基于IEC61508標準電站鍋爐MFT的功能安全評估

王 耀 ，王新寧 ，王 疆

（1.北京國電智深控制技術有限公司，北京 102200；2.北京市電站自動化工程技術研究中心，北京 102200；3.國電建投內蒙古能源有限公司，內蒙古 017209）

鍋爐爐膛安全監控系統FSSS作為鍋爐設備專門的保護系統廣泛應用于大型火力發電機組的鍋爐保護中，它包括燃燒器控制系統BCS和爐膛安全系統FSS兩大部分。在DCS的邏輯設計中，BCS主要是控制燃燒器（煤燃燒器、油燃燒器、等離子燃燒器等）的順啟、順停、聯鎖、投切等，使各個設備按照規定的動作執行；FSS是保障鍋爐設備的安全穩定的運行，當鍋爐設備出現危險工況時，迅速切斷進入鍋爐爐膛內的所有燃料，防止燃料聚積[1]。

目前，國內火力發電機組FSSS的設計及項目實施過程中所依據的標準中并沒有提及對FSSS的軟、硬件進行功能安全分析、評估、SIL等級驗證的要求[2-6]。在實際工程設施中，FSSS的硬件配置和軟件組態大多按照以往的項目經驗進行，設備安裝、調試完成后也不對FSSS進行安全性分析，驗證其能否滿足用戶規定的安全性和可靠性的要求，能否達到一定的安全等級。功能安全評估是以IEC61508標準為理論背景，以安全生命周期為分析框架，以安全完整性等級為評價指針，基于風險的安全技術和管理模式。參照IEC61508標準對火力發電機組FSSS進行功能安全分析、評估，能將安全生命周期的概念融入到整個系統中即實現將系統設計、選型、硬件配置、軟件組態、系統集成、安裝調試、運行維護等形成一個統一的整體，明確FSSS應該承擔的風險，合理設計FSSS的硬件配置、選型，制定完備的維護、檢修方案。同時，在確保鍋爐爐膛安全監控系統的安全功能滿足用戶要求時，減少追求過高的安全性產生的資源和成本的浪費，具有一定的工程應用價值。在此，以國內某1000 MW機組二期項目FSSS為范例，結合功能安全標準IEC61508對其進行功能安全分析及評估。

1 電站鍋爐爐膛的保護層分析

1.1 場景分析

電站鍋爐爐膛的外爆和內爆的場景分析如圖1和圖2所示。

圖1 電站鍋爐爐膛外爆的場景路徑Fig.1 Scenario path of boiler furnace external explosion

圖2 電站鍋爐爐膛內爆的場景路徑Fig.2 Scenario path of boiler furnace external implosion

1.2 確定初始事件頻率

初始事件主要包括設備故障失效、人因失效、外部環境觸發事件。鍋爐爐膛內爆原因包括送風機和引風機不正常運行、磨煤機、給煤機故障導致燃料輸入短時間內急劇較少、主燃燒跳閘MFT。鍋爐爐膛外爆原因包括全爐膛滅火、火焰檢測喪失、爐膛吹掃的風量大于40%總風量導致陰燃物揚起、燃料漏落入爐膛、爐膛吹掃未完成就進行點火操作等。初始事件發生的頻率大小一般以每年或者106h事件發生的次數表示，其數據來源為設備廠家提供的數據、公司以往的項目經驗、該行業平均行業數據等。在此，根據工業失效數據庫OREDA數據庫中的數據，同時依據《電力安全事故等級劃分標準》及國家電網電力公司統計調研的數據，確定內爆和外爆的發生頻率分別為31次/a和16次/a。

1.3 場景風險量化

電站鍋爐爐膛外爆（內爆的保護層分析和外爆相似）的保護層分析如圖3所示。觸發事件的頻率為0.3，過程工藝的PFD設為10-1，燃燒器管理系統的PFD設為10-1，操作運行人員干涉/調整的PFD設為10-1，MFT系統的PFD設為10-2，則根據保護層分析的結果可以計算出：

圖3 電站鍋爐爐膛外爆保護層分析Fig.3 Layer of protection analysis diagram of boiler furnace external explosion

2 電站鍋爐FSSS目標SIL等級的定性確定

根據IEC61508標準第5部分——SIL等級的方法示例中附錄E給出的風險矩陣法定性確定FSSS的目標SIL等級。利用風險矩陣法對事故發生后造成的后果和事故發生的概率進行分類，見表1，表2。根據上述對電站鍋爐爐膛外爆和內爆保護層分析的結果，確定鍋爐爆炸的可能性為中，參照《電力安全事故等級劃分標準》中事故后果嚴重程度的劃分，選擇鍋爐爐膛內爆和外爆造成的后果為嚴重。

