基于事件樹連鎖故障推演和證據推理的制氫站設備風險評價

劉玉成，楊源，胡宇浩，李雨航，趙子泰，馬志勇，董玉亮*

（1.中國大唐集團有限公司，北京市 西城區 100033；2.華北電力大學能源動力與機械工程學院，北京市 昌平區 102206）

0 引言

在未來一段時間，燃煤電站仍然是我國新型電力系統的關鍵支撐[1-5]，其能否安全運行將直接影響整個電力系統的安全。隨著技術的發展和運行人員素質的提高，我國燃煤電站運行安全水平得到了極大的提升，實現了機組的長周期安全穩定運行。然而，燃煤電站的安全性不僅僅是正常情況下的安全運行，還應包括特殊情況(比如遭受人、車、低空飛行器、漂浮物和投擲物等外部攻擊)下的安全運行，對于存在較大不穩定社會因素的西部地區，后者尤為重要。

燃煤電站最容易受到外部攻擊的是電站的周界設備，主要包括制氫站、循環水系統或空冷系統、煙氣脫硝系統、煙氣脫硫系統、制粉系統、油站、輸煤系統、變壓器、升壓站等。電站周界設備系統受到外部攻擊后，一方面會引起自身設備的停運、損壞，甚至會發生爆炸、有毒氣體擴散等危及人身和環境安全的事故；另一方面也會通過連鎖故障的方式，將事故傳播到整個電站，最終殃及電網，造成更嚴重的后果和損失。在所有電站周界設備中，制氫站因為氫氣易燃、易爆的特點，尤其應該受到重視。因此，通過開展制氫站設備遭受外部攻擊的連鎖故障推演和風險評估，實現制氫站設備乃至整個周界設備的風險排序，可以為發電企業制定針對外部攻擊的安全防范措施提供重要依據。

在已有的關于安全風險評價研究中，常見的方法主要有情景構建分析[6]、事件樹分析(event tree analysis，ETA)[7-11]、故障樹分析(fault tree analysis，FTA)[12-14]、事故樹-風險矩陣法[15]、證據理論[16]、蒙特卡洛模擬[17]、貝葉斯網絡[18-20]等。任建強等[6]將情景構建與推演的方法應用于新能源電力設備，實現了運行風險評估。劉玉良等[7]基于停運模型和事件樹理論，開展了電力系統連鎖故障的系統脆弱性分析，確定了系統重點高風險元件。傳統事件樹分析中，基本事件來源于統計數據，事故概率和后果被視為精確值，一旦統計資料來源不全，就無法評價后果事件發生概率的不確定性。為此，Rasool[8]于1991年最先提出了模糊概率事件樹方法，將模糊集理論引入事件樹概率定量計算，用于處理風險評價中的不精確和不確定性問題。隨后，2009年Ferdous等[9]針對事件樹定量分析中數據不確定性的問題，對比分析了基于模糊理論和基于證據理論的定量分析方法，仿真結果證明，基于模糊的方法適合于處理不精確性和主觀性數據，而證據理論則適用于處理不一致、不完整和沖突的數據。Lower等[10]構建了航空事故的概率事件樹分析模型，用于航空事故的風險評價；Purba等[11]將模糊概率事件樹分析方法應用于核電站堆芯損壞頻率計算。龍丹冰等[12]構建了基于熵算法改進的故障樹-云模型，并應用于建筑運維期失效風險的評估；吳寒梅[13]提出了基于故障樹分析的固定風險與動態風險相結合的電站設備風險評價方法，并以汽輪機為例進行了實例分析；宮運化等[14]采用動態故障樹實現了化工系統的動態風險評價。張玉濤等[15]提出了事故樹-風險矩陣法，并應用于脫硫工藝中毒窒息事故風險評估。董玉亮等[16]構建了基于模糊理論和證據理論的電站設備安全評價模型，并進行了實例驗證。Tian等[17]建立了基于蒙特卡洛仿真的核電站恐怖襲擊風險評估模型。George等[18]構建了基于貝葉斯網絡的流程工業安全與安保風險評估模型，通過更新先驗概率實現了流程工廠的動態風險評估。Li[19]構建了加權貝葉斯網絡模型，并應用于恐怖襲擊后果評價。Zhao等[20]則建立基于動態貝葉斯網絡和概率安全評價的核電站故障源快速預測模型，并進行了實例驗證。

