考慮熱態(tài)維修可靠性的汽輪機(jī)保護(hù)系統(tǒng)優(yōu)化分析

2022-05-17 07:22:04沈志剛沈婭芳

工業(yè)安全與環(huán)保 2022年5期

沈志剛沈婭芳

(廈門華夏國際電力發(fā)展有限公司福建廈門 361026)

0 引言

汽輪機(jī)作為能源領(lǐng)域廣泛應(yīng)用的基礎(chǔ)主機(jī)，保護(hù)系統(tǒng)的可靠性直接關(guān)系到整個電站的安全。保護(hù)遮斷信號在汽輪機(jī)突破安全底線時緊急制動，使發(fā)電機(jī)組從運(yùn)行狀態(tài)立即停運(yùn)以避免人身、設(shè)備事故等更大的損失，是整個發(fā)電機(jī)組的最終安全手段。汽輪機(jī)保護(hù)系統(tǒng)在一般意義上特指汽輪機(jī)危急遮斷系統(tǒng)(ETS)，在更廣義的論述中也將數(shù)字電液控制系統(tǒng)(DEH)的超速保護(hù)控制納入其中。但即使在較大的定義范疇，對于汽輪機(jī)保護(hù)系統(tǒng)的大部分研究仍集中于設(shè)計(jì)功能綜述[1]、對照行業(yè)標(biāo)準(zhǔn)的評估改進(jìn)[2]、不同機(jī)型設(shè)計(jì)特點(diǎn)對比分析[3]、事故問題的分析改進(jìn)[4]。相較上述以定性評估為主的研究，近年來有部分研究將馬爾可夫模型[5]、可靠性框圖[6]、故障樹分析[7]等方法引入到保護(hù)系統(tǒng)定量分析中，并發(fā)展出故障容限設(shè)計(jì)理論。

故障容限是指系統(tǒng)在出現(xiàn)錯誤之后還能繼續(xù)執(zhí)行其預(yù)期功能的能力，與可靠性、成功運(yùn)行和是否出現(xiàn)中斷息息相關(guān)。早期較為常見的故障容限方法是設(shè)計(jì)一定數(shù)量的冗余，任何部件失效均被視為可靠性指標(biāo)降低。隨著故障預(yù)防、故障排除和故障預(yù)測等互補(bǔ)技術(shù)的出現(xiàn)，冗余類型演變?yōu)楸粍有腿哂?、主動型冗余和混合型冗余等不同配置形式，從系統(tǒng)的角度，關(guān)注重點(diǎn)從可靠性向安全性延伸，部件失效劃分為失效-安全型和失效-非安全型，失效-安全型與正常工作同屬于系統(tǒng)的安全態(tài)。隨著IEC 61508、IEC 61511和ISA-84等功能安全國際標(biāo)準(zhǔn)的正式發(fā)布，化工行業(yè)[8-9]、機(jī)械工業(yè)[10]及核電廠[11]已開展較多硬件失效和可靠性評估的研究。

在上述研究中，更多的是關(guān)注系統(tǒng)從初始態(tài)開始的可靠性變化，較少涉及系統(tǒng)失效-安全型故障的熱態(tài)維修失效研究，且文獻(xiàn)[10]與文獻(xiàn)[11]的內(nèi)容還存在對立。文獻(xiàn)[10]對于復(fù)雜可修系統(tǒng)研究的基本假設(shè)為“部件一旦進(jìn)入維修狀態(tài)，既不會觸發(fā)獨(dú)立失效事件或共因失效事件，也不會受其他部件共因失效事件影響，直至部件維修完畢”。而文獻(xiàn)[11]的主要結(jié)論則是“設(shè)備的維修退出不僅影響了系統(tǒng)的冗余度，實(shí)際上還會對系統(tǒng)中剩余設(shè)備所包含的共因事件產(chǎn)生影響，若不考慮該影響，得到的系統(tǒng)失效概率以及風(fēng)險(xiǎn)增量會明顯偏于樂觀”。針對上述論點(diǎn)沖突，本文就汽輪機(jī)保護(hù)系統(tǒng)的失效-安全型故障熱態(tài)維修影響展開論述。

