丁淇德

（國(guó)電投周口燃?xì)鉄犭娪邢薰荆幽?周口 466200）

0 引言

隨著我國(guó)能源結(jié)構(gòu)的不斷優(yōu)化，以及環(huán)保要求的不斷提高，發(fā)電過(guò)程的安全穩(wěn)定性也越來(lái)越重要，針對(duì)熱力發(fā)電過(guò)程的可靠性分析進(jìn)行的研究也越來(lái)越多［1-3］。安全完整性等級(jí)（Safety Integrity Level，SIL）作為可靠性分析中的重要方法，已廣泛應(yīng)用于安全儀表系統(tǒng)（Safety Instrumented System，SIS）的分析中。如何確定安全完整性等級(jí)，在IEC 61508與IEC 61511標(biāo)準(zhǔn)中有一套科學(xué)的流程和方法［4-5］。目前，國(guó)內(nèi)外對(duì)安全完整性等級(jí)的研究集中在機(jī)車控制、軌道交通、化工生產(chǎn)等領(lǐng)域中［6-11］，對(duì)燃?xì)廨啓C(jī)領(lǐng)域的研究相對(duì)較少。目前，常用的安全完整性等級(jí)分析方法大多是以安全儀表系統(tǒng)與控制系統(tǒng)獨(dú)立為前提，且分析過(guò)程都集中在安全儀表系統(tǒng)上［12-15］。目前，燃?xì)廨啓C(jī)電廠所使用的軟硬件系統(tǒng)大多是對(duì)安全儀表系統(tǒng)與控制系統(tǒng)的高度集成，使保護(hù)系統(tǒng)與控制系統(tǒng)的耦合度極高，現(xiàn)有的安全完整性等級(jí)分析方法并不適用這種情況。本研究通過(guò)分析DCS系統(tǒng)模件的可靠性，使用可靠性框圖法與故障樹法來(lái)建立整個(gè)保護(hù)與控制系統(tǒng)的可靠性模型，對(duì)電廠現(xiàn)場(chǎng)生產(chǎn)過(guò)程中的故障記錄進(jìn)行處理，并將結(jié)果代入到模型中進(jìn)行計(jì)算，從而完成安全完整性等級(jí)分析。

1 燃?xì)廨啓C(jī)保護(hù)與控制系統(tǒng)

某燃?xì)廨啓C(jī)的DCS系統(tǒng)將保護(hù)功能集成在過(guò)程控制功能中，用一套保護(hù)與控制系統(tǒng)來(lái)實(shí)現(xiàn)。該保護(hù)與控制系統(tǒng)所使用的模件包括主控制器模件、Profibus DP通信模件、以太網(wǎng)通信接口模件、I/O模件。

主控制器模件用于實(shí)現(xiàn)過(guò)程控制及保護(hù)功能，其由控制子模件、通信子模件、通信終端單元及安裝基座組成。其中，控制子模件、通信子模件皆為二重冗余熱備用，在發(fā)生故障時(shí)，二者的冗余切換是相互獨(dú)立；Profibus DP通信模件由Profibus DP通信子模件、通信終端單元、安裝基座組成。Profibus DP通信子模件用于執(zhí)行數(shù)據(jù)的處理功能，通信終端單元為其提供接口；保護(hù)與控制系統(tǒng)的I/O模件按照數(shù)據(jù)類型和流向可分為AI、AO、DI、DO四組，并通過(guò)加裝的I/O通信接口模件與Profibus DP子通信模件的連接來(lái)實(shí)現(xiàn)數(shù)據(jù)通信。該系統(tǒng)的I/O單元包括9個(gè)DI模件、24個(gè)AI模件、3個(gè)DO模件、1個(gè)AO模件以及5個(gè)I/O通信接口模件。該燃?xì)廨啓C(jī)保護(hù)與控制系統(tǒng)結(jié)構(gòu)圖見圖1。

