李维聪，秦桐，柯察今

（中国能源建设集团广东省电力设计研究院有限公司，广州510663）

安全仪表系统（Safety Instrumentation System，SIS）是保证工业生产安全性的重要手段。安全仪表系统已广泛应用于化工、石油、电力等重大国际工程项目中［1］。项目前期，建设方对安全保护等级进行评估分析，从而有效对工艺设备、控制系统和仪表等设计有明确的安全保护指向性建议。

在国外工程，安全完整性等级或者危险与可操作性分析在重大工程项目中已普遍应用。往往在项目前期建设方已要求对安全保护等级进行评估分析，从而有效对控制系统、仪表、工艺设备等设计有明确的安全保护指向性建议。相比较于国内工程项目中，安全完整性等级也已广泛应用于化工、石油、航天等行业，而电力行业也在逐步推广应用。相比较于国际工程，安全仪表系统在国内工业项目中的研究和应用起步较晚，最近十年开始重视和逐渐推广安全仪表系统在工业生产过程中的应用。国家陆续颁布了相关的标准和规范（GB/T 20438 和GB/T 21109）；化工行业，国家安全监管总局针对安全仪表系统下发了《关于加强化工安全仪表系统管理的指导意见》（安全监管三（2014）116 号）［2］，要求进一步充分认识安全仪表系统重要性并加强其基础工作及管理，要按照安全完整性设计相关控制回路。2011年开始，国内火电行业逐步对汽轮机紧急跳闸系统（Emergency Trip System，ETS）和燃料安全系统（Fuel Safety System，FSS）等进行安全风险评估分析和等级评定，并开始尝试应用仪表安全系统［3］，而在其之前国内石化行业的自备电厂和海外机组已有使用。

1 安全仪表系统

1.1 安全仪表系统简介

安全仪表系统（SIS）是生产过程中十分重要的保护系统，能确保生产长期安全稳定运行，其主要由传感器、逻辑控制器以及最终执行元件等分布组成［4］。在实际的工业生产控制系统中以现场检查仪表传感器为监视输入，进入控制系统的核心逻辑控制器对信号进行分析处理及提示报警，最终由执行元件对生产流程进行联锁动作。安全仪表系统（SIS）使工业过程控制形成闭环，目前工业上更先进的优化运行分析、性能预测等均基于安全仪表系统（SIS）上配置的。

在生产过程中出现的安全事故往往由于安全仪表系统存在问题无法确保生产安全，其信号设置控制应满足工艺生产流程需求。从而在设计的原则上需要遵循传感器独立/冗余原则、最终执行元件的独立/冗余/阀门电机配合原则、逻辑控制单元的独立/冗余/通信接口原则。同时在满足设计原则上也需要对工业生产过程进行安全完整性评估，通过评估等级选择相适应的安全仪表系统从而准确监测生产过程出现或潜在的问题，对问题进行逻辑分析及报警动作，有效降低或防止事故发生，减少生产过程的危害及其影响。

1.2 安全完整性等级简介

1）安全完整性等级概述

安全完整性等级在电厂中的应用主要针对安全仪表系统在生产过程中的质量及可靠性的度量分析。根据等级的划分选择相应的对保护系统进行配置［5］。根据IEC 61508 定义，安全完整性等级（Safety Integrity Level，SIL）划分为四个等级，由度量的质量及可靠性低到高为SIL1～SIL4［6］。

实际上，对于不同的安全保护功能使用的频率不同会直接影响其运行过程中的设置。根据运行过程故障的频率划分为低频率功能和高频率功能。对于电厂的锅炉安全事故保护系统属于低频率使用功能。对于低频率功能主要由保护系统使用的频率和投入运行后保护系统发生故障的频率（PFD）两种因素构成。PFD为无量纲量参数。在低频率模式下，SIL 是 PFD 的代表，以下如表 1 所示是 IEC 61508 中SIL等级与PFD的对应关系表格［7］：

表1 低频率SIL定义Tab. 1 Low frequency SIL definition

2）安全完整性等级的分析

SIL 等级的确定根据 IEC 61508 和 IEC 61511 有较多方法，比如：风险图表法、定量法、安全层级矩阵模型、保护层分析法（LOPA）等。而在工业过程控制的应用中，主流的两种方法为风险图表法和保护层分析法。相较两种分析法中，风险图表法是一种半定性/半定量的方法，不需要精确的伤害发生速率、后果以及其他参数的值，不需要专业的计算或复杂的建模。在项目初期或项目风险频率较低的工业过程中较为适用，同时可以结合危险与可操作性分析 （Hazard And Operability Analysis，HAZOP）对工艺流程的进行SIL 分析［6］。风险图表法可相对快速地、直接地用于大量的保护功能以排除事故频率/危险性较低的工况，从而凸显故障频率/危险性较高的工况。本文使用风险图表法对电厂锅炉安全监控系统实际保护动作进行分析。

