基于故障樹的SIS可用性分析

徐飛，譚壯壯

(中國石油海洋集團(tuán)工程有限公司，北京 100028)

基于故障樹的SIS可用性分析

徐飛，譚壯壯

(中國石油海洋集團(tuán)工程有限公司，北京 100028)

安全失效概率(PFS)是衡量安全儀表系統(tǒng)(SIS)性能優(yōu)劣的重要指標(biāo)之一。在闡述SIS表決結(jié)構(gòu)的設(shè)計特性及其可用性關(guān)系基礎(chǔ)上，研究了基于故障樹SIS表決結(jié)構(gòu)的可用性關(guān)系，并通過具體實例進(jìn)行驗證。研究結(jié)果表明： 表決結(jié)構(gòu)故障樹可用性與設(shè)計特性不能完全相符，更加準(zhǔn)確的可用性模型尚需進(jìn)一步研究。

安全儀表系統(tǒng) 故障樹 可用性 安全失效概率 表決結(jié)構(gòu)

安全儀表系統(tǒng)(SIS)已廣泛應(yīng)用于石油、化工及冶金等行業(yè)中，是保障生產(chǎn)安全的重要措施，其安全性和可用性是衡量SIS性能優(yōu)劣的兩大重要指標(biāo)[1-2]。因安全性直接反應(yīng)了SIS生產(chǎn)安全有效的防護(hù)能力，是設(shè)計SIS的前提條件，也是諸多學(xué)者研究的對象，但在實際應(yīng)用中，人們希望SIS也具有一定的可用性，若系統(tǒng)可用性差，將使生產(chǎn)無法正常進(jìn)行，從而造成巨大的經(jīng)濟損失[3-4]。因此，對SIS進(jìn)行可用性定量研究也有一定的意義。

安全失效概率(PFS)是可用性的具體量化指標(biāo)，其定量計算模型主要通過可靠性框圖法、故障樹法和馬爾科夫(Markov)模型法三種方法建立[2-4]。在實際工程應(yīng)用中，可靠性框圖計算簡單但是精確度不高；Markov模型雖然精確度高且能反應(yīng)系統(tǒng)的動態(tài)性能，但當(dāng)系統(tǒng)較大或系統(tǒng)狀態(tài)較多時，模型的建立和計算都會變的異常復(fù)雜；故障樹因模型計算量及精確度都較為均衡而在實際中應(yīng)用較廣。

表決結(jié)構(gòu)故障樹可用性模型在文獻(xiàn)[5]、文獻(xiàn)[6]中進(jìn)行了主要描述，本文基于SIS表決結(jié)構(gòu)設(shè)計特性的可用性關(guān)系，對文獻(xiàn)[5]、文獻(xiàn)[6]所述的故障樹可用性模型進(jìn)行分析研究。

1 SIS表決結(jié)構(gòu)設(shè)計特性可用性分析

SIS常見表決結(jié)構(gòu)主要有“1oo1”，“1oo2”，“2oo2”，“2oo3”，其主要設(shè)計特性：“1oo1”結(jié)構(gòu)是1個最小的系統(tǒng)，不具備容錯的能力，對設(shè)備的各種失效模式?jīng)]有保護(hù)能力，如果通道發(fā)生檢測到的安全失效或未檢測到的安全失效，系統(tǒng)就將發(fā)生安全失效；“1oo2”結(jié)構(gòu)系統(tǒng)危險失效概率很低，但是安全失效概率卻增大了，任一通道的安全失效會造成系統(tǒng)的安全失效，容易造成受控系統(tǒng)的誤停車；“2oo2”結(jié)構(gòu)將2個通道的輸出并聯(lián)，這樣可以保護(hù)單一通道的安全失效不致使系統(tǒng)的安全失效；“2oo3”結(jié)構(gòu)中3個通道兩兩串聯(lián)構(gòu)成“表決”電路，以確定當(dāng)前系統(tǒng)的輸出[5]。

在實際應(yīng)用中，“1oo1”表決結(jié)構(gòu)安全性相對較低，“1oo2”表決結(jié)構(gòu)適用于安全性很高的情況，但可用性差；“2oo2”表決結(jié)構(gòu)適用于安全性要求一般，而可用性要求較高的情況；“2oo3”表決結(jié)構(gòu)的安全性和可用性保持相對均衡，可用于安全性、可用性均較高的情況[7]。因此，從表決結(jié)構(gòu)的設(shè)計特性可以得出，對于同一元件，幾種表決結(jié)構(gòu)的可用性關(guān)系應(yīng)該是PFS1oo2>PFS1oo1>PFS2oo3>PFS2oo2，即“2oo2”可用性最高，“2oo3”次之，“1oo1”較低，“1oo2”最低，但通過故障樹建立的SIS可用性模型并不能確定上述表決結(jié)構(gòu)的可用性關(guān)系。

