浅谈安全仪表系统的安全完整性等级验证方法
2016-11-10茅颖
茅 颖
中国成达工程有限公司 成都 610041
浅谈安全仪表系统的安全完整性等级验证方法
茅颖*
中国成达工程有限公司成都610041
安全仪表系统的安全完整性等级验证目的是为了验证其是否符合IEC 61508/61511相关标准的规定。本文通过介绍IEC 61508的相关概念及公式,结合项目中应用的实例,介绍验算方法,为项目前期设计方案确定、投资估算及设计过程中常见安全回路的正确搭建提供参考。
安全仪表系统安全完整性验证需求失效概率硬件结构约束
加强安全相关系统包括安全仪表系统的管理迫在眉睫,特别是安监局116号文对设计符合安全生命周期的安全仪表系统提出了更高要求。目前在安全相关系统生命周期的各阶段还存在各种设计、管理的不足,安全仪表系统的安全完整性等级验证是规范安全仪表系统设计的重要一环。
在整个安全相关系统的生命周期中,当通过危险分析和风险评估为每一个安全功能分配了安全完整性等级后,需对每一个安全功能进行安全完整性等级符合性验证,以确保安全相关系统满足需要的功能安全。
对于安全仪表系统而言,其符合性验证包含四个方面,即验证需求失效概率、验证硬件结构约束、软件安全功能、系统失效的避免和控制。软件安全功能可以通过验证V-V模型设计以及有安全认证的软件模块来降低失效风险。为了避免并且控制系统的失效,需要重视设计、方案、培训、质量跟踪、变更控制等各个阶段,并且规范安全生命周期中各环节的安全要求。
下面重点介绍安全仪表系统的符合性验证中对于硬件安全完整性所进行的需求失效概率及硬件结构约束的验证说明,这也是SIL验证中常见的验证内容。
1 验证需求失效概率
根据IEC 61508规定,由于随机硬件失效引起的安全功能失效的概率应当等于或低于安全要求规范中所规定的目标值。对于石油化工装置,通常安全仪表功能要求在1年内被执行的次数不超过1次,故常采用低要求模式。对于在装置运行中安全仪表功能始终保持设备处于安全状态或安全仪表功能要求在1年内被执行的次数超过1次的情况,可采用连续运行模式或高要求模式。按照IEC 61508的阐述,SIL等级与硬件失效概率的对应关系见表1。
表1 SIL等级与硬件失效概率的对应关系
根据IEC 61508 的推导,如果考虑危险失效发生后,平均维修和恢复时间为MTTR,单个设备的PFD计算公式:
从公式中可以得出,验证PFD的可靠性参数包括:① 未能检测的危险失效率λdu和总的危险失效率λd;② 测试周期T;③ 平均维修和恢复时间MTTR。除此以外,当子系统中包含冗余结构时,还需要考虑共因失效CCF(β)的影响。
2 验证硬件结构约束
硬件安全完整性除满足上述失效概率要求外,其安全功能所声明的最高安全完整性等级,还受限于执行该安全功能的子系统的硬件故障裕度(HWFT)和安全失效分数(SFF)。
在确定硬件故障裕度时,首先应确认安全仪表系统属于哪一类子系统,不同的子系统对应不同的硬件结构约束要求。
通常,满足下列条件的子系统视为A类:① 所有组成部件的失效模式都被很好地定义;② 故障状态下子系统的行为能够完全确定;③ 有充足而可靠的实际数据来支持所使用的检测到和未检测到的危险失效的失效率。A类安全相关子系统的结构约束见表2[1]。
表2 A类安全相关子系统的结构约束
满足下列任一条件的子系统通常视为B类:① 至少有一个组成部件的失效模式未被很好地定义;② 故障状态下子系统的行为不能完全确定;③ 通过现场经验获得的可靠性数据不够充分来支持使用的检测到的和未检测到的危险失效的失效率。B类安全相关子系统的结构约束见表3[1]。
表3 B类安全相关子系统的结构约束
由上可知,验证安全仪表回路的硬件故障裕度用到的可靠性参数包括两部分:① 类型(A型或B型);② 安全失效分数SFF。
在E/E/PE安全相关系统中,某一安全功能能满足的最大硬件安全完整性等级取决于子系统的最低硬件安全完整性等级要求。如果安全功能是通过多个通道实现的,则需要考虑这些通道组合来确定硬件安全完整性等级。
3 可靠性参数的获取
在实际应用中,可以通过以下几种方式获取可靠性参数。
3.1商业数据库
目前已有大量的工业数据库可供使用,比如OREDA、PDS、Exida等,这些数据库的所有数据主要基于工业现场,但由于其失效信息受运行时间、技术水平、失效原因、环境条件等因素影响。因此,得到的数据往往比实际值要大。尽管如此,在没有其他可用数据源的情况下,工业数据库还是有价值的。过高的数据会导致计算结果偏大,但也是偏安全的结果。
3.2供应商提供数据
获得SIL认证的仪表设备供应商通常都能够提供SIL认证数据,计算PFD时应优先使用这类数据。
3.3用户统计数据
企业在长期操作过程中搜集统计的数据,使用这类数据应清楚统计数据的来源、操作背景、环境条件等,并要有足够的样本数量作为支撑。目前,这类数据的收集还有一定难度。
4 PFD计算常用公式