1 維修失效模型

在汽輪機(jī)保護(hù)系統(tǒng)(以下簡稱ETS系統(tǒng))常規(guī)設(shè)計(jì)中，均設(shè)有高壓抗燃油壓力低(LP)、潤滑油壓力低(LBO)、真空低(LV)保護(hù)(下文均以LP保護(hù)為例說明)，通常的安裝型式是以汽輪機(jī)主機(jī)廠配置的雙通道4路開關(guān)試驗(yàn)塊實(shí)現(xiàn)，在理論評估中其RBD功能的并串聯(lián)結(jié)構(gòu)如圖1所示。

圖1 典型汽輪機(jī)ETS系統(tǒng)LP保護(hù)RBD功能

引用并串聯(lián)系統(tǒng)可靠性函數(shù)計(jì)算式：

(1)

設(shè)4個壓力開關(guān)結(jié)構(gòu)相同，可靠性參數(shù)完全相同，壓力開關(guān)可靠度Rsw(t)取值0.95，計(jì)算傳感器子系統(tǒng)的可靠度Rse(t)約為0.995，系統(tǒng)原型具有較高的可靠度。

然而在實(shí)際生產(chǎn)過程中，多數(shù)試驗(yàn)塊基于汽輪機(jī)現(xiàn)場緊湊布置和減少密封點(diǎn)的目的，4路開關(guān)未設(shè)單獨(dú)隔離，更早期的汽輪機(jī)試驗(yàn)塊雙通道也無單獨(dú)隔離。隨著壓力開關(guān)、試驗(yàn)塊等測量取樣單元可靠性進(jìn)入“浴盆曲線”后段，會因不同的更換時間、生產(chǎn)批次而出現(xiàn)個體差異，這種影響不僅反映在結(jié)構(gòu)可靠性的衰減，還會較常出現(xiàn)生產(chǎn)過程中的測量單元失效-安全型故障。由此帶來的不停機(jī)維修需求，雙通道試驗(yàn)塊較少設(shè)置支路隔離的設(shè)計(jì)，以及在ETS系統(tǒng)50～200 ms響應(yīng)速率下極小的容錯窗口，在各生產(chǎn)企業(yè)慮及誤跳車的求穩(wěn)思維下，共同使維修過程將單功能保護(hù)整組切除成為慣例。

由此，現(xiàn)實(shí)意義上ETS系統(tǒng)LP保護(hù)的RBD功能結(jié)構(gòu)如圖2所示。

圖2 有切除開關(guān)的LP保護(hù)RBD功能

由圖可知，因保護(hù)切除開關(guān)的引入，系統(tǒng)已非簡單的并串聯(lián)結(jié)構(gòu)，式(1)已不再適用。在進(jìn)一步分析非初始態(tài)ETS系統(tǒng)LP保護(hù)失效-安全型故障的維修影響時，引入馬爾可夫模型，如圖3所示。系統(tǒng)在采用保護(hù)切除后，其吸收態(tài)馬爾可夫模型將由圖3(a)向圖3(b)轉(zhuǎn)變，對圖3的狀態(tài)描述如表1所示。

表1 LP保護(hù)系統(tǒng)兩種馬爾可夫模型狀態(tài)描述

(a) 無保護(hù)切除

結(jié)合圖表可見，在系統(tǒng)由初始態(tài)P0進(jìn)入任一非系統(tǒng)失效態(tài)時，其維修過程觸發(fā)保護(hù)切除動作均會造成對其余狀態(tài)的吸收，從而使系統(tǒng)簡化為圖3(b)的緊縮馬爾可夫鏈。保護(hù)切除維修狀態(tài)P2作為系統(tǒng)危險(xiǎn)態(tài)P3與安全失效態(tài)P1的中間轉(zhuǎn)移狀態(tài)，為分析其與系統(tǒng)的可靠度關(guān)聯(lián)，提出以下假設(shè)：

