淺談結(jié)構(gòu)約束對HIPPS設(shè)計的影響

朱春麗，呼濱，楊金麗

(中海油研究總院 工程研究設(shè)計院，北京 100028)

?

淺談結(jié)構(gòu)約束對HIPPS設(shè)計的影響

朱春麗，呼濱，楊金麗

(中海油研究總院 工程研究設(shè)計院，北京 100028)

摘要：分析了IEC 61508/IEC61511標(biāo)準(zhǔn)中對設(shè)備硬件結(jié)構(gòu)約束的要求，提出了在安全儀表功能回路設(shè)計時需要同時關(guān)注系統(tǒng)的安全完整性和硬件的安全完整性；指出了如何計算串聯(lián)和并聯(lián)結(jié)構(gòu)的硬件故障裕度；介紹了在工程實踐中，硬件結(jié)構(gòu)約束的幾種應(yīng)用方式和方法。以高完整性壓力保護(hù)系統(tǒng)(HIPPS)為例，闡述了硬件結(jié)構(gòu)約束在HIPPS設(shè)計中的影響和作用。

關(guān)鍵詞：結(jié)構(gòu)約束硬件故障裕度高完整性壓力保護(hù)系統(tǒng)安全完整性等級

1結(jié)構(gòu)約束

1.1結(jié)構(gòu)約束定義

一個安全儀表功能回路SIF(safety instrument function)由傳感器、邏輯控制器和最終執(zhí)行元件組成，該SIF的安全完整性等級(SIL)既要滿足系統(tǒng)的安全完整性，又要滿足硬件的安全完整性等級要求，即除了應(yīng)該符合平均要求失效率(PFDavg)的計算值外，還要評估各子系統(tǒng)(傳感器、邏輯控制器、最終執(zhí)行元件)是否滿足了“結(jié)構(gòu)約束”(architectural constraints)的要求，在IEC 61508/IEC 61511中，結(jié)構(gòu)約束條款用最小的“硬件故障裕度”HFT(hardware fault tolerance)表征，代表了設(shè)備或子系統(tǒng)在構(gòu)成回路時，從硬件結(jié)構(gòu)上對SIL的限制。也就是說，無論其聲稱的可靠性多高，從硬件結(jié)構(gòu)上限制了所能達(dá)到的SIL，即所謂的結(jié)構(gòu)約束[1]。

1.2IEC 61508中的結(jié)構(gòu)約束

IEC 61508分別為設(shè)備類型A和B的子系統(tǒng)定義了結(jié)構(gòu)約束，見表1所列。根據(jù)設(shè)備類型及其安全失效分?jǐn)?shù)(SFF)和設(shè)備所在子系統(tǒng)的硬件故障裕度來確定設(shè)備子系統(tǒng)能夠用于哪種SIL水平的安全儀表系統(tǒng)。

表1　　　IEC 61508對A類和B類安全

A型指那些所有故障模式、所有故障行為都被定義過，而且有充足的故障數(shù)據(jù)的元件，例如普通傳感器，閥門等。而B型則相反，指那些故障類型沒有被完整地定義，也沒有足夠的故障數(shù)據(jù)的元件，一般指的是含有處理器的元件，例如智能傳感器、邏輯運算器等。

由表1可以看出，確定安全儀表回路各個元件的SIL取決于2個參數(shù)： 1個是安全失效分?jǐn)?shù)，另1個是硬件故障裕度。對自動化產(chǎn)品來說，安全失效分?jǐn)?shù)的定義為該產(chǎn)品的平均安全失效率加檢測到的平均危險失效率與子系統(tǒng)總平均失效率之比[2]。

1.3硬件故障裕度

所謂硬件故障裕度，相關(guān)標(biāo)準(zhǔn)給出的解釋是： 在故障或者錯誤出現(xiàn)時，硬件功能模塊連續(xù)執(zhí)行要求功能的能力。通常用數(shù)值“N”來表示，即N+1個故障將會導(dǎo)致安全相關(guān)控制功能的喪失。

硬件故障裕度和系統(tǒng)或者元件的結(jié)構(gòu)有關(guān)。對于“MooN”結(jié)構(gòu)來說，需要N個通道中的M個獨立通道來實現(xiàn)安全功能，根據(jù)硬件故障裕度的定義，假如硬件容錯能力是X，那么出現(xiàn)X+1個危險故障時，將會導(dǎo)致安全功能的喪失。因此，得出“MooN”結(jié)構(gòu)中，硬件容錯能力的計算公式： HFT=N-M。常見的結(jié)構(gòu)有“1oo1”，“2oo2”，“1oo2”，“2oo3”，“1oo3”，“2oo4”，表2列出了不同結(jié)構(gòu)的硬件故障裕度值。

