吳志方, 鄭晗琪
(東方電氣自動控制工程有限公司, 四川 德陽 618000)
在燃氣輪機關鍵技術中,保護系統(tǒng)的設計尤為重要。保護系統(tǒng)最重要的功能就是避免錯誤停機和拒絕停機,不同的燃氣輪機制造廠商都有自己配套的保護系統(tǒng)。設計者在設計保護系統(tǒng)時,分析保護系統(tǒng)的安全完整性等級,可以更清楚地掌握保護系統(tǒng)的風險點所在,通過對保護系統(tǒng)安全完整性等級的評估分析可以辨識出系統(tǒng)的危險源,并針對它增加相應的措施,使得系統(tǒng)的設計更加合理和安全。在分析安全完整性等級的基礎上進行保護系統(tǒng)的設計,可以使保護系統(tǒng)更容易通過安全完整性等級認證,提高保護系統(tǒng)的市場競爭力,為燃氣輪機安全穩(wěn)定運行提供必要的保障。
GB/T 21109—2007規(guī)定了4種安全完整性等級(safety integrity level,簡稱SIL),如表1所示[1]。
表1 失效概率與安全完整性等級的對應關系
分析安全完整性等級的過程即為回路安全評估的過程,它分為硬件安全完整性和軟件安全完整性。對一個系統(tǒng)的硬件安全完整性進行評估,它是否達到SIL1~SIL4,須要計算出整個硬件系統(tǒng)的失效概率。圖1為保護系統(tǒng)結構簡圖[2]。
圖1 保護系統(tǒng)結構簡圖
保護系統(tǒng)失效概率由三部分組成[2]:
PS=PA+PB+PC
(1)
式中:PS為整個保護系統(tǒng)的失效概率;PA為傳感器子系統(tǒng)的失效概率;PB為邏輯子系統(tǒng)的失效概率;PC為最終元件子系統(tǒng)的失效概率。
GB/T 21109—2007給出了表1所示失效概率與安全完整性等級的對應關系[1],對于一個子系統(tǒng),只需算出對應的失效概率值,即可判斷所處的安全完整性等級。
本文主要針對保護系統(tǒng)中的邏輯子系統(tǒng)中的一個硬回路的安全完整性等級進行量化分析。該硬回路的失效概率量化分析參數是整個保護系統(tǒng)安全完整性等級分析的基礎。根據保護系統(tǒng)設計,邏輯子系統(tǒng)的失效概率PB占整個安全回路的百分比不超過20%,假設現(xiàn)場傳感器子系統(tǒng)(傳感器及輸入接口)的失效概率占整個安全回路的百分比為a,最終元件子系統(tǒng)(輸出接口及最終元件)的失效概率占整個安全回路的百分比為(80%-a),如圖2所示。邏輯子系統(tǒng)回路的安全完整性等級是以邏輯子系統(tǒng)的失效概率PB的數值小于表1中SIL對應的失效概率數值的20%來確定。
圖2 邏輯子系統(tǒng)失效概率PB在保護系統(tǒng)中的占比
某燃氣輪機保護系統(tǒng)邏輯子系統(tǒng)的模塊1如圖3中所示,針對現(xiàn)場或其他設備觸發(fā)的保護停機項如安全油壓力低停機,為提高可靠性,采用三點輸入,經過中間繼電器1-1、1-2、1-3進行三取二判斷以保證信號可靠,三取二驅動中間繼電器1-5、1-6、1-7,將停機信號傳入保護系統(tǒng)二級處理回路。
圖3 子系統(tǒng)模塊1對應的繼電器回路
保護系統(tǒng)中該硬回路包括4個模塊,對4個模塊進行量化分析,可靠性框圖見圖4。
圖4 保護系統(tǒng)可靠性框圖
這里的表決形式定義為:一套安全相關系統(tǒng)或者其中某一部分,有Y個獨立的通道,至少需要其中X個通道完好,才能執(zhí)行正確的安全功能,記作XooY。從圖4可靠性框圖得知,模塊1表決形式為2oo3,模塊2表決形式為2oo3,模塊3和模塊4的表決形式為1oo2。1oo2表決意味著2個獨立設備,只需要其中1個設備正常運行就能正確的執(zhí)行安全功能,當2個設備出現(xiàn)故障時,安全功能失效。2oo3表決意味著3個獨立設備,只需要其中2個設備正常運行就能正確的執(zhí)行安全功能,當3個設備出現(xiàn)故障時,安全功能失效。
邏輯子系統(tǒng)中的每個模塊由繼電器構成,繼電器相關可靠性參數的確定是硬回路安全完整性等級分析的基礎。在圖4中繼電器選型為歐姆龍品牌,其中1-1、1-2、1-3的型號為MY4N-D2,危險失效率常數記作λ1;1-5、1-6、1-7的型號為MY2N-D2,危險失效率常數記作λ2;1R1~1R6、TR1、TR5的型號為MM2XPN,危險失效率常數記作λ3。由于使用的繼電器安全完整性等級參數未經任何機構評估,無法直接從任何文件中獲得故障率,根據GB/T 16855.1—2018計算繼電器危險失效率常數λ[3],計算數值如下。
