安全儀表系統的可用性分析

王子洋

(中國石油化工股份有限公司 茂名分公司,廣東 茂名 525000)

安全儀表系統(SIS)包括安全聯鎖系統、緊急停車系統和有毒有害、可燃氣體及火災檢測保護系統等, SIS獨立于過程控制系統(例如分散控制系統等),生產正常時處于休眠或靜止狀態,一旦生產裝置或設施出現可能導致安全事故的情況時,能夠瞬間準確動作,使生產過程安全停止運行或自動導入預定的安全狀態。SIS必須有很高的可靠性(即功能安全)和規范的維護管理,如果SIS失效,往往會對資產帶來巨大的損失,甚至對于操作人員的人身安全帶來威脅。

SIS通常應用于石油、化工、核電等領域,設計中需要合理考慮設備的配置情況,以滿足不同應用對于系統安全性和可用性的要求。SIS的安全性是指,當生產工況發生異常時,系統保證生產過程和生產環境處于相對安全狀態的能力,可以通過安全完整性等級(SIL)衡量。SIS的可用性是指,在流程運行時能夠正常執行指定功能的概率[1],以系統故障后對業務的影響最小為目的,可以通過平均無誤停車的工作時間(MTTFspurious)和平均修復時間(MTTR)衡量,其中MTTFspurious通過誤停車率(STR)計算,MTTR一般包括四個部分: 故障檢測時間(MFDT)、維修前的準備和延遲時間、實際維修時間(MART)、維修后恢復運行前的管理延遲時間。MFDT和MART需要實際測試來確定,而對于維修前的準備和延遲時間以及管理延遲,需要結合供應商提供的現場運維水平估計。

當前對于SIS的安全性定級在IEC 61508: 2010Functionalsafetyofelectrical/electronic/programmableelectronicsafety-relatedsystems[2]和IEC 61511: 2016Functionalsafety:Safetyinstrumentedsystemsfortheprocessindustrysector[3]等標準中都有定量要求,相關驗算方式也已經十分成熟。但是對于STR,并沒有特定標準明確規定定量的等級,分析中更多是基于用戶的使用情況,通過編寫安全要求規格書(SRS)來要求各SIF回路的“允許最高停車率”。

SIS自身的故障會引起誤停車,誤停車本身不會引入危險工況,但是會直接導致生產工藝的中斷,帶來極其昂貴的生產成本[4]。本文通過可靠性框圖計算系統的STR,得出SIS的可用度的方法,并從冗余配置調整、可維護性設計等方面為SIS的可用性設計優化提供改進措施。

1 可用性概念

可用性的設計原則是: 工藝條件未達到安全極限值,SIS不應引導工藝過程停車,但由于生產裝置自身存在故障而導致工藝過程誤停,降低了可用性。

可用性是指SIS在一個給定的時間內能正確執行功能的概率,通常會定義MTTFspurious,MTTR,因此,可用性可以通過可用度(A)計算,如式(1)所示:

A=MTTFspurious/(MTTFspurious+MTTR)

(1)

1.1 可用性分析步驟

評估系統可用性之前,首先根據整體架構列出可用性分析的對象,明確系統的安全功能,分析導致系統不可用的失效因素,通過建模分析量化誤停車率,結合現場運維水平分析來評估可用性,確定是否有理由采取設計/額外措施來提高SIF可用性。可用性分析步驟如圖1所示。

圖1 可用性分析步驟示意

1.2 分析方法

系統可用性研究早期以簡單系統為主,系統組件較少,且部件與部件之間互相獨立,針對這一類系統的分析方法主要有可靠性框圖、故障樹分析(FTA)等,隨著現代工業發展,后續又推出了GO法、Markov法等[5]。常見的各類分析方法的對比見表1所列。

