淺談安全儀表系統(tǒng)的安全完整性等級(jí)驗(yàn)證方法

茅　穎

中國(guó)成達(dá)工程有限公司　成都　610041

?

淺談安全儀表系統(tǒng)的安全完整性等級(jí)驗(yàn)證方法

茅穎*

中國(guó)成達(dá)工程有限公司成都610041

安全儀表系統(tǒng)的安全完整性等級(jí)驗(yàn)證目的是為了驗(yàn)證其是否符合IEC 61508/61511相關(guān)標(biāo)準(zhǔn)的規(guī)定。本文通過介紹IEC 61508的相關(guān)概念及公式，結(jié)合項(xiàng)目中應(yīng)用的實(shí)例，介紹驗(yàn)算方法，為項(xiàng)目前期設(shè)計(jì)方案確定、投資估算及設(shè)計(jì)過程中常見安全回路的正確搭建提供參考。

安全儀表系統(tǒng)安全完整性驗(yàn)證需求失效概率硬件結(jié)構(gòu)約束

加強(qiáng)安全相關(guān)系統(tǒng)包括安全儀表系統(tǒng)的管理迫在眉睫,特別是安監(jiān)局116號(hào)文對(duì)設(shè)計(jì)符合安全生命周期的安全儀表系統(tǒng)提出了更高要求。目前在安全相關(guān)系統(tǒng)生命周期的各階段還存在各種設(shè)計(jì)、管理的不足，安全儀表系統(tǒng)的安全完整性等級(jí)驗(yàn)證是規(guī)范安全儀表系統(tǒng)設(shè)計(jì)的重要一環(huán)。

在整個(gè)安全相關(guān)系統(tǒng)的生命周期中，當(dāng)通過危險(xiǎn)分析和風(fēng)險(xiǎn)評(píng)估為每一個(gè)安全功能分配了安全完整性等級(jí)后，需對(duì)每一個(gè)安全功能進(jìn)行安全完整性等級(jí)符合性驗(yàn)證，以確保安全相關(guān)系統(tǒng)滿足需要的功能安全。

對(duì)于安全儀表系統(tǒng)而言，其符合性驗(yàn)證包含四個(gè)方面，即驗(yàn)證需求失效概率、驗(yàn)證硬件結(jié)構(gòu)約束、軟件安全功能、系統(tǒng)失效的避免和控制。軟件安全功能可以通過驗(yàn)證V-V模型設(shè)計(jì)以及有安全認(rèn)證的軟件模塊來降低失效風(fēng)險(xiǎn)。為了避免并且控制系統(tǒng)的失效，需要重視設(shè)計(jì)、方案、培訓(xùn)、質(zhì)量跟蹤、變更控制等各個(gè)階段，并且規(guī)范安全生命周期中各環(huán)節(jié)的安全要求。

下面重點(diǎn)介紹安全儀表系統(tǒng)的符合性驗(yàn)證中對(duì)于硬件安全完整性所進(jìn)行的需求失效概率及硬件結(jié)構(gòu)約束的驗(yàn)證說明，這也是SIL驗(yàn)證中常見的驗(yàn)證內(nèi)容。

1　驗(yàn)證需求失效概率

根據(jù)IEC 61508規(guī)定，由于隨機(jī)硬件失效引起的安全功能失效的概率應(yīng)當(dāng)?shù)扔诨虻陀诎踩笠?guī)范中所規(guī)定的目標(biāo)值。對(duì)于石油化工裝置，通常安全儀表功能要求在1年內(nèi)被執(zhí)行的次數(shù)不超過1次，故常采用低要求模式。對(duì)于在裝置運(yùn)行中安全儀表功能始終保持設(shè)備處于安全狀態(tài)或安全儀表功能要求在1年內(nèi)被執(zhí)行的次數(shù)超過1次的情況，可采用連續(xù)運(yùn)行模式或高要求模式。按照IEC 61508的闡述，SIL等級(jí)與硬件失效概率的對(duì)應(yīng)關(guān)系見表1。