根據GB/T 16855.1—2018公式[3]C.2:
(2)
式中:nop為一年中操作的次數,次/a;3 600為1小時換算成3 600秒,s/h;dop為1年平均操作的天數,d/a;hop為1天平均操作的時長,h/d;tcycle為繼電器循環(huán)動作時間間隔,s/次。
根據GB/T 16855.1—2018公式[3]C.5,繼電器MY4N-D2的危險失效率常數λ1:
(3)
式中:λ1為危險失效率常數,單位為fit;nop由式(2)計算所得;B10D1為繼電器MY4N-D2可靠性參數,表示產品達到這個循環(huán)動作次數,預期有10%的產品將會發(fā)生故障,該參數來自產品樣本。
根據GB/T 16855.1—2018公式[3]C.5,繼電器MY2N-D2的危險失效率常數λ2:
(4)
式中:λ2為危險失效率常數,單位為fit;nop由式(2)計算所得;B10D2為繼電器MY2N-D2可靠性參數,表示產品達到這個循環(huán)動作次數,預期有10%的產品將會發(fā)生故障,該參數來自產品樣本。
根據GB/T 16855.1—2018公式[3]C.5,繼電器MM2XPN 的危險失效率常數λ3:
(5)
式中:λ3為危險失效率常數,單位為fit;nop由式(2)計算所得;B10D3為繼電器MM2XPN可靠性參數,表示產品達到這個循環(huán)動作次數,預期有10%的產品將會發(fā)生故障,該參數來自產品樣本。
采用GB/T 16855.2—2015表D.9中的失效模式[4],將每個失效模式的發(fā)生概率平均分配,對每種繼電器故障模式的影響進行分析,繼電器的安全失效與危險故障的占比分配關系如表2。
表2 繼電器的安全失效和危險故障的占比分配關系
繼電器MY4N-D2危險故障率λD1計算如下:
λD1=λ1×(W11+W12)=250 fit×(14.30%+14.30%)=71.5 fit
(6)
式中:λD1為繼電器危險故障率,單位為fit;λ1為繼電器危險失效率常數,由式(3)獲得;W11和W12為繼電器危險故障占比,由表2獲得。
繼電器MY2N-D2危險故障率λD2計算如下:
λD2=λ2×(W21+W22)=625 fit×(14.30%+14.30%)=178.75 fit
(7)
式中:λD2為繼電器危險故障率,單位為fit;λ2為繼電器危險失效率常數,由式(4)獲得;W21和W22為繼電器危險故障占比,由表2獲得。
繼電器MM2XPN危險故障率λD3計算如下:
λD3=λ3×(W31+W32+W33)=200 fit×(14.30%+14.30%+14.20%)=85.6 fit
(8)
式中:λD3為繼電器危險故障率,單位為fit;λ3為繼電器危險失效率常數,由式(5)獲得;W31、W32和W33為繼電器危險故障占比,由表2獲得。
根據GB/T 20438.6—2017表D.1[2]確定診斷測試的頻率S的數值為66,覆蓋率SD的數值為66,根據S和SD的數值,結合GB/T 20438.6—2017表D.4[2]得出未檢測到的危險故障的共因故障系數β為2%和檢測到的危險故障的共因故障系數βD為2%。定義1oo2結構未檢測到的危險故障的共因故障系數為β1,檢測到的危險故障的共因故障系數為βD1;定義2oo3結構未檢測到的危險故障的共因故障系數為β2,檢測到的危險故障的共因故障系數為βD2。根據GB/T 20438.6—2017表D.5[2]計算不同結構的不同故障系數β和βD,計算結果為:保護系統(tǒng)中的硬回路包括4個模塊,模塊3和模塊4屬于1oo2結構,β1=βD1=2%;模塊1和模塊2屬于2oo3結構,β2=βD2=3%。
保護系統(tǒng)子系統(tǒng)每條獨立硬回路都有失效概率數值,某燃氣輪機保護系統(tǒng)其中某硬回路包含4個硬回路子模塊,該4個子模塊(圖4)的失效概率分別記作P1、P2、P3和P4,對每個子模塊的失效概率分別進行計算,該整條硬回路的失效概率數值為子模塊失效概率數值相加,最后對整條硬回路的失效概率數值進行判斷,從而評估分析保護系統(tǒng)某硬回路的安全完整性等級。
