SIS中考慮功能測(cè)試的Markov建模分析

Analysis of Markov Modeling Considering Functional Test for SIS

王慧鋒　龍　飛

(華東理工大學(xué)信息科學(xué)與工程學(xué)院，上?！?00237)

SIS中考慮功能測(cè)試的Markov建模分析

Analysis of Markov Modeling Considering Functional Test for SIS

王慧鋒龍飛

(華東理工大學(xué)信息科學(xué)與工程學(xué)院，上海200237)

摘要：采用Markov建模方法計(jì)算安全完整性水平(SIL)時(shí)，為了使計(jì)算結(jié)果更加精確，對(duì)安全儀表系統(tǒng)(SIS)中帶診斷電路的系統(tǒng)建模時(shí)加入考慮功能測(cè)試的條件進(jìn)行重新建模。利用重建的模型計(jì)算出系統(tǒng)在功能測(cè)試后的測(cè)試時(shí)間間隔內(nèi)的平均要求時(shí)失效概率，進(jìn)而得出SIS的SIL等級(jí)，并與未考慮功能測(cè)試條件建模的計(jì)算結(jié)果進(jìn)行比較。通過(guò)分析得出考慮功能測(cè)試條件建模時(shí)計(jì)算得到的結(jié)果相對(duì)精確，并以化工裝置中的加氫裝置為例進(jìn)一步驗(yàn)證了理論研究結(jié)果的正確性和適用性。

關(guān)鍵詞：安全儀表系統(tǒng)Markov模型功能測(cè)試安全完整性等級(jí)冗余結(jié)構(gòu)失效率診斷電路

Abstract：For the system with diagnostic circuit in safety instrumented system (SIS), to calculate safety integrity level (SIL) by adopting Markov modeling method, in order to improve the accuracy of calculation, the functional test condition is taken into account for model reconstruction. From the rebuilt model, the PFDavg of the system in the test interval after the functional test is calculated; then come to the SIL of SIS. The calculated result is compared with that by using the method in which the functional test is not taken into account. Through analyzing, it is found that the method proposed obtained more accurate result, and with the hydrogenation unit in chemical industry as example, the correctness and applicability of the result of theoretical research are verified.

Keywords：SISMarkov modelFunctional testSILRedundant structureFailure rateDiagnostic circuit

0引言

在石化裝置中，安全儀表系統(tǒng)(safety instrumented system,SIS)已被廣泛應(yīng)用，用來(lái)確保生產(chǎn)過(guò)程的安全，降低風(fēng)險(xiǎn)[1-2]。為了確保安全儀表系統(tǒng)能夠正確地執(zhí)行其安全功能，滿(mǎn)足要求的安全完整性等級(jí)(safety integrity level,SIL)，SIS在投入運(yùn)行前需要對(duì)其進(jìn)行功能安全評(píng)估，確定其 SIL等級(jí)[3]。為了計(jì)算SIL等級(jí)， IEC 61508標(biāo)準(zhǔn)中給出了故障樹(shù)分析[4]、可靠性框圖[5]以及Markov建模[6]的定量計(jì)算方法，其中，Markov建模方法應(yīng)用較好[7]。

IEC 61508標(biāo)準(zhǔn)中介紹了幾種冗余結(jié)構(gòu)的Markov模型的建模方法[8]。文獻(xiàn)[9]在對(duì)1oo1D和2oo2D結(jié)構(gòu)的系統(tǒng)建模時(shí)還考慮了診斷電路的失效概率，使得模型的全面性和完整性得到進(jìn)一步提高，但這些模型計(jì)算出的平均要求時(shí)失效概率(average probability of failure on demand，PFDavg)只是在一個(gè)功能測(cè)試間隔內(nèi)的，不能對(duì)功能測(cè)試[10]期間的失效和修復(fù)行為進(jìn)行定量計(jì)算。在實(shí)際生產(chǎn)過(guò)程中，功能測(cè)試是很有必要的。本文在文獻(xiàn)[9]的基礎(chǔ)上，以 1oo1D和 2oo2D冗余結(jié)構(gòu)的 SIS為例，對(duì)帶診斷電路的SIS重新建立Markov模型，分析功能測(cè)試(本文僅討論在線(xiàn)功能測(cè)試)對(duì)SIL等級(jí)確定的影響。

