SIL評估中共用測量單元結構可靠性計算探討

亢海洲 朱建新 方向榮 莊力健 袁文彬

(合肥通用機械研究院國家壓力容器與管道安全工程技術研究中心，安徽 合肥 230031)

?

SIL評估中共用測量單元結構可靠性計算探討

亢海洲 朱建新 方向榮 莊力健 袁文彬

(合肥通用機械研究院國家壓力容器與管道安全工程技術研究中心，安徽 合肥 230031)

近十年來，隨著安全聯鎖系統完整性等級(SIL)評估工作在煉油、化工、電廠等裝置中的開展，實際評估工作中出現了很多不同于IEC 61508和IEC 61511標準規定典型邏輯結構(如1oo1、1oo2、2oo3等)。針對多個傳感器共用測量模塊的特殊邏輯結構，IEC標準并未給出其可靠性計算的具體方法和公式。通過故障樹分析，等效拆解特殊邏輯結構為多個典型結構，準確得到了每個安全聯鎖功能的安全完整性等級，避免了SIL定級計算錯誤可能引起的事故，為SIL評估的深入且順利開展提供了保障與技術儲備。

安全聯鎖系統(SIS) 安全聯鎖等級(SIL) 安全聯鎖功能(SIF) 風險防御 可靠性 故障樹分析(FTA) 測量單元

0 引言

隨著石油化工等過程裝置朝大型化和復雜化方向發展，與此相適應，儀表控制系統尤其是安全聯鎖系統(safety instrumented system，SIS)的應用也越來越普遍，并且系統結構也越來越復雜。而安全聯鎖系統越復雜，其可靠性的計算也越來越復雜，其完整性就需要由專門的機構和專業技術人員來進行評估[1-3]。

安全聯鎖等級(safety integrity level，SIL)的定量風險評估技術以國際標準及國內外諸多石油化工企業的經驗數據為依據，通過對現有安全聯鎖系統的各個安全聯鎖功能(safety instrumented function，SIF)進行定量分析。對超保護的聯鎖，要降低其誤跳車概率；對保護不足的SIF，則要增加保護功能。對過程工業裝置進行SIL評估后，既可以保證安全聯鎖系統的安全可靠，又降低了裝置誤跳車頻率，從而減少了因非計劃停車而引發的經濟損失。

安全聯鎖系統作為主動抵御危險工況的最后一道屏障，設計方及設備專利商從自身角度出發，難免造成一定程度的過度設計。當邏輯含有較多冗余設置時，甚至需要采用特別構造的蒙特卡洛方法進行計算[4-5]。

一方面，現場技術人員或使用方在操作過程中，對于誤跳的安全聯鎖回路，即安全聯鎖功能，習慣性地進行摘除或旁路，一定程度上降低了誤跳車可能性，但增加了拒動作概率。如果現場真正出現危險工況，而與此相關的SIF又被摘除了，則會釀成重大事故甚至災難。另一方面，為了降低誤跳可能性，提高可用性，同時兼顧改造成本和施工難度，只增加了變送器冗余，測量模塊可能依然是單設的。

不同于IEC 61508標準規定的常見邏輯結構，并不能簡單采用已有的可靠性計算方法。在進行完整的SIL評估時，必須采用合適的評估方法[6-7]。

1 共用測量單元邏輯結構的可靠性計算

1.1 特殊邏輯結構的設置

某石化公司某重要容器在頂部設置了溫度高高聯鎖，由于單支熱電偶可用性不足，存在斷偶等突發事故，較容易出現假信號而造成裝置停車，影響企業經濟效益。公司擬通過增加冗余的方式來提高此SIF回路的可用性。由于容器頂部開孔有限，又無法在容器的在役過程進行開孔作業，所以共用測量模塊，后續模塊各自獨立。即通過同一支熱電偶引出測量信號，分別進入2只變送器；經變送的標準信號分別由不同信號電纜傳送至中控室，獨立進入I/O卡件，并最終進入CPU求解器。原有溫度高高聯鎖回路的邏輯結構如圖1(a)所示，改進后的邏輯結構如圖1(b)所示。

圖1(b)細化了傳感器子系統，圖1(a)的傳感器中其實也包含了測量模塊、變送模塊及相應的電路器件。從圖1(a)可以看出，傳感器子系統邏輯結構為1oo1(1 out of 1)。KooN表示共N個傳感器中，如果有K個傳感器達到聯鎖預設值，即觸發此聯鎖。但圖1(b)中傳感器子系統的設計更加復雜，既不是常見的1oo1也不是2oo2或1oo2，不能直接套用IEC 61508標準里規定的方法計算其可靠性。