2 基于故障樹SIS可用性分析

2.1 SIS故障樹可用性模型

文獻(xiàn)[5]、文獻(xiàn)[6]通過故障樹建立了可用性模型，以“1oo1”為例進(jìn)行簡要說明，“1oo1”結(jié)構(gòu)系統(tǒng)安全失效的故障樹如圖1所示。

圖1 “1oo1”故障樹模型示意

如果通道發(fā)生檢測到的安全失效或未檢測到的安全失效，那么系統(tǒng)將發(fā)生安全失效。在通道的失效概率很低的情況下，系統(tǒng)安全失效概率PFS近似為

PFS1oo1=λSD×TS+λSU×TS

(1)

式中：λSD——可檢測的安全失效概率，λSD=λS×DC;λS——安全失效概率，λS=λ×(1-Q);λ——元件失效概率；Q——安全失效比率；DC——診斷覆蓋率；λSU——未檢測的安全失效概率，λSU=λS×(1-DC)；TS——停車后的重啟時間。

文獻(xiàn)[5]、文獻(xiàn)[6]利用上述方法分別得出“1oo2”,“2oo2”及“2oo3”可用性模型如下：

PFS1oo2=(λSUC+λSDC+2λSDN+2λSUN)×TS

(2)

PFS2oo2=λSUC×TS+λSDC×TS+

(λSDN×RT+λSUN×TI)2

(3)

PFS2oo3=3λSUC×TS+3λSDC×TS+

3(λSDN×RT+λSUN×TI)2

(4)

式中：λSUC——未檢測的共因安全失效概率，λSUC=λSU×β，β——共因失效因子；λSDN——可檢測的不共因安全失效概率，λSDN=λSD×(1-β)；λSDC——可檢測的共因安全失效概率，λSDC=λSD×β;λSUN——未檢測的不共因安全失效概率，λSUN=λSU×(1-β);TI——周期性功能測試間隔；RT——在線修復(fù)時間。

2.2 SIS可用性分析比較

通過故障樹模型[5-6]及相應(yīng)PFS公式可以看出，“1oo1”與“1oo2”公式構(gòu)成類似，而“2oo2”與“2oo3”公式構(gòu)成類似，故分別進(jìn)行分析比較。

1) “1oo1”與“1oo2”，“2oo2”與“2oo3”的可用性分析。

PFS1oo2-PFS1oo1=(λSDN+λSUN)×TS

(5)

PFS2oo3-PFS2oo2=2λSUC×TS+2λSDC×

TS+2(λSDN×RT+λSUN×TI)2

(6)

由上述分析可以得出，表決結(jié)構(gòu)PFS關(guān)系分別是：PFS1oo2>PFS1oo1,PFS2oo3>PFS2oo2，與表決結(jié)構(gòu)設(shè)計特性一致。

2) “1oo1”分別與“2oo2”和“2oo3”以及“1oo2”分別與“2oo2”和“2oo3”的可用性分析。文中以“1oo1”與“2oo2”為例進(jìn)行可用性分析比較。

PFS1oo1-PFS2oo2=λSUN×(TS-λSUN×TI2)+

λSDN×(TS-λSDN×RT2-2×λSUN×TI×RT)

(7)

上述分析結(jié)果中TS和RT通常以小時為單位，數(shù)量級別不超過102，TI通常以年為單位，若以1a計，數(shù)量級別不超過104，λSDN主要受λ,DC,β,Q這4個變量參數(shù)影響，通常其數(shù)量級小于10-5，從而λSDN×RT2數(shù)量級小于10-1，2×λSUN×TI×RT數(shù)量級別約為101，因而TS-λSDN×RT2-2×λSUN×TI×RT結(jié)果通常為正值。另TI2的數(shù)量級別在107，當(dāng)故障率λ取值在10-7級別時，TS-λSUN×TI2結(jié)果基本為正值；當(dāng)故障率λ取值在10-5級別時，TS-λSUN×TI2結(jié)果往往為負(fù)值。綜合兩部分的計算結(jié)果，式(7)最后的正負(fù)關(guān)系不能確定，即“1oo1”與“2oo2”可用性關(guān)系也不能定論，這與表決結(jié)構(gòu)設(shè)計特性不能完全相符。

同理可對“1oo1”與“2oo2”，“1oo2”與“2oo2”，“1oo2”與“2oo3”的可用性進(jìn)行分析比較，通過研究表明： 因影響參數(shù)取值區(qū)間的變化，表決結(jié)構(gòu)之間同樣存在上述可用性關(guān)系的不確定性，導(dǎo)致不能與表決結(jié)構(gòu)設(shè)計特性完全相符。

3 SIS可用性實例分析

通過具體數(shù)據(jù)，對表決結(jié)構(gòu)之間的可用性關(guān)系進(jìn)行了驗證分析。由于PFS計算主要受7個參數(shù)影響，為了研究方便，影響因素只考慮參數(shù)的自相關(guān)性，暫不考慮參數(shù)之間的互相關(guān)性，利用Matlab軟件對PFS影響參數(shù)分析進(jìn)行仿真，其參數(shù)取值均為常用范圍，見表1所列。故障樹模型λ對PFS的影響分析如圖2所示。

