基于HAZOP和LOPA分析方法的CFB鍋爐汽包液位聯(lián)鎖SIL定級

熊 浩

(中韓(武漢)石油化工有限公司,湖北武漢 430070)

1 背景

石化行業(yè)常用的熱電聯(lián)產(chǎn)鍋爐一般為3類：循環(huán)流化床(CFB)鍋爐、燃油燃?xì)忮仩t和煤粉鍋爐，鍋爐汽包液位高低聯(lián)鎖控制在基本過程控制系統(tǒng)(BPCS)中實(shí)現(xiàn)，可靠性較低，近年發(fā)生過多起因液位控制不當(dāng)引發(fā)的汽化水擊和干鍋爆炸事故。目前配套汽包液位控制的相關(guān)設(shè)計(jì)原則如下：

a) 液位高：液位高時(shí)報(bào)警，操作人員及時(shí)響應(yīng)；液位高高時(shí)，打開緊急放水電動(dòng)閥；液位高三值時(shí)，觸發(fā)鍋爐主燃料跳閘(MFT)，汽輪機(jī)組跳閘，切斷主燃料停風(fēng)停爐，但未設(shè)置液位高切斷上水的聯(lián)鎖動(dòng)作。

b) 液位低：液位低時(shí)報(bào)警，操作人員及時(shí)響應(yīng)；液位低低時(shí)，啟動(dòng)備用給水泵(母管制的除外)、降負(fù)荷、關(guān)閉定排、連排污水閥門，同時(shí)檢查緊急放水電動(dòng)閥有無誤開情況；液位低三值時(shí)鍋爐MFT觸發(fā)，切斷主燃料停風(fēng)停爐，也未設(shè)置液位低切斷上水的聯(lián)鎖動(dòng)作。

c) 液位高三值和低三值聯(lián)鎖觸發(fā)MFT，且MFT邏輯在BPCS中設(shè)計(jì)實(shí)現(xiàn)。

因此有必要采用“HAZOP+LOPA+風(fēng)險(xiǎn)矩陣”方法對CFB鍋爐進(jìn)行危險(xiǎn)與可操作性評估，確定必要的安全功能及其相關(guān)的SIL等級，從而把過程風(fēng)險(xiǎn)降低到一個(gè)可接受的水平。

2 工藝簡介

以某乙烯廠熱電聯(lián)產(chǎn)裝置CFB鍋爐為例，對汽包液位過高或過低的危險(xiǎn)性進(jìn)行分析和探討，確定聯(lián)鎖設(shè)置的必要性和完整性等級。其主要工藝過程為：

a) 裝置共設(shè)3臺(tái)CFB鍋爐，設(shè)計(jì)產(chǎn)能360 t/h超高壓過熱蒸汽(12.5 MPa,540 ℃)，鍋爐給水采用母管制，所產(chǎn)蒸汽輸往裂解裝置、空分裝置及汽輪發(fā)電機(jī)組。

b) 汽包設(shè)置了3塊液位變送器，對爐前給水管線進(jìn)行回路控制，液位高聯(lián)鎖開緊急排放閥，同時(shí)液位高三值和低三值聯(lián)鎖采用3取2的模式觸發(fā)鍋爐MFT，超高壓母管有調(diào)節(jié)閥和壓力表進(jìn)行壓力控制。

c) 汽包液位控制及聯(lián)鎖是基于Honeywell公司的EPKS R430系列DCS過程控制系統(tǒng)，實(shí)現(xiàn)超出設(shè)計(jì)工況時(shí)的緊急停爐(包括MFT)。

3 HAZOP+LOPA分析方法和風(fēng)險(xiǎn)矩陣

HAZOP+LOPA是一種半定量的方法，基本原理是HAZOP模型、保護(hù)層洋蔥模型和事件樹模型的綜合應(yīng)用。其前提是單一保護(hù)層的失效不會(huì)對其他現(xiàn)存保護(hù)層的風(fēng)險(xiǎn)降低作用造成影響。

