王海清, 毛 奇, 李敏睿, 周益华

(1.中国石油大学(华东)机电工程学院,山东青岛 266580; 2.特灵顿(上海)检测认证服务有限公司,上海 200122)

现代化工装置广泛配置有安全仪表系统(SIS),而安全完整性等级(SIL)是衡量安全仪表系统安全功能的关键指标之一[1],通过计算联锁回路的平均需求时失效概率(PFDavg)来确定SIL。IEC61508中计算PFDavg时假设安全相关设备的失效率为恒定[2],但实际中,由于老化、疲劳、磨损等因素,部分安全相关设备的失效率会随使用时间缓慢上升[3],因此，提出选用威布尔分布模拟设备的退化行为。失效率是SIS进行SIL验证的基础,然而目前中国失效数据采集工作尚未系统开展,导致企业自身收集的失效数据未被充分利用[4]。IEC61508标准中指出使用现场反馈数据更新的设备失效率比使用通用数据(PDS或OREDA数据手册)更可取[2]。另一方面,由于安全仪表系统大部分时间处于休眠状态,因此通常通过定期检测去发现其自诊断未检测到的故障。在收集失效数据的同时,验证SIS是否达到或维持其所处的SIL。然而受企业内部生产或外部市场环境的影响,检测可能无法严格按照预定周期开展,这就有必要结合企业收集到的失效数据,在允许的SIL等级情况下,预测或规划下一次检测时间间隔。为解决这些生产实际困难和理论不足,笔者模拟某蜡油加氢裂化装置的紧急泄压阀系统故障记录数据,采用极大似然估计算法分别求解威布尔分布和指数分布参数,并根据检测结果,借鉴API581标准中的安全阀(PSV)检测流程[5],与挪威OLF070标准方法结合[6],实现对两种统计分布下的失效率和检测周期的更新。

1 安全仪表系统失效数据的极大似然估计

1.1 威布尔分布参数估计

设总共n个寿命数据中,完全寿命数据为r个,完全寿命数据组记为tj,右截尾寿命数据组记为tk,尺度参数η和形状参数β的似然函数[7]可表示为

L(β,η)=

(1)

为简化书写,将包含tj和tk的寿命数据记为ti(i≤n),化简可得

(2)

式(2)取对数可得

(3)

对尺度参数η和形状参数β求偏导,并令式(2)和(3)分别等于0,化简可得参数估计的极大似然方程:

(4)

方程(4)中仅含一个未知量β,求解后带入η的表达式得

(5)

1.2 指数分布的参数估计

假设失效寿命数据服从指数分布,总共n个寿命数据,完全寿命数据个数为r,完全寿命数据组为tm,右截尾寿命数据组为tm+,则计算公式[8]为

(6)

式中,λ为失效率。

对λ求偏导,且令式(6)右边等于0,则

(7)

2 基于检测的失效率更新

实际生产中,导致SIS不能执行其预定安全功能的失效模式被归类为危险失效模式。其中有一些危险失效模式可能无法通过自诊断测试进行检测。为了从安全角度避免这种情况发生,会对SIS进行定期检测[9]。在保证SIS处于给定的可靠性级别情况下,可以适当地延长其检测周期。

2.1 基于现场数据的失效率迭代更新方法

挪威石油工业协会(NOG)给出了基于指数分布的失效率更新失效方法(OLF070)[6],表示为

(8)

式中,λ1为设备未检测前的原始失效率;λ1+为对原始失效率的保守估计,通常情况下λ1+取2λ1[10]。

U2=U1λ1.

(9)

检测周期内,安全仪表系统部件因为危险未检测的失效模式累积的故障数量为X。此期间部件累积运行时间为T,T等于所有部件数量乘以测试周期,则更新后的U1、U2可表示为

U1,upd=0.9U1+t,

(10)

U2,upd=0.9U2+X.

(11)

更新后失效率λ2为

λ2=U2/U1.

(12)

2.2 基于检测结果的概率参数确定

API(美国石油协会)在基于风险的检验API581标准中指出:根据安全设备(具体为安全阀)特定检测的结果(通过或失败)以及检测的时间间隔,可以对该设备的失效概率函数进行调整[5]。该标准认为PSV设备的失效概率函数服从威布尔分布,且形状参数(β参数)基于历史数据保持不变,根据检测结果调整尺度参数(η参数)[5]。该方法的具体步骤为:

服从威布尔分布的失效率函数可表示为

(13)

式中,ηmod为原始的尺度参数;Pf,prior为失效概率函数。

该安全仪表设备的先验失效概率函数Pp,prior为

Pp,prior=1-Pf,prior.

