SIL3安全仪表系统的设计和应用

本资料包含pdf文件1个，下载需要1积分

Design and Application of SIL3 Safety Instrumentation SystemTIAN Song(Hebei Electric Power Design and Research Department，Shijiazhuang 05003 1，China)Abstract：By reference and interpretation of the design standards of the security instrument，standardized system intro-duced the knowledge of the security instrument in the paper.And by example，the FSSS domestic thermal powerplants and the ETS security system design and application status，and focuses on the safety instrumented system，pro-posed in the Shahe power plant application of design methods and design process，the importance and design methodsfor SIL3 safety certifcation system was proposed and implementation。

Key words：safety instrumented systems(SIS)；redundance；ETS；safety integrity level(SIL)安全问题重于泰山，随着社会的发展人们对于生产安全问题越来越重视 ，特别是近年来不断发生的重特大安全事故，给人们不断敲响了警钟。在火力发电领域随着发电厂的容量越来越大，运行参数越来越高，设备和人身的安全问题以及带来的电网安全等社会问题显得尤为重要。

如何保证火力电厂运行安全避免重大事故的发生.除了加强管理的手段，在火电厂中应用成熟的安全仪表和控制系统也成为必然的要求。在-些大型工程和涉外工程都提出了采用符合安全认证标准的安全仪表系统的要求。并且随着设计标准与国际标准的接轨，在新版的《大中型火力发电厂设计规范)>GB50660-2011中也明文规定了火力发电厂锅炉和汽机跳闸保护系统宜采用经认证的 SIL3级的安全相关系统。”这也体现了设计规范对于采用安全仪表系统保证电厂生产安全的重视程度。

1 安全仪表系统的设计标准和方案架构安全仪表系统 SIS又称 为安全联锁 系统 (safetyinterlocking system).主要应用于T厂控制系统中报警和联锁部分，对控制系统中检测的结果实施报警动作或调节或停机控制，是工厂企业 自动控制中的收稿 日期 ：2012-09-28：修订 日期 ：2012-11-21作者简介：田松(1975～)，男，高级工程师，研究方向为火力电厂热工自动化仪表和控制。

对于安全仪表系统的设计标准，国际上类似标准中将过程的危险或过程安全度进行了分级 ，如德国标准DIN V19250将过程危险定义为 8级(AK1-AK8)：国际电工文员会 IEC61508将过程安全度等级定义为 4级(SILl-SIL4)，安全等级越高安全仪表系统的安全功能越强：美国国家标准学会/美国仪表学会 ANSI/ISA-$84.01将过程安全度等级定义为 3级 SILl-SIL3，如表 1所示 。

表 1 各种标准规范有关安全度等级划分对照表Tab.1 Standard norms aboutsafe degree classification table蓬IEC61508 sIL ANSI/SA s84.01 sIL TUV AK DIN V19250早在 1990年石油石化领域就颁布了 《石油化工安全仪表系统设计规范》SH 3018-1990，并在2003年进行 了修编 。新标准的编号 SH/T 3018-2003.标准中对安全仪表系统的设计做了详细的规定，并且在石油化工生产领域已经得到了非常广泛的应用，成为必须满足的设计规范和必备的条件。

相 比于石 油石化领域在 国内火 力发 电领域就显得非常滞后了。设计人员缺乏具体的设计依据和操作程序.在-些涉外的工程中设计人员还是主要参考国际电工委员会 IEC61508的技术标准，安全仪表和控制系统在国内火力发电厂的应用也是寥寥无几，因此也在此呼吁尽早地制定火力发电领域的安全仪表设计标准，推广安全仪表系统在火力发电厂的应用，提高火电厂的安全等级。

由于在国内应用较少，在具体工程设计中还没有相应的规范可以参照，很多人认为只要采用了符合认证标准的安全仪表或控制系统就是安全仪表系统，这是对安全仪表系统的片面理解。安全仪表系统的核心是从就地设备到控制器的整体设计方案冗余架构满足安全标准的冗余度和平均故障率要求，就地设备的冗余度和故障率要求比较容易满足要求，但作为系统核心的控制器的冗余结构比较难于理解和实现.表 2列出了国际标准中安全仪表系统安全等级和控制器冗余架构的对应关系。

自动化与仪表 2013(2)表 2 控制器结构和 安全 系统对应关系表Tab.2 Controler structure and securitysystem corresponding relation table逻辑单元结构 IEC61508 SIL TUV AK DIN V19250符合 SILl和SIL2标准的系统比较常见，在设计和工程中有较多应用，也比较冗余实现。在新版的大火规中建议火力发电厂 FSSS系统和ETS系统采用 SIL3等级的安全仪表系统，下面对符合 SIL3安全等级系统的几种冗余架构进行解释和说明。

(a)二取-带 自诊断 (1oo2D)结构 ：当第-个CPU被诊断出故障时，该 CPU被切除，另-个 CPU继续工作。如果第-个 CPU不能在其被诊断出故障后 1 h内修复，系统会在 1 h后自动停车以保证故障安全.如西门子 S7-400FH系统等。

(b)三取二(2003)结构：三重化的 CPU、机架、I/O卡在硬件上均各自独立.分散设计，可通过三取二表决机制保证输出正确，单-拈故障可在线更换，如美 国 GE公司的 90-70 GMR系统 ，GE公司的BENTLY 3701 ETS系统 。美国Woodward公司的Micro Net TMR系统 、Triconex公司的 Tricon系统 、Honeywel公司的 FSC系统 、英 国 ICS Triplex公司的 Regent系统等。

