亢海洲 朱建新 方向榮 莊力健 袁文彬

(合肥通用機(jī)械研究院國(guó)家壓力容器與管道安全工程技術(shù)研究中心，安徽 合肥 230031)

?

SIL評(píng)估中共用測(cè)量單元結(jié)構(gòu)可靠性計(jì)算探討

亢海洲 朱建新 方向榮 莊力健 袁文彬

(合肥通用機(jī)械研究院國(guó)家壓力容器與管道安全工程技術(shù)研究中心，安徽 合肥 230031)

近十年來(lái)，隨著安全聯(lián)鎖系統(tǒng)完整性等級(jí)(SIL)評(píng)估工作在煉油、化工、電廠等裝置中的開展，實(shí)際評(píng)估工作中出現(xiàn)了很多不同于IEC 61508和IEC 61511標(biāo)準(zhǔn)規(guī)定典型邏輯結(jié)構(gòu)(如1oo1、1oo2、2oo3等)。針對(duì)多個(gè)傳感器共用測(cè)量模塊的特殊邏輯結(jié)構(gòu)，IEC標(biāo)準(zhǔn)并未給出其可靠性計(jì)算的具體方法和公式。通過(guò)故障樹分析，等效拆解特殊邏輯結(jié)構(gòu)為多個(gè)典型結(jié)構(gòu)，準(zhǔn)確得到了每個(gè)安全聯(lián)鎖功能的安全完整性等級(jí)，避免了SIL定級(jí)計(jì)算錯(cuò)誤可能引起的事故，為SIL評(píng)估的深入且順利開展提供了保障與技術(shù)儲(chǔ)備。

安全聯(lián)鎖系統(tǒng)(SIS) 安全聯(lián)鎖等級(jí)(SIL) 安全聯(lián)鎖功能(SIF) 風(fēng)險(xiǎn)防御 可靠性 故障樹分析(FTA) 測(cè)量單元

0 引言

隨著石油化工等過(guò)程裝置朝大型化和復(fù)雜化方向發(fā)展，與此相適應(yīng)，儀表控制系統(tǒng)尤其是安全聯(lián)鎖系統(tǒng)(safety instrumented system，SIS)的應(yīng)用也越來(lái)越普遍，并且系統(tǒng)結(jié)構(gòu)也越來(lái)越復(fù)雜。而安全聯(lián)鎖系統(tǒng)越復(fù)雜，其可靠性的計(jì)算也越來(lái)越復(fù)雜，其完整性就需要由專門的機(jī)構(gòu)和專業(yè)技術(shù)人員來(lái)進(jìn)行評(píng)估[1-3]。

安全聯(lián)鎖等級(jí)(safety integrity level，SIL)的定量風(fēng)險(xiǎn)評(píng)估技術(shù)以國(guó)際標(biāo)準(zhǔn)及國(guó)內(nèi)外諸多石油化工企業(yè)的經(jīng)驗(yàn)數(shù)據(jù)為依據(jù)，通過(guò)對(duì)現(xiàn)有安全聯(lián)鎖系統(tǒng)的各個(gè)安全聯(lián)鎖功能(safety instrumented function，SIF)進(jìn)行定量分析。對(duì)超保護(hù)的聯(lián)鎖，要降低其誤跳車概率；對(duì)保護(hù)不足的SIF，則要增加保護(hù)功能。對(duì)過(guò)程工業(yè)裝置進(jìn)行SIL評(píng)估后，既可以保證安全聯(lián)鎖系統(tǒng)的安全可靠，又降低了裝置誤跳車頻率，從而減少了因非計(jì)劃停車而引發(fā)的經(jīng)濟(jì)損失。

安全聯(lián)鎖系統(tǒng)作為主動(dòng)抵御危險(xiǎn)工況的最后一道屏障，設(shè)計(jì)方及設(shè)備專利商從自身角度出發(fā)，難免造成一定程度的過(guò)度設(shè)計(jì)。當(dāng)邏輯含有較多冗余設(shè)置時(shí)，甚至需要采用特別構(gòu)造的蒙特卡洛方法進(jìn)行計(jì)算[4-5]。

