安全仪表系统在锅炉保护中的设计与实现

刘 华

(国核电力规划设计研究院，北京 100095)



安全仪表系统在锅炉保护中的设计与实现

刘 华

(国核电力规划设计研究院，北京 100095)

为满足安全仪表系统在某国外电厂保护系统的应用需求，提出了一种锅炉保护系统(BPS)的设计方案。该方案采用危险和可操作性方法确定BPS所需的整体安全性等级，按照IEC国际标准确定BPS中控制器及仪表的冗余性，选用可靠性框图法校验BPS的危险失效概率，并结合校验结果对BPS系统进行修正。实践表明，该设计方案能有效提高锅炉保护系统的可靠性，同时避免过度冗余。

安全仪表系统(SIS) 分散控制系统(DCS) 锅炉保护系统(BPS) 危险和可操作性方法(HAZOP) 整体安全性水平(SIL) 危险失效概率(PFD) 可靠性 安全性等级

0 引言

在国内多数电厂设计中，锅炉保护系统通常与锅炉辅机、汽机辅机等调节保护系统一起设计，采用相同硬件的控制器来实现控制及保护功能。随着IEC 61508和IEC 61511等功能安全标准的颁布，越来越多的国家要求在锅炉和汽机保护系统上要求采用功能安全系统。我国从2011年开始，在火电厂的保护系统中逐渐推广功能安全系统[1-2]。在以往的工程中，也不乏有锅炉保护系统采用功能安全系统的案例。但在工程实现时，技术人员往往关注的是逻辑控制器的功能安全[3-5]；也有部分人员关注锅炉保护系统的安全评估，并给出了锅炉保护系统的改进建议[6]。

本文将结合某国外工程锅炉保护系统(boiler protection system,BPS)的设计，通过对实现功能安全系统关键技术的分析及举例，消除功能安全系统实施过程中的障碍。

1 锅炉监控系统架构

为实现锅炉本体设备的监视和控制，需设置各类仪表(温度表计、压力表计、流量表计、液位表计等)、各类受控设备(气动阀、电动阀、电动机等)、控制系统及操作员站。通常将锅炉监控系统分为锅炉保护系统、燃烧器控制系统(boiler control system,BCS)和锅炉分散控制系统(distributed control system,DCS)。锅炉监控系统架构如图1所示。

图1 锅炉监控系统架构图

锅炉BPS柜用于锅炉安全参数的监视与停炉保护。BCS柜用于对燃烧器、点火油系统、制粉系统的监视、控制。锅炉DCS柜，用于锅炉本体及辅助系统的监视、控制、调节、报警等，包括烟、风、汽、水、吹灰等系统。

部分工程将BPS及BCS构成的锅炉炉膛安全监控系统设计为功能安全系统[3]。根据IEC 61511.1，考虑BPS与BCS及其他系统的独立性，本文将BPS独立设置，且设计为功能安全系统。按此方法设计可降低成本。

BPS采用满足IEC 61508要求的功能安全控制系统，锅炉DCS、BCS采用通用DCS控制器。在DCS与BPS之间有数据通信，作用如下：①将BPS采集的信号传送至DCS，参与锅炉的监视、报警和调节；②BPS不配置操作员站，将BPS的状态信息传送至DCS操作员站显示、存储。

2 实现功能安全仪表系统的关键技术

2.1 SIL等级的确定

整体安全性水平(safety integrated level，SIL)按IEC 61508定义，分为四个等级，即SIL1～SIL4，可靠性由低到高。四个等级又分低要求操作模式和高要求操作模式。过程工业普遍的模式为低要求操作模式，对安全相关系统检测频率常为每年1～2次。航空工业普遍的模式为高要求操作模式，对安全相关系统检测频率常为每年4～12次。电厂锅炉保护采用的是低要求操作模式。

安全仪表功能的失效模式分为安全失效和危险失效。安全失效会导致误停车，危险失效会导致事故。平均要求时失效概率(probability of failure on demand,PFD)可以理解为危险失效概率。在低要求操作模式下，SIL与PFD关系如表1所示。

