閔祥紅，謝騰騰，王繼光

（1.山東魯新設(shè)計(jì)工程有限公司，濟(jì)南 250101；2.中海油石化工程有限責(zé)任公司，濟(jì)南 250101 3.山東實(shí)華天然氣有限公司，山東 青島 266071）

0 引言

在石油化工、精細(xì)和醫(yī)藥化工、LNG 工程設(shè)計(jì)項(xiàng)目中，根據(jù)規(guī)范、規(guī)定、法令以及按照SIL 定級(jí)報(bào)告，對(duì)不同安全儀表功能的安全完整性等級(jí)要求，并結(jié)合業(yè)主要求，對(duì)安全儀表功能結(jié)構(gòu)進(jìn)行設(shè)計(jì)。根據(jù)GBT/50770-2013《石油化工安全儀表設(shè)計(jì)規(guī)范》對(duì)子系統(tǒng)冗余要求，結(jié)合IEC61508-2010 和IEC61511-2016 最小故障裕度要求，SIL2 及以上安全儀表功能測(cè)量?jī)x表、邏輯控制器，及最終執(zhí)行元件子系統(tǒng)通常采用冗余設(shè)計(jì)。工程設(shè)計(jì)中經(jīng)常遇到冗余子系統(tǒng)，當(dāng)一臺(tái)或多臺(tái)設(shè)備發(fā)生故障時(shí)，邏輯如何執(zhí)行的問(wèn)題。本文根據(jù)馬爾科夫模型計(jì)算，結(jié)合規(guī)范要求，討論了安全儀表功能子系統(tǒng)一臺(tái)或多臺(tái)設(shè)備發(fā)生故障時(shí)，聯(lián)鎖如何觸發(fā)，并給出了多種方案。邏輯控制器冗余邏輯一般由控制系統(tǒng)產(chǎn)品本身確定，當(dāng)發(fā)生故障時(shí)會(huì)根據(jù)自身邏輯進(jìn)行判斷處理，本文不再討論[1-4]。

1 數(shù)學(xué)模型建立

GBT/50770-2013 中定義冗余為采用獨(dú)立執(zhí)行同一個(gè)功能的兩個(gè)部件或系統(tǒng)，互為備用及切換。IEC61511 指出，安全儀表功能各個(gè)子系統(tǒng)冗余結(jié)構(gòu)為同種結(jié)構(gòu)冗余或者異種結(jié)構(gòu)冗余，異種結(jié)構(gòu)冗余可以減小共因失效。在實(shí)際工程設(shè)計(jì)中這兩種情況經(jīng)常遇到，例如某再冷凝器去高壓泵管線(xiàn)上的溫度2oo3 和壓力2oo3 的同種結(jié)構(gòu)冗余；某液化烴球罐的伺服、雷達(dá)和外貼超聲波的2oo3 的異種結(jié)構(gòu)冗余[5-8]。

1.1 同種結(jié)構(gòu)冗余故障分析及計(jì)算

假設(shè)整個(gè)SIF 為SIL2，傳感器為B 類(lèi)設(shè)備硬件結(jié)構(gòu)為2oo3，控制器為B 類(lèi)設(shè)備硬件結(jié)構(gòu)為1oo2D，最終執(zhí)行元件為A 類(lèi)設(shè)備硬件結(jié)構(gòu)為1oo2，設(shè)計(jì)符合GB/T 20438 和GB/T 50770 要求。當(dāng)β=0.1，計(jì)算數(shù)據(jù)見(jiàn)表1。

表1 同種冗余結(jié)構(gòu)在發(fā)生危險(xiǎn)失效概率和安全失效概率Table 1 Dangerous failure probability and safety failure probability of the same redundant structure

