功能安全评估在国产百万火电机组的应用实践
李博
.神华福能发电有限责任公司 福建泉州 362712
摘 要:本文将功能安全国际标准引入到国产百万火电机组的安全研究,通过危险与可操作性(HAZOP)分析和安全完整性等级(SIL)评估的方法,找出仪表安全系统中存在的风险,确定风险等级,进而找出降低风险等级的方法和对策,把风险降低到可接受的水平。不仅为发电机组的顺利投产和安全运行提供重要参考依据,同时首次将功能安全评估引入到国产百万火电机组应用实践,值得行业内推广借鉴。
关键词:功能安全;国产百万机组;HAZOP分析;SIL评估
0.引言
2000年,国际电工委员会发布了功能安全国际标准IEC 61508,成为系统解决安全问题的标准,也是国际各领域通行的功能安全基础标准。在欧美发达国家,已广泛采用功能安全标准,并在各领域开展功能安全评估,我国刚刚起步,并引进并推广。而我国目前尚无专业的功能安全评估机构,一些大型企业内部已经开始尝试功能安全评估,但只局限于对过程风险分析和硬件安全完整性等级计算[8]。一些研究机构已经开始功能安全评估的实践,但不够全面。功能安全是系统地辨识风险,将风险降低到可接受水平,其特点是把风险作为度量危险的指标[4],并防止安全相关系统或设备功能失效所导致的危险。
某超超临界2×1000MW燃煤发电机组的三大主机均为中国东方电气集团有限公司生产,在机组基建期,对汽轮机紧急跳闸系统(ETS)进行HAZOP分析和SIL评估。首次将功能安全评估引入到国产百万火电机组的应用实践中,从汽轮机设计、工艺、设施、管理、规程等方面中存在的潜在危险;针对泄漏、火灾、爆炸、误操作等典型危险事件,辨识预防或保护措施;判断汽轮机保护措施及当前发生频率下的安全保护水平,找出风险,分析各类保护措施的有效性。
1.HAZOP分析
1.1方法概述
HAZOP(HAZard and
OPerability study)是危险与可操作性分析的简称,是针对系统与操作性问题,辨识其对人员、设备的潜在性风险,保证操作有效性的一套结构化、系统性的分析方法。其目的在于:
(1)系统、详细地对工艺、设施、管理、规程进行检查,识别存在的设计缺陷、设备故障、操作过程中的人员失误等可能带来的安全影响。
(2)列出偏离正常状态的偏差、导致偏差的原因、可能出现的后果,以及针对这些偏差现有的安全措施。
(3)评估现有工程、程序上存在问题的严重性和现有安全设施的充分性,增加安全设施。
1.2节点划分及偏差辨识
根据汽轮机 ETS 系统的设施和工艺设计,HAZOP分析内容包括流程本身及其涉的设备设施,分析其可能存在的偏差或操作缺陷。将相关的工艺流程及设备划分成润滑油系统、主蒸汽系统、再热蒸汽系统、汽轮机本体、EH油系统等共10个节点。
为每个节点确定需要考虑的参数,如润滑油系统考虑的参数包括:压力、油温、油箱液位等;列出可能导致工艺偏离于正常参数的偏差,评估节点范围内导致偏差的原因。
1.3 HAZOP分析成果
根据图纸、规程及现场调研,应用HAZOP方法对工艺、设备等方面开展风险分析,对问题的严重性和现有安全保护措施的完整性进行评估,给出增加或改进安全措施的建议。发现中高风险点23处,低风险点12处,提出共计36项建议,并确定相应的风险等级评价。
2.SIL评估
SIL(Safety Integrity
Level),即安全完整性等级。风险和安全完整性之间的差别在于:风险是某个规定的危险事件发生的频率及其后果的一个度量,可对各种情况的风险(过程风险、允许风险、残余风险等)进行评估,允许风险涉及到社会和政治因素的考虑;安全完整性是SIF(安全仪表功能)和其他保护层达到规定安全功能的可能性的一个度量,一旦设定允许风险并估算必要的风险降低,就能分配SIS(安全仪表系统)的安全完整性要求。
