基于檢驗測試策略的PFD模型建立與分析*

張 哲，王 璐，徐長峰 ，趙國軍 ，陳月娥，劉曉亮

(1.中國石油新疆油田分公司(呼圖壁儲氣庫作業區)，新疆 呼圖壁 831200； 2.機械工業儀器儀表綜合技術經濟研究所，北京 100055)

0 引言

安全儀表系統(Safety Instrumentation System,SIS)在工業安全風險管理中起著至關重要作用。低要求運行模式下，SIS要求頻率小于每年1次[1]。要求平均失效概率(Average Probability of Failure on Demand,PFDavg)是SIS安全性量化的重要指標，等效于完全檢驗測試時間間隔內系統平均不可用度[2]。

PFDavg與系統架構、元部件失效率、檢驗測試間隔及檢測覆蓋率等因素有關。因此,可通過提高元部件安全性，增加系統冗余級別、采用異構冗余系統、縮短檢驗測試周期、改善檢驗測試不完善度等措施降低PFDavg。工業中常用SIS體系架構復雜，元部件數量多，僅從一定限度內提高元部件安全性,難以滿足整個系統安全性要求。池亞娟等[3]采用量化分析法，通過改變冗余結構與檢驗測試周期可有效提高SIS安全性;Lundteigen等[4]從SIL驗證角度得出同樣結論。但實際應用中，追加較多冗余將導致成本增加、系統更為復雜，可能產生更多共因失效，導致誤動作。王海清等[5]通過研究異型冗余設備對系統安全性影響發現，雖然異型冗余設備可極大地減少共因失效，但多數企業出于運行維護的目的，經常采用同構冗余系統。在SIS安全性必須提高的場合下，尤其針對現役SIS，優化檢驗測試執行策略效果較好，且被廣泛應用，但缺乏具體優化策略。

檢驗測試分為部分和完全檢驗測試:完全檢驗測試指將系統恢復到與新系統一樣狀態的大修或換新;部分檢驗測試指只能檢測到部分特定失效測試，主要包括目視檢查與部分行程測試[6]。基于檢驗測試的PFDavg計算模型已取得顯著成果：文獻[7]基于1oo2架構，給出基于部分檢驗測試的PFDavg公式，并引入檢驗測試覆蓋率(PTC)系數；Hauge等[8]利用PDS法對SIS安全性分析，考慮PTC因子影響作用，并引入檢驗測試失敗概率(PTIF)，用于衡量部分檢驗測試效果；Summers等[9]給出1oo1系統部分檢驗測試簡化公式；Torres等[10]提出基于周期性部分檢驗測試的PFDavg公式；Brissaud等[11]提出適用于koon系統的PFDavg公式，可用于非周期部分檢驗測試；郭利進等[12]利用多相Markov鏈模型計算PFDavg，分析共因失效、診斷覆蓋率和檢驗測試對PFDavg的影響；Jin等[13]基于常見架構系統，分析部分檢測試不完善性對PFDavg影響；Vaurio等[14]通過增加檢驗測試持續時間與測試不完善度等，對koon計算模型進行改進。基于已有研究成果，通過引入部分檢驗測試分布因子和共因失效修正因子，分析檢驗測試對PFDavg的影響，建立通用冗余架構計算模型，該模型適用于所有同構koon架構系統，可應用于周期性、非周期性部分檢驗測試及共因失效影響較大的場景，可以為企業制定檢驗測試策略提供理論依據。

1 模型相關因素計算

1.1 系統失效分類

SIS失效分為“安全失效s”、“危險失效d”和“無影響失效”：安全失效會導致誤停車，降低生產連續性；危險失效導致風險，降低可用性[15]；無影響失效增加險肇事件的發生概率。PFDavg僅與危險失效有關。危險失效可進一步分為能被檢測到的危險失效(dd)和未被檢測到的危險失效(du)：能被檢測到的危險失效(dd)指通過在線診斷測試能夠檢測到的失效；未被檢測到的危險失效(du)指僅通過檢驗測試檢測到的失效[16]，在線診斷測試執行頻率相對頻繁，一般小于1次/min。假設檢測到dd失效后立即進行維修，或被控設備(EUC)能夠立即進入安全狀態，認為dd失效對PFDavg影響可忽略不計，只考慮du失效對PFDavg的影響。

當檢驗測試策略中同時包含部分和完全檢驗測試時，du失效包括2類：通過部分和完全檢驗測試都能檢測到的du失效即α型失效，失效率為λα；僅通過完全檢驗測試檢測到的du失效即β型失效，失效率為λβ。

定義部分檢驗測試覆蓋率(θ)為可通過部分檢驗測試檢測到的du失效百分比，如式(1)所示：

(1)

