基于檢驗(yàn)測試策略的PFD模型建立與分析*

張 哲，王 璐，徐長峰 ，趙國軍 ，陳月娥，劉曉亮

(1.中國石油新疆油田分公司(呼圖壁儲(chǔ)氣庫作業(yè)區(qū))，新疆 呼圖壁 831200； 2.機(jī)械工業(yè)儀器儀表綜合技術(shù)經(jīng)濟(jì)研究所，北京 100055)

0 引言

安全儀表系統(tǒng)(Safety Instrumentation System,SIS)在工業(yè)安全風(fēng)險(xiǎn)管理中起著至關(guān)重要作用。低要求運(yùn)行模式下，SIS要求頻率小于每年1次[1]。要求平均失效概率(Average Probability of Failure on Demand,PFDavg)是SIS安全性量化的重要指標(biāo)，等效于完全檢驗(yàn)測試時(shí)間間隔內(nèi)系統(tǒng)平均不可用度[2]。

PFDavg與系統(tǒng)架構(gòu)、元部件失效率、檢驗(yàn)測試間隔及檢測覆蓋率等因素有關(guān)。因此,可通過提高元部件安全性，增加系統(tǒng)冗余級別、采用異構(gòu)冗余系統(tǒng)、縮短檢驗(yàn)測試周期、改善檢驗(yàn)測試不完善度等措施降低PFDavg。工業(yè)中常用SIS體系架構(gòu)復(fù)雜，元部件數(shù)量多，僅從一定限度內(nèi)提高元部件安全性,難以滿足整個(gè)系統(tǒng)安全性要求。池亞娟等[3]采用量化分析法，通過改變?nèi)哂嘟Y(jié)構(gòu)與檢驗(yàn)測試周期可有效提高SIS安全性;Lundteigen等[4]從SIL驗(yàn)證角度得出同樣結(jié)論。但實(shí)際應(yīng)用中，追加較多冗余將導(dǎo)致成本增加、系統(tǒng)更為復(fù)雜，可能產(chǎn)生更多共因失效，導(dǎo)致誤動(dòng)作。王海清等[5]通過研究異型冗余設(shè)備對系統(tǒng)安全性影響發(fā)現(xiàn)，雖然異型冗余設(shè)備可極大地減少共因失效，但多數(shù)企業(yè)出于運(yùn)行維護(hù)的目的，經(jīng)常采用同構(gòu)冗余系統(tǒng)。在SIS安全性必須提高的場合下，尤其針對現(xiàn)役SIS，優(yōu)化檢驗(yàn)測試執(zhí)行策略效果較好，且被廣泛應(yīng)用，但缺乏具體優(yōu)化策略。

檢驗(yàn)測試分為部分和完全檢驗(yàn)測試:完全檢驗(yàn)測試指將系統(tǒng)恢復(fù)到與新系統(tǒng)一樣狀態(tài)的大修或換新;部分檢驗(yàn)測試指只能檢測到部分特定失效測試，主要包括目視檢查與部分行程測試[6]?；跈z驗(yàn)測試的PFDavg計(jì)算模型已取得顯著成果：文獻(xiàn)[7]基于1oo2架構(gòu)，給出基于部分檢驗(yàn)測試的PFDavg公式，并引入檢驗(yàn)測試覆蓋率(PTC)系數(shù)；Hauge等[8]利用PDS法對SIS安全性分析，考慮PTC因子影響作用，并引入檢驗(yàn)測試失敗概率(PTIF)，用于衡量部分檢驗(yàn)測試效果；Summers等[9]給出1oo1系統(tǒng)部分檢驗(yàn)測試簡化公式；Torres等[10]提出基于周期性部分檢驗(yàn)測試的PFDavg公式；Brissaud等[11]提出適用于koon系統(tǒng)的PFDavg公式，可用于非周期部分檢驗(yàn)測試；郭利進(jìn)等[12]利用多相Markov鏈模型計(jì)算PFDavg，分析共因失效、診斷覆蓋率和檢驗(yàn)測試對PFDavg的影響；Jin等[13]基于常見架構(gòu)系統(tǒng)，分析部分檢測試不完善性對PFDavg影響；Vaurio等[14]通過增加檢驗(yàn)測試持續(xù)時(shí)間與測試不完善度等，對koon計(jì)算模型進(jìn)行改進(jìn)。基于已有研究成果，通過引入部分檢驗(yàn)測試分布因子和共因失效修正因子，分析檢驗(yàn)測試對PFDavg的影響，建立通用冗余架構(gòu)計(jì)算模型，該模型適用于所有同構(gòu)koon架構(gòu)系統(tǒng)，可應(yīng)用于周期性、非周期性部分檢驗(yàn)測試及共因失效影響較大的場景，可以為企業(yè)制定檢驗(yàn)測試策略提供理論依據(jù)。

