1 引 言
人类工业史上的几次重大事故给了人们深刻惨痛的教训,使人们认识到安全问题永远都不应被忽视。安全仪表系统广泛应用于过程工业中,如石油、化工、冶金、电力等行业。安全仪表系统监视生产过程的状态,在危险条件出现时采取相应措施,防止事故发生,避免潜在危险对人身、设备、环境造成伤害或减轻其后果。近年化工厂爆炸等事故时有发生,安全仪表系统没有在需要时发挥作用,是很多事故发生的重要原因。安全仪表系统在工业应用中的历史已经相当长了,工业界也常常认为安装了安全仪表系统就达到了安全。然而,安全仪表系统由于本身结构、硬件、软件及其周围环境等原因,安全仪表系统将不可避免地存在安全性问题[1];而且安全仪表系统长期处于休眠被动状态,往往不易发现它的缺陷,因此,不但其是否已安装、是否具有正确功能非常重要,而且其执行安全功能的可靠程度———安全仪表系统的性能有多可靠或者说安全完整性等级(SIL)有多高亦不容忽视[2]。而后者却经常被工业生产者及安全管理者忽视。以往重大危险源的安全评估是将设备设施、基本过程控制系统和安全仪表系统一起评估,或者忽略了安全仪表系统。随着人们对安全要求的提高和安全技术的发展,安全仪表系统性能定量评估方法的研究在国际上已成为一个新的研究热点。①
2 安全仪表系统性能评估方法
安全仪表系统的性能高低用安全仪表系统的总体安全功能失效来衡量。系统安全功能失效很大程度上由于系统的组成设备失效导致,设备失效可能发生在被动休眠期,或者发生在安全仪表系统离线测试或维修期间,甚至发生在过程有安全功能要求。而IEC61508只计算了由随机硬件危险失效导致的要求时失效概率(PFD),并定量了部分系统失效(与硬件相关的共因失效)[3]。可见, IEC61508中对系统安全功能失效的计算很不完整,计算结果偏低,存在危险隐患。如果要完整、详细地定量系统安全功能失效,首先要明确造成系统安全功能失效的可能原因和类别,并分别定量计算才行。
许多学者对系统要求时失效概率进行了深入的建模研究,并给出了精确的定量计算公式,本文不将此作为研究重点,但直接引用相关计算公式。
2.1 系统安全功能失效类别及其定量计算方法
安全仪表系统的使用过程有三个阶段:被动休眠期、过程要求时和维修测试期。设备在被动休眠期内可能存在未检测到的危险失效,从而导致过程要求时的系统安全功能失效;任何测试都没能发现而只在过程要求时发生的系统安全功能失效;安全仪表系统在维修测试期内降级工作或者暂时失去安全保护功能,从而导致系统安全功能失效。因此,系统安全功能失效可分为以下三类:
(1)被动休眠期内的系统平均要求时失效概率PFDavg。
在功能测试间隔期间内,安全仪表系统处于被动休眠状态,可能存在未检测到的危险失效,该危险失效可能导致过程要求时的系统安全功能失效,即平均要求时失效概率PFDavg。对单一设备来说,未检测到的危险失效率记为λDU,其发生的时期为功能测试周期τ。这种系统安全功能失效是不可预知的,可以分为两种情况:
①由未检测到的随机硬件危险失效而导致的系统安全功能失效。未检测到的随机硬件危险失效率记为λDU-RH,即IEC61508中的λDU;
②由未检测到的系统危险失效而导致的系统安全功能失效。未检测到的系统危险失效率记为λDU-S。
这两种失效均由于最近一次的功能测试不够完善,有些随机硬件危险失效或系统危险失效未能及时发现,只有在过程要求时或下一次功能测试时才可能被发现。
几种典型表决结构的安全仪表系统的PFDavg计算公式均直接采用简化公式[4,5],如下所示:
(2)过程安全要求时的系统安全功能失效概率TIF。
这种失效是危险的也是不可预知的,它针对整个安全仪表系统。由于未知的失效模式和技术水平、人员素质等原因,它不能被功能测试方法检测出,也就是功能测试水平没有能力检测出这种失效,只能在过程有执行安全功能要求时发现,也就是说这种安全功能失效在一定功能测试水平下必然发记为TIF(Test IndependentFaulures)。如果对功能测试的规定不够完善,则该种安全功能失效会增加。例如在对阀门测试中,如果用部分行程测试代替全行程测试,那么阀门将因没有完全通过测试验证而增加失效概率。
对于单个设备构成的安全仪表系统,PTIF是该设备在过程要求时的失效概率。对于MooN(M 冗余系统,过程要求时的系统安全功能失效计算公式为:
TIF =CMooN·β·PTIF
(3)维修测试期内的系统安全功能失效概率DTU。
