SIL验证学习分享

David

, A7 m  p4 i  I: M8 t! G2 q1 U
( I( u2 `0 }( [9 z  W4 j$ {

一、概述简介

       安全完整性等级（SafetyIntegrityLevel，简称SIL），国际标准IEC61508中定义的一种离散性的等级，它用来衡量安全相关系统成功执行规定的安全功能的概率。概率越高，则安全完整性等级越高。安全完整性等级分为4个级别，即SIL1、SIL2、SIL3和SIL4。根据国家安监总管[2014]116号文规定，涉及“两重点一重大”的在役装置必须开展安全仪表系统的评估，SIL验证是计算评估现有安全仪表系统(SIS)硬件及SIF回路安全完整性等级，从而判定安全仪表系统能否满足SIL定级需求，确保安全仪表系统能够达到设计目的。

5 ~( c+ ]  D/ T! y; X

二、验证程序

       典型的SIL验证流程如图所示。

       1、验证输入

       SIL验证输入资料宜包括但不局限于以下内容：

       a)工程设计资料,包括P&ID、逻辑图等；

       b)SIF清单、SIF组成和SIF安全关键设备清单；

       c)SIF的SIL级别要求；

       d)SIF的操作模式；

       e)SIF的目标失效量要求；

       f)检验测试间隔(TI)；

       g)仪表设备的可靠性数据；

       h)配置方案,包括表决形式(MooN)；

       i)仪表设备安全手册；

       j)变更文件。

       2、验证符合性

       SIL验证应包括SIF硬件安全完整性验证；SIL验证可包括系统性安全完整性验证。硬件安全完整性验证应包括失效量验证和结构约束验证。在低要求操作模式时，失效量验证应采用PFDavg验证；在连续操作模式或高要求操作模式时，失效量验证应采用PFH验证。

       3、失效量验证

       应确定用于SIL验证的SIF目标失效量。SIL定级给出明确的目标失效量时，SIF目标失效量应采用此目标失效量。SIL定级没有给出明确的目标失效量,只给出SIL等级时，SIF目标失效量参考表3或表4，可采用要求达到的SIL等级对应的最小的PFDavg或PFH。

       4、结构约束验证

       每个SIF均应满足结构约束要求，结构约束要求可通过HFT的要求表达。

       当SIS可被分解成独立的SIS子系统时(如传感器、逻辑解算器及最终元件)，则HFT可在SIS子系统层级指定。

       SIS或SIS子系统的HFT和相关要求应按照以下3种路线之一确定：

       a)符合表5的要求，并且全可变语言(FVL)和有限可变语言(LVL)可编程设备的诊断覆盖率应不小于60%，并且失效量计算中使用的可靠性数据应由不小于70%的统计置信区间上限确定；

       b)符合表6的要求和路线 1H的要求；

       c)符合表5的要求和路线 2H的要求。

       5、系统性安全完整性验证

       设备的系统性能力SC N(N=1，2，3)应满足SIF要求的SIL等级要求。设备的系统性能力SC N是指SIL N的系统性安全完整性已被满足。

       对于某具有系统性能力SC N的组件，若该组件的系统性故障并不会使指定安全功能失效，而仅在另一个具有系统性能力SCN的组件同时发生系统故障时才会使指定功能失效，则在两个组件之间足够独立的前提下其组合的系统性能力可视为SC(N+1)。

       多个系统性能力为SCN的组件组合后可声明的最高系统性能力为SC(N+1)。每个SCN组件在这种方式下仅能使用一次，不准许继续增加SCN组件达到或超过SC(N+2)。

       6、不合格调整

       SIL验证不满足要求时,可采取的措施例如：

       a)选择高可靠性设备；

       b)提高冗余配置；

       c)缩短TI(如适用)；

       d)提高检验测试覆盖率；

       e)减少共因失效；

       f)增加PST功能；

       g)重新进行安全评估,考虑是否可通过增加保护层来降低SIL等级要求。