表1 SIL与PFD关系表

SIL等级可根据经验或规范选取，也可通过对锅炉采用危险和可操作性(hazard and operability analysis,HAZOP)方法来分析，进而通过风险图定性评估确定。

HAZOP方法通过分析生产运行过程中工艺状态参数的变动、操作控制中可能出现的偏差，以及这些变动与偏差对系统的影响，找出变动或偏差产生的原因，分析可能导致的后果，明确现有的保护措施，并针对超出可接受水平的变动与偏差的后果提出建议措施[7]。

用于SIL定性评估的风险图法，考虑了以下四个参数来确定SIL等级:危险事件的后果(C)、处于危险区域的频度(F)、避开风险状况的概率(P)和不期望事件的概率(W)。C1～C4越大，后果越严重；F1～F2越大，频率越高；P1～P2越大，避开风险概率越小；W1～W3越大，事件发生概率越大。SIL的确定是从左面的起点到右面的方格绘制一条路径，按照C、F、P的分类，决定这三者的哪一行被选中。具体被选中的行中，哪一个方格被选中，则取决于W的分类[8]。

以下仅就锅炉烟气系统进行分析举例,HAZOP分析及SIL确定如表2所示。

表2 HAZOP分析及SIL确定

表2中：a表示不需要特别安全相关要求。

从表2可看出，并非锅炉中的每个参数偏离均会造成严重后果，进而需要安全措施；也并不是每个参数偏离所需要的安全性等级都是一样的。

对锅炉保护系统所取的SIL等级为对各节点各参数分析后所需的安全性等级的最高值。对某工程250 MW循环流化床锅炉的HAZOP进行分析，确定该锅炉保护系统的SIL等级为2。

2.2 控制器冗余性的确定

为防止评估偏低的失效率数据导致在不适当冗余设计情况下得到较高的SIL，IEC 61508-02规定了硬件冗余度最低约束条件[9-10]。逻辑控制器的最低故障裕度如表3所示。

表3 逻辑控制器的最低故障裕度表

表3中，安全失效分数(safe failure fraction,SFF)波定义为安全失效率在总的失效率中的百分比。设备的SFF越大，安全性越高。

SFF定义公式如下：

(1)

式中:λ为设备失效率，h为设备平均无故障时间(mean time between failures,MTBF)的倒数。

硬件故障裕度(hardware fault tolerance,HFT)是指在正常行使安全功能情况下，系统配置能够容忍的危险失效数目，比冗余数少1。

表3说明：控制器自检测能力越强，故障后向安全方向动作的可能性越高，其硬件故障裕度可以低些。

对于SIL3的保护系统，有的采用三冗余控制器(HFT为2)，如Foxboro 的Triconex；有的采用带自检功能的冗余异构控制器(HFT为1)，如ABB 的Plantguard。

2.3 仪表及控制设备冗余性的确定

传感器的冗余性易于实现，只需增加传感器的数量即可。传感器、最终元件的最低故障裕度如表4所示。

最终执行元件的冗余度实现有如下方式：

①可采用冗余阀门；

②如采用单一阀门，对配套的电磁阀进行冗余设置；

③冗余阀门可采用切断阀与控制阀。控制阀应带接收安全仪表系统控制的电磁阀。

表4 传感器、最终元件的最低故障裕度表

2.4 安全仪表系统的PFD验证

安全仪表系统包括多个子通道，在系统设计结束时，需对各子通道的PFD进行计算验证。

PFD的计算方法包括可靠性框图、马尔可夫模型、故障树法。IEC 61508-6的附录B详细叙述了可靠性框图法[10]，给出了1oo1、1oo2、2oo3等各种冗余结构的PFD的计算公式及常用表格供查询。

