基于可靠性框图的SIL验证研究
谢腾腾 闵祥红
摘 要:为了对安全仪表系统安全仪表功能的安全完整性等级进行验证,介绍了基于可靠性框图模型的硬件失效评估技术在安全仪表系统安全完整性等级验证。通过对可靠性框图模型的研究,将不同硬件结构的公式用Excel编制出对应的方程计算出各個子系统的PFDavg,各子系统PFDavg相加得出安全仪表功能的PFDavg。最后,结合具体安全仪表功能实例,介绍了典型安全仪表功能安全完整等级验证的要素。
关键词:安全仪表系统;安全完整性等级;可靠性框图;安全仪表功能
DOI:10.16640/j.cnki.37-1222/t.2019.08.154
0 绪论
原安监总管三〔2014〕116号第(十二)条和第(十三)条要求,设计符合要求的安全仪表系统。根据上述两条要求,对涉及“两重点一重大”的化工装置和危险化学品储存设施的工程项目,SIS设计不可避免。因安全仪表系统保护的是“两重点一重大”的化工装置和危险化学品储存设施,如果设计文件不符相关法令和规范,一旦出现事故则后果可能会很严重并且责任极大,甚至会被追究责任[1]。
安全完整性等级(SIL, Safety Integrity Levels)是衡量安全仪表系统各个安全仪表功能(SIF, Safety Instrumented Function)的能力。因此,安全仪表系统的硬件完整性是安全仪表系统各安全仪表功能的设计和验证的重要一步。
1 SIL验证要求
SIL验证根据IEC 61508和IEC 61511的要求来执行,主要包括:确保设计的各子系统PFDavg满足要求、对SIF的硬件结构要求,HFT要求、对SIF系统能力要求、系统误停车率要求等,本文只考虑低要求操作模式[1,2]。
PFDavg数据来源通常来源为最终用户的现场经验数据、证书认证数据、第三方评估(由认证机构颁发认证证书)、工业数据库或文献(手册)数据和设备供货商自我评价的数据,一般选取保守的可靠性数据,安全仪表功能进行了PFDavg的计算,验证是否满足SIL等级的要求,同时确定测试周期。本文用可靠性框图方法,进行SIF的PFDavg验证。[3]
2 PFDavg验证
图1中的可靠性框图表示了一个完整的安全仪表功能,安全仪表功能由三个传感器(A,B,C)三选二,两个逻辑控制器(D,E)二选一,两个最终执行元件(F,G)二选一组成。一个安全仪表功能由传感器子系统、逻辑控制器子系统和执行单元子系统三部分处于串联关系。
SIS的SIF在要求时的平均失效概率(PFDavg)是通过最小分割后,将各子系统进行逻辑组合,然后将所有子系统平均要求失效概率叠加确定。因为一般情况下失效概率远小于0.1,则有以下表示:
PFDavg=ΣPFDavgSi+ΣPFDavgAi+ΣPFDavgLi+ΣPFDavgPSi ? ? ? ? ? ? ? ? ?(1)
式1中各表达式的含义如下:
PFDavg:指定SIF的PFDavg;PFDavgS:该SIF中传感器的PFDavg;PFDavgA:该SIF中最终执行元件的PFDavg;PFDavgL:该SIF中逻辑控制器的PFDavg;PFDavgPS:该SIF中电源、气源的PFDavg;i——该SIF中每个组件的数量。
2.1 基础假设
在进行可靠性框图硬件失效计算时,需要满足以下基础假设:
a)在低要求操作模式时系统出现随机失效的平均概率应低于10-1。
b)在系统设计生命周期内各个子系统失效率为常量。
c)传感器子系统包括传感器、其它元器件(如变送器等)、接线,但不包括检测信号处理和组合的元器件(例如,双传感器通道的表决等)。
d)逻辑子系统包括:组合输入信号的元件和将最终信号传输出到执行单元子系统的所有其它部件。
e)执行单元子系统包括:收到来自逻辑子系统的输出信号后的所有部件和连接线和最终执行元器件。
f)执行硬件失效概率计算时,相关可靠性数据是子系统的单通道失效率(例如,使用2oo3传感器,失效率则是指单个传感器的失效率,需要单独计算2oo3的影响)。
g)一个表决组中所有通道具有相同的失效率和诊断覆盖率。
h)子系统中一个通道的硬件总失效率是该通道的危险失效率和安全失效率的总和,并且假设危险失效概率与安全失效概率相等。
i)各安全功能都可以被检验测试和修复(即:各组件未检测到的失效可由检验测试检测到)。不考虑不理想的检验测试的影响。