这种系统安全功能失效发生在设备已发生危险失效而拿去进行离线维修或设备处于周期性功能测试期间,记为DTU(Downtmi eUnavailability),它分为以下两种情况:
①设备维修期间发生的危险失效而导致的系统安全功能失效,记为DTUR。设备维修期间系统的平均不可用时间为MTTR(Mean Tmi e To Failure),包括从发现设备失效到维修完成这段时间。这段时间内,设备失效是已知的,系统的安全功能失效也是已知的;
②设备在功能测试期间发生的危险失效而导致的系统安全功能失效,记为DTUT。功能测试是一种计划内活动,因此该期间内发生的系统安全功能失效是可预见的、已知的。
IEC61508中只定量了DTUR,没有定量DTUT。另外,定量计算DTU时,应明确安全仪表系统的操作方法,如过程停车、系统降级操作、过程在无安全保护下继续运行。其具体阐述如下:
①过程停车。这种操作针对最关键的安全功能,只要有一个执行安全功能的设备存在检测出的危险失效,过程就停车。这种情况对系统安全功能失效没影响,但造成了生产损失;
②系统降级操作或过程停车。如果所有冗余设备都有检测出的危险失效则过程停车,否则系统降级运行。例如2oo3系统有一个检测出的危险失效,需要确定该系统是降级到1oo2还是2oo2。如果降级到1oo2,安全功能实际上是提高了;
③过程在无安全保护下继续运行。冗余系统的所有设备都有检测出的危险失效,但是过程在无安全保护下仍然运行。
以上操作方法还可以混合使用。常用冗余表决系统在某种降级操作方法下的DTUR和DTUT计算公式如下所示:
2.2 系统安全功能失效综合定量模型
安全仪表系统由传感器、逻辑控制器和最终执行机构三个子系统构成,每个子系统的安全功能失效计算模型为:
CSU =PFDavg+TIF +DTU
即根据前述的PFDavg、TIF和DTU计算模型计算出各个子系统的安全功能失效,然后再计算整体安全仪表系统的安全功能失效。整个安全仪表系统的可靠性框图如图1所示[6,7]。
由图1可以看出,安全仪表系统的整体安全功能失效是传感器、逻辑控制器和最终执行机构三个子系统的安全功能失效之和,则有:
CSUSYS=CSUT+CSUL+CSUFE
式中:CSUSYS———安全仪表系统的一个安全功能失效;CSUT———传感器子系统的安全功能失效;CSUL———逻辑控制器子系统的安全功能失效;CSUFE———最终执行机构子系统的安全功能失效。
3 应用举例
图2所示为一个压力储罐的高完整性压力保护系统(HIPPS,High Integrity Pressure Protection Sys-tem)。HIPPS是一种过压保护系统,是安全仪表系统针对防止产生过压力的特定应用[8]。通过选择需要的安全完整性等级SIL(Safety Integrity Level),经过仪表安全控制回路的控制,及时隔断产生过压的源头,减少系统因超过设计压力所带来的危险性。
图2所示的安全仪表系统由2oo3的压力变送器子系统、1oo2的逻辑控制器子系统和1oo2的阀门子系统构成。如果罐中的压力超过限值,则压力变送器将被触发并通过逻辑控制器发送关断信号给阀门V1和V2。假设其中一个阀门在维修或测试期间被旁路,另一阀门仍能够继续工作以保证生产继续进行。
HIPPS阀门与紧急切断阀门(ESV)具有相似的失效率。安全仪表系统所有设备的功能测试周期τ为六个月,即4 380 h。假设HIPPS阀门只进行了行程测试,并给出其PTIF值。该安全仪表系统的可靠性数据如表1所示。
图3给出了该过压保护系统安全功能失效的简单的可靠性框图。该示例不期望的危险事件是在超压情况下HIPPS不能关断任何一个阀门。
计算HIPPS系统的安全功能失效概率包括计算压力变送器、逻辑控制器和阀门子系统的平均要求时失效概率PFDavg、功能测试不能发现的系统安全功能失效概率TIF和维修、测试期间的安全功能失效概率DTU,最后计算整个安全仪表系统的安全功能失效概率CSUSYS。
3.1 计算PFDavg
该安全仪表系统有两个子系统为1oo2表决结构,另一个为2oo3表决结构。根据PFD的简化计算公式有:
PFDavg计算公式中的第一项为PFDavg的共因失效部分,第二项为独立失效部分。从以上计算结果可以看出,逻辑控制器的PFDavg的独立失效部分可以忽略,压力变送器的PFDavg的独立失效值很小,而执行阀门的PFDavg的独立失效值较大,不可忽略。
3.2 计算TIF
每个设备的功能测试不能发现的失效概率PTIF已在可靠性数据表中给出,因为每个子系统均为冗余结构,因此计算时要考虑共因失效因子和系统配置因子的作用。则有:
