安全儀表回路改造的可靠性及誤動作概率計算

周雁鵬(中海油基建管理有限責任公司，北京 100010)

安全儀表回路改造的可靠性及誤動作概率計算

周雁鵬
(中海油基建管理有限責任公司，北京 100010)

安全完整性等級(SIL)評估技術是近幾年發(fā)展起來的針對石化等行業(yè)的一種基于風險的資產管理方法，國際標準IEC 61508和IEC 61511的制定為石化工業(yè)等流程工業(yè)的SIL評估提供了依據，對于石化行業(yè)的安全生產具有重要的促進作用。根據SIL的計算方法對中海石油化學股份有限公司現有安全儀表回路進行評估改造的平均失效概率(PFD)和誤動作概率(STR)進行理論計算，為安全儀表項目的前期論證以及技術改造提供了理論依據。

工藝危害性分析 危險與可操作性分析 安全完整性等級 平均失效概率 誤動作概率

1 安全儀表回路現狀

1.1安全儀表設計情況

中海石油化學股份有限公司屬于連續(xù)化生產的企業(yè)，其中對連續(xù)化生產要求較高的裝置包括3套合成氨/尿素裝置，其總產能為1.05 Mt/a合成氨、2 Mt/a尿素；3套甲醇裝置，其總產能為1.6 Mt/a。除海南基地的600 kt/a甲醇裝置和800 kt/a甲醇裝置的安全儀表回路在原始設計采用“三選二”表決邏輯外，其他裝置的安全儀表回路設計除了個別的采用“三選二”表決邏輯外，其余都是“一選一”表決邏輯。“一選一”的安全儀表回路表決邏輯如圖1所示。

圖1 安全儀表回路示意

1.2安全儀表回路運行的狀況

該公司安全儀表系統(tǒng)(SIS)按照本質安全系統(tǒng)進行設計，為故障安全型系統(tǒng)，所有裝置的設計代表了設計時期的最高安全等級。因此，所有的SIS能夠在出現危險報警的情況下，將裝置安全、穩(wěn)定地停下來，使裝置處于最安全的狀態(tài)。但是由于設計理念和投資概算的因素，除了考慮系統(tǒng)的安全性以外，對于系統(tǒng)的可用性(魯棒性)沒有過多的考慮，出現了多次由于儀表自身誤動作導致的裝置停車，給公司造成了重大的損失。表1中的數據為海南基地2010—2012的非計劃停車情況，分析由于儀表停車原因占總停車次數的比例。

表1 海南基地儀表停車情況占總停車比例分析

根據表1的統(tǒng)計數據，2010年由于儀表方面的誤動作導致裝置停車占總停車時間的48%，其中安全儀表(包括變送器、電磁閥和切斷閥)導致的停車占儀表原因導致停車的80%。而甲醇一期、二期儀表原始安裝階段采用了“三選二”表決邏輯，由于儀表導致停車的次數為零，海南基地的儀表停車主要在化肥一部。2011年底，化肥一部對安全儀表回路進行了技術改造，對主要的聯(lián)鎖系統(tǒng)進行了“三選二”表決邏輯改造，改造后2012年由于儀表導致停車的事故為零。由此可見，安全儀表回路的可靠性和可用性對裝置的長周期運行有重大的影響。

2 安全儀表回路的平均失效概率和誤動作概率分析

安全儀表回路有2個關鍵指標： 平均失效概率(PFD)和誤動作概率STR(SpuriousTripRate)。但大部分設計人員和最終用戶一般只關心PFD，保證裝置的可靠性，其實誤動作概率STR也是安全儀表回路中重要的組成部分，一般對于一個工廠的儀表誤動作的概率分析都是通過STR進行評判的。

2.1概述

安全儀表回路的可用性是確定安全回路在特定的運行時間內有效運行的概率標準，目前使用最為廣泛的參數是平均失效前時間MTTF(Mean Time To Failure)，該參數是定義隨機變量、出錯時間的期望值。MTTF的長短通常與使用周期中的產品有關，其中不包括老化失效。

平均恢復時間MTTR(Mean Time To Restoration)源于IEC 61508中的平均維護時間(Mean Time To Repair)，目的是為了清楚界定時間概念。MTTR是隨機變量恢復時間的期望值，包括獲得備件的時間、維修團隊的響應時間、投用設備的時間。

