亢海洲 朱建新 方向榮 莊力健 袁文彬

(合肥通用機械研究院國家壓力容器與管道安全工程技術(shù)研究中心，安徽 合肥 230031)

?

SIL評估中共用測量單元結(jié)構(gòu)可靠性計算探討

亢海洲 朱建新 方向榮 莊力健 袁文彬

(合肥通用機械研究院國家壓力容器與管道安全工程技術(shù)研究中心，安徽 合肥 230031)

近十年來，隨著安全聯(lián)鎖系統(tǒng)完整性等級(SIL)評估工作在煉油、化工、電廠等裝置中的開展，實際評估工作中出現(xiàn)了很多不同于IEC 61508和IEC 61511標(biāo)準規(guī)定典型邏輯結(jié)構(gòu)(如1oo1、1oo2、2oo3等)。針對多個傳感器共用測量模塊的特殊邏輯結(jié)構(gòu)，IEC標(biāo)準并未給出其可靠性計算的具體方法和公式。通過故障樹分析，等效拆解特殊邏輯結(jié)構(gòu)為多個典型結(jié)構(gòu)，準確得到了每個安全聯(lián)鎖功能的安全完整性等級，避免了SIL定級計算錯誤可能引起的事故，為SIL評估的深入且順利開展提供了保障與技術(shù)儲備。

安全聯(lián)鎖系統(tǒng)(SIS) 安全聯(lián)鎖等級(SIL) 安全聯(lián)鎖功能(SIF) 風(fēng)險防御 可靠性 故障樹分析(FTA) 測量單元

0 引言

隨著石油化工等過程裝置朝大型化和復(fù)雜化方向發(fā)展，與此相適應(yīng)，儀表控制系統(tǒng)尤其是安全聯(lián)鎖系統(tǒng)(safety instrumented system，SIS)的應(yīng)用也越來越普遍，并且系統(tǒng)結(jié)構(gòu)也越來越復(fù)雜。而安全聯(lián)鎖系統(tǒng)越復(fù)雜，其可靠性的計算也越來越復(fù)雜，其完整性就需要由專門的機構(gòu)和專業(yè)技術(shù)人員來進行評估[1-3]。

安全聯(lián)鎖等級(safety integrity level，SIL)的定量風(fēng)險評估技術(shù)以國際標(biāo)準及國內(nèi)外諸多石油化工企業(yè)的經(jīng)驗數(shù)據(jù)為依據(jù)，通過對現(xiàn)有安全聯(lián)鎖系統(tǒng)的各個安全聯(lián)鎖功能(safety instrumented function，SIF)進行定量分析。對超保護的聯(lián)鎖，要降低其誤跳車概率；對保護不足的SIF，則要增加保護功能。對過程工業(yè)裝置進行SIL評估后，既可以保證安全聯(lián)鎖系統(tǒng)的安全可靠，又降低了裝置誤跳車頻率，從而減少了因非計劃停車而引發(fā)的經(jīng)濟損失。

安全聯(lián)鎖系統(tǒng)作為主動抵御危險工況的最后一道屏障，設(shè)計方及設(shè)備專利商從自身角度出發(fā)，難免造成一定程度的過度設(shè)計。當(dāng)邏輯含有較多冗余設(shè)置時，甚至需要采用特別構(gòu)造的蒙特卡洛方法進行計算[4-5]。

一方面，現(xiàn)場技術(shù)人員或使用方在操作過程中，對于誤跳的安全聯(lián)鎖回路，即安全聯(lián)鎖功能，習(xí)慣性地進行摘除或旁路，一定程度上降低了誤跳車可能性，但增加了拒動作概率。如果現(xiàn)場真正出現(xiàn)危險工況，而與此相關(guān)的SIF又被摘除了，則會釀成重大事故甚至災(zāi)難。另一方面，為了降低誤跳可能性，提高可用性，同時兼顧改造成本和施工難度，只增加了變送器冗余，測量模塊可能依然是單設(shè)的。

不同于IEC 61508標(biāo)準規(guī)定的常見邏輯結(jié)構(gòu)，并不能簡單采用已有的可靠性計算方法。在進行完整的SIL評估時，必須采用合適的評估方法[6-7]。