表格输入包括：冗余结构、检修测试时间间隔T1、平均恢复时间(mean time to repair,MTTR)、设备失效率λ、诊断覆盖率DC、共因失效因子、检测不到的失效的比率β、能检测到的失效的比率βD。

举例如下：对某2oo3传感器子系统，T1=8 760 h、MTTR为8 h、λ=5.0E-6、β=20%、βD=10%、DC=90%。2oo3低要求操作模式PFD如表5所示。

该变送器子系统PFDs=2.3E-04。需注意，在同样检测周期及诊断覆盖率下，单个变送器PFDs=1.1E-03，为SIL2仪表。经2oo3冗余结构后，变送器子系统为SIL3。

同理，用此方法可计算出最终元件子系统PFDFE。逻辑子系统平均失效概率PFDL可用此方法计算得到，也可用控制器厂家提供的平均失效概率数据。

该通道安全功能的平均失效概率PFDSYS=PFDs+PFDFE+PFDL。

如计算的PFDSYS值小于10-2，即表明安全仪表系统的该通道满足SIL2要求。

如检测的子通道满足不了要求，可采用以下几种措施来解决：

①减小检修测试时间间隔T1；

②分析对PFDSYS中贡献大的值，调整冗余结构；

③选择设备失效率λ低的设备，或者具有整体安全等级的设备。

3 锅炉保护系统设计中的其他问题

3.1 BPS与BCS公用设备的处理

锅炉部分自动调节的参数，一旦越限，要求马上停炉。在SIL安全要求低时，这类测量仪表是允许保护系统与调节系统公用的。某工程中对此类公用仪表的处理，分以下两种情况。

①部分信号：一旦全部失去会有重大事故隐患的。采用信号分离器，将信号一分为二，分别送至BPS及BCS。此类信号包括炉膛压力、汽包水位、汽包压力、高旁后温度。

②其他信号：先送至BPS参与保护，再通过冗余通信总线至BCS参与调节。此类信号包括炉膛床温、流化风出口压力、一次风量、二次风量、炉膛氧量等。

锅炉部分受控设备并未独立设置，除了用于安全停炉外，还需要能按BCS顺控程序开关/启停。某工程中对此类公用设备的处理，分以下三种情况。

①油角阀、点火枪及油枪，受失效安全的气动执行机构驱动。该执行机构动作与否取决于单线圈电磁阀是否受电。将BPS的安全继电器送出常闭触点(冗余)串入电磁阀的供电回路，保证BPS发出指令的优先级高于BCS指令优先级。

②给煤机，受变频电机驱动。该电机动作与否取决于变频器是否带电。BPS通过安全继电器送出冗余常闭触点，这两副触点先进行串接，再接至变频器供电控制回路。BPS停炉时，将发出信号断开触点，进而停止给煤机。BPS发出指令的优先级高于BCS的指令。

③一次风机等的联锁，有两种处理方案：一是BPS通过安全继电器送出冗余常闭触点，该两副触点先进行串接，再接至电机供电控制回路；二是BPS通过安全继电器送出冗余常开触点，这两副触点先进行并接，再并接至电机停电控制回路。为满足电气开关柜的标准化生产，工程中常用后者方案。但从可靠性考虑，前者方案更好。

3.2 紧急停止按钮及跳闸继电器问题

根据NFPA 85及IEC 61511要求，手动跳闸按钮应直接接至安全仪表系统最终元件——跳闸继电器回路或就地设备。

但对某工程流化床锅炉，切断进油及进煤、联锁停汽机、停一次风机、流化风机等需要不同的条件。所以联锁停汽机、停风机指令并未由主跳闸继电器接出，而是通过控制器卡件的继电器接出的。

