鍋爐主燃料跳閘的故障樹建模與功能安全分析

王 耀 沈學強 王 疆 楊 誠 陳 思

(1.東北電力大學自動化工程學院，吉林 吉林 132012；2.北京國電智深控制技術有限公司，北京 102200；3.中國華能集團公司，北京 100031)

鍋爐主燃料跳閘的故障樹建模與功能安全分析

王 耀1沈學強1王 疆2楊 誠2陳 思3

(1.東北電力大學自動化工程學院，吉林 吉林 132012；2.北京國電智深控制技術有限公司，北京 102200；3.中國華能集團公司，北京 100031)

針對國電泰州鍋爐爐膛安全監控系統(FSSS)的核心功能鍋爐主燃料跳閘(MFT)進行了研究，依據IEC61508和功能安全相關標準中的理論對爐膛總風量小于25%觸發MFT這一子安全功能進行了功能安全分析。通過對爐膛總風量小于25%時該MFT的子系統信號流程的詳細分析，并結合EXIDA數據庫中的相關數據，利用故障樹分析方法計算了該安全功能的安全完整性等級(SIL)，對執行機構失效率過高進而降低安全完整性等級的問題給出了改進方案。

FSSS MFT 故障樹建模 IEC61508標準 SIL

功能安全標準IEC61508和IEC61511的出臺，標志著功能安全理論體系的正式形成。IEC61508標準以風險、安全完整性等級、安全生命周期為精髓，給出了電氣、電子、可編程電子安全相關系統功能安全分析的一般方法[1]。功能安全分析是以功能安全標準為基礎、安全生命周期為框架、安全完整性等級為指針，基于風險的安全技術和管理模式。功能安全分析運用可靠性工程方法、安全評價方法、功能安全評估方法，對系統進行危險識別和風險分析，確定安全相關系統的安全功能(SIF)和安全完整性等級(SIL)。鍋爐爐膛安全監控系統(FSSS)作為鍋爐保護的重要系統隸屬于安全相關系統的范疇，其安全性和可靠性越來越受到人們的關注。國內火力發電廠的安全相關系統設計普遍采用的標準、規程、規定中并沒有涉及對FSSS系統進行功能安全分析的要求[2,3]。目前，火力發電廠的實際工程中，FSSS的硬件配置和軟件組態普遍按照以往的項目經驗進行，安裝完成后也不驗證選用的組件是否達到一定的安全要求、安全保護功能能否達到一定的SIL等級，從而存在極大的安全隱患。筆者以世界首臺1 000MW級超超臨界二次再熱機組——國電泰州二期2×1000MW超超臨界二次再熱機組為依托，以IEC61508和功能安全相關標準為理論背景，對該機組FSSS的核心部分主燃料跳閘(MFT)進行故障樹建模與功能安全分析，確定其SIL等級并針對安全相關系統中的薄弱環節提出合理的修改意見。

1 MFT動作失效故障樹建模①

MFT是FSSS的核心，其作用是當鍋爐處于危險工況時，迅速切斷進入爐膛的所有燃料，以保證鍋爐設備和人身的安全[4]。國電泰州機組DCS控制系統采用的是EDPF NT+系統，其中MFT的相關邏輯均放在DROP1中。為了保證MFT動作的可靠性，通常會設計“軟”、“硬”兩套保護方案。“軟”是指通過聯鎖邏輯停運相關設備。“硬”是指MFT繼電器柜中繼電器的觸點并聯或串聯在設備驅動的電氣回路中來控制設備停運。繼電器觸點可以采用帶電(正邏輯)或失電(負邏輯)兩種動作方式，從而構成了不同MFT硬跳閘回路的接線方式。筆者通過學習文獻[5]決定采用故障樹分析法，分別針對MFT帶電動作和失電動作兩種模式進行故障樹建模。故障樹分析的步驟如下：

