路 帅 王效天 王 彬

(1.中国石油大学(华东)a.化学工程学院；b.机电工程学院；2.中国石油天然气股份有限公司抚顺石化分公司石油一厂)

高炉鼓风引风系统安全完整性等级评估①

路 帅1a王效天1b王 彬2

(1.中国石油大学(华东)a.化学工程学院；b.机电工程学院；2.中国石油天然气股份有限公司抚顺石化分公司石油一厂)

对某化工装置脱酸炉鼓风引风系统进行安全仪表系统的安全完整性等级评估。采用保护层分析方法进行等级确定，利用可靠性框图进行验证，得出现有安全仪表联锁回路的安全完整性等级没有达到要求的安全完整性等级目标的结论，并提出了对应的安装建议和维护要求。

SIL SIS 鼓风引风系统 保护层分析 安装维护要求

随着自动化技术的发展，安全仪表系统(SIS)越来越广泛地应用于石化装置中，保障装置发生故障后使后果严重性降到最低，取得了良好的经济效益和社会效益。目前还有很多化工厂没有配置用于过程控制的SIS或SIS配置结构不合理的现象依然严重，调查发现，在影响装置安全的关键联锁回路中，约19%存在安全完整性级别(SIL)不足的问题，关键联锁误跳车过高(占35%)，与国外相比，我国石化装置联锁系统SIL不足的比例更高一些[1～3]。根据国外公司的数据统计显示，所有的SIS中，联锁合理的仅占40%～45%[4]。因此，同步加强和规范SIS管理显得十分必要。《国家安全监管总局关于加强化工安全仪表系统管理的指导意见》也进一步指出我国要进行SIS评估工作。

加热炉是石油石化炼厂装置的典型设备，是各反应器内反应所需能量的重要来源。一般加热炉工作条件苛刻，温度高达700℃、压力可至17MPa。近年来，由于加热炉炉管或附属管道失效导致的严重事故频发，炉管和附属管道的失效将导致严重事故并产生巨额的停产损失[5]。2009年，某石化公司加氢裂化装置氢气加热炉因炉管局部超温，引起高温塑性破坏并引发大火。

为保障加热炉的正常运行，设计、生产和使用单位都采取了一系列保护措施，但对附加联锁保护措施的设置多是人为根据经验定性分析，不能定量确定联锁设置的合理和有效性。因此，对加热炉安全联锁系统进行定量评估，从而合理、有效地设置安全联锁系统，在确保安全的前提下，尽可能地降低误跳车概率，保障加热炉安全稳定运行，已成为当前迫切需要解决的问题[6,7]。加热炉的鼓风、引风机作为加热炉余热回收系统的重要组成部分，如果发生故障将直接影响整个加热炉的安全状态。笔者对加热炉联锁系统中鼓风引风联锁回路做定量分析，为加热炉联锁系统的设计与改进提供参考。

1 安全完整性等级

SIS是一种自动控制系统，当工艺参数触发设定的联锁动作值时，就会执行设定的切断动作，防止危险事件发生。安全完整性就是衡量SIS在规定的条件下和规定的时间内，成功实现所要求的安全功能的概率[8]。安全完整性水平不仅是安全系统安全性能的衡量标准，而且是整体安全生命周期中的主线[9]，选择时应衡量好安全功能与经济效益，过高会造成成本的浪费，过低会使风险不可接受。

国外对功能安全评估的研究较早，陆续出台了一系列相关国际和国家标准，如1994年德国发布了DINV19250、1996年美国仪表协会发布了ANSI/ISA S84-2004、2000年国际电工委员会发布了IEC61508/61511等。我国于2007年引入了IEC61508/61511标准，并等同转化了GB/T 20438、GB/T 21109标准，用于指导我国的SIS安全完整性评估工作[10]。SIL评估包括SIL定级和SIL验证两部分。

根据IEC61508的要求，SIL整个评估流程简图[11]如图1所示。

图1 SIL评估流程

为了衡量SIS的安全完整性，SIL等级划分见表1(摘自 IEC61511-1[12])，其中低需求模式——SIS动作需求的频率低于一年一次或小于二倍的检验测试频率；高需求模式(连续模式)——SIS动作需求频率高于一年一次或大于二倍的检验测试频率。

