沈志刚 沈娅芳

(厦门华夏国际电力发展有限公司 福建厦门 361026)

0 引言

汽轮机作为能源领域广泛应用的基础主机，保护系统的可靠性直接关系到整个电站的安全。保护遮断信号在汽轮机突破安全底线时紧急制动，使发电机组从运行状态立即停运以避免人身、设备事故等更大的损失，是整个发电机组的最终安全手段。汽轮机保护系统在一般意义上特指汽轮机危急遮断系统(ETS)，在更广义的论述中也将数字电液控制系统(DEH)的超速保护控制纳入其中。但即使在较大的定义范畴，对于汽轮机保护系统的大部分研究仍集中于设计功能综述[1]、对照行业标准的评估改进[2]、不同机型设计特点对比分析[3]、事故问题的分析改进[4]。相较上述以定性评估为主的研究，近年来有部分研究将马尔可夫模型[5]、可靠性框图[6]、故障树分析[7]等方法引入到保护系统定量分析中，并发展出故障容限设计理论。

故障容限是指系统在出现错误之后还能继续执行其预期功能的能力，与可靠性、成功运行和是否出现中断息息相关。早期较为常见的故障容限方法是设计一定数量的冗余，任何部件失效均被视为可靠性指标降低。随着故障预防、故障排除和故障预测等互补技术的出现，冗余类型演变为被动型冗余、主动型冗余和混合型冗余等不同配置形式，从系统的角度，关注重点从可靠性向安全性延伸，部件失效划分为失效-安全型和失效-非安全型，失效-安全型与正常工作同属于系统的安全态。随着IEC 61508、IEC 61511和ISA-84等功能安全国际标准的正式发布，化工行业[8-9]、机械工业[10]及核电厂[11]已开展较多硬件失效和可靠性评估的研究。

在上述研究中，更多的是关注系统从初始态开始的可靠性变化，较少涉及系统失效-安全型故障的热态维修失效研究，且文献[10]与文献[11]的内容还存在对立。文献[10]对于复杂可修系统研究的基本假设为“部件一旦进入维修状态，既不会触发独立失效事件或共因失效事件，也不会受其他部件共因失效事件影响，直至部件维修完毕”。而文献[11]的主要结论则是“设备的维修退出不仅影响了系统的冗余度，实际上还会对系统中剩余设备所包含的共因事件产生影响，若不考虑该影响，得到的系统失效概率以及风险增量会明显偏于乐观”。针对上述论点冲突，本文就汽轮机保护系统的失效-安全型故障热态维修影响展开论述。

1 维修失效模型

在汽轮机保护系统(以下简称ETS系统)常规设计中，均设有高压抗燃油压力低(LP)、润滑油压力低(LBO)、真空低(LV)保护(下文均以LP保护为例说明)，通常的安装型式是以汽轮机主机厂配置的双通道4路开关试验块实现，在理论评估中其RBD功能的并串联结构如图1所示。

图1 典型汽轮机ETS系统LP保护RBD功能

引用并串联系统可靠性函数计算式：

(1)

设4个压力开关结构相同，可靠性参数完全相同，压力开关可靠度Rsw(t)取值0.95，计算传感器子系统的可靠度Rse(t)约为0.995，系统原型具有较高的可靠度。

然而在实际生产过程中，多数试验块基于汽轮机现场紧凑布置和减少密封点的目的，4路开关未设单独隔离，更早期的汽轮机试验块双通道也无单独隔离。随着压力开关、试验块等测量取样单元可靠性进入“浴盆曲线”后段，会因不同的更换时间、生产批次而出现个体差异，这种影响不仅反映在结构可靠性的衰减，还会较常出现生产过程中的测量单元失效-安全型故障。由此带来的不停机维修需求，双通道试验块较少设置支路隔离的设计，以及在ETS系统50～200 ms响应速率下极小的容错窗口，在各生产企业虑及误跳车的求稳思维下，共同使维修过程将单功能保护整组切除成为惯例。

由此，现实意义上ETS系统LP保护的RBD功能结构如图2所示。

图2 有切除开关的LP保护RBD功能

由图可知，因保护切除开关的引入，系统已非简单的并串联结构，式(1)已不再适用。在进一步分析非初始态ETS系统LP保护失效-安全型故障的维修影响时，引入马尔可夫模型，如图3所示。系统在采用保护切除后，其吸收态马尔可夫模型将由图3(a)向图3(b)转变，对图3的状态描述如表1所示。

表1 LP保护系统两种马尔可夫模型状态描述

(a) 无保护切除

结合图表可见，在系统由初始态P0进入任一非系统失效态时，其维修过程触发保护切除动作均会造成对其余状态的吸收，从而使系统简化为图3(b)的紧缩马尔可夫链。保护切除维修状态P2作为系统危险态P3与安全失效态P1的中间转移状态，为分析其与系统的可靠度关联，提出以下假设：

(1)假设一：设初始态P0下LP开关4个单元修复完好，具有相同的失效率λsw。在失效过程中，4个单元具有先后动作次序，系统检测到首个单元失效则进入安全失效态P1，执行保护切除动作，从而吸收同并联单元失效状态，不计共因失效。如系统未检测到首个单元失效，后发单元失效叠加使系统进入危险态P3，失效率为2λsw。

