丁淇德

（國電投周口燃氣熱電有限公司，河南 周口 466200）

0 引言

隨著我國能源結(jié)構(gòu)的不斷優(yōu)化，以及環(huán)保要求的不斷提高，發(fā)電過程的安全穩(wěn)定性也越來越重要，針對熱力發(fā)電過程的可靠性分析進行的研究也越來越多［1-3］。安全完整性等級（Safety Integrity Level，SIL）作為可靠性分析中的重要方法，已廣泛應(yīng)用于安全儀表系統(tǒng)（Safety Instrumented System，SIS）的分析中。如何確定安全完整性等級，在IEC 61508與IEC 61511標(biāo)準(zhǔn)中有一套科學(xué)的流程和方法［4-5］。目前，國內(nèi)外對安全完整性等級的研究集中在機車控制、軌道交通、化工生產(chǎn)等領(lǐng)域中［6-11］，對燃氣輪機領(lǐng)域的研究相對較少。目前，常用的安全完整性等級分析方法大多是以安全儀表系統(tǒng)與控制系統(tǒng)獨立為前提，且分析過程都集中在安全儀表系統(tǒng)上［12-15］。目前，燃氣輪機電廠所使用的軟硬件系統(tǒng)大多是對安全儀表系統(tǒng)與控制系統(tǒng)的高度集成，使保護系統(tǒng)與控制系統(tǒng)的耦合度極高，現(xiàn)有的安全完整性等級分析方法并不適用這種情況。本研究通過分析DCS系統(tǒng)模件的可靠性，使用可靠性框圖法與故障樹法來建立整個保護與控制系統(tǒng)的可靠性模型，對電廠現(xiàn)場生產(chǎn)過程中的故障記錄進行處理，并將結(jié)果代入到模型中進行計算，從而完成安全完整性等級分析。

1 燃氣輪機保護與控制系統(tǒng)

某燃氣輪機的DCS系統(tǒng)將保護功能集成在過程控制功能中，用一套保護與控制系統(tǒng)來實現(xiàn)。該保護與控制系統(tǒng)所使用的模件包括主控制器模件、Profibus DP通信模件、以太網(wǎng)通信接口模件、I/O模件。

主控制器模件用于實現(xiàn)過程控制及保護功能，其由控制子模件、通信子模件、通信終端單元及安裝基座組成。其中，控制子模件、通信子模件皆為二重冗余熱備用，在發(fā)生故障時，二者的冗余切換是相互獨立；Profibus DP通信模件由Profibus DP通信子模件、通信終端單元、安裝基座組成。Profibus DP通信子模件用于執(zhí)行數(shù)據(jù)的處理功能，通信終端單元為其提供接口；保護與控制系統(tǒng)的I/O模件按照數(shù)據(jù)類型和流向可分為AI、AO、DI、DO四組，并通過加裝的I/O通信接口模件與Profibus DP子通信模件的連接來實現(xiàn)數(shù)據(jù)通信。該系統(tǒng)的I/O單元包括9個DI模件、24個AI模件、3個DO模件、1個AO模件以及5個I/O通信接口模件。該燃氣輪機保護與控制系統(tǒng)結(jié)構(gòu)圖見圖1。

圖1 燃氣輪機保護與控制系統(tǒng)結(jié)構(gòu)圖

2 安全完整性等級模型構(gòu)建

2.1 失效定義

通過將該電廠的故障維修記錄與專家經(jīng)驗相結(jié)合的方式來定義系統(tǒng)失效，將其定義為執(zhí)行保護與控制功能時系統(tǒng)的通信過程出錯［16］。在進行安全完整性等級分析時，由于要考慮每種失效所造成后果的嚴(yán)重程度，可依據(jù)系統(tǒng)失效行為產(chǎn)生的影響來進一步劃分系統(tǒng)失效。安全失效是指不會造成保護功能無法正確執(zhí)行的失效；危險失效是指不僅會影響生產(chǎn)過程的生產(chǎn)效率，還會使保護功能無法正確執(zhí)行的失效。

2.2 可靠性框圖法模型

構(gòu)建系統(tǒng)可靠性模型是為了計算出要求時的平均失效概率，從而確定整個系統(tǒng)的安全完整性等級?？煽啃钥驁D模型（見圖2）是分析保護與控制系統(tǒng)正確執(zhí)行其功能的充要條件。判斷該系統(tǒng)的保護與控制功能是否實現(xiàn)，不僅要考慮系統(tǒng)中各模件的狀態(tài)及各模件之間的數(shù)據(jù)通信網(wǎng)絡(luò)的狀態(tài)，還要考慮各個模件的安裝基座是否能正常供電。

