SIL驗證技術中的PFDavg計算及關鍵參數設定

賈鐵虎，范宗海

(中國石化工程建設有限公司，北京 100101)

安全完整性等級(SIL)由IEC 61508標準提出，是對安全完整性要求的劃分。SIL等級劃分，讓用戶可以對設備的安全要求具體化，同時也提供了描述設備安全性能的方法。SIL的等級越高，要求安全儀表在低要求操作模式下的平均失效概率(PFDavg)或高要求操作模式下的危險失效頻率(PFH)數值越小。IEC 61508將SIL劃分為4個等級，見表1所列。

表1 IEC 61508對SIL等級的劃分

有些工藝設計增加了SILa1，SILa2或SILb等級，使用SILa1表示DCS報警， SILa2表示DCS聯鎖等，但這些都不是IEC標準涵蓋的內容。

1 安全儀表系統

安全儀表系統(SIS)用于實現一個或多個安全儀表功能(SIF)。SIS由傳感器子系統、邏輯運算子系統、最終執行元件子系統組成，包括通信和輔助設備部分，如電纜、儀表管路、電源、導壓管、伴熱等。傳感器子系統包含傳感器、安全柵、輸入卡件等。最終執行元件子系統包含輸出卡件、安全柵、執行設備等。SIL驗證計算時將系統輸入卡件的失效率歸于傳感器子系統，將系統輸出卡件的失效率歸于最終執行元件子系統進行驗證計算。SIS的組成如圖1所示。

圖1 SIS的組成示意

2 PFDavg計算的相關參數

SIS完成設計后，需要對整個系統進行SIL驗證，檢查設計結果是否符合安全要求規格書(SRS)等輸入條件的要求。應分別驗證每個SIF回路的失效概率、結構約束，系統能力。本文僅闡述低要求模式下的PFDavg計算所需參數。

2.1 操作模式

SIL驗證時應首先確定SIF回路的操作模式，是否屬于低要求模式還是高要求模式或連續模式。

IEC 61511規定了低要求模式的符合條件： SIF回路只對事件需求做出響應動作，并能將工藝流程切換至規定的安全狀態；SIF的所有需求頻率不超過每年1次。

ISA TR84.00.04作為IEC 61511的修改采用標準(MOD)，增加了符合低要求模式的條件限制，即“如果SIF的平均需求間隔時間小于2倍的檢驗測試間隔時間(PTI)，則SIF為高要求模式。”例如： 某SIF回路每1年被需求動作1次，檢驗測試間隔時間為7個月時，則該SIF為高要求模式。當檢驗測試間隔時間為6個月時，則為低要求模式。

高要求模式： SIF回路只對事件需求響應并動作；且需求頻率超過每年1次。

連續模式： 作為正常操作的一部分，SIF將工藝流程保持在安全狀態。或者表述為SIF一旦失效，工藝流程將處于危險狀態。

雖然在過程領域，SIF通常在低要求模式下運行，需求頻率不高，但應通過LOPA報告具體確定每個SIF回路的需求頻率。每個初始事件有對應的事件頻率和SIF回路，初始事件頻率與SIF發生之前的其他保護層的故障率乘積即為此SIF回路的需求頻率。如果同一個SIF回路對應了不同的初始事件，則所有需求頻率之和應作為該SIF回路的需求頻率。如果該SIF回路被完整地包含在其他SIF中，則其他SIF的需求頻率也應被附加在該SIF回路上。

2.2 任務時間

SIF預計運行的時間，即在更換前SIF回路或元件的使用時間。任務時間不應小于檢驗測試的最長間隔時間。每個子系統部分可以有不同的任務時間和檢驗測試時間。

2.3 有效壽命期

PFDavg的計算基于恒定的儀表失效率，只有在有效壽命時間內，失效率才被視為定值。超出有效壽命期的設備失效率將升高，由于缺少應用數據導致PFDavg無法被有效計算。IEC 61508對有效壽命期非常重視，特別闡明“當超過設備的有效壽命期后(隨著時間的推移，失效概率顯著增加)，大多數失效概率的計算將變得沒有意義。”

有效壽命期主要取決于設備性能及工作條件，溫度和濕度的影響尤為顯著。設備在接近其極限條件運行時，有效壽命明顯減少。根據安全設備可靠性手冊(SERH)的數據，大部分儀表在正常環境下的有效壽命期為10 a及以上，部分儀表的有效壽命期僅為3 a左右。操作溫度和環境溫度會嚴重影響電子設備的使用壽命，電解電容的環境溫度每上升10 ℃，使用壽命減少50%。

制造商應在SIL證書或安全手冊中提供預期的有效壽命期及使用限制要求。SERH和一些產品安全手冊特別提醒： 制定預防性維護程序，在產品有效壽命期結束前更換設備是用戶的責任。

