王 鹏 白 焰 付亚利

(华北电力大学控制与计算机工程学院，北京 102206)

随着我国工业自动化水平的不断提高，过程控制系统的规模越来越复杂，这就对模件的可靠性和安全性提出了更高的要求；而国内模件大多只考虑经济性，安全性并未得到相应重视。工程实践中，针对火电厂炉膛安全监控系统(FSSS)的测点就有3 000多个，这些测点都需要用到I/O模件，假如每个模件的安全等级下降一级，整个FSSS的安全等级就不能满足要求；为了使我国工业系统更符合国际标准，笔者应用IEC61508标准的相关规定，对AO模件进行安全评估[1]。

1 功能安全评估方法①

在生产系统的可靠性设计和运行过程中，安全评估是一个重要环节。目前国内外已研究开发出多种针对不同特点、不同使用对象和范围、不同应用条件的安全评估方法，常用的有：安全检查法(SR)、安全检查表分析法(SCA)、预先危险性分析法(PHA)、故障假设分析法(WI)、危险与可操作性研究法(HAZOP)、故障类型及影响分析法(FMEA)、故障树分析法(FTA)、事件树分析法(ETA)和危险指数法(RR)[2]。

FTA是由美国Bell实验室科技人员在1962年进行火箭发射系统的安全评估时提出的。发展到今天，已经是可靠性分析和安全评估的最常用方法之一[3]。安全评估方法获得可信的安全评估结果必须建立在真实、合理和系统的基础数据之上，被评价的系统应该能够提供所需的系统化的数据和资料。笔者搜集到了适应于故障树的可靠性数据，又因故障树分析方法精确且适用范围广，故采用故障树分析方法对LN-05B模件进行安全评估。

2 AO模件的故障树分析与SIL等级计算

FTA从顶端事件开始，首先分析导致该事件的直接原因，接着确定导致直接原因的失效模式，然后一直追溯到最根本的触发原因——基本事件[4]。能够揭示导致事故发生的基本事件，从而降低事故发生的可能性。

故障树分析的步骤为：分析系统结构并逐级分析导致失效的原因；建立故障树结构；建立最小割集；故障树定量/定性分析[3]。

2.1 分析系统结构

LN-05B模件的结构如图1所示[5]。该模件配置了两个24V供电电源，经滤波和外部辅助电路后，通过隔离电压转换器将24V电压转换为5V电压为微控制器供电。由数据总线送来的控制量信号经数据收发器送到微处理器，来自微处理器的信号经隔离装置送入DA转换器之后，当系统处理器模件发出的地址信号与该模件地址开关上设置的地址一致时，输出通道将微弱的数字信号转换成能对生产过程进行控制的数字驱动信号输出。该模件配置4路DA输出通道，首先计算单输出通道的模件失效概率，再计算整个模件的失效概率。

图1 LN-05B结构

2.2 建立故障树结构

单输出通道的模件故障树如图2所示。共因失效是指由一个或多个事件引起多通道系统中的两个或多个分离通道失效，从而导致系统失效的一种失效[6]。共因失效一般发生在多通道系统中，如冗余及多数表决系统等。

图2 单输出通道的LN-05B故障树

电源采用冗余配置，考虑共因失效；总线收发器采用二取一表决逻辑，考虑共因失效。共因失效因子β可以根据β因子估计表估计，两个冗余的电源输入通道采用了相同的技术并且在同一电路印刷板上，根据β因子估计表，β电源取0.03[6]。两个收发器在同一个印刷电路板上采用相同的连接方式，并且它们由同一个电源供电，相互没有隔离，根据β因子估计表，β收发器取0.04。

部件失效概率数据见表1。表中总线收发器的可靠性数据由制造商Philips提供，AO转换器和运算放大器的可靠性数据由制造商Burr-Brown和Texas Instruments提供；其他元器件的可靠性数据来自美国国防部可靠性分析中心RIAC的可靠性数据库。

表1 部件失效概率数据

2.3 建立最小割集

最小割集的计算方法有很多种，笔者采用下行法计算。从故障树的顶事件开始，顺次把上一级事件置换为下一级事件，遇到与门将输入事件横向并列写出，遇到或门将输入事件竖向写出，直到把全部逻辑门换成底事件为止，此时最后一列代表所有割集，再将割集简化并吸收得到全部最小割集[7,8]。结合图2可知，LN-05B失效故障树的最小割集为：{B1}，{B2}，{D1，D2}，{C2}，{B4}，{B5}，{D3，D4}，{C4}，{B7}，{B8}，{B9}，{C5}，{C6}，{C7}，{C8}，{C9}，{C10}，{C11}。

2.4 故障树定量分析

采用最小割集不交化方法求顶事件发生的概率[7]，具体为：

(1)

(2)

将表1数据代入式(1)、(2)，得：

T=B1∪B2∪(D1∩D2)∪C2∪B4∪B5∪(D3∩D4)∪C4∪B7∪B8∪B9∪C5∩C6∪C7∪C8∪C9∪C10∪C11

=2.42×10-7+(1-2.42×10-7)×7.73×10-7+…+(1-2.42×10-7)×

(1-7.73×10-7)×[1-0.97×3.60×10-9+0.97×3.60×10-9×

(1-0.97×3.60×10-9)]×…×2.67×10-5

=1.77×10-3

其中非共因部分的PFD为(1-β)PFD，共因部分的PFD为βPFD。通过计算，得到整个模件的失效概率为5.70×10-3。

安全完整性就是在规定的条件和时间内，安全相关系统成功地实现所要求的功能的概率[9]。安全相关系统有4种安全完整性等级(SIL)，等级越高，其成功实现所要求功能的概率越高。根据表2可知该模件的安全完整性等级为SIL2[7]。

表2 IEC61508安全完整性等级

3 结束语

笔者针对模拟量输出模件LN-05B，构造了危险失效故障树和最小割集，采用故障树最小割集不交化方法计算了要求时失效概率，得到其安全等级为SIL2。由于电厂复杂化程度不断提高，为了满足过程工业系统SIL3的安全等级要求，建议采购具有自检功能的模件，可以提高模件的可靠性和安全性。为了得到保守精确的结果，笔者并未近似计算，相对于应用公式计算，这种方法显然比较繁琐；但是对于要求精确安全评估结果的小模型来说，此方法不但方便，而且评估结果更准确。