庄力健 朱建新 方向荣 袁文彬 亢海洲

(合肥通用机械研究院，合肥 230031)

加热炉是加氢裂化等典型石化装置中的一个重要设备，是各反应器内反应所需能量的重要来源。一般加热炉工作条件苛刻，温度高达550℃、压力可至17MPa，炉管和附属管道的失效将导致严重事故并引起巨额的停产损失[8]。近年来，因加热炉(包括附属管道)失效导致的严重事故频发。2008年，某石化公司加氢裂化装置炉区管道因腐蚀减薄引起泄漏并引发大火。2009年，某石化公司加氢裂化装置氢气加热炉因炉管局部超温，引起高温塑性破坏并引发大火。为确保加热炉的安全，生产和使用单位为其设置了一系列安全保护措施。但是目前加热炉安全联锁系统的设置主要依据以往的经验，采用定性分析来确定，无法确定其安全完整性等级是否合适。但随着石油化工产业的发展，仅靠经验和定性分析已不能满足工程实际的需求，对加热炉安全联锁系统进行定量评估，从而合理、有效地设置安全联锁系统，在确保安全的前提下，尽可能地降低误跳车概率，使加热炉安全稳定运行，已成为当前迫切需要解决的问题。

从2004年开始，合肥通用机械研究院开始开展联锁系统安全完整性评估理论和工程应用研究[9～11]，已累计对数个石化工厂二十多套装置进行了安全完整性等级评估，同时形成了加热炉联锁系统安全完整性等级评估技术，运用该技术累计对5台典型加热炉安全联锁功能(SIF)进行了详细的功能安全完整性评估，实现了典型石化装置加热炉联锁系统安全完整性等级的定量计算，有效地指导了加热炉联锁系统的设计与改进。

1 加热炉安全完整性等级评估①

针对加氢裂化装置等典型石化装置加热炉，攻克了加热炉联锁系统的充分必要性、联锁的完整性要求与可靠性水平分析技术，误跳车定量计算方法等技术难题，形成了加热炉联锁系统安全完整性等级评估方法，其流程如图1所示。

图1 加热炉SIL评估流程

1.1 风险标准的确定

将Shell的风险标准确定方法引入到国内，建立了基于我国国情的、考虑安全完整性要求的风险控制矩阵RAM定量分析方法，采用该方法可分析确定出各加热炉的风险控制矩阵RAM。

1.2 加热炉联锁的充分必要性

1.2.1加热炉的危险情况分析

加热炉炉膛闪爆。一直以来，加热炉炉膛闪爆事故屡有发生。加热炉闪爆的主要原因有：加热炉在开工点火时，炉膛内泄漏有燃料气，未吹扫干净；点炉时在未点燃长明灯的情况下，先送入燃料气；在生产过程中加热炉因故障突然熄火(燃料气压力过低等)，导致燃料气在炉膛内积聚，当浓度达到爆炸极限或遇明火时发生爆炸。加热炉闪爆事故往往造成人员伤亡和巨大的经济损失，故需合理配置相应的联锁以防止此类事故的发生。

二里半把烟袋给老太太吸，她拿过烟袋，连擦都没有擦，就放进嘴去。显然她是熟悉吸烟，并且十分需要。她把肩膀抬得高高，她紧合了眼睛，浓烟不住从嘴冒出，从鼻孔冒出。那样很危险，好像她的鼻子快要着火。

加热炉出口温度过高导致反应异常。加热炉一般是各装置中反应器反应所需能量的重要来源，若加热炉出口温度过高，会引起反应异常。以加氢裂化装置为例，裂化反应为链式反应，总效应是大量放热的反应过程，反应温度增加又进一步加快了反应速度，释放的反应热量也相应增加，温度的变化对床层温升的变化非常明显，故温度是加氢裂化过程必须严格控制的操作参数。反应器进口温度(加热炉出口温度)过高，有可能导致反应器飞温。反应器发生飞温时，可在极短时间内使反应器温度超过425℃，甚至超过880℃，反应器飞温轻则造成催化剂烧结失去活性或者损坏反应器内构件，重则可导致器壁损坏、高压换热器泄漏、甚至引发着火爆炸等恶性事故，故合理有效地设置加热炉出口温度高高联锁是非常有必要的。

加热炉炉管失效导致事故后果扩大。加氢裂化装置加热炉炉管失效事故时有发生，如联锁系统设置不当，将导致事故后果的扩大，如某石化厂加氢裂化装置氢气加热炉出口配管上未设置单向阀，当炉管因局部超温导致开裂时，反应器内物料(油、油气及氢气等)反串，引发大火，加重了事故后果。该事故使装置停产将近一个月，造成了巨大的经济损失。故合理有效地设置联锁系统，将会使加热炉炉管失效后的损失降到最低。

1.2.2联锁的充分必要性分析

目前常见的加氢裂化等典型石化装置加热炉联锁主要包括以下三大类：反应器入口(加热炉出口)温度高于联锁值时，停炉；加热炉燃料气压力低于联锁值时，停炉；加热炉入口物料流量低于联锁值时，停炉。

