楊永光，金常青，崔黎寧，王曉莉

(1． 中石化中原設(shè)計(jì)研究院，河南 濮陽(yáng) 457001；2． 濮陽(yáng)金盾消防有限公司，河南 濮陽(yáng) 457001)

近年來(lái)，隨著人們對(duì)安全生產(chǎn)的重視，安全儀表系統(tǒng)SIS(Safety Instrumented System)在石油化工及天然氣行業(yè)使用越來(lái)越多。石油化工及天然氣裝置的事故不僅會(huì)對(duì)人民的生命安全和財(cái)產(chǎn)造成巨大損害，而且可能對(duì)生態(tài)環(huán)境造成不可彌補(bǔ)的危害。設(shè)備的冗余配置方法是提高安全的主要方法，筆者運(yùn)用概率學(xué)，分析了SIS中傳感器各種冗余配置的特點(diǎn)。

1 SIS的組成

根據(jù)IEC 61511的定義[1]，SIS是指用來(lái)實(shí)現(xiàn)一個(gè)或幾個(gè)儀表安全功能的儀表系統(tǒng)，通常由傳感器、邏輯控制器和最終執(zhí)行元件組成。儀表安全功能既可以是一個(gè)儀表安全保護(hù)功能，也可以是一個(gè)儀表安全控制功能。SIS可以包括或不包括軟件及人的動(dòng)作。SIS的安全完整性等級(jí)(SIL)是由傳感器、邏輯運(yùn)算器、最終執(zhí)行元件等各大組成部件的SIL共同決定的，當(dāng)人的動(dòng)作是SIS的一部分時(shí)，在SIL計(jì)算和分析時(shí)，應(yīng)計(jì)算操作員動(dòng)作的可用性和可靠性。

2 SIS的安全完整性等級(jí)

SIS的等級(jí)用SIL來(lái)表示[1]，SIL是用來(lái)規(guī)定分配給SIS的儀表安全功能的安全完整性要求的離散等級(jí)(4個(gè)等級(jí)中的一個(gè))。SIL4是安全完整性的最高等級(jí)，SIL1為最低等級(jí)。

組成SIS各環(huán)節(jié)自身出現(xiàn)故障或失效的概率不可能為零。使SIS處于潛在危險(xiǎn)或喪失儀表安全功能狀態(tài)的失效被稱為危險(xiǎn)失效(Dangerous Failure)；不會(huì)使SIS處于潛在危險(xiǎn)或喪失儀表安全功能狀態(tài)的失效被稱為安全失效(Safe Failure)。文中在無(wú)特殊說(shuō)明情況下說(shuō)的失效均指危險(xiǎn)失效。

不同SIL的SIS有不同的危險(xiǎn)失效概率目標(biāo)值。在低要求操作模式時(shí)[2]，安全儀表功能的SIL用平均失效概率衡量，見(jiàn)表1所列。SIS的低要求操作模式是指安全儀表功能被執(zhí)行次數(shù)不大于每年一次。通常石油化工工廠和裝置的SIS工作于低要求操作模式。

表1 低要求操作模式的平均失效概率

在高要求操作模式時(shí)，安全儀表功能的SIL用每小時(shí)危險(xiǎn)失效概率衡量，見(jiàn)表2所列。SIS的高要求操作模式是指在要求模式下SIS的動(dòng)作頻率大于每年一次。對(duì)于帶有連續(xù)操作或動(dòng)作頻繁的安全儀表功能，屬于高要求操作模式。

