常减压装置加热炉的安全仪表系统设计探讨

李莉，赵运昕，贾玉明

(中海油石化工程公司，山东 青岛 266101)

加热炉是炼油装置中提供热量的单元，是油品蒸馏、裂解及转化的核心设备，同时也是装置安全、连续稳定运行的重点监控对象。加热炉稳定运行，不仅关系到产品的合格率，还是安全生产的关键性环节。近年来，石化装置安全事故频发，对员工人身安全、企业及国家财产损失造成了不可估量的影响，为此对涉及安全生产的各方面都应引起重视。同时随着国家对环保要求越来越严格，用户更多使用天然气作为加热炉的燃料。本文仅以常减压装置管式加热炉(燃气型)的安全仪表系统设计方案进行总结，供各位同行参考。

1 加热炉的安全仪表功能(SIF)

加热炉正常稳定的生产是各子系统协调合作、综合作用的结果。任何一个子系统发生故障，都将对加热炉产生或大或小的影响。对加热炉而言，通常经过危险与可操作分析(HAZOP)、保护层分析(LOPA)、安全完整性等级(SIL)评估，最终得到其SIL评估报告，在此基础上，为加热炉各子系统设置SIF[1]。当加热炉子系统故障时，各子系统的SIF回路务必使加热炉处于安全状态，必要时将触发停炉联锁。

1.1 物料进/出管路的SIF

加热炉的进料流量过低，致使油品停留在炉管内的时间变长，一方面易使炉出口介质温度升高，影响产品质量；另一方面，常压炉、减压炉所加热的常底油、减底油属于高黏度重油，油品在炉管中滞留时间过长，容易导致炉管烧穿，存在重大的安全隐患。当加热炉各进料支路流量低低或相应出料支路温度高高时，联锁关闭主燃料气管线阀。物料进出管路的联锁方案如图1所示。

图1 物料进/出管路的联锁方案示意

1.2 燃料气系统的SIF

在生产过程中，若加热炉因意外状况突然熄火(如供气不足)，长明灯也未能燃烧，将导致燃料气在炉膛内积聚，当浓度达到爆炸极限或遇明火时会发生爆炸[2]，为此设置如下两类联锁： 主燃料气管线压力低低联锁，关闭主燃料气管线阀；长明灯管线压力低低联锁，关闭长明灯管线阀及主燃料气管线阀。

主燃料气管线压力高高将产生燃烧不充分、燃料气积聚的后果，设置如下联锁： 主燃料气管线压力高高联锁，关闭主燃料气管线阀。

1.3 炉膛的SIF

常减压加热炉的炉管是加热油品的载体，为防止炉管高温受损，设炉膛温度高高联锁，关闭加热炉主燃料气管线阀。

通常可通过调节引风机的频率或烟囱挡板的开度来维持炉膛的微负压状态，炉膛压力过高，进入炉膛的空气降低，将导致燃烧不充分，设置炉膛压力高高联锁，关闭长明灯管线阀及主燃料气管线阀。

1.4 余热回收系统[3]的SIF

加热炉的余热回收系统主要是用引风机将烟囱的烟气引出加热炉，中间利用余热回收系统使冷空气升温，以满足加热炉入口的空气温度要求。

受空气预热器材质选择的影响，为避免损坏设备，进入空气预热器的温度不得高于其受热极限。空气预热器入口烟气温度高高，联锁启用烟气旁路。

由于生产过程中的意外情况，如加热炉的空气预热器损坏，引风机入口烟气温度高于其材质受热极限时，将损坏引风机；引风机或空气预热器故障会造成引风机入口压力超高，将对炉膛压力造成波动。因此，引风机入口烟气温度高高或压力高高时，联锁启用烟气旁路[4]。