(2)假设二：在安全失效态P1下，执行保护切除动作，设保护投切单元为一单刀双掷开关，无其他影响因子，仅有安全切除与危险失效两种状态，则该单元危险失效时系统进入危险态P3，失效率为λsc。安全切除时则系统进入保护投切状态P2，状态转移率为1-λsc。

(3)假设三：在保护切除状态P2下，执行失效单元检修，单元由故障失效状态进入完全正常运行状态，转移率为μsw，执行保护投入动作，保护投切单元失效则系统进入危险态P3，失效率为λsc。保护投切单元正常则系统进入初始态P0，转移率为1-λsc+μsw。

(4)假设四：系统危险态P3发生后，将执行全面检测修复，包括4个单元以及保护切除单元，使系统进入初始态，状态转移率为4μsw+μsc。

绘制带保护切除的LP保护系统全马尔可夫模型如图4所示。

图4 带保护切除的LP保护系统全马尔可夫模型

系统的状态转移概率向量为：

(2)

其中：

X0+X1+X2+X3=1

(3)

系统转移概率矩阵P的表达式为：

(4)

令X(P-I)=0，则有：

(5)

与式(3)联立求解得：

(6)

则系统在正常运行状态下的稳态可用度为：

(7)

分析A(∞)可知，作为其分子式中唯一的负数项，保护切除单元失效率λsc越小，则系统可用度越高。

回顾前述文献[1-3]，文献作者来自不同的电力设计单位，对于保护投切开关的问题高度关注但意见不一；参考文献[12]中的分析数据，仪控切换开关一般取值为3.195 5×10-6h-1，对比文献[13]中的2oo3结构压力传感器子系统，计算失效率为7.496×10-4h-1，可知单纯的保护切换开关对于系统整体失效率的影响是低一个数量级的。

对照现实工业环境，由于保护投切并无较为完备的标准型式设计和作业指导，即使在具备可靠度较高和独立逻辑通道的仪控开关保护系统，投切操作也多是由修理工手工操作。LP保护在失效-安全型故障维修状态P1P2下实际为一人机串联单元，由可靠性理论可得该单元的失效率为：

λSC=λSH+λM

(8)

式中，λSH为仪控开关失效率；λM为保护投切人因失效率。在前述分析的假设二中，为避免马尔可夫分析过程陷入组合爆炸，将失效安全故障状态P1下保护投切定义为两态开关。实际上λM的过程意义不仅在于保护投切瞬间的人为失误，在发现失效-安全型故障后的所有检查、分析、决策失误都将叠加更多的P1态滞留时间，且这些影响对系统可用度都是负向作用，从而使ETS系统整体安全度下降，这也是近年来汽轮机事故的一个重要成因，在文献[14]中，维修误操作和不明原因导致的跳闸事故合计有66次，占比较大。

由此得出结论一：ETS系统单功能投切是工业生产渡过初始态后的既有需求，其会吸收一部分失效-安全型故障中间安全态，但基于仪控开关的高可靠性，硬件对于系统整体失效率影响极小，为避免系统可用度下降，降低维修过程的负面影响，应主要关注保护投切人因可靠性，在ETS系统设计中尽量压缩人为操作环节。

2 人因分析

在实际因单元故障进行的不停机维修过程中，ETS系统的可用度主要受保护投切人为因素影响；但在理论研究和标准条文指导层面，对于工程实际应用中刚性需求的保护投切设计是有所忽视的，从而也导致了工程实际中的保护投切无理论依据、设计良莠不齐。较新的系统设计或有保护投切仪控开关及其状态监视，人因失误则少有直接研究。核电[15]、矿山[16]、交通[17]行业和安全理论研究领域[18]有较多著述，抛开研究方向的差异可以发现，安全信息认知在操作人实施动作过程中起着关键作用，而认知过程的噪声干扰、人员注意力的衰减和人机界面的友善等强相关因素，是在培训、程序和监督等管理体系方法之外可通过工业设计改进的。

以占大多数的由PLC控制器作为系统架构的设计为例，分析ETS系统保护投切的操作过程。系统各测量子系统具有独立逻辑通道，并如前述设计4路并串联测量元件，逻辑子系统为1+1冗余PLC控制器，根据既有设计完成逻辑表决，执行子系统采用4路并串联电磁阀，实现汽轮机跳闸功能。系统采用混装机柜布置，正面机架分区域布置逻辑子系统、执行子系统电源动力回路，背面机架布置测量子系统信号端子排、执行子系统输出端子排，端子排2列分布共200多个，未设计具备独立逻辑通道的仪控开关，保护投切操作采用拆装相应功能测量单元信号端子接线实现，根据普遍维修方案列出保护投切步序如表2所示。

表2 保护投切步序

结合前述的马尔可夫过程可明显判断，在上述步序2～步序4中，系统较久地停留在失效安全故障状态P1，极可能造成其他未检出测量单元失效叠加，使系统误跳闸。同时，较多的前序步骤也会使维修执行人注意力衰减，增加保护投切人因失效率λM。

