|
一、概述简介. _0 ^; `" d9 ~% L
SIL验证是通过马尔可夫模型建模计算评估现有安全仪表系统(SIS)硬件及SIF回路等级的可靠性,从而判定安全仪表系统能否满足SIL定级需求,确保安全仪表系统能够达到设计目的,实现对装置的保护作用。安全仪表系统是指用于执行一个或多个SIF(安全仪表功能)的仪表系统。SIS由传感器、逻辑控制器,以及最终元件的任何组合构成。安全仪表系统主要承担紧急情况下超限保护功能,一旦保护不足,化工装置超温超压,介质泄漏,有潜在的火灾爆炸、人员伤亡、环境污染、财产损失等严重后果。根据《电气/电子/可编程电子安全相关系统的功能安全》(GB/T 20438-2017)等文件标准对安全仪表功能的完整性等级要求进行验证,判断安全仪表功能的完整性等级是否能满足目标SIL等级要求。3 I7 H7 j5 }- T
+ z2 A& J# R2 X1 N
二、计算方法6 c0 Y! V3 |# R5 _2 N! x" ]
(一)需求时失效概率PFD
/ r$ f; @2 Y) N SIL验证中计算PFDavg方法为马尔可夫分析法,是指在马尔可夫过程的假设前提下,通过分析随机变量的现时变化情况来预测这些变量未来变化情况的一种预测方法。" N F$ f5 ^/ D3 D) |, F; g
Markov模型具有无记忆的性质,它将安全相关系统归于不同的若干状态,每个状态会以某种概率转移到其他状态。此外,系统将来所处的状态和系统的历史状态无关,只和现在状态有关。Markov模型的此特性恰好能够解决电子电气系统失效的指数概率密度(常数失效率)问题。因此,用Markov模型来分析E/EE/PE系统的动作和可靠性很合适。) l& V7 E0 h. {: r1 B6 ?
1、单个硬件PFD计算(同型)5 A+ n7 p5 N1 m/ e5 R* m. o
使用随机函数PFD=1-e-λt,近似值如下:PFD=λDU*(T1/2+MTTR)+λDD*MTTR, N7 n1 M8 ]- t
2、系统PFD计算9 ~) j+ L" h) B% E, d; H/ E- Z
系统PFD通过计算和组合提供安全功能的所有子系统在要求时的平均失效概率确定。它可以表示为:
' j) u7 Z6 o. s) g; Q( d) K PFDSYS=PFDS+PFDL+ PFDFE;) f" i, [! E/ g: {: [
PFDSYS—E/E/PE安全相关系统的安全功能在要求时的平均失效概率;
' w+ \' Y5 j) w8 X PFDS-传感器子系统要求时的平均失效概率;
/ G% k, j: Z( U/ u0 ~% s9 e3 u PFDL-逻辑子系统要求时的平均失效概率;
! g2 l& A* w% J PFDFE-最终元件子系统要求时的平均失效概率。
- y- C' k# M6 _5 {8 y; S' g! o2 q 在SIS联锁动作中,这种操作要求出现的频率非常低,在绝大部分运行时间内,SIS是处于“体眠”状态的。因此评估亦定义各SIF回路均为低要求模式,即需要SIF回路需求的频率不大于每年一次。
9 L& Y3 u! |4 r4 ` 根据计算得出的PFD确定系统SIL等级,具体如下: (二)硬件结构约束
- x5 U# H; m8 p3 S% x9 k 1、A类元器件
$ i, @& e2 p, R1 c2 ? u# T 满足下列条件,其部件被要求达到安全功能的一个子系统可视为A类:
5 }& C$ z' U. j 1)所有组成部件的失效模式都被很好地定义;
0 u1 v% |3 J/ M% ^& T# M+ H9 w* f 2)故障状况下子系统的行为能够完全确定;
% d# f/ F) ~% ?' S* s8 n5 h. c( t1 i 3)通过现场经验获得充足而可靠的数据,可显示出满足所声明的检测到的和未检测到的危险失效的失效率。1 T; A {: Q7 e9 [
