王海清, 毛 奇, 李敏睿, 周益華

(1.中國(guó)石油大學(xué)(華東)機(jī)電工程學(xué)院,山東青島 266580; 2.特靈頓(上海)檢測(cè)認(rèn)證服務(wù)有限公司,上海 200122)

現(xiàn)代化工裝置廣泛配置有安全儀表系統(tǒng)(SIS),而安全完整性等級(jí)(SIL)是衡量安全儀表系統(tǒng)安全功能的關(guān)鍵指標(biāo)之一[1],通過(guò)計(jì)算聯(lián)鎖回路的平均需求時(shí)失效概率(PFDavg)來(lái)確定SIL。IEC61508中計(jì)算PFDavg時(shí)假設(shè)安全相關(guān)設(shè)備的失效率為恒定[2],但實(shí)際中,由于老化、疲勞、磨損等因素,部分安全相關(guān)設(shè)備的失效率會(huì)隨使用時(shí)間緩慢上升[3],因此，提出選用威布爾分布模擬設(shè)備的退化行為。失效率是SIS進(jìn)行SIL驗(yàn)證的基礎(chǔ),然而目前中國(guó)失效數(shù)據(jù)采集工作尚未系統(tǒng)開(kāi)展,導(dǎo)致企業(yè)自身收集的失效數(shù)據(jù)未被充分利用[4]。IEC61508標(biāo)準(zhǔn)中指出使用現(xiàn)場(chǎng)反饋數(shù)據(jù)更新的設(shè)備失效率比使用通用數(shù)據(jù)(PDS或OREDA數(shù)據(jù)手冊(cè))更可取[2]。另一方面,由于安全儀表系統(tǒng)大部分時(shí)間處于休眠狀態(tài),因此通常通過(guò)定期檢測(cè)去發(fā)現(xiàn)其自診斷未檢測(cè)到的故障。在收集失效數(shù)據(jù)的同時(shí),驗(yàn)證SIS是否達(dá)到或維持其所處的SIL。然而受企業(yè)內(nèi)部生產(chǎn)或外部市場(chǎng)環(huán)境的影響,檢測(cè)可能無(wú)法嚴(yán)格按照預(yù)定周期開(kāi)展,這就有必要結(jié)合企業(yè)收集到的失效數(shù)據(jù),在允許的SIL等級(jí)情況下,預(yù)測(cè)或規(guī)劃下一次檢測(cè)時(shí)間間隔。為解決這些生產(chǎn)實(shí)際困難和理論不足,筆者模擬某蠟油加氫裂化裝置的緊急泄壓閥系統(tǒng)故障記錄數(shù)據(jù),采用極大似然估計(jì)算法分別求解威布爾分布和指數(shù)分布參數(shù),并根據(jù)檢測(cè)結(jié)果,借鑒API581標(biāo)準(zhǔn)中的安全閥(PSV)檢測(cè)流程[5],與挪威OLF070標(biāo)準(zhǔn)方法結(jié)合[6],實(shí)現(xiàn)對(duì)兩種統(tǒng)計(jì)分布下的失效率和檢測(cè)周期的更新。

1 安全儀表系統(tǒng)失效數(shù)據(jù)的極大似然估計(jì)

1.1 威布爾分布參數(shù)估計(jì)

設(shè)總共n個(gè)壽命數(shù)據(jù)中,完全壽命數(shù)據(jù)為r個(gè),完全壽命數(shù)據(jù)組記為tj,右截尾壽命數(shù)據(jù)組記為tk,尺度參數(shù)η和形狀參數(shù)β的似然函數(shù)[7]可表示為

L(β,η)=

(1)

為簡(jiǎn)化書(shū)寫(xiě),將包含tj和tk的壽命數(shù)據(jù)記為ti(i≤n),化簡(jiǎn)可得

(2)

式(2)取對(duì)數(shù)可得

(3)

對(duì)尺度參數(shù)η和形狀參數(shù)β求偏導(dǎo),并令式(2)和(3)分別等于0,化簡(jiǎn)可得參數(shù)估計(jì)的極大似然方程:

(4)

方程(4)中僅含一個(gè)未知量β,求解后帶入η的表達(dá)式得

(5)

1.2 指數(shù)分布的參數(shù)估計(jì)

假設(shè)失效壽命數(shù)據(jù)服從指數(shù)分布,總共n個(gè)壽命數(shù)據(jù),完全壽命數(shù)據(jù)個(gè)數(shù)為r,完全壽命數(shù)據(jù)組為tm,右截尾壽命數(shù)據(jù)組為tm+,則計(jì)算公式[8]為

