周雁鹏(中海油基建管理有限责任公司，北京 100010)

安全仪表回路改造的可靠性及误动作概率计算

周雁鹏
(中海油基建管理有限责任公司，北京 100010)

安全完整性等级(SIL)评估技术是近几年发展起来的针对石化等行业的一种基于风险的资产管理方法，国际标准IEC 61508和IEC 61511的制定为石化工业等流程工业的SIL评估提供了依据，对于石化行业的安全生产具有重要的促进作用。根据SIL的计算方法对中海石油化学股份有限公司现有安全仪表回路进行评估改造的平均失效概率(PFD)和误动作概率(STR)进行理论计算，为安全仪表项目的前期论证以及技术改造提供了理论依据。

工艺危害性分析 危险与可操作性分析 安全完整性等级 平均失效概率 误动作概率

1 安全仪表回路现状

1.1安全仪表设计情况

中海石油化学股份有限公司属于连续化生产的企业，其中对连续化生产要求较高的装置包括3套合成氨/尿素装置，其总产能为1.05 Mt/a合成氨、2 Mt/a尿素；3套甲醇装置，其总产能为1.6 Mt/a。除海南基地的600 kt/a甲醇装置和800 kt/a甲醇装置的安全仪表回路在原始设计采用“三选二”表决逻辑外，其他装置的安全仪表回路设计除了个别的采用“三选二”表决逻辑外，其余都是“一选一”表决逻辑。“一选一”的安全仪表回路表决逻辑如图1所示。

图1 安全仪表回路示意

1.2安全仪表回路运行的状况

该公司安全仪表系统(SIS)按照本质安全系统进行设计，为故障安全型系统，所有装置的设计代表了设计时期的最高安全等级。因此，所有的SIS能够在出现危险报警的情况下，将装置安全、稳定地停下来，使装置处于最安全的状态。但是由于设计理念和投资概算的因素，除了考虑系统的安全性以外，对于系统的可用性(鲁棒性)没有过多的考虑，出现了多次由于仪表自身误动作导致的装置停车，给公司造成了重大的损失。表1中的数据为海南基地2010—2012的非计划停车情况，分析由于仪表停车原因占总停车次数的比例。

表1 海南基地仪表停车情况占总停车比例分析

根据表1的统计数据，2010年由于仪表方面的误动作导致装置停车占总停车时间的48%，其中安全仪表(包括变送器、电磁阀和切断阀)导致的停车占仪表原因导致停车的80%。而甲醇一期、二期仪表原始安装阶段采用了“三选二”表决逻辑，由于仪表导致停车的次数为零，海南基地的仪表停车主要在化肥一部。2011年底，化肥一部对安全仪表回路进行了技术改造，对主要的联锁系统进行了“三选二”表决逻辑改造，改造后2012年由于仪表导致停车的事故为零。由此可见，安全仪表回路的可靠性和可用性对装置的长周期运行有重大的影响。

2 安全仪表回路的平均失效概率和误动作概率分析

安全仪表回路有2个关键指标： 平均失效概率(PFD)和误动作概率STR(SpuriousTripRate)。但大部分设计人员和最终用户一般只关心PFD，保证装置的可靠性，其实误动作概率STR也是安全仪表回路中重要的组成部分，一般对于一个工厂的仪表误动作的概率分析都是通过STR进行评判的。

2.1概述

安全仪表回路的可用性是确定安全回路在特定的运行时间内有效运行的概率标准，目前使用最为广泛的参数是平均失效前时间MTTF(Mean Time To Failure)，该参数是定义随机变量、出错时间的期望值。MTTF的长短通常与使用周期中的产品有关，其中不包括老化失效。

平均恢复时间MTTR(Mean Time To Restoration)源于IEC 61508中的平均维护时间(Mean Time To Repair)，目的是为了清楚界定时间概念。MTTR是随机变量恢复时间的期望值，包括获得备件的时间、维修团队的响应时间、投用设备的时间。

平均故障间隔时间MTBF(Mean Time Between Failures)定义为失效或维护中所需要的平均时间，包括故障时间及检测和维护设备的时间。MTBF=MTTF+MTTR，因为MTTR通常远小于MTTF，所以MTBF近似等于MTTF，通常用MTTF代替。

