姚竣瀚，鄭 威，王海清，毛 奇

(1.中國石油大學(xué)(華東) 機(jī)電工程學(xué)院，山東 青島 266580；2.杭州漢德質(zhì)量認(rèn)證服務(wù)有限公司 上海分公司，上海 201100)

0 引言

在石化生產(chǎn)領(lǐng)域，安全儀表系統(tǒng)(Safety Instrumented System,SIS)是提供安全保護(hù)和抑制災(zāi)害功能的重要屏障。功能安全標(biāo)準(zhǔn)IEC 61511—2016[1]將SIS的操作模式分為“要求操作模式”和“連續(xù)操作模式”，分別通過計(jì)算平均要求時(shí)失效概率(PFDavg)和每小時(shí)危險(xiǎn)失效平均頻率(average frequency of a dangerous failure per hour,PFH)確定SIS執(zhí)行的安全儀表功能(Safety Instrumented Functional,SIF)的安全完整性等級(Safety Integrity Level,SIL),當(dāng)要求操作模式下SIF的要求率大于1次/a時(shí)，視為高要求操作模式，采用連續(xù)操作模式準(zhǔn)則[1]，即計(jì)算回路PFH，此類SIF回路約占總體的10%以上[2]。IEC 61508—2010[3]推薦使用多樣性冗余設(shè)備、測試及維護(hù)策略(包括人員、方法以及時(shí)間安排)以降低共因失效和系統(tǒng)性失效的影響。在要求率較高的聯(lián)鎖控制場合，多樣性異型冗余設(shè)備應(yīng)用更普遍。

諸多學(xué)者的推導(dǎo)僅限于同型冗余KooN結(jié)構(gòu)聯(lián)鎖設(shè)備的PFH計(jì)算公式，考慮不同的SIS操作因素。例如，Jin等[4]考慮周期檢測覆蓋率的影響；Innal等[5]考慮失效通道平均停機(jī)時(shí)間的影響；Chebila等[6]研究部分行程測試對SIF回路PFH的影響；Zhao等[7]建立隨機(jī)Petri網(wǎng)計(jì)算PFH?，F(xiàn)有對含異型冗余設(shè)備的SIF回路的SIL評估方法均以PFDavg為指標(biāo)，未考慮高要求操作模式，且多數(shù)采用定性方法[8-10]確定異型冗余共因失效因子。

鑒于此，本文考慮異型通道間失效率、診斷覆蓋率等可靠性因素?cái)?shù)據(jù)的差異，提出定量確定異型通道多樣性修正因子的改進(jìn)方法，建立異型冗余KooN結(jié)構(gòu)SIS子系統(tǒng)的PFH量化模型，以期為高要求操作模式下含異型冗余設(shè)備的SIS子系統(tǒng)的SIL驗(yàn)證提供合理的理論依據(jù)。

1 異型冗余KooN結(jié)構(gòu)的PFH計(jì)算模型

1.1 獨(dú)立失效部分計(jì)算模型

在SIS的設(shè)計(jì)階段，為達(dá)到相關(guān)安全聯(lián)鎖功能預(yù)期的安全完整性等級，SIF需要滿足一定的硬件故障裕度要求，SIS的子系統(tǒng)會采用不同的冗余表決結(jié)構(gòu)，如1oo1，1oo2，2oo3，2oo4等，這些冗余結(jié)構(gòu)均可用KooN(N中取K)表示。在SIS子系統(tǒng)中，存在N個(gè)獨(dú)立且可靠性數(shù)據(jù)不同的通道，只要有K個(gè)通道功能正常，就可正確執(zhí)行安全功能，該子系統(tǒng)即為異型冗余KooN結(jié)構(gòu)?！癗-K”的差值表示SIF對危險(xiǎn)失效的容錯(cuò)能力，當(dāng)在高要求運(yùn)行模式下的KooN結(jié)構(gòu)SIS子系統(tǒng)中有“N-K”個(gè)通道發(fā)生危險(xiǎn)失效，則該系統(tǒng)進(jìn)入臨界失效狀態(tài)，當(dāng)有“N-K+1”或更多個(gè)通道發(fā)生危險(xiǎn)失效，則該系統(tǒng)進(jìn)入危險(xiǎn)失效狀態(tài)，喪失執(zhí)行預(yù)定安全功能的能力。

