高爐鼓風引風系統(tǒng)安全完整性等級評估①

路 帥 王效天 王 彬

(1.中國石油大學(華東)a.化學工程學院；b.機電工程學院；2.中國石油天然氣股份有限公司撫順石化分公司石油一廠)

高爐鼓風引風系統(tǒng)安全完整性等級評估①

路 帥1a王效天1b王 彬2

(1.中國石油大學(華東)a.化學工程學院；b.機電工程學院；2.中國石油天然氣股份有限公司撫順石化分公司石油一廠)

對某化工裝置脫酸爐鼓風引風系統(tǒng)進行安全儀表系統(tǒng)的安全完整性等級評估。采用保護層分析方法進行等級確定，利用可靠性框圖進行驗證，得出現(xiàn)有安全儀表聯(lián)鎖回路的安全完整性等級沒有達到要求的安全完整性等級目標的結(jié)論，并提出了對應(yīng)的安裝建議和維護要求。

SIL SIS 鼓風引風系統(tǒng) 保護層分析 安裝維護要求

隨著自動化技術(shù)的發(fā)展，安全儀表系統(tǒng)(SIS)越來越廣泛地應(yīng)用于石化裝置中，保障裝置發(fā)生故障后使后果嚴重性降到最低，取得了良好的經(jīng)濟效益和社會效益。目前還有很多化工廠沒有配置用于過程控制的SIS或SIS配置結(jié)構(gòu)不合理的現(xiàn)象依然嚴重，調(diào)查發(fā)現(xiàn)，在影響裝置安全的關(guān)鍵聯(lián)鎖回路中，約19%存在安全完整性級別(SIL)不足的問題，關(guān)鍵聯(lián)鎖誤跳車過高(占35%)，與國外相比，我國石化裝置聯(lián)鎖系統(tǒng)SIL不足的比例更高一些[1～3]。根據(jù)國外公司的數(shù)據(jù)統(tǒng)計顯示，所有的SIS中，聯(lián)鎖合理的僅占40%～45%[4]。因此，同步加強和規(guī)范SIS管理顯得十分必要?！秶野踩O(jiān)管總局關(guān)于加強化工安全儀表系統(tǒng)管理的指導(dǎo)意見》也進一步指出我國要進行SIS評估工作。

加熱爐是石油石化煉廠裝置的典型設(shè)備，是各反應(yīng)器內(nèi)反應(yīng)所需能量的重要來源。一般加熱爐工作條件苛刻，溫度高達700℃、壓力可至17MPa。近年來，由于加熱爐爐管或附屬管道失效導(dǎo)致的嚴重事故頻發(fā)，爐管和附屬管道的失效將導(dǎo)致嚴重事故并產(chǎn)生巨額的停產(chǎn)損失[5]。2009年，某石化公司加氫裂化裝置氫氣加熱爐因爐管局部超溫，引起高溫塑性破壞并引發(fā)大火。

為保障加熱爐的正常運行，設(shè)計、生產(chǎn)和使用單位都采取了一系列保護措施，但對附加聯(lián)鎖保護措施的設(shè)置多是人為根據(jù)經(jīng)驗定性分析，不能定量確定聯(lián)鎖設(shè)置的合理和有效性。因此，對加熱爐安全聯(lián)鎖系統(tǒng)進行定量評估，從而合理、有效地設(shè)置安全聯(lián)鎖系統(tǒng)，在確保安全的前提下，盡可能地降低誤跳車概率，保障加熱爐安全穩(wěn)定運行，已成為當前迫切需要解決的問題[6,7]。加熱爐的鼓風、引風機作為加熱爐余熱回收系統(tǒng)的重要組成部分，如果發(fā)生故障將直接影響整個加熱爐的安全狀態(tài)。筆者對加熱爐聯(lián)鎖系統(tǒng)中鼓風引風聯(lián)鎖回路做定量分析，為加熱爐聯(lián)鎖系統(tǒng)的設(shè)計與改進提供參考。

