基于检验测试策略的PFD模型建立与分析*

张 哲，王 璐，徐长峰 ，赵国军 ，陈月娥，刘晓亮

(1.中国石油新疆油田分公司(呼图壁储气库作业区)，新疆 呼图壁 831200； 2.机械工业仪器仪表综合技术经济研究所，北京 100055)

0 引言

安全仪表系统(Safety Instrumentation System,SIS)在工业安全风险管理中起着至关重要作用。低要求运行模式下，SIS要求频率小于每年1次[1]。要求平均失效概率(Average Probability of Failure on Demand,PFDavg)是SIS安全性量化的重要指标，等效于完全检验测试时间间隔内系统平均不可用度[2]。

PFDavg与系统架构、元部件失效率、检验测试间隔及检测覆盖率等因素有关。因此,可通过提高元部件安全性，增加系统冗余级别、采用异构冗余系统、缩短检验测试周期、改善检验测试不完善度等措施降低PFDavg。工业中常用SIS体系架构复杂，元部件数量多，仅从一定限度内提高元部件安全性,难以满足整个系统安全性要求。池亚娟等[3]采用量化分析法，通过改变冗余结构与检验测试周期可有效提高SIS安全性;Lundteigen等[4]从SIL验证角度得出同样结论。但实际应用中，追加较多冗余将导致成本增加、系统更为复杂，可能产生更多共因失效，导致误动作。王海清等[5]通过研究异型冗余设备对系统安全性影响发现，虽然异型冗余设备可极大地减少共因失效，但多数企业出于运行维护的目的，经常采用同构冗余系统。在SIS安全性必须提高的场合下，尤其针对现役SIS，优化检验测试执行策略效果较好，且被广泛应用，但缺乏具体优化策略。

检验测试分为部分和完全检验测试:完全检验测试指将系统恢复到与新系统一样状态的大修或换新;部分检验测试指只能检测到部分特定失效测试，主要包括目视检查与部分行程测试[6]。基于检验测试的PFDavg计算模型已取得显著成果：文献[7]基于1oo2架构，给出基于部分检验测试的PFDavg公式，并引入检验测试覆盖率(PTC)系数；Hauge等[8]利用PDS法对SIS安全性分析，考虑PTC因子影响作用，并引入检验测试失败概率(PTIF)，用于衡量部分检验测试效果；Summers等[9]给出1oo1系统部分检验测试简化公式；Torres等[10]提出基于周期性部分检验测试的PFDavg公式；Brissaud等[11]提出适用于koon系统的PFDavg公式，可用于非周期部分检验测试；郭利进等[12]利用多相Markov链模型计算PFDavg，分析共因失效、诊断覆盖率和检验测试对PFDavg的影响；Jin等[13]基于常见架构系统，分析部分检测试不完善性对PFDavg影响；Vaurio等[14]通过增加检验测试持续时间与测试不完善度等，对koon计算模型进行改进。基于已有研究成果，通过引入部分检验测试分布因子和共因失效修正因子，分析检验测试对PFDavg的影响，建立通用冗余架构计算模型，该模型适用于所有同构koon架构系统，可应用于周期性、非周期性部分检验测试及共因失效影响较大的场景，可以为企业制定检验测试策略提供理论依据。

1 模型相关因素计算

1.1 系统失效分类

SIS失效分为“安全失效s”、“危险失效d”和“无影响失效”：安全失效会导致误停车，降低生产连续性；危险失效导致风险，降低可用性[15]；无影响失效增加险肇事件的发生概率。PFDavg仅与危险失效有关。危险失效可进一步分为能被检测到的危险失效(dd)和未被检测到的危险失效(du)：能被检测到的危险失效(dd)指通过在线诊断测试能够检测到的失效；未被检测到的危险失效(du)指仅通过检验测试检测到的失效[16]，在线诊断测试执行频率相对频繁，一般小于1次/min。假设检测到dd失效后立即进行维修，或被控设备(EUC)能够立即进入安全状态，认为dd失效对PFDavg影响可忽略不计，只考虑du失效对PFDavg的影响。

当检验测试策略中同时包含部分和完全检验测试时，du失效包括2类：通过部分和完全检验测试都能检测到的du失效即α型失效，失效率为λα；仅通过完全检验测试检测到的du失效即β型失效，失效率为λβ。

定义部分检验测试覆盖率(θ)为可通过部分检验测试检测到的du失效百分比，如式(1)所示：

(1)