(6)

式中,λ為失效率。

對(duì)λ求偏導(dǎo),且令式(6)右邊等于0,則

(7)

2 基于檢測(cè)的失效率更新

實(shí)際生產(chǎn)中,導(dǎo)致SIS不能執(zhí)行其預(yù)定安全功能的失效模式被歸類(lèi)為危險(xiǎn)失效模式。其中有一些危險(xiǎn)失效模式可能無(wú)法通過(guò)自診斷測(cè)試進(jìn)行檢測(cè)。為了從安全角度避免這種情況發(fā)生,會(huì)對(duì)SIS進(jìn)行定期檢測(cè)[9]。在保證SIS處于給定的可靠性級(jí)別情況下,可以適當(dāng)?shù)匮娱L(zhǎng)其檢測(cè)周期。

2.1 基于現(xiàn)場(chǎng)數(shù)據(jù)的失效率迭代更新方法

挪威石油工業(yè)協(xié)會(huì)(NOG)給出了基于指數(shù)分布的失效率更新失效方法(OLF070)[6],表示為

(8)

式中,λ1為設(shè)備未檢測(cè)前的原始失效率;λ1+為對(duì)原始失效率的保守估計(jì),通常情況下λ1+取2λ1[10]。

U2=U1λ1.

(9)

檢測(cè)周期內(nèi),安全儀表系統(tǒng)部件因?yàn)槲ｋU(xiǎn)未檢測(cè)的失效模式累積的故障數(shù)量為X。此期間部件累積運(yùn)行時(shí)間為T(mén),T等于所有部件數(shù)量乘以測(cè)試周期,則更新后的U1、U2可表示為

U1,upd=0.9U1+t,

(10)

U2,upd=0.9U2+X.

(11)

更新后失效率λ2為

λ2=U2/U1.

(12)

2.2 基于檢測(cè)結(jié)果的概率參數(shù)確定

API(美國(guó)石油協(xié)會(huì))在基于風(fēng)險(xiǎn)的檢驗(yàn)API581標(biāo)準(zhǔn)中指出:根據(jù)安全設(shè)備(具體為安全閥)特定檢測(cè)的結(jié)果(通過(guò)或失敗)以及檢測(cè)的時(shí)間間隔,可以對(duì)該設(shè)備的失效概率函數(shù)進(jìn)行調(diào)整[5]。該標(biāo)準(zhǔn)認(rèn)為PSV設(shè)備的失效概率函數(shù)服從威布爾分布,且形狀參數(shù)(β參數(shù))基于歷史數(shù)據(jù)保持不變,根據(jù)檢測(cè)結(jié)果調(diào)整尺度參數(shù)(η參數(shù))[5]。該方法的具體步驟為:

服從威布爾分布的失效率函數(shù)可表示為

(13)

式中,ηmod為原始的尺度參數(shù);Pf,prior為失效概率函數(shù)。

該安全儀表設(shè)備的先驗(yàn)失效概率函數(shù)Pp,prior為

Pp,prior=1-Pf,prior.

(14)

當(dāng)檢測(cè)結(jié)果是通過(guò)時(shí),條件失效概率函數(shù)Pf,cond為

Pf,cond=(1-CFpass)Pp,prior.

(15)

測(cè)試結(jié)果為失敗時(shí),條件失效概率函數(shù)Pf,cond為

Pf,cond=CFfailPf,prior+(1-CFpass)Pp,prior.

(16)

式中,CFpass和CFfail分別為檢測(cè)通過(guò)和檢測(cè)失敗時(shí)的置信因子。

檢測(cè)的置信因子取值見(jiàn)API581標(biāo)準(zhǔn)第7部分表7.8。為了確保設(shè)備的失效率函數(shù)可以從原始參數(shù)到現(xiàn)場(chǎng)參數(shù)平穩(wěn)過(guò)渡,并且防止尺度參數(shù)變化過(guò)快。API581標(biāo)準(zhǔn)提出了加權(quán)失效概率函數(shù)(Pf,wgt),檢測(cè)通過(guò)時(shí)的Pf,wgt可表示為

(17)

檢測(cè)失敗時(shí)的Pf,wgt可表示為

Pf,wgt=Pf,cond.