表1　SIL等級(jí)與硬件失效概率的對(duì)應(yīng)關(guān)系

根據(jù)IEC 61508 的推導(dǎo)，如果考慮危險(xiǎn)失效發(fā)生后，平均維修和恢復(fù)時(shí)間為MTTR，單個(gè)設(shè)備的PFD計(jì)算公式：

從公式中可以得出，驗(yàn)證PFD的可靠性參數(shù)包括：① 未能檢測(cè)的危險(xiǎn)失效率λdu和總的危險(xiǎn)失效率λd；② 測(cè)試周期T；③ 平均維修和恢復(fù)時(shí)間MTTR。除此以外，當(dāng)子系統(tǒng)中包含冗余結(jié)構(gòu)時(shí)，還需要考慮共因失效CCF(β)的影響。

2　驗(yàn)證硬件結(jié)構(gòu)約束

硬件安全完整性除滿足上述失效概率要求外，其安全功能所聲明的最高安全完整性等級(jí)，還受限于執(zhí)行該安全功能的子系統(tǒng)的硬件故障裕度(HWFT)和安全失效分?jǐn)?shù)(SFF)。

在確定硬件故障裕度時(shí)，首先應(yīng)確認(rèn)安全儀表系統(tǒng)屬于哪一類子系統(tǒng)，不同的子系統(tǒng)對(duì)應(yīng)不同的硬件結(jié)構(gòu)約束要求。

通常，滿足下列條件的子系統(tǒng)視為A類：① 所有組成部件的失效模式都被很好地定義；② 故障狀態(tài)下子系統(tǒng)的行為能夠完全確定；③ 有充足而可靠的實(shí)際數(shù)據(jù)來支持所使用的檢測(cè)到和未檢測(cè)到的危險(xiǎn)失效的失效率。A類安全相關(guān)子系統(tǒng)的結(jié)構(gòu)約束見表2[1]。

表2　A類安全相關(guān)子系統(tǒng)的結(jié)構(gòu)約束

滿足下列任一條件的子系統(tǒng)通常視為B類：① 至少有一個(gè)組成部件的失效模式未被很好地定義；② 故障狀態(tài)下子系統(tǒng)的行為不能完全確定；③ 通過現(xiàn)場(chǎng)經(jīng)驗(yàn)獲得的可靠性數(shù)據(jù)不夠充分來支持使用的檢測(cè)到的和未檢測(cè)到的危險(xiǎn)失效的失效率。B類安全相關(guān)子系統(tǒng)的結(jié)構(gòu)約束見表3[1]。

表3　B類安全相關(guān)子系統(tǒng)的結(jié)構(gòu)約束

由上可知，驗(yàn)證安全儀表回路的硬件故障裕度用到的可靠性參數(shù)包括兩部分：① 類型(A型或B型)；② 安全失效分?jǐn)?shù)SFF。

在E/E/PE安全相關(guān)系統(tǒng)中，某一安全功能能滿足的最大硬件安全完整性等級(jí)取決于子系統(tǒng)的最低硬件安全完整性等級(jí)要求。如果安全功能是通過多個(gè)通道實(shí)現(xiàn)的，則需要考慮這些通道組合來確定硬件安全完整性等級(jí)。

3　可靠性參數(shù)的獲取

在實(shí)際應(yīng)用中，可以通過以下幾種方式獲取可靠性參數(shù)。

3.1商業(yè)數(shù)據(jù)庫(kù)

目前已有大量的工業(yè)數(shù)據(jù)庫(kù)可供使用，比如OREDA、PDS、Exida等，這些數(shù)據(jù)庫(kù)的所有數(shù)據(jù)主要基于工業(yè)現(xiàn)場(chǎng)，但由于其失效信息受運(yùn)行時(shí)間、技術(shù)水平、失效原因、環(huán)境條件等因素影響。因此，得到的數(shù)據(jù)往往比實(shí)際值要大。盡管如此，在沒有其他可用數(shù)據(jù)源的情況下，工業(yè)數(shù)據(jù)庫(kù)還是有價(jià)值的。過高的數(shù)據(jù)會(huì)導(dǎo)致計(jì)算結(jié)果偏大，但也是偏安全的結(jié)果。