(1)假設(shè)一：設(shè)初始態(tài)P0下LP開關(guān)4個單元修復(fù)完好，具有相同的失效率λsw。在失效過程中，4個單元具有先后動作次序，系統(tǒng)檢測到首個單元失效則進(jìn)入安全失效態(tài)P1，執(zhí)行保護(hù)切除動作，從而吸收同并聯(lián)單元失效狀態(tài)，不計(jì)共因失效。如系統(tǒng)未檢測到首個單元失效，后發(fā)單元失效疊加使系統(tǒng)進(jìn)入危險(xiǎn)態(tài)P3，失效率為2λsw。

(2)假設(shè)二：在安全失效態(tài)P1下，執(zhí)行保護(hù)切除動作，設(shè)保護(hù)投切單元為一單刀雙擲開關(guān)，無其他影響因子，僅有安全切除與危險(xiǎn)失效兩種狀態(tài)，則該單元危險(xiǎn)失效時系統(tǒng)進(jìn)入危險(xiǎn)態(tài)P3，失效率為λsc。安全切除時則系統(tǒng)進(jìn)入保護(hù)投切狀態(tài)P2，狀態(tài)轉(zhuǎn)移率為1-λsc。

(3)假設(shè)三：在保護(hù)切除狀態(tài)P2下，執(zhí)行失效單元檢修，單元由故障失效狀態(tài)進(jìn)入完全正常運(yùn)行狀態(tài)，轉(zhuǎn)移率為μsw，執(zhí)行保護(hù)投入動作，保護(hù)投切單元失效則系統(tǒng)進(jìn)入危險(xiǎn)態(tài)P3，失效率為λsc。保護(hù)投切單元正常則系統(tǒng)進(jìn)入初始態(tài)P0，轉(zhuǎn)移率為1-λsc+μsw。

(4)假設(shè)四：系統(tǒng)危險(xiǎn)態(tài)P3發(fā)生后，將執(zhí)行全面檢測修復(fù)，包括4個單元以及保護(hù)切除單元，使系統(tǒng)進(jìn)入初始態(tài)，狀態(tài)轉(zhuǎn)移率為4μsw+μsc。

繪制帶保護(hù)切除的LP保護(hù)系統(tǒng)全馬爾可夫模型如圖4所示。

圖4 帶保護(hù)切除的LP保護(hù)系統(tǒng)全馬爾可夫模型

系統(tǒng)的狀態(tài)轉(zhuǎn)移概率向量為：

(2)

其中：

X0+X1+X2+X3=1

(3)

系統(tǒng)轉(zhuǎn)移概率矩陣P的表達(dá)式為：

(4)

令X(P-I)=0，則有：

(5)

與式(3)聯(lián)立求解得：

(6)

則系統(tǒng)在正常運(yùn)行狀態(tài)下的穩(wěn)態(tài)可用度為：

(7)

分析A(∞)可知，作為其分子式中唯一的負(fù)數(shù)項(xiàng)，保護(hù)切除單元失效率λsc越小，則系統(tǒng)可用度越高。

回顧前述文獻(xiàn)[1-3]，文獻(xiàn)作者來自不同的電力設(shè)計(jì)單位，對于保護(hù)投切開關(guān)的問題高度關(guān)注但意見不一；參考文獻(xiàn)[12]中的分析數(shù)據(jù)，儀控切換開關(guān)一般取值為3.195 5×10-6h-1，對比文獻(xiàn)[13]中的2oo3結(jié)構(gòu)壓力傳感器子系統(tǒng)，計(jì)算失效率為7.496×10-4h-1，可知單純的保護(hù)切換開關(guān)對于系統(tǒng)整體失效率的影響是低一個數(shù)量級的。