1 模型相關(guān)因素計(jì)算

1.1 系統(tǒng)失效分類

SIS失效分為“安全失效s”、“危險(xiǎn)失效d”和“無影響失效”：安全失效會(huì)導(dǎo)致誤停車，降低生產(chǎn)連續(xù)性；危險(xiǎn)失效導(dǎo)致風(fēng)險(xiǎn)，降低可用性[15]；無影響失效增加險(xiǎn)肇事件的發(fā)生概率。PFDavg僅與危險(xiǎn)失效有關(guān)。危險(xiǎn)失效可進(jìn)一步分為能被檢測到的危險(xiǎn)失效(dd)和未被檢測到的危險(xiǎn)失效(du)：能被檢測到的危險(xiǎn)失效(dd)指通過在線診斷測試能夠檢測到的失效；未被檢測到的危險(xiǎn)失效(du)指僅通過檢驗(yàn)測試檢測到的失效[16]，在線診斷測試執(zhí)行頻率相對頻繁，一般小于1次/min。假設(shè)檢測到dd失效后立即進(jìn)行維修，或被控設(shè)備(EUC)能夠立即進(jìn)入安全狀態(tài)，認(rèn)為dd失效對PFDavg影響可忽略不計(jì)，只考慮du失效對PFDavg的影響。

當(dāng)檢驗(yàn)測試策略中同時(shí)包含部分和完全檢驗(yàn)測試時(shí)，du失效包括2類：通過部分和完全檢驗(yàn)測試都能檢測到的du失效即α型失效，失效率為λα；僅通過完全檢驗(yàn)測試檢測到的du失效即β型失效，失效率為λβ。

定義部分檢驗(yàn)測試覆蓋率(θ)為可通過部分檢驗(yàn)測試檢測到的du失效百分比，如式(1)所示：

(1)

式中：λ為du失效的失效率。

1.2 共因失效

共因失效(Common Cause Failure，CCF)指1個(gè)系統(tǒng)中由于某種共同原因?qū)е?個(gè)或多個(gè)通道并發(fā)失效的現(xiàn)象。CCF可能是系統(tǒng)失效，如設(shè)計(jì)或規(guī)范失誤，也可能是由于外部應(yīng)力導(dǎo)致的隨機(jī)硬件失效，如閃電、地震或維護(hù)中錯(cuò)誤操作等導(dǎo)致的失效，或者由2種原因共同導(dǎo)致的失效。同構(gòu)冗余系統(tǒng)中共因失效對PFDavg影響較大。β因子模型相對比較簡單，是目前SIS安全性分析中最常用的共因失效分析模型，主要包括β因子模型和多β因子模型。

2 計(jì)算模型建立

圖1 基于部分和完全檢驗(yàn)測試的失效概率趨勢Fig.1 Trend chart of failure probability subject to partial and proof test