1Markov建模方法簡(jiǎn)介

安全儀表系統(tǒng)中定量計(jì)算SIL等級(jí)的建模方法所使用的 Markov模型采用狀態(tài)轉(zhuǎn)移圖表示系統(tǒng)的狀態(tài)變化。系統(tǒng)的狀態(tài)(可以是正常、失效或者中間狀態(tài))用圓圈來(lái)表示，系統(tǒng)狀態(tài)轉(zhuǎn)移用帶箭頭的一條弧線(xiàn)表示，起點(diǎn)表示轉(zhuǎn)移前系統(tǒng)狀態(tài)，終點(diǎn)表示轉(zhuǎn)移后系統(tǒng)狀態(tài)，弧線(xiàn)上方標(biāo)注的數(shù)值代表各個(gè)狀態(tài)之間的轉(zhuǎn)移概率[6](通常用λ表示失效率，μ表示修復(fù)率)。Markov模型示例如圖1所示。

圖1　Markov模型示例

圖1所示模型中有兩個(gè)狀態(tài)：正常(狀態(tài)0)和失效(狀態(tài)1)，狀態(tài)0可能以失效率λ1轉(zhuǎn)移到狀態(tài)1，而狀態(tài)1可以通過(guò)修復(fù)率μ0恢復(fù)到狀態(tài)0。由 Markov模型可以得到系統(tǒng)的狀態(tài)方程，對(duì)此方程進(jìn)行求解并根據(jù) IEC 61508中的公式就可以計(jì)算出PFDavg。

2考慮功能測(cè)試的Markov模型

1oo1D和 2oo2D 是典型的兩個(gè)帶診斷通道的冗余結(jié)構(gòu)，本文將對(duì)安全儀表系統(tǒng)中邏輯控制器模塊的 1oo1D和 2oo2D結(jié)構(gòu)進(jìn)行建模分析，表1列出了模型中用到的符號(hào)含義，表2為IEC 61508中低要求操作模式下 SIL等級(jí)劃分表。

表1　模型中的符號(hào)含義

表2　安全完整性水平劃分表

2.1　1oo1D結(jié)構(gòu)的Markov模型

未考慮功能測(cè)試條件下，1oo1D結(jié)構(gòu)加入診斷模塊失效率(圖中虛線(xiàn)部分)的Markov模型如圖2所示。

狀態(tài)轉(zhuǎn)移矩陣如下所示。

1oo1D結(jié)構(gòu)的PFDavg可以由式(1)計(jì)算得到：

PFDavg=S0PTIVD

(1)

圖2　1oo1D考慮診斷模塊失效率的Markov模型

考慮功能測(cè)試條件時(shí)，未檢測(cè)到的危險(xiǎn)失效(狀態(tài)2)就可以通過(guò)功能測(cè)試發(fā)現(xiàn)，并以μ1的修復(fù)率(圖中虛線(xiàn)部分)恢復(fù)到正常狀態(tài)。考慮功能測(cè)試的Markov模型如圖3所示，其狀態(tài)轉(zhuǎn)移矩陣如下所示。

圖3　1oo1D考慮功能測(cè)試的Markov模型

(2)

2.2　2oo2D結(jié)構(gòu)的Markov模型

同樣，可以建立 2oo2D冗余結(jié)構(gòu)加入診斷模塊失效率的 Markov模型，如圖4所示。其狀態(tài)轉(zhuǎn)移矩陣如式(3)所示，2oo2D的狀態(tài)相對(duì)復(fù)雜，共有9個(gè)狀態(tài)。