一方面，現(xiàn)場(chǎng)技術(shù)人員或使用方在操作過(guò)程中，對(duì)于誤跳的安全聯(lián)鎖回路，即安全聯(lián)鎖功能，習(xí)慣性地進(jìn)行摘除或旁路，一定程度上降低了誤跳車可能性，但增加了拒動(dòng)作概率。如果現(xiàn)場(chǎng)真正出現(xiàn)危險(xiǎn)工況，而與此相關(guān)的SIF又被摘除了，則會(huì)釀成重大事故甚至災(zāi)難。另一方面，為了降低誤跳可能性，提高可用性，同時(shí)兼顧改造成本和施工難度，只增加了變送器冗余，測(cè)量模塊可能依然是單設(shè)的。

不同于IEC 61508標(biāo)準(zhǔn)規(guī)定的常見邏輯結(jié)構(gòu)，并不能簡(jiǎn)單采用已有的可靠性計(jì)算方法。在進(jìn)行完整的SIL評(píng)估時(shí)，必須采用合適的評(píng)估方法[6-7]。

1 共用測(cè)量單元邏輯結(jié)構(gòu)的可靠性計(jì)算

1.1 特殊邏輯結(jié)構(gòu)的設(shè)置

某石化公司某重要容器在頂部設(shè)置了溫度高高聯(lián)鎖，由于單支熱電偶可用性不足，存在斷偶等突發(fā)事故，較容易出現(xiàn)假信號(hào)而造成裝置停車，影響企業(yè)經(jīng)濟(jì)效益。公司擬通過(guò)增加冗余的方式來(lái)提高此SIF回路的可用性。由于容器頂部開孔有限，又無(wú)法在容器的在役過(guò)程進(jìn)行開孔作業(yè)，所以共用測(cè)量模塊，后續(xù)模塊各自獨(dú)立。即通過(guò)同一支熱電偶引出測(cè)量信號(hào)，分別進(jìn)入2只變送器；經(jīng)變送的標(biāo)準(zhǔn)信號(hào)分別由不同信號(hào)電纜傳送至中控室，獨(dú)立進(jìn)入I/O卡件，并最終進(jìn)入CPU求解器。原有溫度高高聯(lián)鎖回路的邏輯結(jié)構(gòu)如圖1(a)所示，改進(jìn)后的邏輯結(jié)構(gòu)如圖1(b)所示。

圖1(b)細(xì)化了傳感器子系統(tǒng)，圖1(a)的傳感器中其實(shí)也包含了測(cè)量模塊、變送模塊及相應(yīng)的電路器件。從圖1(a)可以看出，傳感器子系統(tǒng)邏輯結(jié)構(gòu)為1oo1(1 out of 1)。KooN表示共N個(gè)傳感器中，如果有K個(gè)傳感器達(dá)到聯(lián)鎖預(yù)設(shè)值，即觸發(fā)此聯(lián)鎖。但圖1(b)中傳感器子系統(tǒng)的設(shè)計(jì)更加復(fù)雜，既不是常見的1oo1也不是2oo2或1oo2，不能直接套用IEC 61508標(biāo)準(zhǔn)里規(guī)定的方法計(jì)算其可靠性。

圖1 邏輯結(jié)構(gòu)圖

1.2 特殊邏輯結(jié)構(gòu)的失效率數(shù)據(jù)

為了簡(jiǎn)化計(jì)算，只需要計(jì)算傳感器子系統(tǒng)的可靠性參數(shù)，即指令模式下的平均失效概率(PFDavg)及平均無(wú)故障工作時(shí)間(mean time to failure safe，MTTFS)[8]。整個(gè)SIF回路的可靠性暫時(shí)不計(jì)算。

針對(duì)現(xiàn)場(chǎng)所用Rosemount 3144P傳感器子系統(tǒng)，根據(jù)失效模式和效果分析(failure mode and effect analysis，F(xiàn)MEA)方法，將部件失效類型劃分為安全可檢測(cè)(safe failure and detected，SD)、安全不可檢測(cè)(safe failure and undetected，SU)、危險(xiǎn)可檢測(cè)(dangerous failure and detected，DD)、危險(xiǎn)不可檢測(cè)(dangerous failure and undetected，DU)共4種模式[9-10]。查詢數(shù)據(jù)手冊(cè)，各部件的失效率數(shù)據(jù)如表1所示。