典型A类设备:开关、气动增压器、执行器、阀门、继电器,或由电阻、电容放大器等构成的简单电子模块,A类系统的结构约束要求见下表。- ?7 q T* p: [
下表的硬件安全完整性:
, N3 i" E; ? h7 S3 z
) ~" p3 v$ d% Y
2、B类元器件 满足下列条件,其部件被要求达到安全功能的一个子系统可视为B类:
/ [1 D s# J$ Z# u$ ` 1)至少一个组成部件的失效模式未被很好地定义;- g' i9 A% @3 t" g
2)故障状况下子系统的行为不能完全确定;
# g# U: O0 F$ v3 W+ \3 O 3)通过现场经验获得的数据不够充分、可靠,不足以显示满足所声明的检测到的和未检测到的危险失效的失效率。' _$ Y- y5 `$ X+ O( D9 |
典型B类子系统:基于微处理器的设备,或具有复杂自定义逻辑的设备,复杂系统和元件的行为比较难以确定,例如压力变送器、逻辑控制器等,很难得到其所有组件的失效模式。这类元件及系练均属于B类系统,B类安全相关子系统的结构约束见下表。
3 z7 G7 D" F+ c3 M6 z- } 下表的硬件安全完整性:
: Z5 E, C& z( t: P7 F1 O4 L$ ?0 C! ?* @
3、安全失效分数 安全失效分数SFF定义为安全失效和检测到的危险失效率和占总失效率的比例,具体计算格式如下:* h ^2 E0 \' f C
- k2 s! c3 x x! p1 R' F
4、硬件故障裕度
7 |2 o( |4 Y& ]' R7 k$ J 硬件故障裕度HFT和系统或者元件的结构有关,常见的系统结构设计有1oo1,1oo2,2oo2,1oo3,2oo3等,这种MooN结构需要N个通道中的M个独立通道来实现安全功能。硬件故障裕度HFT是指,如果硬件故障裕度是X,当出现X+1个危险故障时,就会导致安全功能的丧失。所以在MooN结构中,硬件故障裕度HFT=N-M。比如1oo1的HFT=0,其为单通道系统,只要发生一个危险故障,该系统就会导致安全功能丧失。1oo2的HFT=1,代表其为冗余系统,当出现一路危险故障时,还有一路冗余系统可以提供安全功能。1oo3的HFT=2,当出现一路危险故障时,还有两路冗余系统可以提供安全功能。- ]- X) I1 `/ _! ~" o' H, F
' t: H; D/ L/ x5 [& g& Q7 M) m(三)系统能力
, t: g) B, }- c" t3 Q5 i. M5 r+ | 系统性能力,即当一个组件按组件符合项安全手册的规定应用时,针对规定的组件安全功能,组件的系统性安全完整性满足规定的SIL要求的置信度的度量(表示为SC1~SC4)。5 I% J7 @4 I" s1 Z: a4 `
系统能力可直接在SIL证书读取。& D7 c; D+ h: I$ \
(四)组件串联
& P- T5 S/ e" i 在一个E/E/PE安全相关子系统中通过组件串联实现多个组件安全功能时,此类组合安全功能可声明的最高安全完整性等级,取决于硬件故障裕度为0时安全失效分数最低的那个组件。' [% W2 E2 L6 P9 ~) v% a
示例:假定某架构中的数个组件安全功能通过子系统执行,而该子系统又包含由组件l、2与3组成的单通道,且组件均满足如下要求:
9 @5 A$ } f+ ~ 组件1:硬件故障裕度为0 ,给定安全失效分数,满足SIL1的要求;% \ W2 A% X6 }! J
组件2:硬件故障裕度为0,给定安全失效分数,满足SIL2的要求;* d' p; i/ i) d4 K% t! a' S
组件3:硬件故障裕度为0,给定安全失效分数,满足SIL1的要求。& G% G2 x% h* f7 \/ D+ l& H
可声明的最高SIL等级受限于组件1及组件3,可达到的硬件故障裕度与安全失效分数仅为SIL 1。
) u( u+ |3 e$ P( A) H2 o7 i- v! `5 g4 F T, P- D9 ~2 s# ~/ J
(五)组件并联
