安全仪表系统硬件失效概率的评估方法

第八届工业仪表与自动化学术会议安全仪表系统硬件失效概率的评估方法EvaluationMethodforSISHardwareErrorPossibility陈高翔1冯冬芹1,2（浙江中控技术有限公司1，浙江杭州310053；浙江大学先进控制研究所2，浙江杭州310027）摘要：首先介绍了安全仪表系统在实际应用中的需求以及安全仪表系统的硬件失效概率评估的必要性。然后，在研究了硬件失效概率的评估方法后，分析了低要求模式下SIS系统在各种表决组的物理块图和可靠性块图。最后，通过一个范例的计算详细介绍了具体结构下SIS系统的硬件失效概率评估方法。关键词：安全仪表系统安全完整性等级平均失效概率低要求操作模式表决Abstract:Firstly，thispaperbringsouttherequirementoftheSafetyInstrumentSysteminpracticalapplicationandintroducesthenecessityofthePFDevaluationforSIS.AfterstudyingtheevaluationmethodforPFD,thispaperanalyzesphysicalblockdiagramandreliabilityblockdiagramofalotofkindsvotegroupforSISinlowdemandmodeofoperation.Finally,anexampleisusedtointroducetheprocedureofPFDevaluation.Keywords:SISSILPFDLowdemandmodeofoperationVote0引言由于当今工业的高度发展，整个工业过程是在一种高强度、高度自控的环境下进行，尤其是对于天然气、石油化工、化工及电力行业来说，由于企业生产的性质所决定，所处的生产环境是具有爆炸危险性的。这样，设备、人身及生产过程的安全可靠性就成为重要的议题。而传统的DCS、PLC系统等控制手段在这方面表现出的薄弱性也就越来越明显，这显然不能满足石油化工等危险场合的生产工艺要求。在传统意义上，安全保护指的是额外的系统或设备用于保护在危险生产区域的工作人员免受伤害或死亡。然而今天，安全解决措施已经不仅仅是保证人生安全，并且生产厂商需要不断提升生产装置的运行性能，以便实现公司的利益最大化。生产厂商已经逐渐认识到智能集成的安全解决措施能够直接影响他们的账本底线。随着IEC61508、IEC61511和ISA-84等功能安全国际标准的正式发布，生产厂商和用户越来越关注生产装置的功能安全要求，纷纷对危险和风险进行严格的分析，并开发、验证和应用已经经过功能安全认证的安全仪表系统（SIS）。SIS是对石油化工生产装置可能发生的危险或不采取措施将继续恶化的状态进行及时响应和保护，使生产装置进入一个预定义的安全停车工况，从而使危险降低到可以接受的最低程度，以保证人员、设备、生产和装置的安全。为了提高企业的经济效益，安全平稳、长周期地连续生产是至关重要的，这就需要一种高度可靠的安全保护手段，SIS系统因此应运而生。SIS系统是适用于高温、高压、易燃、易爆等连续性生产装置的安全保护系统。为了保证生产安全运行，根据具体要求对安全保护控制系统的设计选型工作是非常重要的。在安全系统的设计中，安全完整性等级SIL是设计的标准，应根据生产装置的SIL等级选择合适的安全系统技术和配置方式。SIL等级可用于简化和理论化系统结构中各部分的安全要求，并使1第八届工业仪表与自动化学术会议其定量化。IEC61508定义了4个安全度等级及相应于每个等级的两个定量安全要求，包括对系统按照要求切换到安全功能的目标故障率要求和对系统连续操作的目标故障率要求。本文将着重介绍各种系统结构下的对系统按照要求切换到安全功能的目标故障率要求的计算方法及示例。1硬件失效概率评估方法综述SIS系统结构如图1所示。