王 鵬 白 焰 付亞利

(華北電力大學(xué)控制與計算機工程學(xué)院，北京 102206)

隨著我國工業(yè)自動化水平的不斷提高，過程控制系統(tǒng)的規(guī)模越來越復(fù)雜，這就對模件的可靠性和安全性提出了更高的要求；而國內(nèi)模件大多只考慮經(jīng)濟性，安全性并未得到相應(yīng)重視。工程實踐中，針對火電廠爐膛安全監(jiān)控系統(tǒng)(FSSS)的測點就有3 000多個，這些測點都需要用到I/O模件，假如每個模件的安全等級下降一級，整個FSSS的安全等級就不能滿足要求；為了使我國工業(yè)系統(tǒng)更符合國際標(biāo)準(zhǔn)，筆者應(yīng)用IEC61508標(biāo)準(zhǔn)的相關(guān)規(guī)定，對AO模件進(jìn)行安全評估[1]。

1 功能安全評估方法①

在生產(chǎn)系統(tǒng)的可靠性設(shè)計和運行過程中，安全評估是一個重要環(huán)節(jié)。目前國內(nèi)外已研究開發(fā)出多種針對不同特點、不同使用對象和范圍、不同應(yīng)用條件的安全評估方法，常用的有：安全檢查法(SR)、安全檢查表分析法(SCA)、預(yù)先危險性分析法(PHA)、故障假設(shè)分析法(WI)、危險與可操作性研究法(HAZOP)、故障類型及影響分析法(FMEA)、故障樹分析法(FTA)、事件樹分析法(ETA)和危險指數(shù)法(RR)[2]。

FTA是由美國Bell實驗室科技人員在1962年進(jìn)行火箭發(fā)射系統(tǒng)的安全評估時提出的。發(fā)展到今天，已經(jīng)是可靠性分析和安全評估的最常用方法之一[3]。安全評估方法獲得可信的安全評估結(jié)果必須建立在真實、合理和系統(tǒng)的基礎(chǔ)數(shù)據(jù)之上，被評價的系統(tǒng)應(yīng)該能夠提供所需的系統(tǒng)化的數(shù)據(jù)和資料。筆者搜集到了適應(yīng)于故障樹的可靠性數(shù)據(jù)，又因故障樹分析方法精確且適用范圍廣，故采用故障樹分析方法對LN-05B模件進(jìn)行安全評估。

2 AO模件的故障樹分析與SIL等級計算

FTA從頂端事件開始，首先分析導(dǎo)致該事件的直接原因，接著確定導(dǎo)致直接原因的失效模式，然后一直追溯到最根本的觸發(fā)原因——基本事件[4]。能夠揭示導(dǎo)致事故發(fā)生的基本事件，從而降低事故發(fā)生的可能性。

故障樹分析的步驟為：分析系統(tǒng)結(jié)構(gòu)并逐級分析導(dǎo)致失效的原因；建立故障樹結(jié)構(gòu)；建立最小割集；故障樹定量/定性分析[3]。

2.1 分析系統(tǒng)結(jié)構(gòu)

LN-05B模件的結(jié)構(gòu)如圖1所示[5]。該模件配置了兩個24V供電電源，經(jīng)濾波和外部輔助電路后，通過隔離電壓轉(zhuǎn)換器將24V電壓轉(zhuǎn)換為5V電壓為微控制器供電。由數(shù)據(jù)總線送來的控制量信號經(jīng)數(shù)據(jù)收發(fā)器送到微處理器，來自微處理器的信號經(jīng)隔離裝置送入DA轉(zhuǎn)換器之后，當(dāng)系統(tǒng)處理器模件發(fā)出的地址信號與該模件地址開關(guān)上設(shè)置的地址一致時，輸出通道將微弱的數(shù)字信號轉(zhuǎn)換成能對生產(chǎn)過程進(jìn)行控制的數(shù)字驅(qū)動信號輸出。該模件配置4路DA輸出通道，首先計算單輸出通道的模件失效概率，再計算整個模件的失效概率。

圖1 LN-05B結(jié)構(gòu)

2.2 建立故障樹結(jié)構(gòu)

