朱春丽，呼滨，杨金丽

(中海油研究总院 工程研究设计院，北京 100028)



浅谈结构约束对HIPPS设计的影响

朱春丽，呼滨，杨金丽

(中海油研究总院 工程研究设计院，北京 100028)

摘要：分析了IEC 61508/IEC61511标准中对设备硬件结构约束的要求，提出了在安全仪表功能回路设计时需要同时关注系统的安全完整性和硬件的安全完整性；指出了如何计算串联和并联结构的硬件故障裕度；介绍了在工程实践中，硬件结构约束的几种应用方式和方法。以高完整性压力保护系统(HIPPS)为例，阐述了硬件结构约束在HIPPS设计中的影响和作用。

关键词：结构约束硬件故障裕度高完整性压力保护系统安全完整性等级

1结构约束

1.1结构约束定义

一个安全仪表功能回路SIF(safety instrument function)由传感器、逻辑控制器和最终执行元件组成，该SIF的安全完整性等级(SIL)既要满足系统的安全完整性，又要满足硬件的安全完整性等级要求，即除了应该符合平均要求失效率(PFDavg)的计算值外，还要评估各子系统(传感器、逻辑控制器、最终执行元件)是否满足了“结构约束”(architectural constraints)的要求，在IEC 61508/IEC 61511中，结构约束条款用最小的“硬件故障裕度”HFT(hardware fault tolerance)表征，代表了设备或子系统在构成回路时，从硬件结构上对SIL的限制。也就是说，无论其声称的可靠性多高，从硬件结构上限制了所能达到的SIL，即所谓的结构约束[1]。

1.2IEC 61508中的结构约束

IEC 61508分别为设备类型A和B的子系统定义了结构约束，见表1所列。根据设备类型及其安全失效分数(SFF)和设备所在子系统的硬件故障裕度来确定设备子系统能够用于哪种SIL水平的安全仪表系统。

表1　　　IEC 61508对A类和B类安全

A型指那些所有故障模式、所有故障行为都被定义过，而且有充足的故障数据的元件，例如普通传感器，阀门等。而B型则相反，指那些故障类型没有被完整地定义，也没有足够的故障数据的元件，一般指的是含有处理器的元件，例如智能传感器、逻辑运算器等。

由表1可以看出，确定安全仪表回路各个元件的SIL取决于2个参数： 1个是安全失效分数，另1个是硬件故障裕度。对自动化产品来说，安全失效分数的定义为该产品的平均安全失效率加检测到的平均危险失效率与子系统总平均失效率之比[2]。

1.3硬件故障裕度

所谓硬件故障裕度，相关标准给出的解释是： 在故障或者错误出现时，硬件功能模块连续执行要求功能的能力。通常用数值“N”来表示，即N+1个故障将会导致安全相关控制功能的丧失。

硬件故障裕度和系统或者元件的结构有关。对于“MooN”结构来说，需要N个通道中的M个独立通道来实现安全功能，根据硬件故障裕度的定义，假如硬件容错能力是X，那么出现X+1个危险故障时，将会导致安全功能的丧失。因此，得出“MooN”结构中，硬件容错能力的计算公式： HFT=N-M。常见的结构有“1oo1”，“2oo2”，“1oo2”，“2oo3”，“1oo3”，“2oo4”，表2列出了不同结构的硬件故障裕度值。

表2　不同结构的硬件故障裕度

2SIF的硬件安全完整性

根据IEC 61508的规定，在SIF由单通道子系统构成时，该SIF的最大可能的SIL取决于链路上具有最小SIL的子系统。

单通道子系统执行安全相关功能时，执行整个安全功能所能达到的最高硬件SIL，由具有最低SIL能力的子系统决定。链路SIL最低为SIL1，所以整个通道的SIL确定为SIL1[3]。

在确定子系统组合为1&2&3&4时所遵循的原则： 找出其中具有最高SIL能力的组合；分析另外组合的影响。多通道SIF的硬件安全完整性示意如图1所示。

由图1可以看出，1和2串联，链路的SIL确定为SIL2；3和4串联，链路的SIL确定为SIL1，1&2与3&4并联可以简化为1个SIL2的通道与1个SIL1的通道并联，相当于1个SIL2的结构增加了1个故障裕度，即增加了1个容忍故障的能力，由表1可以看出，每增加1个故障裕度，SIL增加1级，所以组合后总的SIL变为SIL3[3]。