3.3 计算DTU
当计算HIPPS系统不可用期间的安全功能失效DTU时,需要考虑该系统的操作方法。假设:如果两个HIPPS阀门均失效,则HIPPS系统将不能执行安全功能而导致生产停止;同理,如果两个逻辑控制器或者一个以上的压力变送器发生失效,则HIPPS系统将不能执行安全功能而导致生产停止;
系统在测试或维修期间的降级操作方法为:如果一个压力变送器发生失效或者处于测试中,则压力变送器子系统降级为2oo2表决结构;如果一个阀门或者逻辑控制器发生失效或者处于测试中,则阀门和逻辑控制器子系统分别降级为1oo1表决结构。
(1)计算维修期间的系统安全功能失效DTUR。根据DTUR的简化计算公式,其中,λDD=λD-λDU,则有:
(2)计算测试期间的系统安全功能失效DTUT。假设设备进行连续的测试,根据DTUT的计算公式,则有:
3.4 计算系统总体安全功能失效CSUSYS
每个子系统的安全功能失效为PFDavg、TIF,DTU三者之和,即:
从以上计算结果可知,最终执行阀门子系统的安全功能失效最大,是造成安全仪表系统整体失效的主要原因。
整个安全仪表系统的安全功能失效为各个子系统的安全功能失效之和,即:
4 总 结
安全仪表系统已广泛应用于石油、化工、电力等过程工业中。安全仪表系统不但要具有正确的安全功能,而且要可靠地执行其预定的功能,而后者却经常被工业生产者及安全管理者忽视。随着人们对安全要求的提高和安全技术的发展,安全仪表系统的可靠性性能评估已逐渐成为研究热点。
IEC61508和IEC6151中只定量了随机硬件失效导致的系统安全功能失效(PFDavg和DTUR),并考虑了与硬件相关的共因失效,该方法很不完善。文中建立了更完善合理的功能安全性能评估方法,该方法综合考虑了安全仪表系统在使用过程的三个阶段:被动休眠期、过程要求时和维修测试期内可能造成的系统安全功能失效。
计算实例表明,逻辑控制器的PFDavg的独立失效部分可以忽略,压力变送器的PFDavg的独立失效概率较小,可计入PFDavg,而执行阀门的PFDavg的独立失效值较大,不可忽略;测试期间比维修期间的系统安全功能失效概率高得多,维修期间的系统安全功能失效可以忽略;最终执行机构对总体安全功能失效的贡献最大,是安全仪表系统可靠性的瓶颈,在功能安全管理中应予以重视。
[1] 阳宪惠,郭海涛.安全仪表系统的功能安全[M].北京:清华大学出版社, 2007: 4-6.
[2] 郭海涛,阳宪惠.一种安全仪表系统SIL分配的定量方法[J].化工自动化及仪表, 2006, 33(6): 65-67.
[3] IEC61508-6, Functional Safety ofElectrical/ElectroNIc/Program-mable Electronic Safety-related System-Part 6: Guidelines on theApplication of IEC 61508-2 and IEC 61508-3[S].
[4] HAUGE S,HOKSTAD P,LANGSETHH, et a.l Reliability Pre-diction Method for Safety Instrumented Systems [R ]. PDSMethodHandbook, 2006 ed.Norway: SINTEF, 2006: 20-50.
[5] GOBLEW M,CHEDDIEH. Safety Instrumented SystemsVeri-fication: Practical Probabilistic Calculations [R ]. US: ISA,2005: 89-112.
[6] GOBLE W. Control System Safety Evaluation and Reliability[M].US: ISA, 1998: 147-184.
[7] GUOHai-tao,YANG Xian-hu.i A SimpleReliabilityBlockDia-gram Method for Safety Integrity Verification[ J]. ReliabilityEngineering and System Safety, 2007, 92: 1267-1273.
[8] 何军民.压力保护系统在原油长输管道中的应用[J].石油规划设计, 2003, 14(3): 35.