圖4　2oo2D考慮診斷模塊失效率的Markov模型

同理，考慮功能測(cè)試的Markov模型如圖5所示，其中的虛線(xiàn)表示未檢測(cè)到的危險(xiǎn)失效(狀態(tài)2、5、7、8)。未檢測(cè)到的危險(xiǎn)失效可以通過(guò)功能測(cè)試發(fā)現(xiàn)并修復(fù)(修復(fù)率為μ1)，狀態(tài)轉(zhuǎn)移矩陣如式(4)所示。式(3)和式(4)中Σ表示矩陣中當(dāng)前行其他元素之和。

圖5　2oo2D考慮功能測(cè)試的Markov模型

(3)

(4)

3理論分析

考慮功能測(cè)試后重新建立的Markov模型在一定程度上會(huì)影響到SIL等級(jí)的計(jì)算結(jié)果，利用上述對(duì)1oo1D和2oo2D冗余結(jié)構(gòu)建立的模型，以邏輯控制器為研究對(duì)象，做計(jì)算分析。計(jì)算中做以下規(guī)定。

① 設(shè)備失效率取為：λSD=1.007×10-6、λSU=9.900×10-8、λDD=5.900×10-7、λDU=1.180×10-7、λE=9.4×10-8，共因失效因子β=0.05。

② 儀表故障在線(xiàn)修復(fù)時(shí)間TD= 8 h,則μ0=1/8=0.125；功能測(cè)試周期為1年(8 760 h)，一次無(wú)故障停車(chē)后裝置重啟時(shí)間為 24 h，則μSD=1/24=0.042。假定功能測(cè)試是理想的，即CTI=100%。

③ 一個(gè)功能測(cè)試周期后，各狀態(tài)都達(dá)到了極限狀態(tài)概率。

3.1　1oo1D冗余結(jié)構(gòu)計(jì)算結(jié)果

由式(1)可以求出未考慮功能測(cè)試時(shí)的平均要求時(shí)失效概率:

PFDavg=1.9×10-3

(5)

(6)

3.2　2oo2D冗余結(jié)構(gòu)計(jì)算結(jié)果

3.3　計(jì)算結(jié)果分析

與表2對(duì)比可以得出，上述兩組計(jì)算結(jié)果中，未考慮功能測(cè)試和考慮功能測(cè)試條件時(shí)計(jì)算的結(jié)果所對(duì)應(yīng)的SIL等級(jí)都為SIL2，但考慮了功能測(cè)試之后得到的PFDavg稍微偏大，而未考慮功能測(cè)試時(shí)計(jì)算的結(jié)果相對(duì)保守，一定程度上會(huì)高估SIL等級(jí)，影響其精確性。

圖6　誤差e隨u1的變化曲線(xiàn)

從圖6可以看出,隨著測(cè)試覆蓋率的不斷增大，雖然兩者的誤差不斷減小，但始終保持在0.001 1的范圍之內(nèi)。對(duì)照表2可以看出,雖然這個(gè)誤差對(duì)SIL1和SIL2等級(jí)的計(jì)算影響不大，但對(duì)SIL3和SIL4等級(jí)的系統(tǒng)將影響其計(jì)算結(jié)果的精確性。如果高估安全儀表系統(tǒng)的SIL等級(jí)，在實(shí)際工程應(yīng)用中對(duì)安全儀表系統(tǒng)的投入成本就會(huì)相對(duì)增加，一定程度上會(huì)降低企業(yè)的經(jīng)濟(jì)效益。因此，SIL等級(jí)計(jì)算的精確性在實(shí)際應(yīng)用中具有重要意義。

