張 哲，王 璐，徐長峰 ，趙國軍 ，陳月娥，劉曉亮

(1.中國石油新疆油田分公司(呼圖壁儲氣庫作業(yè)區(qū))，新疆 呼圖壁 831200； 2.機械工業(yè)儀器儀表綜合技術(shù)經(jīng)濟研究所，北京 100055)

0 引言

安全儀表系統(tǒng)(Safety Instrumentation System,SIS)在工業(yè)安全風(fēng)險管理中起著至關(guān)重要作用。低要求運行模式下，SIS要求頻率小于每年1次[1]。要求平均失效概率(Average Probability of Failure on Demand,PFDavg)是SIS安全性量化的重要指標(biāo)，等效于完全檢驗測試時間間隔內(nèi)系統(tǒng)平均不可用度[2]。

PFDavg與系統(tǒng)架構(gòu)、元部件失效率、檢驗測試間隔及檢測覆蓋率等因素有關(guān)。因此,可通過提高元部件安全性，增加系統(tǒng)冗余級別、采用異構(gòu)冗余系統(tǒng)、縮短檢驗測試周期、改善檢驗測試不完善度等措施降低PFDavg。工業(yè)中常用SIS體系架構(gòu)復(fù)雜，元部件數(shù)量多，僅從一定限度內(nèi)提高元部件安全性,難以滿足整個系統(tǒng)安全性要求。池亞娟等[3]采用量化分析法，通過改變?nèi)哂嘟Y(jié)構(gòu)與檢驗測試周期可有效提高SIS安全性;Lundteigen等[4]從SIL驗證角度得出同樣結(jié)論。但實際應(yīng)用中，追加較多冗余將導(dǎo)致成本增加、系統(tǒng)更為復(fù)雜，可能產(chǎn)生更多共因失效，導(dǎo)致誤動作。王海清等[5]通過研究異型冗余設(shè)備對系統(tǒng)安全性影響發(fā)現(xiàn)，雖然異型冗余設(shè)備可極大地減少共因失效，但多數(shù)企業(yè)出于運行維護的目的，經(jīng)常采用同構(gòu)冗余系統(tǒng)。在SIS安全性必須提高的場合下，尤其針對現(xiàn)役SIS，優(yōu)化檢驗測試執(zhí)行策略效果較好，且被廣泛應(yīng)用，但缺乏具體優(yōu)化策略。

檢驗測試分為部分和完全檢驗測試:完全檢驗測試指將系統(tǒng)恢復(fù)到與新系統(tǒng)一樣狀態(tài)的大修或換新;部分檢驗測試指只能檢測到部分特定失效測試，主要包括目視檢查與部分行程測試[6]?；跈z驗測試的PFDavg計算模型已取得顯著成果：文獻[7]基于1oo2架構(gòu)，給出基于部分檢驗測試的PFDavg公式，并引入檢驗測試覆蓋率(PTC)系數(shù)；Hauge等[8]利用PDS法對SIS安全性分析，考慮PTC因子影響作用，并引入檢驗測試失敗概率(PTIF)，用于衡量部分檢驗測試效果；Summers等[9]給出1oo1系統(tǒng)部分檢驗測試簡化公式；Torres等[10]提出基于周期性部分檢驗測試的PFDavg公式；Brissaud等[11]提出適用于koon系統(tǒng)的PFDavg公式，可用于非周期部分檢驗測試；郭利進等[12]利用多相Markov鏈模型計算PFDavg，分析共因失效、診斷覆蓋率和檢驗測試對PFDavg的影響；Jin等[13]基于常見架構(gòu)系統(tǒng)，分析部分檢測試不完善性對PFDavg影響；Vaurio等[14]通過增加檢驗測試持續(xù)時間與測試不完善度等，對koon計算模型進行改進?；谝延醒芯砍晒?，通過引入部分檢驗測試分布因子和共因失效修正因子，分析檢驗測試對PFDavg的影響，建立通用冗余架構(gòu)計算模型，該模型適用于所有同構(gòu)koon架構(gòu)系統(tǒng)，可應(yīng)用于周期性、非周期性部分檢驗測試及共因失效影響較大的場景，可以為企業(yè)制定檢驗測試策略提供理論依據(jù)。