給出模型假設(shè)條件，模型建立過程包括3個(gè)部分。首先建立基于獨(dú)立失效的基本模型，引入檢驗(yàn)測試分布因子，用于體現(xiàn)檢驗(yàn)測試分布情況對PFDavg影響；引入共因失效修正因子，能更加準(zhǔn)確地分析同構(gòu)冗余系統(tǒng)的安全完整性。

2.1 模型假設(shè)條件

PFDavg計(jì)算模型建立基于以下7個(gè)條件假設(shè)：

1)koon架構(gòu)中每條通道屬性相同，具有相同恒定失效率λ，且失效概率均服從指數(shù)分布。

2)完全檢驗(yàn)測試能夠檢測到所有du失效，測試維修后，系統(tǒng)能夠恢復(fù)如新，所有通道在t=0時(shí)刻處于全功能狀態(tài)。

3)部分檢驗(yàn)測試僅能檢測到α型失效，測試維修后，系統(tǒng)中無α型失效，可能存在β型失效。

4)完全檢驗(yàn)測試間隔τ內(nèi)，進(jìn)行m次測試。前m-1次測試為具有以下間隔的部分檢驗(yàn)測試：t1,t2,…,tm-1；第m個(gè)測試是完全檢驗(yàn)測試(如圖1所示)。

5)檢驗(yàn)測試面向所有n個(gè)通道同時(shí)進(jìn)行。

6)所有可被在線診斷到的dd失效均能及時(shí)被修復(fù)或者進(jìn)入安全狀態(tài)，不會(huì)產(chǎn)生危害后果。

7)部分或完全檢驗(yàn)測試檢測到du失效，立即進(jìn)行維修，在測試維修操作期間，EUC處于安全狀態(tài)，以便分析計(jì)算中不包括任何測試維護(hù)的持續(xù)時(shí)間。

2.2 基于獨(dú)立失效的基本計(jì)算模型

基于部分和完全檢驗(yàn)測試的koon架構(gòu)可靠性如圖2所示。整個(gè)測試周期τ內(nèi)進(jìn)行部分和完全檢驗(yàn)測試，系統(tǒng)PFDavg受α型和β型失效影響，計(jì)算公式如式(1)所示：

(1)

圖2 基于部分和完全檢驗(yàn)測試的koon架構(gòu)可靠Fig.2 Reliability block diagram for a koon system subject to partial and proof test

以每個(gè)部分檢驗(yàn)測試周期為單元，分別計(jì)算對應(yīng)區(qū)間內(nèi)PFDavg。在第1個(gè)部分檢驗(yàn)測試時(shí)間間隔[t0,t1]中，系統(tǒng)在t0=0時(shí)刻處于全功能狀態(tài)，koon系統(tǒng)不可用度等于不可靠度，如式(2)所示：

(2)

式中：F(t)為koon系統(tǒng)在時(shí)刻t的不可靠度函數(shù)，表達(dá)式如式(3)所示：

(3)

PFDavg在區(qū)間[t0,t1]的值如式(4)所示：

(4)

(5)

由于所有通道均是獨(dú)立和相同的，在ti-1時(shí)刻j個(gè)通道失效的概率遵循二項(xiàng)分布，并且每個(gè)通道具有恒定失效率，如式(6)所示：

(6)

當(dāng)ti-1時(shí)刻，失效通道數(shù)量j>n-k時(shí)，koon系統(tǒng)在區(qū)間(ti-1,ti],i=2,3,…,m的不可用度如式(7)所示：

(7)

失效通道數(shù)量j≤n-k時(shí)，koon系統(tǒng)降級為koo(n-j)系統(tǒng)，意味有n-j個(gè)通道可能在區(qū)間(ti-1,ti],i=2,3,…,m內(nèi)失效；當(dāng)超過n-j-k個(gè)通道失效時(shí)，系統(tǒng)失效，該系統(tǒng)不可用度等效于koo(n-j)系統(tǒng)的不可靠度，如式(8)所示：

