基于馬爾可夫模型“1oo1”結構的誤跳車計算方法研究和分析

靳亞銘

(中國石化工程建設有限公司，北京 100101)

安全完整性技術是一種以安全儀表系統(SIS)為研究對象，以定量風險分析為手段，通過對工藝危險性、設備可靠性和保護充分性的定量分析，識別和評估出SIS的安全完整性要求與能力的一種風險分析方法。隨著SIS在石化行業中越來越廣泛的應用，項目的安全設計也越來越受到重視，安全儀表完整性等級(SIL)也變得越來越重要。同時SIS作為石化行業安全的重要保障，安全儀表本身的安全性日益受到人們的關注。

SIS是典型的可修復的冗余系統，根據IEC 61511： 2016及ISA 84.00的規定，SIS有兩種最基本的失效模式，即危險失效模式和安全失效模式。

1)危險失效模式。危險失效率(λD)是可能將安全相關系統潛在地置于危險狀態或者功能失效狀態的失效。例如： 當工藝操作發生波動時，正好一個壓力變送器發生故障，無法正常檢測到工藝狀態的波動，此時SIS更沒有及時觸發聯鎖動作，進一步導致非常危險的事件發生。

危險失效可以用要求時的平均失效概率(PFDavg)計算表示。PFDavg越低，意味著該設備的安全性越高；反之，則意味著該設備的安全性越低，發生危險事故的概率越高。

2)安全失效模式。安全失效率(λS)是導致安全相關系統進入安全狀態或者增大進入安全狀態的概率。是指一個設備或者事物，即使在特定功能失效的條件下，也不會造成對人員或其他設備的傷害(或者將傷害最小化)，是安全系統的一部分。例如： 當一個壓力變送器由于某種原因的信號干擾(工藝操作很正常)，導致其輸出信號大于20 mA，使SIS檢測到該變送器的高高報警，進而觸發了聯鎖動作，導致了誤動作停車的發生。這種聯鎖動作雖然會造成誤動作停車，但是不會發生任何危險事件。

安全失效可以采用誤停車率(STR)或平均無故障時間(MTTF)計算表示。STR越低(或MTTF越長)，意味著該設備的可用性越高；反之，則意味著該設備的可用性越差，發生誤動作停車或非計劃停工的概率就越高。

安全儀表的安全性和可用性主要通過冗余來實現。一般而言，典型的冗余結構包括“1oo1”“1oo2”“2oo2”“2oo3”。在SIS的設計和使用過程中，觸發元件(傳感器)、最終執行元件的冗余結構直接影響安全完整性等級和誤停車率。根據IEC 61511： 2016的要求，“1oo1”結構是可以應用于SIL 1和SIL 2的安全儀表功能(SIF)回路中，但是現場人員卻反映“1oo1”結構特別容易造成誤停車。為了系統地評估危險失效和安全失效對于“1oo1”結構的影響，本文定義了一種全新的“1oo1”馬爾可夫(Markov)模型，即增加AMO(automatic maintenance override)診斷模式，對該模型做了詳細和深入的研究，同時對如何整改“1oo1”結構的SIF回路也有重要的指導意義。

1 傳統冗余結構對比分析

1.1 要求時的平均失效概率

在IEC 61511： 2016中所述，電氣/電子/可編程電子的安全相關系統的安全功能的PFDavg是通過計算和組合提供安全功能的所有子系統在要求時的平均失效概率確定的，計算公式如式(1)所示：

PFDavg=PFDS+PFDL+PFDFE

(1)

式中：PFDS——觸發元件(傳感器)子系統要求時的平均失效概率；PFDL——邏輯子系統要求時的平均失效概率；PFDFE——最終執行元件子系統要求時的平均失效概率。

SIF 回路的PFD數值取決于未檢測到的危險失效率(λDU)、檢測周期(Ti)、共因失效(β)、診斷覆蓋率(CTi)、平均修復時間(MTTR)等因素。采用ISA 84.01提供的簡化方程式，對比分析典型冗余結構的安全性。方法一計算公式如式(2)～(5)所示：

(2)

(3)

2oo2：PFDavg=λDU×Ti

(4)

2oo3：PFDavg=(λDU)2×Ti

(5)