3.2供應(yīng)商提供數(shù)據(jù)

獲得SIL認(rèn)證的儀表設(shè)備供應(yīng)商通常都能夠提供SIL認(rèn)證數(shù)據(jù)，計(jì)算PFD時(shí)應(yīng)優(yōu)先使用這類數(shù)據(jù)。

3.3用戶統(tǒng)計(jì)數(shù)據(jù)

企業(yè)在長(zhǎng)期操作過程中搜集統(tǒng)計(jì)的數(shù)據(jù)，使用這類數(shù)據(jù)應(yīng)清楚統(tǒng)計(jì)數(shù)據(jù)的來源、操作背景、環(huán)境條件等，并要有足夠的樣本數(shù)量作為支撐。目前，這類數(shù)據(jù)的收集還有一定難度。

4　PFD計(jì)算常用公式

事實(shí)上，在安全儀表回路搭建過程中，為了提高系統(tǒng)的可靠性，利用更多的設(shè)備構(gòu)成冗余的結(jié)構(gòu)是實(shí)際應(yīng)用中經(jīng)常采用的方法。采用并聯(lián)的結(jié)構(gòu)可以提高系統(tǒng)的可靠性，引入表決系統(tǒng)可以降低系統(tǒng)的誤動(dòng)率。安全儀表系統(tǒng)的傳感器部分、邏輯控制部分和執(zhí)行部分均可采用冗余的方式進(jìn)行結(jié)構(gòu)配置。

4.1共因失效

在進(jìn)行冗余系統(tǒng)的可靠性分析時(shí)，處理獨(dú)立失效和相關(guān)失效是非常重要的。引起共因失效的原因很多，包括：設(shè)計(jì)、制造、安裝調(diào)試、維修過程中的錯(cuò)誤；環(huán)境應(yīng)力(如溫度、濕度等)；人員活動(dòng)等。IEC61508中使用β因子法作為定量分析共因失效的方法之一，在實(shí)際使用中，對(duì)于不同類型設(shè)備，不同結(jié)構(gòu)的表決系統(tǒng)，β因子往往不同。

β(MooN)=β·CMooN

4.2表決結(jié)構(gòu)計(jì)算公式

在安全儀表回路中，常見下面五種表決結(jié)構(gòu)形式，不同的表決結(jié)構(gòu)將推導(dǎo)出不同的故障失效概算計(jì)算公式。

(1)1oo1表決結(jié)構(gòu)

根據(jù)IEC61508公式推導(dǎo)，其簡(jiǎn)化公式：

(2)1oo2表決結(jié)構(gòu)

根據(jù)IEC61508公式推導(dǎo)，其簡(jiǎn)化公式：

上述公式是針對(duì)相同元件共因失效時(shí)的需求失效概率，對(duì)于不同元件的1oo2結(jié)構(gòu)，根據(jù)某PFD驗(yàn)證公司提供的推導(dǎo)結(jié)果，得到的公式：

(3)2oo2表決結(jié)構(gòu)

根據(jù)IEC61508公式推導(dǎo)，其簡(jiǎn)化公式：

PFD=λduT+2λd·MTTR

(4)1oo3表決結(jié)構(gòu)

根據(jù)IEC61508公式推導(dǎo)，其簡(jiǎn)化公式：

(5)2oo3表決結(jié)構(gòu)

