锅炉主燃料跳闸的故障树建模与功能安全分析
2016-11-22沈学强
王 耀 沈学强 王 疆 杨 诚 陈 思
(1.东北电力大学自动化工程学院,吉林 吉林 132012;2.北京国电智深控制技术有限公司,北京 102200;3.中国华能集团公司,北京 100031)
锅炉主燃料跳闸的故障树建模与功能安全分析
王 耀1沈学强1王 疆2杨 诚2陈 思3
(1.东北电力大学自动化工程学院,吉林 吉林 132012;2.北京国电智深控制技术有限公司,北京 102200;3.中国华能集团公司,北京 100031)
针对国电泰州锅炉炉膛安全监控系统(FSSS)的核心功能锅炉主燃料跳闸(MFT)进行了研究,依据IEC61508和功能安全相关标准中的理论对炉膛总风量小于25%触发MFT这一子安全功能进行了功能安全分析。通过对炉膛总风量小于25%时该MFT的子系统信号流程的详细分析,并结合EXIDA数据库中的相关数据,利用故障树分析方法计算了该安全功能的安全完整性等级(SIL),对执行机构失效率过高进而降低安全完整性等级的问题给出了改进方案。
FSSS MFT 故障树建模 IEC61508标准 SIL
功能安全标准IEC61508和IEC61511的出台,标志着功能安全理论体系的正式形成。IEC61508标准以风险、安全完整性等级、安全生命周期为精髓,给出了电气、电子、可编程电子安全相关系统功能安全分析的一般方法[1]。功能安全分析是以功能安全标准为基础、安全生命周期为框架、安全完整性等级为指针,基于风险的安全技术和管理模式。功能安全分析运用可靠性工程方法、安全评价方法、功能安全评估方法,对系统进行危险识别和风险分析,确定安全相关系统的安全功能(SIF)和安全完整性等级(SIL)。锅炉炉膛安全监控系统(FSSS)作为锅炉保护的重要系统隶属于安全相关系统的范畴,其安全性和可靠性越来越受到人们的关注。国内火力发电厂的安全相关系统设计普遍采用的标准、规程、规定中并没有涉及对FSSS系统进行功能安全分析的要求[2,3]。目前,火力发电厂的实际工程中,FSSS的硬件配置和软件组态普遍按照以往的项目经验进行,安装完成后也不验证选用的组件是否达到一定的安全要求、安全保护功能能否达到一定的SIL等级,从而存在极大的安全隐患。笔者以世界首台1 000MW级超超临界二次再热机组——国电泰州二期2×1000MW超超临界二次再热机组为依托,以IEC61508和功能安全相关标准为理论背景,对该机组FSSS的核心部分主燃料跳闸(MFT)进行故障树建模与功能安全分析,确定其SIL等级并针对安全相关系统中的薄弱环节提出合理的修改意见。
1 MFT动作失效故障树建模①
MFT是FSSS的核心,其作用是当锅炉处于危险工况时,迅速切断进入炉膛的所有燃料,以保证锅炉设备和人身的安全[4]。国电泰州机组DCS控制系统采用的是EDPF NT+系统,其中MFT的相关逻辑均放在DROP1中。为了保证MFT动作的可靠性,通常会设计“软”、“硬”两套保护方案。“软”是指通过联锁逻辑停运相关设备。“硬”是指MFT继电器柜中继电器的触点并联或串联在设备驱动的电气回路中来控制设备停运。继电器触点可以采用带电(正逻辑)或失电(负逻辑)两种动作方式,从而构成了不同MFT硬跳闸回路的接线方式。笔者通过学习文献[5]决定采用故障树分析法,分别针对MFT带电动作和失电动作两种模式进行故障树建模。故障树分析的步骤如下:
a. 充分了解系统确定顶事件;
b. 建立失效树并加以简化和规范;
c. 定性分析确定失效树的最小割集;
d. 收集定量分析的数据,如底事件的失效概率、失效率及维修率等;
e. 定量分析确定顶事件的发生概率、系统的可靠度并评价顶事件的严重性和危害度,计算底事件和最小割集的重要度;
f. 确定薄弱环节和关键部件,改进系统的可靠性。
笔者以MFT硬跳闸回路危险失效和MFT硬跳闸回路安全失效为顶事件,对带电动作和失电动作模式下的硬跳闸回路进行故障树建模,如图1、2所示。
图1 带电动作MFT硬跳闸回路故障树
图2 失电动作MFT硬跳闸回路故障树