3.3 停炉相关设备的要求

为保证整个锅炉保护系统的整体安全性，需确保停炉相关设备的可靠性，在设备订货时，就应对设备有所要求。应注意：选用安全相关设备，可在设备的冗余性要求上有所降低。

此外，为完成BPS功能的验证，需由设备厂家提供失效概率验证所需的相关参数。

4 BPS国内设计现状及改进建议

国内设计的BPS，比较注重逻辑控制器的选择，也兼顾了仪表及控制设备的冗余性，但其普遍缺少SIL等级确定和PFD验证这两个步骤。主要原因为：一是因为这两个步骤比较繁琐；二是国内有详细的设计规范指导工程设计，直接给出了建议SIL等级及冗余性配置建议；三是直接套用多个工程的应用案例比较省事。这样带来的后果为：一是SIL等级定的可能偏高；二是安全仪表系统部分回路SIL等级达不到要求。

对于国外工程，特别是在欧美地区，比较强调安全仪表系统的完整性。为适应国外工程的需要，建议在锅炉保护系统的设计过程中，能有PFD的验证过程。这样也便于在设计阶段就能调整仪表及控制设备的冗余性，在订货阶段调整设备的可靠性，保证BPS的安全完整等级。

5 结束语

本文通过分析锅炉保护及控制系统的构成，确定了锅炉保护系统采用安全仪表系统。在BPS设计过程中，采用危险和可操作性方法确定了所需的整体安全性等级，按照IEC国际标准确定了控制器及仪表的冗余性。在完成BPS初步设计后，选用可靠性框图法校验BPS的危险失效概率，并结合校验结果对BPS系统进行修正。实践表明：按此方法设计的安全仪表系统，能有效避免控制器及仪表的过度冗余，保证系统的可靠性。

[1] 马欣欣，许继刚，孔祥正.功能安全系统在火电厂的应用研究[J].中国仪器仪表，2011(1):13-16.

[2] 李成.IEC 61508功能安全标准在电厂安全系统设计中的研究与应用[D].上海：上海交通大学，2010.

[3] 华伟，张永，年华.安全型PLC系统在锅炉FSSS中的应用[J].吉林电力，2007，35(2)：32-35.

[4] 王玮.Triconex系统在锅炉保护的应用[J].电站系统工程，2013，29(1)，63-64.

[5] 田松.SIL3安全仪表系统的设计和应用[J].自动化与仪表，2013(2)，44-47.

[6] 付亚利，白焰，王鹏，等.火电厂主燃料跳闸功能的安全评估[J].华东电力，2013,41(6):1348-1351.

[7] 廖学品．化工过程危险性分析[M]．北京:化学工业出版社，2000:5-14.

[8] International Electrotechnical Commission.IEC 61511-3 2003 Functional safety- Safety instrumented systems for the process industry sector-Part 3 [S].2003:41-45.

[9] International Electrotechnical Commission.IEC 61508-2 2010 Functional safety of electrical /electronic /programmable electronic safety-related systems-Part 2 [S].2010:23-27.

[10]International Electrotechnical Commission.IEC 61508-6 2010 Functional safety of electrical /electronic /programmable electronic safety-related systems- Part 6 [S].2010:25-42.

Design and Implementation of Safety Instrumented Systems in Boiler Protection

To meet the requirements of safety instrumented system applying in the protection system of one certain foreign power plant,a design plan of boiler protection system BPS is proposed.In the plan,the HAZOP method is used to determine the SIL needed for boiler protection system,IEC standards are followed to determine the redundancy of the controllers and instruments in BPS,and reliability block diagram method is used to check the PFD of BPS,which in turn is used to modify the BPS.The practice shows that the design plan can effectively improve the reliability of boiler protection system,and avoid excessive redundancy.

Safety instrumented systems(SIS) Distributed cootrol system(DCS) Boiler protection system(BPS) Hazard and operability method(HAZOP) Safety integrated level(SIL) Probability of Failure on Demand(PFD) Reliability Security level

TH7;TP277

A

10.16086/j.cnki.issn 1000-0380.201611016

修改稿收到日期：2016-03-04。

作者刘华(1983—)，男，2008年毕业于东南大学能源信息技术专业，获硕士学位，工程师；主要从事电厂热工自动化设计方向的研究。