基于检验测试覆盖率的冗余结构系统PFD计算探讨

王璐，刘晓亮，熊文泽

（机械工业仪器仪表综合技术经济研究所，北京 100055）

0 引言

IEC 61511-2016[1]中提出过程工业中的功能安全概念，指出安全完整性等级（SIL）值越高，抵御风险的能力越强。要求时危险失效平均概率（the average probability of dangerous failure on demand,PFDavg）是SIL量化指标之一，与硬件失效率、冗余结构、诊断措施以及维护策略有关。

目前，相关标准和文献中对PFD的计算模型进行了大量的研究，如IEC 61508-2010[2]给出了适用于常用冗余结构的PFDavg计算简化计算公式；ISATR84.00.02-2015[3]中提供了适用于SIL1和SIL2应用场合的PFDavg简化公式，JAHANIAN等[4]基于IEC61508-2010[2]公式中的参数，建立了同构moon结构的PFD的计算模型；张哲等[5]结合检验测试分布因子和共因失效修正因子，建立了同构moon结构PFD计算模型；李军丽等[6]通过动态故障树的方式对PFD的计算进行了研究；郭利进等[7]基于多相Markov链模型，并结合共因失效、检测测试覆盖率对PFD的影响，提出了PFD计算的方法。以上研究，大多数是以检验测试覆盖率（Proof Test Coverage,PTC）等于100%为假设前提的，少数涉及PTC的相关方法，有的只适用于特定冗余结构，有的需要使用复杂的算法模型。在实际情况中，PTC总是小于100%的，并且会使用到多种冗余结构的组合，本文基于IEC61508-2010[2]中的PFD计算公式，综合考虑了冗余结构、检验测试覆盖率和维修维护模式因素，完善了PFDavg计算公式，适用于常见的异构冗余结构。

1 基于不完善检验测试的冗余结构安全仪表系统PFD计算模型

1.1 独立通道PFD计算

在工业实际应用中，为满足SIL等级的要求，需要制定相应的维修维护策略。目前工厂广泛采用的方式是维修维护相结合的管理模式，对设备进行定期维护、维修和替换更新，其中定期维护和维修的PTC达不到100%。

如图1所示，显示了企业中常采用的定周期维护维修的策略。定期维护的时间间隔为Tα，对应的PTC为PTCα；定期维修的时间间隔为Tβ，对应的PTC为PTCβ；更新替换的时间间隔为T2，对应的PTC为100%。

图1 安全仪表系统检验测试策略示意图

经过公式变换整理得到：

以1oo2和2oo3冗余结构为例，推导冗余结构系统的PFDavg。

1oo2冗余系统中，2个通道都发生危险失效，系统才会发生危险失效，所以公式为：

2oo3冗余系统中，任意2个通道发生危险失效，系统就会发生危险失效，所以公式为：

1.2 冗余结构PFD计算

在1oo2冗余系统中，需要全部2个通道都发生危险失效，系统才会发生危险失效，因此，计算共因失效导致的PFDavg为：

在2oo3冗余系统中，需要任意2个通道发生危险失效，系统才会发生危险失效，因此，计算共因失效导致的PFDavg为：

moon冗余结构系统完整的PFDavg是由n-m+1通道独立失效和共因失效引起的PFDavg共同组成的。

因为在基于独立失效的计算时，最极限情况就是多个通道同时失效。因此需要对公式（3）和公式（4）进行修正，需要将此极限情况对应的概率从公式中删除。

1oo2冗余结构系统在不考虑共因失效时的PFDavg公式为：

2oo3冗余结构系统在不考虑共因失效时的PFDavg公式为：

综合独立失效和共因失效，得出1oo2冗余结构系统的PFDavg计算公式为：

2oo3冗余结构系统的PFDavg计算公式为：

以上推理方法同样适用于其他冗余结构，如表1所示。

表1 常见冗余结构PFD公式

2 实例分析

某天然气储气站中，通过气液分离装置去除天然气中的杂质，在此过程中采用节流降压的方法进行限压。气液分离装置的连接示意图如图2。

图2 气液分离装置简图

该装置中压力连锁保护的功能通过PT1、PT2、PT3这3个压力变送器实现。维护维修周期采用了同样模式，每季度维护1次，每年维修1次，每10年更换1次。

将本文推导的公式与IEC61508-2010[1]中常见冗余结构对应的计算公式进行比较，相关基础数据见表2。

在验证过程中，将表2数据带入公式（12），分别设PTC等于100%和70%，利用本文推导的公式计算系统的PFDavg。绘制出变送器单元对应的PFDavg曲线图，如图3所示。

表2 基础数据

图3 2oo3结构危险失效平均概率计算比较

从图中可以看出，利用本文推导的公式计算出的PFDavg值更加符合现实情况。这是由于定期维护维修时，检测覆盖率无法达到100%，PFDavg会随着使用年限的增加而增加，只有设备替换更新时，PFDavg会恢复到初始水平。如果将每次维修都等同于替换更新操作，与现实应用的差别是比较大的。另外，在当通道之间的失效率相差较大时，假设各通道失效数据一致，进行计算获得的PFDavg值与真实值的差距也是较大的。

本文推导的公式在满足SIL等级要求的情况下，可以很方便计算出最长的替换更新时间，有效节约运行成本。

3 结语

本文提供的PFDavg计算公式综合考虑了维护维修策略、PTC和冗余结构，计算结果更加贴近系统PFDavg的真实情况，能够计算最长替换更新时间，并且无需建立大型复杂的计算模型，不依赖可靠性分析软件，可以在任何电子表格程序中实施，很方便整合到现有的数据库或者工作流程中。