表2　不同結(jié)構(gòu)的硬件故障裕度

2SIF的硬件安全完整性

根據(jù)IEC 61508的規(guī)定，在SIF由單通道子系統(tǒng)構(gòu)成時，該SIF的最大可能的SIL取決于鏈路上具有最小SIL的子系統(tǒng)。

單通道子系統(tǒng)執(zhí)行安全相關(guān)功能時，執(zhí)行整個安全功能所能達(dá)到的最高硬件SIL，由具有最低SIL能力的子系統(tǒng)決定。鏈路SIL最低為SIL1，所以整個通道的SIL確定為SIL1[3]。

在確定子系統(tǒng)組合為1&2&3&4時所遵循的原則： 找出其中具有最高SIL能力的組合；分析另外組合的影響。多通道SIF的硬件安全完整性示意如圖1所示。

由圖1可以看出，1和2串聯(lián)，鏈路的SIL確定為SIL2；3和4串聯(lián)，鏈路的SIL確定為SIL1，1&2與3&4并聯(lián)可以簡化為1個SIL2的通道與1個SIL1的通道并聯(lián)，相當(dāng)于1個SIL2的結(jié)構(gòu)增加了1個故障裕度，即增加了1個容忍故障的能力，由表1可以看出，每增加1個故障裕度，SIL增加1級，所以組合后總的SIL變?yōu)镾IL3[3]。

圖1　多通道SIF的硬件安全完整性示例

3高完整性壓力保護(hù)系統(tǒng)(HIPPS)的結(jié)構(gòu)約束

一般在工程實踐中，結(jié)構(gòu)約束是以另一種方式使用的。已知的是目標(biāo)SIL、設(shè)備類型及安全失效分?jǐn)?shù)，要確定的是硬件故障裕度。對于SIL3需求的HIPPS，從硬件結(jié)構(gòu)上要求傳感器子系統(tǒng)、邏輯控制器子系統(tǒng)、執(zhí)行機(jī)構(gòu)子系統(tǒng)，各子系統(tǒng)硬件約束的SIL至少都要達(dá)到SIL3。

3.1HIPPS的結(jié)構(gòu)設(shè)計與選型

1) 對于變送器子系統(tǒng)和邏輯控制器子系統(tǒng)部分，通常是已知設(shè)備的安全失效分?jǐn)?shù)和確定的SIL，需要確定的是故障裕度，即該采用何種“MooN”的結(jié)構(gòu)配置。變送器子系統(tǒng)和邏輯控制器在分類上屬于B類子系統(tǒng)，根據(jù)表1所示可以明確采用安全失效分?jǐn)?shù)小于60%的設(shè)備，在硬件結(jié)構(gòu)上是無法達(dá)到SIL3要求的，要在結(jié)構(gòu)約束上滿足SIL3的要求，結(jié)合表1可以采用以下幾種結(jié)構(gòu)配置：

a) 采用安全失效分?jǐn)?shù)大于60%且小于90%的設(shè)備，故障裕度要求必須為2，可以采用“1oo3”或者“2oo4”結(jié)構(gòu)。

b) 采用安全失效分?jǐn)?shù)大于90%且小于99%的設(shè)備，故障裕度為1，可以采用“1oo2”或者“2oo3”結(jié)構(gòu)；故障裕度為2，可以采用“1oo3”或者“2oo4”結(jié)構(gòu)。

c) 采用安全失效分?jǐn)?shù)大于99%的設(shè)備，故障裕度為0，可以采用“1oo1”或者“2oo2”的結(jié)構(gòu)配置；故障裕度為1，可以采用“1oo2”或者“2oo3”結(jié)構(gòu)；故障裕度為2，可以采用“1oo3”或者“2oo4”結(jié)構(gòu)。

2) HIPPS的執(zhí)行機(jī)構(gòu)由電磁閥+關(guān)斷閥構(gòu)成，對執(zhí)行機(jī)構(gòu)的結(jié)構(gòu)設(shè)計和選型需要詳細(xì)考慮串聯(lián)、并聯(lián)的關(guān)系。對于執(zhí)行機(jī)構(gòu)子系統(tǒng)，通常是已知故障裕度和目標(biāo)SIL，需要確定需要什么樣安全失效分?jǐn)?shù)的設(shè)備。執(zhí)行機(jī)構(gòu)在分類上屬于A類子系統(tǒng)，要在硬件結(jié)構(gòu)上達(dá)到SIL3要求，結(jié)合表1所示可以采用以下幾種結(jié)構(gòu)配置：