1 安全完整性等級

SIS是一種自動控制系統(tǒng)，當工藝參數(shù)觸發(fā)設(shè)定的聯(lián)鎖動作值時，就會執(zhí)行設(shè)定的切斷動作，防止危險事件發(fā)生。安全完整性就是衡量SIS在規(guī)定的條件下和規(guī)定的時間內(nèi)，成功實現(xiàn)所要求的安全功能的概率[8]。安全完整性水平不僅是安全系統(tǒng)安全性能的衡量標準，而且是整體安全生命周期中的主線[9]，選擇時應(yīng)衡量好安全功能與經(jīng)濟效益，過高會造成成本的浪費，過低會使風險不可接受。

國外對功能安全評估的研究較早，陸續(xù)出臺了一系列相關(guān)國際和國家標準，如1994年德國發(fā)布了DINV19250、1996年美國儀表協(xié)會發(fā)布了ANSI/ISA S84-2004、2000年國際電工委員會發(fā)布了IEC61508/61511等。我國于2007年引入了IEC61508/61511標準，并等同轉(zhuǎn)化了GB/T 20438、GB/T 21109標準，用于指導(dǎo)我國的SIS安全完整性評估工作[10]。SIL評估包括SIL定級和SIL驗證兩部分。

根據(jù)IEC61508的要求，SIL整個評估流程簡圖[11]如圖1所示。

圖1 SIL評估流程

為了衡量SIS的安全完整性，SIL等級劃分見表1(摘自 IEC61511-1[12])，其中低需求模式——SIS動作需求的頻率低于一年一次或小于二倍的檢驗測試頻率；高需求模式(連續(xù)模式)——SIS動作需求頻率高于一年一次或大于二倍的檢驗測試頻率。

表1 SIL等級劃分

1.1 SIL定級

根據(jù)GB/T 20438推薦的方法，采用保護層分析法(LOPA)進行SIS的SIL等級確定，定級流程如圖2所示。SIL定級分析的主要目標是：

a. 明確設(shè)計的安全功能；

b. 確定要求的安全儀表功能(SIF)；

c. 確定與各SIF相關(guān)的所需達到的SIL等級；

d. 確定與各SIF相關(guān)的目前達到的SIL等級；

e. 篩選未達到SIL等級要求的SIF，提出相應(yīng)的建議和措施；

f. 對于未安裝聯(lián)鎖系統(tǒng)的危險工藝工程提出安裝建議和具體的SIL等級。

圖2 SIL定級流程

LOPA分析場景頻率的計算式為：

(1)

式中fiC——初始事件i的后果C的發(fā)生頻率，a；

fiI——初始事件i的發(fā)生頻率，a；

Pd——人員傷亡概率；

Pex——人員暴露概率；

Pig——點火概率；

Pu——使用率；

由于部分裝置的設(shè)備并不是連續(xù)使用的， LOPA法應(yīng)用導(dǎo)則[13]在使能條件類型里面未加入設(shè)備使用率的修正條件。在此，根據(jù)設(shè)備的使用時間加入使用率的概念，由于加熱爐鼓風機為連續(xù)工作，因此使用率取值為1。

1.2 SIL驗證

SIL等級確定后，還要進一步對SIL等級進行驗證，以確定所需等級是否達到需要的級別，確?？梢詧?zhí)行所需的安全功能。SIL驗證是指依據(jù)當前聯(lián)鎖回路的傳感器、邏輯控制器和最終元件的邏輯結(jié)構(gòu)和可靠性數(shù)據(jù)計算當前的失效概率，進而確定其實際SIL是否滿足SIL要求[8]?？梢员硎緸椋?/p>

PFDSIF=PFDS+PFDL+PFDFE

(2)

式中PFDFE——執(zhí)行機構(gòu)單元要求的平均失效概率；

PFDL——邏輯控制器單元要求的平均失效概率；

PFDS——傳感器單元要求的平均失效概率。

在功能安全評估中，硬件安全完整性的安全功能所聲明的最高SIL等級，受限于硬件故障裕度和執(zhí)行該安全功能的安全失效分數(shù)。IEC61508標準[8]規(guī)定了SIL等級與系統(tǒng)結(jié)構(gòu)的約束關(guān)系見表2。

《民本思想的發(fā)展邏輯及其當代價值》一書，構(gòu)架縝密，材料翔實，方法得當，文字流暢，反映了作者較強的理論功底和研究能力。如果作者在民本思想與當代中國特色社會主義實踐結(jié)合上能作更多一些闡述，該書的現(xiàn)實意義就會更加彰顯。相信作者會有后續(xù)的研究工作。

