料臂緊急脫離系統SIL評估與改進

亢海洲 朱建新 方向榮 江 克 袁文彬

(合肥通用機械研究院國家壓力容器與管道安全工程技術研究中心)

LNG卸料臂緊急脫離系統SIL評估與改進

亢海洲 朱建新 方向榮 江 克 袁文彬

(合肥通用機械研究院國家壓力容器與管道安全工程技術研究中心)

對某LNG接收站進行了危險可操作性分析(HAZOP)，根據分析結果發現LNG卸料臂是最關鍵的危險源之一。結合IEC61508、IEC61511和相關國內標準，對LNG接收站卸料臂緊急脫離系統進行了安全完整性評估。評估確定了兩個卸料臂ERS的安全聯鎖功能SIF、各安全聯鎖功能所需SIL等級和實際能達到的SIL等級，并對現有安全聯鎖功能的設置提出了具體改進建議。

緊急脫離系統 LNG 卸料臂 安全聯鎖系統 安全完整性等級

安全聯鎖系統(SIS)是一種自動安全保護系統，它是保證正常生產和人身、設備安全的必不可少的措施，已發展成為工業自動化的重要組成部分。聯鎖回路對裝置的可靠性和安全運行影響極大。聯鎖系統設計不當，一種可能的后果是該跳車時不跳，造成拒動作；另一種可能的后果是不該跳車時跳車，造成誤跳車。拒動作會造成嚴重甚至災難性的后果，誤動作的直接后果是裝置停車，造成巨額的經濟損失?？梢?，對SIS進行安全完整性等級(Safety Integrity Level，SIL)評估，使聯鎖系統的性能具有合理的水平，既能預防拒動作，又能降低誤動作，對于減小事故的發生和避免經濟損失具有重要的意義[1～3]。

SIL評估的起點，源自對工藝流程中存在的危險源辨識和可操作性分析(Hazard and Operability Study，HAZOP)。HAZOP用于辨識工藝危險源，就LNG站來說，分為工藝危害與設備危害。其中工藝危害指與LNG物化特性相關的燃燒、爆炸、閃蒸、翻滾及人員窒息等；而設備危害指如BOG壓縮機、LNG外輸高壓泵、LNG卸料臂及外送槽車等引起的機械類危害，如振動、泄漏、超壓、機械損傷及罐基礎下沉等。

經過辨識危險源和事故后果分類，依據HAZOP分析報告的輸出，作為SIL評估的輸入條件。依據國際電工協會標準IEC61508、IEC61511和GB/T 20438、GB/T 21109的要求，對LNG接收站卸料臂安全聯鎖功能(Safety Instrumented Function, SIF)進行劃分與可靠性計算。通過引入國際公認的多項部件可靠性數據庫，如挪威船級社的OREDA、美國化學工程師學會CCPS等，考慮部件不同失效模式、共因失效及失效可檢測性等特征，利用Markov模型進行矩陣運算，求解聯鎖回路的可靠性。

如果計算可靠性等級無法滿足所需，還需要引入獨立保護層分析(LOPA)[4]。從風險降低的角度，分析與此聯鎖保護回路相關的風險降低措施，如安全閥、爆破片的排放量是否滿足最危險工況要求，液位變動所需時間是否足夠操作工及時正確處理，罐區可燃性氣體探測和水幕噴淋消防措施的可靠性水平等。

1 LNG接收站工藝介紹

LNG接收站的主要功能是LNG接卸、儲存、加壓和氣化、蒸發氣(BOG)處理、槽車灌裝、天然氣計量和外輸。主要設備有LNG卸料臂、LNG儲罐、LNG高低壓輸送泵、BOG壓縮機、再冷凝器及氣化器等[5]。

LNG主要流程如圖1所示。LNG運輸船抵達專用碼頭后，通過液相卸船臂和卸船管線，由船上卸料泵將LNG送至接收站的LNG儲罐。在卸船期間，LNG儲罐內將會產生大量蒸發氣。BOG一部分經氣相返回管線和氣相返回臂返回LNG船，以平衡料艙內的壓力；另一部分通過BOG壓縮機升壓進入再冷凝器被來自低壓輸送泵過冷的LNG冷凝，再經高壓輸出泵送入氣化器，LNG被加熱氣化成NG，經調壓、計量后送進輸氣管網。