目前針對電站的安全風險評價模型多數是正常運行情況下的設備安全風險等級評價[21-22]，專門研究外部攻擊下電站安全風險問題尚未見諸文獻報道。同時，現有故障樹、貝葉斯網絡分析方法難以探索發電站設備事故發生和演化的復雜機理；難以分析直接及后續的次生衍生事件危害嚴重程度；難以從影響電站設備運行因素和電站設備故障導致的后果進行推演分析。而事件樹分析方法可以很好地解決上述問題，因此本文針對制氫站設備受到外部攻擊所產生故障的不確定性和連鎖性，采用事件樹分析方法來實現連鎖故障推演，進而得到外部攻擊引起的各后果事件及其發生概率。在此基礎上建立風險評價指標體系，并采用模糊理論將連鎖故障后果量化，最后引入證據推理的方法處理風險評價過程中的不精確性、隨機性和不完整性問題，實現制氫站設備乃至整個電站周界設備遭受外部攻擊的風險評價和風險排序。

1 基于事件樹的連鎖故障推演

事件樹分析法是安全系統工程中常用的一種歸納推理分析方法，起源于決策樹分析(decision tree analysis，DTA)，它是一種按事故發展的時間順序由初始事件開始推論可能的后果，從而進行危險源辨識的方法。

以制氫站為例，按照工作流程和電站故障仿真結果繪制的事件樹如圖1所示。由圖1可以看出，制氫站遭受外部攻擊發生連鎖故障后，根據不同的推演路徑，最終有氫氣泄露擴散，氫氣泄漏擴散遇明火發生火災，氫氣泄漏擴散遇明火發生爆炸3類主要后果。

圖1 制氫站及供氫系統連鎖故障推演事件樹Fig.1 Event tree for cascading failure deduction of hydrogen production station and hydrogen supply system

考慮到外部攻擊會具體到某一單個設備，為了實現設備層面的風險評估，繪制出連鎖故障推演中的關鍵設備(電解槽、氫分離洗滌器、氫氣管道、氫除濕器、儲氫罐)的故障推演事件樹，并根據領域專家經驗給出各中間事件的發生概率。以電解槽受外部攻擊泄漏事故為例，連鎖故障事件樹如圖2所示。

圖2 電解槽泄漏事件樹Fig.2 Event tree of electrolytic cell leakage

某一設備第i類后果事件概率計算公式[23]為

式中：pij為第i類后果事件中第j個后果事件的發生概率；xijk為第i類后果事件中第j個后果事件的第k個中間事件的發生概率。

2 設備風險評價指標及量化

根據燃煤電站周界設備事故案例和專家經驗，并參考文獻[24-25]確定連鎖故障的后果事件量化評價指標為人員傷亡、設備損失、電網影響、環境影響、經濟損失、恢復時間，利用這6個指標對各設備遭受外部攻擊引起的后果進行風險量化。風險量化標準如表1所示。

表1 風險指數量化標準Tab.1 Quantitative standard of risk index

某一設備第j個風險評價指數計算公式[21]為

式中rij為第i類后果事件對應的第j個風險評價指數量化值。

考慮到風險評價指數進行評價的不精確性和不確定性，風險評價前進行模糊化處理，采用梯形隸屬函數進行轉化[26]，該隸屬函數根據領域專家經驗獲得。風險指數模糊化隸屬關系如圖3所示。

圖3 風險指數模糊化隸屬關系圖Fig.3 Fuzzy membership diagram of risk index

3 基于證據推理的電站周界設備風險評價模型

典型的基于證據推理的風險評價分析模型如圖4所示[27]。

圖4 典型的決策樹評價分析模型Fig.4 Typical decision tree evaluation and analysis model

在評價分析模型中，評價等級Sn可看作D-S證據理論的一個基本假設，因素eik可看作一條證據，基本概率分配可通過信任度獲得，S中的評價等級獨立且包含所有可能的等級，這樣鑒別框架可定義為

令M(Sn/eik(α))表示證據eik支持設備α風險等級為Sn這一假設的基本概率賦值；同時令β(eik(α))表示決策者考慮對于設備α的證據eik屬性的狀態為確定的確信度。

如果在因素集Ek中只有一個因素eik，則m(Sn/eik(α))應該等于β(eik(α))；如果在因素集Ek中有多個因素，則有：

式中λik為Ek中各因素eik的相對權重。

在獲得基本概率賦值后，可利用下面的證據推理算法計算全局概率分配。

分別按式(5)、(6)定義因素子集eLk(i)(α)和合并概率分配(α)：

則有以下迭代算法。

初始條件：MMnr,1=Mnr,1，MMSr,1=MSr,1。

遞推公式：

可以推出，由因素集Ek(α)確定的，對C的全局概率分配為MMCr,Lk，且MMCr,Lk=0(C?H，C=Hn和H除外)。這樣，針對設備α的全局優先度可以按下式計算：

