英语原文共 10 页，剩余内容已隐藏，支付完成后下载完整资料

根据IEC 61511确定作为电推进的船用燃料电池系统的安全完整性水平(SIL)

关键词：

燃料电池电力推进 燃料电池功能安全 国际电工委员会61511 熔融碳酸盐燃料电池(MCFC) 燃料电池安全完整性级别(SIL)

摘要：

本研究调查液氢罐车中以熔融碳酸盐燃料电池为基础的电力推进系统的安全完整性水平。电力推进系统需要多个电子元件和电气元件，因此必须考虑系统的功能安全性。此外，船用燃料电池系统是一种非常规推进机械。该系统应遵循基于风险的船舶设计框架，国际电工委员会61511是评估该系统功能安全性的合适标准。危险可操作性研究为确定安全完整性提供了基本信息。在这项工作中，生成了安全层矩阵和校准的风险图，并对熔融碳酸盐燃料电池堆进行了保护层分析。使用8个指导词来描述意外情况，并以公正的方式比较这三种方法的结果。最严重的后果是烟囱溢出或控制故障引起的火灾和爆炸，安全完整性级别各不相同。

copy;2018氢能出版物有限责任公司。爱思唯尔有限公司出版。保留所有权利。

介绍：

生态友好型航运和改进的船舶推进效率已导致船用燃料和电力系统的多样化。航运业人为排放的二氧化碳(CO2)占3%，氮氧化物(NOX)占15%，硫氧化物(SOX)占13%[1]。国际海事组织(IMO)认识到这些排放是严重的威胁，并实施了EEDI(能效设计指数)、EEOI(能效运行指标)、SEEMP(船舶能效管理计划)和ECA(排放控制区)，以实现更环保的航运[2]。船用发动机技术的发展提高了燃油消耗效率，降低了排放。船舶的主要推进机械在19世纪和20世纪从蒸汽机发展到内燃机，内燃机代表了一个多世纪的领先技术。最近，各种技术，如燃气轮机、双燃料柴油发动机和燃料电池，已被强调为减少船舶尾气排放的方法[3]。风能和太阳能等可再生能源是近期船舶推进的潜在能源。

根据驱动类型的不同，船舶动力系统可分为机械推进、电力推进或两者的混合动力系统[3]。自从蒸汽机问世以来，大多数现代船舶都采用机械推进。主机专用于船舶推进，辅助动力装置提供电力需求。由于该系统结构推进可用性差，机动性有限，因此开发了电力推进系统[3]。自20世纪90年代以来，电力推进从游轮和海军舰艇迅速普及到渡轮、特种船舶和天然气运输船。特别值得一提的是，高效双燃料发动机是LNG(液化天然气)运输船采用电力推进的基础[4]。液化天然气船队中的大多数船舶推进系统是DFGE(双燃料燃气轮机电力)和DFDE(双燃料柴油-电力)[4，5]。因为这些系统直接消耗货物安全壳系统中沸腾的气体作为燃料，所以它们比使用油基燃料的内燃机排放的污染物更少[5]。海军驱逐舰、护卫舰、拖船和近海补给舰需要使用混合动力组合来快速改变负载[3]。

与机械推进相比，电力推进具有更好的环保性能和低排放、低噪声的燃油消耗效率，船舶定位服务需要相当大的功率相对于最大持续额定功率(MCR)。此外，电力推进有助于降低维护费用，因为系统由推进和辅助动力共享[3]。目前，DFGE和DFDE以及燃料电池的电力推进是可能的，它们被认为是未来的船舶动力系统[6]。

燃料电池是一种将化学能转化为电能的装置[7]，由于没有燃烧过程，它比蒸汽机或内燃机产生更低的空气污染物和噪音水平[6]。此外，燃料电池不受热力学卡诺循环的限制[7]。燃料电池根据燃料、电解质和工作温度有不同的分类，它们作为辅助动力装置在潜艇[8]、纯汽车运输船[9]、近海补给船[10]、豪华游艇[11]和客船[12]中的使用已被研究过。一些研究已经考虑了气体运输船中的燃料电池电力推进，如LNG运输船和LH2(液化氢)油轮[13-15]。

几个船级社要求对海上应用的燃料电池进行风险分析，作为批准要求[12]，以确保燃料电池系统作为基于风险的设计框架的非常规推进类型的安全性。然而，船级社尚未就应该使用的风险分析方法达成共识。很少有研究关注燃料电池的风险和可靠性分析[14]。此外，固定式燃料电池系统的国际标准IEC62282没有为海事应用提供适当的安全考虑[16]。

电力推进需要增加船上的电气和电子元件。因此，从功能安全性的角度考虑，燃料电池电推进应采用安全完整性等级(SIL)。国际电工委员会61508是整个行业的通用标准，它将SIL定义为安全运行的级别[17]。特别是，过程部门，包括非核能发电，遵循国际电工委员会61511来确定SIL[18]。由于燃料电池发电消耗气体燃料，采用国际电工委员会61511来确定SIL是合理的。