初始事件引發(fā)過程發(fā)生偏差后，該偏差進(jìn)一步發(fā)展，按時(shí)間順序挑戰(zhàn)各獨(dú)立保護(hù)層(IPL)，當(dāng)偏差穿過各保護(hù)層漏洞并遇到合適條件就會(huì)發(fā)生安全事故。

場景的發(fā)生頻率計(jì)算公式如下：

(1)

(2)

RRF

=

F

÷

TMEL

(3)

式中：

F

——對同一類后果

C

，多場景下的累計(jì)發(fā)生頻率，次/a；

PFD

——初始事件

i

中第

j

個(gè)阻止后果

C

發(fā)生的IPL的PFD；

PFD

——系統(tǒng)要求IPL起作用時(shí)，IPL失效不能完成一個(gè)具體功能的概率；

RRF

——儀表安全功能的風(fēng)險(xiǎn)降低倍數(shù)(評估SIL等級)；

TMEL

——目標(biāo)風(fēng)險(xiǎn)降低頻率，次/a。

風(fēng)險(xiǎn)標(biāo)準(zhǔn)參照《中國石化安全風(fēng)險(xiǎn)評估指導(dǎo)意見》中“安全風(fēng)險(xiǎn)矩陣”和“后果嚴(yán)重性分級表”。

4 汽包液位高場景保護(hù)層分析

4.1 事故場景

汽包滿水事故(高三值觸發(fā)鍋爐MFT，停汽輪機(jī))是當(dāng)汽包水位嚴(yán)重超過上限，蒸汽帶水影響蒸汽品質(zhì)，進(jìn)一步滿水后，給水通過過熱器進(jìn)入蒸汽管網(wǎng)，發(fā)生汽化水擊，損壞蒸汽管道和汽輪機(jī)組，若管道破裂可導(dǎo)致高溫高壓蒸汽泄漏造成附近人員燙傷或死亡。

4.2 汽包液位高三值聯(lián)鎖定級

考慮以人為本的原則，首選人員損害進(jìn)行分析計(jì)算。根據(jù)“后果嚴(yán)重性分級表”確認(rèn)人員損害后果等級為D5，根據(jù)HAZOP分析規(guī)則需將剩余風(fēng)險(xiǎn)控制在“廣泛可接受的風(fēng)險(xiǎn)區(qū)域”,在中石化風(fēng)險(xiǎn)矩陣中，人員損害的可接受風(fēng)險(xiǎn)值為界區(qū)內(nèi)人員年度累計(jì)死亡風(fēng)險(xiǎn)應(yīng)小于等于10次/a，即TMEL應(yīng)降低到小于等于10次/a， SIL等級與相應(yīng)要求時(shí)的目標(biāo)風(fēng)險(xiǎn)降低值見表1，石化行業(yè)一般采用低要求操作模式下的失效概率數(shù)據(jù)。參照《保護(hù)層分析(LOPA)方法應(yīng)用導(dǎo)則》的附錄數(shù)據(jù)，常用初始事件(IE)典型頻率值見表2，化工行業(yè)典型IPL的PFD見表3。

表1 安全完整性等級：

表2 IE典型頻率值(摘選)

表3 典型IPL的PFD(摘選)

4.2.1 初始事件分析

a) 汽包液位控制回路故障，導(dǎo)致主給水調(diào)節(jié)閥開度過大或全開為初始事件1，考慮人員暴露概率、液位高報(bào)警及人員響應(yīng)、液位高高時(shí)聯(lián)鎖打開放水閥等情況，概率值設(shè)定分析如下。

設(shè)定該初始事件頻率為0.1次/a；人員暴露概率按照2 h巡檢一次，一次停留5 min，計(jì)算暴露概率為0.04，考慮到在事件的發(fā)生過程中會(huì)有外部人員對征兆進(jìn)行檢查，故危害事件附近出現(xiàn)的人數(shù)還可能增加，所以調(diào)整概率為0.1；操作工24 h監(jiān)控，關(guān)鍵報(bào)警與人員響應(yīng)相結(jié)合的失效頻率為0.1次/a；汽包液位高聯(lián)鎖開啟緊急放水電動(dòng)閥的控制回路與IE共享BPCS的傳感器(液位變送器)與控制器(CPU)部分，不作為有效IPL。

