IEC61508和IEC61511标准的功能安全性分析方法及工程应用

IEC61508和IEC61511标准的功能安全性分析方法及
工程应用
1、背景介绍
IEC 61508和IEC 61511提出了一种基于风险的方法来识别和规定安全仪表功能（SIF）的性能要求。

也是当前石油工业系统等行业采用较多的功能安全性分析标准。

为了达到我们所需的风险降低要求，通常情况下企业会实施安全仪表系统（SIS）和其他类型系统的安全分析、评估工作。

一般情况下，我们需要在安全要求规范（SRS）中描述SIFs的安全要求。

例如功能关闭、紧急关闭、防火或气体功能等的SIFs安全要求。

这些功能的SIFs安全要求可以通过典型的因果关系图、可靠性数据验证与评估等手段得到的按需失效概率（PFD）来确定。

根据PFD，即可确定系统的安全完整性等级（SIL）。

本文以石油工业系统的PSD关断功能为例，介绍按需失效概率（PFD）的确定过程。

石油工业系统的PSD（工艺关断）关断功能由PSD逻辑单元、容器以及XV1、XV2、XV3、XV4等阀门组成。

原料的进料受XV1阀门控制，并流入容器内。

原料经过容器处理后产生的气体由XV3阀门控制并输出，处理后产生的液体由XV4阀门控制并输出。

如下图1所示。

图1 PSD关断功能图
根据PSD关断功能安全要求，如果其SIL等级要求为1级，PFD要求值是小于0.02。

为分析该系统的PSD关断功能是否满足安全要求，需要建立该PSD关断功能的安全性模型。

根据上面PSD关断功能图可知，PSD关断功能的重要作用是正常或者应急情况下关断设备，保证系统的安全。

PSD设备关断的功能流程如下：PSD系统接收和处理信号（例如来自ESD或者PSD指示信号）后，激活XV1、XV2、XV3和XV4阀的关闭，以隔离容器。

例如PSD关断功能中的重要一个功能场景是：火炬分液罐中的LAHH（高液位警报）关断。

火炬分液罐中的LAHH关断要求可关闭容器的进料，因此通常需要关闭相关装置或入口分离器的入口管线。

由于通常很难检测出具体过量进料供给的来源，火炬分液罐中的LAHH通常会通过PSD系统和可能的ESD系统启动全局关闭功能，以提高功能的可靠性，如图2所示。

由图2可知，火炬分液罐中的LAHH关断可通过PSD 系统、ESD系统或两者综合执行，且该功能是从检测高电平开始，以PSD/ESD
逻辑的信号确认结束。

根据以上分析，我们可以得知PSD关断功能的LAHH的安全状态要求：（1）该功能的安全状态是PSD或ESD逻辑单元的关断确认信号
（2）此功能断电至安全状态，即断电或信号丢失时，向分液罐的进料将自动隔离，过程将进入安全状态。

图2 PSD关断功能的LAHH功能示意图
为分析PSD关断功能的LAHH等是否能够满足SIL 1的要求，本文在构建相应安全性模型基础上，借助可靠性框图、概率风险评价等手段，量化分析、评估该功能是否能够达到SIL 1的安全要求。

2 安全性建模与评估
2.1 安全性建模
PSD关断功能的LAHH的安全性模型与LT（液位变送器）单元、输入单元、CPU单元、输出单元有关。

使用PosVim软件工具，根据该功能的故障逻辑关系建立安全性模型。

建立安全性模型过程中，需要使用到相关的基础数据。

其中，可靠性基础数据来源于PDS、OREDA手册，诊断覆盖率通过PosVim工具的FMEDA模块计算得，模型结构以及各节点的参数如表1、图3所示。

表1中，T1为检测周期，λD是危险故障率，DC是诊断覆盖率，MRT是平均修复时间，MTTR是平均恢复时间。

表1 LAHH功能可靠性模型节点及参数
PSD逻辑
ESD逻辑
图3 LAHH功能的可靠性框图
图4 建立的LAHH功能可靠性框图
2.2 共模组的模型建立
由于LT、输入单元、CPU单元、输出单元等都存在冗余（1oo2）结构的情况，因此，需要建立这些单元的共模节点模型。

其中，CPU冗余单元、输入、输出单元的β因子设置为5%，LT的β因子为10%。

图5 LAHH功能的共模节点建模
2.3 结果分析与评估
根据计算结果可知，系统可靠度概率为0.99924，PFD=7.6E-4。

由此可知，该功能满足SIL1 的安全性要求。

为更深入了解系统内部各部件之间的可靠性关系、功能安全影响关系，以及人的操作等外部事件对于整个系统的安全影响，本文使用PosVim工具的模型驱动的安全性分析功能，创建了PSD关断系统的模型，分析应急关断（及前述分析的PSD关断功能）、气体输出、液体输出等功能的安全性。

通过输出的概率风险评价结果、事故场景分析结果、事件树分析结果，可以全面了解PSD关断系统的各环节、各事件对于系统的安全性影响。

图6 PSD关断功能模型
图7 PSD关断功能的概率风险评价（PRA）
图8 PSD关断功能的事故场景模型及分析
图9 PSD关断功能的事件树模型及分析
图10 PSD关断功能的故障仿真与验证。