PFDavg計算過程應注意： 檢驗測試最長間隔時間應小于任務時間。

2.4 檢驗測試

檢驗測試用于發現其他診斷手段不能檢測到的危險失效，是安全過程的重要部分。作為SIS的定期測試，檢驗測試可通過在線或離線方式進行。在制定檢驗測試步驟時，既要滿足SIF的功能要求，也要考慮設備的泄漏等級、響應動作時間等性能要求，并結合產品安全手冊中的例外情況進行制定。在線檢驗測試需要將安全儀表旁路，避免引發工藝誤停車。因此，安全功能設計時應考慮儀表的旁路措施。

2.5 檢驗測試間隔

安全系統設計開始階段應確定檢驗測試的PTI，從而避免在項目后期對系統方案產生較大影響。PTI直接影響PFDavg的計算結果，間隔時間越長，PFDavg值越大。可先初步將PTI設為裝置大修周期，再根據PFDavg計算結果進行調整。部分子系統在冗余配置后才能滿足SIL等級要求。需要注意的是，儀表SIL證書中PTI時間通常為1 a，并以此進行PFDavg計算和SIL定級。這類PFDavg不能直接作為SIF回路的驗證使用。

2.6 檢驗測試覆蓋率

檢驗測試覆蓋率(PTC)用于衡量測試的有效性，是被檢測到的危險失效與潛在的危險失效的比值。100%的PTC意味著所有潛在故障均被發現并修復，設備以“全新”的狀態應用于下一個周期，這樣的PTC只能通過更換全新設備或完全翻新才能實現。部分廠商在SIL證書或安全手冊中提供了PTC數值和測試步驟。

1)以聯鎖動作為“關閥”的某品牌開關球閥為例，以下測試步驟僅能達到60%的覆蓋率：

a)旁路閥門的安全功能并采取適當措施避免誤停車。

b)修改執行機構的信號或動力，強制閥門進入故障安全狀態。

c)確認閥門在規定時間內動作到指定位置。

d)檢查執行機構和閥體是否有任何損壞或污垢；檢查閥門螺栓、螺母有無松動；必要時擰緊。

e)解除旁路功能，使閥門恢復正常操作狀態。

f)在SIF檢查表中記錄所有故障。

2)有的參考文章給出了不同測試內容對開關球閥PTC的影響：

a)閥門進行部分行程測試，動作到全行程的5%～10%；PTC可達57%。

b)閥門能在響應時間內實現全行程動作，可檢測電磁閥及執行機構的功能；PTC可達74%。

c)閥門在工藝操作條件下進行全行程測試；PTC可達79%。

d)閥門進行全行程及泄漏測試，可檢測閥座性能；PTC可達94%。

e)閥門在工藝操作條件下進行全行程及泄漏測試；PTC可達99%。

2.7 PFDavg計算公式

PFDavg簡化計算如式(1)所示：

(1)

式中：MT——任務時間，h；MTTR——平均恢復時間，h；λDU——未被檢測到的危險失效概率，次/h；λDD——被檢測到的危險失效概率，次/h。

由式(1)可知：PTI增加，MT增加，PTC降低，都會導致PFDavg值增大。每個子系統的計算結果相加得出整個SIF回路的平均失效概率：PFDSIF=PFDS+PFDLS+PFDFE。

2.8 共因失效分數

計算冗余設備時，不僅要考慮單個設備的失效概率，還要計算共因失效部分的概率。冗余子系統的PFDavg計算如式(2)所示：

(2)

需要注意的是：“2oo2”“3oo3”等冗余系統的共因失效分數β應設置為0，不參與計算。

共因失效分數β不易被準確設定，可以參照規范文件中的推薦值，如《中國石化安全儀表系統安全完整性等級評估管理辦法(試行)》中的數據，也可參照儀表安全證書或安全手冊中的數據，或者按照IEC 61508-6 附錄D中提供的方法和步驟在1%，2%，5%，10%范圍內選取。

β的取值對PFD的計算有時影響較大。以“1oo2”結構子系統為例，在SIL1時β值的影響不大。當滿足SIL2要求時，如β值為10%，則需單通道的PFDavg值小于8.938×10-3(SIL2)；如β值為5%，2%時，則僅需單通道PFD值在SIL1范圍內，分別約為1.444×10-2和2.089 5×10-2。

3 結束語

在PFDavg計算過程中，關鍵參數的設定和取值非常重要，不合理的參數直接影響PFDavg的計算準確性，進而影響SIL等級驗證結果。檢驗測試的步驟和方法對安全儀表系統的應用十分關鍵，測試方法和步驟需要同時兼顧系統的功能要求和性能要求。檢驗測試覆蓋率和共因失效分數的取值還需要廣大專業人員繼續探索，制訂合適的取值方案。