靳亞銘

(中國石化工程建設(shè)有限公司，北京 100101)

安全完整性技術(shù)是一種以安全儀表系統(tǒng)(SIS)為研究對(duì)象，以定量風(fēng)險(xiǎn)分析為手段，通過對(duì)工藝危險(xiǎn)性、設(shè)備可靠性和保護(hù)充分性的定量分析，識(shí)別和評(píng)估出SIS的安全完整性要求與能力的一種風(fēng)險(xiǎn)分析方法。隨著SIS在石化行業(yè)中越來越廣泛的應(yīng)用，項(xiàng)目的安全設(shè)計(jì)也越來越受到重視，安全儀表完整性等級(jí)(SIL)也變得越來越重要。同時(shí)SIS作為石化行業(yè)安全的重要保障，安全儀表本身的安全性日益受到人們的關(guān)注。

SIS是典型的可修復(fù)的冗余系統(tǒng)，根據(jù)IEC 61511： 2016及ISA 84.00的規(guī)定，SIS有兩種最基本的失效模式，即危險(xiǎn)失效模式和安全失效模式。

1)危險(xiǎn)失效模式。危險(xiǎn)失效率(λD)是可能將安全相關(guān)系統(tǒng)潛在地置于危險(xiǎn)狀態(tài)或者功能失效狀態(tài)的失效。例如： 當(dāng)工藝操作發(fā)生波動(dòng)時(shí)，正好一個(gè)壓力變送器發(fā)生故障，無法正常檢測(cè)到工藝狀態(tài)的波動(dòng)，此時(shí)SIS更沒有及時(shí)觸發(fā)聯(lián)鎖動(dòng)作，進(jìn)一步導(dǎo)致非常危險(xiǎn)的事件發(fā)生。

危險(xiǎn)失效可以用要求時(shí)的平均失效概率(PFDavg)計(jì)算表示。PFDavg越低，意味著該設(shè)備的安全性越高；反之，則意味著該設(shè)備的安全性越低，發(fā)生危險(xiǎn)事故的概率越高。

2)安全失效模式。安全失效率(λS)是導(dǎo)致安全相關(guān)系統(tǒng)進(jìn)入安全狀態(tài)或者增大進(jìn)入安全狀態(tài)的概率。是指一個(gè)設(shè)備或者事物，即使在特定功能失效的條件下，也不會(huì)造成對(duì)人員或其他設(shè)備的傷害(或者將傷害最小化)，是安全系統(tǒng)的一部分。例如： 當(dāng)一個(gè)壓力變送器由于某種原因的信號(hào)干擾(工藝操作很正常)，導(dǎo)致其輸出信號(hào)大于20 mA，使SIS檢測(cè)到該變送器的高高報(bào)警，進(jìn)而觸發(fā)了聯(lián)鎖動(dòng)作，導(dǎo)致了誤動(dòng)作停車的發(fā)生。這種聯(lián)鎖動(dòng)作雖然會(huì)造成誤動(dòng)作停車，但是不會(huì)發(fā)生任何危險(xiǎn)事件。

安全失效可以采用誤停車率(STR)或平均無故障時(shí)間(MTTF)計(jì)算表示。STR越低(或MTTF越長)，意味著該設(shè)備的可用性越高；反之，則意味著該設(shè)備的可用性越差，發(fā)生誤動(dòng)作停車或非計(jì)劃停工的概率就越高。

安全儀表的安全性和可用性主要通過冗余來實(shí)現(xiàn)。一般而言，典型的冗余結(jié)構(gòu)包括“1oo1”“1oo2”“2oo2”“2oo3”。在SIS的設(shè)計(jì)和使用過程中，觸發(fā)元件(傳感器)、最終執(zhí)行元件的冗余結(jié)構(gòu)直接影響安全完整性等級(jí)和誤停車率。根據(jù)IEC 61511： 2016的要求，“1oo1”結(jié)構(gòu)是可以應(yīng)用于SIL 1和SIL 2的安全儀表功能(SIF)回路中，但是現(xiàn)場(chǎng)人員卻反映“1oo1”結(jié)構(gòu)特別容易造成誤停車。為了系統(tǒng)地評(píng)估危險(xiǎn)失效和安全失效對(duì)于“1oo1”結(jié)構(gòu)的影響，本文定義了一種全新的“1oo1”馬爾可夫(Markov)模型，即增加AMO(automatic maintenance override)診斷模式，對(duì)該模型做了詳細(xì)和深入的研究，同時(shí)對(duì)如何整改“1oo1”結(jié)構(gòu)的SIF回路也有重要的指導(dǎo)意義。