圖1 LNG接收站主要流程

2 LNG卸料臂緊急脫離系統

LNG接收站的生產過程由于涉及低溫、高壓及易燃易爆等危險因素，可能會發生因設備、管線、閥門的泄漏或破裂而引起的火災、爆炸等危害事故[6]。LNG儲罐泄漏是重大事故發生的關鍵環節。而在LNG裝卸料期間，由于操作參數控制要求高，LNG船體與碼頭距離受風浪和天氣因素較明顯，最容易出現LNG的泄漏事故。為此LNG卸料臂(圖2)一般均設置有卸料緊急脫離系統，即ERS(Emergency Release System)。中央控制室CCS的子模塊JCR01對卸料臂的狀態進行監控[5,7]，當遇到突發情況引起卸料臂位移超限時，卸料臂與LNG儲罐相關管線必須緊急脫離，以防止大量LNG泄漏到空氣中引發火災或爆炸事故[8]。

圖2 LNG卸料臂系統結構

卸料臂系統包括內臂、外臂、自主配重總成、旋轉接頭(STYLE 80、STYLE 50、STYLE 40)、ERS、QCDC(快速連接裝置)、相關液壓動力和控制系統。ERS的組成為：雙切斷球閥DBV、緊急斷開夾具(Powered Emergency Release Collar，PERC)、液壓蓄能器、位置傳感器、選擇閥組及控制柜等。ERS接頭和雙切斷球閥細節模型如圖3所示。

圖3 ERS接頭和雙切斷球閥細節模型

當位移傳感器檢測到卸料臂位移超限時，第1級別ESD1啟動，雙切斷球閥關閉；當位移超過第1限制，第2級別ESD2啟動，雙切斷球閥關閉，快速接頭PERC脫開，實現岸船快速分離以保證安全。

3 緊急脫離系統的SIL分析

3.1 ERS的SIF劃分

根據HAZOP和事故后果的分析結果，LNG卸料臂ERS可以分為兩個安全聯鎖功能(SIF)：SIF1，當位置傳感器檢測到位移超限ZAHH時(達到預設值1)，切斷兩只快關球閥以停止LNG卸料過程；SIF2，當位置傳感器檢測到位移超限(達到預設值2)ZAHHH時，脫開快速接頭，實現岸船分離以保障安全。SIF回路劃分情況見表1。

表1 LNG卸料臂SIF劃分

注：雙切斷球閥可靠性按照2oo2計算，誤跳按照1oo2計算，雙切斷球閥不同邏輯的可靠性計算原因可參考文獻[9]。

3.2 LNG接收站ERS所需的風險矩陣

某項目LNG接收站正常情況下，平均3天進行一次LNG裝卸操作，事故頻率按照大于0.4進行分析。如果LNG泄漏發生起火爆炸，則造成卸料操作人員重傷1～2名，直接經濟損失超過500萬元。從人員、環境和經濟損失3個方面進行綜合考慮[10]，則得到LNG卸料臂SIF1-位移超限關球閥應該達到的SIL等級為SIL2/SIL4級(由于直接經濟損失無法精確估計，所以經濟損失控制要求給出的是SIL等級范圍)；SIF2-位移超限脫開PERC應該達到的SIL等級為SIL b/SIL 2。其中，經濟損失控制要求見表2。

表2 SIF1風險矩陣(經濟控制要求)