通道發(fā)生未檢測到的危險(xiǎn)失效(DU失效)[11]后，系統(tǒng)降級運(yùn)行，在間隔為T的周期性功能測試前，DU失效并不會被發(fā)現(xiàn)并維修。假設(shè)在[0,T]時(shí)間段內(nèi)的t時(shí)刻，第i(i=1,2,…,n-k+1)個(gè)通道發(fā)生DU失效，即本次失效前正常工作的通道數(shù)為Ni=n-i+1。記t時(shí)刻系統(tǒng)降級到狀態(tài)Si，第i個(gè)發(fā)生危險(xiǎn)失效的通道為Ci，則狀態(tài)Si的概率分布函數(shù)[12]如式(1)所示：

(1)

狀態(tài)Si的概率密度函數(shù)如式(2)所示：

(2)

由檢測周期起始時(shí)刻至狀態(tài)Si所需平均時(shí)間Ei如式(3)所示：

(3)

到該功能檢測周期結(jié)束前，第i個(gè)發(fā)生DU失效的通道平均不工作時(shí)間Di如式(4)所示：

(4)

同時(shí)考慮到在線診斷和維修時(shí)間的影響，則通道Ci的平均停機(jī)時(shí)間如式(5)所示：

(5)

確定高要求運(yùn)行模式下操作的每個(gè)儀表安全功能的SIL等級應(yīng)以一定時(shí)間周期內(nèi)SIF的PFH作為目標(biāo)失效量。KooN結(jié)構(gòu)在t時(shí)刻的瞬時(shí)失效頻率和功能測試周期內(nèi)的危險(xiǎn)失效頻率[2]如式(6)所示：

(6)

式中：wi(t)表示t時(shí)刻通道i的失效頻率，為通道i的失效率與通道i處于正常工作狀態(tài)的概率p(t)的乘積。wi(t)表達(dá)式如式(7)所示：

(7)

IBi(t)為Birnbaum影響因子，表示KooN結(jié)構(gòu)中，除通道i之外的(N-1)條通道中有(N-K)條通道發(fā)生危險(xiǎn)失效的概率,其在功能測試周期內(nèi)的均值如式(8)所示：

(8)

因此在功能測試周期為T且不考慮共因失效的情況下，異型冗余KooN結(jié)構(gòu)PFH計(jì)算公式如式(9)所示：

(9)

1.2 共因失效部分計(jì)算模型

異型冗余KooN結(jié)構(gòu)的PFH由獨(dú)立失效和共因失效(Common Cause Failure,CCF)組成，一般根據(jù)IEC 61508—2010提供的β因子模型量化共因失效對冗余結(jié)構(gòu)失效的貢獻(xiàn)，β因子表示共因失效率占通道總失效率的比值。本文假設(shè)公共原因能夠?qū)е庐愋腿哂郖ooN結(jié)構(gòu)所有通道失效，故根據(jù)式(9),令N=K=1，可以得到僅考慮共因失效時(shí)平均危險(xiǎn)失效頻率表達(dá)式如式(10)所示：

(10)

式中：β為同型通道發(fā)生不可檢測到的共因危險(xiǎn)失效因子；βD為同型通道發(fā)生可檢測到的共因危險(xiǎn)失效失效因子，一般為β的0.5倍。

異型冗余KooN結(jié)構(gòu)中N個(gè)通道不盡相同，聯(lián)鎖設(shè)備可能來自不同的制造商，采用不同的設(shè)計(jì)方案、電氣原理，使用不同的診斷測試技術(shù)和維護(hù)管理方法等多樣性冗余方法，異型通道間的相異程度越大，異型冗余共因失效因子β*較同型共因失效因子β越小。在異型冗余結(jié)構(gòu)各通道共因失效因子β已知的情況下，β*確定方法如式(11)所示：

β*=d×min(β1,β2,β3,…,βN)

(11)

式中：d為異型冗余共因失效多樣性修正因子，異型通道間相異程度越大，d值越??；β1～βN分別為異型冗余KooN結(jié)構(gòu)中N個(gè)通道單獨(dú)作為同型1oo2冗余結(jié)構(gòu)的通道時(shí)的共因失效因子。