(8)

式中：F(t|j,ti-1)為koo(n-j)系統(tǒng)在t時(shí)刻的不可靠度。

PFDavg在區(qū)間(ti-1,ti],i=2,3,…,m的值如式(9)～(13)所示：

(9)

(10)

(11)

(12)

(13)

(14)

(15)

綜上，區(qū)間[0，τ]的PFDavg如式(16)～(18)所示：

(16)

(17)

(18)

式中：

當(dāng)λτi和λβt非常小時(shí)(通常認(rèn)為小于0.01)，有以下近似關(guān)系：1-e-λτi≈λτi，1-e-λβti-1≈λβti-1，(e-λβti-1)n-j≈1，P(j|ti-1)如式(19)所示：

(19)

2.3 考慮檢驗(yàn)測試分布因子的計(jì)算模型

為分析部分檢驗(yàn)測試分布情況對PFDavg的影響，引入檢驗(yàn)測試分布因子，如式(20)所示：

(20)

式中：ε為檢驗(yàn)測試分布因子，當(dāng)ε=0，對應(yīng)無部分檢驗(yàn)測試情況；當(dāng)ε=1，對應(yīng)周期性部分檢驗(yàn)測試情況；當(dāng)ε<1，對應(yīng)非周期性部分檢驗(yàn)測試時(shí)間間隔越來越??；當(dāng)ε>1，對應(yīng)非周期性部分檢驗(yàn)測試時(shí)間間隔越來越大。將式(20)代入式(19)，得到基于檢驗(yàn)測試分布因子的PFDavg公式如式(21)所示：

(21)

(22)

(23)

(24)

(25)

(26)

2.4 考慮共因失效的計(jì)算模型

同構(gòu)冗余系統(tǒng)因各通道相似性，具有相似失效集，容易受CCF影響而喪失防護(hù)效果[18-19 ]。

考慮共因失效的koon架構(gòu)系統(tǒng)的可靠性如圖3所示。PFDavg公式如式(27)所示：

PFDavg,total≈PFDavg,ind+PFDavg,ccf

(27)

式中：PFDavg,ind為基于獨(dú)立失效的PFDavg；PFDavg,ccf是基于共因失效的PFDavg。研究采用β因子模型處理共因失效問題，模型計(jì)算公式如式(28)所示：

(28)

圖3 koon結(jié)構(gòu)共因失效可靠性Fig.3 Reliability block diagram for a koon system subject to CCF

當(dāng)k

φkoon=Ckoonβkoon

(29)

當(dāng)k=n時(shí)，如式(30)所示：

φkoon=(n-Cnβkoon)

(30)

式中：βkoon為共因失效因子；Ckoon和Cn為反映不同冗余架構(gòu)對共因失效影響的參數(shù)，是βkoon因子修正系數(shù)。修正后的βkoon因子用φkoon表示，冗余架構(gòu)系統(tǒng)共因失效修正因子取值見表1。

表1 冗余架構(gòu)系統(tǒng)共因失效修正因子取值Table 1 Some Values for Ckoon and Cn Factors of koon systems

將式 (27)～(28)帶入式(21)，PFDavg公式如式(31)所示：

(31)

式中：

3 計(jì)算模型驗(yàn)證與分析

3.1 比較驗(yàn)證

1)無部分檢驗(yàn)測試

當(dāng)沒有部分檢驗(yàn)測試時(shí)，唯一的檢驗(yàn)測試為τ時(shí)刻(即m=1和t1=τ)完全檢驗(yàn)測試；并且j=0，假設(shè)t0時(shí)刻系統(tǒng)處于全功能狀態(tài)。將參數(shù)代入式(31)，區(qū)間[0,τ]內(nèi)PFDavg如式(32)所示：

(32)

式(32)與挪威工業(yè)科技研究院SINTEF利用PDS方法[19]得到的公式一致。

2) 1oo1系統(tǒng)周期性部分驗(yàn)證測試

(33)