表2 高要求操作模式的危險(xiǎn)失效概率

3 傳感器的冗余配置

按照SIS設(shè)計(jì)流程，通過(guò)標(biāo)準(zhǔn)、規(guī)范或風(fēng)險(xiǎn)分析(危險(xiǎn)與可操作性研究方法——HAZOP，預(yù)危險(xiǎn)分析方法——PHA)確定所需要的系統(tǒng)SIL要求，然后根據(jù)SIL選擇合適的邏輯控制器、傳感器和最終執(zhí)行元件。在不考慮人為操作環(huán)節(jié)的情況下，SIS部分由傳感器、邏輯控制器和最終執(zhí)行元件組成，各部分串聯(lián)連接，設(shè)傳感器部分的失效概率為P(A)，邏輯控制器部分的失效概率為P(L)，最終執(zhí)行元件部分的失效概率為P(E)，那么SIS的失效概率P(X)=P(A)+P(L)+P(E)。由此可見(jiàn)，SIS的SIL由傳感器、邏輯控制器和最終執(zhí)行元件共同決定，平均失效概率最高的子系統(tǒng)將決定整個(gè)SIS的SIL。當(dāng)單通道傳感器的失效概率不能滿足SIS的SIL要求時(shí)，必須通過(guò)冗余配置的方式來(lái)提高傳感器子系統(tǒng)的SIL，常用的冗余配置方式有“二選一”，“二選二”和“三選二”[3-4]。

3．1 冗余傳感器安全完整性分析

在IEC 61508-6中，規(guī)范給出了計(jì)算低要求操作模式下平均失效概率的示例[5]，但計(jì)算基于眾多假設(shè)，規(guī)范以表格的形式給出了在冗余方式、診斷覆蓋率(Diagnostic Coverage)、共因失效分?jǐn)?shù)(Common Cause Failure)和子系統(tǒng)中一個(gè)通道的失效率P(a)多參數(shù)影響下的系統(tǒng)平均失效概率。因其計(jì)算方法中包含多個(gè)參數(shù)，所以各冗余配置方式的對(duì)比結(jié)論并不直觀，現(xiàn)以低要求操作模式下的SIS為例，用概率方法來(lái)分析各種冗余方式下的子系統(tǒng)的平均失效概率。為了方便分析，假設(shè)傳感器子系統(tǒng)中一個(gè)通道的平均失效概率P(a)=2×10-2，診斷覆蓋率為100%，共因失效分?jǐn)?shù)為0．0。根據(jù)表1知： 單個(gè)這樣的傳感器只能達(dá)到SIL1，如果要構(gòu)成SIL2的SIS，必須通過(guò)冗余配置方式實(shí)現(xiàn)。設(shè)a1為傳感器S1的危險(xiǎn)失效事件，傳感器S1的失效概率為P(a1)；a2為傳感器S2的危險(xiǎn)失效事件，傳感器S2的失效概率為P(a2)；a3為傳感器S3的危險(xiǎn)失效事件，傳感器S3的失效概率為P(a3)。因共因失效分?jǐn)?shù)為0．0，所以a1，a2和a3互為獨(dú)立事件[6]。

1) 當(dāng)采用“二選一”冗余配置方法時(shí)，傳感器子系統(tǒng)由2個(gè)并聯(lián)的傳感器構(gòu)成，無(wú)論哪個(gè)傳感器都能處理安全功能。因此，當(dāng)且僅當(dāng)2個(gè)傳感器同時(shí)失效時(shí)，傳感器子系統(tǒng)才認(rèn)為安全功能失效，那么“二選一”冗余傳感器子系統(tǒng)的失效概率：

P(A1oo2)=P(a1a2)=P(a1)P(a2|a1)=

4×10-4

因此，通過(guò)采用“二選一”冗余配置的方法，可降低傳感器子系統(tǒng)的失效概率，提高了傳感器子系統(tǒng)的SIL。

2) 當(dāng)采用“二選二”的冗余配置時(shí)，傳感器子系統(tǒng)由2個(gè)并聯(lián)的傳感器構(gòu)成，但在子系統(tǒng)發(fā)生安全功能之前2個(gè)傳感器都要求安全功能，當(dāng)任一傳感器失效時(shí)，傳感器子系統(tǒng)安全功能將失效，所以：

P(A2oo2)=P(a1∪a2)=P(a1)+P(a2)-P(a1a2)=3．96×10-2

因此，采用傳感器“二選二”的冗余配置方式時(shí)，傳感器子系統(tǒng)的失效概率不但不會(huì)減少，反而會(huì)增加，所以傳感器“二選二”的配置方式不會(huì)提高整個(gè)系統(tǒng)的SIL。

