閔祥紅，謝騰騰，王繼光

（1.山東魯新設(shè)計工程有限公司，濟南 250101；2.中海油石化工程有限責(zé)任公司，濟南 250101 3.山東實華天然氣有限公司，山東 青島 266071）

0 引言

在石油化工、精細和醫(yī)藥化工、LNG 工程設(shè)計項目中，根據(jù)規(guī)范、規(guī)定、法令以及按照SIL 定級報告，對不同安全儀表功能的安全完整性等級要求，并結(jié)合業(yè)主要求，對安全儀表功能結(jié)構(gòu)進行設(shè)計。根據(jù)GBT/50770-2013《石油化工安全儀表設(shè)計規(guī)范》對子系統(tǒng)冗余要求，結(jié)合IEC61508-2010 和IEC61511-2016 最小故障裕度要求，SIL2 及以上安全儀表功能測量儀表、邏輯控制器，及最終執(zhí)行元件子系統(tǒng)通常采用冗余設(shè)計。工程設(shè)計中經(jīng)常遇到冗余子系統(tǒng)，當(dāng)一臺或多臺設(shè)備發(fā)生故障時，邏輯如何執(zhí)行的問題。本文根據(jù)馬爾科夫模型計算，結(jié)合規(guī)范要求，討論了安全儀表功能子系統(tǒng)一臺或多臺設(shè)備發(fā)生故障時，聯(lián)鎖如何觸發(fā)，并給出了多種方案。邏輯控制器冗余邏輯一般由控制系統(tǒng)產(chǎn)品本身確定，當(dāng)發(fā)生故障時會根據(jù)自身邏輯進行判斷處理，本文不再討論[1-4]。

1 數(shù)學(xué)模型建立

GBT/50770-2013 中定義冗余為采用獨立執(zhí)行同一個功能的兩個部件或系統(tǒng)，互為備用及切換。IEC61511 指出，安全儀表功能各個子系統(tǒng)冗余結(jié)構(gòu)為同種結(jié)構(gòu)冗余或者異種結(jié)構(gòu)冗余，異種結(jié)構(gòu)冗余可以減小共因失效。在實際工程設(shè)計中這兩種情況經(jīng)常遇到，例如某再冷凝器去高壓泵管線上的溫度2oo3 和壓力2oo3 的同種結(jié)構(gòu)冗余；某液化烴球罐的伺服、雷達和外貼超聲波的2oo3 的異種結(jié)構(gòu)冗余[5-8]。

1.1 同種結(jié)構(gòu)冗余故障分析及計算

假設(shè)整個SIF 為SIL2，傳感器為B 類設(shè)備硬件結(jié)構(gòu)為2oo3，控制器為B 類設(shè)備硬件結(jié)構(gòu)為1oo2D，最終執(zhí)行元件為A 類設(shè)備硬件結(jié)構(gòu)為1oo2，設(shè)計符合GB/T 20438 和GB/T 50770 要求。當(dāng)β=0.1，計算數(shù)據(jù)見表1。

表1 同種冗余結(jié)構(gòu)在發(fā)生危險失效概率和安全失效概率Table 1 Dangerous failure probability and safety failure probability of the same redundant structure

根據(jù)表1，得出如下結(jié)論：

1）關(guān)鍵可靠性參數(shù)危險失效概率PFDavg 排序：2oo2＞1oo1＞2oo3＞1oo2＞1oo3。

2）關(guān)鍵可用性參數(shù)安全失效概率PFS 排序：1oo3＞1oo2＞1oo1＞2oo3＞2oo2。

1.2 儀表發(fā)生故障執(zhí)行邏輯分析

根據(jù)1.1 計算結(jié)論，以某安全儀表系統(tǒng)安全儀表功能中2oo3 測量儀表子系統(tǒng)為例，對一臺儀表發(fā)生故障、二臺儀表發(fā)生故障、三臺儀表發(fā)生故障子系統(tǒng)邏輯執(zhí)行情況逐條分析。