2.2基本参数的收集

新建装置采购的安全仪表设备在说明书或手册中都会有相应的参数，但是对于老装置或者没有采用安全仪表的装置，则仪表的参数如MTTFD，MTTFSPUR很难获得。为了解决该问题，ISA收集了5家工厂的参数，见表2所列，最终用户在计算时尽量使用自己工厂的参数进行估算，如果无法获得参数，可以参考表2中的经验数据。

表2 ISA统计的检测元件和执行元件数据

续 表 2

2.3安全完整性和误动作概率的定义

安全仪表回路的安全功能要求的是PFD，它计算和组合所有提供安全功能的子系统的平均失效概率，SIS的PFD计算如公式(1)所示：

PFDSYS=PFDPOWER+PFDS+PFDL+PFDFE

(1)

式中：PFDSYS——安全仪表回路的平均失效概率；PFDPOWER——安全仪表回路的供电电源的平均失效概率；PFDS——传感器子系统要求的平均失效概率；PFDL——逻辑控制器要求的平均失效概率；PFDFE——最终执行元件要求的平均失效概率。

如果安全仪表设计为故障失电状态，则PFDPOWER不影响安全完整性等级(SIL)的计算，因为安全仪表回路故障后处于安全状态。如果安全仪表设计为故障带电状态，PFDPOWER则影响SIL的计算，因为该公司安全仪表电源都是故障失电状态，可以不考虑PFDPOWER，电源也无须采用安全仪表电源，PFDPOWER为0。

安全仪表回路的误动作概率是指整个回路总的失效概率，是由计算和组合所有提供安全功能子系统的平均误动作概率来确定的，安全仪表回路总的误动作概率计算如公式(2)所示：

STRSYS=STRPOWER+STRS+STRL+STRFE

(2)

式中： STRSYS——安全仪表回路总的误动作概率；STRPOWER——安全仪表回路供电电源的误动作概率；STRS——传感器子系统要求的误动作概率；STRL——逻辑控制器要求的误动作概率；STRFE——最终执行元件要求的误动作概率。

2.4安全仪表回路误动作概率的计算

安全仪表回路STR的计算在ISA TR84.00.02第二部分和IEC 61508，IEC 61511有详细介绍，其中ISA TR84.00.02的计算方法较为简单，也便于最终用户掌握，下面以ISA TR84.00.02中的公式为例分别对安全仪表回路的“一选一”、“二选一”、“二选二”、“三选二”表决逻辑的计算方法进行阐述。

对STR的计算包括电源、传感器、逻辑控制器和最终执行元件，每个子系统按照以下顺序收集数据： 确定安全仪表回路中每个传感器的参数；列出每台设备的MTTF；列出每台设备的MTTR；利用公式计算STR；计算回路的MTTF。

2.5ISATR84.00.02中STR计算公式

ISA TR84.00.02中STR的计算如公式(3)所示：

(3)

对于“一选一”的STR计算如公式(4)所示：

(4)

对于“二选一”的STR计算如公式(5)所示：

(5)

对于“二选二”的STR计算如公式(6)所示：

(6)

对于“三选二”的STR计算如公式(7)所示：

(7)

公式(4)～(7)中的第二项是公共项目，第三项是系统故障率；β——公共故障系数；工业应用的SIS一般都采用冗余元件，因而公共项目和系统故障都可以忽略，实际计算公式可简化如下：

对于“一选一”的STR计算如公式(8)所示：

STR=λs

(8)

对于“二选一”的STR计算如公式(9)所示：

STR=2λs

(9)

对于“二选二”的STR计算如公式(10)所示：

STR=2(λs)2MTTR

(10)

对于“三选二”的STR计算如公式(11)所示：

STR=6(λs)2MTTR

(11)

2.6IEC61508中PFD计算公式

在IEC 61508中对“一选一”的PFD计算如公式(12)所示：

(12)

对于“二选一”的PFD计算如公式(13)所示：

PFDAVG=2[(1-β)λDD+(1-2β)λDU]2tDEtSE+

(13)