各因素權重分配的合理與否直接影響狀態評價結果的準確性，目前權重的確定多單獨采用主觀或客觀的方法，如德爾菲法、層次分析方法、主成分分析法、復相關系數法、熵方法等。本文利用層次分析法與復相關系數法相結合并進行乘法合成的方法來確定各個定量指標的權重。將2種賦權方法得出的權值，采用線性加權組合法得出最終的組合權數：

式中：bi為第i種方法的權系數；wij為第i種方法得出的第j個指標的權數。

使用上述方法進行各個指標權重的計算，本文中的各個指標對應權重如表2所示。

表2 指標權重Tab.2 Weight of risk indexes

4 火電廠制氫站設備風險評價實例

以某火電廠制氫站設備為例進行分析。本次評價對制氫站的事故風險以關鍵設備為單位進行定量評價，即對電解槽、氫除濕器、氫分離洗滌器、儲氫罐、氫氣管道5個關鍵設備進行定量風險評價，并按照風險度進行排序。針對上述制氫站及供氫系統，根據連鎖故障推演事件樹，采用式(1)可計算出各關鍵設備遭受外部攻擊后3類后果事件的發生概率，如表3所示。

表3 制氫站設備遭受外部攻擊連鎖故障后果事件發生概率Tab.3 Probability of occurrence of cascading failure consequences from external attack on hydrogen production station equipment

表1中給出了不同連鎖故障后果下風險評價指標對應的風險指數取值標準。設備遭受外部攻擊后果可由表1進行量化。仍以電解槽遭受攻擊損壞為例，事故后果定量分析結果如表4所示。

表4 電解槽連鎖故障后果定量分析結果Tab.4 Quantitative analysis result of consequences of cascading faults in electrolytic cell

根據制氫站各關鍵設備的連鎖故障后果定量分析結果，利用式(2)可計算出設備不同風險指標對應的風險指數，然后采用圖3 給出的風險指數模糊隸屬函數，實現風險指數的模糊化。計算結果如表5、6所示。

表5 制氫站設備風險評價輸入數據Tab.5 Input data for risk assessment of hydrogen production station equipment

表6 制氫站設備風險評價結果Tab.6 Risk assessment results of hydrogen production station equipment

由以上風險評價結果可知，在制氫站設備中氫氣儲罐風險度最高，因為其儲存了大量的壓縮氫氣，如若遭受外部攻擊，導致氫氣泄漏，遇明火，將會發生重大火災甚至爆炸事故，危及電廠工作人員的生命安全及其周邊設備的正常運行，并直接關系到發電機組的冷卻問題，導致停機，對電廠和電網的安全穩定運行造成重大影響。電解槽的風險度較高，因為其在制氫過程中有大量的有害化學物質，如果發生破壞導致泄漏，會對工作人員生命安全及環境產生嚴重危害。氫除濕器、氫分離洗滌器及氫氣管道的風險水平依次下降。

根據評價結果(風險度)，可以將電站周界設備劃分為3類：高風險設備、中風險設備和低風險設備。表7給出了3類風險等級周界設備的列表及相應的安全防范措施。利用上面的方法計算出主要電站周界設備的風險度，如圖5所示。

表7 電站周界設備風險分級及防范措施Tab.7 Risk rating of equipment around the power station and preventive measures

圖5 電站周界設備風險評價結果Fig.5 Risk assessment results of equipment around the power station

5 結 論

1）采用事件樹分析方法，建立了制氫站關鍵設備的事件樹，通過連鎖故障推演確定出制氫站設備遭受外部攻擊后的3類主要后果事件分別是氫氣泄漏遇明火發生爆炸、氫氣泄漏遇明火著火和氫氣泄漏大氣擴散，通過概率計算獲得制氫站各關鍵設備的3類后果事件發生概率。

2）建立了包含人員傷亡、設備損失、電網影響、環境影響、經濟損失和恢復時間的風險評價指標體系，利用給出的連鎖故障后果結合層次分析法與復相關系數法，通過乘法合成確定各個定量風險評價指標的權重。

3）在評價指標量化的基礎上，利用給出的隸屬度函數進行模糊化，最后采用證據推理算法計算出制氫站各關鍵設備的風險度，其中儲氫罐和電解槽的風險度分別為0.271和0.161，遠高于其他3個設備的風險度，因而可以作為制定防范措施時的重點關注對象。

4）提出的基于事件樹連鎖故障推演和證據推理算法的風險評價方法可以直接應用到整個燃煤電站的周界設備，從而實現全部周界設備的風險排序，為燃煤電站制定預防措施提供依據。