在人因工程学[19]的理论框架下进一步分析，系统存在以下问题：

(1)问题一：步序2～步序4中，执行人在申请环节需要重复描述维修内容，陷入单调作业循环，容易引起脑力疲劳，导致注意力衰减。

(2)问题二：步序5中，执行人需要在200多个端子中正确识别出需拆除的信号端子，短时视觉通道信息量过大，其他信号端子形成的噪声干扰极强，脑力超负荷易出现感知信息的遗漏或感知错误。

(3)问题三：步序5和步序9中，执行人根据认知拆除接线和恢复接线，均无法直接收到系统的反馈信息，仅能采用步序6和步序10弥补。对于保护投切人机过程而言，实质是一种开环人机系统，宜人性和安全性都极低。

(4)问题四：步序5、步序6、步序9、步序10构成系统保护投切的核心操作结构，在不同单功能测量单元故障时，其操作位置都会改变。根据人因感知系统的模式识别定义是脑力负担最为繁重的模板匹配模型，相比于原型匹配模型和特征分析模型，适应性最差。

(5)问题五：步序9置于有时间压力和较大体力、脑力消耗的维修作业之后，注意力已衰减到一定程度，且步序5的切除操作在中枢(认知)系统作为短时工作记忆信息储存，信息保持时间仅有5～60 s，在没有复述的情况下，延长到18 s时的回忆正确率仅有10%。斯滕伯格的实验研究表明，中枢系统在提取工作记忆信息过程中，执行人较易由于前段扫描匹配而中途中断，造成后段记忆错误。在现实中，大多数误操作也是较常出现在恢复操作阶段。

由此得出结论二：现役的多数ETS系统，人机系统开环特征较多，在失效-安全型故障的维修过程中操作可识别度差，极度依赖维修工的个人素养，其人因失效率λM具有较大的波动性和随机性，在不进行系统整体改造的前提下，提高系统可靠度应从改善人机系统着手。

3 优化模型

经过梳理，提出操作行为认知过程如图5所示，由图可见，行为个体从受令至产生正向行为结果需经历多层风险扰动，工业生产中传统安全管理体系的外界驱动主要作用在前置阶段，即传统的制度监督、培训和作业指导等，强调的是工前积累、事后奖惩，这些要素与操作界面风险识别度共同构成了常规人因事故分析的主要原因与整改方向。显然，前4层要素对于不安全行为的扭转是需要付出成本的，且在达到效用均衡“鞍点”后，建设成本将大幅上扬，不可避免地将有部分无意识不安全行为漏过安全监察，导致人因事故。

图5 操作行为认知过程

本文重点提出构建第5层外界要素，即安全信息辅助，其作用点主要指向认知错误-操作错误的人因失误链条，即在操作面临错误拐点时，将此刻的界点信息发送至操作人松弛信息通道，矫正不安全行为。具体到前例，基于操作人信息通道的反应时间数据，视觉的反应阈值为150～225 ms，而听觉反应阈值为120～182 ms，对应于步序5和步序9，视觉信息通道在识别200多个端子处于高负载情况下，加入听觉辅助，采用如“你已打开汽轮机低油压保护信号端子压板，如确需操作请执行保护投退操作卡***号”的语音报警，于操作人近旁清晰表达实时操作行为的趋向。

应当指出的是，随着安全韧性理论的推行，从构建人机系统内生健壮性角度，防误入、防误操作等技术研究方兴未艾[20]，然而较多技术仍着眼于操作界面风险识别度的拾遗补阙，或未从人因工程学角度审视操作人信息通道的过载因素，造成大量信息堆积在视觉等主要信道，导致实际应用效果差强人意。

对应于此，保护系统的安全信息辅助虽面临广泛的传感技术选择，但重点首先是指向旧有人机系统人因失效链λM的可嵌入状态监测，其次是基于操作人信息通道的负荷均衡设计，进而可兼顾实时操作信息与操作进程各角色的对接平行分发，从而分摊操作人员压力。

4 结语

本文结合工业生产过程中汽轮机保护系统的现状，利用马尔可夫模型分析具有保护投切功能的系统可用度，对比分析系统整体失效率影响，提出在汽轮机保护系统设计中尽量压缩人为操作环节。通过对汽轮机保护投切典型过程进行人因工程分析，识别出人机系统特征问题，结合操作行为认知过程，提出人因失效链嵌入监测、操作人信道负荷均衡以及操作进程信息分发的保护系统优化三要素。

现阶段，发电企业仍有较多数汽轮机保护系统采用PLC控制器架构。随着测量元件可靠性的衰减，保护信号投切成为较为普遍的刚性操作需求，企业虽有从业培训及相关安全生产许可制度，但其作用主要体现在事前教育、约束和事后惩罚，对于保护信号正常或非正常操作的事中监督，主要依靠维修工的业务能力和责任心，缺乏必要的防护系统。正视和建立一个标准的保护系统优化方向，缓解系统维修过程的操作难度和人员压力，及时规避各种人因事故风险，对于能源化工等企业安全生产风险管控意义重大。