本研究对某船用燃料电池系统的危险可操作性(HAZOP)和安全可靠性(SIL)进行了研究。SIL是根据液化氢罐车中熔融碳酸盐燃料电池(MCFC)堆的HAZOP结果按照IEC标准确定的。本研究的学术贡献在于为电力推进系统提出了合适的风险分析技术，并得出了合适的结果。本文件的其余部分组织如下。船用燃料电池系统一节介绍了MCFC系统的技术和运行情况。HAZOP一节介绍如何执行HAZOP分析。第四节SIL测定部分介绍了SIL测定的程序和几种方法。部分结果和讨论总结了HAZOP和SIL的结果。结语部分对本文进行了总结。

船用燃料电池系统

燃料电池的海上应用应考虑其能量密度、电效率、寿命、燃料灵活性、技术成熟度、物理尺寸、环境影响和安全方面[6，12]。虽然从低温型到高温型已经引入了各种燃料电池，但最适合船舶推进的燃料电池类型仍然不清楚[6]。燃料电池的最佳类型可能取决于船型和与MCR相关的功率需求。此外，高温燃料电池，如MCFCs和SOFC(固体氧化物燃料电池)，如果船舶需要大规模的功率需求，可能是合适的系统，因为这些燃料电池具有国际氢能期刊44(2019)3185e3194 3186高燃料灵活性，并从废气中回收废热[6]。在这些燃料电池中，MCFCs比SOFC有更大的使用潜力[19]，这是基于对船舶推进和大规模固定发电的评估[10]所证明的。

MCFC在650摄氏度时使用熔盐作为电解质发电[20]。进料流是天然气和水的混合物，通过燃料电池组中的SMR(蒸汽甲烷重整)和WGS(水-气变换)反应转化为H2、CO和CO2[21]。H2和CO用CO3(2-)氧化(碳酸盐离子)，同时产生反应物和2个e(电子)。CO2和O2在阴极与2e反应生成CO3(2-)。因为整个反应是放热的，所以必须使用吸热SMR反应来维持热平衡[21]。

本研究以140K液化氢油轮为研究对象，研究了一种基于独立MCFC的电力推进系统。推进系统拥有350kW-MCFC烟囱中的89个，一个空气压缩机，一个氢气压缩机，一个天然气压缩机，一个水泵和几个热交换器。液货舱中沸腾的氢气作为燃料的一部分被消耗，这意味着相当数量的氢气是由SMR工艺提供的，其余的是沸腾的气体[21]。多个堆栈中产生的电力驱动电动机，这些电动机通过变速箱和轴连接到螺旋桨。油轮中的燃料电池电推进如图1所示。

图2将MCFC堆栈的Pamp;ID(管道和仪表示意图)描述为单个过程段。应研究与该部分相关的各种危险和后果。例如，如果LCV(液位控制阀)出现故障，进给偏差，电气效率将会降低。但是，如果原料供应不顺畅，就不能保持堆温，导致电解液凝固，进而导致船舶动力停机。为了管理这些工艺偏差，防止事故的发生，应按照船级社的规定安装控制和监测设备。BPC(基本过程控制系统)管理电池电压、电池电压偏差、废气温度、电堆温度、电流、空气流量和压力，以及燃料流量、压力和温度[22]。

危险与可操作性分析

HAZOP是风险分析中的一种分析技术，比HAZID(危险识别)处理更详细的危险[23]。风险被定义为LH2油轮中燃料电池电推进的图1e示意图的组合[21]。国际氢能杂志44(2019)3185e3194 3187，对某一事故的发生频率和后果进行评估，并应结合相关人员、资产和环境进行评估[24]。表1和表2对航运业电力推进的预期频率和后果进行了分类。

HAZOP研究调查操作下的所有潜在偏差，并审查工艺段中的适当安全措施。因此，在进行HAZOP研究之前，应准备一份表明控制逻辑和电子/电气仪器的Pamp;ID[25]。HAZOP研究使用指导词来描述某种偏差。HAZOP团队由多学科专家组成，如项目经理、调试经理、流程设计师、仪器/电气工程师和安全工程师，针对每个指南的潜在场景进行头脑风暴[26]。在这里，参与者的积极和负责任的贡献是取得成功的HAZOP结果的关键因素。

一位经验丰富的HAZOP协调人在整个过程中起着主导作用，并向考虑过程变量的参与者提供指南，并促进深入的讨论[26]。参与者考虑温度、压力、流量、液位、反应、排气、维护、电流和功率密度的潜在偏差和操作条件，并使用NO、LIST、LOW、MORE、HIGH和REVERSE等指标。最后，抄写员以标准形式记录已识别的危害、后果、风险级别和建议[27]。