a. 充分了解系統確定頂事件；

b. 建立失效樹并加以簡化和規范；

c. 定性分析確定失效樹的最小割集；

d. 收集定量分析的數據，如底事件的失效概率、失效率及維修率等；

e. 定量分析確定頂事件的發生概率、系統的可靠度并評價頂事件的嚴重性和危害度，計算底事件和最小割集的重要度；

f. 確定薄弱環節和關鍵部件，改進系統的可靠性。

筆者以MFT硬跳閘回路危險失效和MFT硬跳閘回路安全失效為頂事件，對帶電動作和失電動作模式下的硬跳閘回路進行故障樹建模，如圖1、2所示。

圖1 帶電動作MFT硬跳閘回路故障樹

圖2 失電動作MFT硬跳閘回路故障樹

2 MFT的功能安全分析

2.1安全儀表系統(SIS)的組成

爐膛左、右兩側二次風流量信號和6臺一次風機一次風流量信號經過變送器，送入分散處理單元(DPU)實現邏輯運算生成3個MFT跳閘信號并送入硬跳閘回路中，最終跳閘信號由跳閘繼電器組發送給各個就地設備，通過電氣開關柜就地控制電機，或對相應的閥門直接控制。圖3為爐膛總風量小于25%信號走向和觸發MFT的信號流程。

圖3 爐膛總風量小于25%信號走向和觸發MFT的信號流程

爐膛總風量小于25%觸發MFT的SIS組成為：

a. 傳感器部分。測量左、右兩側二次風流量的各3臺差壓變送器(2oo3)；測量6臺磨煤機入口一次風流量的12臺差壓變送器(共6組，作1oo2處理)。

b. 邏輯控制部分。DPU1、DPU10、DPU12、DPU13、DPU14；DPU10中的AI模塊A1、A2、A3(2oo3)，DO模塊B5、E2、F2(2oo3)；DPU12、13、14中的AI模塊A1、A2(1oo2)、B1、B2(1oo2)；DPU1中的DI模塊B5、C3、D1(2oo3)，DO模塊B4、C4、C5(2oo3)。

c. 執行機構。硬跳閘回路，采用失電動作方式；電氣開關柜；6臺磨煤機、6臺給煤機、兩臺一次風機、3臺給水泵(兩臺汽動的、一臺電動的)；過熱器、再熱器減溫水相關電動門共10個；進、回油母管燃油關斷閥和32個油角閥；6臺磨煤機各分離器出口風粉關斷門共24個。

爐膛總風量小于25%觸發MFT的危險失效故障樹模型如圖4所示。

圖4 爐膛總風量小于25%觸發MFT的危險失效故障樹模型

2.2安全功能的安全完整性等級計算

IEC61508標準中第6部分附錄B給出了基于可靠性框圖模型對安全相關系統的硬件安全完整性進行計算的方法，并提出了基于簡單失效因子β的n取k系統平均要求時失效率PFDavg的計算公式,見表1[6]。

表1 IEC61508標準中n取k(n>k)系統PFDavg計算公式

實現該安全功能的部件失效率統計數據見表2，其中λSD為檢測到的安全失效率，λSU為未檢測到的安全失效率。設各個部件功能測試周期TI為一年，平均修復時間RT均為8h。