SIL分析是根据风险分析结果,针对汽轮机ETS系统所涉及的安全相关系统,对每一个控制回路的安全完整性等级进行评定。评估重点是典型流程中的安全控制回路,其研究分析结果对冗余系统的适用性,可以用于冗余系统的设计。
2.1方法及流程
SIL评估是在HAZOP分析基础上,确定SIS功能和合理的SIL指标,以实现安全和成本的最佳平衡。不同的SIL等级,为用户单位的管理、人员配备、操作规程和维护周期等提出不同的要求。
(1) 确定过程可接受风险:根据国际惯例及电力相关企业标准,可接受的个人风险为:1×10-3/年,社会风险为1×10-5/年;
(2) 根据现场系统相关文件确定风险矩阵;
(3) 根据风险分析结果辨识出由实现的安全仪表功能;
(4) 选取一个待分析的安全仪表功能;
(5) 根据现场调研、人员经验及电厂提供的案例及安全危害因素评价,估算该安全仪表功能要求的动作率及拒动后果严重性;
(6) 依据风险评价矩阵表选定该仪表功能所需达到的PIL、AIL、EIL、RIL,并确定该系统必须达到的综合安全完整性等级。
2.2 SIL分析成果
本次对汽轮机ETS系统27项安全功能回路进行安全完整性分析和定级,包括润滑油压低保护、蒸汽温度保护、超速保护停机、轴振超限停机等。其中有2条功能回路要求等级为SIL3,17条功能回路要求等级为SIL2,8条功能回路要求等级为SIL1。
其中,针对SIF1润滑油压低停机功能回路,根据HAZOP分析和SIL定级,目前在润滑油供油管路中,未设置任何模拟量监测和油压低报警,本功能回路需达到SIL3才可将风险降低到可接受范围内。采纳HAZOP分析建议,在母管上增设压力变送器,并设置DCS系统报警,独立设置压力开关的取样管,则本功能回路的SIL要求可降为SIL2。
3.MFT、主要辅机保护评估
为实现机组整体功能安全,将功能安全评估方法应用于MFT、主要辅机保护的评估,从图纸、逻辑、接线、元件的安装及回路等进行全面评估。针对发现的问题,制定防控措施,提高热工保护的可靠性,避免出现保护误动、拒动。
4.结论
经过HAZOP和SIL分析,找出所有的风险点,确定安全等级,使其所有的风险达到可控。根据评估后确定的SIL等级,评估是否达到风险预控目标,通过采取预控措施,使得汽轮机遮断系统(ETS)安全系统达到安全可靠,避免失效,最终确保人员和财产安全。针对现场实际工艺系统和安全仪表系统现状,结合HAZOP分析和SIL定级,共采纳28条建议,并制定整改完。经过机组带负荷运行,未发生不安全事件,各项保护均能正确可靠动作。
通过功能安全评估的应用实践,有效的实现风险预控,将事故风险消除在萌芽状态。作为国内首个引进功能安全评估的国产百万火电机组,并成功的实施,大幅度降低机组非停几率,保障人身、设备和电网安全的同时,创造显著的直接经济效益,值得业内推广。
参考文献
[1] IEC 61508.电气/电子/可编程电子安全相关系统的功能安全[S],1998.
[2] GB/T20438-2006.电气/电子/可编程电子安全相关系统的功能安全.
[3] GB/T21109-2007.过程工业领域安全仪表系统的功能安全.
[4] 史学玲.我国功能安全标准实施预案研究[J].自动化仪表,2006,27:8~12.
[5] 阳宪惠,郭海涛.安全仪表系统的功能安全[M].清华大学出版社,2007.
作者简介
李博(1982-)男,湖北人,主要从事火电厂热控技术管理工作。