式(33)與文獻(xiàn)[9]得到的公式一致。

3.2 實(shí)例驗(yàn)證與分析

ESD系統(tǒng)是工業(yè)中最常用的SIS之一。約50%以上的ESD系統(tǒng)失效是由最終元件緊急切斷閥失效導(dǎo)致，因此設(shè)計(jì)PST以期提高緊急切斷閥的安全性。例如，緊急切斷閥主要du失效模式為FTC(閥門關(guān)失效)和LCP(關(guān)位置泄漏)，PST可以檢測FTC失效，但不能檢測LCP失效，但2種失效模式可被完全檢驗(yàn)測試檢測到。

假設(shè)閥門子系統(tǒng)由2oo3架構(gòu)組成。相關(guān)安全性參數(shù)見表2，數(shù)據(jù)來源于OREDA數(shù)據(jù)手冊[20]。

表2 2oo3架構(gòu)緊急切斷閥子系統(tǒng)可靠性參數(shù)Table 2 Reliability Parameters for Emergency Shutdown Valves

根據(jù)式(31)，計(jì)算得到不同PST周期下PFDavg數(shù)值見表3，如圖4～8所示。

表3 PST周期與PFDavgTable 3 PFDavg for PST Test Cycles

圖4 PST周期(30 d)Fig.4 PST Cycle(30 Days)

圖5 PST周期(90 d)Fig.5 PST Cycle(90 Days)

圖6 PST周期(180 d)Fig.6 PST Cycle(180 Days)

圖7 PST周期(365 d)Fig.7 PST Cycle(365 Days)

圖8 不同PST周期下不可用度的趨勢對比Fig.8 Trend chart of Unavailability according to different Test Cycles

不同PST周期下不可用度的趨勢對比如圖8所示。由圖8可知，1年2次PST，可顯著降低PFDavg(50%)，但隨PST頻率增加，效果逐漸降低。

由表4可知，在整個(gè)完全檢驗(yàn)測試時(shí)間間隔內(nèi)，分配相同數(shù)量部分檢驗(yàn)測試，當(dāng)采取不同分布策略時(shí)，PFDavg值發(fā)生改變。

表4 PST分布與PFDavgTable 4 PFDavg for PST Distribution

綜上，結(jié)合式(31)可得較優(yōu)部分檢驗(yàn)測試時(shí)間分布方案。由表4可知，優(yōu)化后的部分檢驗(yàn)測試分布比周期性部分檢驗(yàn)測試的PFDavg值降低約20%。

檢驗(yàn)測試分布因子趨勢如圖9所示。由圖9可知，檢驗(yàn)測試分布因子ε具有一定收斂性，在ε>2時(shí)，ε對PFDavg的影響力顯著降低。

圖9 檢驗(yàn)測試分布因子趨勢圖Fig.9 Trend chart of Test Distribution Factors

4 結(jié)論

1)基于檢驗(yàn)測試策略的PFDavg通用計(jì)算模型，適用于低要求運(yùn)行模式下的同構(gòu)koon架構(gòu)SIS，也可應(yīng)用于同時(shí)包含部分和完全檢驗(yàn)測試的場合。該模型考慮周期性和非周期性部分檢驗(yàn)測試，涵蓋目前主流應(yīng)用的多種模型。

2)以緊急切斷閥子系統(tǒng)為例進(jìn)行實(shí)例驗(yàn)證發(fā)現(xiàn)，檢驗(yàn)測試策略對PFDavg影響較大，部分檢驗(yàn)測試的周期和分布均會(huì)改變PFDavg。在不增加次數(shù)的情況下，通過合理規(guī)劃部分檢驗(yàn)測試周期分布，降低PFDavg。模型可以優(yōu)化檢驗(yàn)測試策略，提高安全儀表系統(tǒng)安全性。