杨永光，金常青，崔黎宁，王晓莉

(1． 中石化中原设计研究院，河南 濮阳 457001；2． 濮阳金盾消防有限公司，河南 濮阳 457001)

近年来，随着人们对安全生产的重视，安全仪表系统SIS(Safety Instrumented System)在石油化工及天然气行业使用越来越多。石油化工及天然气装置的事故不仅会对人民的生命安全和财产造成巨大损害，而且可能对生态环境造成不可弥补的危害。设备的冗余配置方法是提高安全的主要方法，笔者运用概率学，分析了SIS中传感器各种冗余配置的特点。

1 SIS的组成

根据IEC 61511的定义[1]，SIS是指用来实现一个或几个仪表安全功能的仪表系统，通常由传感器、逻辑控制器和最终执行元件组成。仪表安全功能既可以是一个仪表安全保护功能，也可以是一个仪表安全控制功能。SIS可以包括或不包括软件及人的动作。SIS的安全完整性等级(SIL)是由传感器、逻辑运算器、最终执行元件等各大组成部件的SIL共同决定的，当人的动作是SIS的一部分时，在SIL计算和分析时，应计算操作员动作的可用性和可靠性。

2 SIS的安全完整性等级

SIS的等级用SIL来表示[1]，SIL是用来规定分配给SIS的仪表安全功能的安全完整性要求的离散等级(4个等级中的一个)。SIL4是安全完整性的最高等级，SIL1为最低等级。

组成SIS各环节自身出现故障或失效的概率不可能为零。使SIS处于潜在危险或丧失仪表安全功能状态的失效被称为危险失效(Dangerous Failure)；不会使SIS处于潜在危险或丧失仪表安全功能状态的失效被称为安全失效(Safe Failure)。文中在无特殊说明情况下说的失效均指危险失效。

不同SIL的SIS有不同的危险失效概率目标值。在低要求操作模式时[2]，安全仪表功能的SIL用平均失效概率衡量，见表1所列。SIS的低要求操作模式是指安全仪表功能被执行次数不大于每年一次。通常石油化工工厂和装置的SIS工作于低要求操作模式。

表1 低要求操作模式的平均失效概率

在高要求操作模式时，安全仪表功能的SIL用每小时危险失效概率衡量，见表2所列。SIS的高要求操作模式是指在要求模式下SIS的动作频率大于每年一次。对于带有连续操作或动作频繁的安全仪表功能，属于高要求操作模式。

表2 高要求操作模式的危险失效概率

3 传感器的冗余配置

按照SIS设计流程，通过标准、规范或风险分析(危险与可操作性研究方法——HAZOP，预危险分析方法——PHA)确定所需要的系统SIL要求，然后根据SIL选择合适的逻辑控制器、传感器和最终执行元件。在不考虑人为操作环节的情况下，SIS部分由传感器、逻辑控制器和最终执行元件组成，各部分串联连接，设传感器部分的失效概率为P(A)，逻辑控制器部分的失效概率为P(L)，最终执行元件部分的失效概率为P(E)，那么SIS的失效概率P(X)=P(A)+P(L)+P(E)。由此可见，SIS的SIL由传感器、逻辑控制器和最终执行元件共同决定，平均失效概率最高的子系统将决定整个SIS的SIL。当单通道传感器的失效概率不能满足SIS的SIL要求时，必须通过冗余配置的方式来提高传感器子系统的SIL，常用的冗余配置方式有“二选一”，“二选二”和“三选二”[3-4]。

3．1 冗余传感器安全完整性分析

在IEC 61508-6中，规范给出了计算低要求操作模式下平均失效概率的示例[5]，但计算基于众多假设，规范以表格的形式给出了在冗余方式、诊断覆盖率(Diagnostic Coverage)、共因失效分数(Common Cause Failure)和子系统中一个通道的失效率P(a)多参数影响下的系统平均失效概率。因其计算方法中包含多个参数，所以各冗余配置方式的对比结论并不直观，现以低要求操作模式下的SIS为例，用概率方法来分析各种冗余方式下的子系统的平均失效概率。为了方便分析，假设传感器子系统中一个通道的平均失效概率P(a)=2×10-2，诊断覆盖率为100%，共因失效分数为0．0。根据表1知： 单个这样的传感器只能达到SIL1，如果要构成SIL2的SIS，必须通过冗余配置方式实现。设a1为传感器S1的危险失效事件，传感器S1的失效概率为P(a1)；a2为传感器S2的危险失效事件，传感器S2的失效概率为P(a2)；a3为传感器S3的危险失效事件，传感器S3的失效概率为P(a3)。因共因失效分数为0．0，所以a1，a2和a3互为独立事件[6]。

1) 当采用“二选一”冗余配置方法时，传感器子系统由2个并联的传感器构成，无论哪个传感器都能处理安全功能。因此，当且仅当2个传感器同时失效时，传感器子系统才认为安全功能失效，那么“二选一”冗余传感器子系统的失效概率：

P(A1oo2)=P(a1a2)=P(a1)P(a2|a1)=

4×10-4

因此，通过采用“二选一”冗余配置的方法，可降低传感器子系统的失效概率，提高了传感器子系统的SIL。

2) 当采用“二选二”的冗余配置时，传感器子系统由2个并联的传感器构成，但在子系统发生安全功能之前2个传感器都要求安全功能，当任一传感器失效时，传感器子系统安全功能将失效，所以：