SIS安全功能在要求时的平均失效概率，是通过计算和组合提供安全功能的所有子系统在要求时的平均失效概率确定的。SIS在要求时的平均失效概率如公式（1）所示。PFDSYS=PFDS+PFDL+PFDFE(1)式中：PFDSYS为SIS的安全功能在要求时的平均失效概率；PFDS为传感器子系统在要求时的平均失效概率；PFDL为逻辑子系统在要求时的平均失效概率；PFDFE为最终元件子系统在要求时的平均失效概率。图1SIS系统结构为了确定每一个子系统在要求时的平均失效概率，应在子系统中：①画出表示传感器子系统（输入）各部件、逻辑子系统各部件、最终元件子系统（输出）各部件的块图。例如，传感器子系统的部件可能是传感器、绝缘电路、输入调节电路；逻辑子系统部件可能是处理器和扫描设备；最终元件子系统部件可能是输出调节电路、屏蔽电路及执行器。将每一个子系统描绘成1oo1、1oo2、2oo2、1oo2D、2oo3表决组。②对于每一个子系统中的表决组要从IEC61508第六部分表B.2至B.5相关的表中选择：结构（例如2oo3）；每个通道的诊断覆盖率（例如60%）；每个通道的失效率（每小时）λ，（例如5.0E-06）；表决组中通道之间相互作用的共同原因失效的β-系数，β和βD，（例如分别为2%和1%）。③如果安全功能依赖于传感器或执行器的多个表决组，传感器或最终元件子系统在要求时的组合平均失效概率PFDS或PFDFE已在下列式子中给出，其中PFDGi、PFDGj分别为传感器与最终元件的每个表决组在要求时的平均失效概率：PFDS=∑PFDGi(2)PFDFE=∑PFDGj(3)2SIS系统结构和可靠性分析对于SIS系统中每个通道的未检测故障，必须通过SIS系统的自诊断程序或外部的人工测试来排除，才能保证SIS的可靠性。采用故障-安全方式，虽然能有效防止SIS系统的未检测故障的发生，但仪表接线松动和电磁阀、测量仪表等故障都会引起SIS误动作及装置误停车。如何有效消除ESD系统中的显性故障和隐性故障对生产装置正常运行的影响？对于现场检2第八届工业仪表与自动化学术会议测仪表和执行单元，目前还无十分有效的诊断措施，但可从逻辑上采取一些措施：①采用“二选一”表决组方式，两个通道中任一个触发，SIS系统就联锁动作，可靠性较高，但任一通道故障均可引起误停车。②采用“二选二”表决组方式，当两个通道同时触发，SIS系统才联锁动作，一个通道有故障不会产生停车，误停车率小，可用性高。但“二选二”方式也存在缺陷，若系统中的任一通道存在未检测故障，则可能引起危险情况的发生，可靠性低。③采用“三选二”表决组方式。仅当3个通道中任意两个同时触发，SIS系统联锁动作。其中任一个通道出现故障不会导致误停车，也不会导致危险发生。由上述分析可知：单独的“二选一”、“二选二”逻辑方式不能兼顾系统的可靠性和可用性。“三选二”逻辑表决方式能有效防止检测故障和未检测故障的发生，兼顾系统的可靠性和可用性。因为在计算平均失效概率的过程中，将使用很多参数，所以将这些参数先简单介绍一下。在公式（4）～公式（7）中：λ为子系统中一个通道的失效率；λD为子系统中通道的危险失效率；λDU为未检测到的子系统中通道每小时的危险失效率；λDD为检测到的子系统中通道每小时的危险失效率；λSD为子系统中被检测到的通道每小时的安全失效率；tCE为1oo1、1oo2、2oo2、1oo2D、2oo3结构中通道的等效平均停止工作时间；tGE为1oo2、2oo3结构中表决组的等效平均停止工作时间；tCE’为1oo2D结构中通道的等效平均停止工作时间；tGE’为1oo2D结构中表决组的等效平均停止工作时间；T1为检验测试时间间隔；MTTR为平均恢复时间；DC为诊断覆盖率；PFD为单通道在要求时的平均失效概率；PFDG为表决通道组在要求时的平均失效概率；Β为具有共同原因的、没有被检测到的失效分数；βD为具有共同原因的、已被诊断测试检测到的失效分数。2.1一选一（1oo1）这种结构包括一个单通道，当产生一次要求时，任何危险失效就会导致一个安全功能失效。