(18)

在得到加權(quán)失效概率函數(shù)Pf,wgt后即可對(duì)尺度參數(shù)進(jìn)行更新,得到新的尺度參數(shù)ηupd為

(19)

3 安全儀表系統(tǒng)檢測(cè)周期的優(yōu)化更新

GB/T21109指出可以根據(jù)以往的操作經(jīng)驗(yàn)使用更長(zhǎng)的檢測(cè)周期[11]。借鑒API581標(biāo)準(zhǔn)的檢驗(yàn)流程,并結(jié)合OLF070中的更新方法,建立全新的計(jì)算模型,從而解決目前IEC功能安全標(biāo)準(zhǔn)無(wú)法處理時(shí)變失效率且不能對(duì)非固定檢測(cè)周期的不利影響進(jìn)行量化分析的缺陷。不失一般性,以最常見(jiàn)的緊急泄壓閥子系統(tǒng)(1oo2冗余系統(tǒng))為例,推導(dǎo)給出兩種統(tǒng)計(jì)分布模型在檢測(cè)影響下的計(jì)算流程,如圖1所示。

圖1 失效率和檢測(cè)周期優(yōu)化更新模型

3.1 威布爾分布計(jì)算模型

基于IEC61508標(biāo)準(zhǔn)中定義的低需求模式運(yùn)行的安全儀表系統(tǒng),數(shù)學(xué)模型滿(mǎn)足假設(shè)[12]:①安全儀表系統(tǒng)機(jī)械部件的失效服從兩參數(shù)的威布爾分布;②不考慮部分檢驗(yàn)測(cè)試對(duì)測(cè)試間隔的影響,且檢測(cè)同時(shí)進(jìn)行;③忽視檢測(cè)的時(shí)間,因?yàn)闇y(cè)試時(shí)間遠(yuǎn)小于測(cè)試間隔;④不考慮檢測(cè)對(duì)部件狀態(tài)的影響,即檢測(cè)不會(huì)造成部件退化;⑤所有部件初始時(shí)均處于最佳狀態(tài),P(T=0)=0;⑥該計(jì)算模型中不包括大修,因?yàn)榇笮藓笤O(shè)備近似恢復(fù)最佳功能狀態(tài)。

基于這些假設(shè),1oo2冗余結(jié)構(gòu)在第一個(gè)測(cè)試周期[0,t1]內(nèi)的PFDavg為[12]

(20)

同理,系統(tǒng)在[t1,t1+τ]時(shí)間段內(nèi)的PFDavg為

(21)

(22)

式中,t1為第一次檢測(cè)周期;τ為下一次檢測(cè)周期。

3.2 指數(shù)分布計(jì)算模型

指數(shù)分布的計(jì)算模型假設(shè)與威布爾分布的保持一致,給出連續(xù)周期內(nèi)的PFDavg推導(dǎo)公式。

1oo2冗余結(jié)構(gòu)在[0,t1]時(shí)間段內(nèi)的PFDavg為

(23)

同樣,系統(tǒng)在[t1,t1+τ]時(shí)間段內(nèi)的PFDavg為

PFDavg=

(24)

(25)

式中,λ1為設(shè)備未檢測(cè)前的原始失效率;λ2為設(shè)備檢測(cè)后更新的失效率。

4 案例分析

4.1 失效模式及故障數(shù)據(jù)

以某化工廠(chǎng)蠟油加氫裝置緊急泄壓閥系統(tǒng)為例,該系統(tǒng)是一個(gè)1oo2冗余表決系統(tǒng),安裝在蠟油加氫裝置冷高壓分離器裝置上的緊急泄壓閥(圖2),其泄放保護(hù)對(duì)象涉及到加氫反應(yīng)器、熱高壓分離器和冷高壓分離器[13]。該裝置同時(shí)設(shè)有0.7和2.1 MPa/min的緊急泄壓系統(tǒng),用來(lái)調(diào)節(jié)壓力,保證其安全運(yùn)行。當(dāng)溫升小于10 ℃/min,利用0.7 MPa/min 泄壓系統(tǒng)進(jìn)行降壓;如果溫升大于10 ℃/min,或者反應(yīng)溫度達(dá)453 ℃,啟動(dòng)2.1 MPa/min 泄壓系統(tǒng)[13]。

圖2 緊急泄壓閥系統(tǒng)

緊急泄壓閥包括儀表風(fēng)、執(zhí)行器和閥3部分。XSOV*A與XSOV*B 是由IS1014提供信號(hào)控制的電磁閥。當(dāng)加氫反應(yīng)器內(nèi)壓力超限時(shí),IS1014提供控制信號(hào)將XSOV*A或XSOV*B打開(kāi),冷高壓氣可以經(jīng)過(guò)XSOV*A或XSOV*B及其泄放管線(xiàn)泄放,起到調(diào)壓的作用[14]。

