考慮火炬負荷風(fēng)險的關(guān)聯(lián)聯(lián)鎖回路SIL定級方法

劉蔭，王海清，許小林，劉美晨

（1中國石油大學(xué)（華東）機電工程學(xué)院，山東青島266580；2中石油廣東石化分公司設(shè)備管理中心，廣東揭陽522000）

引 言

石化工廠內(nèi)泄放至火炬系統(tǒng)的裝置通常由多個保護層保護，常見的有：壓力調(diào)節(jié)回路（PCV），超壓聯(lián)鎖保護回路（SIF），機械泄壓設(shè)備等。當(dāng)PCV和SIF保護層失效時，裝置通常由機械泄壓設(shè)備來泄放至火炬系統(tǒng)，導(dǎo)致產(chǎn)生火炬負荷。目前國內(nèi)在進行SIL定級分析時廣泛采用保護層分析（LOPA）技術(shù)，但是IEC 61511《過程工業(yè)安全儀表系統(tǒng)的功能安全》(Functional safty-safety instrmented systems for the process industry sector)等標(biāo)準(zhǔn)[1-4]在應(yīng)用中也暴露了目前使用LOPA等技術(shù)確定SIL（safety integrity level）的缺陷[5-6]：無法同時考慮多個SIF回路之間的相互影響，及其跳車后的潛在次生災(zāi)害影響。具體而言，使用LOPA技術(shù)對超壓保護SIF回路進行定級時，通常只考慮單個被保護壓力容器的風(fēng)險，同一初始事件導(dǎo)致多個裝置同時泄放的情況則未被考慮[7-8]，這類初始事件發(fā)生時，火炬系統(tǒng)可能存在較大風(fēng)險。本文針對此缺陷進行研究，旨在尋找一種考慮多個裝置同時泄放而引起次生風(fēng)險情況的SIL定級修正方法。

采用IEC標(biāo)準(zhǔn)給出的LOPA方法對壓力設(shè)備的超壓保護SIF回路進行定級時，只能考慮單一場景的風(fēng)險降低需求及風(fēng)險分配，不能考慮多個關(guān)聯(lián)場景之間的風(fēng)險耦合及其對SIL定級的影響。例如，導(dǎo)致多個壓力設(shè)備發(fā)生超壓風(fēng)險的單一初始事件（公用工程失效等）的發(fā)生，可能使火炬系統(tǒng)壓力超過設(shè)計值，進而可能導(dǎo)致火炬管網(wǎng)的背壓、噪聲、馬赫數(shù)等超出設(shè)計標(biāo)準(zhǔn)，造成泄放憋壓、火炬氣泄漏甚至火災(zāi)爆炸等事故，因此存在較大的風(fēng)險[9-10]。當(dāng)SIS保護的裝置有多個時，火炬負荷變化更為復(fù)雜，難以進行風(fēng)險的量化計算。如圖1所示多單元組成的聯(lián)合裝置，精餾塔1至精餾塔4均由多個超壓聯(lián)鎖SIF回路和安全閥保護，其中每個SIF回路均采用2oo3表決結(jié)構(gòu)。在特殊工況發(fā)生時精餾塔內(nèi)壓力迅速升高，通過SIS系統(tǒng)切斷再沸器蒸汽，精餾塔內(nèi)壓力不再上升，此時安全閥將不會起跳，即不會產(chǎn)生火炬負荷；若聯(lián)合裝置的部分SIF回路失效導(dǎo)致某些精餾塔失去儀表保護功能，則精餾塔內(nèi)壓力會持續(xù)升高導(dǎo)致安全閥起跳向火炬系統(tǒng)釋放火炬氣。因此，當(dāng)諸如停電、外部火災(zāi)等公用工程導(dǎo)致的初始事件發(fā)生時[11]，精餾塔1至精餾塔4可能發(fā)生（多個）SIF回路失效，此時火炬系統(tǒng)負荷可能超出設(shè)計容量進而產(chǎn)生風(fēng)險。