1 模型相關(guān)因素計算

1.1 系統(tǒng)失效分類

SIS失效分為“安全失效s”、“危險失效d”和“無影響失效”：安全失效會導(dǎo)致誤停車，降低生產(chǎn)連續(xù)性；危險失效導(dǎo)致風(fēng)險，降低可用性[15]；無影響失效增加險肇事件的發(fā)生概率。PFDavg僅與危險失效有關(guān)。危險失效可進一步分為能被檢測到的危險失效(dd)和未被檢測到的危險失效(du)：能被檢測到的危險失效(dd)指通過在線診斷測試能夠檢測到的失效；未被檢測到的危險失效(du)指僅通過檢驗測試檢測到的失效[16]，在線診斷測試執(zhí)行頻率相對頻繁，一般小于1次/min。假設(shè)檢測到dd失效后立即進行維修，或被控設(shè)備(EUC)能夠立即進入安全狀態(tài)，認(rèn)為dd失效對PFDavg影響可忽略不計，只考慮du失效對PFDavg的影響。

當(dāng)檢驗測試策略中同時包含部分和完全檢驗測試時，du失效包括2類：通過部分和完全檢驗測試都能檢測到的du失效即α型失效，失效率為λα；僅通過完全檢驗測試檢測到的du失效即β型失效，失效率為λβ。

定義部分檢驗測試覆蓋率(θ)為可通過部分檢驗測試檢測到的du失效百分比，如式(1)所示：

(1)

式中：λ為du失效的失效率。

1.2 共因失效

共因失效(Common Cause Failure，CCF)指1個系統(tǒng)中由于某種共同原因?qū)е?個或多個通道并發(fā)失效的現(xiàn)象。CCF可能是系統(tǒng)失效，如設(shè)計或規(guī)范失誤，也可能是由于外部應(yīng)力導(dǎo)致的隨機硬件失效，如閃電、地震或維護中錯誤操作等導(dǎo)致的失效，或者由2種原因共同導(dǎo)致的失效。同構(gòu)冗余系統(tǒng)中共因失效對PFDavg影響較大。β因子模型相對比較簡單，是目前SIS安全性分析中最常用的共因失效分析模型，主要包括β因子模型和多β因子模型。

2 計算模型建立

圖1 基于部分和完全檢驗測試的失效概率趨勢Fig.1 Trend chart of failure probability subject to partial and proof test

給出模型假設(shè)條件，模型建立過程包括3個部分。首先建立基于獨立失效的基本模型，引入檢驗測試分布因子，用于體現(xiàn)檢驗測試分布情況對PFDavg影響；引入共因失效修正因子，能更加準(zhǔn)確地分析同構(gòu)冗余系統(tǒng)的安全完整性。

2.1 模型假設(shè)條件

PFDavg計算模型建立基于以下7個條件假設(shè)：

1)koon架構(gòu)中每條通道屬性相同，具有相同恒定失效率λ，且失效概率均服從指數(shù)分布。

2)完全檢驗測試能夠檢測到所有du失效，測試維修后，系統(tǒng)能夠恢復(fù)如新，所有通道在t=0時刻處于全功能狀態(tài)。

3)部分檢驗測試僅能檢測到α型失效，測試維修后，系統(tǒng)中無α型失效，可能存在β型失效。

4)完全檢驗測試間隔τ內(nèi)，進行m次測試。前m-1次測試為具有以下間隔的部分檢驗測試：t1,t2,…,tm-1；第m個測試是完全檢驗測試(如圖1所示)。

5)檢驗測試面向所有n個通道同時進行。

6)所有可被在線診斷到的dd失效均能及時被修復(fù)或者進入安全狀態(tài)，不會產(chǎn)生危害后果。

7)部分或完全檢驗測試檢測到du失效，立即進行維修，在測試維修操作期間，EUC處于安全狀態(tài)，以便分析計算中不包括任何測試維護的持續(xù)時間。

2.2 基于獨立失效的基本計算模型

基于部分和完全檢驗測試的koon架構(gòu)可靠性如圖2所示。整個測試周期τ內(nèi)進行部分和完全檢驗測試，系統(tǒng)PFDavg受α型和β型失效影響，計算公式如式(1)所示：

(1)