1.2 誤停車概率

誤停車的定義在各個標準和相關研究中都有不同的說法： ISA 84.01認為是裝置非計劃性的工藝停車，并給出了STR的簡化計算公式；但是在IEC 61508和IEC 61511： 2016里卻沒有給出STR的計算，只給出了安全失效的定義。本文采用ISA標準提供的簡化方程式，計算分析典型的冗余結構的STR。方法二計算公式如式(6)～(9)所示：

1oo1：STR=λS

(6)

1oo2：STR=2λS

(7)

(8)

(9)

計算整個SIF回路中的STRSIS如式(10)所示：

STRSIS=STRS+STRL+STRFE

(10)

式中：STRS——觸發元件(傳感器)子系統的誤停車率；STRL——邏輯子系統的誤停車率；STRFE——最終執行元件子系統的誤停車率。

1.3 冗余結構的對比分析

以ROSEMOUNT變送器3051為例，采用簡化方程法對比分析不同冗余結構的PFDavg和STR。假設Ti為1 a，MTTR為8 h，λS為8.4×10-8，λD為3.2×10-8。根據方法一和方法二的計算結果見表1所列。

表1 常規冗余結構的PFDavg和STR結算結果

根據表1的計算結果可得到常規冗余結構的安全性和可用性，見表2所列。

表2 常規冗余結構的安全性和可用性

因此，對單一元件(觸發元件或最終執行元件)進行計算，“2oo3”結構無論從安全性還是可用性都是最優的結構，是可以同時兼顧安全性和誤停車率的最佳選擇。但是從對整個SIF回路計算，結果還是如此嗎？

1.4 整個SIF回路的對比分析

以ROSEMOUNT變送器3051，Tricon系統和Fisher閥門為例，采用簡化方程法對比分析不同冗余結構的PFDavg和STR。假設Ti為1 a，MTTR為8 h，λS和λDU見表3所列。

表3 SIF回路中各個部件的失效率

根據方法一和方法二的公式，得到SIF回路變送器“1oo1”“2oo3”結構的計算結果見表4，表5所列。

表4 SIF回路變送器“1oo1”結構的計算結果

表5 SIF回路變送器“2oo3”結構的計算結果

因此，根據木桶原理可以得出結論，整個SIF回路的PFDavg和STR與檢測元件(變送器)沒有太大關系，主要還是受最終執行元件的影響。如果單純地認為將檢測元件改為“2oo3”的冗余結構就可以減少STR或增加裝置連續運行的時間是不可取的。

2 AMO診斷介紹

根據上述的結論，單純將所有“1oo1”結構的檢測元件都更改為“2oo3”結構，無法從根本上解決誤動作停車的問題。同時由于經濟問題，又不可能將“1oo1”結構的閥門更改為“2oo3”結構。因此，筆者根據以往海外項目的經驗，提出了一種AMO診斷方案。

AMO通過自帶的診斷功能可以識別出變送器的線路短路或斷路、自身故障等引起的停車聯鎖，系統會自動將該變送器處于AMO的旁路狀態，并以報警的形式通知操作工。必須經工藝工程師的確認和允許才可設置AMO功能，該AMO還需帶一個計數器功能，計數器的持續時間必須嚴格控制且不宜超過1 h，操作工應在1 h內對該變送器進行故障維修和確認。一旦超過1 h，該AMO功能馬上失效，系統會執行相應的停車動作。

3 基于AMO的“1oo1”建模的比較

3.1 “1oo1”原始的Markov模型

“1oo1”的原始Markov模型如圖1所示。

圖1 “1oo1”的原始Markov模型示意

原始的“1oo1” Markov模型的狀態轉移矩陣如式(11)所示：

(11)

式中：λSD——可檢測到的安全失效率；λSU——未檢測到的安全失效率；λDD——可檢測到的危險失效率；μ0——在線檢修的修復率;μSD——系統修復率。

3.2 帶AMO診斷的“1oo1”的Markov模型

帶AMO診斷的“1oo1”的Markov模型如圖2所示。

圖2 帶AMO診斷的“1oo1”的Markov模型示意

新增診斷失效狀態后，改進的Markov模型共有5個狀態。確定狀態間轉移概率前，需要明確診斷失效發生前，系統依然可以正常監測到安全失效和危險失效，可檢測到的危險失效可以及時被修復；當診斷失效發生后，不帶診斷電路的系統就無法監測到失效，未檢測到的危險失效只能依靠周期性的功能測試來進行檢測。由該模型可以得到從狀態0到2的失效率為(λSD+λSU)，從狀態0到3的失效率為λDD，從狀態0到1的診斷失效率為λP，從狀態0到4的失效率為λDU。因此從狀態1到2的失效率為(λSD+λSU)，從狀態1到4的失效率為λDU，由狀態1到3的失效率為λDD。

