淺談安全儀表系統的安全完整性等級驗證方法

茅　穎

中國成達工程有限公司　成都　610041

?

淺談安全儀表系統的安全完整性等級驗證方法

茅穎*

中國成達工程有限公司成都610041

安全儀表系統的安全完整性等級驗證目的是為了驗證其是否符合IEC 61508/61511相關標準的規定。本文通過介紹IEC 61508的相關概念及公式，結合項目中應用的實例，介紹驗算方法，為項目前期設計方案確定、投資估算及設計過程中常見安全回路的正確搭建提供參考。

安全儀表系統安全完整性驗證需求失效概率硬件結構約束

加強安全相關系統包括安全儀表系統的管理迫在眉睫,特別是安監局116號文對設計符合安全生命周期的安全儀表系統提出了更高要求。目前在安全相關系統生命周期的各階段還存在各種設計、管理的不足，安全儀表系統的安全完整性等級驗證是規范安全儀表系統設計的重要一環。

在整個安全相關系統的生命周期中，當通過危險分析和風險評估為每一個安全功能分配了安全完整性等級后，需對每一個安全功能進行安全完整性等級符合性驗證，以確保安全相關系統滿足需要的功能安全。

對于安全儀表系統而言，其符合性驗證包含四個方面，即驗證需求失效概率、驗證硬件結構約束、軟件安全功能、系統失效的避免和控制。軟件安全功能可以通過驗證V-V模型設計以及有安全認證的軟件模塊來降低失效風險。為了避免并且控制系統的失效，需要重視設計、方案、培訓、質量跟蹤、變更控制等各個階段，并且規范安全生命周期中各環節的安全要求。

下面重點介紹安全儀表系統的符合性驗證中對于硬件安全完整性所進行的需求失效概率及硬件結構約束的驗證說明，這也是SIL驗證中常見的驗證內容。

1　驗證需求失效概率

根據IEC 61508規定，由于隨機硬件失效引起的安全功能失效的概率應當等于或低于安全要求規范中所規定的目標值。對于石油化工裝置，通常安全儀表功能要求在1年內被執行的次數不超過1次，故常采用低要求模式。對于在裝置運行中安全儀表功能始終保持設備處于安全狀態或安全儀表功能要求在1年內被執行的次數超過1次的情況，可采用連續運行模式或高要求模式。按照IEC 61508的闡述，SIL等級與硬件失效概率的對應關系見表1。

表1　SIL等級與硬件失效概率的對應關系

根據IEC 61508 的推導，如果考慮危險失效發生后，平均維修和恢復時間為MTTR，單個設備的PFD計算公式：

從公式中可以得出，驗證PFD的可靠性參數包括：① 未能檢測的危險失效率λdu和總的危險失效率λd；② 測試周期T；③ 平均維修和恢復時間MTTR。除此以外，當子系統中包含冗余結構時，還需要考慮共因失效CCF(β)的影響。

2　驗證硬件結構約束

硬件安全完整性除滿足上述失效概率要求外，其安全功能所聲明的最高安全完整性等級，還受限于執行該安全功能的子系統的硬件故障裕度(HWFT)和安全失效分數(SFF)。

在確定硬件故障裕度時，首先應確認安全儀表系統屬于哪一類子系統，不同的子系統對應不同的硬件結構約束要求。

通常，滿足下列條件的子系統視為A類：① 所有組成部件的失效模式都被很好地定義；② 故障狀態下子系統的行為能夠完全確定；③ 有充足而可靠的實際數據來支持所使用的檢測到和未檢測到的危險失效的失效率。A類安全相關子系統的結構約束見表2[1]。

表2　A類安全相關子系統的結構約束

滿足下列任一條件的子系統通常視為B類：① 至少有一個組成部件的失效模式未被很好地定義；② 故障狀態下子系統的行為不能完全確定；③ 通過現場經驗獲得的可靠性數據不夠充分來支持使用的檢測到的和未檢測到的危險失效的失效率。B類安全相關子系統的結構約束見表3[1]。