針對關(guān)聯(lián)泄放導(dǎo)致的風(fēng)險，Lopez等[12]已做出相應(yīng)研究：針對CCF（common-cause failure，相同原因?qū)е碌亩鄠€設(shè)備、功能或系統(tǒng)故障）導(dǎo)致的火炬系統(tǒng)風(fēng)險提出了一種基于事故樹的概率風(fēng)險評估方法，用于確定組合火炬情景而導(dǎo)致火炬超載的可能性。本文借鑒多源同時泄放疊加方法，為存在壓力設(shè)備組合泄放情況的聯(lián)合裝置提供一種SIF回路SIL等級的修正方法，對傳統(tǒng)LOPA技術(shù)中事故發(fā)生頻率進行合理修正，進而得到符合要求的壓力保護SIF回路的SIL等級。

1 關(guān)聯(lián)泄放情況下火炬系統(tǒng)風(fēng)險及泄放裝置SIL等級分析

1.1 多源同時泄放的疊加方法

圖1 多SIF回路保護的泄放裝置群實例Fig.1 Example of a group of relief devices protected by multiple SIFcircuit

多源同時泄放的疊加方法通過計算多裝置同時泄放時泄放路徑及泄放路徑出現(xiàn)概率得到所有可能發(fā)生的泄放情況及其發(fā)生概率[13]。該方法依據(jù)以下原則：某特殊工況下多個泄放源同時發(fā)生泄放時，應(yīng)按照每個工藝單元依次取得100%的泄壓負荷連同50%其他單元的量來計算，泄放組合按照排列組合的方式列出，并認為同一泄放組合下各泄放路徑的出現(xiàn)概率相同。

舉例說明：假設(shè)電力失效情況下有裝置a、裝置b、裝置c可能發(fā)生泄放，裝置a、裝置b、裝置c的泄放概率分別為Pa、Pb、Pc，依照上述原則，可得到如圖2所示的泄放路徑及泄放路徑出現(xiàn)概率。

1.2 考慮關(guān)聯(lián)泄放的泄放裝置SIL定級方法設(shè)計

本文提供的方法適用于以下場景：為方便演示，假設(shè)（以下假設(shè)適用于本節(jié)）廠區(qū)共有M（M＞0）個泄放裝置可能泄放至火炬系統(tǒng)，且目標(biāo)工況發(fā)生時可能導(dǎo)致廠區(qū)內(nèi)多個裝置發(fā)生超壓。其中有N（0＜N≤M）個裝置由包括SIS系統(tǒng)在內(nèi)的保護層提供保護，在事故工況下，若保護層（諸如SIF回路、壓力調(diào)節(jié)回路PCV等）不失效則N個裝置沒有泄放到火炬的需求；反之則會泄放至火炬系統(tǒng)，產(chǎn)生火炬負荷。其他（M-N）個裝置無超壓聯(lián)鎖功能保護。

考慮關(guān)聯(lián)泄放的泄放裝置SIL定級方法步驟如下。

（1）場景分析。

對目標(biāo)場景進行如下分析。

①確認初始場景：判斷初始事件是否可能導(dǎo)致多個裝置同時發(fā)生超壓。

②確定初始事件發(fā)生時可能發(fā)生超壓泄放的裝置及各裝置在初始場景下的最大泄放量[14-17]。

（2）計算M個裝置所有可能發(fā)生的泄放路徑及其發(fā)生概率。

利用上述多源同時泄放的疊加方法得到M個裝置的泄放路徑及每條泄放路徑下各裝置的泄放量，每條泄放路徑的出現(xiàn)概率不同，需逐條計算。假設(shè)共有I條泄放路徑，以第i條泄放路徑為例，該泄放路徑中有J個設(shè)備發(fā)生泄放，則第i條泄放路徑的出現(xiàn)概率PDi由式（1）計算：