对于“三选二”的PFD如公式(14)所示：

PFDAVG=6[(1-β)λDD+(1-2β)λDU]2tDEtSE+

(14)

式中：TI——验证测试周期；λDD——可能检测危险的故障；λDU——可能没有检测到危险的故障；tDE，tSE——公式计算中的中间变量，对公式的影响较小，通常被忽略。

2.7ISATR84.00.02中PFD计算公式

对于“一选一”的PFD计算如公式(15)所示：

(15)

对于“二选二”的PFD计算如公式(16)所示：

PFDAVG=λDUTI

(16)

对于“三选二”的PFD计算如公式(17)所示：

PFDAVG=λDU2TI2

(17)

2.8现有安全仪表回路的PFD及STR计算

该公司现有的安全仪表回路大部分都是“一选一”表决逻辑结构，信号连接如图2所示，根据公式(1)，(2)，(8)，(15)计算的PFD及STR结果见表3所列。

图2 “一选一”表决逻辑示意

表3 “一选一”表决逻辑计算的PFD及STR

表3中MTTR=8 h=9.13×10-4a，TI=1 a，因而PFDAVG=0.01+0.005+0.01+0.01=0.035，满足SIL1要求(SIL1范围为0.1～0.01)。

回路的STR=4.57 E-6+0.04+0.017+0.04 + 0.04=0.137，因而MTTF=1/STR=7.3 a。

3 安全回路改造方案的PFD及STR核算

因为阀门投资较大，改造牵涉的管线较多，所以在安全仪表回路的改造中很少针对阀门进行改造。安全仪表回路的改造有多种选择方案，每种方案的可靠性和可用性侧重点不一样，最终用户可以根据需求选择不同的方案，见表4所列。

表4 安全回路改造方案

其中方案5～8主要考虑的是安全仪表回路的可靠性，导致系统的可用性很差，因而在实际中应用较少，在此不做讨论。

3.1方案1

方案1对应的信号连接如图3所示，根据公式(1)，(2)，(5)，(8)，(10)，(16)计算的PFD和STR结果见表5所列。

图3 方案1的信号连接示意

表5 方案1的PFD及STR计算

表5中MTTR=8 h=9.13×10-4a，TI=1 a，因而PFDAVG=0.02+0.005+0.01+0.01=0.045，满足SIL1要求(SIL1范围为0.1～0.01)。

回路的STR=(4.57 E-6)+(2.92 E-6)+0.017+0.04+0.04=0.097，因而MTTF=1/STR=10.31 a。

3.2方案2

方案2对应的信号连接如图4所示，根据公式(1)，(2)，(10)，(16)计算的PFD和STR结果见表6所列。

图4 方案2的信号连接示意

表6 方案2的PFD及STR计算

表6中MTTR=8 h=9.13×10-4a，TI=1 a，因而PFDAVG=0.02+0.005+0.02+0.01=0.055，满足SIL1要求(SIL1范围为0.10～0.01)。

回路的STR=(4.57 E-6)+(2.92 E-6)+0.017+(2.92 E-6)+0.04=0.057，因而MTTF=1/STR=17.5 a。

3.3方案3

方案3对应的信号连接如图5所示，根据公式(1)，(2)，(5)，(8)，(11)，(17)计算的PFD和STR结果见表7所列。

图5 方案3的信号连接示意

表7 方案3的PFD及STR计算

表7中MTTR=8 h=9.13×10-4a，TI=1 a，因而PFDAVG=0.0004+0.005+0.01+0.01=0.0254，满足SIL1要求(SIL1范围为0.1～0.01)。

回路的STR=(4.57 E-6)+(8.77 E-6)+0.017+0.04+0.04=0.097，因而MTTF=1/STR=10.31 a。

3.4方案4

方案4对应的信号连接如图6所示，根据公式(1)，(2)，(5)，(8)，(11)，(17)计算结果见表8所列。

图6 方案4的信号连接示意

表8 方案4的PFD及STR计算

续 表 8

表8中MTTR=8 h=9.13×10-4a，TI=1 a，因而PFDAVG=0.0004+0.005+0.02+0.01=0.0354，满足SIL1要求(SIL1范围为0.1～0.01)。

