基于IEC61508标准电站锅炉MFT的功能安全评估

王 耀 ，王新宁 ，王 疆

（1.北京国电智深控制技术有限公司，北京 102200；2.北京市电站自动化工程技术研究中心，北京 102200；3.国电建投内蒙古能源有限公司，内蒙古 017209）

锅炉炉膛安全监控系统FSSS作为锅炉设备专门的保护系统广泛应用于大型火力发电机组的锅炉保护中，它包括燃烧器控制系统BCS和炉膛安全系统FSS两大部分。在DCS的逻辑设计中，BCS主要是控制燃烧器（煤燃烧器、油燃烧器、等离子燃烧器等）的顺启、顺停、联锁、投切等，使各个设备按照规定的动作执行；FSS是保障锅炉设备的安全稳定的运行，当锅炉设备出现危险工况时，迅速切断进入锅炉炉膛内的所有燃料，防止燃料聚积[1]。

目前，国内火力发电机组FSSS的设计及项目实施过程中所依据的标准中并没有提及对FSSS的软、硬件进行功能安全分析、评估、SIL等级验证的要求[2-6]。在实际工程设施中，FSSS的硬件配置和软件组态大多按照以往的项目经验进行，设备安装、调试完成后也不对FSSS进行安全性分析，验证其能否满足用户规定的安全性和可靠性的要求，能否达到一定的安全等级。功能安全评估是以IEC61508标准为理论背景，以安全生命周期为分析框架，以安全完整性等级为评价指针，基于风险的安全技术和管理模式。参照IEC61508标准对火力发电机组FSSS进行功能安全分析、评估，能将安全生命周期的概念融入到整个系统中即实现将系统设计、选型、硬件配置、软件组态、系统集成、安装调试、运行维护等形成一个统一的整体，明确FSSS应该承担的风险，合理设计FSSS的硬件配置、选型，制定完备的维护、检修方案。同时，在确保锅炉炉膛安全监控系统的安全功能满足用户要求时，减少追求过高的安全性产生的资源和成本的浪费，具有一定的工程应用价值。在此，以国内某1000 MW机组二期项目FSSS为范例，结合功能安全标准IEC61508对其进行功能安全分析及评估。

1 电站锅炉炉膛的保护层分析

1.1 场景分析

电站锅炉炉膛的外爆和内爆的场景分析如图1和图2所示。

图1 电站锅炉炉膛外爆的场景路径Fig.1 Scenario path of boiler furnace external explosion

图2 电站锅炉炉膛内爆的场景路径Fig.2 Scenario path of boiler furnace external implosion

1.2 确定初始事件频率

初始事件主要包括设备故障失效、人因失效、外部环境触发事件。锅炉炉膛内爆原因包括送风机和引风机不正常运行、磨煤机、给煤机故障导致燃料输入短时间内急剧较少、主燃烧跳闸MFT。锅炉炉膛外爆原因包括全炉膛灭火、火焰检测丧失、炉膛吹扫的风量大于40%总风量导致阴燃物扬起、燃料漏落入炉膛、炉膛吹扫未完成就进行点火操作等。初始事件发生的频率大小一般以每年或者106h事件发生的次数表示，其数据来源为设备厂家提供的数据、公司以往的项目经验、该行业平均行业数据等。在此，根据工业失效数据库OREDA数据库中的数据，同时依据《电力安全事故等级划分标准》及国家电网电力公司统计调研的数据，确定内爆和外爆的发生频率分别为31次/a和16次/a。

1.3 场景风险量化

电站锅炉炉膛外爆（内爆的保护层分析和外爆相似）的保护层分析如图3所示。触发事件的频率为0.3，过程工艺的PFD设为10-1，燃烧器管理系统的PFD设为10-1，操作运行人员干涉/调整的PFD设为10-1，MFT系统的PFD设为10-2，则根据保护层分析的结果可以计算出：

图3 电站锅炉炉膛外爆保护层分析Fig.3 Layer of protection analysis diagram of boiler furnace external explosion

2 电站锅炉FSSS目标SIL等级的定性确定

根据IEC61508标准第5部分——SIL等级的方法示例中附录E给出的风险矩阵法定性确定FSSS的目标SIL等级。利用风险矩阵法对事故发生后造成的后果和事故发生的概率进行分类，见表1，表2。根据上述对电站锅炉炉膛外爆和内爆保护层分析的结果，确定锅炉爆炸的可能性为中，参照《电力安全事故等级划分标准》中事故后果严重程度的划分，选择锅炉炉膛内爆和外爆造成的后果为严重。