通過比較異型通道間可靠性指標(biāo)的差異性進(jìn)而量化d值，不同可靠性指標(biāo)對設(shè)備的失效頻率影響不同，因此在計(jì)算d值前，需要評估不同可靠性指標(biāo)對PFH的影響權(quán)重因子[13]。設(shè)權(quán)重因子矩陣b=[b0b1b2b3b4b5],其中，b0=1,b1為通道總失效率λT(包括安全失效和危險(xiǎn)失效)的影響權(quán)重因子，b2為通道安全失效占比RS的影響權(quán)重因子，b3為通道危險(xiǎn)失效診斷覆蓋率DC的影響權(quán)重因子，b4為安全失效診斷覆蓋率DCS的影響權(quán)重因子，b5為通道平均修復(fù)時(shí)間MTTR的影響權(quán)重因子。構(gòu)建多元線性回歸模型，以權(quán)重因子矩陣b為未知參數(shù)，以風(fēng)險(xiǎn)評估和可靠性分析中最常用的對數(shù)正態(tài)分布形式隨機(jī)生成a組通道可靠性數(shù)據(jù)作為可控制變量，如式(12)所示：

(12)

(13)

表1 功能安全標(biāo)準(zhǔn)推薦的參數(shù)取值范圍Table 1 Parameter value range recommended by functional safety standards

可求得λT～logN(-13.010 8,1.585 4)，RS～logN(-0.837 0,0.280 3)，DCS～logN(-2.307 6,1.172 2)，MTTR～logN(2.282 2,0.457 1),根據(jù)上述對數(shù)正態(tài)分布參數(shù)，將隨機(jī)生成的a組可靠性數(shù)據(jù)分別代入計(jì)算同型KooN結(jié)構(gòu)PFH的Monte Carlo仿真過程得到a組PFH觀測值，如式(14)所示：

(14)

因此，線性回歸模型如式(15)所示：

PFH=X·b+ε

(15)

(16)

異型通道間相似系數(shù)(Coefficient of Similarity between diverse channels，CSim)如式(17)所示：

(17)

最后，異型冗余KooN結(jié)構(gòu)校正因子d為通道間相似系數(shù)的最小值,進(jìn)而根據(jù)式(11)得到共因失效因子β*和βD*，如式(18)所示：

d=min[CSim(CHi,CHj)]

(18)

可檢測到和不可檢測到的共因危險(xiǎn)失效率分別為N個(gè)通道對應(yīng)危險(xiǎn)失效率的幾何平均值如式(19)所示：

(19)

(20)

不考慮異型冗余的KooN結(jié)構(gòu)PFH公式[5](簡稱同型公式)如式(21)所示：

(21)

2 模型驗(yàn)證與分析

2.1 與Markov模型的比較驗(yàn)證

Markov模型覆蓋的可靠性因素全面，較常規(guī)可靠性模型，計(jì)算精度更高，因此被廣泛應(yīng)用于SIS的可靠性分析中[16]。建立異型1oo2結(jié)構(gòu)Markov模型驗(yàn)證異型公式量化獨(dú)立失效PFH時(shí)的準(zhǔn)確性，Markov模型如圖1所示。

圖1 異型1oo2結(jié)構(gòu)獨(dú)立失效Markov模型Fig.1 Markov model on independent failure of diverse 1oo2 architecture

(22)

針對異型1oo2結(jié)構(gòu)SIS子系統(tǒng)，僅考慮獨(dú)立失效，計(jì)算不同功能測試周期[12]內(nèi)本文式(9)和Markov模型方法式(22)的PFH結(jié)果并進(jìn)行誤差分析。某輸油站罐區(qū)原油儲罐液位高高聯(lián)鎖回路傳感器子系統(tǒng)為異型1oo2結(jié)構(gòu)，通道A為外測液位開關(guān)，通道B為雷達(dá)液位計(jì)，可靠性數(shù)據(jù)來自TUV認(rèn)證證書，見表2。