根據(jù)表1，得出如下結(jié)論：

1）關(guān)鍵可靠性參數(shù)危險(xiǎn)失效概率PFDavg 排序：2oo2＞1oo1＞2oo3＞1oo2＞1oo3。

2）關(guān)鍵可用性參數(shù)安全失效概率PFS 排序：1oo3＞1oo2＞1oo1＞2oo3＞2oo2。

1.2 儀表發(fā)生故障執(zhí)行邏輯分析

根據(jù)1.1 計(jì)算結(jié)論，以某安全儀表系統(tǒng)安全儀表功能中2oo3 測(cè)量?jī)x表子系統(tǒng)為例，對(duì)一臺(tái)儀表發(fā)生故障、二臺(tái)儀表發(fā)生故障、三臺(tái)儀表發(fā)生故障子系統(tǒng)邏輯執(zhí)行情況逐條分析。

1.2.1 一臺(tái)儀表發(fā)生故障

a）當(dāng)儀表發(fā)生未檢測(cè)到的安全失效時(shí)，即：儀表發(fā)生故障時(shí)，該故障導(dǎo)致儀表輸出信號(hào)為低電平（假設(shè)觸發(fā)聯(lián)鎖），無(wú)故障報(bào)警，假設(shè)直到檢修周期才修復(fù)。若不做邏輯處理，則實(shí)際2oo3 變?yōu)?oo2，根據(jù)1 結(jié)論，該故障提高了系統(tǒng)的安全性，但是增加了誤停車(chē)率。

b）當(dāng)儀表發(fā)生檢測(cè)到的安全失效時(shí)，即：儀表發(fā)生故障時(shí)，該故障導(dǎo)致儀表輸出信號(hào)為低電平（假設(shè)觸發(fā)聯(lián)鎖），儀表本身有故障報(bào)警，假設(shè)功能安全工程師沒(méi)有在規(guī)定時(shí)間完成有效修復(fù)，直到檢修周期才修復(fù)。若不做邏輯處理，則實(shí)際2oo3 變?yōu)?oo2，根據(jù)1.1 結(jié)論，該故障提高了系統(tǒng)的安全性，但是增加了誤停車(chē)率。可以根據(jù)安全性和誤停車(chē)率需求做進(jìn)一步邏輯優(yōu)化，處理報(bào)警。

c）當(dāng)儀表發(fā)生檢測(cè)到的危險(xiǎn)失效時(shí)，即：該故障導(dǎo)致輸出信號(hào)為高電平（不觸發(fā)聯(lián)鎖），假設(shè)故障有報(bào)警，假設(shè)功能安全工程師沒(méi)有在規(guī)定時(shí)間完成有效修復(fù)，直到檢修周期才修復(fù)。若不做邏輯處理，實(shí)則降低到2oo2。根據(jù)1結(jié)論，該故障降低了系統(tǒng)的安全性，但是降低了誤停車(chē)率?？梢愿鶕?jù)安全性和誤停車(chē)率需求做進(jìn)一步邏輯優(yōu)化，處理報(bào)警。

d）當(dāng)儀表發(fā)生未檢測(cè)到的危險(xiǎn)失效時(shí)，即：該故障導(dǎo)致輸出信號(hào)為高電平（不觸發(fā)聯(lián)鎖），無(wú)故障報(bào)警，假設(shè)直到檢修周期才修復(fù)。實(shí)則降低到2oo2，根據(jù)1.1 結(jié)論，該故障降低系統(tǒng)的安全性，但是降低了誤停車(chē)率，該情況需要進(jìn)一步判斷是否滿(mǎn)足結(jié)構(gòu)冗余、要求失效概率的要求。

