分散控制系統(tǒng)模擬量輸出模件的安全評估

王 鵬 白 焰 付亞利

(華北電力大學控制與計算機工程學院，北京 102206)

隨著我國工業(yè)自動化水平的不斷提高，過程控制系統(tǒng)的規(guī)模越來越復雜，這就對模件的可靠性和安全性提出了更高的要求；而國內模件大多只考慮經濟性，安全性并未得到相應重視。工程實踐中，針對火電廠爐膛安全監(jiān)控系統(tǒng)(FSSS)的測點就有3 000多個，這些測點都需要用到I/O模件，假如每個模件的安全等級下降一級，整個FSSS的安全等級就不能滿足要求；為了使我國工業(yè)系統(tǒng)更符合國際標準，筆者應用IEC61508標準的相關規(guī)定，對AO模件進行安全評估[1]。

1 功能安全評估方法①

在生產系統(tǒng)的可靠性設計和運行過程中，安全評估是一個重要環(huán)節(jié)。目前國內外已研究開發(fā)出多種針對不同特點、不同使用對象和范圍、不同應用條件的安全評估方法，常用的有：安全檢查法(SR)、安全檢查表分析法(SCA)、預先危險性分析法(PHA)、故障假設分析法(WI)、危險與可操作性研究法(HAZOP)、故障類型及影響分析法(FMEA)、故障樹分析法(FTA)、事件樹分析法(ETA)和危險指數(shù)法(RR)[2]。

FTA是由美國Bell實驗室科技人員在1962年進行火箭發(fā)射系統(tǒng)的安全評估時提出的。發(fā)展到今天，已經是可靠性分析和安全評估的最常用方法之一[3]。安全評估方法獲得可信的安全評估結果必須建立在真實、合理和系統(tǒng)的基礎數(shù)據(jù)之上，被評價的系統(tǒng)應該能夠提供所需的系統(tǒng)化的數(shù)據(jù)和資料。筆者搜集到了適應于故障樹的可靠性數(shù)據(jù)，又因故障樹分析方法精確且適用范圍廣，故采用故障樹分析方法對LN-05B模件進行安全評估。

2 AO模件的故障樹分析與SIL等級計算

FTA從頂端事件開始，首先分析導致該事件的直接原因，接著確定導致直接原因的失效模式，然后一直追溯到最根本的觸發(fā)原因——基本事件[4]。能夠揭示導致事故發(fā)生的基本事件，從而降低事故發(fā)生的可能性。

故障樹分析的步驟為：分析系統(tǒng)結構并逐級分析導致失效的原因；建立故障樹結構；建立最小割集；故障樹定量/定性分析[3]。

2.1 分析系統(tǒng)結構

LN-05B模件的結構如圖1所示[5]。該模件配置了兩個24V供電電源，經濾波和外部輔助電路后，通過隔離電壓轉換器將24V電壓轉換為5V電壓為微控制器供電。由數(shù)據(jù)總線送來的控制量信號經數(shù)據(jù)收發(fā)器送到微處理器，來自微處理器的信號經隔離裝置送入DA轉換器之后，當系統(tǒng)處理器模件發(fā)出的地址信號與該模件地址開關上設置的地址一致時，輸出通道將微弱的數(shù)字信號轉換成能對生產過程進行控制的數(shù)字驅動信號輸出。該模件配置4路DA輸出通道，首先計算單輸出通道的模件失效概率，再計算整個模件的失效概率。

圖1 LN-05B結構

2.2 建立故障樹結構

單輸出通道的模件故障樹如圖2所示。共因失效是指由一個或多個事件引起多通道系統(tǒng)中的兩個或多個分離通道失效，從而導致系統(tǒng)失效的一種失效[6]。共因失效一般發(fā)生在多通道系統(tǒng)中，如冗余及多數(shù)表決系統(tǒng)等。

圖2 單輸出通道的LN-05B故障樹

電源采用冗余配置，考慮共因失效；總線收發(fā)器采用二取一表決邏輯，考慮共因失效。共因失效因子β可以根據(jù)β因子估計表估計，兩個冗余的電源輸入通道采用了相同的技術并且在同一電路印刷板上，根據(jù)β因子估計表，β電源取0.03[6]。兩個收發(fā)器在同一個印刷電路板上采用相同的連接方式，并且它們由同一個電源供電，相互沒有隔離，根據(jù)β因子估計表，β收發(fā)器取0.04。

部件失效概率數(shù)據(jù)見表1。表中總線收發(fā)器的可靠性數(shù)據(jù)由制造商Philips提供，AO轉換器和運算放大器的可靠性數(shù)據(jù)由制造商Burr-Brown和Texas Instruments提供；其他元器件的可靠性數(shù)據(jù)來自美國國防部可靠性分析中心RIAC的可靠性數(shù)據(jù)庫。

表1 部件失效概率數(shù)據(jù)

2.3 建立最小割集

最小割集的計算方法有很多種，筆者采用下行法計算。從故障樹的頂事件開始，順次把上一級事件置換為下一級事件，遇到與門將輸入事件橫向并列寫出，遇到或門將輸入事件豎向寫出，直到把全部邏輯門換成底事件為止，此時最后一列代表所有割集，再將割集簡化并吸收得到全部最小割集[7,8]。結合圖2可知，LN-05B失效故障樹的最小割集為：{B1}，{B2}，{D1，D2}，{C2}，{B4}，{B5}，{D3，D4}，{C4}，{B7}，{B8}，{B9}，{C5}，{C6}，{C7}，{C8}，{C9}，{C10}，{C11}。

2.4 故障樹定量分析

采用最小割集不交化方法求頂事件發(fā)生的概率[7]，具體為：

(1)

(2)

將表1數(shù)據(jù)代入式(1)、(2)，得：

T=B1∪B2∪(D1∩D2)∪C2∪B4∪B5∪(D3∩D4)∪C4∪B7∪B8∪B9∪C5∩C6∪C7∪C8∪C9∪C10∪C11

=2.42×10-7+(1-2.42×10-7)×7.73×10-7+…+(1-2.42×10-7)×

(1-7.73×10-7)×[1-0.97×3.60×10-9+0.97×3.60×10-9×

(1-0.97×3.60×10-9)]×…×2.67×10-5

=1.77×10-3

其中非共因部分的PFD為(1-β)PFD，共因部分的PFD為βPFD。通過計算，得到整個模件的失效概率為5.70×10-3。

安全完整性就是在規(guī)定的條件和時間內，安全相關系統(tǒng)成功地實現(xiàn)所要求的功能的概率[9]。安全相關系統(tǒng)有4種安全完整性等級(SIL)，等級越高，其成功實現(xiàn)所要求功能的概率越高。根據(jù)表2可知該模件的安全完整性等級為SIL2[7]。

表2 IEC61508安全完整性等級

3 結束語

筆者針對模擬量輸出模件LN-05B，構造了危險失效故障樹和最小割集，采用故障樹最小割集不交化方法計算了要求時失效概率，得到其安全等級為SIL2。由于電廠復雜化程度不斷提高，為了滿足過程工業(yè)系統(tǒng)SIL3的安全等級要求，建議采購具有自檢功能的模件，可以提高模件的可靠性和安全性。為了得到保守精確的結果，筆者并未近似計算，相對于應用公式計算，這種方法顯然比較繁瑣；但是對于要求精確安全評估結果的小模型來說，此方法不但方便，而且評估結果更準確。