2 MFT的功能安全分析
2.1安全仪表系统(SIS)的组成
炉膛左、右两侧二次风流量信号和6台一次风机一次风流量信号经过变送器,送入分散处理单元(DPU)实现逻辑运算生成3个MFT跳闸信号并送入硬跳闸回路中,最终跳闸信号由跳闸继电器组发送给各个就地设备,通过电气开关柜就地控制电机,或对相应的阀门直接控制。图3为炉膛总风量小于25%信号走向和触发MFT的信号流程。
图3 炉膛总风量小于25%信号走向和触发MFT的信号流程
炉膛总风量小于25%触发MFT的SIS组成为:
a. 传感器部分。测量左、右两侧二次风流量的各3台差压变送器(2oo3);测量6台磨煤机入口一次风流量的12台差压变送器(共6组,作1oo2处理)。
b. 逻辑控制部分。DPU1、DPU10、DPU12、DPU13、DPU14;DPU10中的AI模块A1、A2、A3(2oo3),DO模块B5、E2、F2(2oo3);DPU12、13、14中的AI模块A1、A2(1oo2)、B1、B2(1oo2);DPU1中的DI模块B5、C3、D1(2oo3),DO模块B4、C4、C5(2oo3)。
c. 执行机构。硬跳闸回路,采用失电动作方式;电气开关柜;6台磨煤机、6台给煤机、两台一次风机、3台给水泵(两台汽动的、一台电动的);过热器、再热器减温水相关电动门共10个;进、回油母管燃油关断阀和32个油角阀;6台磨煤机各分离器出口风粉关断门共24个。
炉膛总风量小于25%触发MFT的危险失效故障树模型如图4所示。
图4 炉膛总风量小于25%触发MFT的危险失效故障树模型
2.2安全功能的安全完整性等级计算
IEC61508标准中第6部分附录B给出了基于可靠性框图模型对安全相关系统的硬件安全完整性进行计算的方法,并提出了基于简单失效因子β的n取k系统平均要求时失效率PFDavg的计算公式,见表1[6]。
表1 IEC61508标准中n取k(n>k)系统PFDavg计算公式
实现该安全功能的部件失效率统计数据见表2,其中λSD为检测到的安全失效率,λSU为未检测到的安全失效率。设各个部件功能测试周期TI为一年,平均修复时间RT均为8h。
表2 各个部件失效率数据 10-9h-1
下面根据各部件的冗余结构,分别计算平均要求失效概率PFDavg:
PFD一次风FT=2(1-β)λDU[1-βλDU+(1-βD)λDD+
=7.623×10-5
PFD二次风FT=6[(1-β)λDU+(1-βD)λDD]2tGEtCE+
=7.623×10-5
PFDAI1oo2=2(1-β)λDU[(1-β)λDU+(1-βD)λDD+
=6.602×10-7
PFDAI2oo3=2(1-β)λDU[(1-β)λDU+(1-βD)λDD+
=6.602×10-7
PFDDO2oo3=6[(1-β)λDU+(1-βD)λDD]2tGEtCE+
=3.308×10-7
PFDDI2oo3=6[(1-β)λDU+(1-βD)λDD]2tGEtCE+
=1.649×10-7
PFDDPU1oo2=2(1-β)λDU[(1-β)λDU+(1-βD)λDD+
=5.639×10-7
PFD通信系统=λDtCE=8.780×10-4
PFD带电动作跳闸继电器=λDtCE=1.755×10-4
PFD失电动作跳闸继电器=λDtCE=7.726×10-5
PFD截止阀=λDtCE=1.292×10-3
PFD电动执行机构=λDtCE=1.108×10-2
根据上面各个部件的PFDavg计算结果,分别得到传感器、逻辑控制器、执行器和整个SIF的平均要求失效概率。
MFT带电动作方式下:
PFD传感器=2PDF二次风FT+6PFD一次风FT=5.8104×10-4
PFD逻辑控制器=5PFDDPU+PFDAI1oo2+2PDFDO2oo3+
6PFDAI1oo2+PFDDI2oo3=1.089×10-1
PFD执行机构=PFD带电动作跳闸继电器+16PFD电动执行机构+
69PFD截止阀=2.522×10-1
PFDSIF=PFD传感器+PFD逻辑控制器+PFD执行机构