平均故障間隔時間MTBF(Mean Time Between Failures)定義為失效或維護中所需要的平均時間，包括故障時間及檢測和維護設備的時間。MTBF=MTTF+MTTR，因為MTTR通常遠小于MTTF，所以MTBF近似等于MTTF，通常用MTTF代替。

2.2基本參數的收集

新建裝置采購的安全儀表設備在說明書或手冊中都會有相應的參數，但是對于老裝置或者沒有采用安全儀表的裝置，則儀表的參數如MTTFD，MTTFSPUR很難獲得。為了解決該問題，ISA收集了5家工廠的參數，見表2所列，最終用戶在計算時盡量使用自己工廠的參數進行估算，如果無法獲得參數，可以參考表2中的經驗數據。

表2 ISA統(tǒng)計的檢測元件和執(zhí)行元件數據

續(xù) 表 2

2.3安全完整性和誤動作概率的定義

安全儀表回路的安全功能要求的是PFD，它計算和組合所有提供安全功能的子系統(tǒng)的平均失效概率，SIS的PFD計算如公式(1)所示：

PFDSYS=PFDPOWER+PFDS+PFDL+PFDFE

(1)

式中：PFDSYS——安全儀表回路的平均失效概率；PFDPOWER——安全儀表回路的供電電源的平均失效概率；PFDS——傳感器子系統(tǒng)要求的平均失效概率；PFDL——邏輯控制器要求的平均失效概率；PFDFE——最終執(zhí)行元件要求的平均失效概率。

如果安全儀表設計為故障失電狀態(tài)，則PFDPOWER不影響安全完整性等級(SIL)的計算，因為安全儀表回路故障后處于安全狀態(tài)。如果安全儀表設計為故障帶電狀態(tài)，PFDPOWER則影響SIL的計算，因為該公司安全儀表電源都是故障失電狀態(tài)，可以不考慮PFDPOWER，電源也無須采用安全儀表電源，PFDPOWER為0。

安全儀表回路的誤動作概率是指整個回路總的失效概率，是由計算和組合所有提供安全功能子系統(tǒng)的平均誤動作概率來確定的，安全儀表回路總的誤動作概率計算如公式(2)所示：

STRSYS=STRPOWER+STRS+STRL+STRFE

(2)

式中： STRSYS——安全儀表回路總的誤動作概率；STRPOWER——安全儀表回路供電電源的誤動作概率；STRS——傳感器子系統(tǒng)要求的誤動作概率；STRL——邏輯控制器要求的誤動作概率；STRFE——最終執(zhí)行元件要求的誤動作概率。

2.4安全儀表回路誤動作概率的計算

安全儀表回路STR的計算在ISA TR84.00.02第二部分和IEC 61508，IEC 61511有詳細介紹，其中ISA TR84.00.02的計算方法較為簡單，也便于最終用戶掌握，下面以ISA TR84.00.02中的公式為例分別對安全儀表回路的“一選一”、“二選一”、“二選二”、“三選二”表決邏輯的計算方法進行闡述。

對STR的計算包括電源、傳感器、邏輯控制器和最終執(zhí)行元件，每個子系統(tǒng)按照以下順序收集數據： 確定安全儀表回路中每個傳感器的參數；列出每臺設備的MTTF；列出每臺設備的MTTR；利用公式計算STR；計算回路的MTTF。

2.5ISATR84.00.02中STR計算公式

ISA TR84.00.02中STR的計算如公式(3)所示：

(3)

對于“一選一”的STR計算如公式(4)所示：

(4)

對于“二選一”的STR計算如公式(5)所示：

(5)

對于“二選二”的STR計算如公式(6)所示：

(6)

對于“三選二”的STR計算如公式(7)所示：

(7)

公式(4)～(7)中的第二項是公共項目，第三項是系統(tǒng)故障率；β——公共故障系數；工業(yè)應用的SIS一般都采用冗余元件，因而公共項目和系統(tǒng)故障都可以忽略，實際計算公式可簡化如下：

對于“一選一”的STR計算如公式(8)所示：

STR=λs

(8)

對于“二選一”的STR計算如公式(9)所示：

STR=2λs

(9)

對于“二選二”的STR計算如公式(10)所示：

STR=2(λs)2MTTR

(10)

對于“三選二”的STR計算如公式(11)所示：

STR=6(λs)2MTTR

(11)