表1 各部件失效率數(shù)據(jù)

表1中，F(xiàn)IT(failures in time)表示十億分之一。

1.3 特殊邏輯結(jié)構(gòu)的可靠性計(jì)算

根據(jù)表1的失效率數(shù)據(jù)，圖1(a)邏輯結(jié)構(gòu)的可靠性計(jì)算可以直接代入根據(jù)IEC標(biāo)準(zhǔn)開發(fā)的專業(yè)SIL評(píng)估軟件《通用過(guò)程工業(yè)功能安全完整性評(píng)估系統(tǒng)》。1oo1邏輯計(jì)算參數(shù)如表2所示。

表2 1oo1邏輯計(jì)算參數(shù)

表2中:tR為在線修復(fù)時(shí)間；tI為檢驗(yàn)周期；tSD為誤跳車后重啟裝置的時(shí)間。

計(jì)算結(jié)果為：PFD_avg=9.94E-03；MTTFS=1.40E+06(即159.43 a)。

圖1(b)邏輯結(jié)構(gòu)的計(jì)算思路為：先按照1oo1結(jié)構(gòu)計(jì)算測(cè)量模塊的可靠性參數(shù);再按照1oo2模型計(jì)算變送模塊、安全柵和報(bào)警設(shè)定器的可靠性參數(shù);最后，利用全概率公式計(jì)算整個(gè)傳感器子系統(tǒng)的拒動(dòng)作概率，并利用加權(quán)平均數(shù)計(jì)算整個(gè)傳感器子系統(tǒng)的平均故障前工作時(shí)間。

①測(cè)量模塊的表決類型為1oo1。測(cè)量模塊計(jì)算參數(shù)如表3所示。

表3 測(cè)量模塊計(jì)算參數(shù)

計(jì)算結(jié)果為： PFD_avg1=4.35E-03；MTTFS1=3.03E+07(即3 459.25 a)

②變送器模塊、安全柵、報(bào)警設(shè)定器的表決類型為1oo2。變送模塊計(jì)算參數(shù)如表4所示。

表4 變送模塊計(jì)算參數(shù)

計(jì)算結(jié)果為：PFD_avg2=2.09E-04；MTTFS2=7.43E+05(即84.84 a)

③整個(gè)傳感器子系統(tǒng)的計(jì)算結(jié)果如下：

PFD_avg=PFD_avg1+PFD_avg2-PFD_avg1×PFD_avg2=4.56E-03;MTTFS=1/(1/MTTFS1+1/MTTFS2)=82.80 a

2 結(jié)果分析

2.1 1oo2或2oo2邏輯計(jì)算

如果忽略或者無(wú)視測(cè)量單元的共用特性，將圖1(b)的邏輯結(jié)構(gòu)簡(jiǎn)單處理為1oo2或2oo2模型，利用IEC標(biāo)準(zhǔn)推薦方法計(jì)算，得到以下結(jié)果。

①1oo2邏輯計(jì)算參數(shù)如表5所示。

表5 1oo2計(jì)算參數(shù)

計(jì)算結(jié)果為：PFD_avg=4.19E-04；MTTFS=7.09E+05(即80.93 a)

②表決類型為2oo2。

2oo2邏輯計(jì)算參數(shù)同表5。

計(jì)算結(jié)果為：PFD_avg=1.94E-02；MTTFS=2.15E+06(即245.78 a)

2.2 各計(jì)算結(jié)果分析

根據(jù)計(jì)算的PFDavg，進(jìn)一步計(jì)算傳感器子系統(tǒng)的風(fēng)險(xiǎn)降低因子(risk reduce factor，RRF)，并根據(jù)RRF可以知道目前傳感器子系統(tǒng)能夠達(dá)到的SIL等級(jí)。以上各種模型的計(jì)算結(jié)果如表6所示。