緊急泄壓閥最危險(xiǎn)的失效模式為無(wú)法打開(kāi)(FTO)[15],內(nèi)構(gòu)件銹蝕或黏連、異物堵塞,動(dòng)力散失等均可能導(dǎo)致泄壓閥無(wú)法打開(kāi)的問(wèn)題。另一方面,緊急泄壓閥子系統(tǒng)屬于高可靠性設(shè)備,可能存在監(jiān)視期結(jié)束但設(shè)備還未失效的右截尾數(shù)據(jù)。

企業(yè)內(nèi)部收集到的失效數(shù)據(jù)可以包括設(shè)備運(yùn)行時(shí)間和失效時(shí)間,在已有數(shù)據(jù)的基礎(chǔ)上,使用失效率和檢測(cè)周期優(yōu)化更新模型可以對(duì)設(shè)備失效率、檢測(cè)周期進(jìn)行更新。但由于EDV的可靠性較高(即在役時(shí)間內(nèi)沒(méi)有失效),導(dǎo)致有時(shí)候現(xiàn)場(chǎng)失效數(shù)據(jù)無(wú)法獲取,需要結(jié)合國(guó)外數(shù)據(jù)庫(kù)設(shè)定失效參數(shù),使用蒙特卡洛模擬方法獲得失效數(shù)據(jù),將其作為樣本數(shù)據(jù)來(lái)表征現(xiàn)場(chǎng)失效數(shù)據(jù)。

結(jié)合OREDA失效數(shù)據(jù)庫(kù)中的失效統(tǒng)計(jì)數(shù)據(jù),參考實(shí)際工程中服從威布爾分布的緊急泄壓閥失效參數(shù)[14],為便于比較,設(shè)置形狀參數(shù)為1.4,尺度參數(shù)分別為110 000、120 000、130 000、140 000和150 000。通過(guò)蒙特卡洛仿真模擬[16-17]分別生成5組相應(yīng)的故障樣本數(shù)據(jù)(失效模式為FTO),并分別隨機(jī)從每組中抽取20個(gè)失效數(shù)據(jù),均包括1個(gè)右截尾數(shù)據(jù)。

4.2 數(shù)值計(jì)算及分析

表1 基于威布爾分布的更新結(jié)果

檢測(cè)通過(guò)表明緊急泄壓閥在測(cè)試中的規(guī)定條件和時(shí)間內(nèi)可以打開(kāi),檢測(cè)失敗則相反。檢測(cè)的有效程度較高則是對(duì)緊急泄壓閥進(jìn)行了臺(tái)架試驗(yàn),并在試驗(yàn)表格上記錄了初始泄放壓力、開(kāi)啟時(shí)壓力和回座壓力,檢查了進(jìn)出口管道是否有過(guò)多的堵塞或污垢跡象。

API581標(biāo)準(zhǔn)中指出,當(dāng)檢測(cè)結(jié)果為通過(guò)時(shí),更新后的尺度參數(shù)η應(yīng)大于更新前,若尺度參數(shù)變小,則應(yīng)與更新前保持一致。本案例中,檢測(cè)通過(guò)時(shí),由式(13)～(19)可得,尺度參數(shù)η的更新結(jié)果分別為121 236、132 055、142 868、153 675和164 477,均小于原始參數(shù),因此應(yīng)與原參數(shù)保持一致。

表2 基于指數(shù)分布的更新結(jié)果

若緊急泄壓閥子系統(tǒng)失效壽命服從威布爾分布,由式(20)～(22)可得其下一次可允許的檢測(cè)周期(T1),結(jié)果如圖3所示。

圖3 威布爾分布的下一次可允許檢測(cè)周期

若其失效壽命服從指數(shù)分布,由式(23)～(25)可得其下一次可允許的檢測(cè)周期(T2),結(jié)果如圖4所示。

圖4 指數(shù)分布的下一次可允許檢測(cè)周期

由圖3、4可知,在第一次檢測(cè)通過(guò)后,允許的下一次檢測(cè)周期比檢測(cè)失敗后所允許的下一次檢測(cè)周期長(zhǎng)。這是因?yàn)?檢測(cè)通過(guò)說(shuō)明實(shí)際操作階段該泄壓閥子系統(tǒng)的失效率小于原始估計(jì)的失效率;檢測(cè)失敗則說(shuō)明此時(shí)該系統(tǒng)的實(shí)際失效率要大于原始估計(jì)的失效率。圖3、4對(duì)比可得,檢測(cè)后T1均大于T2,檢測(cè)通過(guò)時(shí),T1比T2平均延遲7 720 h;檢測(cè)失敗時(shí),T1比T2平均延遲772 h。