启用烟气旁路的联锁设置有多种方式，如打开烟囱密封挡板，停引风机。具体情况还应该根据锅炉专业的烟气旁路设计方案确定。余热回收系统的联锁方案如图2所示。

图2 余热回收系统的联锁方案示意

1.5 通风系统的SIF

生产过程中，若因鼓风机故障而引起风道上压力低低，必须启用自然通风，若自然通风无法实现，则应停炉。自然通风是通过烟囱的抽力以及进入快开风门的自然风实现的，因此鼓风机出口主风道上压力低低，联锁打开烟囱密封挡板、打开快开风门、停引风机和鼓风机；当联锁发生15 s后，系统未收到快开风门的全开反馈信号，联锁关闭主燃料气管线阀。

2 加热炉各子系统的SIF的SIL评估

以国内某炼厂为例，其常减压装置经过HAZOP分析、LOPA分析、SIL评估，最终得到该装置的SIL评估报告，其中该常压炉的各SIF的SIL评估结果详见表1所列；减压炉各SIF的SIL评估结果与常压炉相同。

表1 某厂常压炉SIL的评估结果

加热炉各子系统的SIL采用低要求操作模式下的平均失效概率衡量，在该模式下各子系统的平均失效概率见公式[5](1)：

PFDSYS=PFDS+PFDL+PFDFE

(1)

式中：PFDSYS——E/E/PE安全相关系统的安全功能在要求时的平均失效概率；PFDS——传感器子系统要求的平均失效概率；PFDL——逻辑子系统要求的平均失效概率；PFDFE——最终元件子系统要求的平均失效概率。

此外，PFDS，PFDFE是关于失效率、诊断覆盖率、检验测试时间间隔、平均恢复时间、失效分数的函数，并根据其子系统结构不同，而采用不同的函数公式。子系统的结构包括：“1oo1” “1oo2” “2oo2” “1oo2D” “2oo3”，其具体函数公式见IEC 61508-6： 2010Functionalsafetyofelectrical/electronic/programmableelectronicsafety-relatedsystem-part6：GuidelinesontheapplicationofIEC61508-2andIEC61508-3[6]。

3 仪表及控制阀的设置

加热炉的仪表及控制阀在选型中应对其SIL能力提出要求，根据IEC 61508，可选用基于“经验使用”的设备(不适应于SIL3)，或基于“IEC 61508认证”的设备。

SIL是对某个SIF回路风险降低能力的表征，对于子系统设备而言，无论是否取得认证机构的认证，均指其具备相应的SIL能力，即遵循IEC 61508的规定，其单个仪表完成SIF时符合对应的SIL值[7]。

3.1 SIL1级仪表及控制阀的设置

SIL1级SIF，仪表及控制阀可采用“1oo1”的结构。根据GB/T 20438.6—2006《电气/电子/可编程电子安全相关系统的功能安全 第6部分： GB/T 20438.2和GB/T 20438.3的应用指南》，该结构的平均失效概率可推导为式(2)：

(2)

式中：PFDavg——平均失效概率；λDU——未检测到的危险失效率；λD——危险失效率；T1——检验测试时间间隔；MTTR——平均恢复时间。

对于没有SIL认证的仪表及控制阀，若供货商或用户在长期(推荐1×104h及以上)、大量(推荐1×105台级别及以上)的实际应用中，通过统计，可提供相似场合仪表及控制阀的λDU，λD，T1，MTTR等基本参数供设计方使用，设计人员可根据式(2)简单核算，以判断仪表及控制阀是否满足SIL1级的要求。

根据IEC 61508的结构约束可推断： 对于类似电磁阀、安全栅、浪涌保护器、普通变送器等结构简单的A类仪表，可直接通过式(2)计算其PFDavg，并据此判断其是否满足SIL1级的要求；但对于智能变送器这种结构复杂的B类仪表，仅通过式(2)计算其PFDavg是不够的，首先应计算智能变送器的安全失效分数(SFF)，只有SFF>60%，才能通过式(2)判断其SIL的SFF的计算如式(3)所示：

SFF=(λS+λDD)/λ

(3)

式中：λS——安全失效率；λDD——检测到的危险失效率；λ——失效率。

各失效率之间的关系如式(4)和式(5)所示：

λD=λDU+λDD

(4)

λ=λD+λS

(5)