圖1 邏輯結構圖

1.2 特殊邏輯結構的失效率數據

為了簡化計算，只需要計算傳感器子系統的可靠性參數，即指令模式下的平均失效概率(PFDavg)及平均無故障工作時間(mean time to failure safe，MTTFS)[8]。整個SIF回路的可靠性暫時不計算。

針對現場所用Rosemount 3144P傳感器子系統，根據失效模式和效果分析(failure mode and effect analysis，FMEA)方法，將部件失效類型劃分為安全可檢測(safe failure and detected，SD)、安全不可檢測(safe failure and undetected，SU)、危險可檢測(dangerous failure and detected，DD)、危險不可檢測(dangerous failure and undetected，DU)共4種模式[9-10]。查詢數據手冊，各部件的失效率數據如表1所示。

表1 各部件失效率數據

表1中，FIT(failures in time)表示十億分之一。

1.3 特殊邏輯結構的可靠性計算

根據表1的失效率數據，圖1(a)邏輯結構的可靠性計算可以直接代入根據IEC標準開發的專業SIL評估軟件《通用過程工業功能安全完整性評估系統》。1oo1邏輯計算參數如表2所示。

表2 1oo1邏輯計算參數

表2中:tR為在線修復時間；tI為檢驗周期；tSD為誤跳車后重啟裝置的時間。

計算結果為：PFD_avg=9.94E-03；MTTFS=1.40E+06(即159.43 a)。

圖1(b)邏輯結構的計算思路為：先按照1oo1結構計算測量模塊的可靠性參數;再按照1oo2模型計算變送模塊、安全柵和報警設定器的可靠性參數;最后，利用全概率公式計算整個傳感器子系統的拒動作概率，并利用加權平均數計算整個傳感器子系統的平均故障前工作時間。

①測量模塊的表決類型為1oo1。測量模塊計算參數如表3所示。

表3 測量模塊計算參數

計算結果為： PFD_avg1=4.35E-03；MTTFS1=3.03E+07(即3 459.25 a)

②變送器模塊、安全柵、報警設定器的表決類型為1oo2。變送模塊計算參數如表4所示。

表4 變送模塊計算參數

計算結果為：PFD_avg2=2.09E-04；MTTFS2=7.43E+05(即84.84 a)

③整個傳感器子系統的計算結果如下：

PFD_avg=PFD_avg1+PFD_avg2-PFD_avg1×PFD_avg2=4.56E-03;MTTFS=1/(1/MTTFS1+1/MTTFS2)=82.80 a

2 結果分析

2.1 1oo2或2oo2邏輯計算

如果忽略或者無視測量單元的共用特性，將圖1(b)的邏輯結構簡單處理為1oo2或2oo2模型，利用IEC標準推薦方法計算，得到以下結果。

①1oo2邏輯計算參數如表5所示。

表5 1oo2計算參數

計算結果為：PFD_avg=4.19E-04；MTTFS=7.09E+05(即80.93 a)

②表決類型為2oo2。

2oo2邏輯計算參數同表5。

計算結果為：PFD_avg=1.94E-02；MTTFS=2.15E+06(即245.78 a)

2.2 各計算結果分析

根據計算的PFDavg，進一步計算傳感器子系統的風險降低因子(risk reduce factor，RRF)，并根據RRF可以知道目前傳感器子系統能夠達到的SIL等級。以上各種模型的計算結果如表6所示。

表6 各種模型計算結果

表6中，RRF=1/PFD_avg。

比較各計算結果，得到以下結論。

①從表2可以看出，當無視或者忽視了測量模塊的共用特性以后，傳感器子單元可以達到的SIL等級從SIL2變化為SIL1和SIL3，變化顯著。而這將進一步影響整個SIF回路的分析結果，甚至導致所評估的整個SIF回路SIL等級發生變化，導致評估結論出現錯誤。如果依據此錯誤結論給出的聯鎖回路改進建議，則可能埋下事故隱患或造成重大經濟損失。

②如果按照圖1(a)邏輯粗略計算此特殊邏輯結構的可靠性，從拒動作概率方面看，所得結果存在一定隱患。為了保證評估回路的安全性，建議評估人員在對公用測量模塊的特殊邏輯結構進行分析時，作精細化的處理，可以按照本文思路或其他可靠性分析的基本思路進行分析，如可靠性框圖(reliability block diagram，RBD)、故障樹分析(fault tree analysis，FTA)等。

③分析誤差產生的原因。如果按照1oo2結構來計算，由于測量模塊的熱電偶是共用狀態，一旦熱電偶斷偶或發生其他故障，則2路都發生故障；所以真實的共因失效因子CCF其實遠遠大于0.03，按照IEC標準推薦的β模型，取推薦值0.03會發生偏危險的結果。