表2 異型通道可靠性參數(shù)Table 2 Reliability parameters of diverse channels

2種模型PFH計(jì)算結(jié)果和相對誤差見表3。由表3可知，當(dāng)檢測周期在由1 a增大到5 a的過程中，本文式(9)和Markov模型方法式(22)的PFH結(jié)果間差距很小，相對誤差均在[0.2%,0.3%]區(qū)間內(nèi)，可忽略不計(jì)。不難發(fā)現(xiàn)，對比本文公式和Markov模型計(jì)算結(jié)果的方法同樣適用于2oo2,2oo3,1oo3等冗余結(jié)構(gòu)，產(chǎn)生與1oo2結(jié)構(gòu)近似的比較結(jié)果，因Markov模型復(fù)雜，圖形占篇幅過大，不再一一驗(yàn)證。因此，在不考慮共因失效時(shí)，本文推導(dǎo)異型冗余PFH計(jì)算模型在省略繁瑣建模過程的同時(shí)，能夠取得與Markov模型相近的計(jì)算精度。

表3 PFH和相對誤差Table 3 PFH and relative errors

2.2 HIPPS實(shí)例驗(yàn)證

海洋采油(氣)平臺生產(chǎn)過程的水下井口，是超壓的重要危險(xiǎn)來源。井口區(qū)域的過壓防護(hù)系統(tǒng)稱為高完整性壓力保護(hù)系統(tǒng)(High Integrity Pressure Protection System,HIPPS)，其功能為限制井口側(cè)高壓流體進(jìn)入下游的低壓生產(chǎn)系統(tǒng)[17]。井口的HIPPS應(yīng)用如圖2所示。

圖2 井口的HIPPS應(yīng)用Fig.2 HIPPS application of wellhead

由圖2可知，該HIPPS系統(tǒng)傳感器子系統(tǒng)采用異型2oo3表決，3臺壓力變送器中：PT1，PT2為同型號，PT3與另2臺壓力變送器型號不同；邏輯控制器子系統(tǒng)為單通道系統(tǒng)；執(zhí)行機(jī)構(gòu)子系統(tǒng)由2臺不同檢測原理及型號的關(guān)斷閥(SDV1，SDV2)組成以降低共因失效的影響，2個(gè)閥門的保護(hù)功能邏輯為1oo2結(jié)構(gòu)。SDV2閥門下游管段設(shè)計(jì)壓力為13.2 MPa，最大操作壓力為11.9 MPa，閥門聯(lián)鎖設(shè)定值為12.9 MPa，當(dāng)3臺壓力變送器發(fā)生2臺及以上的超壓報(bào)警時(shí)，聯(lián)鎖邏輯表決并觸發(fā)關(guān)斷信號，關(guān)斷SDV1，SDV2閥門，從而起到保護(hù)下游工藝系統(tǒng)并減少對受控設(shè)備、自然環(huán)境和人員的危害的作用。超高保護(hù)的要求率約為1.5次/a，故該HIPPS為高要求操作模式。 HIPPS傳感器和執(zhí)行機(jī)構(gòu)子系統(tǒng)的異型設(shè)備可靠性數(shù)據(jù)見表4。

表4 HIPPS傳感器和執(zhí)行機(jī)構(gòu)的可靠性數(shù)據(jù)Table 4 Reliability data of HIPPS sensors and executive mechanism

首先計(jì)算傳感器和執(zhí)行機(jī)構(gòu)子系統(tǒng)的異型冗余共因失效因子，分別構(gòu)建1oo2結(jié)構(gòu)、2oo3結(jié)構(gòu)的每小時(shí)失效頻率多元線性回歸模型，為使參數(shù)估計(jì)值更加準(zhǔn)確，a取值為1 000，解得傳感器2oo3結(jié)構(gòu)和執(zhí)行器1oo2結(jié)構(gòu)各可靠性指標(biāo)影響權(quán)重因子矩陣，如式(23)所示：

(23)

結(jié)合表4中HIPPS子系統(tǒng)可靠性數(shù)據(jù),根據(jù)式(17)計(jì)算異型通道相似系數(shù)，結(jié)果為CSim(PT1,PT3)=0.909,CSim(SDV1,SDV2)=0.642。根據(jù)式(18)，傳感器和執(zhí)行機(jī)構(gòu)子系統(tǒng)的多樣性修正因子分別如式(24)所示：

