某燃气轮机保护系统硬回路的安全完整性等级分析

吴志方, 郑晗琪

(东方电气自动控制工程有限公司, 四川 德阳 618000)

1 概述

在燃气轮机关键技术中,保护系统的设计尤为重要。保护系统最重要的功能就是避免错误停机和拒绝停机,不同的燃气轮机制造厂商都有自己配套的保护系统。设计者在设计保护系统时,分析保护系统的安全完整性等级,可以更清楚地掌握保护系统的风险点所在,通过对保护系统安全完整性等级的评估分析可以辨识出系统的危险源,并针对它增加相应的措施,使得系统的设计更加合理和安全。在分析安全完整性等级的基础上进行保护系统的设计,可以使保护系统更容易通过安全完整性等级认证,提高保护系统的市场竞争力,为燃气轮机安全稳定运行提供必要的保障。

2 安全完整性等级分析说明

2.1 保护系统安全完整性等级说明

GB/T 21109—2007规定了4种安全完整性等级(safety integrity level,简称SIL),如表1所示[1]。

表1 失效概率与安全完整性等级的对应关系

分析安全完整性等级的过程即为回路安全评估的过程,它分为硬件安全完整性和软件安全完整性。对一个系统的硬件安全完整性进行评估,它是否达到SIL1～SIL4,须要计算出整个硬件系统的失效概率。图1为保护系统结构简图[2]。

图1 保护系统结构简图

保护系统失效概率由三部分组成[2]:

PS=PA+PB+PC

(1)

式中:PS为整个保护系统的失效概率;PA为传感器子系统的失效概率;PB为逻辑子系统的失效概率;PC为最终元件子系统的失效概率。

GB/T 21109—2007给出了表1所示失效概率与安全完整性等级的对应关系[1],对于一个子系统,只需算出对应的失效概率值,即可判断所处的安全完整性等级。

2.2 保护系统逻辑子系统安全完整性等级的分析说明

本文主要针对保护系统中的逻辑子系统中的一个硬回路的安全完整性等级进行量化分析。该硬回路的失效概率量化分析参数是整个保护系统安全完整性等级分析的基础。根据保护系统设计,逻辑子系统的失效概率PB占整个安全回路的百分比不超过20%,假设现场传感器子系统(传感器及输入接口)的失效概率占整个安全回路的百分比为a,最终元件子系统(输出接口及最终元件)的失效概率占整个安全回路的百分比为(80%-a),如图2所示。逻辑子系统回路的安全完整性等级是以逻辑子系统的失效概率PB的数值小于表1中SIL对应的失效概率数值的20%来确定。

图2 逻辑子系统失效概率PB在保护系统中的占比

2.3 建立逻辑子系统硬回路可靠性框图

某燃气轮机保护系统逻辑子系统的模块1如图3中所示,针对现场或其他设备触发的保护停机项如安全油压力低停机,为提高可靠性,采用三点输入,经过中间继电器1-1、1-2、1-3进行三取二判断以保证信号可靠,三取二驱动中间继电器1-5、1-6、1-7,将停机信号传入保护系统二级处理回路。

图3 子系统模块1对应的继电器回路

保护系统中该硬回路包括4个模块,对4个模块进行量化分析,可靠性框图见图4。

图4 保护系统可靠性框图

这里的表决形式定义为:一套安全相关系统或者其中某一部分,有Y个独立的通道,至少需要其中X个通道完好,才能执行正确的安全功能,记作XooY。从图4可靠性框图得知,模块1表决形式为2oo3,模块2表决形式为2oo3,模块3和模块4的表决形式为1oo2。1oo2表决意味着2个独立设备,只需要其中1个设备正常运行就能正确的执行安全功能,当2个设备出现故障时,安全功能失效。2oo3表决意味着3个独立设备,只需要其中2个设备正常运行就能正确的执行安全功能,当3个设备出现故障时,安全功能失效。

3 继电器安全完整性等级相关参数的确定

3.1 硬件回路继电器危险失效率常数λ的确定

逻辑子系统中的每个模块由继电器构成,继电器相关可靠性参数的确定是硬回路安全完整性等级分析的基础。在图4中继电器选型为欧姆龙品牌,其中1-1、1-2、1-3的型号为MY4N-D2,危险失效率常数记作λ1;1-5、1-6、1-7的型号为MY2N-D2,危险失效率常数记作λ2;1R1～1R6、TR1、TR5的型号为MM2XPN,危险失效率常数记作λ3。由于使用的继电器安全完整性等级参数未经任何机构评估,无法直接从任何文件中获得故障率,根据GB/T 16855.1—2018计算继电器危险失效率常数λ[3],计算数值如下。

