安全仪表系统中的设备故障
当某一级别的设备(系统、单元、模块或组件)无法执行其预期功能时,我们就会说发生了故障。对许多人来说,可能会在如何正确定义预期功能的问题上出现分歧。而我们今天要聊的安全仪表系统(SIS),其预期功能的定义通常是明确的,它应正确记录在安全要求规范(SRS)中。
SIS系统中的每个安全仪表功能(SIF)必须执行其保护功能,不得错误关闭过程,并且必须执行辅助功能,如通信和诊断。然而,这些功能不一定都包含在分析中,根据分析的目的,诊断功能或通信功能可以算作或不算作故障。例如某些部件仅用于诊断目的不再工作了即诊断功能故障,安全保护功能却继续完美工作,对安全保护的分析目的而言,诊断功能可以不算作故障。
那么,在计算需要时失效概率(PFD)时是否考虑了该诊断功能故障呢?一般是不会的!因为即使诊断不起作用,安全保护功能也会起作用。然而需要注意的是,如果诊断提供了足够高的安全完整性水平,则需要在SIL验算时对诊断故障进行建模,例如我们看到一些仪表设备的结构设计为1oo1D、2oo3D等。
目前存在两种根本不同的故障类型:物理故障(通常称为随机故障)和功能故障(通常也称为系统故障)。
随机故障相对较好理解,随机故障几乎是永久性的,并可归因于某些组件或模块。例如,某企业由可编程电子控制器模块组成的系统发生故障,导致控制器输出断电,不再向电磁阀提供电流,而控制器自诊断识别出某个损坏的输出晶体管部件。相关专业人员再进一步检测发现该输出晶体管确实不会传导电流,并因开路而失效。最终调查发现是因为发现控制器模块故障前该企业附件发生雷击,电浪涌引起的过电应力导致晶体管内部的一根薄接合线熔断了,所以这是由闪电这一随机事件引发的故障。
当系统能够运行但不能执行其预期功能时,会发生系统故障。系统性故障可能是永久性的,也可能是暂时性的。例如常见的软件崩溃,工程师在电脑上操作某个控制系统软件时,软件莫名其妙地闪退了。导致控制系统不能完成其预期功能,但没有任何系统组件发生故障即没有发生随机故障。按下重启按钮后,电脑重新正常启动。在后续的软件使用过程中,类似故障可能会再次出现,也有可能永远不会出现。再例如负责编程安全功能的工程师输入了错误的逻辑块,使得SIF无法执行其保护功能,这种情况也会被视为系统故障。因为硬件完全能够执行编程逻辑,并且没有发生随机故障,但SIF就是不起作用。
大多数系统故障源自于设计故障,通常是由于程序缺陷或培训不足,有时候维护错误或安装错误也会导致系统故障。当系统被要求执行一些不寻常的功能时,或者系统接收到一些从未测试过的组合数据输入时,通常会发生故障。为了减少系统故障的可能性,IEC61508等标准包含了一系列设计规则,要求SIS系统设计人员必须检查各种情况,以检测和消除系统故障。例如检查仪器是否在制造厂商规定的环境条件内正确使用,需要有计划的综合测试并得出书面的测试结果,必须创建并验证定期检查和测试计划。
结束语
以上就是本期文章的所有内容了,了解设备故障的概念及类型有助于加深对SIS系统的理解和应用,笔者才疏学浅,若有不妥之处,欢迎大家留言指正。下期SIS专题系列文章我们将讲解故障概率的有关内容。
END
往期精选
杭州豪鹏科技有限公司是一个由咨询顾问、风险控制专家、IT专家和企业运营专家组成的专业管理团队,秉承追求卓越的专业精神,我们致力于安全管理软件的开发和推广,如HAZOPkit软件、LOPA(SIL定级)软件、SIL验算软件等,以帮助客户实现卓越运营。
联系人:李强 liqiang@opex-tech.com
公司网站:www.opex-tech.com
下一篇:CCPS指南系列丛书简介(零)