田小兵
(西南电力设计院有限公司,四川 成都 610021)
锅炉保护安全仪表系统设计
田小兵
(西南电力设计院有限公司,四川 成都 610021)
生产企业健康、安全与环境(HSE)正越来越多地受到人们的关注,火力发电厂的关键设备之一,蒸汽锅炉的容量和参数也正逐步提高,它的安全运行关系着电厂的安全生产。因此锅炉保护有必要采用安全性和可靠性都更高的安全仪表系统。本文就将结合多个工程实例,对锅炉保护采用安全仪表系统的工程设计展开研究论述。
锅炉保护;安全仪表系统;FSS;SIL3。
近年来火力发电领域为了提高发电效率和降低排放,主机容量和参数都越来越高,但同样也增大了其潜在的HSE风险。正因为如此,2011年颁布实施的《大中型火力发电厂设计规定》GB50660中提出了“火力发电厂锅炉和汽轮机的跳闸保护系统可采用电子逻辑系统或继电器硬逻辑系统,系统宜采用经认证的、SIL3级的安全相关系统”,第一次正式地将安全仪表系统引入火力发电领域。
现阶段火力发电领域对于安全仪表系统无论是理论研究、工程实践都还处于探索阶段,工程设计中在许多关键问题上容易产生分歧和困惑。本文就将结合参与设计的多个采用安全仪表系统的火力发电项目,对锅炉保护安全仪表系统的工程设计展开论述。
2.1 安全仪表系统的安全性
安全性通常以IEC61508/61511中定义的安全完整性等级(Safety Integration Level,SIL)来衡量,指“在规定的条件下、规定的时间内,安全相关系统成功实现所要求安全功能的平均概率”。SIL共分为1,2,3,4四个等级,数字越大,安全完整性等级越高,SIL等级需要经过专门机构认证后方能被认可,SIL等级的选择是由工艺流程或生产装置的安全要求决定的。
2.2 安全仪表系统的整体性
安全仪表系统的整体性既包括安全控制器,还包括所有跟控制器接口的部件,如安全型仪表等检测装置以及安全型执行器等输出部件。整体性还体现在其整个生命周期的规范,如设计、施工调试、运行评估、维护、拆除等,都需要接受第三方认证机构的审查。操作人员行为的可用性和可靠性也必须纳入安全要求规范和性能考虑。据统计,安全仪表系统全生命周期故障比例中,安装调试、工程实施、操作维护所引起的故障比例达到56%。
2.3 安全仪表系统的可用性
安全仪表系统的可用性是指系统在冗余配置的条件下,当某一子系统发生故障时,系统在保证安全功能的前提下仍能保证生产过程不中断的能力。安全性与可用性是矛盾的两个方面,某些措施会提高安全性,但会导致可用性下降,反之亦然。例如冗余系统采用二取二逻辑时,则可用性提高,安全性下降;而当采用二取一逻辑时,则正好相反;采用故障安全原则设计的系统安全性高,采用非故障安全原则设计的系统可用性好。
2.4 安全仪表系统组成
安全仪表系统由检测单元、逻辑运算器和执行单元组成,其SIL等级是由其构成的三个部分中最低的SIL等级决定,因此不能只强调逻辑运算器达到所需的安全等级,而忽略整体性要求,因为仅使用一个SIL3的逻辑解算器是无法保证整个系统成为一个SIL3系统的。
2.5 安全仪表系统结构
安全仪表系统结构主要包括如下几种:1oo1、1oo2、2oo2、2oo3、1oo1D、1oo2D等,不同结构所能达到的安全等级也有所不同,目前通过SIL3认证的结构主要有1oo2D、2oo3、2oo4等。可见SIL3系统并非一定要配置为三重冗余的结构,而三重冗余结构配置的系统,如果未经认证也不能称之为SIL3。
火力发电厂安全仪表系统的配置和安全完整性等级的选择,需要对工艺生产过程进行危险辨识和风险评价,如采用化工行业中常用的HAZOP(危险性与可操作性分析)方法,通过系统、详细地对工艺过程和操作进行检查,以确定过程的偏差是否会导致不希望的后果。安全完整性等级也需要通过SIL风险评估,大多采用简化计算、故障树分析或者马尔可夫过程分析等方法进行确定,而目前火力发电厂工艺过程的安全需求、安全完整性等级分析等还基本处于刚起步状态,我们可以通过借鉴石化行业设计规范以及GB50660的规定,火力发电厂安全仪表系统安全完整性等级选择SIL3,同时配置原则如下。