表3　B類安全相關子系統的結構約束

由上可知，驗證安全儀表回路的硬件故障裕度用到的可靠性參數包括兩部分：① 類型(A型或B型)；② 安全失效分數SFF。

在E/E/PE安全相關系統中，某一安全功能能滿足的最大硬件安全完整性等級取決于子系統的最低硬件安全完整性等級要求。如果安全功能是通過多個通道實現的，則需要考慮這些通道組合來確定硬件安全完整性等級。

3　可靠性參數的獲取

在實際應用中，可以通過以下幾種方式獲取可靠性參數。

3.1商業數據庫

目前已有大量的工業數據庫可供使用，比如OREDA、PDS、Exida等，這些數據庫的所有數據主要基于工業現場，但由于其失效信息受運行時間、技術水平、失效原因、環境條件等因素影響。因此，得到的數據往往比實際值要大。盡管如此，在沒有其他可用數據源的情況下，工業數據庫還是有價值的。過高的數據會導致計算結果偏大，但也是偏安全的結果。

3.2供應商提供數據

獲得SIL認證的儀表設備供應商通常都能夠提供SIL認證數據，計算PFD時應優先使用這類數據。

3.3用戶統計數據

企業在長期操作過程中搜集統計的數據，使用這類數據應清楚統計數據的來源、操作背景、環境條件等，并要有足夠的樣本數量作為支撐。目前，這類數據的收集還有一定難度。

4　PFD計算常用公式

事實上，在安全儀表回路搭建過程中，為了提高系統的可靠性，利用更多的設備構成冗余的結構是實際應用中經常采用的方法。采用并聯的結構可以提高系統的可靠性，引入表決系統可以降低系統的誤動率。安全儀表系統的傳感器部分、邏輯控制部分和執行部分均可采用冗余的方式進行結構配置。

4.1共因失效

在進行冗余系統的可靠性分析時，處理獨立失效和相關失效是非常重要的。引起共因失效的原因很多，包括：設計、制造、安裝調試、維修過程中的錯誤；環境應力(如溫度、濕度等)；人員活動等。IEC61508中使用β因子法作為定量分析共因失效的方法之一，在實際使用中，對于不同類型設備，不同結構的表決系統，β因子往往不同。

β(MooN)=β·CMooN

4.2表決結構計算公式

在安全儀表回路中，常見下面五種表決結構形式，不同的表決結構將推導出不同的故障失效概算計算公式。

(1)1oo1表決結構

根據IEC61508公式推導，其簡化公式：

(2)1oo2表決結構

根據IEC61508公式推導，其簡化公式：

上述公式是針對相同元件共因失效時的需求失效概率，對于不同元件的1oo2結構，根據某PFD驗證公司提供的推導結果，得到的公式：

(3)2oo2表決結構

根據IEC61508公式推導，其簡化公式：

PFD=λduT+2λd·MTTR

(4)1oo3表決結構

根據IEC61508公式推導，其簡化公式：

(5)2oo3表決結構

根據IEC61508公式：

PFD=6((1-βd)λdd+(1-β)λdu)3tCEtGE

其簡化公式：

4.3串聯計算公式

安全儀表功能回路由傳感器PFDS、邏輯處理器PFDL和執行元件PFDFE構成。

當各個設備的失效概率遠小于1時，可采用以下公式近似保守計算：

PFDSYS≈PFDS+PFDL+PFDFE

5　硬件安全完整性等級分析的可靠性方法

在進行需求失效概率(PFD)及硬件故障裕度驗證前，需進行安全儀表系統的硬件安全完整性等級的分析，以便明確安全相關各子系統之間的關系，從而正確采用公式進行驗證。常用的分析方法包括可靠性框圖(RBD)、故障樹分析(FT)、馬爾可夫模型以及隨機網絡模型(Petri Net)，這些方法可以應用于大多數安全相關系統的分析；下面以通常采用的可靠性框圖方法來舉例說明SIL符合性驗證的過程。