1 傳統(tǒng)冗余結(jié)構(gòu)對(duì)比分析

1.1 要求時(shí)的平均失效概率

在IEC 61511： 2016中所述，電氣/電子/可編程電子的安全相關(guān)系統(tǒng)的安全功能的PFDavg是通過計(jì)算和組合提供安全功能的所有子系統(tǒng)在要求時(shí)的平均失效概率確定的，計(jì)算公式如式(1)所示：

PFDavg=PFDS+PFDL+PFDFE

(1)

式中：PFDS——觸發(fā)元件(傳感器)子系統(tǒng)要求時(shí)的平均失效概率；PFDL——邏輯子系統(tǒng)要求時(shí)的平均失效概率；PFDFE——最終執(zhí)行元件子系統(tǒng)要求時(shí)的平均失效概率。

SIF 回路的PFD數(shù)值取決于未檢測(cè)到的危險(xiǎn)失效率(λDU)、檢測(cè)周期(Ti)、共因失效(β)、診斷覆蓋率(CTi)、平均修復(fù)時(shí)間(MTTR)等因素。采用ISA 84.01提供的簡(jiǎn)化方程式，對(duì)比分析典型冗余結(jié)構(gòu)的安全性。方法一計(jì)算公式如式(2)～(5)所示：

(2)

(3)

2oo2：PFDavg=λDU×Ti

(4)

2oo3：PFDavg=(λDU)2×Ti

(5)

1.2 誤停車概率

誤停車的定義在各個(gè)標(biāo)準(zhǔn)和相關(guān)研究中都有不同的說法： ISA 84.01認(rèn)為是裝置非計(jì)劃性的工藝停車，并給出了STR的簡(jiǎn)化計(jì)算公式；但是在IEC 61508和IEC 61511： 2016里卻沒有給出STR的計(jì)算，只給出了安全失效的定義。本文采用ISA標(biāo)準(zhǔn)提供的簡(jiǎn)化方程式，計(jì)算分析典型的冗余結(jié)構(gòu)的STR。方法二計(jì)算公式如式(6)～(9)所示：

1oo1：STR=λS

(6)

1oo2：STR=2λS

(7)

(8)

(9)

計(jì)算整個(gè)SIF回路中的STRSIS如式(10)所示：

STRSIS=STRS+STRL+STRFE

(10)

式中：STRS——觸發(fā)元件(傳感器)子系統(tǒng)的誤停車率；STRL——邏輯子系統(tǒng)的誤停車率；STRFE——最終執(zhí)行元件子系統(tǒng)的誤停車率。

1.3 冗余結(jié)構(gòu)的對(duì)比分析

以ROSEMOUNT變送器3051為例，采用簡(jiǎn)化方程法對(duì)比分析不同冗余結(jié)構(gòu)的PFDavg和STR。假設(shè)Ti為1 a，MTTR為8 h，λS為8.4×10-8，λD為3.2×10-8。根據(jù)方法一和方法二的計(jì)算結(jié)果見表1所列。

表1 常規(guī)冗余結(jié)構(gòu)的PFDavg和STR結(jié)算結(jié)果

根據(jù)表1的計(jì)算結(jié)果可得到常規(guī)冗余結(jié)構(gòu)的安全性和可用性，見表2所列。

表2 常規(guī)冗余結(jié)構(gòu)的安全性和可用性

因此，對(duì)單一元件(觸發(fā)元件或最終執(zhí)行元件)進(jìn)行計(jì)算，“2oo3”結(jié)構(gòu)無論從安全性還是可用性都是最優(yōu)的結(jié)構(gòu)，是可以同時(shí)兼顧安全性和誤停車率的最佳選擇。但是從對(duì)整個(gè)SIF回路計(jì)算，結(jié)果還是如此嗎？

1.4 整個(gè)SIF回路的對(duì)比分析

以ROSEMOUNT變送器3051，Tricon系統(tǒng)和Fisher閥門為例，采用簡(jiǎn)化方程法對(duì)比分析不同冗余結(jié)構(gòu)的PFDavg和STR。假設(shè)Ti為1 a，MTTR為8 h，λS和λDU見表3所列。

表3 SIF回路中各個(gè)部件的失效率

根據(jù)方法一和方法二的公式，得到SIF回路變送器“1oo1”“2oo3”結(jié)構(gòu)的計(jì)算結(jié)果見表4，表5所列。

表4 SIF回路變送器“1oo1”結(jié)構(gòu)的計(jì)算結(jié)果

表5 SIF回路變送器“2oo3”結(jié)構(gòu)的計(jì)算結(jié)果

因此，根據(jù)木桶原理可以得出結(jié)論，整個(gè)SIF回路的PFDavg和STR與檢測(cè)元件(變送器)沒有太大關(guān)系，主要還是受最終執(zhí)行元件的影響。如果單純地認(rèn)為將檢測(cè)元件改為“2oo3”的冗余結(jié)構(gòu)就可以減少STR或增加裝置連續(xù)運(yùn)行的時(shí)間是不可取的。