j)检验测试的间隔要远大于平均修理时间(MRT),至少大一个数量级。
k)对于每个子系统都有自身的检验测试间隔以及平均修理时间(MRT)。
l)预计的要求间隔至少比检验测试时间间隔大一个数量级。
m)对于1oo2、1oo2D、1oo3、2oo3表决组合,诊断覆盖率规定的失效要求在平均恢复时间内被全部检测和修复,平均恢复时间影响硬件安全完整性。
n)对于1oo1、2oo2、1oo3表决组合,安全仪表系统在检测到危险故障后,将进入安全状态。为此,诊断测试间隔加上达到安全状态所需时间的总和少于过程安全时间。
o)当电源失效不能对断电跳闸型安全仪表系统提供电力时,系统自动转到安全状态,此时电源不会安全仪表系统要求的平均失效概率产生影响;如果系统需要通电跳闸(得电安全型),或者电源的失效模式能引起安全仪表系统处于不安全工作状态,应对电源做评估。
2.2 典型结构
3 工程设计及验证
3.1 工程设计
SIS系统逻辑设计原则为故障安全型,若不能遵守这一原则,系统的安全失效概率将大于零,SIL验算是需要考虑非故障安全设计的影响。为了方便操作和维护,SIS系统的每个输入高限条件增加旁路逻辑,在操作站旁路时间可调、剩余时间可见和达到设定时间时将报警。默认每个高高触发的原因都需要启动旁路。SIS系统所有的阀门在操作站设置软手动复位按钮。
根据设计原则,结合工艺流程图和工艺逻辑描述,绘制逻辑图,如图2所示。依低液位触发关断开关阀为例,液氨储罐T12101A液位(LZHH-1210101A1、LZHH-1210102A1、LZHH-1210105A1)高高三取二,关闭开关阀XZV-1210101A1、XZV-1210101A2,设置复位按钮和急停按钮。项目通过SIL定级确定该SIF的安全完整性等级为SIL2,设备请购时规定设备选用采用通过SIL验证的设备[4]。
3.2 验证
根据第2章的公式,结合图1,对下列数据进行验证,得表1 SIL验证表,得出总PFDavg=1.2E-03,满足要求SIL2要求。
3.3 其它要求
3.3.1 硬件故障裕度
硬件故障裕度(HFT)是衡量子系统冗余程度的指标。换言之,HFT是衡量系统能够承受多少子系统内关键元件故障而仍然能够执行所需要的安全功能。例如,1oo1系統的HFT是0,即只要一个元件故障,系统就失效了;而1oo2系统的HFT就是1,即系统可以承受一个元件失效。根据IEC61511-2016,低要求模式下安全仪表系统每一个安全仪表功能应满足最小硬件故障裕度的要求,最小硬件故障裕度见表1。采用FVL和LVL的可编程设备,应有的诊断覆盖率不能低于60%。用非FVL和LVL的设备,可以根据具体情况降低系统故障裕度。
3.3.2 系统能力
(1)硬件的系统能力;(2)软件的系统能力。
3.3.3 安全仪表系统误动率
安全仪表系统误动率STR(Spurious Trip Rate,STR)的反应出安全仪表功能故障带来的直接经济损失。误动率高可能对企业带来的经济损失就越大,每个企业都需要根据自身情况可接受的风险矩阵,这取决于很多因素。如:公司的保险政策、财务状况、开停车的成本等。误动率由企业提出,当企业没要求时此部分可以不计算。
4 结论
SIL验证是安全仪表系统安全生命管理的重要组成部分,本文介绍了SIL验证方法,对于PFDavg的验证采用了基于可靠性框图的方法。本文结合具体安全仪表功能,通过安全仪表的工程设计,分别对安全仪表的安全完整等级的PFDavg、硬件故障裕度、系统能力要求、误动率等进行验证,为今后的SIL验证工作提供参考。
参考文献:
[1]IEC 61511-1-3 Functional Safety Safety Instrumented Systems for the Process Industry Sector [S].2016.
[2]IEC 61508-1-6 Functional Safety of Electrical/Electronic/Programmable Electronic Safetyrelated systems [S].2010.
[3]Reliability block diagrams: IEC 61078-2016[S].2016.
[4]CN-GB/T50770-2013.石油化工安全仪表系统设计规范[S].2013.