6　SIL符合性驗證舉例

某項目罐區TDI儲罐液位LT-001聯鎖，聯鎖原因：儲罐液位高高，聯鎖動作：進出口閥(XV-301,302)，卸料泵P2201A/B停；同時，循環閥(XV-303,304)關閉，循環及裝船泵P1201停。

6.1SIF回路風險評估

采用半定量的LOPA風險評估方法，對液位高高產生的原因，發生的頻率及導致的風險水平按照允許風險目標進行各獨立保護層分配后，確定此安全儀表回路所需的安全完整性等級要求為SIL2。

6.2可靠性框圖

結合工藝要求分析，TDI儲罐液位高高時關閉進口閥XV-3O2,或者停止卸料泵P2201A或2201B(互為備用)結果相同，故XV-302與P2201A/P2201B采用并聯結構；循環閥XV-303與XV-304安裝在儲罐入口，即TDI換熱后循環回儲罐的兩根管線上，如聯鎖時任一閥未能關閉，將導致聯鎖失效，故采用串聯結構；關閉儲罐出口閥XV-301與停止去碼頭的裝船泵P1201結果相同，故XV-301與P1201采用并聯結構。P1201在輸送去碼頭的同時分流了一路去換熱器經XV-303/304循環回儲罐，同時，另有一路來自碼頭返回的部分物料也進入儲罐，所以當液位高高聯鎖時，循環切斷閥XV-303/304必須關閉，即使XV-301及P1201失效也不能導致聯鎖失效，據此，繪制的可靠性框圖見圖1。

圖1　TDI儲罐液位控制可靠性框圖

6.3計算用參數

開始計算前，需收集并整理所有計算用參數。按照前面所述的方法，此項目收集到用于計算的參數見表4。

表4　計算用參數表

注：測量元件數據來源：Rosemount Safety Manual 300540En, Rev. DA。

邏輯處理器數據來源：TUV certificate for safety control system Pro-safe-RS,No 968/EZ 196.33/13。

最終元件數據來源：TUV certificate for safety control system Pro-safe-RS,No 968/EZ 196.33/13；SGS-TUV Saar GmbH Certificate Report for Functional Safety Certificate No. FS/71/220/12/0006；PDS Data Handbook 2006 Edition。

對于此聯鎖回路，從傳感器到執行元件，列出各部件類型及測試時間，由于化工裝置通常大修時間為1年，故各子系統檢驗測試時間可設定為一年。

6.4計算過程

6.4.1計算前的假設

在使用IEC 61508 所提供的公式之前，必須滿足的假設：① 系統壽命內部件失效率為常數, 耗損期失效不包括在內，即在各部件使用壽命期內，該計算有效；② 所有工作模式為低要求操作模式；③ 計算結果為平均不可用度(PFD的平均值)；④ 每次測試或維修后，認為設備和新設備一樣；⑤ λdu*T<<1；⑥ 共因分析中只考慮所有設備共因失效的情況；⑦ 測試時間遠小于測試周期。

6.4.2計算PFD結果并驗證其符合性

(1)PFDLT:查表4可知，其平均需求失效率PFD為2.74E-4。

(2)PFDSIS:查表4 可知，其平均需求失效率PFD為6.75E-6。嚴格來說，對于SIS系統的需求失效概率，需根據回路的結構，如1oo2,2oo3等核算包含輸入輸出，邏輯處理器，安全柵等整體平均需求失效率，其驗算結果可委托SIS廠家提供。

(3) PFDF1計算

查表知，λdu、λd (XV-302)均為 3.5E-8；由于P2201A/2201B互為備用，同一時間里只考慮一臺泵運行的情況，故，λdu、λd(P2201A/2201B)為2E-7。

