LOPA方法在深水水下生產系統SIL分析中的應用研究

平 洋，陳 欣，鞠朋朋，楊 安，王 亮

（海洋石油工程股份有限公司，天津 300451）

0 引言

隨著當前油氣資源開發進程的不斷加快，深水油氣田開發領域已成為海洋油氣資源開發的主戰場。深水水下生產系統與傳統固定平臺相比，可顯著降低開發成本，縮短建造周期，是深水油氣田開發的重要模式之一。

深水水下生產系統對遠程響應速度、穩定性及可靠性要求較高，需要對整個系統進行安全完整性等級（Safety Integrity Level，SIL）分析，介紹了深水水下生產系統特性、SIL分析方法比選及分析流程，并運用LOPA分析方法對水下采油樹典型工藝流程進行SIL分析定級，為深水水下生產系統SIL分析工作的深入開展提供參考。

1 深水水下生產系統特性

1500m水深典型水下生產系統如圖1所示。其組成主要包括水下采油樹、水下控制模塊、水下連接器、水下多相流量計、水下臍帶纜和水下管匯幾個部分組成。水下井口采出液經水下管匯、海底管道輸送到油輪或平臺進行油、氣、水處理，與淺水水下生產系統相比，工藝流程更為復雜，包括克服超深水靜水壓差帶來的影響和水下長距離輸配電、水下中高壓輸配電，深水流動保障、深水動態管纜等技術及設備的應用，這對深水水下生產系統的SIL分析提出了更高要求[1]。

圖1 深水水下生產系統及設備框圖Fig.1 Block diagram of deep-water subsea production system and equipmentsystem and equipment

2 深水水下生產系統SIL分析方法比選

開展深水水下生產系統SIL分析，主要目的如下：

1）可以確定每一種出現的風險是否需要安全儀表功能的保護。

2）可以確定所設的安全保護功能，是否可以對受控設備進行保護和降低到可以接受的風險。

3）根據分析結果改進設計的安全儀表功能，使它達到需求的SIL等級。

IEC61511-2016《功能安全 加工工業部門的安全儀表化系統》，及IEC61508-2010《電氣、電子、程序可控的電子安全相關系統的功能性安全》提出了一系列的風險定級的方法，其中既包括定性的分析方法，也包括半定量及定量的分析方法[2,3]。

①安全矩陣法是一種定性的分析方法，與HAZOP方法類似，主要是基于場景后果的嚴重性以及有效的保護層數量進行分析。它的一個基本假設是任何保護層至少要提供一個數量級的風險削減。

②保護層分析法（LOPA）是一種半定量分析方法，可用于識別能夠滿足獨立保護層要求的安全儀表系統。在分析中，需要對提出或提供的獨立保護層的有效性進行分析驗證，這些保護層綜合效果將會與可接受風險的標準進行比對。

③風險圖表法是一種定性的分析方法。該方法的合理使用，取決于完整性管理者對于系統的了解、經驗及風險因素的識別等，可基于風險與危險事件的后果及頻率成正比的原理，首先假設不存在安全儀表系統以及BPCS等典型非安全儀表系統的應用符合標準規范要求，其后果需要綜合考慮人員、財產及環境的影響。

對比來說，LOPA分析法作為簡化的半定量的風險評估方法，使其對事故場景的分析和評價比其他定量風險評價方法，更節省時間和精力，同時兼具公開透明的過程評估方法與較多的量化分析過程，使該方法往往被較多地采用。

采用完全定量分析方法（QRA）對場景進行分析時，需要大量的資源，并且需要考慮多種因素的影響。因此，其分析成果的精度較高。同時，由于這種方法消耗的評估時間較長，且所需資料及關聯影響因素較多，因而在項目概念設計階段進行SIL定級分析時，宜采用保護層分析法（LOPA）、風險圖表法及安全矩陣法進行分析。此外，對于項目中安全回路較多的情況，可先采用風險圖表法作為初步篩選方法，對于篩選出來的SIL等級較高的回路（如SIL2等級）可以采用LOPA分析法進行進一步分析。換言之，對于較為簡單的場景可采用定性的方法進行初步篩選，而對于需要高資金投入或對于結果的精確度要求較高的場景，可采用半定量及定量的方法進行精確分析。

3 LOPA保護層分析法

一個典型的化工過程包含各種保護層，如本質安全設計、基本過程控制系統、報警與人員干預、安全儀表功能、物理保護、釋放后保護設施、工廠應急響應和社區應急響應等，這些保護層降低了事故發生的頻率。在開展化工過程工藝危害分析時，保護層是否足夠，能否有效防止事故的發生，是分析人員最為關注的一個問題。保護層分析法（LOPA）是在定性危害分析的基礎上，進一步評估保護層的有效性，并進行風險決策的系統方法，其主要目的是確定是否有足夠的保護層使過程風險滿足企業的風險可接受標準。LOPA是一種半定量的風險評估技術，通常使用初始事件頻率、后果嚴重程度和獨立保護層失效頻率的數量級大小來近似表征場景的風險。AQ/T3054-2015《保護層分析（LOPA）方法應用導則》中，對LOPA基本程序進行了明確的規范和詳細的描述，重點規定了LOPA場景與篩選、初始事件確認、獨立保護層、場景頻率計算、風險評估與決策等方面的技術要求。