表2 各個部件失效率數據 10-9h-1

下面根據各部件的冗余結構，分別計算平均要求失效概率PFDavg：

PFD一次風FT=2(1-β)λDU[1-βλDU+(1-βD)λDD+

=7.623×10-5

PFD二次風FT=6[(1-β)λDU+(1-βD)λDD]2tGEtCE+

=7.623×10-5

PFDAI1oo2=2(1-β)λDU[(1-β)λDU+(1-βD)λDD+

=6.602×10-7

PFDAI2oo3=2(1-β)λDU[(1-β)λDU+(1-βD)λDD+

=6.602×10-7

PFDDO2oo3=6[(1-β)λDU+(1-βD)λDD]2tGEtCE+

=3.308×10-7

PFDDI2oo3=6[(1-β)λDU+(1-βD)λDD]2tGEtCE+

=1.649×10-7

PFDDPU1oo2=2(1-β)λDU[(1-β)λDU+(1-βD)λDD+

=5.639×10-7

PFD通信系統=λDtCE=8.780×10-4

PFD帶電動作跳閘繼電器=λDtCE=1.755×10-4

PFD失電動作跳閘繼電器=λDtCE=7.726×10-5

PFD截止閥=λDtCE=1.292×10-3

PFD電動執行機構=λDtCE=1.108×10-2

根據上面各個部件的PFDavg計算結果，分別得到傳感器、邏輯控制器、執行器和整個SIF的平均要求失效概率。

MFT帶電動作方式下：

PFD傳感器=2PDF二次風FT+6PFD一次風FT=5.8104×10-4

PFD邏輯控制器=5PFDDPU+PFDAI1oo2+2PDFDO2oo3+

6PFDAI1oo2+PFDDI2oo3=1.089×10-1

PFD執行機構=PFD帶電動作跳閘繼電器+16PFD電動執行機構+

69PFD截止閥=2.522×10-1

PFDSIF=PFD傳感器+PFD邏輯控制器+PFD執行機構

=2.743×10-1>10-2

MFT失電動作方式下：

PFD傳感器=2PFD二次風FT+6PFD一次風FT=5.8104×10-4

PFD邏輯控制器=5PFDDPU+PFDAI1oo2+2PFDDO2oo3+6PFDAI1oo2+PFDDI2oo3=1.089×10-1

PFD執行機構=PFD帶電動作跳閘繼電器+16PFD電動執行機構+

69PDF截止閥=2.522×10-1

PFDSIF=PFD傳感器+PFD邏輯控制器+PFD執行機構

=2.742×10-1>10-2

2.3安全相關系統SIS的改進方案

爐膛總風量小于25%觸發MFT該安全功能的安全完整性等級未達到SIL2，主要原因在于執行機構的PFD過高，改進措施為：

a. 執行機構部分采用1oo2冗余結構；

b. 縮短執行機構部分的功能測試周期TI。

對原有閥門、電動執行器可采用雙重冗余即1oo2結構，并將原來的功能測試周期TI縮短為半年,共因失效因子β=0.1，重新計算執行機構的平均要求失效概率，結果見表3。

表3 整改后的平均要求失效概率

通過對上述系統執行器部分結構的簡單修改，經過重新計算后，得出整改后的系統的安全完整性等級能夠達到SIL2。

3 結束語

筆者通過參與國電泰州項目FSSS系統的DCS部分的設計，完成了對帶電動作和失電動作兩種MFT跳閘的故障樹建模。以MFT中的爐膛風量小于25%觸發MFT子功能，結合EXIDA數據庫中的相關數據，完成對該安全功能的功能安全分析。由分析結果可知，安全相關系統的傳感器部分、邏輯控制器部分的SIL等級相對較高，而執行機構(如電動執行機構和閥門)的SIL相對較低，是整個系統的薄弱環節，在設計時應給予重點關注。通過對系統的功能安全分析可以使設計人員更深入地了解系統，合理分配現有的保護資源，實現節約投資成本的目標。

[1] 靳江紅,吳宗之,趙壽堂，等.安全儀表系統的功能安全國內外發展綜述[J].化工自動化及表,2010，37(5):1～6.

[2] NFPA85，Boiler and Combustion Systems Hazardscod[S].Quincy: National Fire Protection Association,2011.

[3] DL/T 5000-2000,火力發電廠設計技術規程[S].北京：中國標準出版社，2011.

[4] 王疆，張永霞，潘鋼，等.鍋爐爐膛安全監控系統及其應用[M].北京:中國電力出版社,2014.

[5] 沈學強，白焰.安全儀表系統的功能安全評估方法性能分析[J].化工自動化及儀表,2012,39(6):703～706.

[6] IEC65108,Function Safety of Electrical/Electronic Programmable Electronic Safety-Related Systems General Requirements[S].Geneva:International Electrotechnical Commission,2000.

(Continued on Page 1110)

TheFaultTreeModelingandFunctionalSafetyAnalysisofMainFuelTripinUtilityBoiler

WANG Yao1, SHEN Xue-qiang1,WANG Jiang2,YANG Cheng2,CHEN Si3

(1.SchoolofAutomationEngineering,NortheastDianliUniversity,Jinlin132012,China; 2.BeijingGuodianZhishenControlTechnologyCo.,Ltd.,Beijing102200,China; 3.ChinaHuanengGroupCorporation,Beijing100031,China)

TH862+.79

B

1000-3932(2016)10-1065-06

2016-09-07(修改稿)