安全儀表系統(tǒng)的可用性分析

王子洋

(中國石油化工股份有限公司 茂名分公司,廣東 茂名 525000)

安全儀表系統(tǒng)(SIS)包括安全聯(lián)鎖系統(tǒng)、緊急停車系統(tǒng)和有毒有害、可燃?xì)怏w及火災(zāi)檢測(cè)保護(hù)系統(tǒng)等, SIS獨(dú)立于過程控制系統(tǒng)(例如分散控制系統(tǒng)等),生產(chǎn)正常時(shí)處于休眠或靜止?fàn)顟B(tài),一旦生產(chǎn)裝置或設(shè)施出現(xiàn)可能導(dǎo)致安全事故的情況時(shí),能夠瞬間準(zhǔn)確動(dòng)作,使生產(chǎn)過程安全停止運(yùn)行或自動(dòng)導(dǎo)入預(yù)定的安全狀態(tài)。SIS必須有很高的可靠性(即功能安全)和規(guī)范的維護(hù)管理,如果SIS失效,往往會(huì)對(duì)資產(chǎn)帶來巨大的損失,甚至對(duì)于操作人員的人身安全帶來威脅。

SIS通常應(yīng)用于石油、化工、核電等領(lǐng)域,設(shè)計(jì)中需要合理考慮設(shè)備的配置情況,以滿足不同應(yīng)用對(duì)于系統(tǒng)安全性和可用性的要求。SIS的安全性是指,當(dāng)生產(chǎn)工況發(fā)生異常時(shí),系統(tǒng)保證生產(chǎn)過程和生產(chǎn)環(huán)境處于相對(duì)安全狀態(tài)的能力,可以通過安全完整性等級(jí)(SIL)衡量。SIS的可用性是指,在流程運(yùn)行時(shí)能夠正常執(zhí)行指定功能的概率[1],以系統(tǒng)故障后對(duì)業(yè)務(wù)的影響最小為目的,可以通過平均無誤停車的工作時(shí)間(MTTFspurious)和平均修復(fù)時(shí)間(MTTR)衡量,其中MTTFspurious通過誤停車率(STR)計(jì)算,MTTR一般包括四個(gè)部分: 故障檢測(cè)時(shí)間(MFDT)、維修前的準(zhǔn)備和延遲時(shí)間、實(shí)際維修時(shí)間(MART)、維修后恢復(fù)運(yùn)行前的管理延遲時(shí)間。MFDT和MART需要實(shí)際測(cè)試來確定,而對(duì)于維修前的準(zhǔn)備和延遲時(shí)間以及管理延遲,需要結(jié)合供應(yīng)商提供的現(xiàn)場運(yùn)維水平估計(jì)。

當(dāng)前對(duì)于SIS的安全性定級(jí)在IEC 61508: 2010Functionalsafetyofelectrical/electronic/programmableelectronicsafety-relatedsystems[2]和IEC 61511: 2016Functionalsafety:Safetyinstrumentedsystemsfortheprocessindustrysector[3]等標(biāo)準(zhǔn)中都有定量要求,相關(guān)驗(yàn)算方式也已經(jīng)十分成熟。但是對(duì)于STR,并沒有特定標(biāo)準(zhǔn)明確規(guī)定定量的等級(jí),分析中更多是基于用戶的使用情況,通過編寫安全要求規(guī)格書(SRS)來要求各SIF回路的“允許最高停車率”。

SIS自身的故障會(huì)引起誤停車,誤停車本身不會(huì)引入危險(xiǎn)工況,但是會(huì)直接導(dǎo)致生產(chǎn)工藝的中斷,帶來極其昂貴的生產(chǎn)成本[4]。本文通過可靠性框圖計(jì)算系統(tǒng)的STR,得出SIS的可用度的方法,并從冗余配置調(diào)整、可維護(hù)性設(shè)計(jì)等方面為SIS的可用性設(shè)計(jì)優(yōu)化提供改進(jìn)措施。

1 可用性概念

可用性的設(shè)計(jì)原則是: 工藝條件未達(dá)到安全極限值,SIS不應(yīng)引導(dǎo)工藝過程停車,但由于生產(chǎn)裝置自身存在故障而導(dǎo)致工藝過程誤停,降低了可用性。

可用性是指SIS在一個(gè)給定的時(shí)間內(nèi)能正確執(zhí)行功能的概率,通常會(huì)定義MTTFspurious,MTTR,因此,可用性可以通過可用度(A)計(jì)算,如式(1)所示:

A=MTTFspurious/(MTTFspurious+MTTR)

(1)

1.1 可用性分析步驟

評(píng)估系統(tǒng)可用性之前,首先根據(jù)整體架構(gòu)列出可用性分析的對(duì)象,明確系統(tǒng)的安全功能,分析導(dǎo)致系統(tǒng)不可用的失效因素,通過建模分析量化誤停車率,結(jié)合現(xiàn)場運(yùn)維水平分析來評(píng)估可用性,確定是否有理由采取設(shè)計(jì)/額外措施來提高SIF可用性。可用性分析步驟如圖1所示。

圖1 可用性分析步驟示意

1.2 分析方法

系統(tǒng)可用性研究早期以簡單系統(tǒng)為主,系統(tǒng)組件較少,且部件與部件之間互相獨(dú)立,針對(duì)這一類系統(tǒng)的分析方法主要有可靠性框圖、故障樹分析(FTA)等,隨著現(xiàn)代工業(yè)發(fā)展,后續(xù)又推出了GO法、Markov法等[5]。常見的各類分析方法的對(duì)比見表1所列。

表1 系統(tǒng)可靠性分析方法對(duì)比

常見的分析方法主要分為定量分析和定性分析。定性分析方法更側(cè)重于從經(jīng)驗(yàn)和專家意見出發(fā),通過對(duì)系統(tǒng)設(shè)計(jì)和操作方案進(jìn)行討論和分析,提出可能存在的失效模式和潛在風(fēng)險(xiǎn),并采取相應(yīng)的措施進(jìn)行預(yù)防或糾正,例如GO法等;定量分析方法利用數(shù)學(xué)和統(tǒng)計(jì)學(xué)對(duì)系統(tǒng)模型進(jìn)行精確計(jì)算,得到系統(tǒng)性能指標(biāo)的數(shù)值結(jié)果,例如可靠性框圖,蒙特卡羅模擬法,FTA,Markov和Petri等方法都是以數(shù)值計(jì)算為主要手段,可以得到定量的評(píng)估結(jié)果。本文主要通過定量的可靠性框圖分析方式進(jìn)行計(jì)算。

2 可用性分析及計(jì)算

SIS可用性分析的關(guān)鍵在于對(duì)STR的計(jì)算,該指標(biāo)可基于文獻(xiàn)[2]的FMEDA分析模型,確定與系統(tǒng)相關(guān)的基礎(chǔ)失效率數(shù)據(jù),結(jié)合裝置生產(chǎn)實(shí)際及安全設(shè)施配置情況,利用可靠性框圖例化出SIF回路的組成,并綜合衡量現(xiàn)場運(yùn)維水平的影響,參考文獻(xiàn)[1]計(jì)算出STR,最終計(jì)算出可用度,結(jié)合SRS的要求分析評(píng)價(jià)系統(tǒng)的可用性水平。最后,根據(jù)分析結(jié)論指導(dǎo)各SIF回路的硬件冗余配置、關(guān)鍵元器件的選型等設(shè)計(jì),同時(shí)對(duì)于后續(xù)運(yùn)行階段的測(cè)試覆蓋率、日常檢修策略提供指導(dǎo)性的建議。

SIF回路一般由三部分組成[6]: 傳感單元、邏輯處理單元和執(zhí)行單元,任一單元的故障均可引起SIF回路誤動(dòng)作,導(dǎo)致系統(tǒng)誤停車。

SIF回路的A計(jì)算應(yīng)按照以下步驟:

1)細(xì)化SIF回路架構(gòu)組成。實(shí)際分析中,SIF回路各組成單元需進(jìn)一步細(xì)分,如傳感單元包括傳感器、安全柵、輸入端子板;邏輯處理單元包括輸入模塊IM、控制器模塊CM和輸出模塊OM;執(zhí)行單元包含輸出端子板、電磁閥、球閥等。SIF回路的詳細(xì)架構(gòu)示例組成如圖2所示,SIF回路各個(gè)組件的安全功能定義見表2所列。

2)SIF回路可靠性建模?；趯?shí)際SIF回路各組件的冗余配置情況,進(jìn)行SIF回路可靠性框圖繪制,需列出SIS的各個(gè)部件,如圖3所示。

圖3 SIF回路可靠性框圖示意

3)SIF回路的A計(jì)算如下:

首先需基于文獻(xiàn)[1]計(jì)算SIF回路的∑STRSIS:

∑STRSIS=∑STRS+∑STRL+∑STRFE

(2)

式中: ∑STRS——從現(xiàn)場檢測(cè)元件至邏輯系統(tǒng)的傳感器子系統(tǒng)的STR;∑STRL——IO模塊、處理器等的邏輯子系統(tǒng)的STR;∑STRFE——最終執(zhí)行元件子系統(tǒng)的STR。

其中,每個(gè)部件可基于部件架構(gòu)進(jìn)行單獨(dú)計(jì)算,公式如下:

對(duì)于表決架構(gòu)為“1oo1”時(shí):

STR=λS+λDD

(3)

對(duì)于表決架構(gòu)為“1oo2”時(shí):

STR=2(λS+λDD)+(λS+λDD)β

(4)

對(duì)于表決架構(gòu)為“2oo2”時(shí):

STR=2λS(λS+λDD)MTTR+(λS+λDD)β

(5)

對(duì)于表決架構(gòu)為“2oo3”時(shí):

STR=6λS(λS+λDD)MTTR+(λS+λDD)β

(6)

對(duì)于表決架構(gòu)為“2oo4”時(shí):

STR=12λS(λS+λDD)MTTR+(λS+λDD)β

(7)

式中:λS——安全失效率數(shù)據(jù);λDD——危險(xiǎn)可檢測(cè)的失效率數(shù)據(jù),SIS單元、邏輯控制單元及執(zhí)行單元的失效率數(shù)據(jù)通常可從設(shè)備供應(yīng)商的SIL認(rèn)證評(píng)估報(bào)告中獲取;β——共因失效因子,與冗余部件的差異性設(shè)計(jì)程度有關(guān),通?？筛鶕?jù)文獻(xiàn)[7]要求進(jìn)行評(píng)估。

其次,需計(jì)算SIF回路的MTTFspurious:

(8)

最后,可基于式(1)計(jì)算SIF回路的A。

3 可用性提升

不同應(yīng)用對(duì)于安全性和可用性的要求有所區(qū)分,設(shè)計(jì)中往往需要平衡二者的性能,對(duì)于不滿足可用性要求的子系統(tǒng),可以通過調(diào)整系統(tǒng)配置情況優(yōu)化SIF回路的失效率或者結(jié)合可維護(hù)性設(shè)計(jì)來提升指標(biāo)。

1)子系統(tǒng)冗余配置調(diào)整。在SIS的設(shè)計(jì)中,對(duì)于需要外部干預(yù)的現(xiàn)場檢測(cè)儀表和執(zhí)行單元的故障沒有穩(wěn)定有效的處理措施,它們的失效同樣會(huì)導(dǎo)致裝置停車,因此可以考慮采取冗余配置措施來改進(jìn)[8-9]。對(duì)于“1oo1”表決架構(gòu),由于自身故障裕度較低,實(shí)際應(yīng)用中只能考慮降低自身的失效率來保證性能;對(duì)于“1oo2”表決架構(gòu),2個(gè)通道任一故障都會(huì)觸發(fā)聯(lián)鎖,可靠性較高但誤動(dòng)作可能性也高,可用性較差;對(duì)于“2oo2”表決架構(gòu),降低了安全失效的概率但是增加了危險(xiǎn)失效的概率,安全性較差;對(duì)于“2oo3”表決架構(gòu),只有3個(gè)通道中2個(gè)故障才會(huì)引起聯(lián)鎖,誤動(dòng)作概率低,同樣也能有效降低未檢測(cè)故障帶來的風(fēng)險(xiǎn)。

因此,當(dāng)需要通過調(diào)整子系統(tǒng)的冗余來改進(jìn)可用性時(shí),可參考表3的配置。對(duì)于高安全性和高可用性兼顧的應(yīng)用,系統(tǒng)配置宜采用“2oo3”的冗余結(jié)構(gòu)。