圖2 系統(tǒng)可靠性框圖模型

2.3 故障樹模型

故障樹同樣是安全完整性等級分析中的經(jīng)典方法，其不僅能表示可靠性的結(jié)構(gòu)關(guān)系，還能清晰地表示故障事件的內(nèi)在聯(lián)系，以及單元故障與系統(tǒng)故障間的邏輯關(guān)系［17］。由于安全完整性等級計算所關(guān)心的是危險失效情況，即定義頂事件是為了保護與控制系統(tǒng)危險失效，造成該危險失效的中間事件有以太網(wǎng)通信接口模件部分危險失效、Profibus DP通信站部分危險失效、I/O模件部分危險失效、主控制器部分危險失效、總線部分危險失效。保護與控制系統(tǒng)的故障樹如圖3所示。

在圖3中，“1”“2”“3”“4”“5”分別是以太網(wǎng)通信接口模件、Profibus-DP通信模件、主控制器模件、通信總線以及I/O單元，由此可繪制出各自的故障樹。圖3中大寫字母間的不同排列組合用于表示具體的失效情況，將危險失效分為檢測到與未檢測到、共因與非共因［18］等。

圖3 保護與控制系統(tǒng)故障樹

3 安全完整性等級驗證

3.1 電廠失效數(shù)據(jù)處理與專家評估

在建立可靠性模型后，通過相應(yīng)的可靠性模型可計算出整個系統(tǒng)的安全完整性等級。安全完整性等級分析所用到的失效數(shù)據(jù)來自該電廠的故障維修記錄，參與失效統(tǒng)計的模件為該電廠使用的全部相關(guān)模件，故障記錄時間為2018年11月5日—2021年2月13日，統(tǒng)計時間跨度為19 872 h。危險失效率的計算公式見式（1）。

式中：m為故障次數(shù)；N為統(tǒng)計的元件數(shù)量；T為統(tǒng)計的時間，h；λD為危險失效率；FIT為危險失效率λD的度量單位，1 FIT是指單個模件在109h內(nèi)失效一次，控制與保護系統(tǒng)中各個模件的危險失效率見表1。其余模件或通信總線由現(xiàn)場專家對相似模件或通信總線進行評估得到，具體結(jié)果見表2。

表1 主要模件的危險失效率

表2 其他模件或通信總線的危險失效率

3.2 可靠性框圖法最終結(jié)果

先計算系統(tǒng)的總體平均要求時失效概率PFDavg、安全完整性等級與PFDavg的關(guān)系，如表3所示［4］。

表3 主要模件的危險失效率

將各模件及通信總線的危險失效率λD代入可靠性框圖模型中進行求解，即可得到系統(tǒng)總體的PFDavg。由圖2可知，該系統(tǒng)的可靠性框圖擁有1oo1、1oo2兩種結(jié)構(gòu)，其中以太網(wǎng)通信接口模件、終端通信單元、安裝基座、并行通信總線、終端電阻以及I/O單元的結(jié)構(gòu)是1oo1，其余為1oo2。

該系統(tǒng)各部分均具有自我診斷功能，則在1oo1結(jié)構(gòu)中，PFDavg的計算公式見式（2）。

式中：λD為危險失效率；λDD為檢測到的危險失效率；λDU為未檢測到的危險失效率；MTTR為維修時間，h；TI為功能測試的時間，h；tCE為平均停車時間。

由于1oo2的結(jié)構(gòu)要考慮共因失效的因素，其PFDavg的計算公式見式（3）。

式中：β為共因失效因子；βU為未檢測出的共因失效因子；βD為檢測出的共因失效因子；tGE為平均停車時間。一般情況下，根據(jù)專家意見，TI取8 760 h，MTTR取8 h，λDD在λD中的占比為0.8，λDU在λD中的占比為0.2。通過計算，tCE=884 h，將上述參數(shù)代入式（2）中，可得1oo1結(jié)構(gòu)下的PFDavg。同理，β取值為0.027，將其代入式（3），得1oo2結(jié)構(gòu)下的PFDavg。系統(tǒng)總體的PFDavg總由構(gòu)成系統(tǒng)的各個模件及通信總線的PFDavg相加得到的，計算公式見式（4）。

PFDavg總的計算結(jié)果為0.078 260 395。由此可知，該燃氣輪機的保護與控制系統(tǒng)滿足SIL1要求。

3.3 故障樹法最終結(jié)果

參照故障樹模型，將每個模件的危險失效率代入到模型中進行定量計算?？紤]到每個模件的數(shù)量，PFDavg最終計算結(jié)果為0.082 555 342。由此可知，該燃氣輪機保護與控制系統(tǒng)滿足SIL1要求。

4 結(jié)語

可靠性框圖法和故障樹法的運算結(jié)果存在著偏差，是因為這兩種方法的側(cè)重角度不同?？煽啃钥驁D法更關(guān)注系統(tǒng)各部分在可靠性上的結(jié)構(gòu)關(guān)系，而故障樹法則更關(guān)注故障事件的內(nèi)在聯(lián)系。無論采用哪種方法，該電廠燃氣輪機保護與控制系統(tǒng)均滿足SIL1的要求。本研究使用可靠性框圖與故障樹法進行建模與計算，將安全完整性等級分析應(yīng)用于燃氣輪機領(lǐng)域，并提供一種用于分析保護與控制集成系統(tǒng)的安全完整性等級的思路。