表1 SIL等级划分

1.1 SIL定级

根据GB/T 20438推荐的方法，采用保护层分析法(LOPA)进行SIS的SIL等级确定，定级流程如图2所示。SIL定级分析的主要目标是：

a. 明确设计的安全功能；

b. 确定要求的安全仪表功能(SIF)；

c. 确定与各SIF相关的所需达到的SIL等级；

d. 确定与各SIF相关的目前达到的SIL等级；

e. 筛选未达到SIL等级要求的SIF，提出相应的建议和措施；

f. 对于未安装联锁系统的危险工艺工程提出安装建议和具体的SIL等级。

图2 SIL定级流程

LOPA分析场景频率的计算式为：

(1)

式中fiC——初始事件i的后果C的发生频率，a；

fiI——初始事件i的发生频率，a；

Pd——人员伤亡概率；

Pex——人员暴露概率；

Pig——点火概率；

Pu——使用率；

由于部分装置的设备并不是连续使用的， LOPA法应用导则[13]在使能条件类型里面未加入设备使用率的修正条件。在此，根据设备的使用时间加入使用率的概念，由于加热炉鼓风机为连续工作，因此使用率取值为1。

1.2 SIL验证

SIL等级确定后，还要进一步对SIL等级进行验证，以确定所需等级是否达到需要的级别，确保可以执行所需的安全功能。SIL验证是指依据当前联锁回路的传感器、逻辑控制器和最终元件的逻辑结构和可靠性数据计算当前的失效概率，进而确定其实际SIL是否满足SIL要求[8]。可以表示为：

PFDSIF=PFDS+PFDL+PFDFE

(2)

式中PFDFE——执行机构单元要求的平均失效概率；

PFDL——逻辑控制器单元要求的平均失效概率；

PFDS——传感器单元要求的平均失效概率。

在功能安全评估中，硬件安全完整性的安全功能所声明的最高SIL等级，受限于硬件故障裕度和执行该安全功能的安全失效分数。IEC61508标准[8]规定了SIL等级与系统结构的约束关系见表2。

《民本思想的发展逻辑及其当代价值》一书，构架缜密，材料翔实，方法得当，文字流畅，反映了作者较强的理论功底和研究能力。如果作者在民本思想与当代中国特色社会主义实践结合上能作更多一些阐述，该书的现实意义就会更加彰显。相信作者会有后续的研究工作。

表2 SIL等级与系统结构的约束关系

硬件故障裕度N表示N+1个故障将导致安全功能的丧失，如，当SFF为75%，需要的安全完整性为SIL2，那么硬件故障裕度至少为1。因此，SIS需要SIL的确定也要满足硬件结构要求。SFF的计算公式为：

SFF=(∑λs+∑λDD)/(∑λs+∑λD)

(3)

常见的验证方法有可靠性框图法(RBD)、故障树法(FTA)及马尔科夫模型(Markov)[14]等，每种方法都有各自的优缺点。

可靠性框图是一种传统的可靠性分析方法，用图形方式表示系统内部件的串并联关系，具有简单、清晰、直观的特点。但它反映的关系是系统中设备之间在可靠性上的结构关系，而不是系统组成结构的关系。

故障树分析是常用的SIS可靠性评估方法，用图形展示事件间的发展关系，结构直观，初始事件与最终故障之间的逻辑关系明确。故障树的分析一般只考虑事件的双面性(正常与故障状态)，难以描述多状态事件。