(14)

当检测结果是通过时,条件失效概率函数Pf,cond为

Pf,cond=(1-CFpass)Pp,prior.

(15)

测试结果为失败时,条件失效概率函数Pf,cond为

Pf,cond=CFfailPf,prior+(1-CFpass)Pp,prior.

(16)

式中,CFpass和CFfail分别为检测通过和检测失败时的置信因子。

检测的置信因子取值见API581标准第7部分表7.8。为了确保设备的失效率函数可以从原始参数到现场参数平稳过渡,并且防止尺度参数变化过快。API581标准提出了加权失效概率函数(Pf,wgt),检测通过时的Pf,wgt可表示为

(17)

检测失败时的Pf,wgt可表示为

Pf,wgt=Pf,cond.

(18)

在得到加权失效概率函数Pf,wgt后即可对尺度参数进行更新,得到新的尺度参数ηupd为

(19)

3 安全仪表系统检测周期的优化更新

GB/T21109指出可以根据以往的操作经验使用更长的检测周期[11]。借鉴API581标准的检验流程,并结合OLF070中的更新方法,建立全新的计算模型,从而解决目前IEC功能安全标准无法处理时变失效率且不能对非固定检测周期的不利影响进行量化分析的缺陷。不失一般性,以最常见的紧急泄压阀子系统(1oo2冗余系统)为例,推导给出两种统计分布模型在检测影响下的计算流程,如图1所示。

图1 失效率和检测周期优化更新模型

3.1 威布尔分布计算模型

基于IEC61508标准中定义的低需求模式运行的安全仪表系统,数学模型满足假设[12]:①安全仪表系统机械部件的失效服从两参数的威布尔分布;②不考虑部分检验测试对测试间隔的影响,且检测同时进行;③忽视检测的时间,因为测试时间远小于测试间隔;④不考虑检测对部件状态的影响,即检测不会造成部件退化;⑤所有部件初始时均处于最佳状态,P(T=0)=0;⑥该计算模型中不包括大修,因为大修后设备近似恢复最佳功能状态。

基于这些假设,1oo2冗余结构在第一个测试周期[0,t1]内的PFDavg为[12]

(20)

同理,系统在[t1,t1+τ]时间段内的PFDavg为

(21)

(22)

式中,t1为第一次检测周期;τ为下一次检测周期。

3.2 指数分布计算模型

指数分布的计算模型假设与威布尔分布的保持一致,给出连续周期内的PFDavg推导公式。

1oo2冗余结构在[0,t1]时间段内的PFDavg为

(23)

同样,系统在[t1,t1+τ]时间段内的PFDavg为

PFDavg=

(24)

(25)

式中,λ1为设备未检测前的原始失效率;λ2为设备检测后更新的失效率。

4 案例分析

4.1 失效模式及故障数据

以某化工厂蜡油加氢装置紧急泄压阀系统为例,该系统是一个1oo2冗余表决系统,安装在蜡油加氢装置冷高压分离器装置上的紧急泄压阀(图2),其泄放保护对象涉及到加氢反应器、热高压分离器和冷高压分离器[13]。该装置同时设有0.7和2.1 MPa/min的紧急泄压系统,用来调节压力,保证其安全运行。当温升小于10 ℃/min,利用0.7 MPa/min 泄压系统进行降压;如果温升大于10 ℃/min,或者反应温度达453 ℃,启动2.1 MPa/min 泄压系统[13]。

图2 紧急泄压阀系统

紧急泄压阀包括仪表风、执行器和阀3部分。XSOV*A与XSOV*B 是由IS1014提供信号控制的电磁阀。当加氢反应器内压力超限时,IS1014提供控制信号将XSOV*A或XSOV*B打开,冷高压气可以经过XSOV*A或XSOV*B及其泄放管线泄放,起到调压的作用[14]。

紧急泄压阀最危险的失效模式为无法打开(FTO)[15],内构件锈蚀或黏连、异物堵塞,动力散失等均可能导致泄压阀无法打开的问题。另一方面,紧急泄压阀子系统属于高可靠性设备,可能存在监视期结束但设备还未失效的右截尾数据。

企业内部收集到的失效数据可以包括设备运行时间和失效时间,在已有数据的基础上,使用失效率和检测周期优化更新模型可以对设备失效率、检测周期进行更新。但由于EDV的可靠性较高(即在役时间内没有失效),导致有时候现场失效数据无法获取,需要结合国外数据库设定失效参数,使用蒙特卡洛模拟方法获得失效数据,将其作为样本数据来表征现场失效数据。

