燃氣輪機保護與控制系統安全完整性等級分析

丁淇德

（國電投周口燃氣熱電有限公司，河南 周口 466200）

0 引言

隨著我國能源結構的不斷優化，以及環保要求的不斷提高，發電過程的安全穩定性也越來越重要，針對熱力發電過程的可靠性分析進行的研究也越來越多［1-3］。安全完整性等級（Safety Integrity Level，SIL）作為可靠性分析中的重要方法，已廣泛應用于安全儀表系統（Safety Instrumented System，SIS）的分析中。如何確定安全完整性等級，在IEC 61508與IEC 61511標準中有一套科學的流程和方法［4-5］。目前，國內外對安全完整性等級的研究集中在機車控制、軌道交通、化工生產等領域中［6-11］，對燃氣輪機領域的研究相對較少。目前，常用的安全完整性等級分析方法大多是以安全儀表系統與控制系統獨立為前提，且分析過程都集中在安全儀表系統上［12-15］。目前，燃氣輪機電廠所使用的軟硬件系統大多是對安全儀表系統與控制系統的高度集成，使保護系統與控制系統的耦合度極高，現有的安全完整性等級分析方法并不適用這種情況。本研究通過分析DCS系統模件的可靠性，使用可靠性框圖法與故障樹法來建立整個保護與控制系統的可靠性模型，對電廠現場生產過程中的故障記錄進行處理，并將結果代入到模型中進行計算，從而完成安全完整性等級分析。

1 燃氣輪機保護與控制系統

某燃氣輪機的DCS系統將保護功能集成在過程控制功能中，用一套保護與控制系統來實現。該保護與控制系統所使用的模件包括主控制器模件、Profibus DP通信模件、以太網通信接口模件、I/O模件。

主控制器模件用于實現過程控制及保護功能，其由控制子模件、通信子模件、通信終端單元及安裝基座組成。其中，控制子模件、通信子模件皆為二重冗余熱備用，在發生故障時，二者的冗余切換是相互獨立；Profibus DP通信模件由Profibus DP通信子模件、通信終端單元、安裝基座組成。Profibus DP通信子模件用于執行數據的處理功能，通信終端單元為其提供接口；保護與控制系統的I/O模件按照數據類型和流向可分為AI、AO、DI、DO四組，并通過加裝的I/O通信接口模件與Profibus DP子通信模件的連接來實現數據通信。該系統的I/O單元包括9個DI模件、24個AI模件、3個DO模件、1個AO模件以及5個I/O通信接口模件。該燃氣輪機保護與控制系統結構圖見圖1。

圖1 燃氣輪機保護與控制系統結構圖

2 安全完整性等級模型構建

2.1 失效定義

通過將該電廠的故障維修記錄與專家經驗相結合的方式來定義系統失效，將其定義為執行保護與控制功能時系統的通信過程出錯［16］。在進行安全完整性等級分析時，由于要考慮每種失效所造成后果的嚴重程度，可依據系統失效行為產生的影響來進一步劃分系統失效。安全失效是指不會造成保護功能無法正確執行的失效；危險失效是指不僅會影響生產過程的生產效率，還會使保護功能無法正確執行的失效。

2.2 可靠性框圖法模型

構建系統可靠性模型是為了計算出要求時的平均失效概率，從而確定整個系統的安全完整性等級。可靠性框圖模型（見圖2）是分析保護與控制系統正確執行其功能的充要條件。判斷該系統的保護與控制功能是否實現，不僅要考慮系統中各模件的狀態及各模件之間的數據通信網絡的狀態，還要考慮各個模件的安裝基座是否能正常供電。

圖2 系統可靠性框圖模型

2.3 故障樹模型

故障樹同樣是安全完整性等級分析中的經典方法，其不僅能表示可靠性的結構關系，還能清晰地表示故障事件的內在聯系，以及單元故障與系統故障間的邏輯關系［17］。由于安全完整性等級計算所關心的是危險失效情況，即定義頂事件是為了保護與控制系統危險失效，造成該危險失效的中間事件有以太網通信接口模件部分危險失效、Profibus DP通信站部分危險失效、I/O模件部分危險失效、主控制器部分危險失效、總線部分危險失效。保護與控制系統的故障樹如圖3所示。