因XV-302 與泵不同類型，故采用不同類型組件的PFD計算公式，即：

(4)PFDF2計算

查表知，λdu、λd(XV-303)均為3.5E-8;λdu、λd(XV-304)均為3.5E-8。

當XV-303與XV-304串聯后，PFD計算即求兩者PFD之和，即：

(3.5×10-8+3.5×10-8)×96≈3.1×10-4

(5) PFDF3計算

查表知，λdu、λd (XV-301)均為2.45E-8；λdu、λd(P1201)均為2E-7。

采用不同類型組件的PFD計算公式，即：

(6)PFDFE計算

綜合上述計算結果：

PFDFE=PFDF1+PFDF2+PFDF3≈ 3.1 × 10-4

即可得：

PFDSYS=PFDLT+PFDSIS+PFDFE≈ 5.9×10-4

依據IEC 61508標準，此結果符合SIL2 對PFD的目標值。如果當核算后，不能滿足PFD目標值時，通過計算公式可知，也可采用調整測試時間T來適當減小PFD值。

6.4.3驗證硬件約束符合性

在安全相關系統中，最大硬件安全完整性取決于子系統的最低硬件安全完整性等級要求。

對于液位變送器LT-001，查表4可知，其SFF為96%，B類設備，無冗余設計，查硬件結構約束表3知，其硬件安全完整性為SIL2。

對于SIS系統，根據廠商文件，其硬件結構約束滿足SIL3要求。

對于執行元件，硬件安全完整性如下：

(1)F1：① XV-302 包括閥體、執行機構、電磁閥。查表2可知，其整體SFF為73%，硬件安全完整性為SIL2；② P2201A/2201B：失電停泵，主要動作元件為繼電器，其SFF為60%，查表2知，其硬件安全完整性為SIL2；③ 因F1為1oo2回路，2個設備失效則整個功能失效，故硬件故障裕度為1，綜合上述情況，F1子系統硬件完整性等級為SIL3。

(2)F2：同理，因兩閥串聯，硬件安全完整性取決于最低者，故F2子系統硬件完整性等級為SIL2。

(3)F3：與F1相似，其子系統的硬件安全完整性為SIL3。

由于F1，F2，F3子系統為串聯結構，即執行元件子系統整體硬件安全完整性為SIL2。

綜上可知，此回路整體硬件安全完整性為SIL2，其硬件結構約束滿足此回路安全目標SIL2的要求。

7　結　語

在以往很多項目的執行過程中，對于安全儀表系統的設計并沒有嚴格的進行安全完整性等級的符合性驗證，導致安全儀表系統不能很好的滿足安全生產及管理的需要。隨著項目大型化，化工裝置危險程度不斷增大,安全儀表系統安全完整性等級的符合性驗證勢在必行。在以往的設計過程中，很多設計人員對于其方法了解不足。本文所述的驗算方法可用于項目初期安全聯鎖回路搭建的初步驗算，便于提前進行判斷及優化，減少后期對設計的修改，同時盡快進行前期設計方案的投資估算，也可用于設計過程中對于較為明確、簡單回路的驗證，為推進安全儀表系統的設計管理提供參考。

1IEC 61508Functional safety of electrical/electronic/programmable electronic safety-related.SystemsEdition 2.0 2010-04.

2IEC 61511Functional safety - Safety instrumented systems for the process industry sectorEdition 1.0 2003-01.

3GBT 20438-2006， 電氣 電子 可編程電子安全相關系統的功能安全[S].

4GBT 21109-2007, 過程工業領域安全儀表系統的功能安全[S].

5Reliability Prediction Method for Safety Instrumented Systems, PDS Method Handbook, 2010 Edition.

2016-06-07)

*茅穎：高級工程師。1997年畢業于成都電子科技大學電子儀器及測量技術專業。從事自控設計工作。

聯系電話：(028)65531877，E-mail: maoying@chengda.com。