(24)

故根據(jù)式(11)，傳感器和執(zhí)行機(jī)構(gòu)子系統(tǒng)的異型冗余共因失效因子分別如式(25)所示：

(25)

根據(jù)異型公式計(jì)算不同檢測周期下HIPPS傳感器子系統(tǒng)的PFH，同時(shí)，假設(shè)HIPPS的3個(gè)壓力變送器均為PT1或均為PT3，代入同型公式計(jì)算不同檢測周期下的PFH，繪制PFH隨檢測周期變化的曲線如圖3所示，同理繪制執(zhí)行機(jī)構(gòu)根據(jù)2種PFH計(jì)算公式得到的PFH變化曲線如圖4所示。

圖3 壓力變送器2oo3結(jié)構(gòu)PFH對比Fig.3 PFH comparison of pressure transmitter 2oo3 architecture

圖4 關(guān)斷閥1oo2結(jié)構(gòu)PFH對比Fig.4 PFH comparison of shutdown valve 1oo2 architecture

由圖3和圖4可知，對于2oo3結(jié)構(gòu)和1oo2結(jié)構(gòu)，隨著檢測周期的增大，異型公式的PFH增長曲線均位于2種不同情形的同型公式PFH變化曲線之間，表明總是存在高估或低估的誤差。具體以1oo2結(jié)構(gòu)執(zhí)行機(jī)構(gòu)為例，異型公式計(jì)算的PFH結(jié)果與同型公式PFH計(jì)算結(jié)果的差值隨檢測周期的增大而增大。當(dāng)檢測周期為3 a時(shí)，使用關(guān)斷閥SDV1，SDV2的失效數(shù)據(jù)代入同型PFH公式，結(jié)果分別為1.047×10-7h-1，1.855×10-8h-1。若在SIL評估工作中參考前者PFH計(jì)算結(jié)果，則對應(yīng)表1中的SIL2等級，表示該關(guān)斷閥系統(tǒng)已經(jīng)無法參與執(zhí)行SIL3等級安全聯(lián)鎖功能，但實(shí)際上，經(jīng)異型公式計(jì)算，檢測周期為3 a時(shí)，該異型1oo2冗余關(guān)斷閥系統(tǒng)的PFH為3.125×10-8h-1，對應(yīng)SIL3等級。故改進(jìn)公式能夠正確量化HIPPS的失效頻率，避免評估SIL等級時(shí)出現(xiàn)誤差而導(dǎo)致的對SIS設(shè)備的過高經(jīng)濟(jì)投入或?qū)IF風(fēng)險(xiǎn)降低能力的樂觀判斷。

任一檢測周期下，不難發(fā)現(xiàn)異型公式PFH計(jì)算結(jié)果與2個(gè)同型公式計(jì)算結(jié)果中較小的PFH值更接近。原因是異型公式在處理共因失效對PFH的貢獻(xiàn)時(shí)，合理量化了多樣性修正因子d，進(jìn)一步削弱了共因失效對系統(tǒng)失效頻率的影響。因此，對于高要求操作模式下的異型冗余結(jié)構(gòu)SIS子系統(tǒng)，本文提出的異型公式能夠正確量化其PFH，避免因使用同型公式造成PFH計(jì)算結(jié)果偏大或偏小而引起的SIL等級評估不準(zhǔn)確的情況。

3 結(jié)論

1)提出異型KooN冗余結(jié)構(gòu)每小時(shí)危險(xiǎn)失效平均頻率(PFH)的計(jì)算公式，可滿足石油化工生產(chǎn)中對高要求操作模式下采用異型設(shè)備的安全聯(lián)鎖回路進(jìn)行SIL定級的需求，避免因誤用同型PFH公式導(dǎo)致SIL等級評估誤差。

2)考慮現(xiàn)存定性確定異型冗余通道共因失效因子的弊端，開發(fā)定量確定通道間多樣性修正因子的流程方案，相比定性方法更具理論嚴(yán)謹(jǐn)性，有助于生產(chǎn)單位準(zhǔn)確評估聯(lián)鎖保護(hù)風(fēng)險(xiǎn)和設(shè)備維護(hù)投入。