表1 系統可靠性分析方法對比

常見的分析方法主要分為定量分析和定性分析。定性分析方法更側重于從經驗和專家意見出發,通過對系統設計和操作方案進行討論和分析,提出可能存在的失效模式和潛在風險,并采取相應的措施進行預防或糾正,例如GO法等;定量分析方法利用數學和統計學對系統模型進行精確計算,得到系統性能指標的數值結果,例如可靠性框圖,蒙特卡羅模擬法,FTA,Markov和Petri等方法都是以數值計算為主要手段,可以得到定量的評估結果。本文主要通過定量的可靠性框圖分析方式進行計算。

2 可用性分析及計算

SIS可用性分析的關鍵在于對STR的計算,該指標可基于文獻[2]的FMEDA分析模型,確定與系統相關的基礎失效率數據,結合裝置生產實際及安全設施配置情況,利用可靠性框圖例化出SIF回路的組成,并綜合衡量現場運維水平的影響,參考文獻[1]計算出STR,最終計算出可用度,結合SRS的要求分析評價系統的可用性水平。最后,根據分析結論指導各SIF回路的硬件冗余配置、關鍵元器件的選型等設計,同時對于后續運行階段的測試覆蓋率、日常檢修策略提供指導性的建議。

SIF回路一般由三部分組成[6]: 傳感單元、邏輯處理單元和執行單元,任一單元的故障均可引起SIF回路誤動作,導致系統誤停車。

SIF回路的A計算應按照以下步驟:

1)細化SIF回路架構組成。實際分析中,SIF回路各組成單元需進一步細分,如傳感單元包括傳感器、安全柵、輸入端子板;邏輯處理單元包括輸入模塊IM、控制器模塊CM和輸出模塊OM;執行單元包含輸出端子板、電磁閥、球閥等。SIF回路的詳細架構示例組成如圖2所示,SIF回路各個組件的安全功能定義見表2所列。

2)SIF回路可靠性建模。基于實際SIF回路各組件的冗余配置情況,進行SIF回路可靠性框圖繪制,需列出SIS的各個部件,如圖3所示。

圖3 SIF回路可靠性框圖示意

3)SIF回路的A計算如下:

首先需基于文獻[1]計算SIF回路的∑STRSIS:

∑STRSIS=∑STRS+∑STRL+∑STRFE

(2)

式中: ∑STRS——從現場檢測元件至邏輯系統的傳感器子系統的STR;∑STRL——IO模塊、處理器等的邏輯子系統的STR;∑STRFE——最終執行元件子系統的STR。

其中,每個部件可基于部件架構進行單獨計算,公式如下:

對于表決架構為“1oo1”時:

STR=λS+λDD

(3)

對于表決架構為“1oo2”時:

STR=2(λS+λDD)+(λS+λDD)β

(4)

對于表決架構為“2oo2”時:

STR=2λS(λS+λDD)MTTR+(λS+λDD)β

(5)

對于表決架構為“2oo3”時:

STR=6λS(λS+λDD)MTTR+(λS+λDD)β

(6)

對于表決架構為“2oo4”時:

STR=12λS(λS+λDD)MTTR+(λS+λDD)β

(7)

式中:λS——安全失效率數據;λDD——危險可檢測的失效率數據,SIS單元、邏輯控制單元及執行單元的失效率數據通常可從設備供應商的SIL認證評估報告中獲取;β——共因失效因子,與冗余部件的差異性設計程度有關,通常可根據文獻[7]要求進行評估。

其次,需計算SIF回路的MTTFspurious:

(8)

最后,可基于式(1)計算SIF回路的A。

3 可用性提升

不同應用對于安全性和可用性的要求有所區分,設計中往往需要平衡二者的性能,對于不滿足可用性要求的子系統,可以通過調整系統配置情況優化SIF回路的失效率或者結合可維護性設計來提升指標。