在LOPA分析過程中，需要對提出或提供的獨立防護層的有效性進行分析驗證。這些保護層綜合的效果將會與可接受風險的標準進行比對，如果滿足企業的風險可接受標準，則不需要提供額外的風險降低措施；如果其不符合風險可接受標準，則需要額外的風險降低措施。這種額外的風險降低，可以通過提高安全聯鎖系統的SIL等級或是增加更多的保護層來達到。

保護層分析法（LOPA）適用廣泛，在油氣行業SIL定級分析中已被廣泛采用。作為一種簡化的半定量的風險評估方法，綜合考慮保護層、可接受標準及初始事件概率等因素影響，使得對事故場景的分析和評價比其他定量風險評價方法更節省時間和精力，可以提供一種更為公開透明的SIL評估方法，并且LOPA分析方法的一些操作彈性，允許其對一些使用風險圖表法比較難以進行分析確定的因素可以進行分析考慮，相對于風險圖表法更加量化，也不會過于保守，可以合理采用使能條件及修正因子對場景后果進行修正等，因此其分析結果也更加準確。

除了上述優點，LOPA分析方法也存在一些局限性：如LOPA的正確執行取決于定性危險評價方法所得出的準確性，包括初始事件和相關的安全措施是否正確和全面。當使用LOPA時，只有在選擇失效數據的方法相同和采用相同的風險標準時滿足這樣的條件下，才能進行場景風險的對比。LOPA作為一種簡化的方法，其計算結果并不是場景風險的精確數值，不能很好地反映出事故場景之間的相互影響等。

典型保護層分析的基本程序如圖2所示。LOPA分析方法的一些操作彈性允許其對一些使用風險圖表法比較難以進行分析確定的因素可以進行分析考慮，相對于風險圖表法更加量化，也不會過于保守，可以合理采用使能條件及修正因子對場景后果進行修正等，因此其分析結果也更加準確。

圖2 典型保護層分析的基本程序Fig.2 The basic procedure of a typical protective layer analysis

4 SIL定級分析流程

依據IEC61511及LOPA方法應用導則，可以明確SIL定級分析基本流程、步驟如下：

1）建立風險可接受準則或者風險標準（含一些相關的假設及失效數據），保護人員安全，防止環境和財產/生產損失。

2）進行系統劃分及確定受控設備。

3）選定安全儀表控制回路。

4）結合安全圖標/PI&D/因果矩陣圖/分析設計意圖。

5）結合前期（SIL定級分析工作之前已完成的）HAZOP分析結果，對導致需進行LOPA后果的危險事件進行充分地識別。

6）確認該回路的安全功能（Safety Instrumented Function，SIF）。

7）分析SIF所對應的特定風險的影響后果。

8）分析SIF之外其他安全保護措施。

9）根據風險標準/風險可接受準則，判定必要的風險降低，以及SIF應達到的SIL等級。

10）判斷其他安全回路的SIL。

11）記錄、匯總，提出分析建議，提交報告。

其中，對于危險事件的各項原因進行充分地識別，主要包含下述內容：

① 事件初因的頻率。

② 結果評估（即分析事件中致死的可能性、財產損失成本、生產損失及環境影響效應）。

③ 識別獨立保護層（IPLs）和風險降低因數（RRF）。

④ 在無SIF情況下與要求失效概率（PFD）有關的致死風險、環境、財產損害以及生產損失結果。

⑤ 以及根據已建立的風險容許度標準，確定SIF所需SIL等級需求。

造成需求安全儀表功能動作的原因稱為觸發原因，其中典型的初始事件及觸發原因主要包括：

①BPCS（基本過程控制回路）失效。

②電動或氣動閥門誤動作。

③閥門外漏。

④管線腐蝕泄漏。

⑤無壓力下的操作失誤（常規操作）。

⑥有壓力下的操作失誤（開停車、報警）。

⑦觸發信號：壓力高高，壓力低低。

⑧觸發信號：溫度高高。

⑨觸發信號：液位高高，液位低低。

⑩觸發信號：流量高高，流量低低。

一個場景可能需要一個或多個保護層來降低風險，這取決于過程的復雜性和潛在的后果嚴重程度。IPL（獨立保護層）方法提供了一個評估給定場景風險的保護措施是否足夠的一致性的基礎。