④由于測量模塊的失效率數據比其他部件的失效率數據大很多，尤其危險可檢測數據DD占了整個傳感器子系統DD數據的94%，所以主導傳感器子系統可靠性的部件難以避免地由測量單元主導和控制。即使增加了獨立的變送器及相應的其他所有部件，但對整個傳感器子系統的可靠性結果影響很小；如果考慮經濟效益指標(投資回報率)，評估人員一般不作此類建議。

⑤對于使用單位已經改進成2oo2結構的情況，一般建議利用合適的機會，在容器上新開孔或者利用某個就地顯示表的原有開孔或檢查孔來增加測量模塊的冗余，以期真正地實現2oo2邏輯。對實在無法開孔也無原有開孔利用情形，可在原有熱電偶保護套管內增加另一只熱電偶作熱備。一旦有一只熱電偶斷開或故障，可以方便儀表人員更換，以提高聯鎖回路的可用性。

3 結束語

可以預見，后期安全聯鎖系統完整性(SIL)評估過程中會遇到越來越多復雜邏輯結構，這些邏輯結構都不能直接按照標準推薦的算法計算。評估人員應該根據標準的要求，把握大方向和原則，在具體實施計算的過程中，靈活運用多種方法，結合現場實際情況，給出設計方或專利商、使用單位及評估單位多方接收的改進建議，以提高我國流程工業裝置運行的安全性和平穩性，提高企業的經濟效益。

[1] 朱建新,方向榮,莊力健,等.安全完整性技術(SIL)在我國石化裝置上的應用實踐及思考[J].化工自動化及儀表,2012,39(10):1253-1259.

[2] 亢海洲,朱建新,方向榮,等.空分壓縮機組安全完整性等級(SIL)技術評估應用及分析[J].自動化技術與應用,2015,34(2):74-78.

[3] 方向榮,莊力健.安全聯鎖系統評估在石化裝置的應用[J].壓力容器,2009,26(12):47-50.

[4] 亢海洲,陳學東.安全聯鎖系統(SIS)復雜邏輯結構的可靠性模擬[D].杭州:浙江工業大學,2009.

[5] 方向榮,朱建新,莊力健,等.蒙特卡洛仿真在安全聯鎖系統可靠性評估中的應用[J].化工自動化及儀表,2012,39(12):1640-1659.[6] 朱建新,王莉君,高增梁,等.基于失效模式的聯鎖系統安全與誤跳車計算方法[J].壓力容器,2007,24(7):12-16.

[7] 于改革,陳學東,朱建新,等.基于馬爾科夫模型的“二取二”結構誤跳車分析[J].石油化工自動化,2010(5):24-28.

[8] WILLIAM M G.Control Systems Safety Evaluation and Reliability[M].2nd ed.USA:ISA,1998.

[9] IEC commission.Functional safety of electrical/electronic/programmable electronic safety- related systems- Part1:General Requirements[S].IEC 61508,1998.

[10] IEC commission.Functional safety-Safety instrumented systems for the process industry sector-Part1:Framework,definitions,system,hardware and software requirements [S].IEC 61511,2003.

Investigation on the Reliability Calculation in SIL Assessment for Shared Measuring Unit Structure

In recent decade,along with safety integrity level (SIL) assessment of safety interlock systems has been expanded to facilities in oil refinery,chemical and power generation plants,some typical logical structures(e.g.,1oo1,1oo2,2oo3,etc) which are different from those of defined in standards of IEC 61508 and IEC 61511 appear in practical assessment.For the special logical structure of multiple sensors shared measurement modules,specific method and formula of reliability calculation have not been given in these IEC standards.Through fault tree analysis (FTA),the special logical structure is dismantled equivalently into multiple typical structures,and precise safety integrity level of each safety interlock function is obtained,thus the accident caused by the error in calculation of grading SIL can be avoided,guarantee and technical reserve are provided for intensively and smoothly carrying out SIL assessment.

Safety interlock system(SIS) Safety interlock level (SIL) Safety interlock function(SIF) Risk defense Reliability Fault tree analysis(FTA) Measurement unit

國家高技術研究發展計劃(863)基金資助項目(編號：2014AA041806)。

亢海洲(1983—)，男，2009年畢業于浙江工業大學化工過程機械專業，獲碩士學位，工程師；主要從事過程工業安全聯鎖系統風險識別與安全完整性等級方向的研究。

TH7;TP29

A

10.16086/j.cnki.issn 1000-0380.201611017

修改稿收到日期：2016-02-26。