安全完整性等級（SIL）驗算方法及流程

耿杰（中化環境科技工程有限公司，遼寧 沈陽110021）

0 引言

安全儀表功能評估是對安全儀表功能進行驗算，即安全完整性等級（SIL）驗算，也有人翻譯成“驗證”。該步驟是對SIL定級的確認，查證該回路所用的元件失效概率是否符合定級時的級別。國家安全監管總局關于加強化工安全儀表系統管理的指導意見（安監總管三〔2014〕116號）中要求對在役生產裝置或設施的化工企業和危險化學品儲存單位進行現有安全儀表功能評估。那么，什么是安全儀表系統的評估？評估有哪些方法？需要做哪些工作？接下來，文章將做簡要闡述。

1 安全完整性等級（SIL）驗算方法

1.1 SIF構成

安全儀表功能（SIF）是由SIS執行的、具有特定安全完整性等級（SIL）的安全功能，將被控工藝對象置于或保持在安全狀態。

安全儀表系統（SIS）是用于執行一個或多個SIF（安全儀表功能）的儀表系統。SIS 由傳感器、邏輯控制器，以及最終元件構成。SIS 可以包括軟件，可以包括人員動作作為SIF 的一部分。SIF要達到要求的SIL等級，安全儀表系統才能達到要求的安全功能。

1.2 驗算方法選擇

常用的SIL 驗算的方法有可靠性框圖、故障樹、馬爾可夫模型。

RBD可靠性框圖是一種圖形化分析方法，它用圖形的方式來表示系統內部組件的串聯關系，將表決方式的連接關系也轉換為串并聯的方式，具有簡單、清晰、直觀的特點。

故障樹分析是根據布爾邏輯用圖表示系統特定故障間的相互關系，它是對故障發生的根本原因進行推理分析，然后建立從結果到原因描述故障的有向邏輯圖。該方法具有分析方法直觀、應用范圍廣泛和邏輯性強等特點。

馬爾可夫模型將系統歸于不同的若干狀態。一個狀態會以某種狀態轉移到其他狀態。馬爾可夫模型包括了設備的多種失效模式，能覆蓋最多的影響可靠性的因素，不受設備之間的依賴關系影響。因而成為SIL驗算的主流方法。但馬爾可夫模型涉及到轉換圖和數學矩陣，計算費時費力。

2 安全完整性等級（SIL）驗算過程

SIF 的SIL 驗算計算是將SIF 分解為子系統，如傳感器、邏輯控制器、最終元件（切斷閥等），先計算各子系統的要求時平均失效概率PFDavg，再將結果加和求得系統平均失效概率，計算公式如下：

進行PFDavg計算時，一般要完成的步驟：

（1）收集各回路中組件的失效數據（λ）；

（2）建立SIF回路中各組件的可靠性框圖（RBD）；

（3）定量分析各SIF 回路要求時的平均失效概率（PFDavg）及平均誤動作停車時間間隔（MTTFs）；

（4）計算SIF回路中各組件的PFDavg 貢獻率；

（5）驗證當前SIF回路是否滿足目標SIL 等級要求；

SIL驗算計算一般使用專門的計算軟件。

3 假設及輸入條件

PFDavg 的計算需考慮需求模式、失效率（λ）、表決機制（MooN）、檢驗測試覆蓋率（CTI）、檢驗測試間隔（TI）、平均修復時間（MTTR）、共因失效因子（β）等因素的影響。

3.1 需求模式

需求模式分為低要求模式、高要求模式、連續模式。

低要求模式：在這種模式下，安全相關系統的操作頻率不大于每年一次或者不大于兩倍的檢驗測試頻率；

高要求模式：在這種模式下，安全相關系統的操作頻率大于每年一次或者大于兩倍的測試周期頻率；

連續模式：需求的發生為連續狀態。

一般情況下，生產過程對SIS的需求為低要求模式。

3.2 失效率（λ）

隨機硬件失效是不同部件由于退化原因而失效，這種失效在隨機時間發生。隨機硬件失效包括四種失效模式：安全可檢測（λSD）、安全不可檢測（λSU）、危險可檢測（λDD）、危險不可檢測（λDU）。其中危險不可檢測（λDU）的失效模式對SIF 的影響非常重要。

失效率（λ）數據可以通過SIL認證證書、企業檢修維護數據庫或行業通用數據庫獲得。

3.3 硬件故障裕度（HFT）

硬件故障裕度（HFT）指出現故障或誤差的情況下，功能單元繼續執行要求功能的能力。硬件故障裕度（HFT）與表決機制（MooN）有關，HFT=N-M。

如安全儀表系統內有多個表決組，則要先計算表決組的平均失效概率。

3.4 檢驗測試覆蓋率（CTI）

檢驗測試覆蓋率（CTI）指對系統的平均失效概率影響很大，不完全的檢驗測試會使元件的平均失效概率曲線起點升高，如圖1所示。

檢驗測試覆蓋率（CTI）由業主提供或選取行業通用數據。

3.5 平均修復時間（MTTR）及平均無故障時間（MTTF）

平均恢復時間(MTTR)是從出現故障到恢復中間的這段時間。MTTR越短，系統的恢復性越好。

平均無故障時間(MTTF)即系統平均能夠正常運行多長時間發生一次故障。MTTF越大，系統的可靠性越高。

3.6 檢驗測試周期（TI）

推薦與工藝裝置停車檢修周期一致，某些情況下也會短于工藝裝置停車檢修周期。

圖1 不完全的檢驗測試下的元件平均失效概率

3.7 共因失效因子（β）

當采用冗余的同型部件時由于共同的原因引起兩個或兩個以上的元件同時失效叫做共因失效，共因失效概率通常在1%～20%之間，共因失效因子β根據不同情況選取。

3.8 初始事件（IE）

初始事件是事故場景的初始原因，一般包括外部事件、設備故障和人員失誤。計算中涉及的初始事件（IE）概率可由業主提供，或取自行業典型的失效數據。

3.9 運行管理相關假設

安全儀表系統要達到設計的安全完整性等級，必須在設計、安裝、使用、維護等方面遵循相關證書和安全手冊。例如，所有SIF 回路元件的安裝及選型均按照國家標準規范執行；所有元件的功能都能夠被校驗與測試；編制SIS 系統的維修與操作程序并定期審核；等等。

4 安全完整性等級（SIL）驗算結果

根據計算得出每一個SIF回路的PFDavg，對照表1（以要求模式為例），判斷該回路屬于哪個SIL等級，將驗算得出的SIL等級與SIL 定級結果對照，確定現有安全儀表系統的要求時平均失效概率是否滿足SIL定級要求。

表1 要求模式安全完整性等級