式中，αi為第i條泄放路徑所在泄放組合內(nèi)所有泄放路徑總數(shù)；PFDDj為第i條泄放路徑中第j個裝置的泄放概率。

假設(shè)第i條泄放路徑中第j個裝置由H個獨立保護層提供超壓保護，則PFDDj由式（2）得出：

式中，PFDh為第h個獨立保護層的失效概率，可由企業(yè)歷史統(tǒng)計數(shù)據(jù)獲得，也可從《保護層分析（LOPA）方法應(yīng)用導(dǎo)則》提供的典型獨立保護層失效概率數(shù)據(jù)選取并按照其要求對數(shù)據(jù)進行相應(yīng)修正。

（3）計算火炬管網(wǎng)參數(shù)超高事件發(fā)生頻率。

使用API 521提供的計算方法或相關(guān)軟件計算每條泄放路徑下各泄放裝置安全閥背壓、管道壓力、管道馬赫數(shù)、噪聲等參數(shù)。假設(shè)在所有泄放路徑中共有K條出現(xiàn)火炬管網(wǎng)參數(shù)超高的情況，火炬管網(wǎng)參數(shù)超高的概率PFDsum由式（3）得出：

圖2 泄放路徑及泄放路徑出現(xiàn)概率示例圖Fig.2 Example diagramof the discharge path and the probability of the discharge path

式中，Pe為初始事件的發(fā)生頻率[18]，可由企業(yè)歷史統(tǒng)計數(shù)據(jù)得到，也可由公共領(lǐng)域數(shù)據(jù)庫提供的通用數(shù)據(jù)得到，如：海上可靠性數(shù)據(jù)（OREDA）[19]，以及電氣和電子工程師協(xié)會（IEEE）[20]、海洋與石油技術(shù)中心（CMPT）[21]、國際油氣生產(chǎn)商協(xié)會（OGP）[22]等提供的通用數(shù)據(jù)。使用公共領(lǐng)域提供的通用數(shù)據(jù)時應(yīng)按《保護層分析（LOPA）方法應(yīng)用導(dǎo)則》的要求，根據(jù)場景的具體情況進行選擇，并根據(jù)企業(yè)的具體條件對數(shù)據(jù)進行修正。

（4）判斷是否需要對部分泄放裝置進行SIF回路再定級。

確定火炬管網(wǎng)參數(shù)超高可能導(dǎo)致的事故及其后果，并根據(jù)廠區(qū)提供的風(fēng)險矩陣確定事故的后果嚴重性等級[23]。依據(jù)事故發(fā)生頻率f和后果嚴重性等級確定風(fēng)險等級，若風(fēng)險等級在廠區(qū)可接受范圍內(nèi)，則不需整改；若風(fēng)險等級超出可接受范圍，繼續(xù)進行步驟（5）。

（5）選取一個裝置，對其SIF回路的SIL等級進行重新定級。

選取重新進行SIL定級的裝置時應(yīng)遵循盡量減少重新定級的SIF回路個數(shù)的原則，并優(yōu)先將對風(fēng)險影響較大的泄放裝置的SIF回路重新定級。因此定義N個裝置的選取順序：依據(jù)所有可能存在風(fēng)險的泄放路徑中同一裝置的出現(xiàn)次數(shù)由大到小為泄放裝置進行排序（需要注意的是僅對由SIF回路保護的裝置進行排序）。通常第一次選取裝置進行SIL等級重新定級時應(yīng)選取順序中位于第一位的裝置。

所選裝置的SIF回路風(fēng)險降低因子RRF由式（5）得出：

式中，fu為選取裝置未實施SIS保護層時的危險頻率；fs為最大可接受危險頻率。

計算選取裝置未實施SIS保護層時的危險頻率fu需考慮多裝置的關(guān)聯(lián)泄放產(chǎn)生的風(fēng)險，因此應(yīng)利用上述多源同時泄放的疊加方法得到fu。選取裝置未實施SIS保護層時M個裝置仍有I條泄放路徑，且其中有K條泄放路徑存在風(fēng)險。fu由式（6）得出：