6 v% \# _" w* X( q+ [" g% F 一个E/E/PE安全相关子系统,其组件的安全功能是由几条通道(组件并联组合)来实现,且硬件故障裕度为N,其安全功能所声明的最高安全完整性等级应由如下决定:# x/ f- P$ B4 L( b, N3 O: ?9 y
a)将每条通道中串联组合的组件分组,并确定这些通道中安全功能所能宣称的最高的安全完整性等级;并且# X9 w/ {+ i2 G2 W
b)选择完成安全功能中获得最高安全完整性的通道,然后安全完整性等级加N,以决定子系统整体组合后的最高安全完整性等级。
) O/ ]4 J( w4 W/ b7 U$ e 示例:这些组合的分组与分析方法有多种。在此说明其中一种方法,假定架构中安全功能通过两个子系统X与Y实现,其中子系统X由组件1、2、3与4组成,子系统Y由单个组件5组成,如图所示。子系统X中使用并联通道确保组件1与2可独立实现子系统X所需的部分安全功能,而与组件3与4无关,反之亦然。该安全功能在以下情况下仍有效:# T! \( C2 b4 w+ ~ B$ h% M- l
组件1或2出现故障(因为组3和4的组合能够实现所需要的安全功能);
* g+ v+ A; H' v6 `% [1 ] 组件3或4出现故障(因为组件1和2的组合能够实现所需要的安全功能)。+ T: D( d d, t, ?
确定相关安全功能可声明的最高安全完整性等级的详细步骤如下:2 P5 k' A0 i. |- ^/ n
对于子系统X的特定安全功能,每个组件满足如下要求:
1 s K( J& K/ i7 D- c' \ 组件1硬件故障裕度为0,给定安全失效分数,安全完整性等级为SIL3;* v( w, [5 P- ~1 }! ^3 E
组件2硬件故障裕度为0,给定安全失效分数,安全完整性等级为SIL2;
) H8 H& s5 \5 `( _ 组件3硬件故障裕度为0,给定安全失效分数,安全完整性等级为SlL2;7 j9 O0 b8 U! z C
组件4硬件故障裕度为0,给定安全失效分数,安全完整性等级为SlL1。6 G; a! Z1 G1 j, g4 n: e
以下组件组合方式可为子系统X中的相关安全功能提供最高的硬件安全完整性等级:3 |# M9 L7 _! ~ ]; s
a)组合组件l与2:组件1与2的组合可达到的硬件故障裕度与安全失效分数(每个组件分别满足SIL 3与SIL 2的要求)满足SIL 2的要求(由组件2决定3);
4 x+ M0 V& v0 m; t b)组合组件3与4:组件3与4的组合可达到的硬件故障裕度与安全失效分数(每个组件分别满足SIL2与SIL1的要求)满足SIL1的要求(由组件4决定);6 c: C# D, N' A0 U5 W4 N
c)组件1、2组合体与组件3、4组合体的进一步组合:确定相关安全功能可达到的最高安全完整性等级时,可选择达到的安全完整性等级最高的通道并加上N个安全完整性等级,得到整个组件组合的最高安全完整性等级。此例中子系统包含两个并联通道,其硬件故障裕度为1,相关安全功能安全完整性等级最高的通道由组件1与2的组成,达到SIL2的要求。因此,硬件故障为1时该子系统的最高安全完整性等级为(SIL2+1) =SIL3。
9 o0 W, @8 q4 B' _* j* h 对于子系统Y,组件5:故障裕度为0,给定安全失效分数、安全完整性等级为SIL2。
( }, ~( ?) S; |' N, Z4 Y 对于一个完整的E/E/PE安全相关系统(包含两个子系统X与Y,相关安全功能分别满足SIL3与SIL2),其可达到的最高安全完整性等级由安全完整性等级最低的子系统决定。因此,此例中E/E/PE安全相关系统中相关安全功能的最高安全完整性等级为SIL2。1 N6 ?1 R8 \; a; r$ j
| 
窥视卡
雷达卡
发表于 2023-11-16 15:03:20
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
照妖镜
