安全儀表功能子系統(tǒng)多重冗余問題探討

閔祥紅，謝騰騰，王繼光

（1.山東魯新設計工程有限公司，濟南 250101；2.中海油石化工程有限責任公司，濟南 250101 3.山東實華天然氣有限公司，山東 青島 266071）

0 引言

在石油化工、精細和醫(yī)藥化工、LNG 工程設計項目中，根據(jù)規(guī)范、規(guī)定、法令以及按照SIL 定級報告，對不同安全儀表功能的安全完整性等級要求，并結合業(yè)主要求，對安全儀表功能結構進行設計。根據(jù)GBT/50770-2013《石油化工安全儀表設計規(guī)范》對子系統(tǒng)冗余要求，結合IEC61508-2010 和IEC61511-2016 最小故障裕度要求，SIL2 及以上安全儀表功能測量儀表、邏輯控制器，及最終執(zhí)行元件子系統(tǒng)通常采用冗余設計。工程設計中經常遇到冗余子系統(tǒng)，當一臺或多臺設備發(fā)生故障時，邏輯如何執(zhí)行的問題。本文根據(jù)馬爾科夫模型計算，結合規(guī)范要求，討論了安全儀表功能子系統(tǒng)一臺或多臺設備發(fā)生故障時，聯(lián)鎖如何觸發(fā)，并給出了多種方案。邏輯控制器冗余邏輯一般由控制系統(tǒng)產品本身確定，當發(fā)生故障時會根據(jù)自身邏輯進行判斷處理，本文不再討論[1-4]。

1 數(shù)學模型建立

GBT/50770-2013 中定義冗余為采用獨立執(zhí)行同一個功能的兩個部件或系統(tǒng)，互為備用及切換。IEC61511 指出，安全儀表功能各個子系統(tǒng)冗余結構為同種結構冗余或者異種結構冗余，異種結構冗余可以減小共因失效。在實際工程設計中這兩種情況經常遇到，例如某再冷凝器去高壓泵管線上的溫度2oo3 和壓力2oo3 的同種結構冗余；某液化烴球罐的伺服、雷達和外貼超聲波的2oo3 的異種結構冗余[5-8]。

1.1 同種結構冗余故障分析及計算

假設整個SIF 為SIL2，傳感器為B 類設備硬件結構為2oo3，控制器為B 類設備硬件結構為1oo2D，最終執(zhí)行元件為A 類設備硬件結構為1oo2，設計符合GB/T 20438 和GB/T 50770 要求。當β=0.1，計算數(shù)據(jù)見表1。

表1 同種冗余結構在發(fā)生危險失效概率和安全失效概率Table 1 Dangerous failure probability and safety failure probability of the same redundant structure

根據(jù)表1，得出如下結論：

1）關鍵可靠性參數(shù)危險失效概率PFDavg 排序：2oo2＞1oo1＞2oo3＞1oo2＞1oo3。

2）關鍵可用性參數(shù)安全失效概率PFS 排序：1oo3＞1oo2＞1oo1＞2oo3＞2oo2。

1.2 儀表發(fā)生故障執(zhí)行邏輯分析

根據(jù)1.1 計算結論，以某安全儀表系統(tǒng)安全儀表功能中2oo3 測量儀表子系統(tǒng)為例，對一臺儀表發(fā)生故障、二臺儀表發(fā)生故障、三臺儀表發(fā)生故障子系統(tǒng)邏輯執(zhí)行情況逐條分析。

1.2.1 一臺儀表發(fā)生故障

a）當儀表發(fā)生未檢測到的安全失效時，即：儀表發(fā)生故障時，該故障導致儀表輸出信號為低電平（假設觸發(fā)聯(lián)鎖），無故障報警，假設直到檢修周期才修復。若不做邏輯處理，則實際2oo3 變?yōu)?oo2，根據(jù)1 結論，該故障提高了系統(tǒng)的安全性，但是增加了誤停車率。

b）當儀表發(fā)生檢測到的安全失效時，即：儀表發(fā)生故障時，該故障導致儀表輸出信號為低電平（假設觸發(fā)聯(lián)鎖），儀表本身有故障報警，假設功能安全工程師沒有在規(guī)定時間完成有效修復，直到檢修周期才修復。若不做邏輯處理，則實際2oo3 變?yōu)?oo2，根據(jù)1.1 結論，該故障提高了系統(tǒng)的安全性，但是增加了誤停車率。可以根據(jù)安全性和誤停車率需求做進一步邏輯優(yōu)化，處理報警。