1.2.1 一臺儀表發(fā)生故障

a）當(dāng)儀表發(fā)生未檢測到的安全失效時，即：儀表發(fā)生故障時，該故障導(dǎo)致儀表輸出信號為低電平（假設(shè)觸發(fā)聯(lián)鎖），無故障報警，假設(shè)直到檢修周期才修復(fù)。若不做邏輯處理，則實際2oo3 變?yōu)?oo2，根據(jù)1 結(jié)論，該故障提高了系統(tǒng)的安全性，但是增加了誤停車率。

b）當(dāng)儀表發(fā)生檢測到的安全失效時，即：儀表發(fā)生故障時，該故障導(dǎo)致儀表輸出信號為低電平（假設(shè)觸發(fā)聯(lián)鎖），儀表本身有故障報警，假設(shè)功能安全工程師沒有在規(guī)定時間完成有效修復(fù)，直到檢修周期才修復(fù)。若不做邏輯處理，則實際2oo3 變?yōu)?oo2，根據(jù)1.1 結(jié)論，該故障提高了系統(tǒng)的安全性，但是增加了誤停車率。可以根據(jù)安全性和誤停車率需求做進一步邏輯優(yōu)化，處理報警。

c）當(dāng)儀表發(fā)生檢測到的危險失效時，即：該故障導(dǎo)致輸出信號為高電平（不觸發(fā)聯(lián)鎖），假設(shè)故障有報警，假設(shè)功能安全工程師沒有在規(guī)定時間完成有效修復(fù)，直到檢修周期才修復(fù)。若不做邏輯處理，實則降低到2oo2。根據(jù)1結(jié)論，該故障降低了系統(tǒng)的安全性，但是降低了誤停車率?？梢愿鶕?jù)安全性和誤停車率需求做進一步邏輯優(yōu)化，處理報警。

d）當(dāng)儀表發(fā)生未檢測到的危險失效時，即：該故障導(dǎo)致輸出信號為高電平（不觸發(fā)聯(lián)鎖），無故障報警，假設(shè)直到檢修周期才修復(fù)。實則降低到2oo2，根據(jù)1.1 結(jié)論，該故障降低系統(tǒng)的安全性，但是降低了誤停車率，該情況需要進一步判斷是否滿足結(jié)構(gòu)冗余、要求失效概率的要求。

1.2.2 兩臺儀表發(fā)生故障

a）假設(shè)第一臺儀表故障滿足1.2.1 a）或1.2.1 b），第二臺儀表發(fā)生未檢測到的安全失效時，觸發(fā)聯(lián)鎖兩臺最終執(zhí)行元件動作。根據(jù)1 結(jié)論，該故障提高了系統(tǒng)的安全性，但是導(dǎo)致誤停車。

b）假設(shè)第一臺儀表故障滿足1.2.1 c），第二臺儀表發(fā)生未檢測到的安全失效時，假設(shè)功能安全工程師沒有在規(guī)定時間完成有效修復(fù)，直到檢修周期才修復(fù)。若不做邏輯處理，實則降低到1oo1，根據(jù)1.1 結(jié)論，該故障降低了系統(tǒng)的安全性，增加了誤停車率?？梢愿鶕?jù)安全性和誤停車率需求做進一步邏輯優(yōu)化，處理報警。

c）假設(shè)第一臺儀表故障滿足1.2.1 d），第二臺儀表發(fā)生未檢測到的安全失效時，假設(shè)直到檢修周期才修復(fù)。實則降低到1oo1，根據(jù)1.1 結(jié)論，該故障降低了系統(tǒng)的安全性，增加了誤停車率，該情況需要進一步判斷是否滿足結(jié)構(gòu)冗余、要求失效概率的要求。

d）假設(shè)第一臺儀表故障滿足1.2.1 a）或1.2.1 b），第二臺儀表發(fā)生檢測到的安全失效時，觸發(fā)聯(lián)鎖兩臺最終執(zhí)行元件動作。根據(jù)1.1 結(jié)論，該故障提高了系統(tǒng)的安全性，但是導(dǎo)致誤停車。