根據(jù)IEC61508公式：

PFD=6((1-βd)λdd+(1-β)λdu)3tCEtGE

其簡(jiǎn)化公式：

4.3串聯(lián)計(jì)算公式

安全儀表功能回路由傳感器PFDS、邏輯處理器PFDL和執(zhí)行元件PFDFE構(gòu)成。

當(dāng)各個(gè)設(shè)備的失效概率遠(yuǎn)小于1時(shí)，可采用以下公式近似保守計(jì)算：

PFDSYS≈PFDS+PFDL+PFDFE

5　硬件安全完整性等級(jí)分析的可靠性方法

在進(jìn)行需求失效概率(PFD)及硬件故障裕度驗(yàn)證前，需進(jìn)行安全儀表系統(tǒng)的硬件安全完整性等級(jí)的分析，以便明確安全相關(guān)各子系統(tǒng)之間的關(guān)系，從而正確采用公式進(jìn)行驗(yàn)證。常用的分析方法包括可靠性框圖(RBD)、故障樹分析(FT)、馬爾可夫模型以及隨機(jī)網(wǎng)絡(luò)模型(Petri Net)，這些方法可以應(yīng)用于大多數(shù)安全相關(guān)系統(tǒng)的分析；下面以通常采用的可靠性框圖方法來舉例說明SIL符合性驗(yàn)證的過程。

6　SIL符合性驗(yàn)證舉例

某項(xiàng)目罐區(qū)TDI儲(chǔ)罐液位LT-001聯(lián)鎖，聯(lián)鎖原因：儲(chǔ)罐液位高高，聯(lián)鎖動(dòng)作：進(jìn)出口閥(XV-301,302)，卸料泵P2201A/B停；同時(shí)，循環(huán)閥(XV-303,304)關(guān)閉，循環(huán)及裝船泵P1201停。

6.1SIF回路風(fēng)險(xiǎn)評(píng)估

采用半定量的LOPA風(fēng)險(xiǎn)評(píng)估方法，對(duì)液位高高產(chǎn)生的原因，發(fā)生的頻率及導(dǎo)致的風(fēng)險(xiǎn)水平按照允許風(fēng)險(xiǎn)目標(biāo)進(jìn)行各獨(dú)立保護(hù)層分配后，確定此安全儀表回路所需的安全完整性等級(jí)要求為SIL2。

6.2可靠性框圖

結(jié)合工藝要求分析，TDI儲(chǔ)罐液位高高時(shí)關(guān)閉進(jìn)口閥XV-3O2,或者停止卸料泵P2201A或2201B(互為備用)結(jié)果相同，故XV-302與P2201A/P2201B采用并聯(lián)結(jié)構(gòu)；循環(huán)閥XV-303與XV-304安裝在儲(chǔ)罐入口，即TDI換熱后循環(huán)回儲(chǔ)罐的兩根管線上，如聯(lián)鎖時(shí)任一閥未能關(guān)閉，將導(dǎo)致聯(lián)鎖失效，故采用串聯(lián)結(jié)構(gòu)；關(guān)閉儲(chǔ)罐出口閥XV-301與停止去碼頭的裝船泵P1201結(jié)果相同，故XV-301與P1201采用并聯(lián)結(jié)構(gòu)。P1201在輸送去碼頭的同時(shí)分流了一路去換熱器經(jīng)XV-303/304循環(huán)回儲(chǔ)罐，同時(shí)，另有一路來自碼頭返回的部分物料也進(jìn)入儲(chǔ)罐，所以當(dāng)液位高高聯(lián)鎖時(shí)，循環(huán)切斷閥XV-303/304必須關(guān)閉，即使XV-301及P1201失效也不能導(dǎo)致聯(lián)鎖失效，據(jù)此，繪制的可靠性框圖見圖1。

圖1　TDI儲(chǔ)罐液位控制可靠性框圖

6.3計(jì)算用參數(shù)

開始計(jì)算前，需收集并整理所有計(jì)算用參數(shù)。按照前面所述的方法，此項(xiàng)目收集到用于計(jì)算的參數(shù)見表4。

表4　計(jì)算用參數(shù)表

注：測(cè)量元件數(shù)據(jù)來源：Rosemount Safety Manual 300540En, Rev. DA。

邏輯處理器數(shù)據(jù)來源：TUV certificate for safety control system Pro-safe-RS,No 968/EZ 196.33/13。