=2.743×10-1>10-2
MFT失电动作方式下:
PFD传感器=2PFD二次风FT+6PFD一次风FT=5.8104×10-4
PFD逻辑控制器=5PFDDPU+PFDAI1oo2+2PFDDO2oo3+6PFDAI1oo2+PFDDI2oo3=1.089×10-1
PFD执行机构=PFD带电动作跳闸继电器+16PFD电动执行机构+
69PDF截止阀=2.522×10-1
PFDSIF=PFD传感器+PFD逻辑控制器+PFD执行机构
=2.742×10-1>10-2
2.3安全相关系统SIS的改进方案
炉膛总风量小于25%触发MFT该安全功能的安全完整性等级未达到SIL2,主要原因在于执行机构的PFD过高,改进措施为:
a. 执行机构部分采用1oo2冗余结构;
b. 缩短执行机构部分的功能测试周期TI。
对原有阀门、电动执行器可采用双重冗余即1oo2结构,并将原来的功能测试周期TI缩短为半年,共因失效因子β=0.1,重新计算执行机构的平均要求失效概率,结果见表3。
表3 整改后的平均要求失效概率
通过对上述系统执行器部分结构的简单修改,经过重新计算后,得出整改后的系统的安全完整性等级能够达到SIL2。
3 结束语
笔者通过参与国电泰州项目FSSS系统的DCS部分的设计,完成了对带电动作和失电动作两种MFT跳闸的故障树建模。以MFT中的炉膛风量小于25%触发MFT子功能,结合EXIDA数据库中的相关数据,完成对该安全功能的功能安全分析。由分析结果可知,安全相关系统的传感器部分、逻辑控制器部分的SIL等级相对较高,而执行机构(如电动执行机构和阀门)的SIL相对较低,是整个系统的薄弱环节,在设计时应给予重点关注。通过对系统的功能安全分析可以使设计人员更深入地了解系统,合理分配现有的保护资源,实现节约投资成本的目标。
[1] 靳江红,吴宗之,赵寿堂,等.安全仪表系统的功能安全国内外发展综述[J].化工自动化及表,2010,37(5):1~6.
[2] NFPA85,Boiler and Combustion Systems Hazardscod[S].Quincy: National Fire Protection Association,2011.
[3] DL/T 5000-2000,火力发电厂设计技术规程[S].北京:中国标准出版社,2011.
[4] 王疆,张永霞,潘钢,等.锅炉炉膛安全监控系统及其应用[M].北京:中国电力出版社,2014.
[5] 沈学强,白焰.安全仪表系统的功能安全评估方法性能分析[J].化工自动化及仪表,2012,39(6):703~706.
[6] IEC65108,Function Safety of Electrical/Electronic Programmable Electronic Safety-Related Systems General Requirements[S].Geneva:International Electrotechnical Commission,2000.
(Continued on Page 1110)
TheFaultTreeModelingandFunctionalSafetyAnalysisofMainFuelTripinUtilityBoiler
WANG Yao1, SHEN Xue-qiang1,WANG Jiang2,YANG Cheng2,CHEN Si3
(1.SchoolofAutomationEngineering,NortheastDianliUniversity,Jinlin132012,China; 2.BeijingGuodianZhishenControlTechnologyCo.,Ltd.,Beijing102200,China; 3.ChinaHuanengGroupCorporation,Beijing100031,China)
TH862+.79
B
1000-3932(2016)10-1065-06
2016-09-07(修改稿)