当反应器入口温度过高时，以加氢裂化装置为例，如无相应的联锁，则极有可能导致反应器飞温。如通过联锁停炉，则可使进入反应器内的物料温度下降，除引起部分产品品质下降外，不会导致装置停车，故极有必要设置该联锁。

当燃料气压力过低时，有可能导致炉内燃料气供应中断，炉膛熄火，若燃料气中断后重新供应，将在炉膛内积聚，此时遇明火或浓度达到爆炸极限将导致闪爆，往往引起人员伤亡，并造成装置停车，引发巨额经济损失，故合理有效地设置燃料气压力低低联锁，是非常必要的。

当加热炉入口物料流量过低时，会导致加热炉炉管干烧，进而引起炉管破裂甚至引发大火，极有可能导致人员伤亡，同时造成装置停车，引发巨额经济损失。如加热炉入口物料流量过低时通过联锁及时停炉，则只会导致部分产品品质下降，不会导致装置停车，因此该联锁也是不可或缺的。

当加热炉炉管破裂引发大火时，如联锁设置不当，将导致反应器内物料反串，从而引发灾难性事故。故应合理设置炉管失效后果控制联锁，使炉管破裂失效后后果可控，将损失降低到最小程度，使装置尽快恢复生产。

1.3 安全联锁功能识别和所需安全完整性等级的确定

依据IEC61511中对安全联锁功能的定义[5]，遵循充分性与必要性原则可识别出各加热炉的安全联锁功能。同时通过定量分析加热炉的失效模式，定量计算安全联锁功能的失效后果，依据安全联锁功能的需求率，对照风险控制标准，即可确定出加热炉各安全联锁功能所需的安全完整性等级。

1.4 联锁系统安全完整性等级分析计算

1.4.1安全保护层分析

在安全完整性等级的研究和工程应用中，提出了考虑安全完整性要求的保护层分析技术，依据该技术分析得出了加热炉常见的安全保护层及其安全保护能力，见表1。

表1 加热炉的安全保护层及安全保护能力

1.4.2安全联锁系统安全完整性等级分析计算

操作模式的确定。在IEC61508中，定义了两种操作模式：指令操作模式和连续操作模式[4]。在过程工业中，联锁系统在BPCS常规控制失效，人工操作失误及工艺异常等工况下均会出现操作要求。对于常见的加热炉，其所有联锁系统的操作模式均为指令式操作模式。

元件失效概率数据的确定。通过对多个石化工厂二十多套装置的功能安全完整性等级评估，分析、验证了元件的可靠性数据，建立了适合我国国情的失效概率数据库[11]，该数据库基本上涵盖了目前典型石化装置加热炉所采用的传感器、逻辑求解器及切断阀等元件。

硬件冗余的确定。要达到一定的安全完整性等级要求，就必须在结构上达到一定的硬件故障裕度(Hardware Fault Tolerance，HFT)，IEC61508对此有明确的规定[4]。通过评估发现，所评估的5台加热炉中所有联锁系统采用的硬件结构(裕度、安全故障份额)均满足标准要求。

安全联锁系统安全完整性等级计算。通过自主研发的《通用过程工业功能安全完整性评估系统》[10]即可计算得到加热炉各安全联锁功能可达到的安全完整性等级及平均无安全故障工作时间(两次误跳车的平均间隔时间，MTTFS)等参数。

1.5 安全联锁功能系统优化和改进

根据可接受的风险标准，评估典型石化装置加热炉的安全联锁功能是否满足装置长周期安全生产的要求，是否有联锁过度或者不足。针对达不到最低安全要求或者误跳车概率过高的安全联锁功能，提出了合理可行的改进建议，并重新计算改进后联锁功能的可靠性，确保其满足安全完整性要求。

2 加热炉联锁系统安全完整性现状

2.1 加热炉联锁系统安全完整性等级评估结果

5套加热炉，二十多个安全联锁功能(SIF)的安全完整性评估结果如图2所示。由图可见，除了加热炉B外，其余均存在误跳车过高的问题，特别是加热炉A与加热炉E。究其原因，加热炉A与E的安全完整性评估是在装置的设计制造阶段进行，加热炉生产厂家为了在异常工况下确保加热炉的安全，给加热炉设置了大量的联锁，导致加热炉的部分联锁过保护，由此将引发误跳，并导致装置非计划停车，从而影响装置的长周期安全运行；而对于已经投入使用的加热炉，部分使用厂家依据现场经验对加热炉的部分联锁进行了改进优化，大大降低了误跳车概率，但同时也带来了部分的安全隐患。

图2 加热炉联锁系统安全完整性评估结果

通过评估还发现，对于加热炉生产单位，在设置安全联锁系统时主要依据以往的经验，采用定性分析来确定，随着设备的高参数化、大型化、介质的苛刻化，仅靠经验和定性分析已不能满足工程实际的需求，由此设置的安全联锁系统无法满足安全完整性要求，导致部分联锁功能安全不足或误跳车概率过高(加热炉A)。通过安全联锁系统安全完整性等级定量评估，可实现安全联锁系统的合理、有效设置，从而确保加热炉安全稳定运行。