图21oo1物理块图3第八届工业仪表与自动化学术会议图31oo1可靠性块图图2和图3包括了有关的块图，通道的危险失效率为λD=λDU+λDD=λ/2(4)如图3所示，通道可以被认为由两部分组成，其中一个具有由未被检测到的失效导致的危险失效率λDU，另一部分具有由已被检测到的失效导致的危险失效率λDD，通道的等效平均停止工作时间tCE,等于两部分各自的停止工作时间tc1和tc2相加，各部分所占比例对通道失效率的影响如下：tCE=λDU/λD×(T1/2+MTTR)+λDD/λD×MTTR(5)对于每种结构，已被检测和未被检测到的危险失效率λDU=λ/2×（1-DC）(6)λDD=λ/2×DC(7)对于一个具有由危险失效而导致关闭时间为tGE的通道：PFD=λD×tCE(8)因此，对于1oo1结构，在要求时的平均失效概率如下：PFDG=（λDU+λDD）×tCE(9)2.2二选一（1oo2）此结构由两个并联的通道构成，无论哪一个通道都能处理安全功能。因此，如果两个通道都存在危险失效，则在要求时某个安全功能失效。假设任何诊断测试仅报告发现故障，但并不改变任何输出状态或输出表决。图41oo2物理块图图51oo2可靠性块图图4和图5中包含了相关的块图。tCE的值如公式（5）所示，但是现在有需计算系统等效停止工作时间tGE，表示如下：tGE=λDU/λD×(T1/3+MTTR)+λDD/λD×MTTR(10)此结构在要求时的平均失效概率为：PFDG=2×((1-β)×λDU+(1-βD)λDD)2×tCE×tGE+βD×λDD*MTTR+β×λDU×(T1/2+MTTR)(11)2.3二选二（2oo2）4第八届工业仪表与自动化学术会议此结构由并联的两个通道构成，因此，在发生安全功能之间两个通道都要求安全功能。假设任何诊断测试仅报告发现故障，并不改变任何输出状态或输出状态。图62oo2物理块图图72oo2可靠性块图图6与图7包含了相关的块图。tCE的值如公式（5）所示，此结构在要求时的平均失效概率如下：PFDG=2×λD×tCE(12)2.4带诊断的二选一（1oo2D）此结构中由并联的两个通道构成，正常工作期间，在发生安全功能之间，两个通道都要求安全功能。此外，如果任一通道中诊断测试检测到一个故障，则将采用输出表决，因此整个输出状态按照另一通道给出的输出状态。如果诊断测试在两个通道同时检测到故障，或者检测到两个通道间存在的差异时，输出则转到安全状态。为了检测两个通道间的差异，通过一种与另一通道无关的方法，无论其中哪个通道都能确定另一通道的状态。每个通道中被检测的安全失效率如下：λSD=λ/2×DC(13)图81oo2D物理块图图91oo2D可靠性块图图8和图9包含相关的块图，它们的平均停止工作时间表示为tCE’与tGE’，其表达式如下：tCE’=[λDU×(T1/2+MTTR)+(λDD+λSD)×MTTR]/(λDU+λDD+λSD)(14)tGE’=[λDU×(T1/3+MTTR)+(λDD+λSD)×MTTR]/(λDU+λDD+λSD)(15)结构在要求时的平均失效概率如下：PFDG=2×(1-β)×λDU×((1-β)×λDU+(1-βD)×λDD+λSD)×tCE’×tGE’+βD×λDD×MTTR+β×λDU×(T1/2+MTTR)(16)2.5三选二（2oo3）此结构由3个并联通道构成，其输出信号具有多数表决安排，这样，如果仅其中一个通道的输出与其它两个通道的输出状态不同时，输出状态不会因此而改变。假设任何诊断测试只报告发现故障，不改变任何输出状态或输出表决。5第八届工业仪表与自动化学术会议图102oo3物理块图图112oo3可靠性块图图10和图11包含了相关的块图。tCE的值如公式（5）所示，tGE的值如公式（10）所示。结构在要求时的平均失效概率为PFDG=6（(1-βD)λDD+(1-β)λDU）2×tCE*tGE+βD×λDD×MT