e）假設(shè)第一臺儀表故障滿足1.2.1 c），第二臺儀表發(fā)生檢測到的安全失效時，假設(shè)功能安全工程師沒有在規(guī)定時間完成有效修復(fù)，直到檢修周期才修復(fù)。若不做邏輯處理，實則降低到1oo1，根據(jù)1.1 結(jié)論，該故障降低了系統(tǒng)的安全性，增加了誤停車率?？梢愿鶕?jù)安全性和誤停車率需求做進一步邏輯優(yōu)化，處理報警。

f）假設(shè)第一臺儀表故障滿足1.2.1 d），第二臺儀表發(fā)生檢測到的安全失效時，實則降低到1oo1，根據(jù)1.1結(jié)論，該故障降低了系統(tǒng)的安全性，增加了誤停車率，該情況需要進一步判斷是否滿足結(jié)構(gòu)冗余、要求失效概率的要求。

g）假設(shè)第一臺儀表故障滿足1.2.1 a）或1.2.1 b），第二臺儀表發(fā)生檢測到的危險失效時，設(shè)功能安全工程師沒有在規(guī)定時間完成有效修復(fù)，直到檢修周期才修復(fù)。若不做邏輯處理，實則降低到1oo1，根據(jù)1.1 結(jié)論，該故障降低了系統(tǒng)的安全性，增加了誤停車率?？梢愿鶕?jù)安全性和誤停車率需求做進一步邏輯優(yōu)化，處理報警。

h）假設(shè)第一臺儀表故障滿足1.2.1 c），第二臺儀表發(fā)生檢測到的危險失效，該情況需要增加邏輯，若功能安全工程師沒有在規(guī)定時間完成有效修復(fù)，則強制觸發(fā)聯(lián)鎖兩臺最終執(zhí)行元件動作。

i）假設(shè)第一臺儀表故障滿足1.2.1 d），第二臺儀表發(fā)生檢測到的危險失效時，該情況需要增加邏輯，若功能安全工程師沒有在規(guī)定時間完成有效修復(fù)，則邏輯實現(xiàn)第二臺變送器輸出為觸發(fā)邏輯。實則降低到1oo1，根據(jù)1.1結(jié)論，該故障降低了系統(tǒng)的安全性，增加了誤停車率。可以根據(jù)安全性和誤停車率需求做進一步邏輯優(yōu)化，處理報警。

j）假設(shè)第一臺儀表故障滿足1.2.1 a）或1.2.1 b），第二臺儀表發(fā)生未檢測到的危險失效，設(shè)功能安全工程師沒有在規(guī)定時間完成有效修復(fù)，直到檢修周期才修復(fù)。若不做邏輯處理，實則降低到1oo1，根據(jù)1.1 結(jié)論，該故障降低了系統(tǒng)的安全性，增加了誤停車率?？梢愿鶕?jù)安全性和誤停車率需求做進一步邏輯優(yōu)化，處理報警。

k）假設(shè)第一臺儀表故障滿足1.2.1 c），第二臺儀表發(fā)生未檢測到的危險失效，則邏輯實現(xiàn)第一臺變送器輸出為觸發(fā)邏輯。實則降低到1oo1，根據(jù)1.1 結(jié)論，該故障降低系統(tǒng)的安全性，增加了誤停車率?？梢愿鶕?jù)安全性和誤停車率需求做進一步邏輯優(yōu)化，處理報警。

l）假設(shè)第一臺儀表故障滿足1.2.1 d），第二臺儀表發(fā)生未檢測到的危險失效時，該情況需要進一步判斷是否滿足結(jié)構(gòu)冗余、要求失效概率的要求。

1.2.3 3臺儀表發(fā)生故障

當(dāng)?shù)? 臺發(fā)生未檢測到的安全失效時，其他兩塊表故障應(yīng)滿足1.2.2 b）或1.2.2 c）或1.2.2 d）其中一臺低電平輸出，則觸發(fā)聯(lián)鎖兩臺最終執(zhí)行元件動作。