式中：λ為du失效的失效率。

1.2 共因失效

共因失效(Common Cause Failure，CCF)指1個系統中由于某種共同原因導致2個或多個通道并發失效的現象。CCF可能是系統失效，如設計或規范失誤，也可能是由于外部應力導致的隨機硬件失效，如閃電、地震或維護中錯誤操作等導致的失效，或者由2種原因共同導致的失效。同構冗余系統中共因失效對PFDavg影響較大。β因子模型相對比較簡單，是目前SIS安全性分析中最常用的共因失效分析模型，主要包括β因子模型和多β因子模型。

2 計算模型建立

圖1 基于部分和完全檢驗測試的失效概率趨勢Fig.1 Trend chart of failure probability subject to partial and proof test

給出模型假設條件，模型建立過程包括3個部分。首先建立基于獨立失效的基本模型，引入檢驗測試分布因子，用于體現檢驗測試分布情況對PFDavg影響；引入共因失效修正因子，能更加準確地分析同構冗余系統的安全完整性。

2.1 模型假設條件

PFDavg計算模型建立基于以下7個條件假設：

1)koon架構中每條通道屬性相同，具有相同恒定失效率λ，且失效概率均服從指數分布。

2)完全檢驗測試能夠檢測到所有du失效，測試維修后，系統能夠恢復如新，所有通道在t=0時刻處于全功能狀態。

3)部分檢驗測試僅能檢測到α型失效，測試維修后，系統中無α型失效，可能存在β型失效。

4)完全檢驗測試間隔τ內，進行m次測試。前m-1次測試為具有以下間隔的部分檢驗測試：t1,t2,…,tm-1；第m個測試是完全檢驗測試(如圖1所示)。

5)檢驗測試面向所有n個通道同時進行。

6)所有可被在線診斷到的dd失效均能及時被修復或者進入安全狀態，不會產生危害后果。

7)部分或完全檢驗測試檢測到du失效，立即進行維修，在測試維修操作期間，EUC處于安全狀態，以便分析計算中不包括任何測試維護的持續時間。

2.2 基于獨立失效的基本計算模型

基于部分和完全檢驗測試的koon架構可靠性如圖2所示。整個測試周期τ內進行部分和完全檢驗測試，系統PFDavg受α型和β型失效影響，計算公式如式(1)所示：

(1)

圖2 基于部分和完全檢驗測試的koon架構可靠Fig.2 Reliability block diagram for a koon system subject to partial and proof test

以每個部分檢驗測試周期為單元，分別計算對應區間內PFDavg。在第1個部分檢驗測試時間間隔[t0,t1]中，系統在t0=0時刻處于全功能狀態，koon系統不可用度等于不可靠度，如式(2)所示：

(2)

式中：F(t)為koon系統在時刻t的不可靠度函數，表達式如式(3)所示：

(3)

PFDavg在區間[t0,t1]的值如式(4)所示：

(4)

(5)

由于所有通道均是獨立和相同的，在ti-1時刻j個通道失效的概率遵循二項分布，并且每個通道具有恒定失效率，如式(6)所示：

(6)

當ti-1時刻，失效通道數量j>n-k時，koon系統在區間(ti-1,ti],i=2,3,…,m的不可用度如式(7)所示：

(7)

失效通道數量j≤n-k時，koon系統降級為koo(n-j)系統，意味有n-j個通道可能在區間(ti-1,ti],i=2,3,…,m內失效；當超過n-j-k個通道失效時，系統失效，該系統不可用度等效于koo(n-j)系統的不可靠度，如式(8)所示：

(8)

式中：F(t|j,ti-1)為koo(n-j)系統在t時刻的不可靠度。

PFDavg在區間(ti-1,ti],i=2,3,…,m的值如式(9)～(13)所示：

(9)

(10)

(11)

(12)

(13)

(14)

(15)

綜上，區間[0，τ]的PFDavg如式(16)～(18)所示：

(16)

(17)

(18)

式中：

當λτi和λβt非常小時(通常認為小于0.01)，有以下近似關系：1-e-λτi≈λτi，1-e-λβti-1≈λβti-1，(e-λβti-1)n-j≈1，P(j|ti-1)如式(19)所示：

(19)

2.3 考慮檢驗測試分布因子的計算模型

為分析部分檢驗測試分布情況對PFDavg的影響，引入檢驗測試分布因子，如式(20)所示：

(20)

式中：ε為檢驗測試分布因子，當ε=0，對應無部分檢驗測試情況；當ε=1，對應周期性部分檢驗測試情況；當ε<1，對應非周期性部分檢驗測試時間間隔越來越小；當ε>1，對應非周期性部分檢驗測試時間間隔越來越大。將式(20)代入式(19)，得到基于檢驗測試分布因子的PFDavg公式如式(21)所示：

(21)

(22)

(23)

