姚竣瀚,郑 威,王海清,毛 奇
(1.中国石油大学(华东) 机电工程学院,山东 青岛 266580;2.杭州汉德质量认证服务有限公司 上海分公司,上海 201100)
在石化生产领域,安全仪表系统(Safety Instrumented System,SIS)是提供安全保护和抑制灾害功能的重要屏障。功能安全标准IEC 61511—2016[1]将SIS的操作模式分为“要求操作模式”和“连续操作模式”,分别通过计算平均要求时失效概率(PFDavg)和每小时危险失效平均频率(average frequency of a dangerous failure per hour,PFH)确定SIS执行的安全仪表功能(Safety Instrumented Functional,SIF)的安全完整性等级(Safety Integrity Level,SIL),当要求操作模式下SIF的要求率大于1次/a时,视为高要求操作模式,采用连续操作模式准则[1],即计算回路PFH,此类SIF回路约占总体的10%以上[2]。IEC 61508—2010[3]推荐使用多样性冗余设备、测试及维护策略(包括人员、方法以及时间安排)以降低共因失效和系统性失效的影响。在要求率较高的联锁控制场合,多样性异型冗余设备应用更普遍。
诸多学者的推导仅限于同型冗余KooN结构联锁设备的PFH计算公式,考虑不同的SIS操作因素。例如,Jin等[4]考虑周期检测覆盖率的影响;Innal等[5]考虑失效通道平均停机时间的影响;Chebila等[6]研究部分行程测试对SIF回路PFH的影响;Zhao等[7]建立随机Petri网计算PFH。现有对含异型冗余设备的SIF回路的SIL评估方法均以PFDavg为指标,未考虑高要求操作模式,且多数采用定性方法[8-10]确定异型冗余共因失效因子。
鉴于此,本文考虑异型通道间失效率、诊断覆盖率等可靠性因素数据的差异,提出定量确定异型通道多样性修正因子的改进方法,建立异型冗余KooN结构SIS子系统的PFH量化模型,以期为高要求操作模式下含异型冗余设备的SIS子系统的SIL验证提供合理的理论依据。
在SIS的设计阶段,为达到相关安全联锁功能预期的安全完整性等级,SIF需要满足一定的硬件故障裕度要求,SIS的子系统会采用不同的冗余表决结构,如1oo1,1oo2,2oo3,2oo4等,这些冗余结构均可用KooN(N中取K)表示。在SIS子系统中,存在N个独立且可靠性数据不同的通道,只要有K个通道功能正常,就可正确执行安全功能,该子系统即为异型冗余KooN结构。“N-K”的差值表示SIF对危险失效的容错能力,当在高要求运行模式下的KooN结构SIS子系统中有“N-K”个通道发生危险失效,则该系统进入临界失效状态,当有“N-K+1”或更多个通道发生危险失效,则该系统进入危险失效状态,丧失执行预定安全功能的能力。
通道发生未检测到的危险失效(DU失效)[11]后,系统降级运行,在间隔为T的周期性功能测试前,DU失效并不会被发现并维修。假设在[0,T]时间段内的t时刻,第i(i=1,2,…,n-k+1)个通道发生DU失效,即本次失效前正常工作的通道数为Ni=n-i+1。记t时刻系统降级到状态Si,第i个发生危险失效的通道为Ci,则状态Si的概率分布函数[12]如式(1)所示:
(1)
状态Si的概率密度函数如式(2)所示:
(2)
由检测周期起始时刻至状态Si所需平均时间Ei如式(3)所示:
(3)
到该功能检测周期结束前,第i个发生DU失效的通道平均不工作时间Di如式(4)所示:
(4)
同时考虑到在线诊断和维修时间的影响,则通道Ci的平均停机时间如式(5)所示:
(5)
确定高要求运行模式下操作的每个仪表安全功能的SIL等级应以一定时间周期内SIF的PFH作为目标失效量。KooN结构在t时刻的瞬时失效频率和功能测试周期内的危险失效频率[2]如式(6)所示:
(6)
式中:wi(t)表示t时刻通道i的失效频率,为通道i的失效率与通道i处于正常工作状态的概率p(t)的乘积。wi(t)表达式如式(7)所示:
(7)
IBi(t)为Birnbaum影响因子,表示KooN结构中,除通道i之外的(N-1)条通道中有(N-K)条通道发生危险失效的概率,其在功能测试周期内的均值如式(8)所示:
(8)
因此在功能测试周期为T且不考虑共因失效的情况下,异型冗余KooN结构PFH计算公式如式(9)所示:
(9)
异型冗余KooN结构的PFH由独立失效和共因失效(Common Cause Failure,CCF)组成,一般根据IEC 61508—2010提供的β因子模型量化共因失效对冗余结构失效的贡献,β因子表示共因失效率占通道总失效率的比值。本文假设公共原因能够导致异型冗余KooN结构所有通道失效,故根据式(9),令N=K=1,可以得到仅考虑共因失效时平均危险失效频率表达式如式(10)所示:
(10)
式中:β为同型通道发生不可检测到的共因危险失效因子;βD为同型通道发生可检测到的共因危险失效失效因子,一般为β的0.5倍。
异型冗余KooN结构中N个通道不尽相同,联锁设备可能来自不同的制造商,采用不同的设计方案、电气原理,使用不同的诊断测试技术和维护管理方法等多样性冗余方法,异型通道间的相异程度越大,异型冗余共因失效因子β*较同型共因失效因子β越小。在异型冗余结构各通道共因失效因子β已知的情况下,β*确定方法如式(11)所示:
β*=d×min(β1,β2,β3,…,βN)
(11)
式中:d为异型冗余共因失效多样性修正因子,异型通道间相异程度越大,d值越小;β1~βN分别为异型冗余KooN结构中N个通道单独作为同型1oo2冗余结构的通道时的共因失效因子。
通过比较异型通道间可靠性指标的差异性进而量化d值,不同可靠性指标对设备的失效频率影响不同,因此在计算d值前,需要评估不同可靠性指标对PFH的影响权重因子[13]。设权重因子矩阵b=[b0b1b2b3b4b5],其中,b0=1,b1为通道总失效率λT(包括安全失效和危险失效)的影响权重因子,b2为通道安全失效占比RS的影响权重因子,b3为通道危险失效诊断覆盖率DC的影响权重因子,b4为安全失效诊断覆盖率DCS的影响权重因子,b5为通道平均修复时间MTTR的影响权重因子。构建多元线性回归模型,以权重因子矩阵b为未知参数,以风险评估和可靠性分析中最常用的对数正态分布形式随机生成a组通道可靠性数据作为可控制变量,如式(12)所示:
(12)
(13)
表1 功能安全标准推荐的参数取值范围Table 1 Parameter value range recommended by functional safety standards
可求得λT~logN(-13.010 8,1.585 4),RS~logN(-0.837 0,0.280 3),DCS~logN(-2.307 6,1.172 2),MTTR~logN(2.282 2,0.457 1),根据上述对数正态分布参数,将随机生成的a组可靠性数据分别代入计算同型KooN结构PFH的Monte Carlo仿真过程得到a组PFH观测值,如式(14)所示:
(14)
因此,线性回归模型如式(15)所示:
PFH=X·b+ε
(15)
(16)
异型通道间相似系数(Coefficient of Similarity between diverse channels,CSim)如式(17)所示:
(17)
最后,异型冗余KooN结构校正因子d为通道间相似系数的最小值,进而根据式(11)得到共因失效因子β*和βD*,如式(18)所示:
d=min[CSim(CHi,CHj)]
(18)
可检测到和不可检测到的共因危险失效率分别为N个通道对应危险失效率的几何平均值如式(19)所示:
(19)
(20)
不考虑异型冗余的KooN结构PFH公式[5](简称同型公式)如式(21)所示:
(21)
Markov模型覆盖的可靠性因素全面,较常规可靠性模型,计算精度更高,因此被广泛应用于SIS的可靠性分析中[16]。建立异型1oo2结构Markov模型验证异型公式量化独立失效PFH时的准确性,Markov模型如图1所示。
图1 异型1oo2结构独立失效Markov模型Fig.1 Markov model on independent failure of diverse 1oo2 architecture
(22)
针对异型1oo2结构SIS子系统,仅考虑独立失效,计算不同功能测试周期[12]内本文式(9)和Markov模型方法式(22)的PFH结果并进行误差分析。某输油站罐区原油储罐液位高高联锁回路传感器子系统为异型1oo2结构,通道A为外测液位开关,通道B为雷达液位计,可靠性数据来自TUV认证证书,见表2。
表2 异型通道可靠性参数Table 2 Reliability parameters of diverse channels
2种模型PFH计算结果和相对误差见表3。由表3可知,当检测周期在由1 a增大到5 a的过程中,本文式(9)和Markov模型方法式(22)的PFH结果间差距很小,相对误差均在[0.2%,0.3%]区间内,可忽略不计。不难发现,对比本文公式和Markov模型计算结果的方法同样适用于2oo2,2oo3,1oo3等冗余结构,产生与1oo2结构近似的比较结果,因Markov模型复杂,图形占篇幅过大,不再一一验证。因此,在不考虑共因失效时,本文推导异型冗余PFH计算模型在省略繁琐建模过程的同时,能够取得与Markov模型相近的计算精度。
表3 PFH和相对误差Table 3 PFH and relative errors