c）當儀表發(fā)生檢測到的危險失效時，即：該故障導致輸出信號為高電平（不觸發(fā)聯(lián)鎖），假設故障有報警，假設功能安全工程師沒有在規(guī)定時間完成有效修復，直到檢修周期才修復。若不做邏輯處理，實則降低到2oo2。根據(jù)1結論，該故障降低了系統(tǒng)的安全性，但是降低了誤停車率。可以根據(jù)安全性和誤停車率需求做進一步邏輯優(yōu)化，處理報警。

d）當儀表發(fā)生未檢測到的危險失效時，即：該故障導致輸出信號為高電平（不觸發(fā)聯(lián)鎖），無故障報警，假設直到檢修周期才修復。實則降低到2oo2，根據(jù)1.1 結論，該故障降低系統(tǒng)的安全性，但是降低了誤停車率，該情況需要進一步判斷是否滿足結構冗余、要求失效概率的要求。

1.2.2 兩臺儀表發(fā)生故障

a）假設第一臺儀表故障滿足1.2.1 a）或1.2.1 b），第二臺儀表發(fā)生未檢測到的安全失效時，觸發(fā)聯(lián)鎖兩臺最終執(zhí)行元件動作。根據(jù)1 結論，該故障提高了系統(tǒng)的安全性，但是導致誤停車。

b）假設第一臺儀表故障滿足1.2.1 c），第二臺儀表發(fā)生未檢測到的安全失效時，假設功能安全工程師沒有在規(guī)定時間完成有效修復，直到檢修周期才修復。若不做邏輯處理，實則降低到1oo1，根據(jù)1.1 結論，該故障降低了系統(tǒng)的安全性，增加了誤停車率。可以根據(jù)安全性和誤停車率需求做進一步邏輯優(yōu)化，處理報警。

c）假設第一臺儀表故障滿足1.2.1 d），第二臺儀表發(fā)生未檢測到的安全失效時，假設直到檢修周期才修復。實則降低到1oo1，根據(jù)1.1 結論，該故障降低了系統(tǒng)的安全性，增加了誤停車率，該情況需要進一步判斷是否滿足結構冗余、要求失效概率的要求。

d）假設第一臺儀表故障滿足1.2.1 a）或1.2.1 b），第二臺儀表發(fā)生檢測到的安全失效時，觸發(fā)聯(lián)鎖兩臺最終執(zhí)行元件動作。根據(jù)1.1 結論，該故障提高了系統(tǒng)的安全性，但是導致誤停車。

e）假設第一臺儀表故障滿足1.2.1 c），第二臺儀表發(fā)生檢測到的安全失效時，假設功能安全工程師沒有在規(guī)定時間完成有效修復，直到檢修周期才修復。若不做邏輯處理，實則降低到1oo1，根據(jù)1.1 結論，該故障降低了系統(tǒng)的安全性，增加了誤停車率。可以根據(jù)安全性和誤停車率需求做進一步邏輯優(yōu)化，處理報警。

f）假設第一臺儀表故障滿足1.2.1 d），第二臺儀表發(fā)生檢測到的安全失效時，實則降低到1oo1，根據(jù)1.1結論，該故障降低了系統(tǒng)的安全性，增加了誤停車率，該情況需要進一步判斷是否滿足結構冗余、要求失效概率的要求。

g）假設第一臺儀表故障滿足1.2.1 a）或1.2.1 b），第二臺儀表發(fā)生檢測到的危險失效時，設功能安全工程師沒有在規(guī)定時間完成有效修復，直到檢修周期才修復。若不做邏輯處理，實則降低到1oo1，根據(jù)1.1 結論，該故障降低了系統(tǒng)的安全性，增加了誤停車率。可以根據(jù)安全性和誤停車率需求做進一步邏輯優(yōu)化，處理報警。

h）假設第一臺儀表故障滿足1.2.1 c），第二臺儀表發(fā)生檢測到的危險失效，該情況需要增加邏輯，若功能安全工程師沒有在規(guī)定時間完成有效修復，則強制觸發(fā)聯(lián)鎖兩臺最終執(zhí)行元件動作。

i）假設第一臺儀表故障滿足1.2.1 d），第二臺儀表發(fā)生檢測到的危險失效時，該情況需要增加邏輯，若功能安全工程師沒有在規(guī)定時間完成有效修復，則邏輯實現(xiàn)第二臺變送器輸出為觸發(fā)邏輯。實則降低到1oo1，根據(jù)1.1結論，該故障降低了系統(tǒng)的安全性，增加了誤停車率。可以根據(jù)安全性和誤停車率需求做進一步邏輯優(yōu)化，處理報警。

j）假設第一臺儀表故障滿足1.2.1 a）或1.2.1 b），第二臺儀表發(fā)生未檢測到的危險失效，設功能安全工程師沒有在規(guī)定時間完成有效修復，直到檢修周期才修復。若不做邏輯處理，實則降低到1oo1，根據(jù)1.1 結論，該故障降低了系統(tǒng)的安全性，增加了誤停車率。可以根據(jù)安全性和誤停車率需求做進一步邏輯優(yōu)化，處理報警。