建模灵活是马尔科夫分析的主要优点，SIF所有重要方面都可包含在模型中。一旦马尔科夫模型构建出来，并且所有信息都是有效的，即可计

算出需要的失效率PFD。马尔科夫模型的构建需要对模型较熟悉且有较好的数学基础，对人员的素质要求较高。

综合比较3种方法的优缺点，由于鼓风机安全联锁回路结构较简单，因此选用在工程实践应用较多的可靠性框图验证其SIL等级。

2 脱酸炉鼓风引风系统评估

鼓风引风机是加热炉余热回收系统的重要设备，该脱酸炉燃料分为燃料油和燃料气两部分共烧，鼓风机为脱酸炉提供预热的正压空气，一旦鼓风机故障停机，燃料气无法燃烧将在炉膛内积聚，达到爆炸极限，就极有可能发生脱酸炉爆炸事故。为防止此类事故的发生，脱酸炉增加了一套鼓风引风系统压力低低联锁系统(图3)，当压力传感器检测到鼓风机出口管道压力低于设定值时，逻辑控制器一方面打开脱酸炉底部的快开风门进行自然通风，给炉膛提供空气，另一方面会关停引风机，通过一系列的联锁动作使系统避免发生爆炸事故。

图3 脱酸炉鼓风引风系统简图

针对这套鼓风机联锁系统进行SIL评估。根据评估流程，定级分析结果见表3。其中，人员暴露概率按年操作工时8 000h，2h巡检一次，一次停留5min；造成人员死亡的容忍标准为一年1×10-5。

表3 SIL定级分析结果

对照表1、3，得出鼓风机出口管道压力低低联锁为SIL1。

分析鼓风机联锁回路的结构，选取在工程应用较多的可靠性框图进行SIL验证。鼓风机联锁回路逻辑如图4所示。可以看出，传感器部分为1oo1结构，查阅相关资料，逻辑控制器为1oo2D结构，执行机构引风机为1oo1结构，快开风门为4oo4结构。验证过程涉及的参数见表4，详细设备信息见表5。然后单独分析计算每一部分要求的失效概率，快开风门和引风机要求的失效概率加起来的和为执行机构要求的失效概率。

图4 鼓风引风系统联锁回路逻辑

参数解释单位参数解释单位λD子系统中通道的危险失效率h-1MTTR平均恢复时间hλDD检测到的子系统通道危险失效率h-1DC诊断覆盖率-λDU未检测到的子系统通道危险失效率h-1β未检测到的失效分数-λSD检测到的子系统通道安全失效率h-1βD检测到的失效分数-λSU未检测到的子系统通道安全失效率h-1CD可检测的危险失效覆盖率-TI检验测试时间间隔hCS可检测的安全失效覆盖率-SFF安全失效分数-HTF硬件故障裕度-

表5 设备信息

根据IEC61508中可靠性框图[8]用法的规定，对不同结构通道的相关参数表达式如下。

1oo1结构通道的等效平均停止工作时间表示为：

(4)

1oo1结构在要求时的平均失效概率可近似为：

PFD=(λDU+λDD)tCE

(5)

1oo2D结构在要求时的平均失效概率可近似为：

PFDG=2(1-β)λDU[(1-β)λDU+(1-βD)λDD+

(6)

λDD+λSD)

λDD+λSD)

(7)

鼓风机安全联锁系统的硬件约束机构见表6(数据引自SINTEF)，可以看出，联锁系统的硬件结构约束满足SIL1要求。

表6 硬件系统约束结构

将表7的数据代入式(5)～(7)，可得PFD传感器=2.634×10-3，PFD控制器=1.411×10-4，PFD风门=1.931×10-2，PFD电磁阀=7.017×10-3，PFD引风机=1.7536×10-3，PFD执行机构=1.0705×10-1，由式(2)可得PFDSIF=1.10×10-1。

表7 数据分析

分析得知，所要验证的联锁回路为SIL0，未达到要求的SIL1要求。

根据权威数据统计分析，SIS功能回路的传感单元、逻辑单元和执行单元对整个联锁回路PFD的贡献比例分别为35%、15%和50%；图5显示，本联锁回路中执行器单元(98%)比例远大于统计平均值，说明执行器制约了整个回路的SIL等级，因此提出下列建议：

a. 对联锁回路的执行机构(快开风门)部分增设冗余结构，降低该部分要求时的失效概率，重视日常检查维护；

b. 换用可靠性较高的执行机构(引风机控制阀)；

c. 缩短检验测试时间间隔，改两年一检为一年一检(TI为8 760h)，即可满足回路要求的SIL1等级。

图5 PFD贡献率

3 结束语

以某化工装置脱酸炉鼓风引风系统的一个联锁回路作为评估对象，得出其SIL等级并未达到设计安全要求，指出了制约整个联锁回路SIL等级的薄弱环节，提出增设冗余或缩短周期检验等具体措施来提高联锁回路的安全功能。为企业找到潜在的安全隐患，提高了装置的安全水平。因此，进行SIS的SIL等级评估为保障安全相关系统执行其特定的安全功能提供了系统科学的方法，也提高了企业装置的本质安全水平，评估结果也证明了进行SIS评估工作的必要性。

