典型石化裝置加熱爐聯鎖系統安全完整性評估與現狀

莊力健 朱建新 方向榮 袁文彬 亢海洲

(合肥通用機械研究院，合肥 230031)

加熱爐是加氫裂化等典型石化裝置中的一個重要設備，是各反應器內反應所需能量的重要來源。一般加熱爐工作條件苛刻，溫度高達550℃、壓力可至17MPa，爐管和附屬管道的失效將導致嚴重事故并引起巨額的停產損失[8]。近年來，因加熱爐(包括附屬管道)失效導致的嚴重事故頻發。2008年，某石化公司加氫裂化裝置爐區管道因腐蝕減薄引起泄漏并引發大火。2009年，某石化公司加氫裂化裝置氫氣加熱爐因爐管局部超溫，引起高溫塑性破壞并引發大火。為確保加熱爐的安全，生產和使用單位為其設置了一系列安全保護措施。但是目前加熱爐安全聯鎖系統的設置主要依據以往的經驗，采用定性分析來確定，無法確定其安全完整性等級是否合適。但隨著石油化工產業的發展，僅靠經驗和定性分析已不能滿足工程實際的需求，對加熱爐安全聯鎖系統進行定量評估，從而合理、有效地設置安全聯鎖系統，在確保安全的前提下，盡可能地降低誤跳車概率，使加熱爐安全穩定運行，已成為當前迫切需要解決的問題。

從2004年開始，合肥通用機械研究院開始開展聯鎖系統安全完整性評估理論和工程應用研究[9～11]，已累計對數個石化工廠二十多套裝置進行了安全完整性等級評估，同時形成了加熱爐聯鎖系統安全完整性等級評估技術，運用該技術累計對5臺典型加熱爐安全聯鎖功能(SIF)進行了詳細的功能安全完整性評估，實現了典型石化裝置加熱爐聯鎖系統安全完整性等級的定量計算，有效地指導了加熱爐聯鎖系統的設計與改進。

1 加熱爐安全完整性等級評估①

針對加氫裂化裝置等典型石化裝置加熱爐，攻克了加熱爐聯鎖系統的充分必要性、聯鎖的完整性要求與可靠性水平分析技術，誤跳車定量計算方法等技術難題，形成了加熱爐聯鎖系統安全完整性等級評估方法，其流程如圖1所示。

圖1 加熱爐SIL評估流程

1.1 風險標準的確定

將Shell的風險標準確定方法引入到國內，建立了基于我國國情的、考慮安全完整性要求的風險控制矩陣RAM定量分析方法，采用該方法可分析確定出各加熱爐的風險控制矩陣RAM。

1.2 加熱爐聯鎖的充分必要性

1.2.1加熱爐的危險情況分析

加熱爐爐膛閃爆。一直以來，加熱爐爐膛閃爆事故屢有發生。加熱爐閃爆的主要原因有：加熱爐在開工點火時，爐膛內泄漏有燃料氣，未吹掃干凈；點爐時在未點燃長明燈的情況下，先送入燃料氣；在生產過程中加熱爐因故障突然熄火(燃料氣壓力過低等)，導致燃料氣在爐膛內積聚，當濃度達到爆炸極限或遇明火時發生爆炸。加熱爐閃爆事故往往造成人員傷亡和巨大的經濟損失，故需合理配置相應的聯鎖以防止此類事故的發生。

二里半把煙袋給老太太吸，她拿過煙袋，連擦都沒有擦，就放進嘴去。顯然她是熟悉吸煙，并且十分需要。她把肩膀抬得高高，她緊合了眼睛，濃煙不住從嘴冒出，從鼻孔冒出。那樣很危險，好像她的鼻子快要著火。