圖2 基于部分和完全檢驗測試的koon架構(gòu)可靠Fig.2 Reliability block diagram for a koon system subject to partial and proof test

以每個部分檢驗測試周期為單元，分別計算對應(yīng)區(qū)間內(nèi)PFDavg。在第1個部分檢驗測試時間間隔[t0,t1]中，系統(tǒng)在t0=0時刻處于全功能狀態(tài)，koon系統(tǒng)不可用度等于不可靠度，如式(2)所示：

(2)

式中：F(t)為koon系統(tǒng)在時刻t的不可靠度函數(shù)，表達式如式(3)所示：

(3)

PFDavg在區(qū)間[t0,t1]的值如式(4)所示：

(4)

(5)

由于所有通道均是獨立和相同的，在ti-1時刻j個通道失效的概率遵循二項分布，并且每個通道具有恒定失效率，如式(6)所示：

(6)

當(dāng)ti-1時刻，失效通道數(shù)量j>n-k時，koon系統(tǒng)在區(qū)間(ti-1,ti],i=2,3,…,m的不可用度如式(7)所示：

(7)

失效通道數(shù)量j≤n-k時，koon系統(tǒng)降級為koo(n-j)系統(tǒng)，意味有n-j個通道可能在區(qū)間(ti-1,ti],i=2,3,…,m內(nèi)失效；當(dāng)超過n-j-k個通道失效時，系統(tǒng)失效，該系統(tǒng)不可用度等效于koo(n-j)系統(tǒng)的不可靠度，如式(8)所示：

(8)

式中：F(t|j,ti-1)為koo(n-j)系統(tǒng)在t時刻的不可靠度。

PFDavg在區(qū)間(ti-1,ti],i=2,3,…,m的值如式(9)～(13)所示：

(9)

(10)

(11)

(12)

(13)

(14)

(15)

綜上，區(qū)間[0，τ]的PFDavg如式(16)～(18)所示：

(16)

(17)

(18)

式中：

當(dāng)λτi和λβt非常小時(通常認(rèn)為小于0.01)，有以下近似關(guān)系：1-e-λτi≈λτi，1-e-λβti-1≈λβti-1，(e-λβti-1)n-j≈1，P(j|ti-1)如式(19)所示：

(19)

2.3 考慮檢驗測試分布因子的計算模型

為分析部分檢驗測試分布情況對PFDavg的影響，引入檢驗測試分布因子，如式(20)所示：

(20)

式中：ε為檢驗測試分布因子，當(dāng)ε=0，對應(yīng)無部分檢驗測試情況；當(dāng)ε=1，對應(yīng)周期性部分檢驗測試情況；當(dāng)ε<1，對應(yīng)非周期性部分檢驗測試時間間隔越來越?。划?dāng)ε>1，對應(yīng)非周期性部分檢驗測試時間間隔越來越大。將式(20)代入式(19)，得到基于檢驗測試分布因子的PFDavg公式如式(21)所示：

(21)

(22)

(23)

(24)

(25)

(26)

2.4 考慮共因失效的計算模型

同構(gòu)冗余系統(tǒng)因各通道相似性，具有相似失效集，容易受CCF影響而喪失防護效果[18-19 ]。

考慮共因失效的koon架構(gòu)系統(tǒng)的可靠性如圖3所示。PFDavg公式如式(27)所示：

PFDavg,total≈PFDavg,ind+PFDavg,ccf

(27)

式中：PFDavg,ind為基于獨立失效的PFDavg；PFDavg,ccf是基于共因失效的PFDavg。研究采用β因子模型處理共因失效問題，模型計算公式如式(28)所示：

(28)

圖3 koon結(jié)構(gòu)共因失效可靠性Fig.3 Reliability block diagram for a koon system subject to CCF

當(dāng)k

φkoon=Ckoonβkoon

(29)

當(dāng)k=n時，如式(30)所示：

φkoon=(n-Cnβkoon)

(30)

式中：βkoon為共因失效因子；Ckoon和Cn為反映不同冗余架構(gòu)對共因失效影響的參數(shù)，是βkoon因子修正系數(shù)。修正后的βkoon因子用φkoon表示，冗余架構(gòu)系統(tǒng)共因失效修正因子取值見表1。