根據(jù)以上分析和式(1)～式(3)，計(jì)算可得式(4)、式(5)，SIL等級對應(yīng)為SIL1。

(4)

(5)

b) 鍋爐后路外管網(wǎng)蒸汽用戶故障跳車甩負(fù)荷為初始事件2。例如超高壓管網(wǎng)下游透平跳車，引起管網(wǎng)壓力陡然升高、汽包蒸發(fā)量減少，汽包上水量不變導(dǎo)致水位升高。但目前超高壓管網(wǎng)均設(shè)有泄放閥，故不作考慮。

4.2.2 分析小結(jié)

BPCS系統(tǒng)汽包液位高三值聯(lián)鎖觸發(fā)MFT的目標(biāo)風(fēng)險(xiǎn)降低值大于10，該BPCS應(yīng)按照SIS系統(tǒng)的標(biāo)準(zhǔn)進(jìn)行設(shè)計(jì)和管理，即應(yīng)設(shè)置SIS系統(tǒng)。汽包液位高三值聯(lián)鎖SIL等級應(yīng)不低于SIL1。

4.3 分析建議

在現(xiàn)有的BPCS系統(tǒng)保護(hù)層基礎(chǔ)上，應(yīng)補(bǔ)充新的獨(dú)立保護(hù)層來降低風(fēng)險(xiǎn)，可供選擇的方案有：①將初始事件1中的液位高高聯(lián)鎖開緊急放水電動(dòng)閥改造到SIS系統(tǒng)回路；②增設(shè)汽包液位高三值時(shí)聯(lián)鎖停給水泵；③增加切斷省煤器上水閥聯(lián)鎖動(dòng)作；④增加聯(lián)鎖關(guān)閉鍋爐主汽門動(dòng)作。改造①是增加有效保護(hù)層，②、③可有效降低汽包液位，④主要為保護(hù)汽包后路的汽輪機(jī)組和蒸汽管線。將上述4個(gè)聯(lián)鎖動(dòng)作效果對比如下：

a) 液位高聯(lián)鎖開緊急放水電動(dòng)閥的動(dòng)作改造到SIS系統(tǒng)回路后，控制器和執(zhí)行部分均與初始事件1獨(dú)立，推薦設(shè)計(jì)成滿足SIL1等級的儀表安全功能(SIF)回路，根據(jù)《石油化工安全儀表系統(tǒng)設(shè)計(jì)規(guī)范》，可作為獨(dú)立保護(hù)層。

b) 聯(lián)鎖停給水泵動(dòng)作若鍋爐采用給水母管制，停單一給水泵不會(huì)起作用，可行性差。

c) 聯(lián)鎖切斷上水閥(1oo1)，介質(zhì)為水所以上水閥門的口徑較小，可有效快速切斷上水。

d) 聯(lián)鎖切斷主蒸汽門，可有效保護(hù)鍋爐后路汽輪機(jī)組和高溫蒸汽管線的安全，但由于主汽門的口徑較大、關(guān)斷時(shí)間較長。且在關(guān)斷主汽門的情況下不關(guān)斷上水、汽包滿罐的情況下，高溫?zé)崴畬钠踩y及過熱器安全閥等處泄漏至環(huán)境，可能對周邊操作人員造成燙傷，可行性較差。

最終選擇的方案是：

a) 液位高聯(lián)鎖開緊急放水電動(dòng)閥的動(dòng)作改造為SIL1等級SIF回路，根據(jù)《石油化工安全儀表系統(tǒng)設(shè)計(jì)規(guī)范》規(guī)定：SIL1級安全儀表功能，測量儀表可與基本過程控制系統(tǒng)共用。

b)汽包液位高三值觸發(fā)鍋爐MFT時(shí)，增加聯(lián)鎖切斷上水閥(1oo1)動(dòng)作作為補(bǔ)充的獨(dú)立保護(hù)層，設(shè)置該回路SIL等級為SIL1。

需要注意的是，上述方案選擇后在汽包液位高三值聯(lián)鎖切斷上水閥動(dòng)作過程時(shí)，司爐工須密切關(guān)注汽包液位的波動(dòng)情況，防止汽包液位出現(xiàn)缺水情況發(fā)生。