海洋采油(气)平台生产过程的水下井口,是超压的重要危险来源。井口区域的过压防护系统称为高完整性压力保护系统(High Integrity Pressure Protection System,HIPPS),其功能为限制井口侧高压流体进入下游的低压生产系统[17]。井口的HIPPS应用如图2所示。
图2 井口的HIPPS应用Fig.2 HIPPS application of wellhead
由图2可知,该HIPPS系统传感器子系统采用异型2oo3表决,3台压力变送器中:PT1,PT2为同型号,PT3与另2台压力变送器型号不同;逻辑控制器子系统为单通道系统;执行机构子系统由2台不同检测原理及型号的关断阀(SDV1,SDV2)组成以降低共因失效的影响,2个阀门的保护功能逻辑为1oo2结构。SDV2阀门下游管段设计压力为13.2 MPa,最大操作压力为11.9 MPa,阀门联锁设定值为12.9 MPa,当3台压力变送器发生2台及以上的超压报警时,联锁逻辑表决并触发关断信号,关断SDV1,SDV2阀门,从而起到保护下游工艺系统并减少对受控设备、自然环境和人员的危害的作用。超高保护的要求率约为1.5次/a,故该HIPPS为高要求操作模式。 HIPPS传感器和执行机构子系统的异型设备可靠性数据见表4。
表4 HIPPS传感器和执行机构的可靠性数据Table 4 Reliability data of HIPPS sensors and executive mechanism
首先计算传感器和执行机构子系统的异型冗余共因失效因子,分别构建1oo2结构、2oo3结构的每小时失效频率多元线性回归模型,为使参数估计值更加准确,a取值为1 000,解得传感器2oo3结构和执行器1oo2结构各可靠性指标影响权重因子矩阵,如式(23)所示:
(23)
结合表4中HIPPS子系统可靠性数据,根据式(17)计算异型通道相似系数,结果为CSim(PT1,PT3)=0.909,CSim(SDV1,SDV2)=0.642。根据式(18),传感器和执行机构子系统的多样性修正因子分别如式(24)所示:
(24)
故根据式(11),传感器和执行机构子系统的异型冗余共因失效因子分别如式(25)所示:
(25)
根据异型公式计算不同检测周期下HIPPS传感器子系统的PFH,同时,假设HIPPS的3个压力变送器均为PT1或均为PT3,代入同型公式计算不同检测周期下的PFH,绘制PFH随检测周期变化的曲线如图3所示,同理绘制执行机构根据2种PFH计算公式得到的PFH变化曲线如图4所示。
图3 压力变送器2oo3结构PFH对比Fig.3 PFH comparison of pressure transmitter 2oo3 architecture
图4 关断阀1oo2结构PFH对比Fig.4 PFH comparison of shutdown valve 1oo2 architecture
由图3和图4可知,对于2oo3结构和1oo2结构,随着检测周期的增大,异型公式的PFH增长曲线均位于2种不同情形的同型公式PFH变化曲线之间,表明总是存在高估或低估的误差。具体以1oo2结构执行机构为例,异型公式计算的PFH结果与同型公式PFH计算结果的差值随检测周期的增大而增大。当检测周期为3 a时,使用关断阀SDV1,SDV2的失效数据代入同型PFH公式,结果分别为1.047×10-7h-1,1.855×10-8h-1。若在SIL评估工作中参考前者PFH计算结果,则对应表1中的SIL2等级,表示该关断阀系统已经无法参与执行SIL3等级安全联锁功能,但实际上,经异型公式计算,检测周期为3 a时,该异型1oo2冗余关断阀系统的PFH为3.125×10-8h-1,对应SIL3等级。故改进公式能够正确量化HIPPS的失效频率,避免评估SIL等级时出现误差而导致的对SIS设备的过高经济投入或对SIF风险降低能力的乐观判断。
任一检测周期下,不难发现异型公式PFH计算结果与2个同型公式计算结果中较小的PFH值更接近。原因是异型公式在处理共因失效对PFH的贡献时,合理量化了多样性修正因子d,进一步削弱了共因失效对系统失效频率的影响。因此,对于高要求操作模式下的异型冗余结构SIS子系统,本文提出的异型公式能够正确量化其PFH,避免因使用同型公式造成PFH计算结果偏大或偏小而引起的SIL等级评估不准确的情况。
1)提出异型KooN冗余结构每小时危险失效平均频率(PFH)的计算公式,可满足石油化工生产中对高要求操作模式下采用异型设备的安全联锁回路进行SIL定级的需求,避免因误用同型PFH公式导致SIL等级评估误差。
2)考虑现存定性确定异型冗余通道共因失效因子的弊端,开发定量确定通道间多样性修正因子的流程方案,相比定性方法更具理论严谨性,有助于生产单位准确评估联锁保护风险和设备维护投入。