加熱爐出口溫度過高導致反應異常。加熱爐一般是各裝置中反應器反應所需能量的重要來源，若加熱爐出口溫度過高，會引起反應異常。以加氫裂化裝置為例，裂化反應為鏈式反應，總效應是大量放熱的反應過程，反應溫度增加又進一步加快了反應速度，釋放的反應熱量也相應增加，溫度的變化對床層溫升的變化非常明顯，故溫度是加氫裂化過程必須嚴格控制的操作參數。反應器進口溫度(加熱爐出口溫度)過高，有可能導致反應器飛溫。反應器發生飛溫時，可在極短時間內使反應器溫度超過425℃，甚至超過880℃，反應器飛溫輕則造成催化劑燒結失去活性或者損壞反應器內構件，重則可導致器壁損壞、高壓換熱器泄漏、甚至引發著火爆炸等惡性事故，故合理有效地設置加熱爐出口溫度高高聯鎖是非常有必要的。

加熱爐爐管失效導致事故后果擴大。加氫裂化裝置加熱爐爐管失效事故時有發生，如聯鎖系統設置不當，將導致事故后果的擴大，如某石化廠加氫裂化裝置氫氣加熱爐出口配管上未設置單向閥，當爐管因局部超溫導致開裂時，反應器內物料(油、油氣及氫氣等)反串，引發大火，加重了事故后果。該事故使裝置停產將近一個月，造成了巨大的經濟損失。故合理有效地設置聯鎖系統，將會使加熱爐爐管失效后的損失降到最低。

1.2.2聯鎖的充分必要性分析

目前常見的加氫裂化等典型石化裝置加熱爐聯鎖主要包括以下三大類：反應器入口(加熱爐出口)溫度高于聯鎖值時，停爐；加熱爐燃料氣壓力低于聯鎖值時，停爐；加熱爐入口物料流量低于聯鎖值時，停爐。

當反應器入口溫度過高時，以加氫裂化裝置為例，如無相應的聯鎖，則極有可能導致反應器飛溫。如通過聯鎖停爐，則可使進入反應器內的物料溫度下降，除引起部分產品品質下降外，不會導致裝置停車，故極有必要設置該聯鎖。

當燃料氣壓力過低時，有可能導致爐內燃料氣供應中斷，爐膛熄火，若燃料氣中斷后重新供應，將在爐膛內積聚，此時遇明火或濃度達到爆炸極限將導致閃爆，往往引起人員傷亡，并造成裝置停車，引發巨額經濟損失，故合理有效地設置燃料氣壓力低低聯鎖，是非常必要的。

當加熱爐入口物料流量過低時，會導致加熱爐爐管干燒，進而引起爐管破裂甚至引發大火，極有可能導致人員傷亡，同時造成裝置停車，引發巨額經濟損失。如加熱爐入口物料流量過低時通過聯鎖及時停爐，則只會導致部分產品品質下降，不會導致裝置停車，因此該聯鎖也是不可或缺的。

當加熱爐爐管破裂引發大火時，如聯鎖設置不當，將導致反應器內物料反串，從而引發災難性事故。故應合理設置爐管失效后果控制聯鎖，使爐管破裂失效后后果可控，將損失降低到最小程度，使裝置盡快恢復生產。

1.3 安全聯鎖功能識別和所需安全完整性等級的確定

依據IEC61511中對安全聯鎖功能的定義[5]，遵循充分性與必要性原則可識別出各加熱爐的安全聯鎖功能。同時通過定量分析加熱爐的失效模式，定量計算安全聯鎖功能的失效后果，依據安全聯鎖功能的需求率，對照風險控制標準，即可確定出加熱爐各安全聯鎖功能所需的安全完整性等級。

1.4 聯鎖系統安全完整性等級分析計算

1.4.1安全保護層分析

在安全完整性等級的研究和工程應用中，提出了考慮安全完整性要求的保護層分析技術，依據該技術分析得出了加熱爐常見的安全保護層及其安全保護能力，見表1。

表1 加熱爐的安全保護層及安全保護能力

1.4.2安全聯鎖系統安全完整性等級分析計算

操作模式的確定。在IEC61508中，定義了兩種操作模式：指令操作模式和連續操作模式[4]。在過程工業中，聯鎖系統在BPCS常規控制失效，人工操作失誤及工藝異常等工況下均會出現操作要求。對于常見的加熱爐，其所有聯鎖系統的操作模式均為指令式操作模式。