表1 事故发生造成后果严重程度分类Tab.1 Accident consequence classifications

表2 事故发生可能性分类Tab.2 Accident probability classifications

对不采用FSSS系统的炉膛内爆和外爆事故后果及可能性构建风险矩阵，进而确定火力发电机组锅炉炉膛安全监控系统的SIL等级为2，如图4所示。

图4 风险矩阵Fig.4 Risk matrix

3 电站锅炉FSSS功能安全评估

3.1 安全相关系统SIS的组成

炉膛总风量小于25%触发MFT的SIS组成如表3所示，炉膛总风量小于25%信号走向及触发MFT的信号流程如图5所示。

表3 炉膛总风量小于25%触发MFT的SIS组成Tab.3 SIS configuration of low air initiating MFT

图5 炉膛总风量小于25%信号走向及触发MFT的信号流程Fig.5 Signal flow chart and generation of low air initiating MFT

3.2 安全功能SIF的安全完整性等级SIL计算

在明确炉膛风量小于25%触发MFT这一子安全功能的信号流程和该安全功能的安全相关系统的组成后，以炉膛风量小于25%触发MFT为顶事件完成故障树建模，如图6所示。

图6 炉膛总风量小于25%触犯MFT的危险失效故障树模型Fig.6 Dangerous failure fault tree of low air trip MFT

基于简单β因子的n取k系统平均要求时失效率PFDavg的计算公式 （即不同冗余结构的PFDavg的计算公式），如表4所示[8]。其中，定义n取k系统中自诊断共因失效分数为βD，且满足β=2βD，系统子通道的等效平均停止时间为tCE，满足各个部件失效率数据如表 5所示[9]。

表4 IEC61508标准中n取k（n＞k）系统PFDavg计算公式Tab.4 Formulas of koon（n＞k）system in IEC61508

表5 各个部件失效率数据Tab.5 Failure rates of components

经过上述计算，结合IEC61508标准第一部分第7节整体安全生命周期的要求，即表6中给出的低要求操作模式下SIL等级与PFDavg对应关系可以确定炉膛风量小于25%触发MFT这一子安全系统的安全功能的SIL等级为SIL1，达不到FSSS的目标安全完整性等级，需要对系统的结构进行调整。

表6 SIL：在低要求操作模式下分配给一个E/E/PE安全相关系统的安全功能目标失效Tab.6 SIL：Failure of the safety function assigned to an E/E/PE safety-related system in the low-requested operating mode

3.3 安全相关系统SIS的改进方案

炉膛总风量小于25%触发MFT该安全功能的SIL未达到SIL2，主要原因在与执行机构的PFD过高，改进措施包括：

（1）将原来的电动执行机构（电磁阀、电动门等）由1oo1冗余结构提升为1oo2结构；

（2）提高运行维护人员的工作效率，缩短执行机构的功能测试周期，将原来的TI由1 a缩短为0.5 a，且共因失效因子β=0.1。重新计算执行机构的PFDavg，结果如表7所示。

表7 SIS系统各个部分的平均要求时失效概率Tab.7 After rectification

通过对安全相关系统中执行器部分设计结构进行调整，经过重新计算后，整改后的系统的SIL能够达到SIL2。

4 结语

本文总结了保护层分析的方法的一般过程，并完成对锅炉炉膛外爆和内爆2种危险情况的保护层分析；利用上述分析结果，根据IEC61508 标准中定性确定安全完整性等级的方法， 完成对FSSS 系统目标安全完整性等级的定性确定；介绍故障树分析的一般方法，完成对MFT 失效的故障树建模，结合EXIDA 数据库中的相关数据， 完成对炉膛风量小于25%触发MFT 这一子安全功能定量计算SIL等级；利用功能安全分析的结果，找出安全相关系统的薄弱环节并给出改进意见。

[1]冯欣欣，许继刚，孔祥正.功能安全系统在火电厂的应用研究[J].中国仪器仪表，2011（1）：13-16.

[2]NFPA85：boiler and combustion systems hazardscod，2011Edition[S].U.S.A：National Fire Protection Association，2011.

[3]DL/T 5000-2000火力发电厂设计技术规程[S].中华人民共和国电力行业标准，2011.

[4]国电发[2000]589号防止电力生产重大事故的二十五项重点要求[S].国家电力公司，2000.

[5]火力发电厂热工自动化设计技术规程（NDGJ 16-89）[S].能源部电力规划设计管理局，1989.

[6]王疆.火力发电厂FSSS设计标准[M].北京：北京国电智深控制技术有限公司，2008.

[7]王疆.锅炉炉膛安全监控系统及其应用[M].北京：中国电力出版社，2014.

[8]IEC 65108，Function Safety of Electrical/Electronic Programmable Electronic Safety-Related SystemsGeneralrequirements[S].Geneva：International Electrotechnical Commission，2000.

[9]EXIDA.IEC 65108 function safety assessment[EB/OL].[2012.11.21].http//www.exida.corn/index.php/resources/sale-index.