根据GB/T 16855.1—2018公式[3]C.2:

(2)

式中:nop为一年中操作的次数,次/a;3 600为1小时换算成3 600秒,s/h;dop为1年平均操作的天数,d/a;hop为1天平均操作的时长,h/d;tcycle为继电器循环动作时间间隔,s/次。

根据GB/T 16855.1—2018公式[3]C.5,继电器MY4N-D2的危险失效率常数λ1:

(3)

式中:λ1为危险失效率常数,单位为fit;nop由式(2)计算所得;B10D1为继电器MY4N-D2可靠性参数,表示产品达到这个循环动作次数,预期有10%的产品将会发生故障,该参数来自产品样本。

根据GB/T 16855.1—2018公式[3]C.5,继电器MY2N-D2的危险失效率常数λ2:

(4)

式中:λ2为危险失效率常数,单位为fit;nop由式(2)计算所得;B10D2为继电器MY2N-D2可靠性参数,表示产品达到这个循环动作次数,预期有10%的产品将会发生故障,该参数来自产品样本。

根据GB/T 16855.1—2018公式[3]C.5,继电器MM2XPN 的危险失效率常数λ3:

(5)

式中:λ3为危险失效率常数,单位为fit;nop由式(2)计算所得;B10D3为继电器MM2XPN可靠性参数,表示产品达到这个循环动作次数,预期有10%的产品将会发生故障,该参数来自产品样本。

3.2 硬件回路继电器危险故障率λD的确定

采用GB/T 16855.2—2015表D.9中的失效模式[4],将每个失效模式的发生概率平均分配,对每种继电器故障模式的影响进行分析,继电器的安全失效与危险故障的占比分配关系如表2。

表2 继电器的安全失效和危险故障的占比分配关系

继电器MY4N-D2危险故障率λD1计算如下:

λD1=λ1×(W11+W12)=250 fit×(14.30%+14.30%)=71.5 fit

(6)

式中:λD1为继电器危险故障率,单位为fit;λ1为继电器危险失效率常数,由式(3)获得;W11和W12为继电器危险故障占比,由表2获得。

继电器MY2N-D2危险故障率λD2计算如下:

λD2=λ2×(W21+W22)=625 fit×(14.30%+14.30%)=178.75 fit

(7)

式中:λD2为继电器危险故障率,单位为fit;λ2为继电器危险失效率常数,由式(4)获得;W21和W22为继电器危险故障占比,由表2获得。

继电器MM2XPN危险故障率λD3计算如下:

λD3=λ3×(W31+W32+W33)=200 fit×(14.30%+14.30%+14.20%)=85.6 fit

(8)

式中:λD3为继电器危险故障率,单位为fit;λ3为继电器危险失效率常数,由式(5)获得;W31、W32和W33为继电器危险故障占比,由表2获得。

3.3 硬回路继电器未检测到的故障β系数和检测到的故障βD系数的确定

根据GB/T 20438.6—2017表D.1[2]确定诊断测试的频率S的数值为66,覆盖率SD的数值为66,根据S和SD的数值,结合GB/T 20438.6—2017表D.4[2]得出未检测到的危险故障的共因故障系数β为2%和检测到的危险故障的共因故障系数βD为2%。定义1oo2结构未检测到的危险故障的共因故障系数为β1,检测到的危险故障的共因故障系数为βD1;定义2oo3结构未检测到的危险故障的共因故障系数为β2,检测到的危险故障的共因故障系数为βD2。根据GB/T 20438.6—2017表D.5[2]计算不同结构的不同故障系数β和βD,计算结果为:保护系统中的硬回路包括4个模块,模块3和模块4属于1oo2结构,β1=βD1=2%;模块1和模块2属于2oo3结构,β2=βD2=3%。

4 安全完整性等级计算

保护系统子系统每条独立硬回路都有失效概率数值,某燃气轮机保护系统其中某硬回路包含4个硬回路子模块,该4个子模块(图4)的失效概率分别记作P1、P2、P3和P4,对每个子模块的失效概率分别进行计算,该整条硬回路的失效概率数值为子模块失效概率数值相加,最后对整条硬回路的失效概率数值进行判断,从而评估分析保护系统某硬回路的安全完整性等级。