元件失效概率數據的確定。通過對多個石化工廠二十多套裝置的功能安全完整性等級評估，分析、驗證了元件的可靠性數據，建立了適合我國國情的失效概率數據庫[11]，該數據庫基本上涵蓋了目前典型石化裝置加熱爐所采用的傳感器、邏輯求解器及切斷閥等元件。

硬件冗余的確定。要達到一定的安全完整性等級要求，就必須在結構上達到一定的硬件故障裕度(Hardware Fault Tolerance，HFT)，IEC61508對此有明確的規定[4]。通過評估發現，所評估的5臺加熱爐中所有聯鎖系統采用的硬件結構(裕度、安全故障份額)均滿足標準要求。

安全聯鎖系統安全完整性等級計算。通過自主研發的《通用過程工業功能安全完整性評估系統》[10]即可計算得到加熱爐各安全聯鎖功能可達到的安全完整性等級及平均無安全故障工作時間(兩次誤跳車的平均間隔時間，MTTFS)等參數。

1.5 安全聯鎖功能系統優化和改進

根據可接受的風險標準，評估典型石化裝置加熱爐的安全聯鎖功能是否滿足裝置長周期安全生產的要求，是否有聯鎖過度或者不足。針對達不到最低安全要求或者誤跳車概率過高的安全聯鎖功能，提出了合理可行的改進建議，并重新計算改進后聯鎖功能的可靠性，確保其滿足安全完整性要求。

2 加熱爐聯鎖系統安全完整性現狀

2.1 加熱爐聯鎖系統安全完整性等級評估結果

5套加熱爐，二十多個安全聯鎖功能(SIF)的安全完整性評估結果如圖2所示。由圖可見，除了加熱爐B外，其余均存在誤跳車過高的問題，特別是加熱爐A與加熱爐E。究其原因，加熱爐A與E的安全完整性評估是在裝置的設計制造階段進行，加熱爐生產廠家為了在異常工況下確保加熱爐的安全，給加熱爐設置了大量的聯鎖，導致加熱爐的部分聯鎖過保護，由此將引發誤跳，并導致裝置非計劃停車，從而影響裝置的長周期安全運行；而對于已經投入使用的加熱爐，部分使用廠家依據現場經驗對加熱爐的部分聯鎖進行了改進優化，大大降低了誤跳車概率，但同時也帶來了部分的安全隱患。

圖2 加熱爐聯鎖系統安全完整性評估結果

通過評估還發現，對于加熱爐生產單位，在設置安全聯鎖系統時主要依據以往的經驗，采用定性分析來確定，隨著設備的高參數化、大型化、介質的苛刻化，僅靠經驗和定性分析已不能滿足工程實際的需求，由此設置的安全聯鎖系統無法滿足安全完整性要求，導致部分聯鎖功能安全不足或誤跳車概率過高(加熱爐A)。通過安全聯鎖系統安全完整性等級定量評估，可實現安全聯鎖系統的合理、有效設置，從而確保加熱爐安全穩定運行。

2.2 加熱爐聯鎖系統典型問題和改進建議

所評估的加熱爐聯鎖系統中安全聯鎖功能安全與誤跳車分布狀況如圖3所示。

圖3 加熱爐聯鎖回路安全與誤跳車分布

由圖3可知，加熱爐中普遍存在著安全不足(13%)和誤跳過高(35%)的聯鎖，導致聯鎖無法滿足完整性要求的典型問題和相應的改進建議如下。

部分聯鎖功能誤跳車概率過高。在評估中發現，大量傳感器采用1oo1的結構形式，若出現元器件抖動及電磁干擾等異常工況均會引起信號的瞬間晃動，從而引起聯鎖的誤動作。針對該種狀況，若條件允許，建議增加兩只同類型的傳感器，并設置為2oo3結構。如無法在傳感器結構形式上進行改進，則建議對傳感器發出的聯鎖信號進行延時以避免因元器件抖動等產生誤跳車。對于一般的聯鎖信號，建議延時200～300ms。對于由DCS實現的聯鎖，其掃描周期一般為0.5～2.0s，建議延時3s左右。但應確保在延時時間內，加熱爐能安全穩定運行。