5 汽包液位低場景保護(hù)層分析

5.1 事故場景

汽包缺水事故(低三值觸發(fā)鍋爐MFT)是當(dāng)水位低于能夠維持鍋爐正常水循環(huán)的水位時(shí)，蒸汽溫度急劇上升、水冷壁管得不到充分冷卻發(fā)生爆管，汽包干鍋后高溫狀態(tài)下繼續(xù)上水發(fā)生的干鍋爆炸人員傷亡事故。

5.2 汽包液位低三值聯(lián)鎖定級

汽包缺水可能導(dǎo)致汽包干鍋，嚴(yán)重時(shí)發(fā)生汽包物理爆炸，確認(rèn)此危險(xiǎn)場景下初始風(fēng)險(xiǎn)等級為D6，TMEL應(yīng)降低到小于等于10次/a， SIL等級與相應(yīng)要求時(shí)的目標(biāo)風(fēng)險(xiǎn)降低值見表1。

5.2.1 初始事件分析

a) 汽包液位控制回路故障，導(dǎo)致主給水調(diào)節(jié)閥開度過小或全關(guān)為初始事件1?？紤]人員暴露概率、液位低報(bào)警及人員響應(yīng)(車間設(shè)有關(guān)于干鍋后嚴(yán)禁上水的操作規(guī)程和培訓(xùn))等情況。

汽包低三值液位觸發(fā)MFT后停燃料、停風(fēng)，目的是降低燃燒量，但CFB鍋爐在停煤的情況下，爐內(nèi)燃料蓄熱能力仍然較強(qiáng)，短時(shí)間內(nèi)不會(huì)迅速冷卻，MFT停燃料、停風(fēng)的效果不明顯，不構(gòu)成獨(dú)立保護(hù)層；且在汽包液位控制回路故障作為初始事件時(shí)，控制回路不能同時(shí)做保護(hù)層，不構(gòu)成IPL。計(jì)算可得式(6)、式(7)，對應(yīng)的SIL等級為SIL1。

(6)

(7)

b) 汽包緊急放水電動(dòng)閥誤開，破壞給水與蒸汽平衡為初始事件2?？紤]人員暴露概率、液位低報(bào)警及人員響應(yīng)、汽包液位控制回路等情況，計(jì)算可得式(8)、式(9),對應(yīng)的SIL等級為SIL0。

(8)

(9)

c) 主給水前路不暢，包括除氧器、給水泵、加藥系統(tǒng)故障等為初始事件3。本案例的熱電聯(lián)產(chǎn)裝置原設(shè)計(jì)除氧器并聯(lián)、給水泵并聯(lián)、主給水為母管制，給水前路問題導(dǎo)致缺水后果的情況概率極低，故不作考慮。

前兩個(gè)危險(xiǎn)事件累計(jì)的發(fā)生頻率計(jì)算可得式(10)～式(12)對應(yīng)SIL等級為SIL2。

(10)

(11)

RRF

=0.001 1/10=110

(12)

5.2.2 分析小結(jié)

BPCS系統(tǒng)汽包液位低三值聯(lián)鎖(2oo3)觸發(fā)MFT的風(fēng)險(xiǎn)消減目標(biāo)值大于100，該BPCS應(yīng)按照SIS系統(tǒng)的標(biāo)準(zhǔn)進(jìn)行設(shè)計(jì)和管理，低三值聯(lián)鎖SIL等級應(yīng)不低于SIL2。

5.3 分析建議

因?yàn)镃FB鍋爐停燃料、不停上水的情況下，汽包干鍋繼續(xù)進(jìn)水可能導(dǎo)致汽包內(nèi)水急劇汽化，汽包發(fā)生金屬熱力學(xué)變形、承壓等級下降造成超壓爆炸、人員傷亡；聯(lián)鎖停上水、不停燃料的情況下，汽包缺水后蒸汽溫度急劇上升，爐膛內(nèi)的水冷壁中的氣液兩態(tài)變成單一氣態(tài)，由于水冷壁直接受爐膛內(nèi)火焰熱輻射，得不到充分冷卻會(huì)發(fā)生過熱爆管，大量蒸汽泄漏至爐膛內(nèi)造成爐膛滅火導(dǎo)致鍋爐停爐，但不會(huì)造成人員傷亡。綜上對比，汽包液位低三值情況下停上水是更重要的保護(hù)措施。