1)子系統冗余配置調整。在SIS的設計中,對于需要外部干預的現場檢測儀表和執行單元的故障沒有穩定有效的處理措施,它們的失效同樣會導致裝置停車,因此可以考慮采取冗余配置措施來改進[8-9]。對于“1oo1”表決架構,由于自身故障裕度較低,實際應用中只能考慮降低自身的失效率來保證性能;對于“1oo2”表決架構,2個通道任一故障都會觸發聯鎖,可靠性較高但誤動作可能性也高,可用性較差;對于“2oo2”表決架構,降低了安全失效的概率但是增加了危險失效的概率,安全性較差;對于“2oo3”表決架構,只有3個通道中2個故障才會引起聯鎖,誤動作概率低,同樣也能有效降低未檢測故障帶來的風險。

因此,當需要通過調整子系統的冗余來改進可用性時,可參考表3的配置。對于高安全性和高可用性兼顧的應用,系統配置宜采用“2oo3”的冗余結構。

表3 安全性冗余結構和可用性冗余結構配置

2)可維護性設計。系統設計的可維護性對于可用性的優化至關重要,當需要對某個部件進行檢驗測試時,為了保證生產工藝的連續性,控制系統的設計可以考慮冗余的設計,在維護過程中支持在線更換,實現在線維護;同時也可以對現場儀表配置旁路開關,通過對指定維護對象進行旁路操作,隔離其對于現場回路的控制,保證此時系統處于降級運行但安全功能不受影響的狀態,當維護流程結束后,按照規程解除旁路,可以使系統恢復到“全新”的狀態。

4 可用性分析實踐

以某套具備SIL3等級認證的國產化SIS為例,在架構層面,為了能在高安全要求與高可用性要求之間取得最優平衡點,系統采用了單個模塊三重化表決架構(2oo3),可提供1個故障裕度,即一個通道失效時,保證系統安全功能正常。并且,采用五重故障表決隔離技術,包括輸入模塊采樣信號表決、控制器輸入數據表決、控制器輸出數據表決、輸出模塊輸出數據表決、輸出模塊輸出信號硬件表決,保證局部單一故障時不擴散。同時,設計了基于雙主冗余的系統模型以及三重化表決系統的降級模式,實現故障隔離區內仍達到三重故障容忍度,系統在故障發生的情況下可以在線更換故障部件,MTTR可小于4 h。該架構技術使系統實現了99.990%～99.999%的可用度,并在多重獨立故障發生的情況下,仍能持續保持SIL3等級安全完整性。

在實際應用中,采用該SIS構建SIF回路,該安全回路在設計時要求誤停車率應小于5年1次,可用度應大于99.990%。實際該回路傳感單元采用“2oo3”表決架構、輸出單元采用“1oo2”表決架構,該回路的可靠性框圖如圖3所示。該回路相關的部件的基礎失效率數據從供應商認證評估報告中獲得,見表4所列。

表4 SIF回路基礎失效率數據 h-1

該回路部件中,安全儀表系統故障檢測及在線更換的時間遠低于系統本身軟硬件的維修時間,因此計算中以用戶現場的運維水平評估得到MTTR按照4 h計算,而β基于文獻[7]評估為1%。綜上所述,SIF回路各部件的STR計算結果見表5所列。

表5 SIF回路各部件的STR h-1

基于式(2)計算SIF回路系統的∑STRSIS=1.49×10-5h-1,式(8)計算SIF回路的MTTFspurious=7.63 a=66 872.04 h,最后代入式(1)可得:A=MTTFspurious/(MTTFspurious+MTTR)=99.994%,滿足設計要求。

5 結束語

近年來,圍繞安全相關系統功能安全管理,從理論方法的研究、標準規范的建立,到實際安全系統的設計分析、實施、評估、認證都有許多研究和成果。本文闡述了可用性的分析和計算過程,以SIS構建的SIF回路為例進行可用性的量化計算和分析。結合子系統的冗余配置以及可維修性設計的角度,為設計階段對于硬件選型、系統配置以及后續的維護條件對于可用性的提升提供指導建議。