事实上,在安全仪表回路搭建过程中,为了提高系统的可靠性,利用更多的设备构成冗余的结构是实际应用中经常采用的方法。采用并联的结构可以提高系统的可靠性,引入表决系统可以降低系统的误动率。安全仪表系统的传感器部分、逻辑控制部分和执行部分均可采用冗余的方式进行结构配置。
4.1共因失效
在进行冗余系统的可靠性分析时,处理独立失效和相关失效是非常重要的。引起共因失效的原因很多,包括:设计、制造、安装调试、维修过程中的错误;环境应力(如温度、湿度等);人员活动等。IEC61508中使用β因子法作为定量分析共因失效的方法之一,在实际使用中,对于不同类型设备,不同结构的表决系统,β因子往往不同。
β(MooN)=β·CMooN
4.2表决结构计算公式
在安全仪表回路中,常见下面五种表决结构形式,不同的表决结构将推导出不同的故障失效概算计算公式。
(1)1oo1表决结构
根据IEC61508公式推导,其简化公式:
(2)1oo2表决结构
根据IEC61508公式推导,其简化公式:
上述公式是针对相同元件共因失效时的需求失效概率,对于不同元件的1oo2结构,根据某PFD验证公司提供的推导结果,得到的公式:
(3)2oo2表决结构
根据IEC61508公式推导,其简化公式:
PFD=λduT+2λd·MTTR
(4)1oo3表决结构
根据IEC61508公式推导,其简化公式:
(5)2oo3表决结构
根据IEC61508公式:
PFD=6((1-βd)λdd+(1-β)λdu)3tCEtGE
其简化公式:
4.3串联计算公式
安全仪表功能回路由传感器PFDS、逻辑处理器PFDL和执行元件PFDFE构成。
当各个设备的失效概率远小于1时,可采用以下公式近似保守计算:
PFDSYS≈PFDS+PFDL+PFDFE
5 硬件安全完整性等级分析的可靠性方法
在进行需求失效概率(PFD)及硬件故障裕度验证前,需进行安全仪表系统的硬件安全完整性等级的分析,以便明确安全相关各子系统之间的关系,从而正确采用公式进行验证。常用的分析方法包括可靠性框图(RBD)、故障树分析(FT)、马尔可夫模型以及随机网络模型(Petri Net),这些方法可以应用于大多数安全相关系统的分析;下面以通常采用的可靠性框图方法来举例说明SIL符合性验证的过程。
6 SIL符合性验证举例
某项目罐区TDI储罐液位LT-001联锁,联锁原因:储罐液位高高,联锁动作:进出口阀(XV-301,302),卸料泵P2201A/B停;同时,循环阀(XV-303,304)关闭,循环及装船泵P1201停。
6.1SIF回路风险评估
采用半定量的LOPA风险评估方法,对液位高高产生的原因,发生的频率及导致的风险水平按照允许风险目标进行各独立保护层分配后,确定此安全仪表回路所需的安全完整性等级要求为SIL2。
6.2可靠性框图
结合工艺要求分析,TDI储罐液位高高时关闭进口阀XV-3O2,或者停止卸料泵P2201A或2201B(互为备用)结果相同,故XV-302与P2201A/P2201B采用并联结构;循环阀XV-303与XV-304安装在储罐入口,即TDI换热后循环回储罐的两根管线上,如联锁时任一阀未能关闭,将导致联锁失效,故采用串联结构;关闭储罐出口阀XV-301与停止去码头的装船泵P1201结果相同,故XV-301与P1201采用并联结构。P1201在输送去码头的同时分流了一路去换热器经XV-303/304循环回储罐,同时,另有一路来自码头返回的部分物料也进入储罐,所以当液位高高联锁时,循环切断阀XV-303/304必须关闭,即使XV-301及P1201失效也不能导致联锁失效,据此,绘制的可靠性框图见图1。
图1 TDI储罐液位控制可靠性框图
6.3计算用参数
开始计算前,需收集并整理所有计算用参数。按照前面所述的方法,此项目收集到用于计算的参数见表4。
表4 计算用参数表
注:测量元件数据来源:Rosemount Safety Manual 300540En, Rev. DA。
逻辑处理器数据来源:TUV certificate for safety control system Pro-safe-RS,No 968/EZ 196.33/13。
最终元件数据来源:TUV certificate for safety control system Pro-safe-RS,No 968/EZ 196.33/13;SGS-TUV Saar GmbH Certificate Report for Functional Safety Certificate No. FS/71/220/12/0006;PDS Data Handbook 2006 Edition。
对于此联锁回路,从传感器到执行元件,列出各部件类型及测试时间,由于化工装置通常大修时间为1年,故各子系统检验测试时间可设定为一年。
6.4计算过程
6.4.1计算前的假设
在使用IEC 61508 所提供的公式之前,必须满足的假设:① 系统寿命内部件失效率为常数, 耗损期失效不包括在内,即在各部件使用寿命期内,该计算有效;② 所有工作模式为低要求操作模式;③ 计算结果为平均不可用度(PFD的平均值);④ 每次测试或维修后,认为设备和新设备一样;⑤ λdu*T<<1;⑥ 共因分析中只考虑所有设备共因失效的情况;⑦ 测试时间远小于测试周期。