结合OREDA失效数据库中的失效统计数据,参考实际工程中服从威布尔分布的紧急泄压阀失效参数[14],为便于比较,设置形状参数为1.4,尺度参数分别为110 000、120 000、130 000、140 000和150 000。通过蒙特卡洛仿真模拟[16-17]分别生成5组相应的故障样本数据(失效模式为FTO),并分别随机从每组中抽取20个失效数据,均包括1个右截尾数据。

4.2 数值计算及分析

表1 基于威布尔分布的更新结果

检测通过表明紧急泄压阀在测试中的规定条件和时间内可以打开,检测失败则相反。检测的有效程度较高则是对紧急泄压阀进行了台架试验,并在试验表格上记录了初始泄放压力、开启时压力和回座压力,检查了进出口管道是否有过多的堵塞或污垢迹象。

API581标准中指出,当检测结果为通过时,更新后的尺度参数η应大于更新前,若尺度参数变小,则应与更新前保持一致。本案例中,检测通过时,由式(13)～(19)可得,尺度参数η的更新结果分别为121 236、132 055、142 868、153 675和164 477,均小于原始参数,因此应与原参数保持一致。

表2 基于指数分布的更新结果

若紧急泄压阀子系统失效寿命服从威布尔分布,由式(20)～(22)可得其下一次可允许的检测周期(T1),结果如图3所示。

图3 威布尔分布的下一次可允许检测周期

若其失效寿命服从指数分布,由式(23)～(25)可得其下一次可允许的检测周期(T2),结果如图4所示。

图4 指数分布的下一次可允许检测周期

由图3、4可知,在第一次检测通过后,允许的下一次检测周期比检测失败后所允许的下一次检测周期长。这是因为,检测通过说明实际操作阶段该泄压阀子系统的失效率小于原始估计的失效率;检测失败则说明此时该系统的实际失效率要大于原始估计的失效率。图3、4对比可得,检测后T1均大于T2,检测通过时,T1比T2平均延迟7 720 h;检测失败时,T1比T2平均延迟772 h。

图5、6分别为检测通过和失败时的PFD(t)变化趋势。将检测后同一样本的PFD(t)逐一比较发现,当t相同时,威布尔分布下的PFD(t)均小于指数分布下的PFD(t)。检测通过后,以图5(a)中的样本1为例,在[8 760,8 760+T2]时间段内,其PFDavg=0.005 8<0.01,因此可以延长检测周期至19 540 h。检测失败后,以图6(a)中的样本2为例,在[8 760,8 760+T2]时间段内,其PFDavg=0.0065<0.01,因此可以延长检测周期至3 090 h。

图5 检测通过时的PFD(t)变化趋势

图6 检测失败时PFD(t)变化趋势

为了进一步分析检测周期之间的差异,图7为两种分布下检测周期的相对误差(以威布尔分布的计算结果为基准)。由图7可知,随着原始尺度参数增大,检测通过时二者的相对误差逐渐下降;检测失败时,二者的相对误差逐渐上升。进一步计算可得,如果紧急泄压阀子系统失效寿命实际服从威布尔分布,用指数分布进行假设会导致下一次检测周期的计算结果出现显著偏差。检测通过时,可允许的下一次检测周期的平均相对误差为30.88%;检测失败时,可允许的下一次检测周期的平均相对误差为24.61%,相对于威布尔分布,指数分布下允许的检测周期更短,这会增加检测的次数,提高企业的测试维护成本。但检测通过后,两种分布下一次检测周期相比第一次(8 760 h)均会延长,厂区可以通过制定操作维护说明手册、归档记录SIS运行步骤、检测程序标准化、对操作工进行培训并监督等技术手段更好地控制风险。

图7 两种分布下检测周期的相对误差

5 结 论

(1)借鉴API581检测流程和OLF070更新方法,并结合企业自身收集到的失效数据和SIS设计阶段的原始失效率,对SIS实际操作阶段的失效率进行更新。检测通过后,SIS实际的失效率低于原始设计的失效率;检测失败后,实际失效率则高于原始设计的失效率。

(2)提出的检测周期优化更新模型解决了SIS非周期性检测下风险控制的难点。检测通过后,下一次检测周期相比于上一次会延长,厂区可通过制定操作维护说明手册、归档记录SIS运行步骤、检测程序标准化、对操作工进行培训并监督等技术手段更加有效地控制风险。

(3)在保证SIS可靠度前提下,与IEC假设的指数分布相比,若其失效寿命实际服从威布尔分布,则下一次检测周期更长,且平均相对误差高于20%。若依据IEC标准的假设,会导致下一次检测周期缩短,从而提高企业的测试维护成本。