LOPA 方法在輸氣站設(shè)計(jì)階段安全完整性等級(jí)定級(jí)的應(yīng)用

俞輝輝

國(guó)家石油天然氣管網(wǎng)集團(tuán)西氣東輸分公司 上海 200122

1 SIL定級(jí)方法及工作流程

1.1 保護(hù)層分析方法

SIL 定級(jí)一般采用保護(hù)層分析方法（LOPA）。LOPA 是在工藝安全分析的基礎(chǔ)上建立危險(xiǎn)場(chǎng)景分析，對(duì)于含有安全儀表功能（SIF）回路的場(chǎng)景，在SIF不作為獨(dú)立保護(hù)層的條件下計(jì)算減緩后的后果頻率，結(jié)果與風(fēng)險(xiǎn)容忍標(biāo)準(zhǔn)的差距即為SIF 所應(yīng)承擔(dān)的風(fēng)險(xiǎn)降低，即“要求時(shí)的失效概率”，該失效概率對(duì)應(yīng)的SIL等級(jí)即為SIF 的目標(biāo)SIL 等級(jí)。對(duì)于不含有SIF 回路的場(chǎng)景，通過(guò)分析確定是否需要新增SIF，若需要增加，明確新增的SIF 應(yīng)達(dá)到的SIL 等級(jí)。

1.2 工作流程

根據(jù)AQ/ T 3054- 2015《保護(hù)層分析（LOPA）方法應(yīng)用導(dǎo)則》，采用LOPA 方法進(jìn)行SIL 定級(jí)主要包括：

（1）場(chǎng)景識(shí)別與篩選。收集定性工藝安全分析（一般為HAZOP 分析）中后果嚴(yán)重的場(chǎng)景，篩選出后果嚴(yán)重性大的場(chǎng)景進(jìn)行分析。

（2）初始事件（Initiating Event，IE）確認(rèn)及頻率確認(rèn)。確定篩選后場(chǎng)景的初始事件，如外部事件、人員行為失效、設(shè)備故障等，對(duì)其發(fā)生頻率進(jìn)行確定。

（3）獨(dú)立保護(hù)層（Independent Protection Layer，IPL）評(píng)估。評(píng)估定性分析后的保護(hù)措施是否能夠滿足獨(dú)立層保護(hù)的要求。

（4） 計(jì)算要求時(shí)的失效概率（Probability of Failure on Demand，PFD）。

（5）場(chǎng)景導(dǎo)致預(yù)期后果的頻率計(jì)算。

（6）風(fēng)險(xiǎn)評(píng)估與決策。

2 SIL定級(jí)舉例

2.1 工藝流程介紹

本次分析的項(xiàng)目為西氣東輸公司中俄東線連云港分輸站，主要工藝流程如圖1 所示。

圖1 連云港分輸站流程示意圖

2.2 LOPA 分析過(guò)程

2.2.1 LOPA 分析場(chǎng)景

根據(jù)場(chǎng)景篩選原則，在連云港分輸站選取出5 個(gè)需要進(jìn)行SIL 評(píng)估分析的場(chǎng)景，見(jiàn)表1。

表1 連云港分輸站5 個(gè)場(chǎng)景

2.2.2 后果及分級(jí)

按照西氣東輸公司風(fēng)險(xiǎn)矩陣劃分事故后果等級(jí)，考慮人員傷害、環(huán)境影響、財(cái)產(chǎn)損失和聲譽(yù)4 個(gè)方面，事故后果等級(jí)分為5 級(jí)。將場(chǎng)景中發(fā)生事故的后果進(jìn)行分析，后果分級(jí)見(jiàn)表2。

表2 天然氣輸氣站5 個(gè)場(chǎng)景的事故后果等級(jí)

