刘亮
艾思达(青岛)工业安全技术有限公司 山东青岛266000
摘要:我们知道人为因素可能以多种方式影响一个安全仪表功能的安全性能。例如,人员不完美的修理、不适当的校准、错误的安装、仪表支持环境的改变、智能仪表故障信息错误判断等都可能导致功能安全性能的下降。因此我们有必要采取行动以减轻这些影响提高安全仪表功能的可靠性和安全性,最好的途径就是对这些影响采取一些量化的措施,以使行动更具有效性。本文介绍通过现场安全指标(SSI)的概念进行评价衡量调整安全指标。最后给出应用实例,说明了人为因素对安全性能的影响。
关键词: 现场安全指数;产品故障率;故障模式、要求时的平均失效概率
一、概述
一个安全仪表功能(SIF)由传感器、逻辑控制器、最终元件三部分组成,每个组成元件都有一个固有的产品故障率,这是基于它的设计制造,以及最终用户将采取所有必要的行动(安装、维护)(即,满足所有IEC 61508[1]和/或IEC 61511[2]要求),以确保达到固有的产品故障率。在整体安全生命周期中,包括整体安装调试、整体安全确认、整体运行维护和修理等多个阶段最终用户活动和实践经常达不到这一理想化且完美的行动能力,因此,SIF实现的安全性能经常低于理想设计的能力。我们按照此SIF仪表维护人员操作和维护实践的能力,将现场安全指数(SSI)定义为0到4的等级范围,用现场安全指数作为最终用户行动实现和保持理想的SIF安全性能的程度的衡量标准。本文解释了最终用户行为如何影响用于计算SIF安全性能(PFDavg)的各种参数,并详细阐述了不同的SSI级别如何影响各种安全指标。
二、衡量终端用户活动和实践对SIFs安全性能的影响
1、现场安全指数SSI的重要性
Exida公司在1500亿设备运行小时数的现场数据研究的基础上进行的其他几项现场失效研究显示,相同产品的的失效率因现场不同而有所不同。研究表明,根据同一工业应用中相同模块的现场故障数据(FFD)估算的产品故障率,同一产品的故障率在不同现场之间存在明显差异。根据产品类型的不同,FFD估计大约要高出相同产品的固有预测故障率的1.2到3倍。现场审计将这些差异归因于不同现场、不同最终用户活动和实践的不同。
2、影响PFDavg和其他指标的关键变量
最终用户活动和实践中的差异将直接影响到SIFs安全性能的模型(PFDavg)中的许多变量,而衡量SIFs安全性能的一个关键指标是需求时的平均失效概率(PFDavg),我们先来看一下影响PFDavg的9个关键变量。
1.每个设备的故障率,包括故障模式和自动诊断的任何诊断覆盖率(所选设备和最终用户实践的属性);
2.任务时间(MT,主要工艺装置元件设计工作时间)
3.检验测试之间的时间间隔(Ti,由最终用户实践指定)
4.检验测试覆盖率(Cpt,检验测试有效性,检验测试方法的属性)
5.平均修复时间(MTTR,最终用户实践的属性)
6.检验测试期间持续时间(PTD,在线测试期间SIF被旁路,最终用户实践的属性)
7.初始失效概率(PIF) (最终用户实践的一个属性);
8.现场安全指数(SSI,运行/维护能力,操作和维护实践的衡量标准)
9.设备冗余,包括共因失效参数估计(β因子,SIF设计的属性)
显然,设备冗余不是最终用户实践或活动的属性。在计算安全性能时,不会修改SSI本身;相反,它用于修改影响PFDavg和其他指标的许多其他变量。具体来说,当SSI小于4时,需要修改以下5个关键变量:
每个设备的故障率、检验测试覆盖率、检验测试的间隔、平均恢复时间、初始失效概率
以上5个关键变量会随着最终用户执行力和维护能力的变化而变化的。TI可以随着工作负荷的变化而改变,并且验证测试的时间被分配到一个较低的优先级。Cpt显然受到验证测试计划和文档过程以及执行的影响。MTTR将随着经验和培训水平的降低而增加。如果跳过调试测试或未正确执行,PIF可能会增加。这些变量都会受到人为因素的影响。