4理論應(yīng)用

以上是對(duì) 1oo1D和 2oo2D結(jié)構(gòu)Markov建模方法計(jì)算SIL等級(jí)進(jìn)行的理論分析，為了驗(yàn)證理論分析結(jié)果在實(shí)際應(yīng)用中是否具有正確性和適用性，以加氫裝置為例，做進(jìn)一步探討。對(duì)于工況較為復(fù)雜的加氫裝置必須設(shè)置安全儀表系統(tǒng)來(lái)保證生產(chǎn)過(guò)程的安全[13]，加氫裝置的工藝背景和工藝流程在文獻(xiàn)[14]中有詳細(xì)描述，這里不一一贅述，僅以加氫裂化反應(yīng)器入口溫度安全儀表功能為例，對(duì)其進(jìn)行相關(guān)安全儀表的SIL等級(jí)計(jì)算。循環(huán)氫加熱爐燃?xì)鈮毫Π踩珒x表系統(tǒng)框圖如圖7所示。

圖7　循環(huán)氫加熱爐燃?xì)鈮毫Π踩珒x表系統(tǒng)框圖

在該安全儀表系統(tǒng)中，使用熱電偶對(duì)加氫裂化反應(yīng)器入口處溫度進(jìn)行檢測(cè)，檢測(cè)到的信號(hào)傳輸?shù)綔囟茸兯推?，溫度變送器將?biāo)準(zhǔn)的4~20 mA信號(hào)輸出到報(bào)警設(shè)置，邏輯控制器根據(jù)報(bào)警設(shè)置輸出的開(kāi)關(guān)量信號(hào)執(zhí)行相應(yīng)的安全聯(lián)鎖邏輯。當(dāng)檢測(cè)到反應(yīng)器入口溫度過(guò)高時(shí)， 邏輯控制器會(huì)執(zhí)行聯(lián)鎖動(dòng)作來(lái)關(guān)閉閥門(mén) XCVI-11和 XCVI-16，去長(zhǎng)明燈和去主火嘴的燃料氣將會(huì)被切斷，從而熄滅長(zhǎng)明燈和火嘴，防止由于溫度過(guò)高引起反應(yīng)失控。

同樣以邏輯控制器為研究對(duì)象做進(jìn)一步探討，可以看出圖7中邏輯控制器系統(tǒng)結(jié)構(gòu)為 1oo1的冗余結(jié)構(gòu)，下面通過(guò)建立Markov模型對(duì)其SIL等級(jí)進(jìn)行計(jì)算。其未考慮功能測(cè)試的Markov模型如圖8所示。

圖8　1oo1結(jié)構(gòu)的Markov模型

其狀態(tài)轉(zhuǎn)移矩陣如式(7)所示。

(7)

考慮功能測(cè)試的Markov模型如圖9所示。

圖9　1oo1結(jié)構(gòu)考慮功能測(cè)試的Markov模型

其狀態(tài)轉(zhuǎn)移矩陣如式(8)所示。

(8)

設(shè)備的相關(guān)失效數(shù)據(jù)[15]如表3所示。對(duì)于邏輯控制器部分，采用前面同樣的方法計(jì)算，得出未考慮功能測(cè)試時(shí)PFD1=1.04×10-3;考慮功能測(cè)試時(shí)的計(jì)算結(jié)果為PFD2=1.4×10-3。從計(jì)算結(jié)果可以看出，加氫裝置的邏輯控制器模塊的SIL等級(jí)達(dá)到了SIL2。同樣，未考慮功能測(cè)試時(shí)的計(jì)算結(jié)果相對(duì)保守，而考慮了功能測(cè)試后的計(jì)算結(jié)果稍微偏大，相對(duì)精確，這和理論分析上的結(jié)果保持一致，從而證明了理論分析的正確性。另外,加氫裝置邏輯控制器部分是 1oo1的冗余結(jié)構(gòu)，進(jìn)一步說(shuō)明了上述理論對(duì)其他系統(tǒng)結(jié)構(gòu)同樣具有適用性。

表3　相應(yīng)設(shè)備失效率

5結(jié)束語(yǔ)