3.1 检测单元配置原则
安全仪表系统的检测单元和过程控制系统的应分开,并冗余独立设置,不宜采用开关量仪表。检测单元根据安全性或可用性的侧重采用“或”或“与”逻辑结构。当系统的安全性和可用性均需保障时,采用三取二逻辑结构。
目前火力发电厂工程设计中,检测单元根据重要性已经考虑了双重甚至三重化配置,构成了1oo2,2oo3结构,因此只要选择符合相应SIL认证要求的传感器即可。譬如通过三个SIL2认证的压力变送器三取一求中值或者三取二表决使得输入检测回路达到SIL3等级。
3.2 执行单元配置原则
执行单元一般是安全仪表系统专用的关断阀或者是与过程控制系统共用的控制阀,SIL3安全仪表系统宜采用冗余的阀门(如串联安装的两个同类阀门或一个控制阀和一个切断阀)。气动控制阀或气动关断阀均应带接受安全仪表系统控制信号的电磁阀,电磁阀宜冗余配置(根据侧重点不同电磁阀采用“与”或“或”逻辑),失电动作,由安全仪表系统供电。
目前工程设计中工艺阀门配置通常采用1oo1结构,但要求采用失效安全原则,即执行单元设备在特定的故障发生时转入预定义的安全状态(向人员和过程安全的方向动作),但电磁阀配置目前尚未考虑冗余配置。
3.3 逻辑解算单元配置原则
逻辑解算单元可以遵循以下基本原则:
(1)保护系统独立于过程控制(IEC61508建议)。
(2)采用冗余或容错结构。
(3)系统采用故障安全型。
(4)不允许采用现场总线或其它通讯方式作为安全仪表系统的输入信号。
3.4 安全仪表系统的软件要求
安全仪表系统软件是安全整体性的组成部分,安全工程师站安装的安全组态软件需要符合工艺过程的安全规则并具有安全认证,编程语言需要符合《可编程控制器》IEC61131-3标准要求。安全仪表系统的软件、编程、升级或修改等文档都应有备份。
4.1 功能要求
炉膛安全监控系统FSSS是大型火电机组锅炉必备的安全监控系统,它监控燃烧系统参数和工作状态,在必要时通过安全连锁功能使燃烧设备安全部件按照既定的安全程序动作,完成必要的操作和紧急跳闸。FSSS包括燃烧器控制系统(BCS)和燃料安全系统(FSS),燃烧器控制系统包括锅炉点火准备、点火枪点火、油枪点火、煤燃烧;燃料安全系统(FSS)又称为锅炉保护系统,它的功能包括炉膛吹扫、油燃料系统泄漏试验、燃料跳闸。
对于安全仪表系统在火电厂中的应用范围,欧洲倾向于全部FSSS功能均采用安全系统,但实际上FSS中最重要的安全功能就是燃料跳闸(MFT),是为了当出现危及锅炉安全运行的危险情况时,快速切断所有进入炉膛的燃料,以保证安全。有鉴于此,国标中规定了锅炉跳闸保护采用经认证的SIL3安全仪表系统。本文讨论也正是基于这一原则,所指的锅炉保护均是指锅炉燃料跳闸保护。
4.2 一般原则
锅炉保护设计基础是根据NFPA85系列标准《锅炉和燃烧系统危险标准》和《多燃烧器锅炉炉膛防内爆/外爆标准》的要求,锅炉跳闸保护原则性框图见图1。工程设计中应按照锅炉型式和制造厂提供的《锅炉保护说明书》等资料作为跳闸条件和跳闸对象设计依据。其中:
煤燃料跳闸对象包括:给煤机、磨煤机、一次风机等煤燃料相关设备;
油燃料跳闸对象包括:燃油关断阀、油角阀、油枪/点火枪等油燃料相关设备;
其它跳闸子对象包括:煤、油燃料设备之外的所有其它跳闸对象,如减温水关断门、跳闸信号至DCS/ETS/ESP/FGD等等。
燃料跳闸逻辑实现有两种方式:第一种方式更趋近于传统不采用安全仪表系统的设计,即除安全仪表系统保护外,FSS控制器中仍保留完整的MFT“软”跳闸逻辑,“软”逻辑的驱动回路利用跳闸对象顺控回路。第二种方式是除安全仪表系统保护之外,FSS控制器中仅保留炉膛吹扫、油燃料系统泄漏试验等公共逻辑,不再保留MFT“软”跳闸逻辑,但安全仪表系统同样保留和顺控回路的接口,以实现双重跳闸。第二种方式安全可靠性高,逻辑更加简洁明了,可作为工程设计的首选。