圖4中的模塊1,該模塊由三個并聯(lián)通道構成,其輸出信號具有多數表決安排,該元件遵循典型的2oo3結構,根據GB/T 20438.6—2017的附錄B.3.2.2.5的公式[2],失效概率為:
(9)
(10)
(11)
λDU=λD(1-E)
(12)
λDD=λDE
(13)
參考式(9)、(10)、(11)、(12)、(13),由于設計中沒有采用診斷測試技術,式(9)、(10)和(11)中平均修復時間M=0,式(12)和(13)中診斷覆蓋率E=0。
式(9)可以簡化為:
(14)
式中:PG1為2oo3結構的失效概率;β為故障系數;λD為危險故障率;T1為檢驗測試時間間隔。
由式(14)計算模塊1的失效概率P1。
(15)
式中:危險故障率λD1=71.5 fit=71.5×10-9h-1,由式(6)計算所得;2oo3結構故障系數β2=3%,根據GB/T 20438.6—2017表D.5[2]所得;檢驗測試時間間隔T1為17 520 h(兩年)。
模塊2的結構與模塊1的結構相同,遵循典型的2oo3結構,因此計算方法相似,但因繼電器類型不同而采用不同的故障率。
(16)
式中:危險故障率λD2=178.75 fit=178.75×10-9h-1,由式(7)計算所得;2oo3結構故障系數β2=3%,根據GB/T 20438.6—2017表D.5[2]所得;檢驗測試時間間隔T1為17 520 h(兩年)。
模塊3中有3個串聯(lián)部件,對于每個部件,有兩個繼電器并聯(lián),遵循1oo2結構。對于每個1oo2部分,采用GB/T 20438.6—2017的B.3.2.2.4的公式[2]如下。
平均失效概率為:
(17)
參考式(10)、(11)、(12)、(13)、(17),由于設計中沒有采用診斷測試技術,式(10)、(11)和(17)中平均修復時間M=0,式(12)和(13)中診斷覆蓋率E=0。
式(17)可以簡化為:
(18)
式中:PG2為1oo2結構的失效概率;β為故障系數;λD為危險故障率;T1為檢驗測試時間間隔。
由式(18),模塊3包括三個1oo2結構,計算模塊3的P3。
(19)
式中:危險故障率λD3=85.6 fit=85.6×10-9h-1,由式(8)計算所得;1oo2結構故障系數β1=2%,根據GB/T 20438.6—2017表D.5[2]所得;檢驗測試時間間隔T1為17 520 h(兩年)。
模塊4的結構與模塊3的結構相同,為單個1oo2結構,因此計算方法相似,繼電器類型相同,采用相同的故障率,參考式(18)計算如下。
(20)
式中:危險故障率λD3=85.6 fit=85.6×10-9h-1,由式(8)計算所得;故障系數β1=2%,根據GB/T 20438.6—2017表D.5[2]所得;檢驗測試時間間隔T1為17 520 h(兩年)。
邏輯子系統(tǒng)有四個模塊構成四個安全回路,整條硬回路的失效概率數值計算如下。
PB=P1+P2+P3+P4=2.03×10-5+5.62×10-5+ 4.72×10-5+1.57×10-5=1.39×10-4
(21)
式中:P1為第1個模塊失效概率,數值由式(15)計算所得;P2為第2個模塊失效概率,數值由式(16)計算所得;P3為第3個模塊失效概率,數值由式(19)計算所得;P4為第4個模塊失效概率,數值由式(20)計算所得。
根據表1,安全完整性等級3(SIL3)的失效概率數值的范圍為≥10-4~<10-3,按邏輯子系統(tǒng)占比為20%(圖2),達到SIL3邏輯子系統(tǒng)失效概率數值的范圍為2×10-5≤PB<2×10-4。計算結果表明,邏輯子系統(tǒng)模塊1~4的失效概率PB為1.39×10-4,在SIL3的限制范圍內,滿足預定SIL3等級要求。
隨著國產燃氣輪機的研制成功,國產燃氣輪機的保護系統(tǒng)也逐漸進入市場,隨著國家標準的GB/T 20438—2017和GB/T 21109—2007等相關標準的頒布,對保護系統(tǒng)的安全完整性等級評估工作相繼開展。本文通過某保護系統(tǒng)的某個硬回路安全完整性等級計算,得出某硬回路滿足安全完整性等級3(SIL3)。某個硬回路的安全完整性等級是整個保護系統(tǒng)的組成元素。通過某硬回路的安全完整性等級計算,獲知影響安全完整性等級的因素,為保護系統(tǒng)硬件的選型以及硬回路的設計提供參考方法,為設計安全可靠的保護系統(tǒng)提供理論依據。