對(duì)于1oo1D和2oo2D冗余結(jié)構(gòu)的系統(tǒng)，分別建立未考慮功能測(cè)試和考慮功能測(cè)試的 Markov模型，并通過(guò)對(duì) Markov模型求解，進(jìn)一步計(jì)算出平均要求時(shí)失效概率，得出其SIL等級(jí)。將考慮功能測(cè)試的計(jì)算結(jié)果與未考慮功能測(cè)試時(shí)的計(jì)算結(jié)果進(jìn)行比較，可以看出考慮功能測(cè)試后的計(jì)算結(jié)果相對(duì)精確，能更好地對(duì)化工裝置中的安全儀表系統(tǒng)進(jìn)行 SIL等級(jí)評(píng)估。通過(guò)對(duì)加氫裝置的控制器部分進(jìn)行 SIL等級(jí)計(jì)算，進(jìn)一步驗(yàn)證了本文理論分析結(jié)果的正確性和適用性。

參考文獻(xiàn)

[1] 張雙亮，李慶濤.海洋石油平臺(tái)安全儀表系統(tǒng)的設(shè)計(jì)與應(yīng)用[J].自動(dòng)化儀表,2011,32(9):83-86.

[2] 龔義文.安全儀表系統(tǒng)在化工裝置中的應(yīng)用[J].自動(dòng)化儀表,2010,31(12):50-54.

[3] 黃文君，何偉挺，邊俊.安全儀表系統(tǒng)的功能安全設(shè)計(jì)[J].自動(dòng)化儀表,2010,31(7):75-78.

[4] Dutuit Y,Innal F,Rauzy A,et al.Probabilistic assessments in relationship with safety integrity levels by using Fault Trees[J].Reliability Engineering and System Safety,2008,93(12):1867-1876.

[5] Catelani M,Ciani L,Luongo V.A simplified procedure for the analysis of Safety Instrumented Systems in the process industry application[J].Microelectronics Reliability,2011,51(9-11):1503-1507.

[6] Bukowski J,Goble W.Using Markov models for safety analysis of programmable electronic systems[J].ISA Transaction,1995,34(2):193-198.

[7] Zhang T L,Long W,Sato Y.Availability of systems with self-diagnostic components-applying Markov model to IEC 61508-6[J].Reliability Engineering and System Safety,2003,80(2):133-141.

[8] International Electrotechnical Commission.IEC 61508 Functional safety of electrical/electronic/programmable safety-related system[S].2000.

[9] 王慧鋒，張亨，湯陳懷，等.SIS中基于Markov模型的診斷模塊失效率分析[J].化工自動(dòng)化及儀表,2012,40(2):196-199.

[10]Torres-Echeverria A C,Martorell S,Thompson H A.Modelling and optimization of proof testing policies for safety instrumented systems[J].Reliability Engineering and System Safety,2009,94(4):838-854.

[11]陽(yáng)憲惠，郭海濤.安全儀表系統(tǒng)的功能安全[M].北京：清華大學(xué)出版社,2007：90-91.

[12]陳偉，趙建平.功能測(cè)試條件下安全儀表系統(tǒng)失效概率預(yù)測(cè)方法[J].石油化工設(shè)備,2012,41(1):80-82.

[13]宋小寧.加氫裝置安全儀表系統(tǒng)設(shè)計(jì)[J].自動(dòng)化儀表,2008,29(11):64-68.

中圖分類(lèi)號(hào)：TH701

文獻(xiàn)標(biāo)志碼：A

DOI:10.16086/j.cnki.issn1000-0380.201502015

修改稿收到日期：2014-08-09。

第一作者王慧鋒(1969-),女，1992年畢業(yè)于華東理工大學(xué)生產(chǎn)過(guò)程自動(dòng)化專(zhuān)業(yè)，獲博士學(xué)位，教授；主要從事檢測(cè)技術(shù)及自動(dòng)化裝置的研究。