王子洋

(中国石油化工股份有限公司 茂名分公司,广东 茂名 525000)

安全仪表系统(SIS)包括安全联锁系统、紧急停车系统和有毒有害、可燃气体及火灾检测保护系统等, SIS独立于过程控制系统(例如分散控制系统等),生产正常时处于休眠或静止状态,一旦生产装置或设施出现可能导致安全事故的情况时,能够瞬间准确动作,使生产过程安全停止运行或自动导入预定的安全状态。SIS必须有很高的可靠性(即功能安全)和规范的维护管理,如果SIS失效,往往会对资产带来巨大的损失,甚至对于操作人员的人身安全带来威胁。

SIS通常应用于石油、化工、核电等领域,设计中需要合理考虑设备的配置情况,以满足不同应用对于系统安全性和可用性的要求。SIS的安全性是指,当生产工况发生异常时,系统保证生产过程和生产环境处于相对安全状态的能力,可以通过安全完整性等级(SIL)衡量。SIS的可用性是指,在流程运行时能够正常执行指定功能的概率[1],以系统故障后对业务的影响最小为目的,可以通过平均无误停车的工作时间(MTTFspurious)和平均修复时间(MTTR)衡量,其中MTTFspurious通过误停车率(STR)计算,MTTR一般包括四个部分: 故障检测时间(MFDT)、维修前的准备和延迟时间、实际维修时间(MART)、维修后恢复运行前的管理延迟时间。MFDT和MART需要实际测试来确定,而对于维修前的准备和延迟时间以及管理延迟,需要结合供应商提供的现场运维水平估计。

当前对于SIS的安全性定级在IEC 61508: 2010Functionalsafetyofelectrical/electronic/programmableelectronicsafety-relatedsystems[2]和IEC 61511: 2016Functionalsafety:Safetyinstrumentedsystemsfortheprocessindustrysector[3]等标准中都有定量要求,相关验算方式也已经十分成熟。但是对于STR,并没有特定标准明确规定定量的等级,分析中更多是基于用户的使用情况,通过编写安全要求规格书(SRS)来要求各SIF回路的“允许最高停车率”。

SIS自身的故障会引起误停车,误停车本身不会引入危险工况,但是会直接导致生产工艺的中断,带来极其昂贵的生产成本[4]。本文通过可靠性框图计算系统的STR,得出SIS的可用度的方法,并从冗余配置调整、可维护性设计等方面为SIS的可用性设计优化提供改进措施。

1 可用性概念

可用性的设计原则是: 工艺条件未达到安全极限值,SIS不应引导工艺过程停车,但由于生产装置自身存在故障而导致工艺过程误停,降低了可用性。

可用性是指SIS在一个给定的时间内能正确执行功能的概率,通常会定义MTTFspurious,MTTR,因此,可用性可以通过可用度(A)计算,如式(1)所示:

A=MTTFspurious/(MTTFspurious+MTTR)

(1)

1.1 可用性分析步骤

评估系统可用性之前,首先根据整体架构列出可用性分析的对象,明确系统的安全功能,分析导致系统不可用的失效因素,通过建模分析量化误停车率,结合现场运维水平分析来评估可用性,确定是否有理由采取设计/额外措施来提高SIF可用性。可用性分析步骤如图1所示。

图1 可用性分析步骤示意

1.2 分析方法

系统可用性研究早期以简单系统为主,系统组件较少,且部件与部件之间互相独立,针对这一类系统的分析方法主要有可靠性框图、故障树分析(FTA)等,随着现代工业发展,后续又推出了GO法、Markov法等[5]。常见的各类分析方法的对比见表1所列。

表1 系统可靠性分析方法对比

常见的分析方法主要分为定量分析和定性分析。定性分析方法更侧重于从经验和专家意见出发,通过对系统设计和操作方案进行讨论和分析,提出可能存在的失效模式和潜在风险,并采取相应的措施进行预防或纠正,例如GO法等;定量分析方法利用数学和统计学对系统模型进行精确计算,得到系统性能指标的数值结果,例如可靠性框图,蒙特卡罗模拟法,FTA,Markov和Petri等方法都是以数值计算为主要手段,可以得到定量的评估结果。本文主要通过定量的可靠性框图分析方式进行计算。

2 可用性分析及计算

SIS可用性分析的关键在于对STR的计算,该指标可基于文献[2]的FMEDA分析模型,确定与系统相关的基础失效率数据,结合装置生产实际及安全设施配置情况,利用可靠性框图例化出SIF回路的组成,并综合衡量现场运维水平的影响,参考文献[1]计算出STR,最终计算出可用度,结合SRS的要求分析评价系统的可用性水平。最后,根据分析结论指导各SIF回路的硬件冗余配置、关键元器件的选型等设计,同时对于后续运行阶段的测试覆盖率、日常检修策略提供指导性的建议。

SIF回路一般由三部分组成[6]: 传感单元、逻辑处理单元和执行单元,任一单元的故障均可引起SIF回路误动作,导致系统误停车。

SIF回路的A计算应按照以下步骤:

1)细化SIF回路架构组成。实际分析中,SIF回路各组成单元需进一步细分,如传感单元包括传感器、安全栅、输入端子板;逻辑处理单元包括输入模块IM、控制器模块CM和输出模块OM;执行单元包含输出端子板、电磁阀、球阀等。SIF回路的详细架构示例组成如图2所示,SIF回路各个组件的安全功能定义见表2所列。

2)SIF回路可靠性建模。基于实际SIF回路各组件的冗余配置情况,进行SIF回路可靠性框图绘制,需列出SIS的各个部件,如图3所示。

图3 SIF回路可靠性框图示意

3)SIF回路的A计算如下:

首先需基于文献[1]计算SIF回路的∑STRSIS:

∑STRSIS=∑STRS+∑STRL+∑STRFE

(2)

式中: ∑STRS——从现场检测元件至逻辑系统的传感器子系统的STR;∑STRL——IO模块、处理器等的逻辑子系统的STR;∑STRFE——最终执行元件子系统的STR。

其中,每个部件可基于部件架构进行单独计算,公式如下:

对于表决架构为“1oo1”时:

STR=λS+λDD

(3)

对于表决架构为“1oo2”时:

STR=2(λS+λDD)+(λS+λDD)β

(4)

对于表决架构为“2oo2”时:

STR=2λS(λS+λDD)MTTR+(λS+λDD)β

(5)

对于表决架构为“2oo3”时:

STR=6λS(λS+λDD)MTTR+(λS+λDD)β

(6)

对于表决架构为“2oo4”时:

STR=12λS(λS+λDD)MTTR+(λS+λDD)β

(7)

式中:λS——安全失效率数据;λDD——危险可检测的失效率数据,SIS单元、逻辑控制单元及执行单元的失效率数据通常可从设备供应商的SIL认证评估报告中获取;β——共因失效因子,与冗余部件的差异性设计程度有关,通常可根据文献[7]要求进行评估。

其次,需计算SIF回路的MTTFspurious:

(8)

最后,可基于式(1)计算SIF回路的A。

3 可用性提升

不同应用对于安全性和可用性的要求有所区分,设计中往往需要平衡二者的性能,对于不满足可用性要求的子系统,可以通过调整系统配置情况优化SIF回路的失效率或者结合可维护性设计来提升指标。

1)子系统冗余配置调整。在SIS的设计中,对于需要外部干预的现场检测仪表和执行单元的故障没有稳定有效的处理措施,它们的失效同样会导致装置停车,因此可以考虑采取冗余配置措施来改进[8-9]。对于“1oo1”表决架构,由于自身故障裕度较低,实际应用中只能考虑降低自身的失效率来保证性能;对于“1oo2”表决架构,2个通道任一故障都会触发联锁,可靠性较高但误动作可能性也高,可用性较差;对于“2oo2”表决架构,降低了安全失效的概率但是增加了危险失效的概率,安全性较差;对于“2oo3”表决架构,只有3个通道中2个故障才会引起联锁,误动作概率低,同样也能有效降低未检测故障带来的风险。

因此,当需要通过调整子系统的冗余来改进可用性时,可参考表3的配置。对于高安全性和高可用性兼顾的应用,系统配置宜采用“2oo3”的冗余结构。

表3 安全性冗余结构和可用性冗余结构配置

2)可维护性设计。系统设计的可维护性对于可用性的优化至关重要,当需要对某个部件进行检验测试时,为了保证生产工艺的连续性,控制系统的设计可以考虑冗余的设计,在维护过程中支持在线更换,实现在线维护;同时也可以对现场仪表配置旁路开关,通过对指定维护对象进行旁路操作,隔离其对于现场回路的控制,保证此时系统处于降级运行但安全功能不受影响的状态,当维护流程结束后,按照规程解除旁路,可以使系统恢复到“全新”的状态。

4 可用性分析实践

以某套具备SIL3等级认证的国产化SIS为例,在架构层面,为了能在高安全要求与高可用性要求之间取得最优平衡点,系统采用了单个模块三重化表决架构(2oo3),可提供1个故障裕度,即一个通道失效时,保证系统安全功能正常。并且,采用五重故障表决隔离技术,包括输入模块采样信号表决、控制器输入数据表决、控制器输出数据表决、输出模块输出数据表决、输出模块输出信号硬件表决,保证局部单一故障时不扩散。同时,设计了基于双主冗余的系统模型以及三重化表决系统的降级模式,实现故障隔离区内仍达到三重故障容忍度,系统在故障发生的情况下可以在线更换故障部件,MTTR可小于4 h。该架构技术使系统实现了99.990%～99.999%的可用度,并在多重独立故障发生的情况下,仍能持续保持SIL3等级安全完整性。

在实际应用中,采用该SIS构建SIF回路,该安全回路在设计时要求误停车率应小于5年1次,可用度应大于99.990%。实际该回路传感单元采用“2oo3”表决架构、输出单元采用“1oo2”表决架构,该回路的可靠性框图如图3所示。该回路相关的部件的基础失效率数据从供应商认证评估报告中获得,见表4所列。

表4 SIF回路基础失效率数据 h-1

该回路部件中,安全仪表系统故障检测及在线更换的时间远低于系统本身软硬件的维修时间,因此计算中以用户现场的运维水平评估得到MTTR按照4 h计算,而β基于文献[7]评估为1%。综上所述,SIF回路各部件的STR计算结果见表5所列。

表5 SIF回路各部件的STR h-1

基于式(2)计算SIF回路系统的∑STRSIS=1.49×10-5h-1,式(8)计算SIF回路的MTTFspurious=7.63 a=66 872.04 h,最后代入式(1)可得:A=MTTFspurious/(MTTFspurious+MTTR)=99.994%,满足设计要求。

5 结束语

近年来,围绕安全相关系统功能安全管理,从理论方法的研究、标准规范的建立,到实际安全系统的设计分析、实施、评估、认证都有许多研究和成果。本文阐述了可用性的分析和计算过程,以SIS构建的SIF回路为例进行可用性的量化计算和分析。结合子系统的冗余配置以及可维修性设计的角度,为设计阶段对于硬件选型、系统配置以及后续的维护条件对于可用性的提升提供指导建议。