1 共用測量單元邏輯結(jié)構(gòu)的可靠性計算

1.1 特殊邏輯結(jié)構(gòu)的設(shè)置

某石化公司某重要容器在頂部設(shè)置了溫度高高聯(lián)鎖，由于單支熱電偶可用性不足，存在斷偶等突發(fā)事故，較容易出現(xiàn)假信號而造成裝置停車，影響企業(yè)經(jīng)濟效益。公司擬通過增加冗余的方式來提高此SIF回路的可用性。由于容器頂部開孔有限，又無法在容器的在役過程進行開孔作業(yè)，所以共用測量模塊，后續(xù)模塊各自獨立。即通過同一支熱電偶引出測量信號，分別進入2只變送器；經(jīng)變送的標(biāo)準信號分別由不同信號電纜傳送至中控室，獨立進入I/O卡件，并最終進入CPU求解器。原有溫度高高聯(lián)鎖回路的邏輯結(jié)構(gòu)如圖1(a)所示，改進后的邏輯結(jié)構(gòu)如圖1(b)所示。

圖1(b)細化了傳感器子系統(tǒng)，圖1(a)的傳感器中其實也包含了測量模塊、變送模塊及相應(yīng)的電路器件。從圖1(a)可以看出，傳感器子系統(tǒng)邏輯結(jié)構(gòu)為1oo1(1 out of 1)。KooN表示共N個傳感器中，如果有K個傳感器達到聯(lián)鎖預(yù)設(shè)值，即觸發(fā)此聯(lián)鎖。但圖1(b)中傳感器子系統(tǒng)的設(shè)計更加復(fù)雜，既不是常見的1oo1也不是2oo2或1oo2，不能直接套用IEC 61508標(biāo)準里規(guī)定的方法計算其可靠性。

圖1 邏輯結(jié)構(gòu)圖

1.2 特殊邏輯結(jié)構(gòu)的失效率數(shù)據(jù)

為了簡化計算，只需要計算傳感器子系統(tǒng)的可靠性參數(shù)，即指令模式下的平均失效概率(PFDavg)及平均無故障工作時間(mean time to failure safe，MTTFS)[8]。整個SIF回路的可靠性暫時不計算。

針對現(xiàn)場所用Rosemount 3144P傳感器子系統(tǒng)，根據(jù)失效模式和效果分析(failure mode and effect analysis，F(xiàn)MEA)方法，將部件失效類型劃分為安全可檢測(safe failure and detected，SD)、安全不可檢測(safe failure and undetected，SU)、危險可檢測(dangerous failure and detected，DD)、危險不可檢測(dangerous failure and undetected，DU)共4種模式[9-10]。查詢數(shù)據(jù)手冊，各部件的失效率數(shù)據(jù)如表1所示。

表1 各部件失效率數(shù)據(jù)

表1中，F(xiàn)IT(failures in time)表示十億分之一。

1.3 特殊邏輯結(jié)構(gòu)的可靠性計算

根據(jù)表1的失效率數(shù)據(jù)，圖1(a)邏輯結(jié)構(gòu)的可靠性計算可以直接代入根據(jù)IEC標(biāo)準開發(fā)的專業(yè)SIL評估軟件《通用過程工業(yè)功能安全完整性評估系統(tǒng)》。1oo1邏輯計算參數(shù)如表2所示。

表2 1oo1邏輯計算參數(shù)

表2中:tR為在線修復(fù)時間；tI為檢驗周期；tSD為誤跳車后重啟裝置的時間。

計算結(jié)果為：PFD_avg=9.94E-03；MTTFS=1.40E+06(即159.43 a)。

圖1(b)邏輯結(jié)構(gòu)的計算思路為：先按照1oo1結(jié)構(gòu)計算測量模塊的可靠性參數(shù);再按照1oo2模型計算變送模塊、安全柵和報警設(shè)定器的可靠性參數(shù);最后，利用全概率公式計算整個傳感器子系統(tǒng)的拒動作概率，并利用加權(quán)平均數(shù)計算整個傳感器子系統(tǒng)的平均故障前工作時間。

①測量模塊的表決類型為1oo1。測量模塊計算參數(shù)如表3所示。

表3 測量模塊計算參數(shù)

計算結(jié)果為： PFD_avg1=4.35E-03；MTTFS1=3.03E+07(即3 459.25 a)

②變送器模塊、安全柵、報警設(shè)定器的表決類型為1oo2。變送模塊計算參數(shù)如表4所示。

表4 變送模塊計算參數(shù)