图1　多通道SIF的硬件安全完整性示例

3高完整性压力保护系统(HIPPS)的结构约束

一般在工程实践中，结构约束是以另一种方式使用的。已知的是目标SIL、设备类型及安全失效分数，要确定的是硬件故障裕度。对于SIL3需求的HIPPS，从硬件结构上要求传感器子系统、逻辑控制器子系统、执行机构子系统，各子系统硬件约束的SIL至少都要达到SIL3。

3.1HIPPS的结构设计与选型

1) 对于变送器子系统和逻辑控制器子系统部分，通常是已知设备的安全失效分数和确定的SIL，需要确定的是故障裕度，即该采用何种“MooN”的结构配置。变送器子系统和逻辑控制器在分类上属于B类子系统，根据表1所示可以明确采用安全失效分数小于60%的设备，在硬件结构上是无法达到SIL3要求的，要在结构约束上满足SIL3的要求，结合表1可以采用以下几种结构配置：

a) 采用安全失效分数大于60%且小于90%的设备，故障裕度要求必须为2，可以采用“1oo3”或者“2oo4”结构。

b) 采用安全失效分数大于90%且小于99%的设备，故障裕度为1，可以采用“1oo2”或者“2oo3”结构；故障裕度为2，可以采用“1oo3”或者“2oo4”结构。

c) 采用安全失效分数大于99%的设备，故障裕度为0，可以采用“1oo1”或者“2oo2”的结构配置；故障裕度为1，可以采用“1oo2”或者“2oo3”结构；故障裕度为2，可以采用“1oo3”或者“2oo4”结构。

2) HIPPS的执行机构由电磁阀+关断阀构成，对执行机构的结构设计和选型需要详细考虑串联、并联的关系。对于执行机构子系统，通常是已知故障裕度和目标SIL，需要确定需要什么样安全失效分数的设备。执行机构在分类上属于A类子系统，要在硬件结构上达到SIL3要求，结合表1所示可以采用以下几种结构配置：

a) 采用“1oo1”电磁阀+“1oo1”关断阀结构配置。电磁阀和关断阀的故障裕度都为0，要在硬件结构上满足SIL3的要求，可以采用安全失效分数大于90%的电磁阀和关断阀。

b) 采用“1oo2”电磁阀+“1oo1”关断阀结构配置。电磁阀的故障裕度为1，要在硬件结构上满足SIL3的要求，可以采用安全失效分数大于60%的电磁阀；关断阀的故障裕度为0，要在硬件结构上满足SIL3的要求，可以采用安全失效分数大于90%的关断阀。

c) 采用“1oo1”电磁阀+“1oo1”关断阀2组串联。根据多通道子系统的结构约束原则，1组最低SIL1的和1组最低SIL2的结构，在硬件上即可以满足SIL3的执行机构要求。

3.2HIPPS的评估与验证

工程设计中，对于1个已经设计好的HIPPS，要确认其SIF是否满足所要求的SIL，一是通过故障模式和影响分析，计算出回路的PFDavg值；二是判断结构设计遵循结构约束的规定。HIPPS结构如图2所示，变送器采用“2oo3”的YOKOGAWA EJX530A，逻辑控制器采用四重化冗余“2oo4”的HIMA Planar4，执行机构采用ASCO电磁阀+ Mokveld HIPPS阀门 2组串联。

图2　HIPPS结构示意

1) YOKOGAWA EJX530传感器。根据供应商提供的报告，故障数据见表3所列。

表3　执行机构失效数据

“2oo3”结构的传感器，根据IEC 61508提供的计算公式，在测试周期为1a的情况下，计算得到传感器部分的PFDavg为1.20×10-4。

“2oo3”结构的传感器，硬件故障裕度为1，安全失效分数为94.6%，根据IEC 61508对B型系统的结构约束要求，可以得到对变送器子系统的硬件结构约束要求的安全完整性等级为SIL3。

2) HIMA Planar4逻辑控制器。根据供应商提供的资料，故障数据见表4所列。

表4　控制器失效数据

HIMA Planar4逻辑控制器采用双“1oo2”结构，即“2oo4”结构，单个“1oo2”结构硬件故障裕度为1，安全失效分数为97.27%，根据IEC 61508对B型系统的结构约束要求，可以得到硬件结构约束要求的安全完整性等级为SIL3。由于系统采用2个“1oo2”结构并行工作，所有逻辑控制器总的硬件结构约束要求的安全完整性等级可以达到SIL4。