表1 事故發生造成后果嚴重程度分類Tab.1 Accident consequence classifications

表2 事故發生可能性分類Tab.2 Accident probability classifications

對不采用FSSS系統的爐膛內爆和外爆事故后果及可能性構建風險矩陣，進而確定火力發電機組鍋爐爐膛安全監控系統的SIL等級為2，如圖4所示。

圖4 風險矩陣Fig.4 Risk matrix

3 電站鍋爐FSSS功能安全評估

3.1 安全相關系統SIS的組成

爐膛總風量小于25%觸發MFT的SIS組成如表3所示，爐膛總風量小于25%信號走向及觸發MFT的信號流程如圖5所示。

表3 爐膛總風量小于25%觸發MFT的SIS組成Tab.3 SIS configuration of low air initiating MFT

圖5 爐膛總風量小于25%信號走向及觸發MFT的信號流程Fig.5 Signal flow chart and generation of low air initiating MFT

3.2 安全功能SIF的安全完整性等級SIL計算

在明確爐膛風量小于25%觸發MFT這一子安全功能的信號流程和該安全功能的安全相關系統的組成后，以爐膛風量小于25%觸發MFT為頂事件完成故障樹建模，如圖6所示。

圖6 爐膛總風量小于25%觸犯MFT的危險失效故障樹模型Fig.6 Dangerous failure fault tree of low air trip MFT

基于簡單β因子的n取k系統平均要求時失效率PFDavg的計算公式 （即不同冗余結構的PFDavg的計算公式），如表4所示[8]。其中，定義n取k系統中自診斷共因失效分數為βD，且滿足β=2βD，系統子通道的等效平均停止時間為tCE，滿足各個部件失效率數據如表 5所示[9]。

表4 IEC61508標準中n取k（n＞k）系統PFDavg計算公式Tab.4 Formulas of koon（n＞k）system in IEC61508

表5 各個部件失效率數據Tab.5 Failure rates of components

經過上述計算，結合IEC61508標準第一部分第7節整體安全生命周期的要求，即表6中給出的低要求操作模式下SIL等級與PFDavg對應關系可以確定爐膛風量小于25%觸發MFT這一子安全系統的安全功能的SIL等級為SIL1，達不到FSSS的目標安全完整性等級，需要對系統的結構進行調整。

表6 SIL：在低要求操作模式下分配給一個E/E/PE安全相關系統的安全功能目標失效Tab.6 SIL：Failure of the safety function assigned to an E/E/PE safety-related system in the low-requested operating mode

3.3 安全相關系統SIS的改進方案

爐膛總風量小于25%觸發MFT該安全功能的SIL未達到SIL2，主要原因在與執行機構的PFD過高，改進措施包括：

（1）將原來的電動執行機構（電磁閥、電動門等）由1oo1冗余結構提升為1oo2結構；

（2）提高運行維護人員的工作效率，縮短執行機構的功能測試周期，將原來的TI由1 a縮短為0.5 a，且共因失效因子β=0.1。重新計算執行機構的PFDavg，結果如表7所示。

表7 SIS系統各個部分的平均要求時失效概率Tab.7 After rectification

通過對安全相關系統中執行器部分設計結構進行調整，經過重新計算后，整改后的系統的SIL能夠達到SIL2。

4 結語

本文總結了保護層分析的方法的一般過程，并完成對鍋爐爐膛外爆和內爆2種危險情況的保護層分析；利用上述分析結果，根據IEC61508 標準中定性確定安全完整性等級的方法， 完成對FSSS 系統目標安全完整性等級的定性確定；介紹故障樹分析的一般方法，完成對MFT 失效的故障樹建模，結合EXIDA 數據庫中的相關數據， 完成對爐膛風量小于25%觸發MFT 這一子安全功能定量計算SIL等級；利用功能安全分析的結果，找出安全相關系統的薄弱環節并給出改進意見。

[1]馮欣欣，許繼剛，孔祥正.功能安全系統在火電廠的應用研究[J].中國儀器儀表，2011（1）：13-16.

[2]NFPA85：boiler and combustion systems hazardscod，2011Edition[S].U.S.A：National Fire Protection Association，2011.

[3]DL/T 5000-2000火力發電廠設計技術規程[S].中華人民共和國電力行業標準，2011.

[4]國電發[2000]589號防止電力生產重大事故的二十五項重點要求[S].國家電力公司，2000.

[5]火力發電廠熱工自動化設計技術規程（NDGJ 16-89）[S].能源部電力規劃設計管理局，1989.

[6]王疆.火力發電廠FSSS設計標準[M].北京：北京國電智深控制技術有限公司，2008.

[7]王疆.鍋爐爐膛安全監控系統及其應用[M].北京：中國電力出版社，2014.

[8]IEC 65108，Function Safety of Electrical/Electronic Programmable Electronic Safety-Related SystemsGeneralrequirements[S].Geneva：International Electrotechnical Commission，2000.

[9]EXIDA.IEC 65108 function safety assessment[EB/OL].[2012.11.21].http//www.exida.corn/index.php/resources/sale-index.