圖1 燃?xì)廨啓C(jī)保護(hù)與控制系統(tǒng)結(jié)構(gòu)圖

2 安全完整性等級(jí)模型構(gòu)建

2.1 失效定義

通過(guò)將該電廠的故障維修記錄與專家經(jīng)驗(yàn)相結(jié)合的方式來(lái)定義系統(tǒng)失效，將其定義為執(zhí)行保護(hù)與控制功能時(shí)系統(tǒng)的通信過(guò)程出錯(cuò)［16］。在進(jìn)行安全完整性等級(jí)分析時(shí)，由于要考慮每種失效所造成后果的嚴(yán)重程度，可依據(jù)系統(tǒng)失效行為產(chǎn)生的影響來(lái)進(jìn)一步劃分系統(tǒng)失效。安全失效是指不會(huì)造成保護(hù)功能無(wú)法正確執(zhí)行的失效；危險(xiǎn)失效是指不僅會(huì)影響生產(chǎn)過(guò)程的生產(chǎn)效率，還會(huì)使保護(hù)功能無(wú)法正確執(zhí)行的失效。

2.2 可靠性框圖法模型

構(gòu)建系統(tǒng)可靠性模型是為了計(jì)算出要求時(shí)的平均失效概率，從而確定整個(gè)系統(tǒng)的安全完整性等級(jí)?？煽啃钥驁D模型（見圖2）是分析保護(hù)與控制系統(tǒng)正確執(zhí)行其功能的充要條件。判斷該系統(tǒng)的保護(hù)與控制功能是否實(shí)現(xiàn)，不僅要考慮系統(tǒng)中各模件的狀態(tài)及各模件之間的數(shù)據(jù)通信網(wǎng)絡(luò)的狀態(tài)，還要考慮各個(gè)模件的安裝基座是否能正常供電。

圖2 系統(tǒng)可靠性框圖模型

2.3 故障樹模型

故障樹同樣是安全完整性等級(jí)分析中的經(jīng)典方法，其不僅能表示可靠性的結(jié)構(gòu)關(guān)系，還能清晰地表示故障事件的內(nèi)在聯(lián)系，以及單元故障與系統(tǒng)故障間的邏輯關(guān)系［17］。由于安全完整性等級(jí)計(jì)算所關(guān)心的是危險(xiǎn)失效情況，即定義頂事件是為了保護(hù)與控制系統(tǒng)危險(xiǎn)失效，造成該危險(xiǎn)失效的中間事件有以太網(wǎng)通信接口模件部分危險(xiǎn)失效、Profibus DP通信站部分危險(xiǎn)失效、I/O模件部分危險(xiǎn)失效、主控制器部分危險(xiǎn)失效、總線部分危險(xiǎn)失效。保護(hù)與控制系統(tǒng)的故障樹如圖3所示。

在圖3中，“1”“2”“3”“4”“5”分別是以太網(wǎng)通信接口模件、Profibus-DP通信模件、主控制器模件、通信總線以及I/O單元，由此可繪制出各自的故障樹。圖3中大寫字母間的不同排列組合用于表示具體的失效情況，將危險(xiǎn)失效分為檢測(cè)到與未檢測(cè)到、共因與非共因［18］等。

圖3 保護(hù)與控制系統(tǒng)故障樹

3 安全完整性等級(jí)驗(yàn)證

3.1 電廠失效數(shù)據(jù)處理與專家評(píng)估

在建立可靠性模型后，通過(guò)相應(yīng)的可靠性模型可計(jì)算出整個(gè)系統(tǒng)的安全完整性等級(jí)。安全完整性等級(jí)分析所用到的失效數(shù)據(jù)來(lái)自該電廠的故障維修記錄，參與失效統(tǒng)計(jì)的模件為該電廠使用的全部相關(guān)模件，故障記錄時(shí)間為2018年11月5日—2021年2月13日，統(tǒng)計(jì)時(shí)間跨度為19 872 h。危險(xiǎn)失效率的計(jì)算公式見式（1）。