計算結(jié)果為：PFD_avg2=2.09E-04；MTTFS2=7.43E+05(即84.84 a)

③整個傳感器子系統(tǒng)的計算結(jié)果如下：

PFD_avg=PFD_avg1+PFD_avg2-PFD_avg1×PFD_avg2=4.56E-03;MTTFS=1/(1/MTTFS1+1/MTTFS2)=82.80 a

2 結(jié)果分析

2.1 1oo2或2oo2邏輯計算

如果忽略或者無視測量單元的共用特性，將圖1(b)的邏輯結(jié)構(gòu)簡單處理為1oo2或2oo2模型，利用IEC標(biāo)準推薦方法計算，得到以下結(jié)果。

①1oo2邏輯計算參數(shù)如表5所示。

表5 1oo2計算參數(shù)

計算結(jié)果為：PFD_avg=4.19E-04；MTTFS=7.09E+05(即80.93 a)

②表決類型為2oo2。

2oo2邏輯計算參數(shù)同表5。

計算結(jié)果為：PFD_avg=1.94E-02；MTTFS=2.15E+06(即245.78 a)

2.2 各計算結(jié)果分析

根據(jù)計算的PFDavg，進一步計算傳感器子系統(tǒng)的風(fēng)險降低因子(risk reduce factor，RRF)，并根據(jù)RRF可以知道目前傳感器子系統(tǒng)能夠達到的SIL等級。以上各種模型的計算結(jié)果如表6所示。

表6 各種模型計算結(jié)果

表6中，RRF=1/PFD_avg。

比較各計算結(jié)果，得到以下結(jié)論。

①從表2可以看出，當(dāng)無視或者忽視了測量模塊的共用特性以后，傳感器子單元可以達到的SIL等級從SIL2變化為SIL1和SIL3，變化顯著。而這將進一步影響整個SIF回路的分析結(jié)果，甚至導(dǎo)致所評估的整個SIF回路SIL等級發(fā)生變化，導(dǎo)致評估結(jié)論出現(xiàn)錯誤。如果依據(jù)此錯誤結(jié)論給出的聯(lián)鎖回路改進建議，則可能埋下事故隱患或造成重大經(jīng)濟損失。

②如果按照圖1(a)邏輯粗略計算此特殊邏輯結(jié)構(gòu)的可靠性，從拒動作概率方面看，所得結(jié)果存在一定隱患。為了保證評估回路的安全性，建議評估人員在對公用測量模塊的特殊邏輯結(jié)構(gòu)進行分析時，作精細化的處理，可以按照本文思路或其他可靠性分析的基本思路進行分析，如可靠性框圖(reliability block diagram，RBD)、故障樹分析(fault tree analysis，F(xiàn)TA)等。

③分析誤差產(chǎn)生的原因。如果按照1oo2結(jié)構(gòu)來計算，由于測量模塊的熱電偶是共用狀態(tài)，一旦熱電偶斷偶或發(fā)生其他故障，則2路都發(fā)生故障；所以真實的共因失效因子CCF其實遠遠大于0.03，按照IEC標(biāo)準推薦的β模型，取推薦值0.03會發(fā)生偏危險的結(jié)果。

④由于測量模塊的失效率數(shù)據(jù)比其他部件的失效率數(shù)據(jù)大很多，尤其危險可檢測數(shù)據(jù)DD占了整個傳感器子系統(tǒng)DD數(shù)據(jù)的94%，所以主導(dǎo)傳感器子系統(tǒng)可靠性的部件難以避免地由測量單元主導(dǎo)和控制。即使增加了獨立的變送器及相應(yīng)的其他所有部件，但對整個傳感器子系統(tǒng)的可靠性結(jié)果影響很??；如果考慮經(jīng)濟效益指標(biāo)(投資回報率)，評估人員一般不作此類建議。

⑤對于使用單位已經(jīng)改進成2oo2結(jié)構(gòu)的情況，一般建議利用合適的機會，在容器上新開孔或者利用某個就地顯示表的原有開孔或檢查孔來增加測量模塊的冗余，以期真正地實現(xiàn)2oo2邏輯。對實在無法開孔也無原有開孔利用情形，可在原有熱電偶保護套管內(nèi)增加另一只熱電偶作熱備。一旦有一只熱電偶斷開或故障，可以方便儀表人員更換，以提高聯(lián)鎖回路的可用性。