對照現(xiàn)實(shí)工業(yè)環(huán)境，由于保護(hù)投切并無較為完備的標(biāo)準(zhǔn)型式設(shè)計(jì)和作業(yè)指導(dǎo)，即使在具備可靠度較高和獨(dú)立邏輯通道的儀控開關(guān)保護(hù)系統(tǒng)，投切操作也多是由修理工手工操作。LP保護(hù)在失效-安全型故障維修狀態(tài)P1P2下實(shí)際為一人機(jī)串聯(lián)單元，由可靠性理論可得該單元的失效率為：

λSC=λSH+λM

(8)

式中，λSH為儀控開關(guān)失效率；λM為保護(hù)投切人因失效率。在前述分析的假設(shè)二中，為避免馬爾可夫分析過程陷入組合爆炸，將失效安全故障狀態(tài)P1下保護(hù)投切定義為兩態(tài)開關(guān)。實(shí)際上λM的過程意義不僅在于保護(hù)投切瞬間的人為失誤，在發(fā)現(xiàn)失效-安全型故障后的所有檢查、分析、決策失誤都將疊加更多的P1態(tài)滯留時間，且這些影響對系統(tǒng)可用度都是負(fù)向作用，從而使ETS系統(tǒng)整體安全度下降，這也是近年來汽輪機(jī)事故的一個重要成因，在文獻(xiàn)[14]中，維修誤操作和不明原因?qū)е碌奶l事故合計(jì)有66次，占比較大。

由此得出結(jié)論一：ETS系統(tǒng)單功能投切是工業(yè)生產(chǎn)渡過初始態(tài)后的既有需求，其會吸收一部分失效-安全型故障中間安全態(tài)，但基于儀控開關(guān)的高可靠性，硬件對于系統(tǒng)整體失效率影響極小，為避免系統(tǒng)可用度下降，降低維修過程的負(fù)面影響，應(yīng)主要關(guān)注保護(hù)投切人因可靠性，在ETS系統(tǒng)設(shè)計(jì)中盡量壓縮人為操作環(huán)節(jié)。

2 人因分析

在實(shí)際因單元故障進(jìn)行的不停機(jī)維修過程中，ETS系統(tǒng)的可用度主要受保護(hù)投切人為因素影響；但在理論研究和標(biāo)準(zhǔn)條文指導(dǎo)層面，對于工程實(shí)際應(yīng)用中剛性需求的保護(hù)投切設(shè)計(jì)是有所忽視的，從而也導(dǎo)致了工程實(shí)際中的保護(hù)投切無理論依據(jù)、設(shè)計(jì)良莠不齊。較新的系統(tǒng)設(shè)計(jì)或有保護(hù)投切儀控開關(guān)及其狀態(tài)監(jiān)視，人因失誤則少有直接研究。核電[15]、礦山[16]、交通[17]行業(yè)和安全理論研究領(lǐng)域[18]有較多著述，拋開研究方向的差異可以發(fā)現(xiàn)，安全信息認(rèn)知在操作人實(shí)施動作過程中起著關(guān)鍵作用，而認(rèn)知過程的噪聲干擾、人員注意力的衰減和人機(jī)界面的友善等強(qiáng)相關(guān)因素，是在培訓(xùn)、程序和監(jiān)督等管理體系方法之外可通過工業(yè)設(shè)計(jì)改進(jìn)的。

以占大多數(shù)的由PLC控制器作為系統(tǒng)架構(gòu)的設(shè)計(jì)為例，分析ETS系統(tǒng)保護(hù)投切的操作過程。系統(tǒng)各測量子系統(tǒng)具有獨(dú)立邏輯通道，并如前述設(shè)計(jì)4路并串聯(lián)測量元件，邏輯子系統(tǒng)為1+1冗余PLC控制器，根據(jù)既有設(shè)計(jì)完成邏輯表決，執(zhí)行子系統(tǒng)采用4路并串聯(lián)電磁閥，實(shí)現(xiàn)汽輪機(jī)跳閘功能。系統(tǒng)采用混裝機(jī)柜布置，正面機(jī)架分區(qū)域布置邏輯子系統(tǒng)、執(zhí)行子系統(tǒng)電源動力回路，背面機(jī)架布置測量子系統(tǒng)信號端子排、執(zhí)行子系統(tǒng)輸出端子排，端子排2列分布共200多個，未設(shè)計(jì)具備獨(dú)立邏輯通道的儀控開關(guān)，保護(hù)投切操作采用拆裝相應(yīng)功能測量單元信號端子接線實(shí)現(xiàn)，根據(jù)普遍維修方案列出保護(hù)投切步序如表2所示。