风险图表法由四个主要因素如表2所示：

在四个因素中表示C等级越高后果影响越大，F越大频率发生概率越高或时间越长，P越大避免伤害的可能性越低，W越大危险发生的速率越高。表格中农的后果参数仅为典型参考值，由于IEC 标准中对该部分无定量说明，因此该部分参数需具体项目实施进行调整。

表2 风险图表法因素定义Tab. 2 Risk chart factor definition

1.3 安全仪表系统在发电行业的应用

安全仪表系统在发电行业中广泛应用于锅炉炉膛安全监控系统（Furnace Safeguard Supervisory System，FSSS）和汽轮机紧急跳闸保护系统ETS［7］。以下是以FSSS 系统作为安全仪表系统应用例子做分析。FSSS 是确保大型火电机组锅炉长期安全稳定运行的一种监控系统。其系统通过实时监控锅炉部分重要的设备、仪表等大量的参数与状态，通过取值判断、逻辑运算方式对设备发出相关联锁动作指令，以保证锅炉燃烧安全。FSSS 系统由燃烧器控制系统（Burner Control System，BCS）和燃料安全系统FSS，系统组成［8］。以下如图1 所示为电厂锅炉控制监控系统的网络组态图：

在锅炉控制监控系统网络中，锅炉FSS 系统通过接收锅炉DCS、锅炉BCS、锅炉就地保护仪表设备的保护动作信号进行逻辑判断并送至MFT 机柜进行继电器回路控制保护。

常规火力发电厂的锅炉FSSS 型锅炉炉膛安全保护系统由炉膛安全系统（FSS）和燃烧控制系统（BCS）组成，FSS应包括三大风机保护、给水保护和汽机故障保护；BCS 应是煤、油和气燃烧器管理与控制［9］。锅炉DCS 控制包括锅炉本体汽水、烟风、吹灰、后烟道辅助等系统。

2 二次再热机组安全仪表系统的实施方案

某二次再热百万机组电厂项目采用国内某锅炉厂生产的百万兆瓦级二次再热超超临界锅炉。锅炉主要技术特点有直流п 型炉、单炉膛、平衡通风、固态排渣；六层煤粉燃烧器，采用四角切圆燃烧方式；设置有一层微油点火系统，并保留常规燃油系统。

电厂基于对国内领先水平的总线和硬接线结合控制方式的二次再热机组保护考虑，在燃料安全系统（FSS）的处理器模件采用了专用、独立、满足SIL3标准的系统。以下以某二次再热百万兆瓦机组电厂中紧急停炉保护回路进行风险图表法分析。其锅炉紧急保护回路由锅炉安全监控系统（FSS）完成，当锅炉运行中发生下列情况之一时，MFT 动作，切断进入炉膛的所有燃料：

1） 炉膛火焰丧失， 风险因素划分为CB/FA/PB/W3。若炉膛火焰丧失，则经过燃烧器送进锅炉的燃料未进行燃烧，很有可能或出现锅炉内爆燃、爆炸等事故工况，而导致人身事故［10］。

2） 炉膛负压过高/过低，风险因素划分为CB/FA/PB/W2。负压过高会使炉膛烟气量加大，风速加大后从而加剧受热面的磨损以及风机效能降低。锅炉效率降低燃烧不充分，产生结焦情况。若锅炉处于低负荷运行或燃烧不稳时，可能会导致锅炉灭火以及影响锅炉的钢架结构。而锅炉炉膛内瞬时灭火，则有可能导致炉膛负压在短时间内急剧升高或急剧降低时，还可能发生炉膛内爆事故。内爆会造成水冷壁损坏或人身事故［11］。

3） 引风机/送风机全停，风险因素划分为CB/FA/PB/W2。该情况下，会导致炉膛内的烟气无法通过后烟道排出，而炉膛内燃烧不稳定，最坏情况会人身事故。

4）总风量低，风险因素划分为CB/FA/PB/W2。控制系统正常运行下应通过逻辑保护最小总风量为B-MCR 的30%风量，若风量低于设定值，会导致炉膛内燃烧不充分，部分燃料过剩。

5）给水流量过低或给水丧失，风险因素划分为CB/FA/PB/W2。控制系统正常运行下应通过逻辑保护最小给水流量，若给水量低于设定值，会导致锅炉水冷壁过热产生膜态沸腾。