最終元件數(shù)據(jù)來源：TUV certificate for safety control system Pro-safe-RS,No 968/EZ 196.33/13；SGS-TUV Saar GmbH Certificate Report for Functional Safety Certificate No. FS/71/220/12/0006；PDS Data Handbook 2006 Edition。

對(duì)于此聯(lián)鎖回路，從傳感器到執(zhí)行元件，列出各部件類型及測(cè)試時(shí)間，由于化工裝置通常大修時(shí)間為1年，故各子系統(tǒng)檢驗(yàn)測(cè)試時(shí)間可設(shè)定為一年。

6.4計(jì)算過程

6.4.1計(jì)算前的假設(shè)

在使用IEC 61508 所提供的公式之前，必須滿足的假設(shè)：① 系統(tǒng)壽命內(nèi)部件失效率為常數(shù), 耗損期失效不包括在內(nèi)，即在各部件使用壽命期內(nèi)，該計(jì)算有效；② 所有工作模式為低要求操作模式；③ 計(jì)算結(jié)果為平均不可用度(PFD的平均值)；④ 每次測(cè)試或維修后，認(rèn)為設(shè)備和新設(shè)備一樣；⑤ λdu*T<<1；⑥ 共因分析中只考慮所有設(shè)備共因失效的情況；⑦ 測(cè)試時(shí)間遠(yuǎn)小于測(cè)試周期。

6.4.2計(jì)算PFD結(jié)果并驗(yàn)證其符合性

(1)PFDLT:查表4可知，其平均需求失效率PFD為2.74E-4。

(2)PFDSIS:查表4 可知，其平均需求失效率PFD為6.75E-6。嚴(yán)格來說，對(duì)于SIS系統(tǒng)的需求失效概率，需根據(jù)回路的結(jié)構(gòu)，如1oo2,2oo3等核算包含輸入輸出，邏輯處理器，安全柵等整體平均需求失效率，其驗(yàn)算結(jié)果可委托SIS廠家提供。

(3) PFDF1計(jì)算

查表知，λdu、λd (XV-302)均為 3.5E-8；由于P2201A/2201B互為備用，同一時(shí)間里只考慮一臺(tái)泵運(yùn)行的情況，故，λdu、λd(P2201A/2201B)為2E-7。

因XV-302 與泵不同類型，故采用不同類型組件的PFD計(jì)算公式，即：

(4)PFDF2計(jì)算

查表知，λdu、λd(XV-303)均為3.5E-8;λdu、λd(XV-304)均為3.5E-8。

當(dāng)XV-303與XV-304串聯(lián)后，PFD計(jì)算即求兩者PFD之和，即：

(3.5×10-8+3.5×10-8)×96≈3.1×10-4

(5) PFDF3計(jì)算

查表知，λdu、λd (XV-301)均為2.45E-8；λdu、λd(P1201)均為2E-7。

采用不同類型組件的PFD計(jì)算公式，即：

(6)PFDFE計(jì)算

綜合上述計(jì)算結(jié)果：

PFDFE=PFDF1+PFDF2+PFDF3≈ 3.1 × 10-4

即可得：

PFDSYS=PFDLT+PFDSIS+PFDFE≈ 5.9×10-4

依據(jù)IEC 61508標(biāo)準(zhǔn)，此結(jié)果符合SIL2 對(duì)PFD的目標(biāo)值。如果當(dāng)核算后，不能滿足PFD目標(biāo)值時(shí)，通過計(jì)算公式可知，也可采用調(diào)整測(cè)試時(shí)間T來適當(dāng)減小PFD值。