式中：λ为du失效的失效率。

1.2 共因失效

共因失效(Common Cause Failure，CCF)指1个系统中由于某种共同原因导致2个或多个通道并发失效的现象。CCF可能是系统失效，如设计或规范失误，也可能是由于外部应力导致的随机硬件失效，如闪电、地震或维护中错误操作等导致的失效，或者由2种原因共同导致的失效。同构冗余系统中共因失效对PFDavg影响较大。β因子模型相对比较简单，是目前SIS安全性分析中最常用的共因失效分析模型，主要包括β因子模型和多β因子模型。

2 计算模型建立

图1 基于部分和完全检验测试的失效概率趋势Fig.1 Trend chart of failure probability subject to partial and proof test

给出模型假设条件，模型建立过程包括3个部分。首先建立基于独立失效的基本模型，引入检验测试分布因子，用于体现检验测试分布情况对PFDavg影响；引入共因失效修正因子，能更加准确地分析同构冗余系统的安全完整性。

2.1 模型假设条件

PFDavg计算模型建立基于以下7个条件假设：

1)koon架构中每条通道属性相同，具有相同恒定失效率λ，且失效概率均服从指数分布。

2)完全检验测试能够检测到所有du失效，测试维修后，系统能够恢复如新，所有通道在t=0时刻处于全功能状态。

3)部分检验测试仅能检测到α型失效，测试维修后，系统中无α型失效，可能存在β型失效。

4)完全检验测试间隔τ内，进行m次测试。前m-1次测试为具有以下间隔的部分检验测试：t1,t2,…,tm-1；第m个测试是完全检验测试(如图1所示)。

5)检验测试面向所有n个通道同时进行。

6)所有可被在线诊断到的dd失效均能及时被修复或者进入安全状态，不会产生危害后果。

7)部分或完全检验测试检测到du失效，立即进行维修，在测试维修操作期间，EUC处于安全状态，以便分析计算中不包括任何测试维护的持续时间。

2.2 基于独立失效的基本计算模型

基于部分和完全检验测试的koon架构可靠性如图2所示。整个测试周期τ内进行部分和完全检验测试，系统PFDavg受α型和β型失效影响，计算公式如式(1)所示：

(1)

图2 基于部分和完全检验测试的koon架构可靠Fig.2 Reliability block diagram for a koon system subject to partial and proof test

以每个部分检验测试周期为单元，分别计算对应区间内PFDavg。在第1个部分检验测试时间间隔[t0,t1]中，系统在t0=0时刻处于全功能状态，koon系统不可用度等于不可靠度，如式(2)所示：

(2)

式中：F(t)为koon系统在时刻t的不可靠度函数，表达式如式(3)所示：

(3)

PFDavg在区间[t0,t1]的值如式(4)所示：

(4)

(5)

由于所有通道均是独立和相同的，在ti-1时刻j个通道失效的概率遵循二项分布，并且每个通道具有恒定失效率，如式(6)所示：

(6)

当ti-1时刻，失效通道数量j>n-k时，koon系统在区间(ti-1,ti],i=2,3,…,m的不可用度如式(7)所示：

(7)

失效通道数量j≤n-k时，koon系统降级为koo(n-j)系统，意味有n-j个通道可能在区间(ti-1,ti],i=2,3,…,m内失效；当超过n-j-k个通道失效时，系统失效，该系统不可用度等效于koo(n-j)系统的不可靠度，如式(8)所示：

(8)

式中：F(t|j,ti-1)为koo(n-j)系统在t时刻的不可靠度。

PFDavg在区间(ti-1,ti],i=2,3,…,m的值如式(9)～(13)所示：

(9)

(10)

(11)

(12)

(13)

(14)

(15)

综上，区间[0，τ]的PFDavg如式(16)～(18)所示：

(16)

(17)

(18)

式中：

当λτi和λβt非常小时(通常认为小于0.01)，有以下近似关系：1-e-λτi≈λτi，1-e-λβti-1≈λβti-1，(e-λβti-1)n-j≈1，P(j|ti-1)如式(19)所示：

(19)

2.3 考虑检验测试分布因子的计算模型

为分析部分检验测试分布情况对PFDavg的影响，引入检验测试分布因子，如式(20)所示：

(20)

式中：ε为检验测试分布因子，当ε=0，对应无部分检验测试情况；当ε=1，对应周期性部分检验测试情况；当ε<1，对应非周期性部分检验测试时间间隔越来越小；当ε>1，对应非周期性部分检验测试时间间隔越来越大。将式(20)代入式(19)，得到基于检验测试分布因子的PFDavg公式如式(21)所示：

(21)

(22)

(23)

(24)

(25)