圖5、6分別為檢測(cè)通過(guò)和失敗時(shí)的PFD(t)變化趨勢(shì)。將檢測(cè)后同一樣本的PFD(t)逐一比較發(fā)現(xiàn),當(dāng)t相同時(shí),威布爾分布下的PFD(t)均小于指數(shù)分布下的PFD(t)。檢測(cè)通過(guò)后,以圖5(a)中的樣本1為例,在[8 760,8 760+T2]時(shí)間段內(nèi),其PFDavg=0.005 8<0.01,因此可以延長(zhǎng)檢測(cè)周期至19 540 h。檢測(cè)失敗后,以圖6(a)中的樣本2為例,在[8 760,8 760+T2]時(shí)間段內(nèi),其PFDavg=0.0065<0.01,因此可以延長(zhǎng)檢測(cè)周期至3 090 h。

圖5 檢測(cè)通過(guò)時(shí)的PFD(t)變化趨勢(shì)

圖6 檢測(cè)失敗時(shí)PFD(t)變化趨勢(shì)

為了進(jìn)一步分析檢測(cè)周期之間的差異,圖7為兩種分布下檢測(cè)周期的相對(duì)誤差(以威布爾分布的計(jì)算結(jié)果為基準(zhǔn))。由圖7可知,隨著原始尺度參數(shù)增大,檢測(cè)通過(guò)時(shí)二者的相對(duì)誤差逐漸下降;檢測(cè)失敗時(shí),二者的相對(duì)誤差逐漸上升。進(jìn)一步計(jì)算可得,如果緊急泄壓閥子系統(tǒng)失效壽命實(shí)際服從威布爾分布,用指數(shù)分布進(jìn)行假設(shè)會(huì)導(dǎo)致下一次檢測(cè)周期的計(jì)算結(jié)果出現(xiàn)顯著偏差。檢測(cè)通過(guò)時(shí),可允許的下一次檢測(cè)周期的平均相對(duì)誤差為30.88%;檢測(cè)失敗時(shí),可允許的下一次檢測(cè)周期的平均相對(duì)誤差為24.61%,相對(duì)于威布爾分布,指數(shù)分布下允許的檢測(cè)周期更短,這會(huì)增加檢測(cè)的次數(shù),提高企業(yè)的測(cè)試維護(hù)成本。但檢測(cè)通過(guò)后,兩種分布下一次檢測(cè)周期相比第一次(8 760 h)均會(huì)延長(zhǎng),廠(chǎng)區(qū)可以通過(guò)制定操作維護(hù)說(shuō)明手冊(cè)、歸檔記錄SIS運(yùn)行步驟、檢測(cè)程序標(biāo)準(zhǔn)化、對(duì)操作工進(jìn)行培訓(xùn)并監(jiān)督等技術(shù)手段更好地控制風(fēng)險(xiǎn)。

圖7 兩種分布下檢測(cè)周期的相對(duì)誤差

5 結(jié) 論

(1)借鑒API581檢測(cè)流程和OLF070更新方法,并結(jié)合企業(yè)自身收集到的失效數(shù)據(jù)和SIS設(shè)計(jì)階段的原始失效率,對(duì)SIS實(shí)際操作階段的失效率進(jìn)行更新。檢測(cè)通過(guò)后,SIS實(shí)際的失效率低于原始設(shè)計(jì)的失效率;檢測(cè)失敗后,實(shí)際失效率則高于原始設(shè)計(jì)的失效率。

(2)提出的檢測(cè)周期優(yōu)化更新模型解決了SIS非周期性檢測(cè)下風(fēng)險(xiǎn)控制的難點(diǎn)。檢測(cè)通過(guò)后,下一次檢測(cè)周期相比于上一次會(huì)延長(zhǎng),廠(chǎng)區(qū)可通過(guò)制定操作維護(hù)說(shuō)明手冊(cè)、歸檔記錄SIS運(yùn)行步驟、檢測(cè)程序標(biāo)準(zhǔn)化、對(duì)操作工進(jìn)行培訓(xùn)并監(jiān)督等技術(shù)手段更加有效地控制風(fēng)險(xiǎn)。

(3)在保證SIS可靠度前提下,與IEC假設(shè)的指數(shù)分布相比,若其失效壽命實(shí)際服從威布爾分布,則下一次檢測(cè)周期更長(zhǎng),且平均相對(duì)誤差高于20%。若依據(jù)IEC標(biāo)準(zhǔn)的假設(shè),會(huì)導(dǎo)致下一次檢測(cè)周期縮短,從而提高企業(yè)的測(cè)試維護(hù)成本。