表3 安全性冗余結(jié)構(gòu)和可用性冗余結(jié)構(gòu)配置

2)可維護(hù)性設(shè)計(jì)。系統(tǒng)設(shè)計(jì)的可維護(hù)性對(duì)于可用性的優(yōu)化至關(guān)重要,當(dāng)需要對(duì)某個(gè)部件進(jìn)行檢驗(yàn)測(cè)試時(shí),為了保證生產(chǎn)工藝的連續(xù)性,控制系統(tǒng)的設(shè)計(jì)可以考慮冗余的設(shè)計(jì),在維護(hù)過程中支持在線更換,實(shí)現(xiàn)在線維護(hù);同時(shí)也可以對(duì)現(xiàn)場儀表配置旁路開關(guān),通過對(duì)指定維護(hù)對(duì)象進(jìn)行旁路操作,隔離其對(duì)于現(xiàn)場回路的控制,保證此時(shí)系統(tǒng)處于降級(jí)運(yùn)行但安全功能不受影響的狀態(tài),當(dāng)維護(hù)流程結(jié)束后,按照規(guī)程解除旁路,可以使系統(tǒng)恢復(fù)到“全新”的狀態(tài)。

4 可用性分析實(shí)踐

以某套具備SIL3等級(jí)認(rèn)證的國產(chǎn)化SIS為例,在架構(gòu)層面,為了能在高安全要求與高可用性要求之間取得最優(yōu)平衡點(diǎn),系統(tǒng)采用了單個(gè)模塊三重化表決架構(gòu)(2oo3),可提供1個(gè)故障裕度,即一個(gè)通道失效時(shí),保證系統(tǒng)安全功能正常。并且,采用五重故障表決隔離技術(shù),包括輸入模塊采樣信號(hào)表決、控制器輸入數(shù)據(jù)表決、控制器輸出數(shù)據(jù)表決、輸出模塊輸出數(shù)據(jù)表決、輸出模塊輸出信號(hào)硬件表決,保證局部單一故障時(shí)不擴(kuò)散。同時(shí),設(shè)計(jì)了基于雙主冗余的系統(tǒng)模型以及三重化表決系統(tǒng)的降級(jí)模式,實(shí)現(xiàn)故障隔離區(qū)內(nèi)仍達(dá)到三重故障容忍度,系統(tǒng)在故障發(fā)生的情況下可以在線更換故障部件,MTTR可小于4 h。該架構(gòu)技術(shù)使系統(tǒng)實(shí)現(xiàn)了99.990%～99.999%的可用度,并在多重獨(dú)立故障發(fā)生的情況下,仍能持續(xù)保持SIL3等級(jí)安全完整性。

在實(shí)際應(yīng)用中,采用該SIS構(gòu)建SIF回路,該安全回路在設(shè)計(jì)時(shí)要求誤停車率應(yīng)小于5年1次,可用度應(yīng)大于99.990%。實(shí)際該回路傳感單元采用“2oo3”表決架構(gòu)、輸出單元采用“1oo2”表決架構(gòu),該回路的可靠性框圖如圖3所示。該回路相關(guān)的部件的基礎(chǔ)失效率數(shù)據(jù)從供應(yīng)商認(rèn)證評(píng)估報(bào)告中獲得,見表4所列。

表4 SIF回路基礎(chǔ)失效率數(shù)據(jù) h-1

該回路部件中,安全儀表系統(tǒng)故障檢測(cè)及在線更換的時(shí)間遠(yuǎn)低于系統(tǒng)本身軟硬件的維修時(shí)間,因此計(jì)算中以用戶現(xiàn)場的運(yùn)維水平評(píng)估得到MTTR按照4 h計(jì)算,而β基于文獻(xiàn)[7]評(píng)估為1%。綜上所述,SIF回路各部件的STR計(jì)算結(jié)果見表5所列。

表5 SIF回路各部件的STR h-1

基于式(2)計(jì)算SIF回路系統(tǒng)的∑STRSIS=1.49×10-5h-1,式(8)計(jì)算SIF回路的MTTFspurious=7.63 a=66 872.04 h,最后代入式(1)可得:A=MTTFspurious/(MTTFspurious+MTTR)=99.994%,滿足設(shè)計(jì)要求。

5 結(jié)束語

近年來,圍繞安全相關(guān)系統(tǒng)功能安全管理,從理論方法的研究、標(biāo)準(zhǔn)規(guī)范的建立,到實(shí)際安全系統(tǒng)的設(shè)計(jì)分析、實(shí)施、評(píng)估、認(rèn)證都有許多研究和成果。本文闡述了可用性的分析和計(jì)算過程,以SIS構(gòu)建的SIF回路為例進(jìn)行可用性的量化計(jì)算和分析。結(jié)合子系統(tǒng)的冗余配置以及可維修性設(shè)計(jì)的角度,為設(shè)計(jì)階段對(duì)于硬件選型、系統(tǒng)配置以及后續(xù)的維護(hù)條件對(duì)于可用性的提升提供指導(dǎo)建議。