1.2.2 兩臺(tái)儀表發(fā)生故障

a）假設(shè)第一臺(tái)儀表故障滿(mǎn)足1.2.1 a）或1.2.1 b），第二臺(tái)儀表發(fā)生未檢測(cè)到的安全失效時(shí)，觸發(fā)聯(lián)鎖兩臺(tái)最終執(zhí)行元件動(dòng)作。根據(jù)1 結(jié)論，該故障提高了系統(tǒng)的安全性，但是導(dǎo)致誤停車(chē)。

b）假設(shè)第一臺(tái)儀表故障滿(mǎn)足1.2.1 c），第二臺(tái)儀表發(fā)生未檢測(cè)到的安全失效時(shí)，假設(shè)功能安全工程師沒(méi)有在規(guī)定時(shí)間完成有效修復(fù)，直到檢修周期才修復(fù)。若不做邏輯處理，實(shí)則降低到1oo1，根據(jù)1.1 結(jié)論，該故障降低了系統(tǒng)的安全性，增加了誤停車(chē)率?？梢愿鶕?jù)安全性和誤停車(chē)率需求做進(jìn)一步邏輯優(yōu)化，處理報(bào)警。

c）假設(shè)第一臺(tái)儀表故障滿(mǎn)足1.2.1 d），第二臺(tái)儀表發(fā)生未檢測(cè)到的安全失效時(shí)，假設(shè)直到檢修周期才修復(fù)。實(shí)則降低到1oo1，根據(jù)1.1 結(jié)論，該故障降低了系統(tǒng)的安全性，增加了誤停車(chē)率，該情況需要進(jìn)一步判斷是否滿(mǎn)足結(jié)構(gòu)冗余、要求失效概率的要求。

d）假設(shè)第一臺(tái)儀表故障滿(mǎn)足1.2.1 a）或1.2.1 b），第二臺(tái)儀表發(fā)生檢測(cè)到的安全失效時(shí)，觸發(fā)聯(lián)鎖兩臺(tái)最終執(zhí)行元件動(dòng)作。根據(jù)1.1 結(jié)論，該故障提高了系統(tǒng)的安全性，但是導(dǎo)致誤停車(chē)。

e）假設(shè)第一臺(tái)儀表故障滿(mǎn)足1.2.1 c），第二臺(tái)儀表發(fā)生檢測(cè)到的安全失效時(shí)，假設(shè)功能安全工程師沒(méi)有在規(guī)定時(shí)間完成有效修復(fù)，直到檢修周期才修復(fù)。若不做邏輯處理，實(shí)則降低到1oo1，根據(jù)1.1 結(jié)論，該故障降低了系統(tǒng)的安全性，增加了誤停車(chē)率。可以根據(jù)安全性和誤停車(chē)率需求做進(jìn)一步邏輯優(yōu)化，處理報(bào)警。

f）假設(shè)第一臺(tái)儀表故障滿(mǎn)足1.2.1 d），第二臺(tái)儀表發(fā)生檢測(cè)到的安全失效時(shí)，實(shí)則降低到1oo1，根據(jù)1.1結(jié)論，該故障降低了系統(tǒng)的安全性，增加了誤停車(chē)率，該情況需要進(jìn)一步判斷是否滿(mǎn)足結(jié)構(gòu)冗余、要求失效概率的要求。

g）假設(shè)第一臺(tái)儀表故障滿(mǎn)足1.2.1 a）或1.2.1 b），第二臺(tái)儀表發(fā)生檢測(cè)到的危險(xiǎn)失效時(shí)，設(shè)功能安全工程師沒(méi)有在規(guī)定時(shí)間完成有效修復(fù)，直到檢修周期才修復(fù)。若不做邏輯處理，實(shí)則降低到1oo1，根據(jù)1.1 結(jié)論，該故障降低了系統(tǒng)的安全性，增加了誤停車(chē)率。可以根據(jù)安全性和誤停車(chē)率需求做進(jìn)一步邏輯優(yōu)化，處理報(bào)警。

h）假設(shè)第一臺(tái)儀表故障滿(mǎn)足1.2.1 c），第二臺(tái)儀表發(fā)生檢測(cè)到的危險(xiǎn)失效，該情況需要增加邏輯，若功能安全工程師沒(méi)有在規(guī)定時(shí)間完成有效修復(fù)，則強(qiáng)制觸發(fā)聯(lián)鎖兩臺(tái)最終執(zhí)行元件動(dòng)作。