式中，Pdi為選取裝置未實施SIS保護層時第i條泄放路徑的出現(xiàn)概率，由式（7）得出。

式中,PFDdj為所選裝置未實施SIS保護層時第i條泄放路徑中第j個裝置的泄放概率。

所選裝置的SIF回路風(fēng)險降低因子RRF與SIL等級的對應(yīng)關(guān)系如表1所示。根據(jù)GB/T 21109的要求：分配給安全儀表系統(tǒng)儀表安全功能的安全完整性等級不能高于4，且由于安全完整性等級4需滿足苛刻的條件，安全完整性等級4的應(yīng)用較為罕見[24-26]。因此式（5）所得風(fēng)險降低因子RRF一般不大于104。

表1 風(fēng)險降低因子與SIL等級對應(yīng)關(guān)系Table 1 Risk reduction factor and SIL level correspondence table

（6）若滿足風(fēng)險降低要求，則輸出各裝置SIF回路的SIL等級；若不能，則進行下一步。

（7）再次選取裝置，進行SIF回路重新定級。

將步驟（5）所選裝置的SIF回路SIL等級調(diào)整為廠區(qū)可接受的最大等級，并依據(jù)裝置選取順序選取下一位裝置，重復(fù)步驟（5）～步驟（7），直到滿足風(fēng)險降低需要。

（8）得到所有需要進行SIF回路重新定級的裝置及符合要求的SIL等級。

考慮關(guān)聯(lián)泄放的SIL定級方法流程圖如3所示。

2 案例研究

圖3 考慮關(guān)聯(lián)泄放的SIL定級方法流程圖Fig.3 Flow chart of SIL grading method considering associated release

圖4 某廠區(qū)火炬系統(tǒng)流程簡圖Fig.4 Flow chart of flare system in a factory

某石化廠一聯(lián)合裝置群共有五套設(shè)備，簡記為A、B、C、D、E，這五套設(shè)備均泄放至同一火炬系統(tǒng)，設(shè)備A、B、C、D、E對應(yīng)的安全閥編號分別為1、2、3、4、5。圖4為本實例的火炬系統(tǒng)流程示意圖。精餾塔C、精餾塔D、精餾塔E均由2oo3結(jié)構(gòu)的SIF回路C、SIF回路D、SIF回路E保護。本實例選擇停電工況進行泄放裝置SIL等級分析，停電工況發(fā)生時設(shè)備A、B、C、D、E均可能發(fā)生泄放。已知部分部件的參數(shù)如表2所示。

表2 安全閥參數(shù)Table 2 Safety valve parameter

2.1 傳統(tǒng)LOPA方法確定SIL等級

使用LOPA技術(shù)確定SIL等級的程序可由標(biāo)準(zhǔn)和相關(guān)文獻獲得[27]。以精餾塔C為例，停電導(dǎo)致精餾塔C底泵停機，塔內(nèi)壓力增高，物料泄放至火炬管網(wǎng)造成火炬管網(wǎng)超壓，嚴重時發(fā)生可燃物料泄漏，進而導(dǎo)致火災(zāi)爆炸事故，給工作場所帶來嚴重影響，后果嚴重等級評定為4。根據(jù)該公司的經(jīng)驗數(shù)據(jù)：停電的發(fā)生頻率Pe為10-2/a，此初始事件下點火概率為1，人員暴露概率和人員傷亡概率均為0.5。根據(jù)風(fēng)險標(biāo)準(zhǔn)，后果等級為4級的事故后果發(fā)生頻率應(yīng)小于10-5/a，即最大可接受危險頻率fs為10-5/a。該事故場景精餾塔C除SIF回路C外的獨立保護層為安全閥3，根據(jù)廠區(qū)統(tǒng)計數(shù)據(jù)，安全閥3的失效概率為0.085，如表4所示。

SIF回路C的風(fēng)險降低因子RRF由式（8）可得。

式中，PFDL為安全閥3的失效概率。

精餾塔D、精餾塔E的風(fēng)險降低因子計算同理。由LOPA方法確定的各SIF回路SIL等級如表3所示。

表3 LOPA方法確定的設(shè)備超壓SIF回路SIL等級Table 3 SIL level of equipment overpressure SIF circuit determined by LOPA method