[1] 朱建新,方向荣,庄立健,等.安全完整性技术(SIL)在我国石化装置上的应用实践及思考[J].化工自动化及仪表,2012,39(10):1253～1259.

[2] 施建设.石油化工装置中本质安全设计浅析[J].石油化工自动化,2016,52(4):21～24.

[3] 崔永青,宋旭.安全管理系统在石化企业的应用初探[J].石油化工自动化,2016,52(2):18～20.

[4] 徐忠仪.安全仪表系统(SIS)的SIL评估[J].化工自动化及仪表,2009,36(5):62～66.

[5] 郭宏伟,韩国祥.加热炉炉管膨胀变形原因分析[J].化工机械,2010,37(1):107～108.

[6] 庄力健,朱建新,方向荣,等.典型石化装置加热炉联锁系统安全完整性评估与现状[J].化工自动化及仪表,2015,42(1):31～35.

[7] 孙金玲.提高SIS安全完整性等级的措施[J].石油化工自动化,2016,52(3):10～12.

[8] IEC61508,Functional Safety of Electrical/Electronnic/Programmable Electronic Safety-Related Systems[S].Geneva:IEC,2000.

[9] 吴宁宁,陈瞭,吴明光,等.安全仪表系统的Markov建模方法研究[J].计算机与应用化学,2009,26(6):821～824.

[10] 靳江红,吴宗之,赵寿堂,等.安全仪表系统的功能安全国内外发展综述[J].化工自动化及仪表,2010,37(5):1～6.

[11] Omeiri H,Innal F,Hamaidi B.Safety Integrity Evaluation of a Butane Tank Overpressure Evacuation System According to IEC61508 Standard[J].Journal of Failure Analysis and Prevention,2015,15(6):892～905.

[12]IEC61511,Functional Safety—Safety Instrumented Systems for the Process Industry Sector—Part1[S].Geneva:IEC,2000.

[13] AQ/T 3054,保护层分析(LOPA)方法应用导则[S].北京:国家安全生产监督管理总局,2015.

[14] 奚悦.基于贝叶斯网络的安全仪表系统安全完整性等级验证研究[D].重庆:西南大学,2014.

SILEvaluationofInducedDraftSystemforBlastFurnace

LU Shuai1a, WANG Xiao-tian1b, WANG Bin2

(1a.CollegeofChemicalEngineering;1b.CollegeofMechanicalandElectronicEngineering,ChinaUniversityofPetroleum(EastChina);2.CNPCFushunPetrochemicalCorporation)

Regarding the SIL evaluation of safety instrumented system(SIS) in the induced draft system for blast furnace of a chemical plant, having protective layer analysis(LOPA) method adopted to determine the level and the reliability block diagram used to verify the reliability were implemented to show that, the existing SIL level of the safety instrumented interlock circuit fails to meet the requirements. The suggestions for the installation and maintenance were presented.

SIL, SIS, induced draft system, LOPA, installation and maintenance requirements

路帅(1970-)，副教授，从事化工安全技术的研究,lushuai1970@163.com。

TH862+.7

A

1000-3932(2017)03-0291-06

2016-04-21，

2016-12-09)

(Continued from Page 238)

220V(AC) power supply in petrochemical plant, the power supply scheme of adopting STS (static transfer switch ) to switch to another UPS was discussed and the conditions of STS switching was analyzed. The method of reducing or avoiding the surge voltage disturbance incurred by inductive load to instrument system and the capacitive load damage brought by main or standby power phase deviation at the moment of STS switching was put forward. STS application can improve the reliability of power supply.

Keywordsinstrument system, STS,surge, impulse current