i）假設(shè)第一臺(tái)儀表故障滿(mǎn)足1.2.1 d），第二臺(tái)儀表發(fā)生檢測(cè)到的危險(xiǎn)失效時(shí)，該情況需要增加邏輯，若功能安全工程師沒(méi)有在規(guī)定時(shí)間完成有效修復(fù)，則邏輯實(shí)現(xiàn)第二臺(tái)變送器輸出為觸發(fā)邏輯。實(shí)則降低到1oo1，根據(jù)1.1結(jié)論，該故障降低了系統(tǒng)的安全性，增加了誤停車(chē)率。可以根據(jù)安全性和誤停車(chē)率需求做進(jìn)一步邏輯優(yōu)化，處理報(bào)警。

j）假設(shè)第一臺(tái)儀表故障滿(mǎn)足1.2.1 a）或1.2.1 b），第二臺(tái)儀表發(fā)生未檢測(cè)到的危險(xiǎn)失效，設(shè)功能安全工程師沒(méi)有在規(guī)定時(shí)間完成有效修復(fù)，直到檢修周期才修復(fù)。若不做邏輯處理，實(shí)則降低到1oo1，根據(jù)1.1 結(jié)論，該故障降低了系統(tǒng)的安全性，增加了誤停車(chē)率?？梢愿鶕?jù)安全性和誤停車(chē)率需求做進(jìn)一步邏輯優(yōu)化，處理報(bào)警。

k）假設(shè)第一臺(tái)儀表故障滿(mǎn)足1.2.1 c），第二臺(tái)儀表發(fā)生未檢測(cè)到的危險(xiǎn)失效，則邏輯實(shí)現(xiàn)第一臺(tái)變送器輸出為觸發(fā)邏輯。實(shí)則降低到1oo1，根據(jù)1.1 結(jié)論，該故障降低系統(tǒng)的安全性，增加了誤停車(chē)率?？梢愿鶕?jù)安全性和誤停車(chē)率需求做進(jìn)一步邏輯優(yōu)化，處理報(bào)警。

l）假設(shè)第一臺(tái)儀表故障滿(mǎn)足1.2.1 d），第二臺(tái)儀表發(fā)生未檢測(cè)到的危險(xiǎn)失效時(shí)，該情況需要進(jìn)一步判斷是否滿(mǎn)足結(jié)構(gòu)冗余、要求失效概率的要求。

1.2.3 3臺(tái)儀表發(fā)生故障

當(dāng)?shù)? 臺(tái)發(fā)生未檢測(cè)到的安全失效時(shí)，其他兩塊表故障應(yīng)滿(mǎn)足1.2.2 b）或1.2.2 c）或1.2.2 d）其中一臺(tái)低電平輸出，則觸發(fā)聯(lián)鎖兩臺(tái)最終執(zhí)行元件動(dòng)作。

當(dāng)?shù)? 臺(tái)發(fā)生檢測(cè)到的安全失效時(shí)，其他兩塊表故障應(yīng)滿(mǎn)足1.2.2 b）或1.2.2 c）或1.2.2 d）其中一臺(tái)低電平輸出，則觸發(fā)聯(lián)鎖兩臺(tái)最終執(zhí)行元件動(dòng)作。

當(dāng)?shù)? 臺(tái)發(fā)生檢測(cè)到的危險(xiǎn)失效時(shí)，其他兩塊表故障應(yīng)滿(mǎn)足1.2.2 b）或1.2.2 c）或1.2.2 d）其中一臺(tái)低電平輸出，該情況需要增加邏輯，若功能安全工程師沒(méi)有在規(guī)定時(shí)間完成有效修復(fù)，則強(qiáng)制觸發(fā)聯(lián)鎖兩臺(tái)最終執(zhí)行元件動(dòng)作。