2.2 加热炉联锁系统典型问题和改进建议

所评估的加热炉联锁系统中安全联锁功能安全与误跳车分布状况如图3所示。

图3 加热炉联锁回路安全与误跳车分布

由图3可知，加热炉中普遍存在着安全不足(13%)和误跳过高(35%)的联锁，导致联锁无法满足完整性要求的典型问题和相应的改进建议如下。

部分联锁功能误跳车概率过高。在评估中发现，大量传感器采用1oo1的结构形式，若出现元器件抖动及电磁干扰等异常工况均会引起信号的瞬间晃动，从而引起联锁的误动作。针对该种状况，若条件允许，建议增加两只同类型的传感器，并设置为2oo3结构。如无法在传感器结构形式上进行改进，则建议对传感器发出的联锁信号进行延时以避免因元器件抖动等产生误跳车。对于一般的联锁信号，建议延时200～300ms。对于由DCS实现的联锁，其扫描周期一般为0.5～2.0s，建议延时3s左右。但应确保在延时时间内，加热炉能安全稳定运行。

部分联锁功能安全完整性等级不足。造成部分联锁功能安全完整性等级不足的主要原因为关键保护层或关键联锁的缺失，具体分析如下：

a. 关键保护层缺失。在评估中发现，部分加热炉出口配管上未设置单向阀，存在严重的安全隐患。以加氢裂化装置原料加热炉为例，对于炉前混氢结构的原料加热炉，若其介质为含硫高酸原油，极易引起炉管的腐蚀减薄，最终将引起管线爆裂，此时若未设置单向阀则可导致反应器内物料(油、油气及氢气等)反串，扩大事故后果。对于炉后混氢的加热炉，设置单向阀可有效防止在非正常工况下(如压缩机停车、加氢进料泵停车或炉管破裂时)回流导致炉管结焦损坏等后果，同样可减轻由于炉管破裂可能引起反应器内物料反串导致的事故后果。

b. 关键联锁缺失。部分加热炉未设置必要的联锁系统(如加热炉入口原料流量低低联锁等)，关键联锁的缺失将导致严重事故并引起巨额的停产损失。故极有必要通过加热炉联锁系统安全完整性等级评估，实现联锁系统的合理配置，从而确保加热炉安全稳定运行。

3 结束语

依据IEC61511标准开发了加热炉联锁系统安全完整性等级评估技术，分析了典型石化装置加热炉联锁的充分必要性，给出了5台套典型石化装置加热炉中安全完整性等级不足的、误跳车过高的及合理的安全联锁功能的分布情况，得到了加热炉联锁系统的安全完整性现状。针对安全完整性等级不足的、误跳车过高的安全联锁功能，总结归纳了典型问题并给出了相应的改进建议。研究结果对指导典型石化装置加热炉联锁系统的设置和安全完整性等级评估，解决长周期运行过程中加热炉的安全和误跳车问题具有指导作用。

[1] 宋小宁.加氢装置安全仪表系统设计[J].自动化仪表，2008，29(11):64～68.

[2] 丁振宇,朱建新,包士毅，等.LDPE装置反应器联锁系统可靠性计算方法研究[J].石油化工自动化，2010，46(1):8～12.

[3] Smith D J.Reliability, Maintainability and Risk: Practical Methods for Engineers[M].Oxford: Butterworth-Heinemann, 1997.

[4] IEC61508-2000,Functional Safety of Electrical/Electronic/Programmable Safety Related Systems[S].Geneva:International Electrotechnical Commission，2000.

[5] IEC61511-2003，Functional Safety-Safety Instrumented Systems for the Process Industry Sector[S].Geneva:International Electrotechnical Commission，2003.

[6] ANSI/ISA S84.01-1996，Application of Safety Instrumented Systems for the Process Industry[S].North Carolina: Instrument Society of America,1996.

[7] GB/T 21109-2007，过程工业领域安全仪表系统的功能安全[S]．北京：中国标准出版社，2007.

[8] 郭宏伟，韩国祥.加热炉炉管膨胀变形原因分析[J].化工机械，2010,37(1):107～108,119.

[9] 朱建新,方向荣，庄力健，等.安全完整性技术(SIL)在我国石化装置上的应用实践及思考[J].化工自动化及仪表,2012,39(10):1253～1259.

[10] 庄力健，朱建新，方向荣，等.旋转机械联锁系统安全完整性等级(SIL)评估[J].流体机械,2013,41(5)：38～43.

[11] 庄力健,朱建新,胡久韶,等.过程工业功能安全完整性评估系统的开发[C].压力管道技术研究进展精选集—第四届全国管道技术学术会议.北京：化学工业出版社，2010:223～228.

[12] Sam M.Lee′s Loss Prevention in the Process Industries:Hazard Identification,Assessment and Control[M].Oxford: Butterworth-Heinemann,2005.