2.2 考慮關(guān)聯(lián)泄放的火炬系統(tǒng)風(fēng)險評估

（1）場景分析。

停電工況下，設(shè)備A、設(shè)備B、精餾塔C、精餾塔D、精餾塔E均可能發(fā)生泄放，其最大泄放量如表2所示。停電導(dǎo)致精餾塔C、D、E的底泵全部停機，精餾塔C、D、E由于塔內(nèi)壓力升高同時泄放至火炬管網(wǎng)，超過火炬處理能力，火炬管網(wǎng)壓力超高導(dǎo)致安全閥無法正常打開，造成裝置和管道憋壓、破裂，導(dǎo)致重大可燃物料泄漏[28]，最終引起火災(zāi)爆炸事故。后果嚴重等級評定為5級。

（2）求解泄放路徑及泄放路徑出現(xiàn)概率。

①在本實例中，設(shè)備A、B在裝置停電工況下通過安全閥向火炬系統(tǒng)泄放，根據(jù)廠區(qū)歷史數(shù)據(jù)，停電工況下設(shè)備A的泄放概率PFDD1和設(shè)備B的泄放概率PFDD2為：PFDD1=PFDD2=1。

②精餾塔C、D、E分別由2oo3結(jié)構(gòu)的SIF回路和安全閥保護，以精餾塔C為例，停電工況下SIF回路C和安全閥3同時失效時，精餾塔C會泄放至火炬系統(tǒng)。精餾塔C、D、E的泄放概率如表4所示。

表4 精餾塔C、D、E泄放概率Table 4 Release probability of rectification tower C，D，E

因此停電工況下的泄放組合、泄放路徑如表5所示，每條泄放路徑下各設(shè)備的泄放量及泄放路徑的出現(xiàn)概率如表6所示。

（3）計算超壓事故發(fā)生頻率。

使用Aspen Flarenet軟件對本實例中的火炬管網(wǎng)建模[29-30]，并進行模擬計算，得到每條泄放路徑下各安全閥的閥后背壓，如表7所示。

由表7可知，背壓超高的泄放路徑有M1、M4、M5、M6、M10、M11、M12。根據(jù)式（3）可得背壓超高的概率為：PFDsum=2.900×10-3。根據(jù)式（4）可得超壓事故發(fā)生頻率f為：f=7.250×10-6/a。

（4）判斷是否需要SIF回路再定級。

表5 泄放組合及泄放路徑Table 5 Discharge combination and discharge path

由場景分析可知后果嚴重等級評定為5。據(jù)后果等級和事故發(fā)生頻率得到風(fēng)險等級為“中”，因此可通過部分裝置SIF回路重新定級將風(fēng)險等級降至“低”。

2.3 考慮關(guān)聯(lián)泄放的裝置SIF回路再定級

由2.2節(jié)可知背壓超高的泄放路徑有M1（裝置ABC同時泄放）、M4（裝置ABCD同時泄放）、M5（裝置ABCD同時泄放）、M6（裝置ABCE同時泄放）、M10（裝置ABCDE同時泄放）、M11（裝置ABCDE同時泄放）、M12（裝置ABCDE同時泄放），根據(jù)上述泄放路徑中同一裝置的出現(xiàn)次數(shù)，裝置選取序列為：精餾塔C（7次）＞精餾塔D（5次）＞精餾塔E（4次）。本節(jié)選擇精餾塔C進行SIF回路重新定級。停電工況下精餾塔C無SIS系統(tǒng)保護時獨立保護層為安全閥3，所以此時精餾塔C的泄放概率應(yīng)為安全閥3的失效概率，即0.085。

精餾塔C無SIS系統(tǒng)保護狀態(tài)下超壓泄放路徑及出現(xiàn)概率如表8所示。

“低”風(fēng)險等級對應(yīng)最大可接受危險頻率fs=10-6/a。由式（6）可得fu=2.132×10-4/a，由式（5）可得RRF=214（取整）。因此精餾塔C的SIF回路SIL等級應(yīng)為SIL2。由于上述調(diào)整能夠滿足風(fēng)險降低需要，因此無須做其他調(diào)整。