P(A2oo2)=P(a1∪a2)=P(a1)+P(a2)-P(a1a2)=3．96×10-2

因此，采用传感器“二选二”的冗余配置方式时，传感器子系统的失效概率不但不会减少，反而会增加，所以传感器“二选二”的配置方式不会提高整个系统的SIL。

3) 当采用传感器“三选二”的冗余配置方式时，3个传感器并联实现安全功能，当仅有1个传感器失效时，传感器子系统仍可实现安全功能，当任意2个传感器失效或3个传感器都失效时，传感器子系统安全功能失效。采用全概率分析法[6]，将传感器子系统的失效分为两种情况： 在传感器S1发生失效的情况，此时S2和S3至少有一个传感器失效则传感器子系统失效；在传感器S1未失效的情况，此时只有当S2和S3同时失效时，传感器子系统失效。所以：

因此，采用传感器“三选二”的冗余配置方式也可降低传感器子系统的失效概率，从而提高传感器子系统的SIL。

3．2 冗余传感器可靠性分析

在设计SIS时，除了关注SIS的安全等级外，通常还需要考虑系统的可靠性，若SIS的子系统安全失效(通常指的误动作)，将引起SIS执行安全功能，则可能会造成一定的经济损失。安全失效概率是衡量SIS可靠性的重要指标。现对三种传感器冗余配置方式进行安全故障概率分析，为了方便分析，同样假设传感器子系统中1个通道的安全失效概率P(b)=2×10-2，诊断覆盖率为100%，共因失效分数为0．0。设b1为传感器S1安全失效事件，传感器S1的安全失效概率为P(b1)；b2为传感器S2安全失效事件，传感器S2的安全失效概率为P(b2)；b3为传感器S3安全失效事件，传感器S3的安全失效概率为P(b3)。因共因失效分数为0．0，所以b1，b2和b3互为独立事件。

1) 当采用“二选一”冗余配置方法时，2个并联的传感器无论哪个传感器产生安全失效，传感器子系统将给出安全联锁信号，所以传感器“二选一”冗余配置方式时，传感器子系统的安全故障失效概率：

P(B1oo2)=P(b1∪b2)=3．96×10-2

因此，采用“二选一”的传感器冗余方式时，传感器子系统与单通道的传感器相比安全失效概率会升高，其可靠性会下降。

2) 当采用“二选二”的冗余配置方式时，1个传感器发生安全失效时，传感器子系统不会发出安全联锁信号，只有当2个并联的传感器同时发生安全失效时，传感器子系统才产生安全联锁信号，故“二选二”冗余配置方式的传感器子系统的安全故障概率：

P(B2oo2)=P(b1b2)=P(b1)P(b2|b1)=4×10-4

因此，采用“二选二”的传感器冗余方式，传感器子系统与单通道的传感器相比安全失效概率会降低，其可靠性会增强。

3) 当采用“三选二”的冗余配置方式时，单一1个传感器发生安全失效，传感器子系统不会发出安全联锁信号，当2个或3个传感器发生安全失效时，传感器子系统才产生安全联锁信号。同样采用全概率分析法，将传感器子系统的失效分为两种情况： 在传感器S1发生安全失效的情况，此时S2和S3至少有1个传感器失效则传感器子系统安全失效；在传感器S1正常的情况下，只有当S2和S3同时安全失效时，传感器子系统才安全失效，所以“三选二”冗余配置方式下传感器子系统的安全故障概率：

因此，采用“三选二”的传感器冗余方式，传感器子系统与单通道的传感器相比安全失效概率会降氏，其可靠性会增强。

以上在分析各种冗余配置的传感器安全性和可靠性时，假设了各传感器之间不存在共因失效[7]。但实际情况中，由于各冗余传感器一般为同一类型的传感器且安装位置和工况条件一样，因而应该存在共因失效因数，但共因失效因数的存在不影响对各种冗余配置方法的分析。

4 结束语

笔者通过概率计算的方法，分析了传感器各种冗余方式的特点，见表3所列。

表3 各种冗余方式传感器的特点

笔者认为当系统要求高安全性时，应采用传感器“二选一”冗余方式；当系统要求高可用性时，应采用传感器“二选二”冗余方式；当系统的安全性和可用性均需保障时，宜采用传感器“三选二”的冗余方式。不过传感器子系统最终采用什么冗余方式还需进行整个SIS安全完整性验算，不排除会用到“三选一”或“四选二”的冗余方式。

参考文献：

[1] BSI． BS IEC 61511 Functional Safety-safety Instrumented systems for the Process industry Sector-Part 1～3[S]．BSI, 2003．

[2] 黄步余，叶向东，范宗海，等． GB/T 50770—2013 石油化工安全仪表系统设计规范[S]．北京： 中国计划出版社，2013．

[3] 李胜利，卢金芳．石油化工装置安全仪表系统的设计[J]．石油化工自动化，2007，43(02)： 5-8．

[4] 尚柏鑫． 石油化工装置安全仪表系统设计探讨[J]．河南化工，2008，25(02)： 47-49．

[5] IEC．IEC 61508 Functional Safety of Electrical/Electronic/Programmable Electronic Safety-related Systems-part 1～7[S]．IEC, 2010．

[6] 盛骤,谢式千,潘承毅．概率论与数理统计[M]．2版．北京： 高等教育出版社，1997： 18-28．

[7] 刘瑶．安全仪表系统中的共因失效[J]．仪器仪表标准化与计量，2009(06)： 15-18．

[8] 王奉立． 安全仪表系统(SIS)在石化装置上的应用[J]．仪器仪表标准化与计量，2010(01)： 16-20．

[9] 郭海涛，阳宪惠． 安全系统的安全完整性水平及其选择[J]．化工自动化及仪表． 2006,33(02)： 71-75．

[10] 薛东胜． 从国际标准看安全系统的设计(一)[J]．石油化工设计，2008,25(03)： 8-12．

[11] 薛东胜． 从国际标准看安全系统的设计(二)[J]．石油化工设计，2008,25(04)： 11-13．