表1 SIS參數(shù)取值

圖2 故障樹模型λ對PFS的影響分析示意

從圖2可清晰地看出，隨著λ的增大，其他因素不變的情況下，在不同λ取值區(qū)間內(nèi)，四種表決結(jié)構(gòu)PFS大小關(guān)系均有變化，即可用性關(guān)系存在不確定性?，F(xiàn)選取具體的λ值，計算結(jié)果見表2所列，并最終分析得出可用性關(guān)系見表3所列。

表2 PFS計算結(jié)果

表3 表決結(jié)構(gòu)可用性關(guān)系

根據(jù)圖1及表3的結(jié)果，“2oo3”與“1oo1”，“1oo2”以及“2oo2”與“1oo1”，“1oo2”之間的關(guān)系會因故障率λ的取值不一樣而出現(xiàn)變化，僅在λ取值較小的情況下，四種表決結(jié)構(gòu)可用性關(guān)系與設(shè)計特性相符；但隨著λ取值增大，故障樹建立的模型不符合結(jié)構(gòu)設(shè)計特性。

4 結(jié)束語

1) 基于故障樹的可用性模型，對于同一元器件，冗余結(jié)構(gòu)“1oo1”與“1oo2”，“2oo2”與“2oo3”之間的可用性關(guān)系為PFS1oo2>PFS1oo1,PFS2oo3>PFS2oo2，與其設(shè)計特性相符；“1oo1”分別與“2oo2”和“2oo3”以及“1oo2”分別與“2oo2”和“2oo3”之間隨著影響參數(shù)取值不同，相互之間的可用性關(guān)系不能確定，與其設(shè)計特性不能完全吻合。

2) 基于故障樹的可用性模型在實際應(yīng)用中具有一定的局限性，對于相關(guān)參數(shù)相對較小的場合，特別是λ取值較小時，計算模型可與設(shè)計特性可用性保持一致。

3) 基于故障樹的可用性模型與表決結(jié)構(gòu)設(shè)計特性不完全符合的主要原因是由于參數(shù)TS和TI數(shù)量差別較大，而一般情況下TI是TS的數(shù)百倍，在式(1)，式(2)未考慮TI周期內(nèi)的安全失效檢測，從而導(dǎo)致各表決結(jié)構(gòu)可用性出現(xiàn)不同的關(guān)系。

4) 工作中，應(yīng)充分考慮各參數(shù)在模型中的應(yīng)用意義，如何確定更加準(zhǔn)確的可用性模型尚需進(jìn)一步研究。

[1] IEC. IEC 61508 Functional Safety of Electrical/Electronic/Programmable Electronic Safety — Related Systems[S]. IEC, 2010.

[2] IEC. IEC 61511 Functional Safety — Safety Instrumented Systems for the Process Industry Sector[S]. IEC, 2003.

[3] 王秉義，張惠良，左信.SIS安全聯(lián)鎖功能可用性分析[J].石油化工自動化，2012，48(01)： 13-17.

[4] 魏華.安全儀表的可靠性和可用性分析[J].石油化工自動化，2009，45(01)： 10-19.

[5] 陽憲惠，郭海濤.安全儀表系統(tǒng)的功能安全[M].北京： 清華大學(xué)出版社，2007.

[6] William M.Control Systems Safety Evaluation and Reliability[M]. USA： ISA, 1998： 335-419.

[7] 靳江紅，龐磊，趙壽堂，等.安全儀表系統(tǒng)的可用性分析及其定量評估[J].測控技術(shù)，2014，33(06)： 9-12.

Availability Analysis Based on Fault Tree for Safety Instrumented System

Xu Fei, Tan Zhuangzhuang

(China National Petroleum Offshore Engineering Co. Ltd., Beijing, 100028, China)

Probability of failing safety is one of important indicators to measure performance of safety instrumented system (SIS). Based on expounding of design characteristics and availability of SIS voting configurations, the availability of SIS voting configurations based on fault tree analysis (FTA) is studied. It is verified with some special actual cases. The results show the availability of SIS voting configurations is not completely consistent with design characteristics. More accurate availability model needs to be further studied.

safety instrumented system (SIS); fault tree analysis (FTA); probability of failing safety (PFS); voting configurations

徐飛(1984—)，男，安徽桐城人，2009年畢業(yè)于中國石油大學(xué)(北京)控制理論與控制工程專業(yè)，獲碩士學(xué)位，現(xiàn)就職于中國石油集團(tuán)海洋工程有限公司，從事海上石油平臺儀表電氣設(shè)計工作，任工程師。

TP273

A

1007-7324(2017)03-0041-03

稿件收到日期： 2017-02-03，修改稿收到日期： 2017-03-14。