所有的IPL都是保護層，但是不是所有的保護措施都是IPL，IPL需滿足以下要求：

a）有效性。一個保護層能夠單獨地起到預防一個潛在危害的發生或緩解該危害產生后果（比如：反應失控、有毒介質泄漏、容器超壓破裂、火災等），該保護層至少能夠降低相應的風險10倍。

b）獨立性。一個保護層需獨立于同一危害評估所涉及到的其它保護層，不受其它保護層失效的影響。尤其重要的是，保護層需與觸發原因相獨立。

c）可審核性。能夠提供相應的文件證書證明該保護層的可靠性，同時該保護層需設計成能夠定期進行測試和維護，以驗證和維持其功能。

5 深水水下生產系統SIL分析

深水水下生產系統SIL分析工作主要是由工藝和儀表專家及設計人員、業主、操作方等組成的分析團隊完成，是依據IEC61508推薦，分析小組一致認可的方法。它對安全相關系統的控制回路進行安全完整性等級的分析，并確定合適的完整性等級。典型的SIL定級分析主要工作過程如下：

◇SIL定級分析方法選擇。

◇SIL定級分析流程確定，如應用LOPA分析法。

◇建立并明確風險可接受準則。

◇SIF識別及確認。

◇明確SIL等級的劃分。

◇明確分析工作會分析團隊及主持人。

◇梳理并明確輸入文件。

◇梳理并明確假設前提及依據。

◇明確重要參數約定，如參考依據AQ/T3054-2015《保護層分析（LOPA）方法應用導則》[4]。

◇危險場景識別，確定初始頻率，后果評估。

◇IPLs識別與相關的風險降低因子。

◇SIF要求時失效概率PFD計算分析。

◇確定所需SIL等級。

◇LOPA分析文檔編制與實時分析記錄。上述流程中的關鍵節點如下：

1）輸入文件，主要包括：

◇邏輯因果圖。

◇儀表安全聯鎖回路圖。

◇PFD。

◇P&ID。

◇設計基礎。

◇工藝控制說明。

◇工藝風險分析報告/記錄表等。

2）假設前提，在評估各種風險后果時，SIL 分析小組須考慮很多因素，如物料的特性（密度、毒性、易燃易爆性等）、泄漏物料量、事故地點設備布置、泄放設計原則、工廠人員配備情況、經濟損失標準等。例如，在典型項目的SIL定級分析過程中采用了如下假定：

◇設備選型時，選取可靠性較高的設備（失效率不高于行業典型值）。

◇在評估意外事故影響時，假定所有安全設施完備可用。

◇人員經過培訓，按章操作，誤操作率不高于行業平均值，發現故障立即排除（行業要求8h內解決），不帶病運行。

◇操作人員的反應動作可以減輕而不可以預防意外事故造成的損失。

◇建立了正確的操作、維修、檢查程序，并予以貫徹落實。

◇可利用關鍵備件來縮短檢修周期。

◇落實了正確的機械維修和檢查程序，以保證設備和管道的機械完整性。

3）典型的風險矩陣及風險可接受準則，通常包括下述3個主要要素：

◇安全與健康相關的后果及程度分級。

◇環境相關的后果及程度分級。

圖3 水下采油樹工藝流程圖Fig.3 Process flow chart of underwater Christmas tree

表1 水下采油樹SIL分析工作表（資產損失部分）Table 1 SIL Analysis worksheet of underwater Christmas tree (asset loss part)

◇設備損壞或商務損失的后果及程度分級。

6 典型工藝流程SIL分析

在深水水下系統SIL分析中，典型影響事件主要如下：

◇水下采油樹（油嘴前）超壓、超溫、泄漏。

◇單井管線超壓、超溫、泄漏。

◇管線超溫損壞泄漏。

◇設備超溫損壞泄漏。

◇海管內物流介質泄漏。

◇甲醇注入流程超壓泄漏。

◇甲醇注入管線泄漏。

以水下采油樹為例，某項目水下采油樹工藝流程如圖3所示。水下井口產出的天然氣經由水下采油樹，流動通過水下采油樹橇塊內的水下油嘴后，通過水下生產跨接管進入水下管匯內管路后，流入長距離海管，從海管平管段進入立管段，最后進入依托的上部平臺組塊的工藝處理設施。

應用LOPA分析方法，從安全、環境、資產損失三方面對水下采油樹安全儀表功能回路的SIL定級分析，其中資產損失部分工作表見表1

綜合各方面分析評估，得出該回路SIL定級分析結果見表2。

7 結束語

總結了深水水下生產系統特性、SIL分析方法比選及分析流程，運用LOPA分析方法對典型工藝流程進行SIL分析定級，對于水下生產系統SIL分析的深入開展具備一定的推廣價值，保障了水下生產系統的安全高效運行，推動了海洋油氣自主開發進程。