表1 冗余架構(gòu)系統(tǒng)共因失效修正因子取值Table 1 Some Values for Ckoon and Cn Factors of koon systems

將式 (27)～(28)帶入式(21)，PFDavg公式如式(31)所示：

(31)

式中：

3 計算模型驗證與分析

3.1 比較驗證

1)無部分檢驗測試

當(dāng)沒有部分檢驗測試時，唯一的檢驗測試為τ時刻(即m=1和t1=τ)完全檢驗測試；并且j=0，假設(shè)t0時刻系統(tǒng)處于全功能狀態(tài)。將參數(shù)代入式(31)，區(qū)間[0,τ]內(nèi)PFDavg如式(32)所示：

(32)

式(32)與挪威工業(yè)科技研究院SINTEF利用PDS方法[19]得到的公式一致。

2) 1oo1系統(tǒng)周期性部分驗證測試

(33)

式(33)與文獻[9]得到的公式一致。

3.2 實例驗證與分析

ESD系統(tǒng)是工業(yè)中最常用的SIS之一。約50%以上的ESD系統(tǒng)失效是由最終元件緊急切斷閥失效導(dǎo)致，因此設(shè)計PST以期提高緊急切斷閥的安全性。例如，緊急切斷閥主要du失效模式為FTC(閥門關(guān)失效)和LCP(關(guān)位置泄漏)，PST可以檢測FTC失效，但不能檢測LCP失效，但2種失效模式可被完全檢驗測試檢測到。

假設(shè)閥門子系統(tǒng)由2oo3架構(gòu)組成。相關(guān)安全性參數(shù)見表2，數(shù)據(jù)來源于OREDA數(shù)據(jù)手冊[20]。

表2 2oo3架構(gòu)緊急切斷閥子系統(tǒng)可靠性參數(shù)Table 2 Reliability Parameters for Emergency Shutdown Valves

根據(jù)式(31)，計算得到不同PST周期下PFDavg數(shù)值見表3，如圖4～8所示。

表3 PST周期與PFDavgTable 3 PFDavg for PST Test Cycles

圖4 PST周期(30 d)Fig.4 PST Cycle(30 Days)

圖5 PST周期(90 d)Fig.5 PST Cycle(90 Days)

圖6 PST周期(180 d)Fig.6 PST Cycle(180 Days)

圖7 PST周期(365 d)Fig.7 PST Cycle(365 Days)

圖8 不同PST周期下不可用度的趨勢對比Fig.8 Trend chart of Unavailability according to different Test Cycles

不同PST周期下不可用度的趨勢對比如圖8所示。由圖8可知，1年2次PST，可顯著降低PFDavg(50%)，但隨PST頻率增加，效果逐漸降低。

由表4可知，在整個完全檢驗測試時間間隔內(nèi)，分配相同數(shù)量部分檢驗測試，當(dāng)采取不同分布策略時，PFDavg值發(fā)生改變。

表4 PST分布與PFDavgTable 4 PFDavg for PST Distribution

綜上，結(jié)合式(31)可得較優(yōu)部分檢驗測試時間分布方案。由表4可知，優(yōu)化后的部分檢驗測試分布比周期性部分檢驗測試的PFDavg值降低約20%。

檢驗測試分布因子趨勢如圖9所示。由圖9可知，檢驗測試分布因子ε具有一定收斂性，在ε>2時，ε對PFDavg的影響力顯著降低。

圖9 檢驗測試分布因子趨勢圖Fig.9 Trend chart of Test Distribution Factors

4 結(jié)論

1)基于檢驗測試策略的PFDavg通用計算模型，適用于低要求運行模式下的同構(gòu)koon架構(gòu)SIS，也可應(yīng)用于同時包含部分和完全檢驗測試的場合。該模型考慮周期性和非周期性部分檢驗測試，涵蓋目前主流應(yīng)用的多種模型。

2)以緊急切斷閥子系統(tǒng)為例進行實例驗證發(fā)現(xiàn)，檢驗測試策略對PFDavg影響較大，部分檢驗測試的周期和分布均會改變PFDavg。在不增加次數(shù)的情況下，通過合理規(guī)劃部分檢驗測試周期分布，降低PFDavg。模型可以優(yōu)化檢驗測試策略，提高安全儀表系統(tǒng)安全性。