(24)

(25)

(26)

2.4 考慮共因失效的計算模型

同構冗余系統因各通道相似性，具有相似失效集，容易受CCF影響而喪失防護效果[18-19 ]。

考慮共因失效的koon架構系統的可靠性如圖3所示。PFDavg公式如式(27)所示：

PFDavg,total≈PFDavg,ind+PFDavg,ccf

(27)

式中：PFDavg,ind為基于獨立失效的PFDavg；PFDavg,ccf是基于共因失效的PFDavg。研究采用β因子模型處理共因失效問題，模型計算公式如式(28)所示：

(28)

圖3 koon結構共因失效可靠性Fig.3 Reliability block diagram for a koon system subject to CCF

當k

φkoon=Ckoonβkoon

(29)

當k=n時，如式(30)所示：

φkoon=(n-Cnβkoon)

(30)

式中：βkoon為共因失效因子；Ckoon和Cn為反映不同冗余架構對共因失效影響的參數，是βkoon因子修正系數。修正后的βkoon因子用φkoon表示，冗余架構系統共因失效修正因子取值見表1。

表1 冗余架構系統共因失效修正因子取值Table 1 Some Values for Ckoon and Cn Factors of koon systems

將式 (27)～(28)帶入式(21)，PFDavg公式如式(31)所示：

(31)

式中：

3 計算模型驗證與分析

3.1 比較驗證

1)無部分檢驗測試

當沒有部分檢驗測試時，唯一的檢驗測試為τ時刻(即m=1和t1=τ)完全檢驗測試；并且j=0，假設t0時刻系統處于全功能狀態。將參數代入式(31)，區間[0,τ]內PFDavg如式(32)所示：

(32)

式(32)與挪威工業科技研究院SINTEF利用PDS方法[19]得到的公式一致。

2) 1oo1系統周期性部分驗證測試

(33)

式(33)與文獻[9]得到的公式一致。

3.2 實例驗證與分析

ESD系統是工業中最常用的SIS之一。約50%以上的ESD系統失效是由最終元件緊急切斷閥失效導致，因此設計PST以期提高緊急切斷閥的安全性。例如，緊急切斷閥主要du失效模式為FTC(閥門關失效)和LCP(關位置泄漏)，PST可以檢測FTC失效，但不能檢測LCP失效，但2種失效模式可被完全檢驗測試檢測到。

假設閥門子系統由2oo3架構組成。相關安全性參數見表2，數據來源于OREDA數據手冊[20]。

表2 2oo3架構緊急切斷閥子系統可靠性參數Table 2 Reliability Parameters for Emergency Shutdown Valves

根據式(31)，計算得到不同PST周期下PFDavg數值見表3，如圖4～8所示。

表3 PST周期與PFDavgTable 3 PFDavg for PST Test Cycles

圖4 PST周期(30 d)Fig.4 PST Cycle(30 Days)

圖5 PST周期(90 d)Fig.5 PST Cycle(90 Days)

圖6 PST周期(180 d)Fig.6 PST Cycle(180 Days)

圖7 PST周期(365 d)Fig.7 PST Cycle(365 Days)

圖8 不同PST周期下不可用度的趨勢對比Fig.8 Trend chart of Unavailability according to different Test Cycles

不同PST周期下不可用度的趨勢對比如圖8所示。由圖8可知，1年2次PST，可顯著降低PFDavg(50%)，但隨PST頻率增加，效果逐漸降低。

由表4可知，在整個完全檢驗測試時間間隔內，分配相同數量部分檢驗測試，當采取不同分布策略時，PFDavg值發生改變。

表4 PST分布與PFDavgTable 4 PFDavg for PST Distribution

綜上，結合式(31)可得較優部分檢驗測試時間分布方案。由表4可知，優化后的部分檢驗測試分布比周期性部分檢驗測試的PFDavg值降低約20%。

檢驗測試分布因子趨勢如圖9所示。由圖9可知，檢驗測試分布因子ε具有一定收斂性，在ε>2時，ε對PFDavg的影響力顯著降低。

圖9 檢驗測試分布因子趨勢圖Fig.9 Trend chart of Test Distribution Factors

4 結論

1)基于檢驗測試策略的PFDavg通用計算模型，適用于低要求運行模式下的同構koon架構SIS，也可應用于同時包含部分和完全檢驗測試的場合。該模型考慮周期性和非周期性部分檢驗測試，涵蓋目前主流應用的多種模型。

2)以緊急切斷閥子系統為例進行實例驗證發現，檢驗測試策略對PFDavg影響較大，部分檢驗測試的周期和分布均會改變PFDavg。在不增加次數的情況下，通過合理規劃部分檢驗測試周期分布，降低PFDavg。模型可以優化檢驗測試策略，提高安全儀表系統安全性。