3.3 ERS的SIF可靠性計算

3.3.1 邏輯結構

根據ERS系統的配置情況，繪制方便后期可靠性計算的聯鎖回路邏輯結構如圖4所示，SIF2的聯鎖回路邏輯結構類似于SIF1，故此處省略。

圖4 SIF1聯鎖回路邏輯結構

3.3.2 失效率數據

根據有關數據庫和FMECA分析方法，得到傳感器、邏輯求解器和執行機構失效率數據(表3)。

表3 失效率數據

注：表中失效率數據僅作為計算過程的示意，不代表任何一種確定型號儀表的失效率概率數據。

3.3.3 可靠性計算結果

可利用專門開發的SIL評估軟件，分別計算3個子系統可靠性數據，計算結果見表4。

表4 各子系統可靠性計算結果

3.4 ERS的SIL評價

根據各子系統計算結果，結合全概率公式，計算整個SIF回路的可靠性結果見表5。

表5 可靠性計算結果

由表5可以看出，經實際計算，SIF1和SIF2都可以達到SIL1級。對于SIF2而言，由于SIF2觸發之前，SIF1已經觸發，成功切斷雙球閥，船-岸之間的LNG流體已經充分切斷，故SIF2即使拒動作，一般也不會導致大量LNG泄漏急劇氣化甚至引發火災或者爆炸后果。故之前分析它所需的SIL等級為SIL b～SIL2，可見實際SIL等級完全滿足安全要求。

但是SIF1實際能達到的SIL等級為1級，無法滿足安全要求。由于SIF1一旦拒動作，會引發LNG泄漏，后果較嚴重，故它所需的SIL等級為SIL2～SIL4。僅僅從聯鎖方面來看，目前SIF1無法滿足安全要求，需要進一步進行獨立保護層(LOPA)分析。

考慮到LNG裝卸料期間，有操作工或技術人員在就地控制柜實時觀測并處理。一旦LNG卸料臂位移超限，PLC會給出信號，就地發出聲光報警，提醒操作工注意并處理。操作工有足夠的反應時間，并且可以正確處理，防止出現危險事故。故操作工可以作為LNG卸料臂位移超限的獨立保護層，故SIF1可以達到SIL1+1，即SIL2級，即SIF1也滿足安全要求。

雖然SIF1和SIF2均滿足安全要求，但SIF1依然存在誤跳或安全方面的改進空間。由于SIF1誤跳后果較輕微，一般只影響裝卸料過程，造成裝卸料進度減緩，不會導致安全事故；但他的拒動作后果很嚴重，所以需要盡量避免發生拒動作風險。為此，可以從以下幾個方面降低拒動作風險：

a. 定期檢查并維護液壓蓄能器、選擇閥組和相關部件，以保證每臺液壓執行器有足夠動力，關鍵時候能快速切斷球閥，避免LNG泄漏。

b. 建議增加液壓蓄能器壓力低報警。當每臺卸料臂所屬的蓄能器壓力低時，現場發出聲光報警，并將壓力低信號送LNG接收站中控室，及時通知相關人員進行處理。

c. 嚴格執行崗位操作法，LNG裝卸料期間，操作工必須在現場實時處理并對所有異常情況及時進行正確處理；堅持崗位培訓和巡查，對突發狀況進行定期演練，確保操作工熟悉應急處置程序。

d. 較早設計并投運的卸料臂，其位移傳感器邏輯結構較為復雜，一般每個卸料臂包含4～8個傳感器。如此會造成設計、采購和維護成本明顯升高，而其可靠性卻不見得有明顯提高。近年來設計的邏輯結構均為2oo3，根據計算，其SIL等級可以達到SIL2，完全滿足安全要求，故建議針對早前的設計，由專業技術人員擇機進行梳理并改造。

e. 建議定期對雙球閥DBV進行部分測試并評估閥門性能。由于SIF1的執行機構為同時切斷兩只快速球閥才能保證安全，即2oo2邏輯。此邏輯結構計算得出拒動作概率較高，限制了整個SIF1回路可以達到的SIL等級。所以DBV能否快速切斷是SIF1回路成功執行的關鍵環節。部分測試可以在不影響正常工藝流程情況下，檢測閥門的性能以提高整個回路的可靠性。對2oo2球閥分別進行6個月、3個月、1個月各執行一次部分測試，得到的可靠性結果見表6。

表6 不同周期下部分測試后SIF1回路可靠性數據

可以看出，當部分測試的周期從6個月縮短至1個月時，SIF1的風險降低因子RRF超過了100，可以達到的SIL等級為SIL2，將SIF1整體回路提升了一個等級。SIF1可以不過于依賴操作工的正確處理，也能滿足安全要求，建議每月對ERS進行一次部分測試或在每次裝卸料后進行部分測試。這樣SIF1就足以滿足安全要求，可以確保操作工可能帶來的疏忽不會導致發生危險事故。

