天然气净化处理厂(站)是涉及有高温高压装置、易燃易爆物质的高危场所。为减少或避免意外事故的产生,达到生产可控的目标,工艺流程设计时会配置较为完善的安全仪表系统(Safety Instrumented System: SIS)。但配置的SIS系统是否真正满足装置安全生产的要求,还需要对其进行安全完整性等级(Safety Integrity Level: SIL)评估。传统的SIL评估采用纯会议形式,缺少专家库的基础支撑,评估结果受参与人员的经验丰富与否影响较大。据此,笔者拟在SIL常规评估方法的基础上,探索出一种适合油气田地面工程的SIL评估方法。
SIL是用来规定分配给安全仪表系统的仪表安全功能(Safety Instrumented Function:SIF)的安全完整性要求的离散等级,这种等级共设置有1~4级,其中SIL 4是最高等级[1-2]。
SIL评估的总体思路是在不考虑现有SIS等防范措施的情况下,从人员伤亡、财产损失、环境影响、社会影响等角度分析受控设备(Equipment Under Control:EUC)可能产生的事故以及事故的危害程度,确定其所需的SIL等级,然后再逐一分析现有的安全防护措施是否达到EUC所需的SIL等级;若不能,则需要提高现有SIS系统的SIL等级,以确保EUC能在可接受的风险内安全运行。
开展SIL评估的重要意义可以从两方面来考虑:一方面,安全防护措施SIL等级越高,意味着对应的防护措施可靠性越高,但也意味着更多的软、硬件投资;通过SIL评估后,可根据EUC所需的等级来配置安全防护措施,减少或避免不必要的投资浪费。另一方面,由于设计上考虑不周导致其安全防护措施不能达到EUC所需的SIL等级或随着装置运行时间加长,系统的软、硬件可靠性会随之下降,加之天然气净化处理装置会不断地进行改造,导致现有的安全防护措施不能满足EUC所需的SIL等级。通过SIL评估,可以识别出这类问题,为企业优化投资或对在役装置安全整改提供支撑。
危险与可操作性分析(Hazard and Operability Analysis:HAZOP)是一种系统化和结构化的风险评价手段[3],采用分析会议的模式,在不考虑防护措施的情况下,根据引导词分析参数偏离原设计的原因以及可能给生产装置带来的危害程度,然后综合考虑现有的防护措施是否能将装置运行参数控制在允许的范围内。若不能,则需要提出相应的整改措施,以确保安全防护措施能使装置运行在可接受的风险范围内。
文献[4]讨论了SIL与HAZOP的关系,并得出了如图 1所示的结论。在图 1中,SIL评估与HAZOP分析以明确的界限分隔开来。
文献[5]指出了SIL与HAZOP之间存在交叉关系。文献[6]-[9]在确定安全防护措施的SIL等级分析过程中,均提到充分应用HAZOP分析过程中的相关结论,并通过HAZOP分析小组来确定部分SIL评估中可能用到的相关参数。
在开展HAZOP分析时,涉及到的安全防护措施包含了SIL评估的SIS,而在开展SIL评估的时候,安全防护措施也包含了HAZOP分析的人员操作、安全报警、基本控制回路等。目前,主流的HAZOP分析以定性分析为主,侧重于工艺流程和基本的控制措施,不能定量或更深层次地探讨SIS系统可能存在的问题,但它能最大限度地识别出装置在不考虑现有防护措施情况下可能产生的危害程度,为SIL提供指导作用。另一方面,SIL评估侧重SIS分析,无意中缩小了分析范围,可能存在分析遗漏的情况;但若能充分利用HAZOP分析过程中的部分参数和结论,则能更为完整地分析各EUC。
文献[10]认为资产完整性管理(Asset Integrity Management:AIM)的实质是针对不同属性的设备采用不同的基于风险分析的评价方法。而AIM中基于风险分析的方法主要有:基于风险评估的设备检验(Risk Based Inspection:RBI)、以可靠性为中心的维修(Reliability Centered Maintenance:RCM)、SIL[11]。其中:
RBI:用于储罐等静设备与工艺管道的风险检测,对在役装置采用“高风险设备针对其特点进行重点检验”的方法,以提高设备可靠性、降低设备检维修费用。
RCM:主要是用来确定动设备预防性维修需求、优化维修制度的一种系统工程方法。其基本思路是:对系统功能、故障及系统内各故障后果进行分析,用规范化的逻辑决断程序确定故障后果的预防性对策,在保证安全可靠的情况下,以最小的维修和资源消耗为目标来优化系统的维修策略。
结合SIL主要针对EUC安全防护措施进行分析的特点,将RBI、RCM、SIL等风险评价方法融合在一起,就构成了资产完整性管理的风险评价体系。
从SIL与其他风险评估方法的关系可推断出:
(1) 新、改、扩建工程的设计阶段:风险评估主要以HAZOP为主的前提下,对整座天然气净化处理厂(站)进行系统地分析。如果这个阶段融入SIL评估,将使得识别风险的范围更广、更深入,并能弥补HAZOP目前只能定性分析的不足。
(2) 在役装置连续运行阶段:开展HAZOP分析,主要针对前期设计阶段未进行HAZOP分析或经多次改造而未进行HAZOP分析的装置进行系统性的风险评估,此时融入SIL评估,将弥补HAZOP分析“重工艺流程、轻SIS系统”的不足,识别出在役装置SIS系统存在的不足。