表2 保護(hù)投切步序

結(jié)合前述的馬爾可夫過程可明顯判斷，在上述步序2～步序4中，系統(tǒng)較久地停留在失效安全故障狀態(tài)P1，極可能造成其他未檢出測量單元失效疊加，使系統(tǒng)誤跳閘。同時，較多的前序步驟也會使維修執(zhí)行人注意力衰減，增加保護(hù)投切人因失效率λM。

在人因工程學(xué)[19]的理論框架下進(jìn)一步分析，系統(tǒng)存在以下問題：

(1)問題一：步序2～步序4中，執(zhí)行人在申請環(huán)節(jié)需要重復(fù)描述維修內(nèi)容，陷入單調(diào)作業(yè)循環(huán)，容易引起腦力疲勞，導(dǎo)致注意力衰減。

(2)問題二：步序5中，執(zhí)行人需要在200多個端子中正確識別出需拆除的信號端子，短時視覺通道信息量過大，其他信號端子形成的噪聲干擾極強(qiáng)，腦力超負(fù)荷易出現(xiàn)感知信息的遺漏或感知錯誤。

(3)問題三：步序5和步序9中，執(zhí)行人根據(jù)認(rèn)知拆除接線和恢復(fù)接線，均無法直接收到系統(tǒng)的反饋信息，僅能采用步序6和步序10彌補(bǔ)。對于保護(hù)投切人機(jī)過程而言，實(shí)質(zhì)是一種開環(huán)人機(jī)系統(tǒng)，宜人性和安全性都極低。

(4)問題四：步序5、步序6、步序9、步序10構(gòu)成系統(tǒng)保護(hù)投切的核心操作結(jié)構(gòu)，在不同單功能測量單元故障時，其操作位置都會改變。根據(jù)人因感知系統(tǒng)的模式識別定義是腦力負(fù)擔(dān)最為繁重的模板匹配模型，相比于原型匹配模型和特征分析模型，適應(yīng)性最差。

(5)問題五：步序9置于有時間壓力和較大體力、腦力消耗的維修作業(yè)之后，注意力已衰減到一定程度，且步序5的切除操作在中樞(認(rèn)知)系統(tǒng)作為短時工作記憶信息儲存，信息保持時間僅有5～60 s，在沒有復(fù)述的情況下，延長到18 s時的回憶正確率僅有10%。斯滕伯格的實(shí)驗(yàn)研究表明，中樞系統(tǒng)在提取工作記憶信息過程中，執(zhí)行人較易由于前段掃描匹配而中途中斷，造成后段記憶錯誤。在現(xiàn)實(shí)中，大多數(shù)誤操作也是較常出現(xiàn)在恢復(fù)操作階段。

由此得出結(jié)論二：現(xiàn)役的多數(shù)ETS系統(tǒng)，人機(jī)系統(tǒng)開環(huán)特征較多，在失效-安全型故障的維修過程中操作可識別度差，極度依賴維修工的個人素養(yǎng)，其人因失效率λM具有較大的波動性和隨機(jī)性，在不進(jìn)行系統(tǒng)整體改造的前提下，提高系統(tǒng)可靠度應(yīng)從改善人機(jī)系統(tǒng)著手。