4 結束語

目前國內對LNG接收站進行SIL評估還不多見，依據IEC相關標準，對LNG接收站緊急脫離系統ERS進行了SIL評估，分析了其危險后果，定義了風險矩陣，計算了各SIF回路的SIL等級，并對ERS系統的維護提出了改進建議以提高其可靠性。一般來說，通過有經驗的獨立第三方開展SIL評估技術服務，企業將會獲得以下益處：解決裝置長周期所面臨的儀表誤跳車問題；解決裝置聯鎖系統可能存在的安全隱患，確保裝置安全；解決裝置聯鎖系統定期檢修與優化問題；解決裝置工藝設計、安全設施(安全閥、爆破片)設置的相容性與完整性問題；建立聯鎖系統定量風險管理體系，提升裝置儀表系統管理的質量與水平。

[1] 朱建新，方向榮，莊力健，等.安全完整性技術(SIL)在我國石化裝置上的應用實踐及思考[J].化工自動化及儀表，2012，39(10):1253～1259.

[2] 朱建新，王莉君，高增梁.IEC61511標準及在石化行業安全管理中的應用[J].中國安全科學學報,2007，17(2):105～109.

[3] 亢海洲.安全聯鎖系統(SIS)復雜邏輯結構的可靠性模擬[D].杭州：浙江工業大學,2009.

[4] AIChE. Layer of Protection Analysis Simplified Process Risk Assessment[M].New York:CCPS，2001.

[5] 房樹萍.LNG儲罐的監測和控制系統[J].化工自動化及儀表，2010,37(5):114～117.

[6] 初燕群，陳文煜，牛軍鋒，等.液化天然氣接收站應用技術(Ⅰ)[J].天然氣工業，2007,27(1):120～123.

[7] 翟建勇，蒙緒飛，洪濤.國產控制系統在浮式液化天然氣接收站的應用[J].化工自動化及儀表,2014,41(8):975～977.

[8] 宋媛玲，白改玲，周偉，等.HAZOP分析方法在液化天然氣接收站的應用[J].化學工程,2012,40(2):74～78.

[9] 朱建新，王莉君，高增梁，等.基于失效模式的聯鎖系統安全與誤跳車計算方法[J].壓力容器，2007，24(7):12～16.

[10] 亢海洲，朱建新，方向榮，等.空分壓縮機組安全完整性等級(SIL)技術評估應用及分析[J].自動化技術與應用，2015，34(2):74～78.

參考文獻著錄規范

[書] 編號 著者名.書名[M].版本.出版地:出版者,出版年：頁碼.

[期刊] 編號 著者名.題(篇)名[J].刊名,出版年,卷號(期號): 頁碼.

[論文集] 編號 著者名.題(篇)名[C].整本文獻的編者ed(多編者用eds)(編).文集名.出版地:出版者,出版年:頁碼.

[學位論文] 編號 著者名.題(篇)名[D].保存地：學位授予單位,年.

[專利文獻] 編號 專利申請者名.專利題名[P].專利國別：專利號,出版日期.

注：①著者姓名應列全(3個以上的只列3個，并在第3個著者名后加“等”)；

②國外作者名應將“姓”排前，“名”排后。

SafetyIntegrityAssessmentandImprovementonERSofLNGUnloadingArms

KANG Hai-zhou, ZHU Jian-xin, FANG Xiang-rong, JIANG Ke, YUAN Wen-bin

(NationalSafetyEngineeringTechnologyResearchCenterforPressureVesselsandPipeline,HefeiGeneralMachineryResearchInstitute)

Both hazard and operability study on LNG receiving terminal was implemented to show that the LNG unloading arm is one of the most key hazards. Through having code of IEC61508, IEC61511 and relevant national standards considered, the safety integrity assessment on ERS of LNG loading arms was carried out and two loading arms’ SIF of ERS and the SIL level required as well as the actual SIL level were determined, including the suggestions on setting of safety instrumented functions.

ERS, LNG, loading arms, SIS, SIL

TH865

A

1000-3932(2017)01-0053-06

國家高技術研究發展計劃(“863”計劃)項目(2014AA041806)。

亢海洲(1983-)，工程師，從事過程工業安全聯鎖系統工程風險評估工作， 124991381@qq.com。

2016-05-11，

2016-11-22)