(26)

2.4 考虑共因失效的计算模型

同构冗余系统因各通道相似性，具有相似失效集，容易受CCF影响而丧失防护效果[18-19 ]。

考虑共因失效的koon架构系统的可靠性如图3所示。PFDavg公式如式(27)所示：

PFDavg,total≈PFDavg,ind+PFDavg,ccf

(27)

式中：PFDavg,ind为基于独立失效的PFDavg；PFDavg,ccf是基于共因失效的PFDavg。研究采用β因子模型处理共因失效问题，模型计算公式如式(28)所示：

(28)

图3 koon结构共因失效可靠性Fig.3 Reliability block diagram for a koon system subject to CCF

当k

φkoon=Ckoonβkoon

(29)

当k=n时，如式(30)所示：

φkoon=(n-Cnβkoon)

(30)

式中：βkoon为共因失效因子；Ckoon和Cn为反映不同冗余架构对共因失效影响的参数，是βkoon因子修正系数。修正后的βkoon因子用φkoon表示，冗余架构系统共因失效修正因子取值见表1。

表1 冗余架构系统共因失效修正因子取值Table 1 Some Values for Ckoon and Cn Factors of koon systems

将式 (27)～(28)带入式(21)，PFDavg公式如式(31)所示：

(31)

式中：

3 计算模型验证与分析

3.1 比较验证

1)无部分检验测试

当没有部分检验测试时，唯一的检验测试为τ时刻(即m=1和t1=τ)完全检验测试；并且j=0，假设t0时刻系统处于全功能状态。将参数代入式(31)，区间[0,τ]内PFDavg如式(32)所示：

(32)

式(32)与挪威工业科技研究院SINTEF利用PDS方法[19]得到的公式一致。

2) 1oo1系统周期性部分验证测试

(33)

式(33)与文献[9]得到的公式一致。

3.2 实例验证与分析

ESD系统是工业中最常用的SIS之一。约50%以上的ESD系统失效是由最终元件紧急切断阀失效导致，因此设计PST以期提高紧急切断阀的安全性。例如，紧急切断阀主要du失效模式为FTC(阀门关失效)和LCP(关位置泄漏)，PST可以检测FTC失效，但不能检测LCP失效，但2种失效模式可被完全检验测试检测到。

假设阀门子系统由2oo3架构组成。相关安全性参数见表2，数据来源于OREDA数据手册[20]。

表2 2oo3架构紧急切断阀子系统可靠性参数Table 2 Reliability Parameters for Emergency Shutdown Valves

根据式(31)，计算得到不同PST周期下PFDavg数值见表3，如图4～8所示。

表3 PST周期与PFDavgTable 3 PFDavg for PST Test Cycles

图4 PST周期(30 d)Fig.4 PST Cycle(30 Days)

图5 PST周期(90 d)Fig.5 PST Cycle(90 Days)

图6 PST周期(180 d)Fig.6 PST Cycle(180 Days)

图7 PST周期(365 d)Fig.7 PST Cycle(365 Days)

图8 不同PST周期下不可用度的趋势对比Fig.8 Trend chart of Unavailability according to different Test Cycles

不同PST周期下不可用度的趋势对比如图8所示。由图8可知，1年2次PST，可显著降低PFDavg(50%)，但随PST频率增加，效果逐渐降低。

由表4可知，在整个完全检验测试时间间隔内，分配相同数量部分检验测试，当采取不同分布策略时，PFDavg值发生改变。

表4 PST分布与PFDavgTable 4 PFDavg for PST Distribution

综上，结合式(31)可得较优部分检验测试时间分布方案。由表4可知，优化后的部分检验测试分布比周期性部分检验测试的PFDavg值降低约20%。

检验测试分布因子趋势如图9所示。由图9可知，检验测试分布因子ε具有一定收敛性，在ε>2时，ε对PFDavg的影响力显著降低。

图9 检验测试分布因子趋势图Fig.9 Trend chart of Test Distribution Factors

4 结论

1)基于检验测试策略的PFDavg通用计算模型，适用于低要求运行模式下的同构koon架构SIS，也可应用于同时包含部分和完全检验测试的场合。该模型考虑周期性和非周期性部分检验测试，涵盖目前主流应用的多种模型。

2)以紧急切断阀子系统为例进行实例验证发现，检验测试策略对PFDavg影响较大，部分检验测试的周期和分布均会改变PFDavg。在不增加次数的情况下，通过合理规划部分检验测试周期分布，降低PFDavg。模型可以优化检验测试策略，提高安全仪表系统安全性。