应根据风险接受标准评估已识别的危险的风险。这些标准表示通过指定风险级别来衡量某一危险的重要性，并以风险矩阵的形式加以说明，该矩阵有三个区域：可忽略区域、ALARP区域(低至合理可行)和不可接受区域[23]。在可以忽略的区域，不需要额外的危险措施，而在ALARP区域，现有的措施就足够了，或者需要合理可行的措施。在不可接受的区域，必须改变工艺设计或需要采取相当大的安全措施来降低风险。图3显示了基于表1和表2中的数据的风险接受标准；它需要专家集思广益，因为没有关于风险级别的简明声明分类。

SIL测定

IEC 61508是基于性能的安全标准[27]，涉及整个行业的E/E/PESRS(电气、电子和可编程电子安全相关系统)。与安全相关的系统有三个要素：传感器、逻辑求解器和执行器。该系统通常被称为SIS(安全仪表系统)[28]。SIS的安全功能定义为安全完整性。SIL由SIS能够令人满意地执行所需安全功能的PFD(按需故障概率)确定[17]。

与安全相关的系统应用于各个部门，如机械工程、汽车、铁路系统、医疗系统、流程工业、航空和核电站。每个SIL测定都遵循遵循国际电工委员会61508[17]理念的专门标准。加工部门应符合国际电工委员会61511标准。本标准是国际电工委员会61508和美国国家标准协会/国际标准化组织S84.01[28]的组合。SIL测定的代表性方法如下[18]：

1.安全层矩阵

2.经过校准的风险图，

3.LOPA(保护层分析)。

安全层矩阵基于关于事故的频率和后果以及可用的IPLS(独立保护层)的定性知识，这意味着使用具有危险事件严重性等级、危险事件可能性和多个IPLS的矩阵来确定SIL，如图4所示。每个IPL必须防止或减轻事故的潜在后果。

校准风险图是用于基于流程和BPC的风险因素来确定SIL的技术，并且它利用包含危险情况的后果(C)、占有率(F)、避免危险情况的概率(P)和需求率(W)的决策树，如图5所示。表3中的参数反映到决策树中的SIL。为了估计后果(C)，假设人数为4人，因为燃料电池组安装在机舱内。

LOPA是一种系统的技术，用于分析潜在意外情况的重要性。必须考虑IPLS以防止或减轻已识别的危险。LOPA的主要特点是HAZOP结果直接反映在分析中，如图6[29]所示。明显的特征是原因和结果之间优先级的变化；在HAZOP中，第一个关注的是原因，而在LOPA中，第一个关注的是结果。对于PFD计算，保障措施的数量被分配一个概率，而频率和结果具有详细的数字，如启动可能性和TMEL(目标减轻的事件可能性)。

船用燃料电池系统的SIL测定遵循上述三种方法，并使用了船用燃料电池系统中的工艺段和表4中的频率。PFD计算利用每个频率[30]。这里，试验间隔取为12个月。

结果和讨论

本节将关于MCFC堆栈的HAZOP和SIL结果作为流程段进行描述。多位专家，如工艺设计师和安全工程师，推断出基于潜在事故的频率和后果的情景的风险。HAZOP提出了如何将每个风险评估为以结果为中心的结果。因此，风险值取决于后果等级，这意味着可以从单个指导词导出多个意外原因。所有风险都应按照图3所示的风险接受标准进行评估。

表5e7显示了八个指导字的HAZOP结果。大多数风险都在ALARP区域观察到，而少数风险仍然存在于可以忽略的区域。这些发现只是说明MCFC电堆有足够的安全措施来应对危险情况；TI(温度指示器)和VZA(电压报警)等安全措施可以正确地应对危险。但是，对于火灾和爆炸的最高风险，应该考虑安全措施，而且这个风险水平是不能接受的。因此，需要修改堆栈设计以减轻或防止后果。最低风险是由于供气过多造成的，没有发现不可接受的风险。表8总结了使用相同导词的三种方法的比较得出的SIL结果。即使具有相同的引导词，不同的方法也会产生不同的SIL结果。

安全层矩阵同时考虑频率和后果。SIL值由矩阵决定，同时考虑IPLS的数量。HAZOP的风险基于保障措施的存在而转换为SILS。表8中的安全层矩阵表明MCFC堆栈的大多数安全功能应该由SIL 1保证。

校准的风险图有助于根据结果分配SIL。正如在HAZOP分析中一样，如果由于相同的原因导致结果不同，则分配不同的SIL。然而，采用SIS不仅要考虑后果，还要考虑原因的影响，这意味着SIS的功能是作为一个综合措施来应对所有后果。根据与低温相关的指导字，应该需要SIL3；但是，BPC和SIL1可以响应表8中所示的其他指导字。

LOPA根据影响事件(结果)以类似于校准风险图的方式分配SIL。反映在TMEL(目标缓解事件似然)中的所有碰撞事件的IEL(中间事件似然)。这里，IEL是IPL的PFD值的总和。TMEL和IEL之间的差异是指防止或减轻事故所需的平均PFD值。PF

剩余内容已隐藏，支付完成后下载完整资料

资料编号：[237694]，资料为PDF文档或Word文档，PDF文档可免费转换为Word