靳亞銘

(中國石化工程建設(shè)有限公司，北京 100101)

安全完整性技術(shù)是一種以安全儀表系統(tǒng)(SIS)為研究對象，以定量風(fēng)險分析為手段，通過對工藝危險性、設(shè)備可靠性和保護(hù)充分性的定量分析，識別和評估出SIS的安全完整性要求與能力的一種風(fēng)險分析方法。隨著SIS在石化行業(yè)中越來越廣泛的應(yīng)用，項目的安全設(shè)計也越來越受到重視，安全儀表完整性等級(SIL)也變得越來越重要。同時SIS作為石化行業(yè)安全的重要保障，安全儀表本身的安全性日益受到人們的關(guān)注。

SIS是典型的可修復(fù)的冗余系統(tǒng)，根據(jù)IEC 61511： 2016及ISA 84.00的規(guī)定，SIS有兩種最基本的失效模式，即危險失效模式和安全失效模式。

1)危險失效模式。危險失效率(λD)是可能將安全相關(guān)系統(tǒng)潛在地置于危險狀態(tài)或者功能失效狀態(tài)的失效。例如： 當(dāng)工藝操作發(fā)生波動時，正好一個壓力變送器發(fā)生故障，無法正常檢測到工藝狀態(tài)的波動，此時SIS更沒有及時觸發(fā)聯(lián)鎖動作，進(jìn)一步導(dǎo)致非常危險的事件發(fā)生。

危險失效可以用要求時的平均失效概率(PFDavg)計算表示。PFDavg越低，意味著該設(shè)備的安全性越高；反之，則意味著該設(shè)備的安全性越低，發(fā)生危險事故的概率越高。

2)安全失效模式。安全失效率(λS)是導(dǎo)致安全相關(guān)系統(tǒng)進(jìn)入安全狀態(tài)或者增大進(jìn)入安全狀態(tài)的概率。是指一個設(shè)備或者事物，即使在特定功能失效的條件下，也不會造成對人員或其他設(shè)備的傷害(或者將傷害最小化)，是安全系統(tǒng)的一部分。例如： 當(dāng)一個壓力變送器由于某種原因的信號干擾(工藝操作很正常)，導(dǎo)致其輸出信號大于20 mA，使SIS檢測到該變送器的高高報警，進(jìn)而觸發(fā)了聯(lián)鎖動作，導(dǎo)致了誤動作停車的發(fā)生。這種聯(lián)鎖動作雖然會造成誤動作停車，但是不會發(fā)生任何危險事件。

安全失效可以采用誤停車率(STR)或平均無故障時間(MTTF)計算表示。STR越低(或MTTF越長)，意味著該設(shè)備的可用性越高；反之，則意味著該設(shè)備的可用性越差，發(fā)生誤動作停車或非計劃停工的概率就越高。

安全儀表的安全性和可用性主要通過冗余來實現(xiàn)。一般而言，典型的冗余結(jié)構(gòu)包括“1oo1”“1oo2”“2oo2”“2oo3”。在SIS的設(shè)計和使用過程中，觸發(fā)元件(傳感器)、最終執(zhí)行元件的冗余結(jié)構(gòu)直接影響安全完整性等級和誤停車率。根據(jù)IEC 61511： 2016的要求，“1oo1”結(jié)構(gòu)是可以應(yīng)用于SIL 1和SIL 2的安全儀表功能(SIF)回路中，但是現(xiàn)場人員卻反映“1oo1”結(jié)構(gòu)特別容易造成誤停車。為了系統(tǒng)地評估危險失效和安全失效對于“1oo1”結(jié)構(gòu)的影響，本文定義了一種全新的“1oo1”馬爾可夫(Markov)模型，即增加AMO(automatic maintenance override)診斷模式，對該模型做了詳細(xì)和深入的研究，同時對如何整改“1oo1”結(jié)構(gòu)的SIF回路也有重要的指導(dǎo)意義。