單輸出通道的模件故障樹如圖2所示。共因失效是指由一個或多個事件引起多通道系統(tǒng)中的兩個或多個分離通道失效，從而導(dǎo)致系統(tǒng)失效的一種失效[6]。共因失效一般發(fā)生在多通道系統(tǒng)中，如冗余及多數(shù)表決系統(tǒng)等。

圖2 單輸出通道的LN-05B故障樹

電源采用冗余配置，考慮共因失效；總線收發(fā)器采用二取一表決邏輯，考慮共因失效。共因失效因子β可以根據(jù)β因子估計表估計，兩個冗余的電源輸入通道采用了相同的技術(shù)并且在同一電路印刷板上，根據(jù)β因子估計表，β電源取0.03[6]。兩個收發(fā)器在同一個印刷電路板上采用相同的連接方式，并且它們由同一個電源供電，相互沒有隔離，根據(jù)β因子估計表，β收發(fā)器取0.04。

部件失效概率數(shù)據(jù)見表1。表中總線收發(fā)器的可靠性數(shù)據(jù)由制造商Philips提供，AO轉(zhuǎn)換器和運算放大器的可靠性數(shù)據(jù)由制造商Burr-Brown和Texas Instruments提供；其他元器件的可靠性數(shù)據(jù)來自美國國防部可靠性分析中心RIAC的可靠性數(shù)據(jù)庫。

表1 部件失效概率數(shù)據(jù)

2.3 建立最小割集

最小割集的計算方法有很多種，筆者采用下行法計算。從故障樹的頂事件開始，順次把上一級事件置換為下一級事件，遇到與門將輸入事件橫向并列寫出，遇到或門將輸入事件豎向?qū)懗?，直到把全部邏輯門換成底事件為止，此時最后一列代表所有割集，再將割集簡化并吸收得到全部最小割集[7,8]。結(jié)合圖2可知，LN-05B失效故障樹的最小割集為：{B1}，{B2}，{D1，D2}，{C2}，{B4}，{B5}，{D3，D4}，{C4}，{B7}，{B8}，{B9}，{C5}，{C6}，{C7}，{C8}，{C9}，{C10}，{C11}。

2.4 故障樹定量分析

采用最小割集不交化方法求頂事件發(fā)生的概率[7]，具體為：

(1)

(2)

將表1數(shù)據(jù)代入式(1)、(2)，得：

T=B1∪B2∪(D1∩D2)∪C2∪B4∪B5∪(D3∩D4)∪C4∪B7∪B8∪B9∪C5∩C6∪C7∪C8∪C9∪C10∪C11

=2.42×10-7+(1-2.42×10-7)×7.73×10-7+…+(1-2.42×10-7)×

(1-7.73×10-7)×[1-0.97×3.60×10-9+0.97×3.60×10-9×

(1-0.97×3.60×10-9)]×…×2.67×10-5

=1.77×10-3

其中非共因部分的PFD為(1-β)PFD，共因部分的PFD為βPFD。通過計算，得到整個模件的失效概率為5.70×10-3。

安全完整性就是在規(guī)定的條件和時間內(nèi)，安全相關(guān)系統(tǒng)成功地實現(xiàn)所要求的功能的概率[9]。安全相關(guān)系統(tǒng)有4種安全完整性等級(SIL)，等級越高，其成功實現(xiàn)所要求功能的概率越高。根據(jù)表2可知該模件的安全完整性等級為SIL2[7]。

表2 IEC61508安全完整性等級

3 結(jié)束語

筆者針對模擬量輸出模件LN-05B，構(gòu)造了危險失效故障樹和最小割集，采用故障樹最小割集不交化方法計算了要求時失效概率，得到其安全等級為SIL2。由于電廠復(fù)雜化程度不斷提高，為了滿足過程工業(yè)系統(tǒng)SIL3的安全等級要求，建議采購具有自檢功能的模件，可以提高模件的可靠性和安全性。為了得到保守精確的結(jié)果，筆者并未近似計算，相對于應(yīng)用公式計算，這種方法顯然比較繁瑣；但是對于要求精確安全評估結(jié)果的小模型來說，此方法不但方便，而且評估結(jié)果更準(zhǔn)確。