2.6IEC61508中PFD計算公式

在IEC 61508中對“一選一”的PFD計算如公式(12)所示：

(12)

對于“二選一”的PFD計算如公式(13)所示：

PFDAVG=2[(1-β)λDD+(1-2β)λDU]2tDEtSE+

(13)

對于“三選二”的PFD如公式(14)所示：

PFDAVG=6[(1-β)λDD+(1-2β)λDU]2tDEtSE+

(14)

式中：TI——驗證測試周期；λDD——可能檢測危險的故障；λDU——可能沒有檢測到危險的故障；tDE，tSE——公式計算中的中間變量，對公式的影響較小，通常被忽略。

2.7ISATR84.00.02中PFD計算公式

對于“一選一”的PFD計算如公式(15)所示：

(15)

對于“二選二”的PFD計算如公式(16)所示：

PFDAVG=λDUTI

(16)

對于“三選二”的PFD計算如公式(17)所示：

PFDAVG=λDU2TI2

(17)

2.8現有安全儀表回路的PFD及STR計算

該公司現有的安全儀表回路大部分都是“一選一”表決邏輯結構，信號連接如圖2所示，根據公式(1)，(2)，(8)，(15)計算的PFD及STR結果見表3所列。

圖2 “一選一”表決邏輯示意

表3 “一選一”表決邏輯計算的PFD及STR

表3中MTTR=8 h=9.13×10-4a，TI=1 a，因而PFDAVG=0.01+0.005+0.01+0.01=0.035，滿足SIL1要求(SIL1范圍為0.1～0.01)。

回路的STR=4.57 E-6+0.04+0.017+0.04 + 0.04=0.137，因而MTTF=1/STR=7.3 a。

3 安全回路改造方案的PFD及STR核算

因為閥門投資較大，改造牽涉的管線較多，所以在安全儀表回路的改造中很少針對閥門進行改造。安全儀表回路的改造有多種選擇方案，每種方案的可靠性和可用性側重點不一樣，最終用戶可以根據需求選擇不同的方案，見表4所列。

表4 安全回路改造方案

其中方案5～8主要考慮的是安全儀表回路的可靠性，導致系統(tǒng)的可用性很差，因而在實際中應用較少，在此不做討論。

3.1方案1

方案1對應的信號連接如圖3所示，根據公式(1)，(2)，(5)，(8)，(10)，(16)計算的PFD和STR結果見表5所列。

圖3 方案1的信號連接示意

表5 方案1的PFD及STR計算

表5中MTTR=8 h=9.13×10-4a，TI=1 a，因而PFDAVG=0.02+0.005+0.01+0.01=0.045，滿足SIL1要求(SIL1范圍為0.1～0.01)。

回路的STR=(4.57 E-6)+(2.92 E-6)+0.017+0.04+0.04=0.097，因而MTTF=1/STR=10.31 a。

3.2方案2

方案2對應的信號連接如圖4所示，根據公式(1)，(2)，(10)，(16)計算的PFD和STR結果見表6所列。

圖4 方案2的信號連接示意

表6 方案2的PFD及STR計算

表6中MTTR=8 h=9.13×10-4a，TI=1 a，因而PFDAVG=0.02+0.005+0.02+0.01=0.055，滿足SIL1要求(SIL1范圍為0.10～0.01)。

回路的STR=(4.57 E-6)+(2.92 E-6)+0.017+(2.92 E-6)+0.04=0.057，因而MTTF=1/STR=17.5 a。

3.3方案3

方案3對應的信號連接如圖5所示，根據公式(1)，(2)，(5)，(8)，(11)，(17)計算的PFD和STR結果見表7所列。

圖5 方案3的信號連接示意

表7 方案3的PFD及STR計算

表7中MTTR=8 h=9.13×10-4a，TI=1 a，因而PFDAVG=0.0004+0.005+0.01+0.01=0.0254，滿足SIL1要求(SIL1范圍為0.1～0.01)。

回路的STR=(4.57 E-6)+(8.77 E-6)+0.017+0.04+0.04=0.097，因而MTTF=1/STR=10.31 a。

3.4方案4

方案4對應的信號連接如圖6所示，根據公式(1)，(2)，(5)，(8)，(11)，(17)計算結果見表8所列。

圖6 方案4的信號連接示意

表8 方案4的PFD及STR計算

續(xù) 表 8

表8中MTTR=8 h=9.13×10-4a，TI=1 a，因而PFDAVG=0.0004+0.005+0.02+0.01=0.0354，滿足SIL1要求(SIL1范圍為0.1～0.01)。