3、如何修改关键变量以量化对PFDavg和其他指标的影响
通过收集大量的现场返回的数据分析在SIF中每个单独设备的故障率由一个特定的乘数增加,这是由SSI值和设备本身决定的。我们知道,与传感器或逻辑解决器相比,不理想的人为因素更可能对最终元素产生负面影响。通过在单个设备的基础上增加设备故障率,就有可能更准确地计算现场操作对安全性能的影响。
检测测试有效性,即,所有故障被发现并完全修复的可能性也随着SSI的减少而降低。检验测试间隔、平均恢复时间和PIF由SSI值确定的特定乘数增加。通常会发现,不太理想的最终用户实践包括延迟验证测试、减少验证测试覆盖率、需要额外的恢复时间,以及通过不完美的安装前或安装后测试引入初始故障。由于运动部件在较长时间(几个月)内缺乏运动而导致最终元件发生故障的情况,尤其容易发生超过1%的初始故障。
没有修改的两个变量是任务时间和检验测试持续时间。由于任务时间的影响一般较小,所以不修改任务时间,除非任务时间足够超过SIF的使用寿命,从而导致SIF看到由于老化而导致的故障,即故障不再以固定的故障率建模,在任务时间内无需更新。如果在离线状态下进行验证测试,检验测试持续时间不受影响。对于在线进行的验证测试,检验测试持续时间的影响一般很小,除非验证测试频率非常频繁,即,大于或等于每月一次,这对大多数工业过程是一个不切实际的情况。
4、量化SSI对各种度量标准的影响的例子
我们用简单的结构约束(1oo1)将SIF在五个不同的SSI水平下进行分析。图1显示了SSI变化对PFDavg和SIL的影响。对于相同的1oo1系统,图2显示了SSI变化对RRF和SIL的影响。最后,图3显示了SSI变化对MTTFS的影响。
.png)
现场安全指数共分为5个等级,列于下表:
.png)
结论:这篇论文清楚地表明,最终用户活动和实践对SIF的安全性能的影响可以通过一个简单的模型如SSI来量化。根据人为因素多方面影响的分析,最终用户可以关注他们自己在一个安全完整性等级的要求场景中的活动和操作,并这些活动和操作对SIF安全性能的影响针对性提高一个SIF的安全性能。
参考文献:
[1]IEC 61508,电气/电子/可编程电子安全相关系统的功能安全,日内瓦,瑞士,2010。
[2]IEC 61511,过程工业安全仪表系统应用,日内瓦,瑞士,2nd 版,2004年版。
[3]J. V. Bukowski和D. chastchain - knight,“通过现场安全指数评估安全文化。TM12th 2016年4月,全球流程安全大会,休斯顿,德克萨斯州。
[4]“PFDavg计算所需的关键变量”,白皮书,exida 2015, http://www.exida.com/resources/whitepapers/the-keyvariables-nee- forpfdavg-calculation
[5]J. V. Bukowski, R. E. Gross和W. M. Goble,“弹簧安全阀的初始失效概率”,美国机械工程师学会2011压力容器和管道部门会议论文集,巴尔的摩,MD, 2011年7月。
[6]L. Stewart, J. V. Bukowski和W. M. Goble,“通过冲程测试提高电磁阀的可靠性和安全性能”,论文集9th 全球工艺安全研讨会,圣安东尼奥,2013年4 - 5月。
[7]“在可编程电子系统中使用故障模式、影响和诊断分析(FMEDA)测量诊断覆盖率”,可靠性工程与系统安全,第66卷,第2期,1999年11月,第145- 148页。