因此设备跳闸指令来源有两个:一个是安全仪表系统输出模件输出的“软”逻辑跳闸指令(通过正常的顺控逻辑指令驱动执行单元);另一个则是主燃料跳闸继电器输出的“硬”逻辑跳闸指令。
主燃料跳闸继电器由满足NFPA标准的安全继电器实现,采用失电跳闸逻辑,由来自安全仪表系统的“锅炉跳闸信号”触发,回路在触发MFT动作后实现自保持,且仅能由DCS输出的“炉膛吹扫完成信号”复位,所有信号均按三重冗余设置。同时主燃料跳闸继电器也接受来自操作台的紧急停机按钮信号,紧急停机按钮信号同时也提供给安全仪表系统作为“软”逻辑跳闸条件输入。
图1 锅炉跳闸保护原则性框图
MFT跳闸继电器输出的常闭跳闸接点(继电器不带电时状态)或常开跳闸接点,和分散控制系统顺控“停指令”接点并联(当停指令为常开接点时)或串联接线(当停指令为常闭接点时),串并联接线可以在分散控制系统顺控机柜内进行,也可以在就地设备侧进行,从而实现停炉时需要跳闸的设备既通过正常顺控回路停止,也通过MFT跳闸回路停止。为了增加线路冗余度,建议串并联接线在就地设备侧进行。
此外,MFT跳闸继电器输出的常开接点(继电器不带电时状态)和分散控制系统正常顺控“启指令”接点串联(当启指令为常开接点时)或并联接线(当启指令为常闭接点时),串并联接线在分散控制系统顺控机柜内进行,从而停炉时需要跳闸的设备只有在MFT跳闸继电器复位后才能在顺控指令下启动。
4.3 信号设计
安全仪表系统的输入信号分两三类,且必须是以硬接线的方式,不允许采用现场总线或其它通讯方式输入:
第一类:信号直接来自现场仪表。如主蒸汽压力、炉膛压力、火检冷却风压力、给水流量、总风量等。这些信号均按三冗余设置,宜采用变送器。其中给水流量、总风量等需要温度补偿计算,同时模拟量调节MCS也需要该信号,常规设计中往往是在DCS中计算后输出给FSS系统,这实际上有违保护优先的原则。建议这些信号优先接入安全仪表系统,MCS所需要的信号单独设置或由安全仪表系统输出,如果安全仪表系统不能直接输入热电偶等温度信号,可选用温度变送器。
第二类:信号不是通过仪表直接测量,而是经逻辑判断后产生。如临界火焰、炉膛火焰丧失等。这类信号在DCS中产生后再硬接线接入安全仪表系统。
第三类:电气信号。如三大风机、磨煤机等重要电动机的跳闸状态信号。这些状态信号建议采取三取二表决,以增加信号的可靠性。顺控需要的状态信号由电气开关柜单独送出。
4.4 电源设计
(1)主燃料跳闸继电器电源采用两路直流电源(220 V或110 V)供电,直接取自直流蓄电池不同段馈线柜。电源监视继电器在两路电源失电时应发出报警信号。跳闸回路设计为失电动作,两路进线电源失电时将自动触发MFT动作。安全仪表系统根据主燃料跳闸继电器的信号同时触发“软”逻辑跳闸。
(2)安全仪表系统电源采用两路220 V AC电源供电,一路电源取自UPS,另一路电源取自事故保安电源。两路电源也可取自UPS的不同馈线柜。电源监视继电器在两路电源失电时发出报警信号,同时接点送至主燃料跳闸继电器回路,触发MFT动作。
(3)DCS同样设计为在失电时触发MFT动作。工程项目在基建期间往往存在DCS单路电源运行的情况,为了避免DCS突然失电时运行人员手动打闸不及时造成机组失控,在主燃料跳闸硬回路中增加DCS失电保护就非常有必要。电源监视继电器在两路电源失电时发出报警信号,同时接点送至主燃料跳闸继电器回路,触发MFT动作。
(4)电源报警按要求在集控室进行声光报警。
(1) IEC61508标准强烈建议过程控制系统和安全仪表系统两种系统分离,但并没有要求两者必须独立(石化GB/T50770规定了两个系统必须独立)。两者之间可采用同种分离也可采用异种分离,同种分离意味着两者可使用同一制造商的不同产品;而异种分离则意味着两者使用不同制造商的不同产品。同种分离有助于降低随机失效,降低了维护错误的可能性;而异种分离有利于降低系统失效和共因失效。