在圖3中，“1”“2”“3”“4”“5”分別是以太網通信接口模件、Profibus-DP通信模件、主控制器模件、通信總線以及I/O單元，由此可繪制出各自的故障樹。圖3中大寫字母間的不同排列組合用于表示具體的失效情況，將危險失效分為檢測到與未檢測到、共因與非共因［18］等。

圖3 保護與控制系統故障樹

3 安全完整性等級驗證

3.1 電廠失效數據處理與專家評估

在建立可靠性模型后，通過相應的可靠性模型可計算出整個系統的安全完整性等級。安全完整性等級分析所用到的失效數據來自該電廠的故障維修記錄，參與失效統計的模件為該電廠使用的全部相關模件，故障記錄時間為2018年11月5日—2021年2月13日，統計時間跨度為19 872 h。危險失效率的計算公式見式（1）。

式中：m為故障次數；N為統計的元件數量；T為統計的時間，h；λD為危險失效率；FIT為危險失效率λD的度量單位，1 FIT是指單個模件在109h內失效一次，控制與保護系統中各個模件的危險失效率見表1。其余模件或通信總線由現場專家對相似模件或通信總線進行評估得到，具體結果見表2。

表1 主要模件的危險失效率

表2 其他模件或通信總線的危險失效率

3.2 可靠性框圖法最終結果

先計算系統的總體平均要求時失效概率PFDavg、安全完整性等級與PFDavg的關系，如表3所示［4］。

表3 主要模件的危險失效率

將各模件及通信總線的危險失效率λD代入可靠性框圖模型中進行求解，即可得到系統總體的PFDavg。由圖2可知，該系統的可靠性框圖擁有1oo1、1oo2兩種結構，其中以太網通信接口模件、終端通信單元、安裝基座、并行通信總線、終端電阻以及I/O單元的結構是1oo1，其余為1oo2。

該系統各部分均具有自我診斷功能，則在1oo1結構中，PFDavg的計算公式見式（2）。

式中：λD為危險失效率；λDD為檢測到的危險失效率；λDU為未檢測到的危險失效率；MTTR為維修時間，h；TI為功能測試的時間，h；tCE為平均停車時間。

由于1oo2的結構要考慮共因失效的因素，其PFDavg的計算公式見式（3）。

式中：β為共因失效因子；βU為未檢測出的共因失效因子；βD為檢測出的共因失效因子；tGE為平均停車時間。一般情況下，根據專家意見，TI取8 760 h，MTTR取8 h，λDD在λD中的占比為0.8，λDU在λD中的占比為0.2。通過計算，tCE=884 h，將上述參數代入式（2）中，可得1oo1結構下的PFDavg。同理，β取值為0.027，將其代入式（3），得1oo2結構下的PFDavg。系統總體的PFDavg總由構成系統的各個模件及通信總線的PFDavg相加得到的，計算公式見式（4）。

PFDavg總的計算結果為0.078 260 395。由此可知，該燃氣輪機的保護與控制系統滿足SIL1要求。

3.3 故障樹法最終結果

參照故障樹模型，將每個模件的危險失效率代入到模型中進行定量計算。考慮到每個模件的數量，PFDavg最終計算結果為0.082 555 342。由此可知，該燃氣輪機保護與控制系統滿足SIL1要求。

4 結語

可靠性框圖法和故障樹法的運算結果存在著偏差，是因為這兩種方法的側重角度不同。可靠性框圖法更關注系統各部分在可靠性上的結構關系，而故障樹法則更關注故障事件的內在聯系。無論采用哪種方法，該電廠燃氣輪機保護與控制系統均滿足SIL1的要求。本研究使用可靠性框圖與故障樹法進行建模與計算，將安全完整性等級分析應用于燃氣輪機領域，并提供一種用于分析保護與控制集成系統的安全完整性等級的思路。