表6 各種模型計(jì)算結(jié)果

表6中，RRF=1/PFD_avg。

比較各計(jì)算結(jié)果，得到以下結(jié)論。

①?gòu)谋?可以看出，當(dāng)無(wú)視或者忽視了測(cè)量模塊的共用特性以后，傳感器子單元可以達(dá)到的SIL等級(jí)從SIL2變化為SIL1和SIL3，變化顯著。而這將進(jìn)一步影響整個(gè)SIF回路的分析結(jié)果，甚至導(dǎo)致所評(píng)估的整個(gè)SIF回路SIL等級(jí)發(fā)生變化，導(dǎo)致評(píng)估結(jié)論出現(xiàn)錯(cuò)誤。如果依據(jù)此錯(cuò)誤結(jié)論給出的聯(lián)鎖回路改進(jìn)建議，則可能埋下事故隱患或造成重大經(jīng)濟(jì)損失。

②如果按照?qǐng)D1(a)邏輯粗略計(jì)算此特殊邏輯結(jié)構(gòu)的可靠性，從拒動(dòng)作概率方面看，所得結(jié)果存在一定隱患。為了保證評(píng)估回路的安全性，建議評(píng)估人員在對(duì)公用測(cè)量模塊的特殊邏輯結(jié)構(gòu)進(jìn)行分析時(shí)，作精細(xì)化的處理，可以按照本文思路或其他可靠性分析的基本思路進(jìn)行分析，如可靠性框圖(reliability block diagram，RBD)、故障樹分析(fault tree analysis，F(xiàn)TA)等。

③分析誤差產(chǎn)生的原因。如果按照1oo2結(jié)構(gòu)來(lái)計(jì)算，由于測(cè)量模塊的熱電偶是共用狀態(tài)，一旦熱電偶斷偶或發(fā)生其他故障，則2路都發(fā)生故障；所以真實(shí)的共因失效因子CCF其實(shí)遠(yuǎn)遠(yuǎn)大于0.03，按照IEC標(biāo)準(zhǔn)推薦的β模型，取推薦值0.03會(huì)發(fā)生偏危險(xiǎn)的結(jié)果。

④由于測(cè)量模塊的失效率數(shù)據(jù)比其他部件的失效率數(shù)據(jù)大很多，尤其危險(xiǎn)可檢測(cè)數(shù)據(jù)DD占了整個(gè)傳感器子系統(tǒng)DD數(shù)據(jù)的94%，所以主導(dǎo)傳感器子系統(tǒng)可靠性的部件難以避免地由測(cè)量單元主導(dǎo)和控制。即使增加了獨(dú)立的變送器及相應(yīng)的其他所有部件，但對(duì)整個(gè)傳感器子系統(tǒng)的可靠性結(jié)果影響很?。蝗绻紤]經(jīng)濟(jì)效益指標(biāo)(投資回報(bào)率)，評(píng)估人員一般不作此類建議。

⑤對(duì)于使用單位已經(jīng)改進(jìn)成2oo2結(jié)構(gòu)的情況，一般建議利用合適的機(jī)會(huì)，在容器上新開孔或者利用某個(gè)就地顯示表的原有開孔或檢查孔來(lái)增加測(cè)量模塊的冗余，以期真正地實(shí)現(xiàn)2oo2邏輯。對(duì)實(shí)在無(wú)法開孔也無(wú)原有開孔利用情形，可在原有熱電偶保護(hù)套管內(nèi)增加另一只熱電偶作熱備。一旦有一只熱電偶斷開或故障，可以方便儀表人員更換，以提高聯(lián)鎖回路的可用性。

3 結(jié)束語(yǔ)

可以預(yù)見，后期安全聯(lián)鎖系統(tǒng)完整性(SIL)評(píng)估過(guò)程中會(huì)遇到越來(lái)越多復(fù)雜邏輯結(jié)構(gòu)，這些邏輯結(jié)構(gòu)都不能直接按照標(biāo)準(zhǔn)推薦的算法計(jì)算。評(píng)估人員應(yīng)該根據(jù)標(biāo)準(zhǔn)的要求，把握大方向和原則，在具體實(shí)施計(jì)算的過(guò)程中，靈活運(yùn)用多種方法，結(jié)合現(xiàn)場(chǎng)實(shí)際情況，給出設(shè)計(jì)方或?qū)＠?、使用單位及評(píng)估單位多方接收的改進(jìn)建議，以提高我國(guó)流程工業(yè)裝置運(yùn)行的安全性和平穩(wěn)性，提高企業(yè)的經(jīng)濟(jì)效益。