因此建議增加新的獨(dú)立保護(hù)層：增設(shè)汽包液位低三值時(shí)聯(lián)鎖停給水泵或切斷上水閥動(dòng)作。將上述兩個(gè)聯(lián)鎖動(dòng)作效果對比如下：

a) 聯(lián)鎖停給水泵動(dòng)作若鍋爐采用給水母管制，停單一給水泵不會(huì)起作用，可行性差(非母管制鍋爐可以考慮)。

b) 聯(lián)鎖切斷上水閥，可不考慮母管制給水泵的運(yùn)行狀態(tài)，有效快速切斷上水。

因此選擇汽包液位低三值時(shí)聯(lián)鎖切斷上水閥動(dòng)作作為補(bǔ)充的獨(dú)立保護(hù)層。即汽包液位低三值時(shí)觸發(fā)MFT聯(lián)鎖時(shí)，設(shè)置聯(lián)鎖切斷上水閥，該聯(lián)鎖應(yīng)為SIL2等級SIF回路。根據(jù)《石油化工安全儀表系統(tǒng)設(shè)計(jì)規(guī)范》規(guī)定，SIL2級安全儀表功能，測量儀表應(yīng)與基本過程控制系統(tǒng)獨(dú)立。

6 總結(jié)及建議

綜上，對石化行業(yè)熱電聯(lián)產(chǎn)CFB鍋爐汽包液位過高或過低的危險(xiǎn)性進(jìn)行分析，結(jié)合“HAZOP+LOPA+風(fēng)險(xiǎn)矩陣”風(fēng)險(xiǎn)評估結(jié)果來看，常規(guī)的汽包液位高三值或低三值觸發(fā)MFT的動(dòng)作不能有效降低風(fēng)險(xiǎn)等級到可接受范圍之內(nèi)，不滿足SIL等級的要求。因此提出總結(jié)及建議如下：

a) 汽包水位的調(diào)整直接關(guān)系整個(gè)機(jī)組乃至全廠的運(yùn)行安全，通過分析，汽包液位高三值聯(lián)鎖應(yīng)達(dá)到SIL1等級，低三值聯(lián)鎖應(yīng)達(dá)到SIL2等級，建議增設(shè)獨(dú)立SIS系統(tǒng)，并設(shè)置液位高三值和低三值聯(lián)鎖切斷上水閥動(dòng)作。

b) 由于歷史原因，熱電聯(lián)產(chǎn)鍋爐的控制系統(tǒng)基本都使用鍋爐爐膛安全監(jiān)控系統(tǒng)(FSSS)，MFT是FSSS系統(tǒng)中最重要的安全功能，均屬于BPCS。根據(jù)《安監(jiān)總管三〔2014〕116 號》的規(guī)定：安全儀表系統(tǒng)獨(dú)立于過程控制系統(tǒng)。在對在役鍋爐增設(shè)獨(dú)立的SIS系統(tǒng)困難的情況下，建議針對SIL定級的RRF值進(jìn)行有效SIL驗(yàn)證，對控制回路中不符合要求的元器件進(jìn)行有效更換；擬新上的鍋爐建議SIS系統(tǒng)與FSSS系統(tǒng)分開設(shè)置，同時(shí)考慮保護(hù)層的獨(dú)立性原則，控制、報(bào)警和聯(lián)鎖儀表應(yīng)獨(dú)立設(shè)置。

c) 由于汽包液位高三值或低三值聯(lián)鎖切斷上水閥門關(guān)斷時(shí)間有延遲，須由工藝部門設(shè)定符合企業(yè)設(shè)備自身爐型和汽包內(nèi)部結(jié)構(gòu)的聯(lián)鎖觸發(fā)值。尤其要注意在高三值聯(lián)鎖切斷上水閥門的過程中密切關(guān)注汽包水位的變化，防止操作不當(dāng)引起汽包干鍋。