3 優(yōu)化模型

經(jīng)過梳理，提出操作行為認(rèn)知過程如圖5所示，由圖可見，行為個體從受令至產(chǎn)生正向行為結(jié)果需經(jīng)歷多層風(fēng)險(xiǎn)擾動，工業(yè)生產(chǎn)中傳統(tǒng)安全管理體系的外界驅(qū)動主要作用在前置階段，即傳統(tǒng)的制度監(jiān)督、培訓(xùn)和作業(yè)指導(dǎo)等，強(qiáng)調(diào)的是工前積累、事后獎懲，這些要素與操作界面風(fēng)險(xiǎn)識別度共同構(gòu)成了常規(guī)人因事故分析的主要原因與整改方向。顯然，前4層要素對于不安全行為的扭轉(zhuǎn)是需要付出成本的，且在達(dá)到效用均衡“鞍點(diǎn)”后，建設(shè)成本將大幅上揚(yáng)，不可避免地將有部分無意識不安全行為漏過安全監(jiān)察，導(dǎo)致人因事故。

圖5 操作行為認(rèn)知過程

本文重點(diǎn)提出構(gòu)建第5層外界要素，即安全信息輔助，其作用點(diǎn)主要指向認(rèn)知錯誤-操作錯誤的人因失誤鏈條，即在操作面臨錯誤拐點(diǎn)時，將此刻的界點(diǎn)信息發(fā)送至操作人松弛信息通道，矯正不安全行為。具體到前例，基于操作人信息通道的反應(yīng)時間數(shù)據(jù)，視覺的反應(yīng)閾值為150～225 ms，而聽覺反應(yīng)閾值為120～182 ms，對應(yīng)于步序5和步序9，視覺信息通道在識別200多個端子處于高負(fù)載情況下，加入聽覺輔助，采用如“你已打開汽輪機(jī)低油壓保護(hù)信號端子壓板，如確需操作請執(zhí)行保護(hù)投退操作卡***號”的語音報(bào)警，于操作人近旁清晰表達(dá)實(shí)時操作行為的趨向。

應(yīng)當(dāng)指出的是，隨著安全韌性理論的推行，從構(gòu)建人機(jī)系統(tǒng)內(nèi)生健壯性角度，防誤入、防誤操作等技術(shù)研究方興未艾[20]，然而較多技術(shù)仍著眼于操作界面風(fēng)險(xiǎn)識別度的拾遺補(bǔ)闕，或未從人因工程學(xué)角度審視操作人信息通道的過載因素，造成大量信息堆積在視覺等主要信道，導(dǎo)致實(shí)際應(yīng)用效果差強(qiáng)人意。

對應(yīng)于此，保護(hù)系統(tǒng)的安全信息輔助雖面臨廣泛的傳感技術(shù)選擇，但重點(diǎn)首先是指向舊有人機(jī)系統(tǒng)人因失效鏈λM的可嵌入狀態(tài)監(jiān)測，其次是基于操作人信息通道的負(fù)荷均衡設(shè)計(jì)，進(jìn)而可兼顧實(shí)時操作信息與操作進(jìn)程各角色的對接平行分發(fā)，從而分?jǐn)偛僮魅藛T壓力。

4 結(jié)語

本文結(jié)合工業(yè)生產(chǎn)過程中汽輪機(jī)保護(hù)系統(tǒng)的現(xiàn)狀，利用馬爾可夫模型分析具有保護(hù)投切功能的系統(tǒng)可用度，對比分析系統(tǒng)整體失效率影響，提出在汽輪機(jī)保護(hù)系統(tǒng)設(shè)計(jì)中盡量壓縮人為操作環(huán)節(jié)。通過對汽輪機(jī)保護(hù)投切典型過程進(jìn)行人因工程分析，識別出人機(jī)系統(tǒng)特征問題，結(jié)合操作行為認(rèn)知過程，提出人因失效鏈嵌入監(jiān)測、操作人信道負(fù)荷均衡以及操作進(jìn)程信息分發(fā)的保護(hù)系統(tǒng)優(yōu)化三要素。