6.4.2计算PFD结果并验证其符合性
(1)PFDLT:查表4可知,其平均需求失效率PFD为2.74E-4。
(2)PFDSIS:查表4 可知,其平均需求失效率PFD为6.75E-6。严格来说,对于SIS系统的需求失效概率,需根据回路的结构,如1oo2,2oo3等核算包含输入输出,逻辑处理器,安全栅等整体平均需求失效率,其验算结果可委托SIS厂家提供。
(3) PFDF1计算
查表知,λdu、λd (XV-302)均为 3.5E-8;由于P2201A/2201B互为备用,同一时间里只考虑一台泵运行的情况,故,λdu、λd(P2201A/2201B)为2E-7。
因XV-302 与泵不同类型,故采用不同类型组件的PFD计算公式,即:
(4)PFDF2计算
查表知,λdu、λd(XV-303)均为3.5E-8;λdu、λd(XV-304)均为3.5E-8。
当XV-303与XV-304串联后,PFD计算即求两者PFD之和,即:
(3.5×10-8+3.5×10-8)×96≈3.1×10-4
(5) PFDF3计算
查表知,λdu、λd (XV-301)均为2.45E-8;λdu、λd(P1201)均为2E-7。
采用不同类型组件的PFD计算公式,即:
(6)PFDFE计算
综合上述计算结果:
PFDFE=PFDF1+PFDF2+PFDF3≈ 3.1 × 10-4
即可得:
PFDSYS=PFDLT+PFDSIS+PFDFE≈ 5.9×10-4
依据IEC 61508标准,此结果符合SIL2 对PFD的目标值。如果当核算后,不能满足PFD目标值时,通过计算公式可知,也可采用调整测试时间T来适当减小PFD值。
6.4.3验证硬件约束符合性
在安全相关系统中,最大硬件安全完整性取决于子系统的最低硬件安全完整性等级要求。
对于液位变送器LT-001,查表4可知,其SFF为96%,B类设备,无冗余设计,查硬件结构约束表3知,其硬件安全完整性为SIL2。
对于SIS系统,根据厂商文件,其硬件结构约束满足SIL3要求。
对于执行元件,硬件安全完整性如下:
(1)F1:① XV-302 包括阀体、执行机构、电磁阀。查表2可知,其整体SFF为73%,硬件安全完整性为SIL2;② P2201A/2201B:失电停泵,主要动作元件为继电器,其SFF为60%,查表2知,其硬件安全完整性为SIL2;③ 因F1为1oo2回路,2个设备失效则整个功能失效,故硬件故障裕度为1,综合上述情况,F1子系统硬件完整性等级为SIL3。
(2)F2:同理,因两阀串联,硬件安全完整性取决于最低者,故F2子系统硬件完整性等级为SIL2。
(3)F3:与F1相似,其子系统的硬件安全完整性为SIL3。
由于F1,F2,F3子系统为串联结构,即执行元件子系统整体硬件安全完整性为SIL2。
综上可知,此回路整体硬件安全完整性为SIL2,其硬件结构约束满足此回路安全目标SIL2的要求。
7 结 语
在以往很多项目的执行过程中,对于安全仪表系统的设计并没有严格的进行安全完整性等级的符合性验证,导致安全仪表系统不能很好的满足安全生产及管理的需要。随着项目大型化,化工装置危险程度不断增大,安全仪表系统安全完整性等级的符合性验证势在必行。在以往的设计过程中,很多设计人员对于其方法了解不足。本文所述的验算方法可用于项目初期安全联锁回路搭建的初步验算,便于提前进行判断及优化,减少后期对设计的修改,同时尽快进行前期设计方案的投资估算,也可用于设计过程中对于较为明确、简单回路的验证,为推进安全仪表系统的设计管理提供参考。
1IEC 61508Functional safety of electrical/electronic/programmable electronic safety-related.SystemsEdition 2.0 2010-04.
2IEC 61511Functional safety - Safety instrumented systems for the process industry sectorEdition 1.0 2003-01.
3GBT 20438-2006, 电气 电子 可编程电子安全相关系统的功能安全[S].
4GBT 21109-2007, 过程工业领域安全仪表系统的功能安全[S].
5Reliability Prediction Method for Safety Instrumented Systems, PDS Method Handbook, 2010 Edition.
2016-06-07)
*茅颖:高级工程师。1997年毕业于成都电子科技大学电子仪器及测量技术专业。从事自控设计工作。
联系电话:(028)65531877,E-mail: maoying@chengda.com。