對比2.1節(jié)，本節(jié)由“考慮關(guān)聯(lián)泄放的SIL定級方法”確定的精餾塔C的SIF回路C的SIL等級（SIL2）高于傳統(tǒng)LOPA方法確定的SIL等級（SIL1），說明傳統(tǒng)LOPA方法確定的SIL等級過低，不能滿足本實例中廠區(qū)風(fēng)險降低的需要。兩種方法確定的SIF回路C的SIL等級的不同主要來源于以下兩方面：

①在對SIF回路C進行定級時，與僅考慮精餾塔C泄放的傳統(tǒng)LOPA方法相比，本節(jié)考慮了停電工況下聯(lián)合裝置的五套設(shè)備同時泄放的可能，此時火炬管網(wǎng)承受的總泄放量和負荷明顯大于僅考慮精餾塔C泄放時火炬管網(wǎng)承受的泄放量與負荷。更大的泄放量與火炬管網(wǎng)負荷將導(dǎo)致更嚴重的事故后果，因此本節(jié)場景分析得到的事故后果等級（5級）高于2.1節(jié)傳統(tǒng)LOPA方法得到的后果等級（4級），進而導(dǎo)致了兩種方法確定的最大可接受危險頻率fs的不同。

②停電工況（初始事件）發(fā)生時，使用傳統(tǒng)LOPA方法和“考慮關(guān)聯(lián)泄放的SIL定級方法”對SIF回路C定級時使用的初始事件發(fā)生頻率（Pe）及后果場景頻率修正數(shù)據(jù)（點火概率、人員暴露概率、人員傷亡概率）相同，而本節(jié)考慮了多種組合泄放情況且通過對每種泄放情況下火炬管網(wǎng)的模擬計算準(zhǔn)確求得了火炬系統(tǒng)管網(wǎng)背壓超高的頻率。本節(jié)認為停電工況下事故發(fā)生頻率為組合泄放下火炬管網(wǎng)背壓超高的概率與后果場景頻率修正數(shù)據(jù)的乘積，而非2.1節(jié)中傳統(tǒng)LOPA方法認為的安全閥3的失效概率與后果場景頻率修正數(shù)據(jù)的乘積，因此本節(jié)計算得到的事故發(fā)生頻率與傳統(tǒng)LOPA方法相比更為準(zhǔn)確。

表6 各泄放路徑下裝置泄放量及泄放路徑出現(xiàn)概率Table 6 The discharge volume of the device and occurrence probability under each discharge path

表7 出現(xiàn)超壓的泄放路徑參數(shù)Table 7 Overpressure relief path parameters

表8 精餾塔C無SIS系統(tǒng)保護時超壓泄放路徑及其出現(xiàn)概率Table 8 Overpressure relief path and occurrence probability of distillation column C without SISsystem protection

3結(jié) 論

（1）針對目前廠方對泄放裝置SIF保護回路進行SIL定級時不考慮同一初始事件導(dǎo)致多個裝置泄放的情況，本文基于多源同時泄放的火炬負荷疊加技術(shù)，提出了一種全新的關(guān)聯(lián)超壓保護回路的SIL定級“校核”方法：考慮關(guān)聯(lián)泄放的SIL定級方法。該方法對傳統(tǒng)LOPA技術(shù)得到的SIL等級進行了合理的修正，有效規(guī)避了組合泄放導(dǎo)致的火炬系統(tǒng)風(fēng)險。

（2）本文提供的方法理論上無須更改火炬管網(wǎng)的布置和管徑，僅需對部分泄放裝置SIF回路重新定級即可有效降低火炬系統(tǒng)風(fēng)險至可接受范圍，因此該方法具有成本低、易執(zhí)行的優(yōu)點。該方法在實際應(yīng)用中的可行性及有效性還需進一步研究。