(e)20o4D(双重化二取-带 自诊断)结构：四个CPU分成两对，既同时工作又相互独立。当其中-个 CPU被诊断出故障时.则该对 CPU被切除，所剩- 对 CPU继续以 1002D的模式工作。这对独立工作的 CPU仍满足安全等级 SIL3的要求。只有当这对CPU其中再有-个故障时.系统才考虑停车。此结构对于故障修复时间没有限制。如德国 HIMA公司的PES/H41q/H5lq系统等。

2 符合 SIL3安全标准的 ETS系统在沙河电厂的设计和应用由于安全仪表的标准和结构比较抽象和难于理解 ，下面结合在沙河电厂 ETS系统中采用的符合SIL3安全标准的停机系统设计方案，对 SIL3的设田计过程、原则和方法进行简要的说明。

(1)工程概况河北建投沙河电厂位于河北省邢台沙河市境内，本期工程建设 2x600 MW超临界直接空冷机组，并留有扩建余地。主厂房和辅助车间控制系统均采用 GE新华公司的新系统 OC6000E系统。

(2)设计标准本工程为南网重点工程，根据新火规和电厂要求 ，ETS系统采用符合 SIL3安全标准的安全仪表系统。

参考国际电工委员会 IEC61508的技术标准和《石油化工安全仪表系统设计规范》中的设计要求和系统设计方法，结合火电厂的工程经验，在业主的帮助和支持下通过以下步骤实现了符合 SIL3的安全等级要求的ETS设计方案(3)系统架构和控制系统选型首先方案架构上 .根据 IEC61508的标准采用符合 SIL3的安全系统.通过查表可以得出输入、输出和控 制器架构方 案可采用二 取-带 自诊 断(1oo2D)、三取二(20o3)或 20o4D(双重化二取-带自诊断)的架构。

输入仪表和输出机构满足冗余的要求比较容易实现，比较难于实现的是控制系统中控制器的方案架构 ，由于本工程控制系统采用了 GE公司的系统，ETS在满足方案架构的要求前提下优先选择了CE公 司的 BENTLY 3701 ETS系统 .不仅实现 了安全标准的要求并且与 DCS系统做到了兼容-致 ，从就地仪表、输入卡件 、控制器、输出卡件、执行设备都按照 $1L3安全系统中三取二(2003)要求设计和实现，控制系统方案架构如图 1所示。

输入拈 控制拈 输出拈 ：厂--l-l输出回路H l旦1t：.1 MPU lL------J 。 I...。

输入拈 ! 控制拈 输出拈 ：厂-- -l输出回路H l旦2j 叫 MPU lI...........J I I输入拈 ； 控制拈 输出拈 ：厂-l输出回路H l旦3 .MPU lI----------J I 1..。

图 1 三取二架构 图Fig.1 Three choose two structure diagram口ETS系统采用了 三重冗余的控制器，分别通过二三条冗余的通信总线与j三重冗余的IO卡件相连，实现控制系统网络架构的 重冗余。

控制器之间通过冗余通信电缆每两个控制器之间相互连接，实现二取二冗余，每个计算结果通过二取二冗余判断进行校验 ，保证结果输出的-致与正确。

如图2所示，系统由i个单元组成，每个单元由1个 CPU控制器 、48点 DI输入和 8点 DO输 出：i个单元的输入通过 3取 2冗余校验组成系统48点输人 ；i个单元的输出通过 3取 2冗余校验组成 系统 8点输出。输入和输出仪表和卡件也采用i重冗余配置，分别进入独立的10通道和控制器幂-熊臻的图 2 系统硬件配置和输入输 出冗余配置方案Fig.2 System hardware configurationand inpufoutput redundant configuration(4)系统安全评估系统架构设计完成后安全性评估同样重要 ，安全性评估是针对整个系统和架构的平均故障率和可用度的综合评估，从仪表输入到最终的系统输j 其中-个环节没有满足平均故障率的要求.整个系统就不能满 足要求 ，按照 IEC61508的评估标准有着- 套严格的评估和打分机制。

系统最终参照美国国家标准学会安全功能安全系统的标志性指标安全完整性等级(SIL)评定和《石油化工安全仪表系统设计规范》关于自动停车系统的相关要求，按照 SIL3安全等级设计的方案应按照相关的计算和评价方法进行相应的评估.仪表和控制系统的硬件保证系统的平均故障率 10-s～10满足了标准的要求。

3 结语通过在沙河电厂的使川证明，相比于常规系统Automation＆ Instrumentation 2013f21采用符合 SIL3安全标准的 ETS系统的安全性和可靠性都得到了大大的提高，没有发生-次勿动或拒动，得到了业主的-致好评↑年来，随着燃机的广泛应用 .国内已经运行 .在建的大型燃机工程中燃机岛也大多采用了符合 SIL3的安全系统设计 ，保证了系统的安全和可靠性，推动了安全仪表系统在火电厂更加广泛的应用∩以预见随着人们对于安全的重视 .在将来会有越来越多的满足安全认证的系统应用在发电厂中，电厂也将更加的安全和可靠。