表2 SIL等級與系統(tǒng)結(jié)構(gòu)的約束關(guān)系

硬件故障裕度N表示N+1個故障將導(dǎo)致安全功能的喪失，如，當SFF為75%，需要的安全完整性為SIL2，那么硬件故障裕度至少為1。因此，SIS需要SIL的確定也要滿足硬件結(jié)構(gòu)要求。SFF的計算公式為：

SFF=(∑λs+∑λDD)/(∑λs+∑λD)

(3)

常見的驗證方法有可靠性框圖法(RBD)、故障樹法(FTA)及馬爾科夫模型(Markov)[14]等，每種方法都有各自的優(yōu)缺點。

可靠性框圖是一種傳統(tǒng)的可靠性分析方法，用圖形方式表示系統(tǒng)內(nèi)部件的串并聯(lián)關(guān)系，具有簡單、清晰、直觀的特點。但它反映的關(guān)系是系統(tǒng)中設(shè)備之間在可靠性上的結(jié)構(gòu)關(guān)系，而不是系統(tǒng)組成結(jié)構(gòu)的關(guān)系。

故障樹分析是常用的SIS可靠性評估方法，用圖形展示事件間的發(fā)展關(guān)系，結(jié)構(gòu)直觀，初始事件與最終故障之間的邏輯關(guān)系明確。故障樹的分析一般只考慮事件的雙面性(正常與故障狀態(tài))，難以描述多狀態(tài)事件。

建模靈活是馬爾科夫分析的主要優(yōu)點，SIF所有重要方面都可包含在模型中。一旦馬爾科夫模型構(gòu)建出來，并且所有信息都是有效的，即可計

算出需要的失效率PFD。馬爾科夫模型的構(gòu)建需要對模型較熟悉且有較好的數(shù)學基礎(chǔ)，對人員的素質(zhì)要求較高。

綜合比較3種方法的優(yōu)缺點，由于鼓風機安全聯(lián)鎖回路結(jié)構(gòu)較簡單，因此選用在工程實踐應(yīng)用較多的可靠性框圖驗證其SIL等級。

2 脫酸爐鼓風引風系統(tǒng)評估

鼓風引風機是加熱爐余熱回收系統(tǒng)的重要設(shè)備，該脫酸爐燃料分為燃料油和燃料氣兩部分共燒，鼓風機為脫酸爐提供預(yù)熱的正壓空氣，一旦鼓風機故障停機，燃料氣無法燃燒將在爐膛內(nèi)積聚，達到爆炸極限，就極有可能發(fā)生脫酸爐爆炸事故。為防止此類事故的發(fā)生，脫酸爐增加了一套鼓風引風系統(tǒng)壓力低低聯(lián)鎖系統(tǒng)(圖3)，當壓力傳感器檢測到鼓風機出口管道壓力低于設(shè)定值時，邏輯控制器一方面打開脫酸爐底部的快開風門進行自然通風，給爐膛提供空氣，另一方面會關(guān)停引風機，通過一系列的聯(lián)鎖動作使系統(tǒng)避免發(fā)生爆炸事故。

圖3 脫酸爐鼓風引風系統(tǒng)簡圖

針對這套鼓風機聯(lián)鎖系統(tǒng)進行SIL評估。根據(jù)評估流程，定級分析結(jié)果見表3。其中，人員暴露概率按年操作工時8 000h，2h巡檢一次，一次停留5min；造成人員死亡的容忍標準為一年1×10-5。

表3 SIL定級分析結(jié)果

對照表1、3，得出鼓風機出口管道壓力低低聯(lián)鎖為SIL1。

分析鼓風機聯(lián)鎖回路的結(jié)構(gòu)，選取在工程應(yīng)用較多的可靠性框圖進行SIL驗證。鼓風機聯(lián)鎖回路邏輯如圖4所示?？梢钥闯?，傳感器部分為1oo1結(jié)構(gòu)，查閱相關(guān)資料，邏輯控制器為1oo2D結(jié)構(gòu)，執(zhí)行機構(gòu)引風機為1oo1結(jié)構(gòu)，快開風門為4oo4結(jié)構(gòu)。驗證過程涉及的參數(shù)見表4，詳細設(shè)備信息見表5。然后單獨分析計算每一部分要求的失效概率，快開風門和引風機要求的失效概率加起來的和為執(zhí)行機構(gòu)要求的失效概率。