帶AMO診斷的“1oo1”的Markov模型的狀態轉移矩陣如式(12)所示：

(12)

3.3 兩個Markov模型對比

帶AMO診斷的“1oo1”的Markov模型的計算結果必然與原始模型有差別。假設3051變送器的在線檢修的平均維修時間為1個班次8 h，即TR=8，則在線檢修的修復率μ0=1/TR=1/8；一次無故障停車后系統重啟的時間為24 h，即TSD=24，則系統修復率μSD=1/TSD=1/24；功能測試周期為8 760 h，假設是理想狀態，即診斷覆蓋率CTi= 100%；同時假設在1個測試周期內系統達到極限狀態，3051變送器的失效數據見表6所列。

表6 Rosemount 3051變送器的失效數據

1)“1oo1”結構原始模型的狀態轉移矩陣如式(13)所示：

(13)

根據計算，PFDavg如式(14)所示：

PFDavg=S0P8 760VD=1.413 3×10-4

(14)

式中：S0——初始狀態矩陣，S0=[1 0 0 0];VD——危險失效矩陣，VD=[0 0 1 1]T。

將P矩陣中失效狀態的行和列截斷成Q矩陣，如式(15)所示：

(15)

然后用單位矩陣減去Q矩陣得到N矩陣，最后對矩陣N取逆，得到：

MTTF=3 448 279+7+7=3 448 292(h)，約為394 a。

2)帶診斷的“1oo1”結構模型的狀態轉移矩陣如式(16)所示：

(16)

根據計算，PFDavg=S0P8 760VD=1.4 118×10-4。

將P矩陣中失效狀態的行和列截斷成Q矩陣，如式(17)所示：

(17)

然后用單位矩陣減去Q矩陣得到N矩陣，最后對矩陣N取逆，得到：

MTTF=31 249 921+7+63+64=31 250 056(h)，約為3 567 a。

3)結果對比。對比兩個模型的計算結果，可以看出帶診斷的模型的MTTF值遠大于原始模型的結果，但是PFDavg值影響不大。因此，帶AMO診斷的“1oo1”結構的誤動作停車的概率會改善很多。

4 結 論

對于石化企業而言，誤動作停車造成的經濟損失必須考慮，同時在意外停工后重新啟動運行過程中也容易發生安全事故，因此在設計階段也應考慮SIF回路的STR。SIS的設計應遵循如下建議：

1)不建議盲目地將“1oo1”結構全部改為“2oo3”的冗余結構。如果是以下原因引起的誤停車，即使通過更改“2oo3”的結構，也是無法降低誤停車發生的概率。

a)未按照SIL要求的檢驗測試周期檢驗和測試儀表。

b)雷擊、電磁干擾、接地等原因引起的儀表信號故障。

c)SIS和BPCS共用一套觸發元件引起的故障停工。

d)測量管路或防護措施設計不合理引起的儀表測量故障。

e)由于設計、選型、安裝、調試和維護不當等原因引起的功能性故障。

f)由于公用工程(UPS供電系統、儀表風)等引起的儀表故障。

g)未按照變更管理執行或未執行變更后的安全完整性評估。

2)如果不受經濟條件限制，那么全部將“1oo1”結構的檢測回路都更改為“2oo3”結構的檢測回路，對于整個SIF回路的誤停車概率也會有所改善，或者將最終執行元件的冗余結構修改為“2oo3”的結構，將從根本上解決誤停車的問題。

3)在某些前提下，可以通過對檢測元件增加AMO診斷功能，也是可以減少誤停車概率的一種手段。組態實現儀表信號短路、斷路、異常(小于4 mA或大于20 mA)報警，出現這種情況不應馬上聯鎖停車，應經過操作工的判斷后才可以停車。

4)應完善SIS的管理制度，對能引發誤動作停車的現場關鍵儀表、閥門等設備進行特殊記錄，并設置能有效防止誤操作的措施，減少因業務不熟練導致的誤動作停車等。