3) 當(dāng)采用傳感器“三選二”的冗余配置方式時(shí)，3個(gè)傳感器并聯(lián)實(shí)現(xiàn)安全功能，當(dāng)僅有1個(gè)傳感器失效時(shí)，傳感器子系統(tǒng)仍可實(shí)現(xiàn)安全功能，當(dāng)任意2個(gè)傳感器失效或3個(gè)傳感器都失效時(shí)，傳感器子系統(tǒng)安全功能失效。采用全概率分析法[6]，將傳感器子系統(tǒng)的失效分為兩種情況： 在傳感器S1發(fā)生失效的情況，此時(shí)S2和S3至少有一個(gè)傳感器失效則傳感器子系統(tǒng)失效；在傳感器S1未失效的情況，此時(shí)只有當(dāng)S2和S3同時(shí)失效時(shí)，傳感器子系統(tǒng)失效。所以：

因此，采用傳感器“三選二”的冗余配置方式也可降低傳感器子系統(tǒng)的失效概率，從而提高傳感器子系統(tǒng)的SIL。

3．2 冗余傳感器可靠性分析

在設(shè)計(jì)SIS時(shí)，除了關(guān)注SIS的安全等級(jí)外，通常還需要考慮系統(tǒng)的可靠性，若SIS的子系統(tǒng)安全失效(通常指的誤動(dòng)作)，將引起SIS執(zhí)行安全功能，則可能會(huì)造成一定的經(jīng)濟(jì)損失。安全失效概率是衡量SIS可靠性的重要指標(biāo)。現(xiàn)對(duì)三種傳感器冗余配置方式進(jìn)行安全故障概率分析，為了方便分析，同樣假設(shè)傳感器子系統(tǒng)中1個(gè)通道的安全失效概率P(b)=2×10-2，診斷覆蓋率為100%，共因失效分?jǐn)?shù)為0．0。設(shè)b1為傳感器S1安全失效事件，傳感器S1的安全失效概率為P(b1)；b2為傳感器S2安全失效事件，傳感器S2的安全失效概率為P(b2)；b3為傳感器S3安全失效事件，傳感器S3的安全失效概率為P(b3)。因共因失效分?jǐn)?shù)為0．0，所以b1，b2和b3互為獨(dú)立事件。

1) 當(dāng)采用“二選一”冗余配置方法時(shí)，2個(gè)并聯(lián)的傳感器無(wú)論哪個(gè)傳感器產(chǎn)生安全失效，傳感器子系統(tǒng)將給出安全聯(lián)鎖信號(hào)，所以傳感器“二選一”冗余配置方式時(shí)，傳感器子系統(tǒng)的安全故障失效概率：

P(B1oo2)=P(b1∪b2)=3．96×10-2

因此，采用“二選一”的傳感器冗余方式時(shí)，傳感器子系統(tǒng)與單通道的傳感器相比安全失效概率會(huì)升高，其可靠性會(huì)下降。

2) 當(dāng)采用“二選二”的冗余配置方式時(shí)，1個(gè)傳感器發(fā)生安全失效時(shí)，傳感器子系統(tǒng)不會(huì)發(fā)出安全聯(lián)鎖信號(hào)，只有當(dāng)2個(gè)并聯(lián)的傳感器同時(shí)發(fā)生安全失效時(shí)，傳感器子系統(tǒng)才產(chǎn)生安全聯(lián)鎖信號(hào)，故“二選二”冗余配置方式的傳感器子系統(tǒng)的安全故障概率：

P(B2oo2)=P(b1b2)=P(b1)P(b2|b1)=4×10-4

因此，采用“二選二”的傳感器冗余方式，傳感器子系統(tǒng)與單通道的傳感器相比安全失效概率會(huì)降低，其可靠性會(huì)增強(qiáng)。

3) 當(dāng)采用“三選二”的冗余配置方式時(shí)，單一1個(gè)傳感器發(fā)生安全失效，傳感器子系統(tǒng)不會(huì)發(fā)出安全聯(lián)鎖信號(hào)，當(dāng)2個(gè)或3個(gè)傳感器發(fā)生安全失效時(shí)，傳感器子系統(tǒng)才產(chǎn)生安全聯(lián)鎖信號(hào)。同樣采用全概率分析法，將傳感器子系統(tǒng)的失效分為兩種情況： 在傳感器S1發(fā)生安全失效的情況，此時(shí)S2和S3至少有1個(gè)傳感器失效則傳感器子系統(tǒng)安全失效；在傳感器S1正常的情況下，只有當(dāng)S2和S3同時(shí)安全失效時(shí)，傳感器子系統(tǒng)才安全失效，所以“三選二”冗余配置方式下傳感器子系統(tǒng)的安全故障概率：