圖4 鼓風引風系統(tǒng)聯(lián)鎖回路邏輯

參數(shù)解釋單位參數(shù)解釋單位λD子系統(tǒng)中通道的危險失效率h-1MTTR平均恢復(fù)時間hλDD檢測到的子系統(tǒng)通道危險失效率h-1DC診斷覆蓋率-λDU未檢測到的子系統(tǒng)通道危險失效率h-1β未檢測到的失效分數(shù)-λSD檢測到的子系統(tǒng)通道安全失效率h-1βD檢測到的失效分數(shù)-λSU未檢測到的子系統(tǒng)通道安全失效率h-1CD可檢測的危險失效覆蓋率-TI檢驗測試時間間隔hCS可檢測的安全失效覆蓋率-SFF安全失效分數(shù)-HTF硬件故障裕度-

表5 設(shè)備信息

根據(jù)IEC61508中可靠性框圖[8]用法的規(guī)定，對不同結(jié)構(gòu)通道的相關(guān)參數(shù)表達式如下。

1oo1結(jié)構(gòu)通道的等效平均停止工作時間表示為：

(4)

1oo1結(jié)構(gòu)在要求時的平均失效概率可近似為：

PFD=(λDU+λDD)tCE

(5)

1oo2D結(jié)構(gòu)在要求時的平均失效概率可近似為：

PFDG=2(1-β)λDU[(1-β)λDU+(1-βD)λDD+

(6)

λDD+λSD)

λDD+λSD)

(7)

鼓風機安全聯(lián)鎖系統(tǒng)的硬件約束機構(gòu)見表6(數(shù)據(jù)引自SINTEF)，可以看出，聯(lián)鎖系統(tǒng)的硬件結(jié)構(gòu)約束滿足SIL1要求。

表6 硬件系統(tǒng)約束結(jié)構(gòu)

將表7的數(shù)據(jù)代入式(5)～(7)，可得PFD傳感器=2.634×10-3，PFD控制器=1.411×10-4，PFD風門=1.931×10-2，PFD電磁閥=7.017×10-3，PFD引風機=1.7536×10-3，PFD執(zhí)行機構(gòu)=1.0705×10-1，由式(2)可得PFDSIF=1.10×10-1。

表7 數(shù)據(jù)分析

分析得知，所要驗證的聯(lián)鎖回路為SIL0，未達到要求的SIL1要求。

根據(jù)權(quán)威數(shù)據(jù)統(tǒng)計分析，SIS功能回路的傳感單元、邏輯單元和執(zhí)行單元對整個聯(lián)鎖回路PFD的貢獻比例分別為35%、15%和50%；圖5顯示，本聯(lián)鎖回路中執(zhí)行器單元(98%)比例遠大于統(tǒng)計平均值，說明執(zhí)行器制約了整個回路的SIL等級，因此提出下列建議：

a. 對聯(lián)鎖回路的執(zhí)行機構(gòu)(快開風門)部分增設(shè)冗余結(jié)構(gòu)，降低該部分要求時的失效概率，重視日常檢查維護；

b. 換用可靠性較高的執(zhí)行機構(gòu)(引風機控制閥)；

c. 縮短檢驗測試時間間隔，改兩年一檢為一年一檢(TI為8 760h)，即可滿足回路要求的SIL1等級。

圖5 PFD貢獻率

3 結(jié)束語

以某化工裝置脫酸爐鼓風引風系統(tǒng)的一個聯(lián)鎖回路作為評估對象，得出其SIL等級并未達到設(shè)計安全要求，指出了制約整個聯(lián)鎖回路SIL等級的薄弱環(huán)節(jié)，提出增設(shè)冗余或縮短周期檢驗等具體措施來提高聯(lián)鎖回路的安全功能。為企業(yè)找到潛在的安全隱患，提高了裝置的安全水平。因此，進行SIS的SIL等級評估為保障安全相關(guān)系統(tǒng)執(zhí)行其特定的安全功能提供了系統(tǒng)科學的方法，也提高了企業(yè)裝置的本質(zhì)安全水平，評估結(jié)果也證明了進行SIS評估工作的必要性。

[1] 朱建新,方向榮,莊立健,等.安全完整性技術(shù)(SIL)在我國石化裝置上的應(yīng)用實踐及思考[J].化工自動化及儀表,2012,39(10):1253～1259.