k）假設第一臺儀表故障滿足1.2.1 c），第二臺儀表發(fā)生未檢測到的危險失效，則邏輯實現(xiàn)第一臺變送器輸出為觸發(fā)邏輯。實則降低到1oo1，根據(jù)1.1 結論，該故障降低系統(tǒng)的安全性，增加了誤停車率。可以根據(jù)安全性和誤停車率需求做進一步邏輯優(yōu)化，處理報警。

l）假設第一臺儀表故障滿足1.2.1 d），第二臺儀表發(fā)生未檢測到的危險失效時，該情況需要進一步判斷是否滿足結構冗余、要求失效概率的要求。

1.2.3 3臺儀表發(fā)生故障

當?shù)? 臺發(fā)生未檢測到的安全失效時，其他兩塊表故障應滿足1.2.2 b）或1.2.2 c）或1.2.2 d）其中一臺低電平輸出，則觸發(fā)聯(lián)鎖兩臺最終執(zhí)行元件動作。

當?shù)? 臺發(fā)生檢測到的安全失效時，其他兩塊表故障應滿足1.2.2 b）或1.2.2 c）或1.2.2 d）其中一臺低電平輸出，則觸發(fā)聯(lián)鎖兩臺最終執(zhí)行元件動作。

當?shù)? 臺發(fā)生檢測到的危險失效時，其他兩塊表故障應滿足1.2.2 b）或1.2.2 c）或1.2.2 d）其中一臺低電平輸出，該情況需要增加邏輯，若功能安全工程師沒有在規(guī)定時間完成有效修復，則強制觸發(fā)聯(lián)鎖兩臺最終執(zhí)行元件動作。

當?shù)? 臺發(fā)生未檢測到的危險失效時，其他兩塊表故障應滿足1.2.2 b）或1.2.2 c）或1.2.2 d）其中一臺低電平輸出，該情況需要進一步判斷是否滿足結構冗余、要求失效概率的要求。

當?shù)? 臺發(fā)生未檢測到的安全失效時，其他兩塊表故障應滿足1.2.2 b）或1.2.2 c）或1.2.2 d）輸出高電平，該情況需要進一步判斷是否滿足結構冗余、要求失效概率的要求。

當?shù)? 臺發(fā)生檢測到的安全失效時，其他兩塊表故障應滿足1.2.2 b）或1.2.2 c）或1.2.2 d）輸出高電平，該情況需要進一步判斷是否滿足結構冗余、要求失效概率的要求。

當?shù)? 臺發(fā)生檢測到的危險失效時，其他兩塊表故障應滿足1.2.2 b）或1.2.2 c）或1.2.2 d）輸出高電平，該情況需要進一步判斷是否滿足結構冗余、要求失效概率的要求。

當?shù)? 臺發(fā)生未檢測到的危險失效時，輸出高電平，該情況需要進一步判斷是否滿足結構冗余、要求失效概率的要求。

多選二以此類推。

1.3 異種結構冗余的計算

通過馬爾科夫模型與可靠性框圖模型的硬件失效評估研究建模方法，在充分考慮共因失效因子后，同樣適用。假設β 由0.1 降低到0.02，計算結論如下：

1）關鍵可靠性參數(shù)危險失效概率PFDavg 排序：2oo2＞1oo1＞2oo3＞1oo2＞1oo3。

2）關鍵可用性參數(shù)安全失效概率PFS 排序：1oo3＞1oo2＞1oo1＞2oo3＞2oo2。

異種結構冗余與同種結構冗余排序相同，分析也相同，不在贅述。

2 結論

1）2oo2 表決安全性最低，安全失效概率也最低。可用在安全要求不高，要求誤停車率低的場所。

2）當HFT 要求大于等于1 時，2oo3 表決安全性最低，安全失效概率也最低。可用在安全要求不高，要求誤停車率低的場所。

3）1oo3 表決安全性最高，安全失效概率也最高。可用在安全要求高，對誤停車要求低的場所。

若投資一定，要求較高的安全性，勢必增加誤停車率；要求較低的誤停車率，勢必降低系統(tǒng)的安全性。

在安全儀表系統(tǒng)方案設計時可以參考上面結論，在實際應用中，應結合經濟投資、SIL 要求、誤停車率，酌情選擇SIF 結構和邏輯處理方案。當返回各子系統(tǒng)訂貨資料后需要進一步驗算，判斷安全儀表系統(tǒng)安全儀表功能是否滿足SIL 等級要求。