2 AMO診斷介紹

根據(jù)上述的結(jié)論，單純將所有“1oo1”結(jié)構(gòu)的檢測(cè)元件都更改為“2oo3”結(jié)構(gòu)，無法從根本上解決誤動(dòng)作停車的問題。同時(shí)由于經(jīng)濟(jì)問題，又不可能將“1oo1”結(jié)構(gòu)的閥門更改為“2oo3”結(jié)構(gòu)。因此，筆者根據(jù)以往海外項(xiàng)目的經(jīng)驗(yàn)，提出了一種AMO診斷方案。

AMO通過自帶的診斷功能可以識(shí)別出變送器的線路短路或斷路、自身故障等引起的停車聯(lián)鎖，系統(tǒng)會(huì)自動(dòng)將該變送器處于AMO的旁路狀態(tài)，并以報(bào)警的形式通知操作工。必須經(jīng)工藝工程師的確認(rèn)和允許才可設(shè)置AMO功能，該AMO還需帶一個(gè)計(jì)數(shù)器功能，計(jì)數(shù)器的持續(xù)時(shí)間必須嚴(yán)格控制且不宜超過1 h，操作工應(yīng)在1 h內(nèi)對(duì)該變送器進(jìn)行故障維修和確認(rèn)。一旦超過1 h，該AMO功能馬上失效，系統(tǒng)會(huì)執(zhí)行相應(yīng)的停車動(dòng)作。

3 基于AMO的“1oo1”建模的比較

3.1 “1oo1”原始的Markov模型

“1oo1”的原始Markov模型如圖1所示。

圖1 “1oo1”的原始Markov模型示意

原始的“1oo1” Markov模型的狀態(tài)轉(zhuǎn)移矩陣如式(11)所示：

(11)

式中：λSD——可檢測(cè)到的安全失效率；λSU——未檢測(cè)到的安全失效率；λDD——可檢測(cè)到的危險(xiǎn)失效率；μ0——在線檢修的修復(fù)率;μSD——系統(tǒng)修復(fù)率。

3.2 帶AMO診斷的“1oo1”的Markov模型

帶AMO診斷的“1oo1”的Markov模型如圖2所示。

圖2 帶AMO診斷的“1oo1”的Markov模型示意

新增診斷失效狀態(tài)后，改進(jìn)的Markov模型共有5個(gè)狀態(tài)。確定狀態(tài)間轉(zhuǎn)移概率前，需要明確診斷失效發(fā)生前，系統(tǒng)依然可以正常監(jiān)測(cè)到安全失效和危險(xiǎn)失效，可檢測(cè)到的危險(xiǎn)失效可以及時(shí)被修復(fù)；當(dāng)診斷失效發(fā)生后，不帶診斷電路的系統(tǒng)就無法監(jiān)測(cè)到失效，未檢測(cè)到的危險(xiǎn)失效只能依靠周期性的功能測(cè)試來進(jìn)行檢測(cè)。由該模型可以得到從狀態(tài)0到2的失效率為(λSD+λSU)，從狀態(tài)0到3的失效率為λDD，從狀態(tài)0到1的診斷失效率為λP，從狀態(tài)0到4的失效率為λDU。因此從狀態(tài)1到2的失效率為(λSD+λSU)，從狀態(tài)1到4的失效率為λDU，由狀態(tài)1到3的失效率為λDD。

帶AMO診斷的“1oo1”的Markov模型的狀態(tài)轉(zhuǎn)移矩陣如式(12)所示：

(12)

3.3 兩個(gè)Markov模型對(duì)比

帶AMO診斷的“1oo1”的Markov模型的計(jì)算結(jié)果必然與原始模型有差別。假設(shè)3051變送器的在線檢修的平均維修時(shí)間為1個(gè)班次8 h，即TR=8，則在線檢修的修復(fù)率μ0=1/TR=1/8；一次無故障停車后系統(tǒng)重啟的時(shí)間為24 h，即TSD=24，則系統(tǒng)修復(fù)率μSD=1/TSD=1/24；功能測(cè)試周期為8 760 h，假設(shè)是理想狀態(tài)，即診斷覆蓋率CTi= 100%；同時(shí)假設(shè)在1個(gè)測(cè)試周期內(nèi)系統(tǒng)達(dá)到極限狀態(tài)，3051變送器的失效數(shù)據(jù)見表6所列。