3) ASCO电磁阀+ Mokveld HIPPS阀门执行机构。根据供应商提供的资料，电磁阀故障数据见表5所列。

表5　电磁阀失效数据

根据供应商提供的资料，Mokveld关断阀失效数据见表6所列。

表6　关断阀失效数据

“1oo1”结构的电磁阀和关断阀串联，根据IEC 61508提供的计算公式，在测试周期为1a的情况下，计算得到PFDavg为1.04×10-3，采用“1oo1”的电磁阀和关断阀2组并联的结构，在测试周期为1a的情况下，计算得到PFDavg为1.07×10-4。

“1oo1”结构的电磁阀，硬件故障裕度为0，安全失效分数为63.2%，根据IEC 61508对A型系统的结构约束要求，可以得到对电磁阀的硬件结构约束要求的安全完整性等级为SIL2。“1oo1”结构的关断阀，硬件故障裕度为0，安全失效分数为97%，

根据IEC 61508对A型系统的结构约束要求，可以得到对关断阀的硬件结构约束要求的安全完整性等级为SIL3，电磁阀和关断阀串联后，总的硬件结构约束要求的安全完整性等级为SIL2。用“1oo1”的电磁阀和关断阀2组并联的结构后，总的执行机构的硬件结构约束要求的安全完整性等级可以达到SIL3。

在硬件结构约束上，传感器子系统、控制器子系统、执行机构子系统都满足SIL3的要求，整个HIPPS的硬件结构约束满足SIL3要求。对于整个HIPPS而言，计算得到：PFDHIPPS=PFDSE+PFDLC+PFDFE=1.20×10-4+2.10×10-5+1.07×10-4=2.48×10-4，满足SIL3要求。

4结束语

通过上述介绍和案例分析可知，在今后对安全仪表功能回路进行设计或是验证的过程中，要同时关注系统的安全完整性和硬件的安全完整性，只有两者兼顾才能设计出满足标准要求的安全仪表系统。

参考文献:

[1]IEC.IEC 61508—2002 Functional Safety of Electrical/ Electronic/ Programmable Electronic Safety-related Systems[S]. Geneva: IEC, 2002.

[2]冯晓升，王莉，梅恪，等.GB/T 20438.6—2006电气/电子/可编程电子安全相关系统的功能安全[S].北京： 中国标准出版社，2007.

[3]张建国.安全仪表系统在过程工业中的应用[M].北京： 中国电力出版社，2010： 9-11.

[4]阳宪惠，郭海涛.安全仪表系统的功能安全[M].北京： 清华大学出版社，2007： 100-104.

[5]董小刚.海洋工程高完整性压力保护系统(HIPPS)生命周期内的管理[J].仪器仪表标准化与计量，2009(04)： 27-31.

[6]冯传令，张峰，张恩俭.HIPPS在海洋石油工程中的应用研究[J].石油矿场机械，2007(05)： 94-97.

[7]方辉.基于结构约束的硬件安全完整性等级验证研究[J].化工自动化及仪表，2015，42(07)： 760-764，769.

[8]陈浩，荣冈，冯毅萍.面向系统状态监控与故障诊断的安全评估方法[J].化工自动化及仪表，2014，41(02)： 138-143，211.

Brief Discussion of Impact of Architectural Constraints on HIPPS Design

Zhu Chunli, Hu Bin, Yang Jinli

(Engineering Design & Research Institute, CNOOC Research Institute, Beijing, 100028, China)

Abstract:The device hardware architectural constraints requirements in IEC 61508 / IEC 61511 standards are reviewed. It points out safety integrity of system and hardware is needed to be focused during safety instrument function loop design. How to calculate fault tolerance for series and parallel hardware architecture is discussed. Several application ways and means of hardware architectural constraints in engineering practice are described. The influence and role of hardware architectural constraints in high integrity pressure protective system (HIPPS) design are expounded with HIPPS as example.

Key words:architectural constraints; hardware fault tolerance; high integrity pressure protective system; safety integrity level

作者简介：朱春丽，女，2009年毕业于中国石油大学(北京)控制理论与控制工程专业，获硕士学位，现就职于中海油研究总院工程研究设计院，主要从事海洋石油平台的过程控制系统、紧急关断系统、火气探测系统的研究与设计，任工程师。

中图分类号：TP273

文献标志码：B

文章编号：1007-7324(2016)02-0011-03

稿件收到日期： 2015-11-23。