結(jié)構(gòu)約束是影響SIL驗(yàn)證結(jié)果的要素

2024/5/28 1:34:41 人評(píng)論次瀏覽分類(lèi)：DCS 文章地址：http://prosperiteweb.com/tech/5600.html

在SIL驗(yàn)證過(guò)程中，我們經(jīng)常會(huì)遇到這樣的問(wèn)題：明明某個(gè)SIF的失效概率滿足了SIL定級(jí)的要求，但最終的驗(yàn)證結(jié)果卻不符合。這是為什么？

1、SIL驗(yàn)證的指標(biāo)
依據(jù)IEC61508、IEC61511、GB/T20438、GB/T21109、GB/T50770等標(biāo)準(zhǔn)要求，SIF的SIL等級(jí)需要從失效概率、結(jié)構(gòu)約束和系統(tǒng)能力這3個(gè)方面進(jìn)行驗(yàn)證。

失效概率，就是SIF發(fā)生失效的概率，不同失效概率對(duì)應(yīng)不同的SIL等級(jí)。

結(jié)構(gòu)約束，就是字面意思，SIF結(jié)構(gòu)上的約束。不同的SIL等級(jí)對(duì)結(jié)構(gòu)約束的要求不同，反過(guò)來(lái)就是不同的結(jié)構(gòu)約束能達(dá)到的SIL等級(jí)不同。

系統(tǒng)能力，工程術(shù)語(yǔ)定義為設(shè)備應(yīng)對(duì)系統(tǒng)性失效的能力，不同SIF由于硬件上的差異，能夠達(dá)到的系統(tǒng)能力等級(jí)也不同。這個(gè)概念比較抽象。拿小轎車(chē)做個(gè)類(lèi)比，車(chē)輛速度盤(pán)上的最高速度能達(dá)到240km/h，不代表車(chē)子實(shí)際就能跑到這么高的速度，但這個(gè)240就是車(chē)輛系統(tǒng)的速度能力。(大致是這個(gè)意思，實(shí)際說(shuō)明白需要花很長(zhǎng)篇幅)

在SIL驗(yàn)證中，一個(gè)SIF最終的SIL等級(jí)，取失效概率、結(jié)構(gòu)約束和系統(tǒng)能力這3個(gè)要素對(duì)應(yīng)的SIL等級(jí)的最小值。通常，如果一個(gè)SIF的驗(yàn)證不通過(guò)，要么是失效概率SIL等級(jí)不滿足，要么是結(jié)構(gòu)約束不滿足，只有很少情況下是因?yàn)橄到y(tǒng)能力不滿足。

2、詳說(shuō)結(jié)構(gòu)約束
總體而言，結(jié)構(gòu)約束是受故障裕度(HFT)和安全失效分?jǐn)?shù)(SFF)二者影響的。

故障裕度，是指“出現(xiàn)故障或錯(cuò)誤時(shí),功能單元能夠繼續(xù)執(zhí)行要求的功能或操作的能力。”(定義來(lái)自GB/T21109.1)

簡(jiǎn)而言之就是描述壞了1個(gè)還有其他能頂上的能力。對(duì)于MooN結(jié)構(gòu)，HFT=N-M。

故障裕度體現(xiàn)的是冗余的概念。

安全失效分?jǐn)?shù)，是用來(lái)衡量設(shè)備失效表現(xiàn)的一個(gè)指標(biāo)。SFF=(λs+λdd)/(λs+λd)，或者SFF=1-λs/(λs+λd)。(此處默認(rèn)：λs=λsd+λsu，λd=λdd+λdu)

IEC61508中，對(duì)A類(lèi)設(shè)備的結(jié)構(gòu)約束要求如下：

IEC61508中對(duì)A類(lèi)設(shè)備的結(jié)構(gòu)約束要求

IEC61508中對(duì)A類(lèi)設(shè)備的結(jié)構(gòu)約束要求

IEC61508，對(duì)B類(lèi)設(shè)備的結(jié)構(gòu)約束要求如下：

IEC61508中對(duì)B類(lèi)設(shè)備的結(jié)構(gòu)約束要求

IEC61511對(duì)結(jié)構(gòu)約束的要求與IEC61508略有差異，但基本上也還是這個(gè)意思。GB/T50770對(duì)結(jié)構(gòu)約束要求得比較泛，在此不再贅述，如果感興趣可以查閱標(biāo)準(zhǔn)原文。