[1] 朱建新,方向榮,莊力健,等.安全完整性技術(shù)(SIL)在我國(guó)石化裝置上的應(yīng)用實(shí)踐及思考[J].化工自動(dòng)化及儀表,2012,39(10):1253-1259.

[2] 亢海洲,朱建新,方向榮,等.空分壓縮機(jī)組安全完整性等級(jí)(SIL)技術(shù)評(píng)估應(yīng)用及分析[J].自動(dòng)化技術(shù)與應(yīng)用,2015,34(2):74-78.

[3] 方向榮,莊力健.安全聯(lián)鎖系統(tǒng)評(píng)估在石化裝置的應(yīng)用[J].壓力容器,2009,26(12):47-50.

[4] 亢海洲,陳學(xué)東.安全聯(lián)鎖系統(tǒng)(SIS)復(fù)雜邏輯結(jié)構(gòu)的可靠性模擬[D].杭州:浙江工業(yè)大學(xué),2009.

[5] 方向榮,朱建新,莊力健,等.蒙特卡洛仿真在安全聯(lián)鎖系統(tǒng)可靠性評(píng)估中的應(yīng)用[J].化工自動(dòng)化及儀表,2012,39(12):1640-1659.[6] 朱建新,王莉君,高增梁,等.基于失效模式的聯(lián)鎖系統(tǒng)安全與誤跳車計(jì)算方法[J].壓力容器,2007,24(7):12-16.

[7] 于改革,陳學(xué)東,朱建新,等.基于馬爾科夫模型的“二取二”結(jié)構(gòu)誤跳車分析[J].石油化工自動(dòng)化,2010(5):24-28.

[8] WILLIAM M G.Control Systems Safety Evaluation and Reliability[M].2nd ed.USA:ISA,1998.

[9] IEC commission.Functional safety of electrical/electronic/programmable electronic safety- related systems- Part1:General Requirements[S].IEC 61508,1998.

[10] IEC commission.Functional safety-Safety instrumented systems for the process industry sector-Part1:Framework,definitions,system,hardware and software requirements [S].IEC 61511,2003.

Investigation on the Reliability Calculation in SIL Assessment for Shared Measuring Unit Structure

In recent decade,along with safety integrity level (SIL) assessment of safety interlock systems has been expanded to facilities in oil refinery,chemical and power generation plants,some typical logical structures(e.g.,1oo1,1oo2,2oo3,etc) which are different from those of defined in standards of IEC 61508 and IEC 61511 appear in practical assessment.For the special logical structure of multiple sensors shared measurement modules,specific method and formula of reliability calculation have not been given in these IEC standards.Through fault tree analysis (FTA),the special logical structure is dismantled equivalently into multiple typical structures,and precise safety integrity level of each safety interlock function is obtained,thus the accident caused by the error in calculation of grading SIL can be avoided,guarantee and technical reserve are provided for intensively and smoothly carrying out SIL assessment.

Safety interlock system(SIS) Safety interlock level (SIL) Safety interlock function(SIF) Risk defense Reliability Fault tree analysis(FTA) Measurement unit

國(guó)家高技術(shù)研究發(fā)展計(jì)劃(863)基金資助項(xiàng)目(編號(hào)：2014AA041806)。

亢海洲(1983—)，男，2009年畢業(yè)于浙江工業(yè)大學(xué)化工過(guò)程機(jī)械專業(yè)，獲碩士學(xué)位，工程師；主要從事過(guò)程工業(yè)安全聯(lián)鎖系統(tǒng)風(fēng)險(xiǎn)識(shí)別與安全完整性等級(jí)方向的研究。

TH7;TP29

A

10.16086/j.cnki.issn 1000-0380.201611017

修改稿收到日期：2016-02-26。