6.4.3驗(yàn)證硬件約束符合性

在安全相關(guān)系統(tǒng)中，最大硬件安全完整性取決于子系統(tǒng)的最低硬件安全完整性等級(jí)要求。

對(duì)于液位變送器LT-001，查表4可知，其SFF為96%，B類設(shè)備，無冗余設(shè)計(jì)，查硬件結(jié)構(gòu)約束表3知，其硬件安全完整性為SIL2。

對(duì)于SIS系統(tǒng)，根據(jù)廠商文件，其硬件結(jié)構(gòu)約束滿足SIL3要求。

對(duì)于執(zhí)行元件，硬件安全完整性如下：

(1)F1：① XV-302 包括閥體、執(zhí)行機(jī)構(gòu)、電磁閥。查表2可知，其整體SFF為73%，硬件安全完整性為SIL2；② P2201A/2201B：失電停泵，主要?jiǎng)幼髟槔^電器，其SFF為60%，查表2知，其硬件安全完整性為SIL2；③ 因F1為1oo2回路，2個(gè)設(shè)備失效則整個(gè)功能失效，故硬件故障裕度為1，綜合上述情況，F(xiàn)1子系統(tǒng)硬件完整性等級(jí)為SIL3。

(2)F2：同理，因兩閥串聯(lián)，硬件安全完整性取決于最低者，故F2子系統(tǒng)硬件完整性等級(jí)為SIL2。

(3)F3：與F1相似，其子系統(tǒng)的硬件安全完整性為SIL3。

由于F1，F(xiàn)2，F(xiàn)3子系統(tǒng)為串聯(lián)結(jié)構(gòu)，即執(zhí)行元件子系統(tǒng)整體硬件安全完整性為SIL2。

綜上可知，此回路整體硬件安全完整性為SIL2，其硬件結(jié)構(gòu)約束滿足此回路安全目標(biāo)SIL2的要求。

7　結(jié)　語(yǔ)

在以往很多項(xiàng)目的執(zhí)行過程中，對(duì)于安全儀表系統(tǒng)的設(shè)計(jì)并沒有嚴(yán)格的進(jìn)行安全完整性等級(jí)的符合性驗(yàn)證，導(dǎo)致安全儀表系統(tǒng)不能很好的滿足安全生產(chǎn)及管理的需要。隨著項(xiàng)目大型化，化工裝置危險(xiǎn)程度不斷增大,安全儀表系統(tǒng)安全完整性等級(jí)的符合性驗(yàn)證勢(shì)在必行。在以往的設(shè)計(jì)過程中，很多設(shè)計(jì)人員對(duì)于其方法了解不足。本文所述的驗(yàn)算方法可用于項(xiàng)目初期安全聯(lián)鎖回路搭建的初步驗(yàn)算，便于提前進(jìn)行判斷及優(yōu)化，減少后期對(duì)設(shè)計(jì)的修改，同時(shí)盡快進(jìn)行前期設(shè)計(jì)方案的投資估算，也可用于設(shè)計(jì)過程中對(duì)于較為明確、簡(jiǎn)單回路的驗(yàn)證，為推進(jìn)安全儀表系統(tǒng)的設(shè)計(jì)管理提供參考。

1IEC 61508Functional safety of electrical/electronic/programmable electronic safety-related.SystemsEdition 2.0 2010-04.

2IEC 61511Functional safety - Safety instrumented systems for the process industry sectorEdition 1.0 2003-01.

3GBT 20438-2006， 電氣 電子 可編程電子安全相關(guān)系統(tǒng)的功能安全[S].

4GBT 21109-2007, 過程工業(yè)領(lǐng)域安全儀表系統(tǒng)的功能安全[S].

5Reliability Prediction Method for Safety Instrumented Systems, PDS Method Handbook, 2010 Edition.

2016-06-07)

*茅穎：高級(jí)工程師。1997年畢業(yè)于成都電子科技大學(xué)電子儀器及測(cè)量技術(shù)專業(yè)。從事自控設(shè)計(jì)工作。

聯(lián)系電話：(028)65531877，E-mail: maoying@chengda.com。