1 傳統(tǒng)冗余結(jié)構(gòu)對比分析

1.1 要求時的平均失效概率

在IEC 61511： 2016中所述，電氣/電子/可編程電子的安全相關(guān)系統(tǒng)的安全功能的PFDavg是通過計算和組合提供安全功能的所有子系統(tǒng)在要求時的平均失效概率確定的，計算公式如式(1)所示：

PFDavg=PFDS+PFDL+PFDFE

(1)

式中：PFDS——觸發(fā)元件(傳感器)子系統(tǒng)要求時的平均失效概率；PFDL——邏輯子系統(tǒng)要求時的平均失效概率；PFDFE——最終執(zhí)行元件子系統(tǒng)要求時的平均失效概率。

SIF 回路的PFD數(shù)值取決于未檢測到的危險失效率(λDU)、檢測周期(Ti)、共因失效(β)、診斷覆蓋率(CTi)、平均修復(fù)時間(MTTR)等因素。采用ISA 84.01提供的簡化方程式，對比分析典型冗余結(jié)構(gòu)的安全性。方法一計算公式如式(2)～(5)所示：

(2)

(3)

2oo2：PFDavg=λDU×Ti

(4)

2oo3：PFDavg=(λDU)2×Ti

(5)

1.2 誤停車概率

誤停車的定義在各個標(biāo)準(zhǔn)和相關(guān)研究中都有不同的說法： ISA 84.01認(rèn)為是裝置非計劃性的工藝停車，并給出了STR的簡化計算公式；但是在IEC 61508和IEC 61511： 2016里卻沒有給出STR的計算，只給出了安全失效的定義。本文采用ISA標(biāo)準(zhǔn)提供的簡化方程式，計算分析典型的冗余結(jié)構(gòu)的STR。方法二計算公式如式(6)～(9)所示：

1oo1：STR=λS

(6)

1oo2：STR=2λS

(7)

(8)

(9)

計算整個SIF回路中的STRSIS如式(10)所示：

STRSIS=STRS+STRL+STRFE

(10)

式中：STRS——觸發(fā)元件(傳感器)子系統(tǒng)的誤停車率；STRL——邏輯子系統(tǒng)的誤停車率；STRFE——最終執(zhí)行元件子系統(tǒng)的誤停車率。

1.3 冗余結(jié)構(gòu)的對比分析

以ROSEMOUNT變送器3051為例，采用簡化方程法對比分析不同冗余結(jié)構(gòu)的PFDavg和STR。假設(shè)Ti為1 a，MTTR為8 h，λS為8.4×10-8，λD為3.2×10-8。根據(jù)方法一和方法二的計算結(jié)果見表1所列。

表1 常規(guī)冗余結(jié)構(gòu)的PFDavg和STR結(jié)算結(jié)果

根據(jù)表1的計算結(jié)果可得到常規(guī)冗余結(jié)構(gòu)的安全性和可用性，見表2所列。

表2 常規(guī)冗余結(jié)構(gòu)的安全性和可用性

因此，對單一元件(觸發(fā)元件或最終執(zhí)行元件)進(jìn)行計算，“2oo3”結(jié)構(gòu)無論從安全性還是可用性都是最優(yōu)的結(jié)構(gòu)，是可以同時兼顧安全性和誤停車率的最佳選擇。但是從對整個SIF回路計算，結(jié)果還是如此嗎？

1.4 整個SIF回路的對比分析

以ROSEMOUNT變送器3051，Tricon系統(tǒng)和Fisher閥門為例，采用簡化方程法對比分析不同冗余結(jié)構(gòu)的PFDavg和STR。假設(shè)Ti為1 a，MTTR為8 h，λS和λDU見表3所列。

表3 SIF回路中各個部件的失效率

根據(jù)方法一和方法二的公式，得到SIF回路變送器“1oo1”“2oo3”結(jié)構(gòu)的計算結(jié)果見表4，表5所列。

表4 SIF回路變送器“1oo1”結(jié)構(gòu)的計算結(jié)果

表5 SIF回路變送器“2oo3”結(jié)構(gòu)的計算結(jié)果

因此，根據(jù)木桶原理可以得出結(jié)論，整個SIF回路的PFDavg和STR與檢測元件(變送器)沒有太大關(guān)系，主要還是受最終執(zhí)行元件的影響。如果單純地認(rèn)為將檢測元件改為“2oo3”的冗余結(jié)構(gòu)就可以減少STR或增加裝置連續(xù)運行的時間是不可取的。