a) 采用“1oo1”電磁閥+“1oo1”關(guān)斷閥結(jié)構(gòu)配置。電磁閥和關(guān)斷閥的故障裕度都為0，要在硬件結(jié)構(gòu)上滿足SIL3的要求，可以采用安全失效分?jǐn)?shù)大于90%的電磁閥和關(guān)斷閥。

b) 采用“1oo2”電磁閥+“1oo1”關(guān)斷閥結(jié)構(gòu)配置。電磁閥的故障裕度為1，要在硬件結(jié)構(gòu)上滿足SIL3的要求，可以采用安全失效分?jǐn)?shù)大于60%的電磁閥；關(guān)斷閥的故障裕度為0，要在硬件結(jié)構(gòu)上滿足SIL3的要求，可以采用安全失效分?jǐn)?shù)大于90%的關(guān)斷閥。

c) 采用“1oo1”電磁閥+“1oo1”關(guān)斷閥2組串聯(lián)。根據(jù)多通道子系統(tǒng)的結(jié)構(gòu)約束原則，1組最低SIL1的和1組最低SIL2的結(jié)構(gòu)，在硬件上即可以滿足SIL3的執(zhí)行機(jī)構(gòu)要求。

3.2HIPPS的評估與驗證

工程設(shè)計中，對于1個已經(jīng)設(shè)計好的HIPPS，要確認(rèn)其SIF是否滿足所要求的SIL，一是通過故障模式和影響分析，計算出回路的PFDavg值；二是判斷結(jié)構(gòu)設(shè)計遵循結(jié)構(gòu)約束的規(guī)定。HIPPS結(jié)構(gòu)如圖2所示，變送器采用“2oo3”的YOKOGAWA EJX530A，邏輯控制器采用四重化冗余“2oo4”的HIMA Planar4，執(zhí)行機(jī)構(gòu)采用ASCO電磁閥+ Mokveld HIPPS閥門 2組串聯(lián)。

圖2　HIPPS結(jié)構(gòu)示意

1) YOKOGAWA EJX530傳感器。根據(jù)供應(yīng)商提供的報告，故障數(shù)據(jù)見表3所列。

表3　執(zhí)行機(jī)構(gòu)失效數(shù)據(jù)

“2oo3”結(jié)構(gòu)的傳感器，根據(jù)IEC 61508提供的計算公式，在測試周期為1a的情況下，計算得到傳感器部分的PFDavg為1.20×10-4。

“2oo3”結(jié)構(gòu)的傳感器，硬件故障裕度為1，安全失效分?jǐn)?shù)為94.6%，根據(jù)IEC 61508對B型系統(tǒng)的結(jié)構(gòu)約束要求，可以得到對變送器子系統(tǒng)的硬件結(jié)構(gòu)約束要求的安全完整性等級為SIL3。

2) HIMA Planar4邏輯控制器。根據(jù)供應(yīng)商提供的資料，故障數(shù)據(jù)見表4所列。

表4　控制器失效數(shù)據(jù)

HIMA Planar4邏輯控制器采用雙“1oo2”結(jié)構(gòu)，即“2oo4”結(jié)構(gòu)，單個“1oo2”結(jié)構(gòu)硬件故障裕度為1，安全失效分?jǐn)?shù)為97.27%，根據(jù)IEC 61508對B型系統(tǒng)的結(jié)構(gòu)約束要求，可以得到硬件結(jié)構(gòu)約束要求的安全完整性等級為SIL3。由于系統(tǒng)采用2個“1oo2”結(jié)構(gòu)并行工作，所有邏輯控制器總的硬件結(jié)構(gòu)約束要求的安全完整性等級可以達(dá)到SIL4。

3) ASCO電磁閥+ Mokveld HIPPS閥門執(zhí)行機(jī)構(gòu)。根據(jù)供應(yīng)商提供的資料，電磁閥故障數(shù)據(jù)見表5所列。

表5　電磁閥失效數(shù)據(jù)

根據(jù)供應(yīng)商提供的資料，Mokveld關(guān)斷閥失效數(shù)據(jù)見表6所列。

表6　關(guān)斷閥失效數(shù)據(jù)

“1oo1”結(jié)構(gòu)的電磁閥和關(guān)斷閥串聯(lián)，根據(jù)IEC 61508提供的計算公式，在測試周期為1a的情況下，計算得到PFDavg為1.04×10-3，采用“1oo1”的電磁閥和關(guān)斷閥2組并聯(lián)的結(jié)構(gòu)，在測試周期為1a的情況下，計算得到PFDavg為1.07×10-4。

