1、SIL驗證的指標
依據(jù)IEC61508、IEC61511、GB/T20438、GB/T21109、GB/T50770等標準要求,SIF的SIL等級需要從失效概率、結構約束和系統(tǒng)能力這3個方面進行驗證。
失效概率,就是SIF發(fā)生失效的概率,不同失效概率對應不同的SIL等級。
結構約束,就是字面意思,SIF結構上的約束。不同的SIL等級對結構約束的要求不同,反過來就是不同的結構約束能達到的SIL等級不同。
系統(tǒng)能力,工程術語定義為設備應對系統(tǒng)性失效的能力,不同SIF由于硬件上的差異,能夠達到的系統(tǒng)能力等級也不同。這個概念比較抽象。拿小轎車做個類比,車輛速度盤上的最高速度能達到240km/h,不代表車子實際就能跑到這么高的速度,但這個240就是車輛系統(tǒng)的速度能力。(大致是這個意思,實際說明白需要花很長篇幅)
在SIL驗證中,一個SIF最終的SIL等級,取失效概率、結構約束和系統(tǒng)能力這3個要素對應的SIL等級的最小值。通常,如果一個SIF的驗證不通過,要么是失效概率SIL等級不滿足,要么是結構約束不滿足,只有很少情況下是因為系統(tǒng)能力不滿足。
2、詳說結構約束
總體而言,結構約束是受故障裕度(HFT)和安全失效分數(shù)(SFF)二者影響的。
故障裕度,是指“出現(xiàn)故障或錯誤時,功能單元能夠繼續(xù)執(zhí)行要求的功能或操作的能力。”(定義來自GB/T21109.1)
簡而言之就是描述壞了1個還有其他能頂上的能力。對于MooN結構,HFT=N-M。
故障裕度體現(xiàn)的是冗余的概念。
安全失效分數(shù),是用來衡量設備失效表現(xiàn)的一個指標。SFF=(λs+λdd)/(λs+λd),或者SFF=1-λs/(λs+λd)。(此處默認:λs=λsd+λsu,λd=λdd+λdu)
IEC61508中,對A類設備的結構約束要求如下:
IEC61508,對B類設備的結構約束要求如下:
IEC61511對結構約束的要求與IEC61508略有差異,但基本上也還是這個意思。GB/T50770對結構約束要求得比較泛,在此不再贅述,如果感興趣可以查閱標準原文。
綜上,對結構約束的要求,和冗余有很大關聯(lián),但二者之間并不等同。(GB/T50770對結構約束要求就只考慮了冗余)
3、為何要設置結構約束?
先說結論:結構約束的目的是防止在實施風險控制措施時一味追求SIS的低失效率而忽略了風險控制措施的整體性。
啥意思這是?
這要回到LOPA的洋蔥模型/奶酪模型說起。
在LOPA中,針對某一事故場景,有本質安全設計、基本過程控制等多種風險控制措施,這些風險控制措施共同組成了應對該事故場景的風險防護。而SIS僅僅是眾多風險控制措施中的一種而已。
單純的從概率的角度而言,如果將SIS類的失效概率降到足夠低,那么事故發(fā)生概率就可以足夠低。
但這樣做存在問題。
為什么?
在LOPA中,我們討論的失效是針對設備本身而言的。設備失效會導致該風險控制措施失效,但風險控制失效不全是設備失效造成的。
尤其是針對SIS而言。導致SIS沒起作用的原因包括但不限于:設備失效、外力破壞、以及未投用。對,這個未投用,看似駭人聽聞,實際很常見。對很多中小企業(yè)而言,壓根沒有具備足夠專業(yè)技能的技術人員來運維SIS,與其投用了各種搞不懂,還不如直接放一邊不管,反正事故發(fā)生是講概率的。
從另外一個角度而言,當SIS的失效率(內因)足夠低時,外力破壞、未投用等等這些導致SIS不起作用的外因就不能不重視了。從矛盾論的角度來看,這個時候的主要矛盾已經(jīng)發(fā)生了變化。
假如某SIF的失效概率是1E-3,但可以預見的外因導致SIF不起作用的發(fā)生頻率為1E-1/a,那么這個SIF真實的失效表現(xiàn)怎么樣呢?
只要SIS,不要其他類型的保護措施行不行?答案顯而易見。
所以,為了防止雞蛋全都放在一個籃子里,人們在SIL驗證時又人為增加了結構約束和系統(tǒng)能力這兩個要求。
這就是結構約束的意義所在。
相關閱讀
◆什么條件下裝置需要上SIS系統(tǒng)
◆SIL等級是怎么確定的?依據(jù)是什么
◆緊急切斷閥選型設計與在SIS系統(tǒng)中的應用