2 AMO診斷介紹

根據(jù)上述的結(jié)論，單純將所有“1oo1”結(jié)構(gòu)的檢測元件都更改為“2oo3”結(jié)構(gòu)，無法從根本上解決誤動作停車的問題。同時由于經(jīng)濟問題，又不可能將“1oo1”結(jié)構(gòu)的閥門更改為“2oo3”結(jié)構(gòu)。因此，筆者根據(jù)以往海外項目的經(jīng)驗，提出了一種AMO診斷方案。

AMO通過自帶的診斷功能可以識別出變送器的線路短路或斷路、自身故障等引起的停車聯(lián)鎖，系統(tǒng)會自動將該變送器處于AMO的旁路狀態(tài)，并以報警的形式通知操作工。必須經(jīng)工藝工程師的確認(rèn)和允許才可設(shè)置AMO功能，該AMO還需帶一個計數(shù)器功能，計數(shù)器的持續(xù)時間必須嚴(yán)格控制且不宜超過1 h，操作工應(yīng)在1 h內(nèi)對該變送器進(jìn)行故障維修和確認(rèn)。一旦超過1 h，該AMO功能馬上失效，系統(tǒng)會執(zhí)行相應(yīng)的停車動作。

3 基于AMO的“1oo1”建模的比較

3.1 “1oo1”原始的Markov模型

“1oo1”的原始Markov模型如圖1所示。

圖1 “1oo1”的原始Markov模型示意

原始的“1oo1” Markov模型的狀態(tài)轉(zhuǎn)移矩陣如式(11)所示：

(11)

式中：λSD——可檢測到的安全失效率；λSU——未檢測到的安全失效率；λDD——可檢測到的危險失效率；μ0——在線檢修的修復(fù)率;μSD——系統(tǒng)修復(fù)率。

3.2 帶AMO診斷的“1oo1”的Markov模型

帶AMO診斷的“1oo1”的Markov模型如圖2所示。

圖2 帶AMO診斷的“1oo1”的Markov模型示意

新增診斷失效狀態(tài)后，改進(jìn)的Markov模型共有5個狀態(tài)。確定狀態(tài)間轉(zhuǎn)移概率前，需要明確診斷失效發(fā)生前，系統(tǒng)依然可以正常監(jiān)測到安全失效和危險失效，可檢測到的危險失效可以及時被修復(fù)；當(dāng)診斷失效發(fā)生后，不帶診斷電路的系統(tǒng)就無法監(jiān)測到失效，未檢測到的危險失效只能依靠周期性的功能測試來進(jìn)行檢測。由該模型可以得到從狀態(tài)0到2的失效率為(λSD+λSU)，從狀態(tài)0到3的失效率為λDD，從狀態(tài)0到1的診斷失效率為λP，從狀態(tài)0到4的失效率為λDU。因此從狀態(tài)1到2的失效率為(λSD+λSU)，從狀態(tài)1到4的失效率為λDU，由狀態(tài)1到3的失效率為λDD。

帶AMO診斷的“1oo1”的Markov模型的狀態(tài)轉(zhuǎn)移矩陣如式(12)所示：

(12)

3.3 兩個Markov模型對比

帶AMO診斷的“1oo1”的Markov模型的計算結(jié)果必然與原始模型有差別。假設(shè)3051變送器的在線檢修的平均維修時間為1個班次8 h，即TR=8，則在線檢修的修復(fù)率μ0=1/TR=1/8；一次無故障停車后系統(tǒng)重啟的時間為24 h，即TSD=24，則系統(tǒng)修復(fù)率μSD=1/TSD=1/24；功能測試周期為8 760 h，假設(shè)是理想狀態(tài)，即診斷覆蓋率CTi= 100%；同時假設(shè)在1個測試周期內(nèi)系統(tǒng)達(dá)到極限狀態(tài)，3051變送器的失效數(shù)據(jù)見表6所列。