近年来一些制造商开始在其分散控制系统中提供安全仪表系统,两者采用同一的通信网络,但使用不同硬件结构的控制器和I/O模件,如Ovation系统中就可以集成其安全仪表系统SIS。安全仪表系统有和分散控制系统逐渐融合集成的趋势,这种趋势是满足IEC61508标准还是突破值得讨论。
(2)本文讨论的锅炉保护方案,仍然保留了锅炉跳闸继电器硬接线回路。继电器硬接线回路是在保护系统采用分散控制系统的背景下产生的,采用安全仪表系统后,可以考虑取消传统的继电器硬接线回路。但目前受限于规程规范,工程设计中仍然保留了跳闸继电器硬接线回路。
(3)随着安全仪表系统概念的引入,涉及许多原有名词术语涵义的变化。比如炉膛安全系统FSS,包括锅炉跳闸保护、锅炉炉膛吹扫、油燃料系统泄漏试验三功能,常规做法是在同一控制器内实现。锅炉跳闸保护采用安全仪表系统后,炉膛吹扫、油燃料系统泄漏试验功能仍在分散控制系统中实现,这就涉及到原有FSSS和FSS涵义和内容的变化。
[1] 安全仪表系统及其功能安全[R].中国石化青岛安全工程研究院,2009.
[2] 李鹏,王彦刚,陈建平.工厂安全仪表系统设计要求及实现[J].石油化工自动化,2009,(5).
[3] 蔡松郁.安全仪表系统的工程设计[J].炼油与化工,2007,(3).
[4] GB/T 50770-2013.石油化工安全仪表系统设计规范[S].
[5] 左信,朱春丽.安全仪表系统设计与SIL的计算方法[M].中国石油大学(北京)自动化研究所,2008.
[6] IEC61508.Functional safety of electrical / electronic / programmable electric safety related system (2000)[S].
[7] IEC61511.Functional safety: safety instrumented system for the process sector.(2003)[S].
Design of Safety Instrument System for Boiler Protection
TIAN Xiao-bing
(Southwest Electric Power Design Institute Co., Ltd., Chengdu 610021, China)
The Health, Safety and Environment (HSE)are more and more focused. Meanwhile, the steam generator, one of the key equipments in TPP, its capacity and parameter is getting higher and higher; its safety operation also is getting more important. Higher safe and reliable Safety Instrument System is expected for boiler protection. Based on engineering practice, this paper explained the detail engineering issues of Safety Instrument System application in the boiler protection.
boiler protection; safety instrument system; FSS; SIL3.
TM621
B
1671-9913(2017)02-0025-05
2016-03-15
田小兵(1977- ),男,四川阆中人,硕士,高级工程师,现从事火力发电仪表与控制专业设计工作。