3 結(jié)束語

可以預(yù)見，后期安全聯(lián)鎖系統(tǒng)完整性(SIL)評估過程中會遇到越來越多復(fù)雜邏輯結(jié)構(gòu)，這些邏輯結(jié)構(gòu)都不能直接按照標(biāo)準推薦的算法計算。評估人員應(yīng)該根據(jù)標(biāo)準的要求，把握大方向和原則，在具體實施計算的過程中，靈活運用多種方法，結(jié)合現(xiàn)場實際情況，給出設(shè)計方或?qū)＠?、使用單位及評估單位多方接收的改進建議，以提高我國流程工業(yè)裝置運行的安全性和平穩(wěn)性，提高企業(yè)的經(jīng)濟效益。

[1] 朱建新,方向榮,莊力健,等.安全完整性技術(shù)(SIL)在我國石化裝置上的應(yīng)用實踐及思考[J].化工自動化及儀表,2012,39(10):1253-1259.

[2] 亢海洲,朱建新,方向榮,等.空分壓縮機組安全完整性等級(SIL)技術(shù)評估應(yīng)用及分析[J].自動化技術(shù)與應(yīng)用,2015,34(2):74-78.

[3] 方向榮,莊力健.安全聯(lián)鎖系統(tǒng)評估在石化裝置的應(yīng)用[J].壓力容器,2009,26(12):47-50.

[4] 亢海洲,陳學(xué)東.安全聯(lián)鎖系統(tǒng)(SIS)復(fù)雜邏輯結(jié)構(gòu)的可靠性模擬[D].杭州:浙江工業(yè)大學(xué),2009.

[5] 方向榮,朱建新,莊力健,等.蒙特卡洛仿真在安全聯(lián)鎖系統(tǒng)可靠性評估中的應(yīng)用[J].化工自動化及儀表,2012,39(12):1640-1659.[6] 朱建新,王莉君,高增梁,等.基于失效模式的聯(lián)鎖系統(tǒng)安全與誤跳車計算方法[J].壓力容器,2007,24(7):12-16.

[7] 于改革,陳學(xué)東,朱建新,等.基于馬爾科夫模型的“二取二”結(jié)構(gòu)誤跳車分析[J].石油化工自動化,2010(5):24-28.

[8] WILLIAM M G.Control Systems Safety Evaluation and Reliability[M].2nd ed.USA:ISA,1998.

[9] IEC commission.Functional safety of electrical/electronic/programmable electronic safety- related systems- Part1:General Requirements[S].IEC 61508,1998.

[10] IEC commission.Functional safety-Safety instrumented systems for the process industry sector-Part1:Framework,definitions,system,hardware and software requirements [S].IEC 61511,2003.

Investigation on the Reliability Calculation in SIL Assessment for Shared Measuring Unit Structure

In recent decade,along with safety integrity level (SIL) assessment of safety interlock systems has been expanded to facilities in oil refinery,chemical and power generation plants,some typical logical structures(e.g.,1oo1,1oo2,2oo3,etc) which are different from those of defined in standards of IEC 61508 and IEC 61511 appear in practical assessment.For the special logical structure of multiple sensors shared measurement modules,specific method and formula of reliability calculation have not been given in these IEC standards.Through fault tree analysis (FTA),the special logical structure is dismantled equivalently into multiple typical structures,and precise safety integrity level of each safety interlock function is obtained,thus the accident caused by the error in calculation of grading SIL can be avoided,guarantee and technical reserve are provided for intensively and smoothly carrying out SIL assessment.

Safety interlock system(SIS) Safety interlock level (SIL) Safety interlock function(SIF) Risk defense Reliability Fault tree analysis(FTA) Measurement unit

國家高技術(shù)研究發(fā)展計劃(863)基金資助項目(編號：2014AA041806)。

亢海洲(1983—)，男，2009年畢業(yè)于浙江工業(yè)大學(xué)化工過程機械專業(yè)，獲碩士學(xué)位，工程師；主要從事過程工業(yè)安全聯(lián)鎖系統(tǒng)風(fēng)險識別與安全完整性等級方向的研究。

TH7;TP29

A

10.16086/j.cnki.issn 1000-0380.201611017

修改稿收到日期：2016-02-26。