鲁 兵,李 峰,张运涛
(兰州石化公司检维修中心,甘肃 兰州 730060)
关键字:延迟焦化;加热炉;进料流量;联锁
按照安全仪表系统(Safety Instrumented System,SIS)全生命周期的管理要求,对于在役生产装置的SIS 系统,必须进行安全完整性等级(Safety Integrity Level,SIL)验证工作[1]。核算当前配置SIL 的实际能力,是否满足装置需要的安全仪表功能(Safety Instrumented Function,SIF)的SIL 等级要求,根据SIL 能力过高或过低,进行合理配置SIF 的SIL 能力的整改,同时计算当前配置SIF 的误动作率(Spurious Trip Rate,STR)或平均失效时间(Mean Time Between Failures,MTTFS),调整完善SIF 结构或参数选型,以满足装置设计对误停车性能的要求,为生产装置长周期可靠运行保驾护航。根据原国家安全监管总局《关于加强化工安全仪表系统管理的指导意见》(安监总管三〔2014〕116 号)文件的要求,2017 年对延迟焦化装置SIS 系统进行了安全评估。本研究从SIL 评估结果出发,对加热炉进料流量低低联锁回路进行分析。
加热炉(F7101)是延迟焦化装置的核心设备,它是以瓦斯气为燃料、带空气预热器强制供风的箱式炉,塔底焦化油在350 ℃条件下,经进料泵(P102)抽出四路打入加热炉(F7101)快速升温到500 ℃左右,出炉后汇成一路经四通阀(SV01)进入焦炭塔底部。其炉出口的温度达到了渣油裂解缩合反应温度,但是炉管容易结焦,为了防止在异常情况下处理不及时,造成炉管结焦或烧坏炉管的事故,对进加热炉的焦油流量等关键参数设置了联锁条件,以用来保护加热炉的平稳生产运行,工艺流程如图1 所示。
图1 加热炉进料工艺流程图
加热炉进料流量联锁回路容易误动作,所以联锁回路一直处于旁路状态,主要有以下原因。
加热炉进料流量采用“一取一”联锁逻辑,只要检测信号达到低低联锁信号,就执行主燃料气切断的联锁动作,联锁逻辑描述如表1 所示;现场仪表信号经过安全栅处理后,输出两路分别进入自分布式控制系统(Distributed Control System,DCS)和SIS,流量变送器仪表回路接线方式如图2 所示。
图2 接线方式
表1 进料流量低低联锁逻辑
加热炉进料流量控制、加热炉进料流量低低联锁共用现场仪表属于早期的设计思路。由图3 可知,控制阀控制信号来自DCS 系统,气路切断信号来自SIS 系统。GB/T 20438—2006《电气/电子/可编程电子安全相关系统的功能安全》规定,在可能的情况下,应将安全相关功能与非安全相关功能隔开[2]。IEC 61511—2007 《过程工业领域安全仪表系统的功能安全》规定,如果不希望DCS 遵循本标准,那么DCS 设计就应隔离,并独立于SIS 之外,确保SIS 的功能完整性[3]。ANSI/ISA-S 84.01—1996《美国国家标准学会/美国仪表学会标准 各行业中安全仪表系统的应用》规定,在DCS 与SIS 功能之间提供隔离,通常是必须的,为满足安全功能和安全完整性要求,在四个方面提供隔离也是必要的:控制器、现场传感器、最终控制元件,以及其他设备之间的通讯。由此可见,在本装置设计之初,并没有参考相关标准。
图3 DCS 与SIS 共用现场设备示意图
(1)原料中夹杂的固体块状物容易引起楔形流量计测量元件以及测量膜盒受影响,造成仪表失灵,导致联锁动作。
(2)进加热炉进口的温度很高,测量元件容易结焦,对仪表测量有影响,导致联锁动作。
(3)控制阀失灵的故障导致流量降低,造成加热炉某一路进料达到联锁值,导致联锁动作。
加热炉进料流量控制属于单回路控制,由于操作参数受上游影响较大,控制参数调节范围大。加热炉进料泵有抽空现象,也会导致进料流量都达到联锁值,造成联锁动作。
本研究设计了“四取三”加延时的联锁变更方案,变更后联锁逻辑如图4 所示,风险辨识如下。
图4 变更后联锁逻辑
加热炉进料有四路,而且四路进料流量一致,若出现单路控制阀失灵故障,参考其他三路流量可以及时判断出控制阀故障。另外,加热炉进料流量有报警,操作人员也能及时发现,此时可以改控制阀副线操作,联系仪表人员进行维修,不影响加热炉的正常运行。
若出现单路控制阀与仪表同时故障,无法通过其他三路流量来判断,报警也起不到作用,此时,操作人员只能通过加热炉对流室压力及此路炉出口温度判断,若都未判断出,最终会因燃料气压力低低而触发联锁,也能起到保护作用。因为燃气压力与炉出口温度为串级控制,流量中断,导致炉出口温度会持续上升,串级控制主回路温度控制自动调节输出降低;串级控制副回路压力控制,因为设定值降低,压力控制阀减小开度,最终导致压力降低,触发低低联锁,起到了保护作用。
若出现单路仪表故障的情况,可以参考其他三路流量和进料泵出口流量进行分析判断,还可以参考对应炉管加热炉出口温度和压力进行判断,“四取三”可以完全避免了仪表故障而引发的联锁误动作。
若出现加热炉进料泵抽空的情况,加热炉四路进料流量都会触发联锁,“四取三”可以满足保护加热炉要求。通过将“一取一”联锁逻辑改为“四取三”,为避免流量出现闪量触发联锁情况,增设了延时动作,将延时时间设置为3 秒。
延迟焦化装置SIL 评估以装置的危险与可操性分析(Hazard and Operability,HAZOP)报告和当前的安全联锁为基础,结合同类装置安全仪表系统的运行和经验,依据GB/T 20438—2006、GB/T 21109—2007 标准,针对装置需要保护的危险场所进行了保护层分析(Layer of Protection Analysis,LOPA),确定了SIF、SIL 等级;运用exSILentia 软件分析平台,核算验证了当前配置的SIS 系统SIF 的SIL 等级;利用马尔科夫模型进行了误停车指标分析,计算出每个联锁回路误停车率。其中,加热炉进料联锁回路SIL 评估结果如表2 所示,四个支路定级为SIL1,检测部件为单测点,SIL 验证合格,误停车指标合格,但是MTTFS 为17.67 年,接近下限值15 年,其误停车概率需要进一步减小。
表2 延迟焦化装置SIS 系统加热炉进料流量低低SIL 评估结果
目前四路联锁全部处于投用状态。但是,装置运行至今也没有出现过三路进料流量低低的情况,此方案解决了误动作的问题。但是,如果有任意两路,就是因为炉管结焦严重,导致流量下降,加热炉出口温度处于调节状态中,炉管继续加热,此时再对其进行逐一分析,有可能贻误时机,将引发不可预测的情况。另外,加热炉四路进料在加热炉中运行是独立的,虽然减少了误动作,但是无法实现单支流量低低时的联锁保护功能,建议采取以下改进方法。
(1)加热炉进料调节每个回路设置最小阀位限制,以免因调节回路的大幅度调整导致阀门关的太小,造成入炉流量太小。最小阀位限制仅在调节回路自动状态时有效,手动状态不受影响。
(2)加热炉进料流量低低四个支路,每个支路增加两个流量测点,与原测点构成“三取二”。