綜上，對(duì)結(jié)構(gòu)約束的要求，和冗余有很大關(guān)聯(lián)，但二者之間并不等同。(GB/T50770對(duì)結(jié)構(gòu)約束要求就只考慮了冗余)

3、為何要設(shè)置結(jié)構(gòu)約束？
先說(shuō)結(jié)論：結(jié)構(gòu)約束的目的是防止在實(shí)施風(fēng)險(xiǎn)控制措施時(shí)一味追求SIS的低失效率而忽略了風(fēng)險(xiǎn)控制措施的整體性。

啥意思這是？

這要回到LOPA的洋蔥模型/奶酪模型說(shuō)起。

在LOPA中，針對(duì)某一事故場(chǎng)景，有本質(zhì)安全設(shè)計(jì)、基本過(guò)程控制等多種風(fēng)險(xiǎn)控制措施，這些風(fēng)險(xiǎn)控制措施共同組成了應(yīng)對(duì)該事故場(chǎng)景的風(fēng)險(xiǎn)防護(hù)。而SIS僅僅是眾多風(fēng)險(xiǎn)控制措施中的一種而已。

單純的從概率的角度而言，如果將SIS類(lèi)的失效概率降到足夠低，那么事故發(fā)生概率就可以足夠低。

但這樣做存在問(wèn)題。

為什么？

在LOPA中，我們討論的失效是針對(duì)設(shè)備本身而言的。設(shè)備失效會(huì)導(dǎo)致該風(fēng)險(xiǎn)控制措施失效，但風(fēng)險(xiǎn)控制失效不全是設(shè)備失效造成的。

尤其是針對(duì)SIS而言。導(dǎo)致SIS沒(méi)起作用的原因包括但不限于：設(shè)備失效、外力破壞、以及未投用。對(duì)，這個(gè)未投用，看似駭人聽(tīng)聞，實(shí)際很常見(jiàn)。對(duì)很多中小企業(yè)而言，壓根沒(méi)有具備足夠?qū)I(yè)技能的技術(shù)人員來(lái)運(yùn)維SIS，與其投用了各種搞不懂，還不如直接放一邊不管，反正事故發(fā)生是講概率的。

從另外一個(gè)角度而言，當(dāng)SIS的失效率(內(nèi)因)足夠低時(shí)，外力破壞、未投用等等這些導(dǎo)致SIS不起作用的外因就不能不重視了。從矛盾論的角度來(lái)看，這個(gè)時(shí)候的主要矛盾已經(jīng)發(fā)生了變化。

假如某SIF的失效概率是1E-3，但可以預(yù)見(jiàn)的外因?qū)е耂IF不起作用的發(fā)生頻率為1E-1/a，那么這個(gè)SIF真實(shí)的失效表現(xiàn)怎么樣呢？

只要SIS，不要其他類(lèi)型的保護(hù)措施行不行？答案顯而易見(jiàn)。

所以，為了防止雞蛋全都放在一個(gè)籃子里，人們?cè)赟IL驗(yàn)證時(shí)又人為增加了結(jié)構(gòu)約束和系統(tǒng)能力這兩個(gè)要求。

這就是結(jié)構(gòu)約束的意義所在。

相關(guān)閱讀
◆什么條件下裝置需要上SIS系統(tǒng)
◆SIL等級(jí)是怎么確定的?依據(jù)是什么
◆緊急切斷閥選型設(shè)計(jì)與在SIS系統(tǒng)中的應(yīng)用

上一篇：三種進(jìn)口DCS國(guó)產(chǎn)化替代方案

下一篇：可燃有毒氣體報(bào)警器/圍堰能否作為SIS系統(tǒng)獨(dú)立保護(hù)層？

與在線工程師QQ交流

到論壇與網(wǎng)友交流

向昌暉儀表網(wǎng)投稿

免費(fèi)獲得2000元電子書(shū)