因此，采用“三選二”的傳感器冗余方式，傳感器子系統(tǒng)與單通道的傳感器相比安全失效概率會(huì)降氏，其可靠性會(huì)增強(qiáng)。

以上在分析各種冗余配置的傳感器安全性和可靠性時(shí)，假設(shè)了各傳感器之間不存在共因失效[7]。但實(shí)際情況中，由于各冗余傳感器一般為同一類型的傳感器且安裝位置和工況條件一樣，因而應(yīng)該存在共因失效因數(shù)，但共因失效因數(shù)的存在不影響對(duì)各種冗余配置方法的分析。

4 結(jié)束語(yǔ)

筆者通過(guò)概率計(jì)算的方法，分析了傳感器各種冗余方式的特點(diǎn)，見(jiàn)表3所列。

表3 各種冗余方式傳感器的特點(diǎn)

筆者認(rèn)為當(dāng)系統(tǒng)要求高安全性時(shí)，應(yīng)采用傳感器“二選一”冗余方式；當(dāng)系統(tǒng)要求高可用性時(shí)，應(yīng)采用傳感器“二選二”冗余方式；當(dāng)系統(tǒng)的安全性和可用性均需保障時(shí)，宜采用傳感器“三選二”的冗余方式。不過(guò)傳感器子系統(tǒng)最終采用什么冗余方式還需進(jìn)行整個(gè)SIS安全完整性驗(yàn)算，不排除會(huì)用到“三選一”或“四選二”的冗余方式。

參考文獻(xiàn)：

[1] BSI． BS IEC 61511 Functional Safety-safety Instrumented systems for the Process industry Sector-Part 1～3[S]．BSI, 2003．

[2] 黃步余，葉向東，范宗海，等． GB/T 50770—2013 石油化工安全儀表系統(tǒng)設(shè)計(jì)規(guī)范[S]．北京： 中國(guó)計(jì)劃出版社，2013．

[3] 李勝利，盧金芳．石油化工裝置安全儀表系統(tǒng)的設(shè)計(jì)[J]．石油化工自動(dòng)化，2007，43(02)： 5-8．

[4] 尚柏鑫． 石油化工裝置安全儀表系統(tǒng)設(shè)計(jì)探討[J]．河南化工，2008，25(02)： 47-49．

[5] IEC．IEC 61508 Functional Safety of Electrical/Electronic/Programmable Electronic Safety-related Systems-part 1～7[S]．IEC, 2010．

[6] 盛驟,謝式千,潘承毅．概率論與數(shù)理統(tǒng)計(jì)[M]．2版．北京： 高等教育出版社，1997： 18-28．

[7] 劉瑤．安全儀表系統(tǒng)中的共因失效[J]．儀器儀表標(biāo)準(zhǔn)化與計(jì)量，2009(06)： 15-18．

[8] 王奉立． 安全儀表系統(tǒng)(SIS)在石化裝置上的應(yīng)用[J]．儀器儀表標(biāo)準(zhǔn)化與計(jì)量，2010(01)： 16-20．

[9] 郭海濤，陽(yáng)憲惠． 安全系統(tǒng)的安全完整性水平及其選擇[J]．化工自動(dòng)化及儀表． 2006,33(02)： 71-75．

[10] 薛東勝． 從國(guó)際標(biāo)準(zhǔn)看安全系統(tǒng)的設(shè)計(jì)(一)[J]．石油化工設(shè)計(jì)，2008,25(03)： 8-12．

[11] 薛東勝． 從國(guó)際標(biāo)準(zhǔn)看安全系統(tǒng)的設(shè)計(jì)(二)[J]．石油化工設(shè)計(jì)，2008,25(04)： 11-13．