當(dāng)?shù)? 臺發(fā)生檢測到的安全失效時，其他兩塊表故障應(yīng)滿足1.2.2 b）或1.2.2 c）或1.2.2 d）其中一臺低電平輸出，則觸發(fā)聯(lián)鎖兩臺最終執(zhí)行元件動作。

當(dāng)?shù)? 臺發(fā)生檢測到的危險失效時，其他兩塊表故障應(yīng)滿足1.2.2 b）或1.2.2 c）或1.2.2 d）其中一臺低電平輸出，該情況需要增加邏輯，若功能安全工程師沒有在規(guī)定時間完成有效修復(fù)，則強制觸發(fā)聯(lián)鎖兩臺最終執(zhí)行元件動作。

當(dāng)?shù)? 臺發(fā)生未檢測到的危險失效時，其他兩塊表故障應(yīng)滿足1.2.2 b）或1.2.2 c）或1.2.2 d）其中一臺低電平輸出，該情況需要進一步判斷是否滿足結(jié)構(gòu)冗余、要求失效概率的要求。

當(dāng)?shù)? 臺發(fā)生未檢測到的安全失效時，其他兩塊表故障應(yīng)滿足1.2.2 b）或1.2.2 c）或1.2.2 d）輸出高電平，該情況需要進一步判斷是否滿足結(jié)構(gòu)冗余、要求失效概率的要求。

當(dāng)?shù)? 臺發(fā)生檢測到的安全失效時，其他兩塊表故障應(yīng)滿足1.2.2 b）或1.2.2 c）或1.2.2 d）輸出高電平，該情況需要進一步判斷是否滿足結(jié)構(gòu)冗余、要求失效概率的要求。

當(dāng)?shù)? 臺發(fā)生檢測到的危險失效時，其他兩塊表故障應(yīng)滿足1.2.2 b）或1.2.2 c）或1.2.2 d）輸出高電平，該情況需要進一步判斷是否滿足結(jié)構(gòu)冗余、要求失效概率的要求。

當(dāng)?shù)? 臺發(fā)生未檢測到的危險失效時，輸出高電平，該情況需要進一步判斷是否滿足結(jié)構(gòu)冗余、要求失效概率的要求。

多選二以此類推。

1.3 異種結(jié)構(gòu)冗余的計算

通過馬爾科夫模型與可靠性框圖模型的硬件失效評估研究建模方法，在充分考慮共因失效因子后，同樣適用。假設(shè)β 由0.1 降低到0.02，計算結(jié)論如下：

1）關(guān)鍵可靠性參數(shù)危險失效概率PFDavg 排序：2oo2＞1oo1＞2oo3＞1oo2＞1oo3。

2）關(guān)鍵可用性參數(shù)安全失效概率PFS 排序：1oo3＞1oo2＞1oo1＞2oo3＞2oo2。

異種結(jié)構(gòu)冗余與同種結(jié)構(gòu)冗余排序相同，分析也相同，不在贅述。

2 結(jié)論

1）2oo2 表決安全性最低，安全失效概率也最低。可用在安全要求不高，要求誤停車率低的場所。

2）當(dāng)HFT 要求大于等于1 時，2oo3 表決安全性最低，安全失效概率也最低?？捎迷诎踩蟛桓?，要求誤停車率低的場所。

3）1oo3 表決安全性最高，安全失效概率也最高。可用在安全要求高，對誤停車要求低的場所。

若投資一定，要求較高的安全性，勢必增加誤停車率；要求較低的誤停車率，勢必降低系統(tǒng)的安全性。

在安全儀表系統(tǒng)方案設(shè)計時可以參考上面結(jié)論，在實際應(yīng)用中，應(yīng)結(jié)合經(jīng)濟投資、SIL 要求、誤停車率，酌情選擇SIF 結(jié)構(gòu)和邏輯處理方案。當(dāng)返回各子系統(tǒng)訂貨資料后需要進一步驗算，判斷安全儀表系統(tǒng)安全儀表功能是否滿足SIL 等級要求。