當(dāng)?shù)? 臺(tái)發(fā)生未檢測(cè)到的危險(xiǎn)失效時(shí)，其他兩塊表故障應(yīng)滿(mǎn)足1.2.2 b）或1.2.2 c）或1.2.2 d）其中一臺(tái)低電平輸出，該情況需要進(jìn)一步判斷是否滿(mǎn)足結(jié)構(gòu)冗余、要求失效概率的要求。

當(dāng)?shù)? 臺(tái)發(fā)生未檢測(cè)到的安全失效時(shí)，其他兩塊表故障應(yīng)滿(mǎn)足1.2.2 b）或1.2.2 c）或1.2.2 d）輸出高電平，該情況需要進(jìn)一步判斷是否滿(mǎn)足結(jié)構(gòu)冗余、要求失效概率的要求。

當(dāng)?shù)? 臺(tái)發(fā)生檢測(cè)到的安全失效時(shí)，其他兩塊表故障應(yīng)滿(mǎn)足1.2.2 b）或1.2.2 c）或1.2.2 d）輸出高電平，該情況需要進(jìn)一步判斷是否滿(mǎn)足結(jié)構(gòu)冗余、要求失效概率的要求。

當(dāng)?shù)? 臺(tái)發(fā)生檢測(cè)到的危險(xiǎn)失效時(shí)，其他兩塊表故障應(yīng)滿(mǎn)足1.2.2 b）或1.2.2 c）或1.2.2 d）輸出高電平，該情況需要進(jìn)一步判斷是否滿(mǎn)足結(jié)構(gòu)冗余、要求失效概率的要求。

當(dāng)?shù)? 臺(tái)發(fā)生未檢測(cè)到的危險(xiǎn)失效時(shí)，輸出高電平，該情況需要進(jìn)一步判斷是否滿(mǎn)足結(jié)構(gòu)冗余、要求失效概率的要求。

多選二以此類(lèi)推。

1.3 異種結(jié)構(gòu)冗余的計(jì)算

通過(guò)馬爾科夫模型與可靠性框圖模型的硬件失效評(píng)估研究建模方法，在充分考慮共因失效因子后，同樣適用。假設(shè)β 由0.1 降低到0.02，計(jì)算結(jié)論如下：

1）關(guān)鍵可靠性參數(shù)危險(xiǎn)失效概率PFDavg 排序：2oo2＞1oo1＞2oo3＞1oo2＞1oo3。

2）關(guān)鍵可用性參數(shù)安全失效概率PFS 排序：1oo3＞1oo2＞1oo1＞2oo3＞2oo2。

異種結(jié)構(gòu)冗余與同種結(jié)構(gòu)冗余排序相同，分析也相同，不在贅述。

2 結(jié)論

1）2oo2 表決安全性最低，安全失效概率也最低?？捎迷诎踩蟛桓撸笳`停車(chē)率低的場(chǎng)所。

2）當(dāng)HFT 要求大于等于1 時(shí)，2oo3 表決安全性最低，安全失效概率也最低?？捎迷诎踩蟛桓?，要求誤停車(chē)率低的場(chǎng)所。

3）1oo3 表決安全性最高，安全失效概率也最高。可用在安全要求高，對(duì)誤停車(chē)要求低的場(chǎng)所。

若投資一定，要求較高的安全性，勢(shì)必增加誤停車(chē)率；要求較低的誤停車(chē)率，勢(shì)必降低系統(tǒng)的安全性。

在安全儀表系統(tǒng)方案設(shè)計(jì)時(shí)可以參考上面結(jié)論，在實(shí)際應(yīng)用中，應(yīng)結(jié)合經(jīng)濟(jì)投資、SIL 要求、誤停車(chē)率，酌情選擇SIF 結(jié)構(gòu)和邏輯處理方案。當(dāng)返回各子系統(tǒng)訂貨資料后需要進(jìn)一步驗(yàn)算，判斷安全儀表系統(tǒng)安全儀表功能是否滿(mǎn)足SIL 等級(jí)要求。