回路的STR=(4.57 E-6)+(8.77 E-6)+0.017+(2.92 E-6)+0.04=0.057，因而MTTF=1/STR=17.5 a。

3.5各種改造方案的可靠性和誤動作概率參數對比

該公司原始的“一選一”安全儀表回路邏輯與改造方案1～4的可靠性和STR參數對比見表9所列。

表9 各種方案的可靠性和STR參數對比

從表9中的數據可以看出，安全儀表回路的各種改造方案側重點不一樣。如果從STR方面考慮，按照方案2和方案4改造后，安全儀表回路的STR一樣，比原始設計會大幅減少；如果從可靠性方面考慮，方案4比方案2的可靠性要高些。

安全儀表回路改造除了在硬件上實現外，同時也要在軟件部分增加診斷邏輯，比如檢測元件的偏差報警、電磁閥完好狀態(tài)的定期檢驗等，以保證安全儀表回路的完整性。

4 結束語

在石油化工自動化設計中，不僅要考慮安全儀表回路的可靠性，同時也要考慮可用性，如何達到可靠性和可用性的平衡，是設計和技術人員必須研究的問題。目前該公司海南基地的化肥一部在2012年對安全儀表回路進行了“二選二”表決邏輯改造，效果非常明顯，基本避免了由于儀表導致的非計劃性停車，由此證明該公司的安全儀表回路改造方案是可行的，下一步需要在該公司集團內部進行推廣和完善，保證裝置的長周期穩(wěn)定運行。

[1]靳江紅，吳宗之，趙壽堂，等.安全儀表系統(tǒng)的功能安全國內外發(fā)展綜述[J].化工自動化及儀表，2010(05)： 1-5.

[2]IEC. IEC 61508 Functional Safety of Electrical/Electronic/Programmable Electronic Safety-related Systems[S]. IEC, 2003.

[3]IEC. IEC 61511 Functional Safety： Safety Instrumented Systems for the Process Industry Sector[S]. IEC, 2003.

[4]ISA. ANSI/ISA-84.01 Application of Safety Instrumented System for the Process Industries [S]. ISA, 2002.

[5]郭亮，婁開麗.安全儀表系統(tǒng)的安全生命周期[J].化工自動化及儀表，2009(04)： 8-13.

[6]李鵬，王彥剛，陳建平.工廠安全儀表系統(tǒng)設計要求及實現[J].石油化工自動化，2009，45(05)： 12-16.

[7]丁振宇，朱建新，包士毅，等.LDPE裝置反應器聯(lián)鎖系統(tǒng)可靠性計算方法研究[J].石油化工自動化，2010，46(01)： 8-12.

[8]宋志遠.SIL報告在自控設計中的指導應用[J].石油化工自動化，2009，45(03)： 6-12.

[9]魏華.安全儀表的可靠性和可用性分析[J].石油化工自動化，2009，45(01)： 10-13.

[10]魏華.安全設計的保護層分析在600 kt/a甲醇項目中的應用[J].石油化工自動化，2008，44(06)： 24-27.

ReliabilityandCalculationofMalfunctionProbabilityRateforSafetyInstrumentLoopTransforming

Zhou Yanpeng

(CNOOC Property Construction amp; Management Co. Ltd., Beijing,100010, China)

Safety integrity level (SIL) evaluation technology is an asset management way based on risk for petro-chemical industries which is being developed in recent years. The implementation of international standard of IEC 61508 and IEC 61511 provide theory support for SIL evaluation for process industry such as petro-chemical industry, and the safety operation has been great promoted. Based on the calculation technique, the current used safety instrument loop is evaluated for CNOOC, and the probability for failure (PFD) and spurious trip rate (STR) are calculated theoretically, which has provided a theory foundation for pre-phase demonstration of the safety instrument project and technical reforming.

process hazard analysis; hazard and operation analysis; safety integrity level; probability for failure; spurious trip rate

稿件收到日期：2013-07-26。

周雁鵬(1975—)，女，遼寧撫順人，1997年畢業(yè)于北京石油化工學院自動化系，現就職于中海油基建管理有限責任公司，參與過多個大型化工裝置的項目建設，發(fā)表過2篇論文。

TP202

B

1007-7324(2013)05-0001-06