(3) 在役装置连续运行阶段:前期设计阶段开展过HAZOP等风险评价的装置,在役评估时将SIL评估融入RBI、RCM评估,可组建成完整的AIM风险评价体系,为企业资产完整性管理提供支撑。
单从SIL评估方法而言,其方法较多,也不复杂,但在确定EUC可能存在的风险程度时,受评价师对装置运行情况了解的程度影响较大,而在验证EUC安全防护措施时,受评价师对在役SIS系统各组成元件性能把控程度的影响也较大。
在SIL相关的标准和规范中,可以采用的评估方法主要有:
(1) GB/T 20438-2006《电气/电子/可编程电子安全相关系统的功能安全》[8]规定的定量风险评估、风险图表法(定性)、风险矩阵法(定性)等分析方法;
(2) GB/T 21109-2007《过程工业安全仪表系统的功能安全》[9]规定的定量方法、安全保护层矩阵法(定性)、风险图表法(定性)、修正风险图表法(半定性)、保护层分析(半定量)等分析方法。
目前,国内外从事的SIL评估项目主要以会议为主,采用人工分析、记录、整理,并编制评估报告,评估结果受参会人员的风险评价能力影响较大。也有部分国外咨询机构开展SIL评估项目时采用了SIL评估软件,但是这类由咨询机构开发的评估软件数据库来源于国外油气田的经验积累,其数据库与对国内油气田的适用性、软件算法与相关标准的符合程度还有待考证。
软件化SIL评估的目标就是将人工分析、记录、数据整理及报告编制采用计算机来完成,在半人工/半计算机分析的前提下,弥补人工分析、记录、数据整理存在的不足,尽可能减少主观性因素对评估结果的影响力。为此,软件化SIL评估方法研究的侧重点主要在对标准的理解和数据库组建上。
SIL评估的方法较多,笔者仅以目前最常用的风险图表法和防护层及防护层分析(Layers of Protection Analysis: LOPA)来确定EUC所需要的SIL等级,结合HAZOP分析,探讨基于LOPA的软件化SIL评估方法[7]。
(1) 采用风险图标法确定SIL等级。在使用风险图表法选择参数(如表 1所示)时,可将参数固定成一张表,通过计算机程序来实现事故产生的可能性及事故后果的严重性,并通过表 2的对应关系,判定出EUC所需的SIL等级(如图 2所示)。
为降低人为因素对判定结果的影响力,可结合实际生产情况将各参数的分级细化,使其在保持相对客观的前提下,具有更强的操作性。
(2) 采用LOPA方法确定SIL等级。采用LOPA方法来确定EUC所需的SIL等级时,首先应明确EUC具备哪些保护层,如图 3[12]所示。
根据HAZOP分析结论确定EUC的防护层,然后由HAZOP分析确定机械、人员操作、报警等防护措施的失效概率,再根据事故发生的临界点来确定EUC所需SIS系统的失效率,从而判定EUC所需SIS系统的SIL等级。
该分析方法需要HAZOP分析的基础资料,采用计算机辅助分析时,有两种方式可以实现:一是采用人工输入,另一种是形成HAZOP分析专家库,由计算机从专家库中调取HAZOP分析的相关数据。
(3) 验证SIL等级。验证EUC现有SIS系统的SIL等级是否满足其要求的SIL等级时,需要对SIS控制回路的检测元件、控制器、执行元件进行评估,综合分析其失效率,并计算冗余情况下的失效率,最终由式(1)求得该控制回路的失效率,对照表 2[1],可得到该回路的SIL等级。
需要说明的是,控制回路的失效率计算相对比较复杂,且与各元件的质量和使用期限有关,为达到计算机辅助验证的目标,需补充各元件失效率的专家库,由计算机根据失效率的计算方法来完成这部分工作。
根据3.1分析的结果,SIL评估软件应具备以下功能:
(1) 分析EUC所需的SIL等级。
(2) 验证EUC现有防护措施的SIL等级。
(3) 指出并定量给出现有防护措施中某局部元件配置的不足。
(4) 部分参数既可由软件推理生成,也可由人工直接输入,且能通过人工输入扩充软件数据库。
(5) 软件具备其他SIL评估方法的植入,且植入的方法简单可行。
(6) 配置专家库,通过人工录入或软件自学习功能,不断完善或充实数据库资源。
软件的总体架构如图 4所示。
从图 4来看,软件开发并不复杂,但实际上专家知识库的算法,以及与HAZOP、RBI、RCM、AIM之间的数据交互都要作深入的分析才能确定。本文仅提出软件开发构想,具体实施还需进一步的研究。
(1) SIL评估与HAZOP分析在设计阶段和在役装置结合使用,可以弥补二者的不足,能更完整、彻底识别装置中可能潜在的风险。
(2) SIL评估可与RBI、RCM配套使用,构建成企业资产完整性管理的风险评价体系。
(3) 通过SIL评估,可以识别出前期设计和在役装置中EUC防护措施存在的不足或防护措施高于EUC需求的SIL等级,为企业领导层决策时提供支撑。
(4) 理论上,SIL评估方法较为简单,将常规的人工SIL评估方法软件化是可行的,只是软件参数设置和数据库组建还需要大量的后续工作来充实。
(5) 适用于天然气处理装置的SIL评估软件将大大降低SIL评估投入的人力、财力,也能降低个别主观因素对SIL评估结果的影响力,增强SIL评估结论的可信性和可操作性。