式中：m為故障次數(shù)；N為統(tǒng)計(jì)的元件數(shù)量；T為統(tǒng)計(jì)的時(shí)間，h；λD為危險(xiǎn)失效率；FIT為危險(xiǎn)失效率λD的度量單位，1 FIT是指單個(gè)模件在109h內(nèi)失效一次，控制與保護(hù)系統(tǒng)中各個(gè)模件的危險(xiǎn)失效率見表1。其余模件或通信總線由現(xiàn)場(chǎng)專家對(duì)相似模件或通信總線進(jìn)行評(píng)估得到，具體結(jié)果見表2。

表1 主要模件的危險(xiǎn)失效率

表2 其他模件或通信總線的危險(xiǎn)失效率

3.2 可靠性框圖法最終結(jié)果

先計(jì)算系統(tǒng)的總體平均要求時(shí)失效概率PFDavg、安全完整性等級(jí)與PFDavg的關(guān)系，如表3所示［4］。

表3 主要模件的危險(xiǎn)失效率

將各模件及通信總線的危險(xiǎn)失效率λD代入可靠性框圖模型中進(jìn)行求解，即可得到系統(tǒng)總體的PFDavg。由圖2可知，該系統(tǒng)的可靠性框圖擁有1oo1、1oo2兩種結(jié)構(gòu)，其中以太網(wǎng)通信接口模件、終端通信單元、安裝基座、并行通信總線、終端電阻以及I/O單元的結(jié)構(gòu)是1oo1，其余為1oo2。

該系統(tǒng)各部分均具有自我診斷功能，則在1oo1結(jié)構(gòu)中，PFDavg的計(jì)算公式見式（2）。

式中：λD為危險(xiǎn)失效率；λDD為檢測(cè)到的危險(xiǎn)失效率；λDU為未檢測(cè)到的危險(xiǎn)失效率；MTTR為維修時(shí)間，h；TI為功能測(cè)試的時(shí)間，h；tCE為平均停車時(shí)間。

由于1oo2的結(jié)構(gòu)要考慮共因失效的因素，其PFDavg的計(jì)算公式見式（3）。

式中：β為共因失效因子；βU為未檢測(cè)出的共因失效因子；βD為檢測(cè)出的共因失效因子；tGE為平均停車時(shí)間。一般情況下，根據(jù)專家意見，TI取8 760 h，MTTR取8 h，λDD在λD中的占比為0.8，λDU在λD中的占比為0.2。通過(guò)計(jì)算，tCE=884 h，將上述參數(shù)代入式（2）中，可得1oo1結(jié)構(gòu)下的PFDavg。同理，β取值為0.027，將其代入式（3），得1oo2結(jié)構(gòu)下的PFDavg。系統(tǒng)總體的PFDavg總由構(gòu)成系統(tǒng)的各個(gè)模件及通信總線的PFDavg相加得到的，計(jì)算公式見式（4）。

PFDavg總的計(jì)算結(jié)果為0.078 260 395。由此可知，該燃?xì)廨啓C(jī)的保護(hù)與控制系統(tǒng)滿足SIL1要求。

3.3 故障樹法最終結(jié)果

參照故障樹模型，將每個(gè)模件的危險(xiǎn)失效率代入到模型中進(jìn)行定量計(jì)算?？紤]到每個(gè)模件的數(shù)量，PFDavg最終計(jì)算結(jié)果為0.082 555 342。由此可知，該燃?xì)廨啓C(jī)保護(hù)與控制系統(tǒng)滿足SIL1要求。

4 結(jié)語(yǔ)

可靠性框圖法和故障樹法的運(yùn)算結(jié)果存在著偏差，是因?yàn)檫@兩種方法的側(cè)重角度不同。可靠性框圖法更關(guān)注系統(tǒng)各部分在可靠性上的結(jié)構(gòu)關(guān)系，而故障樹法則更關(guān)注故障事件的內(nèi)在聯(lián)系。無(wú)論采用哪種方法，該電廠燃?xì)廨啓C(jī)保護(hù)與控制系統(tǒng)均滿足SIL1的要求。本研究使用可靠性框圖與故障樹法進(jìn)行建模與計(jì)算，將安全完整性等級(jí)分析應(yīng)用于燃?xì)廨啓C(jī)領(lǐng)域，并提供一種用于分析保護(hù)與控制集成系統(tǒng)的安全完整性等級(jí)的思路。