部分聯鎖功能安全完整性等級不足。造成部分聯鎖功能安全完整性等級不足的主要原因為關鍵保護層或關鍵聯鎖的缺失，具體分析如下：

a. 關鍵保護層缺失。在評估中發現，部分加熱爐出口配管上未設置單向閥，存在嚴重的安全隱患。以加氫裂化裝置原料加熱爐為例，對于爐前混氫結構的原料加熱爐，若其介質為含硫高酸原油，極易引起爐管的腐蝕減薄，最終將引起管線爆裂，此時若未設置單向閥則可導致反應器內物料(油、油氣及氫氣等)反串，擴大事故后果。對于爐后混氫的加熱爐，設置單向閥可有效防止在非正常工況下(如壓縮機停車、加氫進料泵停車或爐管破裂時)回流導致爐管結焦損壞等后果，同樣可減輕由于爐管破裂可能引起反應器內物料反串導致的事故后果。

b. 關鍵聯鎖缺失。部分加熱爐未設置必要的聯鎖系統(如加熱爐入口原料流量低低聯鎖等)，關鍵聯鎖的缺失將導致嚴重事故并引起巨額的停產損失。故極有必要通過加熱爐聯鎖系統安全完整性等級評估，實現聯鎖系統的合理配置，從而確保加熱爐安全穩定運行。

3 結束語

依據IEC61511標準開發了加熱爐聯鎖系統安全完整性等級評估技術，分析了典型石化裝置加熱爐聯鎖的充分必要性，給出了5臺套典型石化裝置加熱爐中安全完整性等級不足的、誤跳車過高的及合理的安全聯鎖功能的分布情況，得到了加熱爐聯鎖系統的安全完整性現狀。針對安全完整性等級不足的、誤跳車過高的安全聯鎖功能，總結歸納了典型問題并給出了相應的改進建議。研究結果對指導典型石化裝置加熱爐聯鎖系統的設置和安全完整性等級評估，解決長周期運行過程中加熱爐的安全和誤跳車問題具有指導作用。

[1] 宋小寧.加氫裝置安全儀表系統設計[J].自動化儀表，2008，29(11):64～68.

[2] 丁振宇,朱建新,包士毅，等.LDPE裝置反應器聯鎖系統可靠性計算方法研究[J].石油化工自動化，2010，46(1):8～12.

[3] Smith D J.Reliability, Maintainability and Risk: Practical Methods for Engineers[M].Oxford: Butterworth-Heinemann, 1997.

[4] IEC61508-2000,Functional Safety of Electrical/Electronic/Programmable Safety Related Systems[S].Geneva:International Electrotechnical Commission，2000.

[5] IEC61511-2003，Functional Safety-Safety Instrumented Systems for the Process Industry Sector[S].Geneva:International Electrotechnical Commission，2003.

[6] ANSI/ISA S84.01-1996，Application of Safety Instrumented Systems for the Process Industry[S].North Carolina: Instrument Society of America,1996.

[7] GB/T 21109-2007，過程工業領域安全儀表系統的功能安全[S]．北京：中國標準出版社，2007.

[8] 郭宏偉，韓國祥.加熱爐爐管膨脹變形原因分析[J].化工機械，2010,37(1):107～108,119.

[9] 朱建新,方向榮，莊力健，等.安全完整性技術(SIL)在我國石化裝置上的應用實踐及思考[J].化工自動化及儀表,2012,39(10):1253～1259.

[10] 莊力健，朱建新，方向榮，等.旋轉機械聯鎖系統安全完整性等級(SIL)評估[J].流體機械,2013,41(5)：38～43.

[11] 莊力健,朱建新,胡久韶,等.過程工業功能安全完整性評估系統的開發[C].壓力管道技術研究進展精選集—第四屆全國管道技術學術會議.北京：化學工業出版社，2010:223～228.

[12] Sam M.Lee′s Loss Prevention in the Process Industries:Hazard Identification,Assessment and Control[M].Oxford: Butterworth-Heinemann,2005.