2.2.3 初始事件發(fā)生頻率的確定

當(dāng)前，國(guó)內(nèi)油氣行業(yè)無(wú)現(xiàn)成初始事件發(fā)生頻率數(shù)據(jù)庫(kù)可以查詢(xún)，一般主要參考AQ/ T 3054- 2015《保護(hù)層分析（LOPA）方法應(yīng)用導(dǎo)則》。結(jié)合行業(yè)經(jīng)驗(yàn)及國(guó)家管網(wǎng)集團(tuán)西氣東輸公司運(yùn)行經(jīng)驗(yàn)，對(duì)部分典型的初始事件發(fā)生頻率進(jìn)行了計(jì)算和賦值，天然氣輸氣站場(chǎng)部分初始事件發(fā)生頻率見(jiàn)表3。

表3 天然氣輸氣站場(chǎng)部分初始事件發(fā)生頻率

2.2.4 IPL 的PFD 的確定方法

對(duì)各場(chǎng)景下的保護(hù)層進(jìn)行分析和辨識(shí)，以GB/ T 32857- 2016 中典型IPL 確認(rèn)方法為原則，按照是否滿足“有效性”“獨(dú)立性”和“可審查性”等條件，對(duì)各場(chǎng)景下的IPL 及非IPL 進(jìn)行判定。

IPL 要求的PFD 指系統(tǒng)要求IPL 起作用時(shí)，該獨(dú)立保護(hù)層不能完成所需求的任務(wù)的概率。PFD 取決于IPL 的可靠性，IPL 越可靠，則PFD 值越小。

2.3 LOPA 分析標(biāo)準(zhǔn)的確定及計(jì)算注意事項(xiàng)

2.3.1 風(fēng)險(xiǎn)可接受標(biāo)準(zhǔn)的確定

根據(jù)GB 30894- 2018《危險(xiǎn)化學(xué)品生產(chǎn)裝置和儲(chǔ)存設(shè)施風(fēng)險(xiǎn)基準(zhǔn)》，在本次定級(jí)中將個(gè)人風(fēng)險(xiǎn)可接受標(biāo)準(zhǔn)取10- 5，即發(fā)生1 人死亡后果對(duì)應(yīng)的人員傷害可容許目標(biāo)頻率為10- 5，并根據(jù)天然氣長(zhǎng)輸管道運(yùn)營(yíng)企業(yè)特征，對(duì)環(huán)境、財(cái)產(chǎn)等后果分別確定可接受標(biāo)準(zhǔn)，風(fēng)險(xiǎn)可接受標(biāo)準(zhǔn)見(jiàn)表4。

表4 風(fēng)險(xiǎn)可接受標(biāo)準(zhǔn)

2.3.2 計(jì)算過(guò)程中涉及的修正條件

初始事件造成的后果特別是對(duì)人身傷害的后果，需進(jìn)一步考慮人員在特定場(chǎng)合暴露的頻率、泄漏后發(fā)生起火的概率（即點(diǎn)火概率），以及人員傷害致死的概率等因素，將這些情況作為修正因子加入發(fā)生后果概率的計(jì)算中，確保結(jié)果更科學(xué)、合理。

（1）點(diǎn)火概率的確定：按照高壓天然氣管道泄漏事故經(jīng)驗(yàn)及天然氣場(chǎng)站運(yùn)行特性，將線路泄漏后點(diǎn)火概率取值為1，其他情況點(diǎn)火概率取值為0.5。

（2）人員暴露概率的確定：結(jié)合國(guó)家管網(wǎng)集團(tuán)西氣東輸公司生產(chǎn)運(yùn)行模式和沿線管道周邊人員活動(dòng)概況，確定條件修正過(guò)程中的人員暴露頻率，典型場(chǎng)景人員暴露頻率值見(jiàn)表5。

表5 典型場(chǎng)景人員暴露頻率值

（3）致死概率的確定：考慮天然氣泄漏起火爆炸等造成事故的特性，致死概率一般不作修正，確定為1。

2.3.3 LOPA 重要假設(shè)及說(shuō)明

（1）SIL 定級(jí)考慮人員、資產(chǎn)、環(huán)境三個(gè)方面的風(fēng)險(xiǎn)，總體SIL 等級(jí)取三者中的最高值。

（2）安全聯(lián)鎖考慮的是全自動(dòng)緊急停車(chē)等功能。正常啟停、調(diào)節(jié)的邏輯功能，不做SIL 定級(jí)。

（3）在評(píng)估意外事故影響時(shí)，假定所有安全設(shè)施完備可用；站場(chǎng)已建立正確的操作、維修、檢查程序，并予以貫徹落實(shí)，設(shè)備管理水平為行業(yè)的平均水平。

