安全完整性等級(jí)（SIL）驗(yàn)算方法及流程

耿杰（中化環(huán)境科技工程有限公司，遼寧 沈陽(yáng)110021）

0 引言

安全儀表功能評(píng)估是對(duì)安全儀表功能進(jìn)行驗(yàn)算，即安全完整性等級(jí)（SIL）驗(yàn)算，也有人翻譯成“驗(yàn)證”。該步驟是對(duì)SIL定級(jí)的確認(rèn)，查證該回路所用的元件失效概率是否符合定級(jí)時(shí)的級(jí)別。國(guó)家安全監(jiān)管總局關(guān)于加強(qiáng)化工安全儀表系統(tǒng)管理的指導(dǎo)意見（安監(jiān)總管三〔2014〕116號(hào)）中要求對(duì)在役生產(chǎn)裝置或設(shè)施的化工企業(yè)和危險(xiǎn)化學(xué)品儲(chǔ)存單位進(jìn)行現(xiàn)有安全儀表功能評(píng)估。那么，什么是安全儀表系統(tǒng)的評(píng)估？評(píng)估有哪些方法？需要做哪些工作？接下來(lái)，文章將做簡(jiǎn)要闡述。

1 安全完整性等級(jí)（SIL）驗(yàn)算方法

1.1 SIF構(gòu)成

安全儀表功能（SIF）是由SIS執(zhí)行的、具有特定安全完整性等級(jí)（SIL）的安全功能，將被控工藝對(duì)象置于或保持在安全狀態(tài)。

安全儀表系統(tǒng)（SIS）是用于執(zhí)行一個(gè)或多個(gè)SIF（安全儀表功能）的儀表系統(tǒng)。SIS 由傳感器、邏輯控制器，以及最終元件構(gòu)成。SIS 可以包括軟件，可以包括人員動(dòng)作作為SIF 的一部分。SIF要達(dá)到要求的SIL等級(jí)，安全儀表系統(tǒng)才能達(dá)到要求的安全功能。

1.2 驗(yàn)算方法選擇

常用的SIL 驗(yàn)算的方法有可靠性框圖、故障樹、馬爾可夫模型。

RBD可靠性框圖是一種圖形化分析方法，它用圖形的方式來(lái)表示系統(tǒng)內(nèi)部組件的串聯(lián)關(guān)系，將表決方式的連接關(guān)系也轉(zhuǎn)換為串并聯(lián)的方式，具有簡(jiǎn)單、清晰、直觀的特點(diǎn)。

故障樹分析是根據(jù)布爾邏輯用圖表示系統(tǒng)特定故障間的相互關(guān)系，它是對(duì)故障發(fā)生的根本原因進(jìn)行推理分析，然后建立從結(jié)果到原因描述故障的有向邏輯圖。該方法具有分析方法直觀、應(yīng)用范圍廣泛和邏輯性強(qiáng)等特點(diǎn)。

馬爾可夫模型將系統(tǒng)歸于不同的若干狀態(tài)。一個(gè)狀態(tài)會(huì)以某種狀態(tài)轉(zhuǎn)移到其他狀態(tài)。馬爾可夫模型包括了設(shè)備的多種失效模式，能覆蓋最多的影響可靠性的因素，不受設(shè)備之間的依賴關(guān)系影響。因而成為SIL驗(yàn)算的主流方法。但馬爾可夫模型涉及到轉(zhuǎn)換圖和數(shù)學(xué)矩陣，計(jì)算費(fèi)時(shí)費(fèi)力。

2 安全完整性等級(jí)（SIL）驗(yàn)算過程

SIF 的SIL 驗(yàn)算計(jì)算是將SIF 分解為子系統(tǒng)，如傳感器、邏輯控制器、最終元件（切斷閥等），先計(jì)算各子系統(tǒng)的要求時(shí)平均失效概率PFDavg，再將結(jié)果加和求得系統(tǒng)平均失效概率，計(jì)算公式如下：

進(jìn)行PFDavg計(jì)算時(shí)，一般要完成的步驟：

（1）收集各回路中組件的失效數(shù)據(jù)（λ）；

（2）建立SIF回路中各組件的可靠性框圖（RBD）；

（3）定量分析各SIF 回路要求時(shí)的平均失效概率（PFDavg）及平均誤動(dòng)作停車時(shí)間間隔（MTTFs）；

（4）計(jì)算SIF回路中各組件的PFDavg 貢獻(xiàn)率；

（5）驗(yàn)證當(dāng)前SIF回路是否滿足目標(biāo)SIL 等級(jí)要求；

SIL驗(yàn)算計(jì)算一般使用專門的計(jì)算軟件。

3 假設(shè)及輸入條件

PFDavg 的計(jì)算需考慮需求模式、失效率（λ）、表決機(jī)制（MooN）、檢驗(yàn)測(cè)試覆蓋率（CTI）、檢驗(yàn)測(cè)試間隔（TI）、平均修復(fù)時(shí)間（MTTR）、共因失效因子（β）等因素的影響。