6） 控制系统失电， 风险因素划分为CA/FA/PA/W2。控制系统失电，则导致锅炉控制部分、保护系统失效不能操作监视。

2.1 锅炉FSS系统在技术规范书的应用说明

在二次再热机百万兆瓦机组电厂锅炉FSS 系统采用安全仪表系统厂家提供的故障安全系统。在规范书的编制明确“锅炉FSS 系统产品的制造必须满足安全等级并遵循国际相关标准（如IEC 61508，IEC 61511， ANSI/ISA. 84.01.1996， DIN. V. VDE 0801，DIN.V.19250 等），并通过国际权威机构认证（国际莱茵TUV 认证）。MFT 应用的安全级别和选用的故障安全型控制器所采用的国际标准及达到的安全等级。”在具体工程实施中，可根据各个工程的实际情况，参照本规范书中的有关内容进行编制。需要注意的是，因每个安全保护控制系统厂家使用标准、认证机构不尽相同，具体应根据实际工程情况及标准使用情况配置。同时在规范书内也需要明确锅炉FSS 系统的主要保护控制设备、功能联锁、保护动作等。

2.2 锅炉FSS系统的控制器冗余设置

根据某二次再热电厂的锅炉FSS 系统使用SIL3等级，相应的控制器配置为三冗余设计方式。并根据国际某知名安全仪表系统厂家选用TMR 故障安全型控制器应是DCS 的一部分或同DCS 实现无缝连接。其冗余控制原理图如图2所示：

三重化冗余结构特点在于由输入模块至控制器至输出模块完全的单独通道。其三个完全相同的分支控制回路，每一支回路能独立地执行控制程序，并与其他两路并行同时工作，系统中含有安全保护软硬件机制对信号进行三取二逻辑判断［12］。三个主控制器之间使用总线进行通讯，每一个扫描周期均与其他两个控制器进行通讯和同步。总线的通信过程为每个扫描周期开始同步各主控制器，对于DI信号输入表决并对偏差值进行标识，同理DO 和AO 的运算结果也进行比较偏差值进行标识；控制器之间的程序数据和诊断信息进行传送，并通过总线把DI表决和AI计算值传送至各控制器。

针对安全仪表控制系统维护，在工程师站内有对系统诊断监视软件，可对控制器的数据采集时间、最大存储和剩余空间、当前操作控制器状态、安全钥匙位置、扫描周期等进行查询监控。同时系统针对每个控制器的卡件故障、电源故障、表决故障均有独立的报警设置，确保系统安全稳定运行。

对于国际主流的安全保护系统有双重冗余自诊断的Honeywell-FSC 系统、三重化自诊断的施耐德的TRICONEX 系统、四重化自诊断的HIMA-HIQuard、系统双处理器架构（1oo2）的AB-Guard-logix系统等。

2.3 燃料安全系统的电源配置

某二次再热百万兆瓦电厂采用的国际知名某安全仪表控制系统，其使用容错双电源模块。在电源的配供上一定要满足机组安全稳定运行，因此电厂项目在电源配供上来自两路220 VAC不同的UPS馈线柜的不停电电源，任何一路电源均可以承担系统的全部供电负荷，确保电源的品质及可靠性。同时在机柜设置机柜温度监视及电源监视继电器并其失电、过压、过流报警信号送至DCS系统进行联锁保护动作。其系统中按照电源等级划分120 V AC/DC、24 V DC和230 V AC的相对独立电源模块。

2.4 锅炉FSS系统的仪表设备及控制信号冗余性

根据DL/T 5512—2016 对锅炉工艺流程上设置依据规范要求的测点信号，同时满足锅炉FSS 保护动作相应的仪表设备应考虑冗余性的配置［13］，例如：锅炉给水流量值保护，应设置三冗余流量测量变送器；引风机全停保护，单台机组应设置2×50%容量风机设备。而对于重要的控制信号，应采用冗余信号考虑，例如：风机跳闸信号应采用三个状态信号进行逻辑判断。

3 结论

本文分析锅炉炉膛安全监控系统在电厂工程中结构组成，对安全完整性等级应用进行讨论。根据IEC 61508 和IEC 61511 标准对燃料安全系统进行SIL 等级风险图表法分析，并结合国内某电厂二次再热百万兆瓦机组项目在实际中应用的实施方案。方案中从系统技术规范书、控制器设置、电源配供、仪表设备及信号设计四方面进对安全完整性等级进行分析。最后结合国内外SIL 等级在各领域的应用情况，电力行业可利用分析评估提高工程安全可靠性。

安全完整性等级也已广泛应用于化工、石油、航天等行业，而电力行业也在逐步推广应用。从国际安全保护系统的推广及发展趋势，电力行业未来也应广泛应用SIL 等级，同时应由专业认证机构在项目前期对工程进行评估分析，可为设计、采购、施工、运行维护提供更有安全可靠的全生命周期管理方式。