“1oo1”結(jié)構(gòu)的電磁閥，硬件故障裕度為0，安全失效分?jǐn)?shù)為63.2%，根據(jù)IEC 61508對A型系統(tǒng)的結(jié)構(gòu)約束要求，可以得到對電磁閥的硬件結(jié)構(gòu)約束要求的安全完整性等級為SIL2。“1oo1”結(jié)構(gòu)的關(guān)斷閥，硬件故障裕度為0，安全失效分?jǐn)?shù)為97%，

根據(jù)IEC 61508對A型系統(tǒng)的結(jié)構(gòu)約束要求，可以得到對關(guān)斷閥的硬件結(jié)構(gòu)約束要求的安全完整性等級為SIL3，電磁閥和關(guān)斷閥串聯(lián)后，總的硬件結(jié)構(gòu)約束要求的安全完整性等級為SIL2。用“1oo1”的電磁閥和關(guān)斷閥2組并聯(lián)的結(jié)構(gòu)后，總的執(zhí)行機(jī)構(gòu)的硬件結(jié)構(gòu)約束要求的安全完整性等級可以達(dá)到SIL3。

在硬件結(jié)構(gòu)約束上，傳感器子系統(tǒng)、控制器子系統(tǒng)、執(zhí)行機(jī)構(gòu)子系統(tǒng)都滿足SIL3的要求，整個HIPPS的硬件結(jié)構(gòu)約束滿足SIL3要求。對于整個HIPPS而言，計算得到：PFDHIPPS=PFDSE+PFDLC+PFDFE=1.20×10-4+2.10×10-5+1.07×10-4=2.48×10-4，滿足SIL3要求。

4結(jié)束語

通過上述介紹和案例分析可知，在今后對安全儀表功能回路進(jìn)行設(shè)計或是驗證的過程中，要同時關(guān)注系統(tǒng)的安全完整性和硬件的安全完整性，只有兩者兼顧才能設(shè)計出滿足標(biāo)準(zhǔn)要求的安全儀表系統(tǒng)。

參考文獻(xiàn):

[1]IEC.IEC 61508—2002 Functional Safety of Electrical/ Electronic/ Programmable Electronic Safety-related Systems[S]. Geneva: IEC, 2002.

[2]馮曉升，王莉，梅恪，等.GB/T 20438.6—2006電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全[S].北京： 中國標(biāo)準(zhǔn)出版社，2007.

[3]張建國.安全儀表系統(tǒng)在過程工業(yè)中的應(yīng)用[M].北京： 中國電力出版社，2010： 9-11.

[4]陽憲惠，郭海濤.安全儀表系統(tǒng)的功能安全[M].北京： 清華大學(xué)出版社，2007： 100-104.

[5]董小剛.海洋工程高完整性壓力保護(hù)系統(tǒng)(HIPPS)生命周期內(nèi)的管理[J].儀器儀表標(biāo)準(zhǔn)化與計量，2009(04)： 27-31.

[6]馮傳令，張峰，張恩儉.HIPPS在海洋石油工程中的應(yīng)用研究[J].石油礦場機(jī)械，2007(05)： 94-97.

[7]方輝.基于結(jié)構(gòu)約束的硬件安全完整性等級驗證研究[J].化工自動化及儀表，2015，42(07)： 760-764，769.

[8]陳浩，榮岡，馮毅萍.面向系統(tǒng)狀態(tài)監(jiān)控與故障診斷的安全評估方法[J].化工自動化及儀表，2014，41(02)： 138-143，211.

Brief Discussion of Impact of Architectural Constraints on HIPPS Design

Zhu Chunli, Hu Bin, Yang Jinli

(Engineering Design & Research Institute, CNOOC Research Institute, Beijing, 100028, China)

Abstract:The device hardware architectural constraints requirements in IEC 61508 / IEC 61511 standards are reviewed. It points out safety integrity of system and hardware is needed to be focused during safety instrument function loop design. How to calculate fault tolerance for series and parallel hardware architecture is discussed. Several application ways and means of hardware architectural constraints in engineering practice are described. The influence and role of hardware architectural constraints in high integrity pressure protective system (HIPPS) design are expounded with HIPPS as example.

Key words:architectural constraints; hardware fault tolerance; high integrity pressure protective system; safety integrity level

作者簡介：朱春麗，女，2009年畢業(yè)于中國石油大學(xué)(北京)控制理論與控制工程專業(yè)，獲碩士學(xué)位，現(xiàn)就職于中海油研究總院工程研究設(shè)計院，主要從事海洋石油平臺的過程控制系統(tǒng)、緊急關(guān)斷系統(tǒng)、火氣探測系統(tǒng)的研究與設(shè)計，任工程師。

中圖分類號：TP273

文獻(xiàn)標(biāo)志碼：B

文章編號：1007-7324(2016)02-0011-03

稿件收到日期： 2015-11-23。