（4）如果一個(gè)場(chǎng)景有多項(xiàng)報(bào)警，但同時(shí)需要人員干預(yù)。在此情況下，多項(xiàng)報(bào)警只考慮為一個(gè)IPL，并優(yōu)先考慮最直接報(bào)警作為IPL。同時(shí)注意人員需有足夠響應(yīng)時(shí)間，至少20min。

（5）如果閥誤動(dòng)作為初始事件，閥位反饋可以當(dāng)作報(bào)警考慮。若有其他報(bào)警，優(yōu)先考慮其他報(bào)警。

（6）如果某SIF 回路有報(bào)警也有聯(lián)鎖動(dòng)作，當(dāng)共用一個(gè)傳感器時(shí)，報(bào)警不考慮為IPL；當(dāng)多于一個(gè)傳感器時(shí)，報(bào)警可考慮為IPL。

2.4 SIL定級(jí)結(jié)果

對(duì)表1 所述場(chǎng)景及其SIF 回路進(jìn)行LOPA 分析，得到SIL 定級(jí)結(jié)果，見(jiàn)表6 所示。

表6 連云港分輸站ESD聯(lián)鎖回路定級(jí)結(jié)果

2.5 SIL定級(jí)分析結(jié)果的討論

2.5.1 安全儀表系統(tǒng)（SIS）的設(shè)計(jì)建議

（1）本次SIL 分析辨識(shí)出的所需求完整性等級(jí)為SIL1、SIL2 的SIF 回路應(yīng)設(shè)置在SIS 中，所需求SIL 為SILa 的回路建議在SIS 中實(shí)現(xiàn)。

（2）SIS 中，各SIF 回路中的設(shè)備應(yīng)按照回路整體滿足所需求SIL 的原則進(jìn)行選型，防止各單體設(shè)備滿足所需求SIL 等級(jí)而儀表回路整體不滿足所需求SIL等級(jí)，從而導(dǎo)致SIF 回路設(shè)計(jì)不足的情況。

2.5.2 SIS 運(yùn)行建議

（1） 按照GB/ T 21109- 2007 的相關(guān)要求編制SIF 安全要求規(guī)格書(shū)，指導(dǎo)SIS 全生命周期中各環(huán)節(jié)工作。內(nèi)容應(yīng)涵蓋SIS 防止的危險(xiǎn)和危險(xiǎn)事件，聯(lián)鎖設(shè)定值及其SIS 動(dòng)作，旁路和復(fù)位等功能的使用，對(duì)SIS 報(bào)警和SIF 動(dòng)作的響應(yīng)，如何操作手動(dòng)關(guān)停或啟動(dòng)開(kāi)關(guān)，SIS 診斷報(bào)警的含義以及相關(guān)的響應(yīng)等。

（2）檢驗(yàn)測(cè)試周期和檢驗(yàn)測(cè)試覆蓋率直接影響SIF 的SIL 等級(jí)，企業(yè)應(yīng)制定相應(yīng)的檢測(cè)計(jì)劃和方案，以使SIS 在其整個(gè)生命周期中能夠保持相應(yīng)SIL 等級(jí)。

（3）建議每3～5 年進(jìn)行1 次功能安全審核，針對(duì)硬件、人員、管理等各項(xiàng)變化對(duì)SIS 的影響進(jìn)行評(píng)。

3 結(jié)語(yǔ)

依 據(jù)AQ/ T 3054- 2015、AQ/ T 32857- 2016 等標(biāo)準(zhǔn)，以HAZOP 分析成果為基礎(chǔ)，參考相關(guān)工程設(shè)計(jì)文件，對(duì)SIF 回路進(jìn)行LOPA，確定各SIF 回路所需求的SIL，提出SIL 定級(jí)工作的注意事項(xiàng)，對(duì)天然氣輸氣場(chǎng)站SIL 定級(jí)工作的開(kāi)展具有指導(dǎo)和借鑒意義。