联合循环电站主机跳闸保护系统的SIL认证
2019-04-10张晓北王懿
张晓北 王懿
摘 要:随着环保形势的严峻,联合循环电站因能大幅度提高火力发电厂热效率,并解决污染问题,所以成为一种很有发展前景的发电技术。汽轮机组容量在不断增大,蒸汽参数越来越高,热力系统越来越复杂。在电站生产运行过程中,设备种类多,工艺复杂,所以要求控制系统不能存在任何安全薄弱环节,一旦系统中的工艺设备和仪表工作失常,就可能造成控制系统故障甚至设备停车,发生高温蒸汽泄漏、爆炸、火灾等事故。主机跳闸保护系统是一种降低生产过程风险的安全保护系统,SIL认证是对主机跳闸保护系统的安全完整性等级进行评估和确认的一种第三方评估、验证和认证。该文结合某海外工程对SIL的认证方法做了介绍。
关键词:SIL 跳闸保护 认证 保护层分析
中图分类号:U66 文献标识码:A 文章编号:1672-3791(2019)12(b)-0034-02
1 SIL简介
SIL认证是基于有关国际标准,对安全设备的安全完整性等级(SIL)或性能等级(PL)评估以及确认,SIL认证是一种第三方评估、验证和认证。安全认证主要涉及硬件可靠性计算和评估、软件评估、环境试验、EMC电磁兼容性测试以及安全设备开发流程的文档管理(FSM)评估等内容。
SIL认证分为4个等级,分别为SIL1、SIL2、SIL3、SIL4,包含了对产品和对系统两个不同层次。其中,SIL4对安全设备的要求最高。
SIL认证适用于所有用来实现过程控制安全功能的仪表及设备,分为安全部件类和安全系统类,例如,安全部件类:传感器、压力变送器、差压变送器、温度变送器、物位变送器、物位开关、可编程控制器、现场执行机构(气动/液动/电动)、安全开关、电磁阀、截止阀、安全阀门、隔离栅等;安全系统类:SIS系统(安全仪表系统)、燃烧管理系统(BMS)、仪表保护系统(IPS)、ESD(紧急停车系统)等。
SIL相关主要标准有IEC61508、IEC61511以及IEC62061等。
2 SIL定级方法
SIL定级的方法主要有两类:定性方法的和定量方法。定性方法通过分析风险的后果和发生风险的可能性分类来描述风险类型,主要有风险矩阵法和风险图法。定量方法中LOPA分析方法作为一种计算SIL的半定量方法,被广泛应用。
2.1 风险矩阵
风险矩阵法是基于分类的方法,这种分类可根据量化的指标,也可根据定性的描述。用户需要创建一个矩阵,该矩阵为风险的后果和可能性制定了大致的分类。矩阵的二维坐标(行x、列y)分别为后果和可能性,这样每一个矩阵元素为—个SIL。
风险矩阵法是一种比较简单的SIL定级方法。
2.2 风险图法
风险图法是根据德国工业标准开发的,在欧洲得到了广泛应用。风险矩阵中只考虑了后果和可能性两个参数,风险图法考虑了4个参数来确定SIL等级,这4个参数为:危险事件的后果(c)、处于危险区域的频度(F)、盛开风险状况的概率(P)和不期望事件的概率(W)。SIL等级的确定是从左面的起点到右面的方格形成一条路径,按照C、F、P参数的大小,决定这三者的选中行,具体被选中的行中哪一个方格被选中则取决于W参数的大小。
2.3 保护层分析法(LOPA)
保护层分析法是一种简化的风险评估方法。首先需要通过对现有保护措施的可靠性进行量化的评估,以确定现有条件下消除或降低风险的能力,确定采取安全保护措施之前的风险水平,然后分析采取安全保护措施后将风险水平降低的程度。保护层分析法被IEC61511确定为安全仪表系统完整性水平的推荐方法之一。
3 工程SIL应用
某海外联合循环电站工程主机跳闸系统需要SIL认证的有燃机控制保护系统、燃机超速保护系统、燃机火焰检测系统、汽机超速保护系统、余热锅炉紧急跳闸系统。
在认证方式的选择上,该工程选择了保护层分析(LOPA)。
在分析过程中,通过场景识别与筛选,我们选出了以下13个初始事件:(1)高压汽包压力高高;(2)高压汽包液位低低;(3)高压汽包温度高高;(4)#2再热器温度高高;(5)中压汽包压力高高;(6)中压汽包液位低低;(7)中压汽包温度高高;(8)低压汽包压力高高;(9)低压汽包液位低低;(10)燃气凝结储罐液位低低;(11)汽轮机转速高高;(12)汽轮机振动高高;(13)汽轮机轴承温度高高。
通过IPL评估及场景频率计算,我们得出了每种初始事件下需要的SIL等级。其中无特别安全要求的有8个,分别为:(1)高压汽包液位低低;(2)高压汽包温度高高;(3)中壓汽包压力高高;(4)中压汽包液位低低;(5)中压汽包温度高高;(6)低压汽包液位低低;(7)燃气凝结储罐液位低低;(8)汽轮机轴承温度高高。需要SIL等级为1级的有3个:(1)高压汽包压力高高;(2)#2再热器温度高高;(3)低压汽包压力高高。需要SIL等级为1级的有2个:(1)汽轮机转速高高;(2)汽轮机振动高高。
在5个需要验证SIL等级的初始事件中,我们通过安全仪表功能(SIF)来降低事件的风险。通过考虑现场传感器冗余度、DCS中逻辑运算等因素,经过SIF软件计算,我们得出了针对5种不同情况,不同的SIF完整性等级,其中,高压汽包压力高高对应的SIF完整性等级为8.60×10-3;#2再热器温度高高对应的SIF完整性等级为8.51×10-3;低压汽包压力高高对应的SIF完整性等级为8.60×10-3;汽轮机转速高高对应的SIF完整性等级为8.45×10-3;汽轮机振动高高对应的SIF完整性等级为8.55×10-3。5个事件的SIF完整性等级处在10-2~10-3之间,它们的SIL等级能力都为SIL2,所以满足前面所述的初始条件下所需要的SIL等级。
4 结语
安全是工业生产永恒的主题。对主机跳闸保护系统等安全设备的安全完整性等级(SIL)进行第三方评估、验证和认证,是生产过程安全的有效保障。
进行LOPA分析是为了确认对于事故后果非常严重的风险现有的安全保护措施是否足够,是否有必要增加新的SIS保护措施,以及增加的SIS系统的风险降低目标的大小。而增加的SIS系统能否实现所要求的SIF,则需通过SIL分析进行验证。开展SIL分析,能够对保护系统的SIS系统进行设计、评估、验证,使项目SIL的设计以及执行达到最优化,用最低的成本实现项目的安全需求。
增强对SIL认证重要性的认识,国内设计部门、集成商、设备制造商和设备供应商可以正确运用相关国际标准来实现工程所要求的安全功能,与国际工程接轨,积极开展SIL认证,以保证国产仪表和控制系统在各个工业生产中的安全使用,能够大大提高国产仪表和控制系统在国际市场上的核心竞争力。
参考文献
[1] 周荣义,李石林,刘何清.HAZOP分析中LOPA的应用研究[J].中国安全科学学报,2010,20(7):76-81.
[2] 阳宪惠,郭海涛.安全仪表系统的功能安全[M].北京:清华大学出版社,2007.
[3] 郭亮,娄开丽.安全仪表系统的安全生命周期[J].化工自动化及仪表,2009,36(4):23-25.