回路的STR=(4.57 E-6)+(8.77 E-6)+0.017+(2.92 E-6)+0.04=0.057，因而MTTF=1/STR=17.5 a。

3.5各种改造方案的可靠性和误动作概率参数对比

该公司原始的“一选一”安全仪表回路逻辑与改造方案1～4的可靠性和STR参数对比见表9所列。

表9 各种方案的可靠性和STR参数对比

从表9中的数据可以看出，安全仪表回路的各种改造方案侧重点不一样。如果从STR方面考虑，按照方案2和方案4改造后，安全仪表回路的STR一样，比原始设计会大幅减少；如果从可靠性方面考虑，方案4比方案2的可靠性要高些。

安全仪表回路改造除了在硬件上实现外，同时也要在软件部分增加诊断逻辑，比如检测元件的偏差报警、电磁阀完好状态的定期检验等，以保证安全仪表回路的完整性。

4 结束语

在石油化工自动化设计中，不仅要考虑安全仪表回路的可靠性，同时也要考虑可用性，如何达到可靠性和可用性的平衡，是设计和技术人员必须研究的问题。目前该公司海南基地的化肥一部在2012年对安全仪表回路进行了“二选二”表决逻辑改造，效果非常明显，基本避免了由于仪表导致的非计划性停车，由此证明该公司的安全仪表回路改造方案是可行的，下一步需要在该公司集团内部进行推广和完善，保证装置的长周期稳定运行。

[1]靳江红，吴宗之，赵寿堂，等.安全仪表系统的功能安全国内外发展综述[J].化工自动化及仪表，2010(05)： 1-5.

[2]IEC. IEC 61508 Functional Safety of Electrical/Electronic/Programmable Electronic Safety-related Systems[S]. IEC, 2003.

[3]IEC. IEC 61511 Functional Safety： Safety Instrumented Systems for the Process Industry Sector[S]. IEC, 2003.

[4]ISA. ANSI/ISA-84.01 Application of Safety Instrumented System for the Process Industries [S]. ISA, 2002.

[5]郭亮，娄开丽.安全仪表系统的安全生命周期[J].化工自动化及仪表，2009(04)： 8-13.

[6]李鹏，王彦刚，陈建平.工厂安全仪表系统设计要求及实现[J].石油化工自动化，2009，45(05)： 12-16.

[7]丁振宇，朱建新，包士毅，等.LDPE装置反应器联锁系统可靠性计算方法研究[J].石油化工自动化，2010，46(01)： 8-12.

[8]宋志远.SIL报告在自控设计中的指导应用[J].石油化工自动化，2009，45(03)： 6-12.

[9]魏华.安全仪表的可靠性和可用性分析[J].石油化工自动化，2009，45(01)： 10-13.

[10]魏华.安全设计的保护层分析在600 kt/a甲醇项目中的应用[J].石油化工自动化，2008，44(06)： 24-27.

ReliabilityandCalculationofMalfunctionProbabilityRateforSafetyInstrumentLoopTransforming

Zhou Yanpeng

(CNOOC Property Construction amp; Management Co. Ltd., Beijing,100010, China)

Safety integrity level (SIL) evaluation technology is an asset management way based on risk for petro-chemical industries which is being developed in recent years. The implementation of international standard of IEC 61508 and IEC 61511 provide theory support for SIL evaluation for process industry such as petro-chemical industry, and the safety operation has been great promoted. Based on the calculation technique, the current used safety instrument loop is evaluated for CNOOC, and the probability for failure (PFD) and spurious trip rate (STR) are calculated theoretically, which has provided a theory foundation for pre-phase demonstration of the safety instrument project and technical reforming.

process hazard analysis; hazard and operation analysis; safety integrity level; probability for failure; spurious trip rate

稿件收到日期：2013-07-26。

周雁鹏(1975—)，女，辽宁抚顺人，1997年毕业于北京石油化工学院自动化系，现就职于中海油基建管理有限责任公司，参与过多个大型化工装置的项目建设，发表过2篇论文。

TP202

B

1007-7324(2013)05-0001-06