3.1 需求模式

需求模式分為低要求模式、高要求模式、連續(xù)模式。

低要求模式：在這種模式下，安全相關(guān)系統(tǒng)的操作頻率不大于每年一次或者不大于兩倍的檢驗(yàn)測(cè)試頻率；

高要求模式：在這種模式下，安全相關(guān)系統(tǒng)的操作頻率大于每年一次或者大于兩倍的測(cè)試周期頻率；

連續(xù)模式：需求的發(fā)生為連續(xù)狀態(tài)。

一般情況下，生產(chǎn)過程對(duì)SIS的需求為低要求模式。

3.2 失效率（λ）

隨機(jī)硬件失效是不同部件由于退化原因而失效，這種失效在隨機(jī)時(shí)間發(fā)生。隨機(jī)硬件失效包括四種失效模式：安全可檢測(cè)（λSD）、安全不可檢測(cè)（λSU）、危險(xiǎn)可檢測(cè)（λDD）、危險(xiǎn)不可檢測(cè)（λDU）。其中危險(xiǎn)不可檢測(cè)（λDU）的失效模式對(duì)SIF 的影響非常重要。

失效率（λ）數(shù)據(jù)可以通過SIL認(rèn)證證書、企業(yè)檢修維護(hù)數(shù)據(jù)庫(kù)或行業(yè)通用數(shù)據(jù)庫(kù)獲得。

3.3 硬件故障裕度（HFT）

硬件故障裕度（HFT）指出現(xiàn)故障或誤差的情況下，功能單元繼續(xù)執(zhí)行要求功能的能力。硬件故障裕度（HFT）與表決機(jī)制（MooN）有關(guān)，HFT=N-M。

如安全儀表系統(tǒng)內(nèi)有多個(gè)表決組，則要先計(jì)算表決組的平均失效概率。

3.4 檢驗(yàn)測(cè)試覆蓋率（CTI）

檢驗(yàn)測(cè)試覆蓋率（CTI）指對(duì)系統(tǒng)的平均失效概率影響很大，不完全的檢驗(yàn)測(cè)試會(huì)使元件的平均失效概率曲線起點(diǎn)升高，如圖1所示。

檢驗(yàn)測(cè)試覆蓋率（CTI）由業(yè)主提供或選取行業(yè)通用數(shù)據(jù)。

3.5 平均修復(fù)時(shí)間（MTTR）及平均無(wú)故障時(shí)間（MTTF）

平均恢復(fù)時(shí)間(MTTR)是從出現(xiàn)故障到恢復(fù)中間的這段時(shí)間。MTTR越短，系統(tǒng)的恢復(fù)性越好。

平均無(wú)故障時(shí)間(MTTF)即系統(tǒng)平均能夠正常運(yùn)行多長(zhǎng)時(shí)間發(fā)生一次故障。MTTF越大，系統(tǒng)的可靠性越高。

3.6 檢驗(yàn)測(cè)試周期（TI）

推薦與工藝裝置停車檢修周期一致，某些情況下也會(huì)短于工藝裝置停車檢修周期。

圖1 不完全的檢驗(yàn)測(cè)試下的元件平均失效概率

3.7 共因失效因子（β）

當(dāng)采用冗余的同型部件時(shí)由于共同的原因引起兩個(gè)或兩個(gè)以上的元件同時(shí)失效叫做共因失效，共因失效概率通常在1%～20%之間，共因失效因子β根據(jù)不同情況選取。

3.8 初始事件（IE）

初始事件是事故場(chǎng)景的初始原因，一般包括外部事件、設(shè)備故障和人員失誤。計(jì)算中涉及的初始事件（IE）概率可由業(yè)主提供，或取自行業(yè)典型的失效數(shù)據(jù)。

3.9 運(yùn)行管理相關(guān)假設(shè)

安全儀表系統(tǒng)要達(dá)到設(shè)計(jì)的安全完整性等級(jí)，必須在設(shè)計(jì)、安裝、使用、維護(hù)等方面遵循相關(guān)證書和安全手冊(cè)。例如，所有SIF 回路元件的安裝及選型均按照國(guó)家標(biāo)準(zhǔn)規(guī)范執(zhí)行；所有元件的功能都能夠被校驗(yàn)與測(cè)試；編制SIS 系統(tǒng)的維修與操作程序并定期審核；等等。

4 安全完整性等級(jí)（SIL）驗(yàn)算結(jié)果

根據(jù)計(jì)算得出每一個(gè)SIF回路的PFDavg，對(duì)照表1（以要求模式為例），判斷該回路屬于哪個(gè)SIL等級(jí)，將驗(yàn)算得出的SIL等級(jí)與SIL 定級(jí)結(jié)果對(duì)照，確定現(xiàn)有安全儀表系統(tǒng)的要求時(shí)平均失效概率是否滿足SIL定級(jí)要求。

表1 要求模式安全完整性等級(jí)