表6 Rosemount 3051變送器的失效數(shù)據(jù)

1)“1oo1”結(jié)構(gòu)原始模型的狀態(tài)轉(zhuǎn)移矩陣如式(13)所示：

(13)

根據(jù)計(jì)算，PFDavg如式(14)所示：

PFDavg=S0P8 760VD=1.413 3×10-4

(14)

式中：S0——初始狀態(tài)矩陣，S0=[1 0 0 0];VD——危險(xiǎn)失效矩陣，VD=[0 0 1 1]T。

將P矩陣中失效狀態(tài)的行和列截?cái)喑蒕矩陣，如式(15)所示：

(15)

然后用單位矩陣減去Q矩陣得到N矩陣，最后對(duì)矩陣N取逆，得到：

MTTF=3 448 279+7+7=3 448 292(h)，約為394 a。

2)帶診斷的“1oo1”結(jié)構(gòu)模型的狀態(tài)轉(zhuǎn)移矩陣如式(16)所示：

(16)

根據(jù)計(jì)算，PFDavg=S0P8 760VD=1.4 118×10-4。

將P矩陣中失效狀態(tài)的行和列截?cái)喑蒕矩陣，如式(17)所示：

(17)

然后用單位矩陣減去Q矩陣得到N矩陣，最后對(duì)矩陣N取逆，得到：

MTTF=31 249 921+7+63+64=31 250 056(h)，約為3 567 a。

3)結(jié)果對(duì)比。對(duì)比兩個(gè)模型的計(jì)算結(jié)果，可以看出帶診斷的模型的MTTF值遠(yuǎn)大于原始模型的結(jié)果，但是PFDavg值影響不大。因此，帶AMO診斷的“1oo1”結(jié)構(gòu)的誤動(dòng)作停車的概率會(huì)改善很多。

4 結(jié) 論

對(duì)于石化企業(yè)而言，誤動(dòng)作停車造成的經(jīng)濟(jì)損失必須考慮，同時(shí)在意外停工后重新啟動(dòng)運(yùn)行過程中也容易發(fā)生安全事故，因此在設(shè)計(jì)階段也應(yīng)考慮SIF回路的STR。SIS的設(shè)計(jì)應(yīng)遵循如下建議：

1)不建議盲目地將“1oo1”結(jié)構(gòu)全部改為“2oo3”的冗余結(jié)構(gòu)。如果是以下原因引起的誤停車，即使通過更改“2oo3”的結(jié)構(gòu)，也是無法降低誤停車發(fā)生的概率。

a)未按照SIL要求的檢驗(yàn)測(cè)試周期檢驗(yàn)和測(cè)試儀表。

b)雷擊、電磁干擾、接地等原因引起的儀表信號(hào)故障。

c)SIS和BPCS共用一套觸發(fā)元件引起的故障停工。

d)測(cè)量管路或防護(hù)措施設(shè)計(jì)不合理引起的儀表測(cè)量故障。

e)由于設(shè)計(jì)、選型、安裝、調(diào)試和維護(hù)不當(dāng)?shù)仍蛞鸬墓δ苄怨收稀?/p>

f)由于公用工程(UPS供電系統(tǒng)、儀表風(fēng))等引起的儀表故障。

g)未按照變更管理執(zhí)行或未執(zhí)行變更后的安全完整性評(píng)估。

2)如果不受經(jīng)濟(jì)條件限制，那么全部將“1oo1”結(jié)構(gòu)的檢測(cè)回路都更改為“2oo3”結(jié)構(gòu)的檢測(cè)回路，對(duì)于整個(gè)SIF回路的誤停車概率也會(huì)有所改善，或者將最終執(zhí)行元件的冗余結(jié)構(gòu)修改為“2oo3”的結(jié)構(gòu)，將從根本上解決誤停車的問題。

3)在某些前提下，可以通過對(duì)檢測(cè)元件增加AMO診斷功能，也是可以減少誤停車概率的一種手段。組態(tài)實(shí)現(xiàn)儀表信號(hào)短路、斷路、異常(小于4 mA或大于20 mA)報(bào)警，出現(xiàn)這種情況不應(yīng)馬上聯(lián)鎖停車，應(yīng)經(jīng)過操作工的判斷后才可以停車。

4)應(yīng)完善SIS的管理制度，對(duì)能引發(fā)誤動(dòng)作停車的現(xiàn)場(chǎng)關(guān)鍵儀表、閥門等設(shè)備進(jìn)行特殊記錄，并設(shè)置能有效防止誤操作的措施，減少因業(yè)務(wù)不熟練導(dǎo)致的誤動(dòng)作停車等。