表6 Rosemount 3051變送器的失效數(shù)據(jù)

1)“1oo1”結(jié)構(gòu)原始模型的狀態(tài)轉(zhuǎn)移矩陣如式(13)所示：

(13)

根據(jù)計算，PFDavg如式(14)所示：

PFDavg=S0P8 760VD=1.413 3×10-4

(14)

式中：S0——初始狀態(tài)矩陣，S0=[1 0 0 0];VD——危險失效矩陣，VD=[0 0 1 1]T。

將P矩陣中失效狀態(tài)的行和列截斷成Q矩陣，如式(15)所示：

(15)

然后用單位矩陣減去Q矩陣得到N矩陣，最后對矩陣N取逆，得到：

MTTF=3 448 279+7+7=3 448 292(h)，約為394 a。

2)帶診斷的“1oo1”結(jié)構(gòu)模型的狀態(tài)轉(zhuǎn)移矩陣如式(16)所示：

(16)

根據(jù)計算，PFDavg=S0P8 760VD=1.4 118×10-4。

將P矩陣中失效狀態(tài)的行和列截斷成Q矩陣，如式(17)所示：

(17)

然后用單位矩陣減去Q矩陣得到N矩陣，最后對矩陣N取逆，得到：

MTTF=31 249 921+7+63+64=31 250 056(h)，約為3 567 a。

3)結(jié)果對比。對比兩個模型的計算結(jié)果，可以看出帶診斷的模型的MTTF值遠(yuǎn)大于原始模型的結(jié)果，但是PFDavg值影響不大。因此，帶AMO診斷的“1oo1”結(jié)構(gòu)的誤動作停車的概率會改善很多。

4 結(jié) 論

對于石化企業(yè)而言，誤動作停車造成的經(jīng)濟損失必須考慮，同時在意外停工后重新啟動運行過程中也容易發(fā)生安全事故，因此在設(shè)計階段也應(yīng)考慮SIF回路的STR。SIS的設(shè)計應(yīng)遵循如下建議：

1)不建議盲目地將“1oo1”結(jié)構(gòu)全部改為“2oo3”的冗余結(jié)構(gòu)。如果是以下原因引起的誤停車，即使通過更改“2oo3”的結(jié)構(gòu)，也是無法降低誤停車發(fā)生的概率。

a)未按照SIL要求的檢驗測試周期檢驗和測試儀表。

b)雷擊、電磁干擾、接地等原因引起的儀表信號故障。

c)SIS和BPCS共用一套觸發(fā)元件引起的故障停工。

d)測量管路或防護(hù)措施設(shè)計不合理引起的儀表測量故障。

e)由于設(shè)計、選型、安裝、調(diào)試和維護(hù)不當(dāng)?shù)仍蛞鸬墓δ苄怨收稀?/p>

f)由于公用工程(UPS供電系統(tǒng)、儀表風(fēng))等引起的儀表故障。

g)未按照變更管理執(zhí)行或未執(zhí)行變更后的安全完整性評估。

2)如果不受經(jīng)濟條件限制，那么全部將“1oo1”結(jié)構(gòu)的檢測回路都更改為“2oo3”結(jié)構(gòu)的檢測回路，對于整個SIF回路的誤停車概率也會有所改善，或者將最終執(zhí)行元件的冗余結(jié)構(gòu)修改為“2oo3”的結(jié)構(gòu)，將從根本上解決誤停車的問題。

3)在某些前提下，可以通過對檢測元件增加AMO診斷功能，也是可以減少誤停車概率的一種手段。組態(tài)實現(xiàn)儀表信號短路、斷路、異常(小于4 mA或大于20 mA)報警，出現(xiàn)這種情況不應(yīng)馬上聯(lián)鎖停車，應(yīng)經(jīng)過操作工的判斷后才可以停車。

4)應(yīng)完善SIS的管理制度，對能引發(fā)誤動作停車的現(xiàn)場關(guān)鍵儀表、閥門等設(shè)備進(jìn)行特殊記錄，并設(shè)置能有效防止誤操作的措施，減少因業(yè)務(wù)不熟練導(dǎo)致的誤動作停車等。