4.1 模块1失效概率 P1的计算

图4中的模块1,该模块由三个并联通道构成,其输出信号具有多数表决安排,该元件遵循典型的2oo3结构,根据GB/T 20438.6—2017的附录B.3.2.2.5的公式[2],失效概率为:

(9)

(10)

(11)

λDU=λD(1-E)

(12)

λDD=λDE

(13)

参考式(9)、(10)、(11)、(12)、(13),由于设计中没有采用诊断测试技术,式(9)、(10)和(11)中平均修复时间M=0,式(12)和(13)中诊断覆盖率E=0。

式(9)可以简化为:

(14)

式中:PG1为2oo3结构的失效概率;β为故障系数;λD为危险故障率;T1为检验测试时间间隔。

由式(14)计算模块1的失效概率P1。

(15)

式中:危险故障率λD1=71.5 fit=71.5×10-9h-1,由式(6)计算所得;2oo3结构故障系数β2=3%,根据GB/T 20438.6—2017表D.5[2]所得;检验测试时间间隔T1为17 520 h(两年)。

4.2 模块2失效概率P2的计算

模块2的结构与模块1的结构相同,遵循典型的2oo3结构,因此计算方法相似,但因继电器类型不同而采用不同的故障率。

(16)

式中:危险故障率λD2=178.75 fit=178.75×10-9h-1,由式(7)计算所得;2oo3结构故障系数β2=3%,根据GB/T 20438.6—2017表D.5[2]所得;检验测试时间间隔T1为17 520 h(两年)。

4.3 模块3失效概率P3的计算

模块3中有3个串联部件,对于每个部件,有两个继电器并联,遵循1oo2结构。对于每个1oo2部分,采用GB/T 20438.6—2017的B.3.2.2.4的公式[2]如下。

平均失效概率为:

(17)

参考式(10)、(11)、(12)、(13)、(17),由于设计中没有采用诊断测试技术,式(10)、(11)和(17)中平均修复时间M=0,式(12)和(13)中诊断覆盖率E=0。

式(17)可以简化为:

(18)

式中:PG2为1oo2结构的失效概率;β为故障系数;λD为危险故障率;T1为检验测试时间间隔。

由式(18),模块3包括三个1oo2结构,计算模块3的P3。

(19)

式中:危险故障率λD3=85.6 fit=85.6×10-9h-1,由式(8)计算所得;1oo2结构故障系数β1=2%,根据GB/T 20438.6—2017表D.5[2]所得;检验测试时间间隔T1为17 520 h(两年)。

4.4 模块4失效概率P4的计算

模块4的结构与模块3的结构相同,为单个1oo2结构,因此计算方法相似,继电器类型相同,采用相同的故障率,参考式(18)计算如下。

(20)

式中:危险故障率λD3=85.6 fit=85.6×10-9h-1,由式(8)计算所得;故障系数β1=2%,根据GB/T 20438.6—2017表D.5[2]所得;检验测试时间间隔T1为17 520 h(两年)。

4.5 整条回路危险失效概率的计算

逻辑子系统有四个模块构成四个安全回路,整条硬回路的失效概率数值计算如下。

PB=P1+P2+P3+P4=2.03×10-5+5.62×10-5+ 4.72×10-5+1.57×10-5=1.39×10-4

(21)

式中:P1为第1个模块失效概率,数值由式(15)计算所得;P2为第2个模块失效概率,数值由式(16)计算所得;P3为第3个模块失效概率,数值由式(19)计算所得;P4为第4个模块失效概率,数值由式(20)计算所得。

根据表1,安全完整性等级3(SIL3)的失效概率数值的范围为≥10-4～<10-3,按逻辑子系统占比为20%(图2),达到SIL3逻辑子系统失效概率数值的范围为2×10-5≤PB<2×10-4。计算结果表明,逻辑子系统模块1～4的失效概率PB为1.39×10-4,在SIL3的限制范围内,满足预定SIL3等级要求。

5 结语

随着国产燃气轮机的研制成功,国产燃气轮机的保护系统也逐渐进入市场,随着国家标准的GB/T 20438—2017和GB/T 21109—2007等相关标准的颁布,对保护系统的安全完整性等级评估工作相继开展。本文通过某保护系统的某个硬回路安全完整性等级计算,得出某硬回路满足安全完整性等级3(SIL3)。某个硬回路的安全完整性等级是整个保护系统的组成元素。通过某硬回路的安全完整性等级计算,获知影响安全完整性等级的因素,为保护系统硬件的选型以及硬回路的设计提供参考方法,为设计安全可靠的保护系统提供理论依据。