[2] 施建設(shè).石油化工裝置中本質(zhì)安全設(shè)計淺析[J].石油化工自動化,2016,52(4):21～24.

[3] 崔永青,宋旭.安全管理系統(tǒng)在石化企業(yè)的應(yīng)用初探[J].石油化工自動化,2016,52(2):18～20.

[4] 徐忠儀.安全儀表系統(tǒng)(SIS)的SIL評估[J].化工自動化及儀表,2009,36(5):62～66.

[5] 郭宏偉,韓國祥.加熱爐爐管膨脹變形原因分析[J].化工機械,2010,37(1):107～108.

[6] 莊力健,朱建新,方向榮,等.典型石化裝置加熱爐聯(lián)鎖系統(tǒng)安全完整性評估與現(xiàn)狀[J].化工自動化及儀表,2015,42(1):31～35.

[7] 孫金玲.提高SIS安全完整性等級的措施[J].石油化工自動化,2016,52(3):10～12.

[8] IEC61508,Functional Safety of Electrical/Electronnic/Programmable Electronic Safety-Related Systems[S].Geneva:IEC,2000.

[9] 吳寧寧,陳瞭,吳明光,等.安全儀表系統(tǒng)的Markov建模方法研究[J].計算機與應(yīng)用化學,2009,26(6):821～824.

[10] 靳江紅,吳宗之,趙壽堂,等.安全儀表系統(tǒng)的功能安全國內(nèi)外發(fā)展綜述[J].化工自動化及儀表,2010,37(5):1～6.

[11] Omeiri H,Innal F,Hamaidi B.Safety Integrity Evaluation of a Butane Tank Overpressure Evacuation System According to IEC61508 Standard[J].Journal of Failure Analysis and Prevention,2015,15(6):892～905.

[12]IEC61511,Functional Safety—Safety Instrumented Systems for the Process Industry Sector—Part1[S].Geneva:IEC,2000.

[13] AQ/T 3054,保護層分析(LOPA)方法應(yīng)用導(dǎo)則[S].北京:國家安全生產(chǎn)監(jiān)督管理總局,2015.

[14] 奚悅.基于貝葉斯網(wǎng)絡(luò)的安全儀表系統(tǒng)安全完整性等級驗證研究[D].重慶:西南大學,2014.

SILEvaluationofInducedDraftSystemforBlastFurnace

LU Shuai1a, WANG Xiao-tian1b, WANG Bin2

(1a.CollegeofChemicalEngineering;1b.CollegeofMechanicalandElectronicEngineering,ChinaUniversityofPetroleum(EastChina);2.CNPCFushunPetrochemicalCorporation)

Regarding the SIL evaluation of safety instrumented system(SIS) in the induced draft system for blast furnace of a chemical plant, having protective layer analysis(LOPA) method adopted to determine the level and the reliability block diagram used to verify the reliability were implemented to show that, the existing SIL level of the safety instrumented interlock circuit fails to meet the requirements. The suggestions for the installation and maintenance were presented.

SIL, SIS, induced draft system, LOPA, installation and maintenance requirements

路帥(1970-)，副教授，從事化工安全技術(shù)的研究,lushuai1970@163.com。

TH862+.7

A

1000-3932(2017)03-0291-06

2016-04-21，

2016-12-09)

(Continued from Page 238)

220V(AC) power supply in petrochemical plant, the power supply scheme of adopting STS (static transfer switch ) to switch to another UPS was discussed and the conditions of STS switching was analyzed. The method of reducing or avoiding the surge voltage disturbance incurred by inductive load to instrument system and the capacitive load damage brought by main or standby power phase deviation at the moment of STS switching was put forward. STS application can improve the reliability of power supply.

Keywordsinstrument system, STS,surge, impulse current