基于“IEC 61508认证”的仪表及控制阀，选型时要求其SIL应不低于SIL1。对于具有认证的仪表，设计及采购时还应该关注其认证报告中描述的各类参数、使用条件或限制。

综上所述，加热炉SIL1级SIF的仪表及控制阀推荐选用“1oo1”结构，在该结构下，变送器及控制阀的SIL不应低于SIL1。

3.2 SIL2级仪表及控制阀的设置

对于SIL2级SIF，主燃料气管线压力测量、长明灯燃料气管线压力测量、炉膛温度测量及炉膛压力测量用智能变送器，宜采用冗余的设置方式，主燃料气管线阀及长明灯管线阀宜采用冗余的设置方式[8]。

3.2.1 智能变送器的设置

传感器子系统的冗余结构可设置为：“1oo2” “2oo2”“2oo3”，其硬件故障裕度(HFT)分别为1， 0， 1。

根据IEC 61508的结构约束规定，可推断出： SIL3及以下的传感器及最终元件子系统中，各子系统结构的HFT加1，则子系统中各设备的SIL等级允许减1。例如： 若传感器子系统不采用冗余设置或其冗余结构的HFT为0，传感器的SIL必须达到SIL2，其子系统的SIL才能达到SIL2；若传感器子系统的HFT为1，各传感器的SIL只需达到SIL1，其子系统的SIL便可达到SIL2。

因此，冗余结构为“1oo2”或“2oo3”时，可选用SIL1的智能变送器；冗余结构为“2oo2”时，应选用SIL2的智能变送器。加热炉智能变送器的冗余设置不推荐应用“2oo2”结构。

根据ISA-TR84.00.02[9]，“1oo2”及“2oo3”结构的PFDavg见简化公式(6)～(7)；其误停车率(STR)见简化公式(8)～(9)：

(6)

PFDavg=λDU2T12

(7)

STR=2λS

(8)

STR=6λS2MTTR

(9)

由式(6)～(9)可见，“1oo2”结构的平均失效概率虽然较“2oo3”结构低，仍属于同一数量级；而“1oo2”结构的STR[10]却远高于“2oo3”结构，二者甚至不属于一个数量级。“1oo2”结构的优点是其设备成本低于“2oo3”结构，但误停车后造成的损失却远高于其设备成本。

对于SIL2级SIF中变送器子系统的设置应综合考虑其平均失效概率、误停车率、设备成本及用户意见，选择合适的设置方案。

综上所述，加热炉SIL2级SIF的智能变送器子系统推荐选用“2oo3”的冗余结构，在该结构下，智能变送器的SIL不应低于SIL1。

3.2.2 控制阀的设置

主燃料气管线阀的冗余设置可采用1台开关阀与1台控制阀的方案，其中控制阀还用于控制炉出口温度；长明灯管线阀的冗余方式可采用2台开关阀的设置方案。

控制阀的冗余方式采用“1oo2”结构，其HFT为1，因此控制阀的SIL不应低于SIL1。

4 逻辑控制器的设置

通常按工艺装置设置逻辑控制器，不单独为加热炉设置逻辑控制器，而据以往的SIL评估结果，常减压装置的逻辑控制器宜选用SIL2。

逻辑控制器应为冗余结构，冗余结构应根据不同的供货商选用其各自成熟的冗余模式。此外，逻辑控制器是基于LVL语言的设备，其SIL不能利用公式计算，选型时应选用经认证的产品。

5 结束语

加热炉是常减压装置中提供热量的设备，也是涉及安全生产的核心设备，在对其详尽分析的基础上，设置合理的安全仪表系统是十分必要的。本文中的现场仪表、控制阀及逻辑控制器的设置是最低标准，仅供同行参考，同时仪表及系统选型应符合相关设计规范。随着国家对安全生产越来越重视，建议装置建成后，用户根据仪表、阀门及逻辑控制器的实际参数对各SIF回路的SIL进行验证，若有不满足的回路，可通过提高子系统硬件故障裕度、设备SIL或调整检验测试时间间隔的方式解决。