安全完整性等级(SIL)验证-PFD计算方法的比较
摘要:
在IEC61511中明确规定,每个SIF要求时失效概率PFD应等于或低于安全要求规格书中指定的失效目标值,并需要通过计算进行确认。笔者分别采用可靠性框图法、故障树法、Markov模型法(使用软件计算)对实际项目进行了安全完整性等级(SIL)验证,对这三种主流的SIL验证PFD计算方法进行比较。
SIL验证流程主要包括:成立验证组(专业人员);准备资料(SIF一览表,表格中应包含安全仪表回路及其目标SIL等级、所用仪表设备信息、设备失效数据、检验测试周期);可靠性建模;软件计算(计算出安全失效分数(SFF),结合硬件故障裕度(HFT),得出架构约束的安全完整性等级);根据失效数据和可靠性模型,计算要求时的失效概率PFD,并符合SIL要求时的检验测试周期),同时还可根据企业的需求,计算关键过程的误停车率;输出报告(计算结果、符合性评价、符合SIL要求的检验测试周期及建议措施等内容)。
◆ ◆ ◆ ◆ ◆
本文仅对其中计算要求时失效概率PFD的三种不同方法的优缺点进行讨论。
项目实例:
当设备液位过高时联锁关闭蒸汽阀组(FCV-01-681和EV-010656)和PCV-01-616阀,以避免设备内部的高压导致事故发生,造成人员伤亡和设备损坏。工艺见图如图1:
液位SIF回路的输入输出结构见表1,回路失效率数据见表2,回路SIL验证结果见表3。
表1 液位联锁回路的输入输出
回路名称 | 液位联锁回路 | 表决形式 |
输入单元 | LT_01-658A/B/C | 2oo3 |
逻辑处理单元 | PES | 1oo2D |
输出单元 | FCV-01-681/EV-01-656,PCV-01-616 | 2oo2 注:整个大组,其中FCV-01-681/EV-01-656阀组为1oo2 |
表2 液位联锁回路的失效率数据
名称 | λDD | λDU | λSD | λSU | 结构类型 | TI | MTTR |
液位计 | 6.22E-08 | 7.18E-08 | 7.97E-08 | 1.02E-07 | B | 36月 | 8小时 |
安全栅 | 3.00E-08 | 1.10E-07 | A | 36月 | 8小时 | ||
处理器 | 1.10E-06 | 1.50E-08 | 1.30E-06 | 6.0E-09 | B | 36月 | 4小时 |
电源 | 2.25E-06 | 2.50E-07 | B | 36月 | 4小时 | ||
DI卡件 | 1.30E-08 | 2.70E-08 | 1.30E-08 | B | 36月 | 4小时 | |
DO卡件 | 2.00E-08 | 1.20E-08 | B | 36月 | 4小时 | ||
执行器 | 5.60E-07 | 3.00E-07 | A | 36月 | 8小时 | ||
球阀1 | 5.30E-07 | A | 36月 | 8小时 | |||
球阀2 | 7.10E-07 | A | 36月 | 8小时 | |||
蝶阀 | 2.75E-06 | A | 36月 | 8小时 | |||
电磁阀 | 4.57E-09 | 1.10E-07 | A | 36月 | 8小时 |
由于参考文献中并未给出多通道的共因失效概率,故计算时均采用参考值0.1。另外可靠性框图法和故障树法不能计算功能测试覆盖率参数,无法给出多组结构及异型结构,因此计算时默认功能测试覆盖率为100%,采用这两种方法计算输出模块时首先以1oo1表决模式计算了单个阀门的PFD,且没有考虑共因失效的影响。
HAZOPkit软件及exSILentia软件均以Markov模型法为基础,故直接使用了两款软件作为Markov模型法的验算结果。其中exSILentia软件计算结果为参考文献的计算结果,因不确定计算时选用了哪些参数,所以仅作参考。
表3 液位联锁回路SIL计算结果
名称 | PFDavg数据 | |||
可靠性框图法 | 故障树法 | HAZOPkit软件 | exSILentia软件 | |
输入(包括液位计和安全栅) | 1.40E-04 | 1.52E-4 | 2.10E-04 | 2.52E-04 |
逻辑控制器(包含电源、处理器和卡件) | 3.04E-03 | 4.00E-3 | 3.99E-03 | 1.97E-04 |
输出(FCV-01-681/EV-01-656,PCV-01-616) | 1.74E-02 | 1.74E-2 | 1.90E-02 | 1.89E-02 |
SIF回路PFDavg | 2.10E-02 | 2.16E-2 | 2.32E-02 | 1.93E-02 |
有论文通过OREDA数据库中的先验数据对故障树法及Markov模型法的计算精度做了对比,发现在系统结构较简单的情况下两者的计算结果误差较小,且与先验数据吻合。Markov模型法对复杂系统计算结果表现更好。因此本文将不再比较这三种验算方法的精确度,仅对这三者从功能性及实用性上进行讨论。
表4 验证方法比较
可靠性框图法 | 故障树法 | Markov模型法 | |
计算的复杂程度 | 简单,可笔算 | 简单,可笔算 | 计算量很大,必须借助计算机 |
反应单个设备失效与系统失效的关系 | 一般 | 较好 | 较差 |
数据需求 | 数据需求量相对较小,仅考虑危险失效状态数据 | 数据需求量相对较小,仅考虑危险失效状态数据 | 数据需求量较大,包括危险失效状态数据及安全失效状态数据,但并不是必须的。 |
多失效模型 | 不支持 | 不支持 | 支持 |
建模范围 | 不易实现动态建模,一次建模只能求得一个可靠性指标 | 不易实现动态建模,一次建模只能求得一个可靠性指标 | 可实现动态建模,一次建模可以求得多个可靠性指标 |
多组表决模式 | 可支持 | 可支持 | 支持 |
异型结构 | 不支持 | 可支持 | 支持 |
功能测试覆盖率 | 不支持 | 不支持 | 可支持 |
计算复杂程度:
反映单个设备与系统间的联系:
多失效模型:
建模范围:
多组表决模式及异型结构:
功能测试覆盖率:
总结:
无论是可靠性框图法、故障树法还是Markov模型法进行SIL验证,都必须建立在设备及元件失效率统计的基础上,准确的数据是验证结果准确的前提。对于结构较简单的SIF回路,三种验证方法的验算结果均得出同一SIL等级的结论。
另外,可靠性框图法及故障法对于单个设备和系统间的关系有较好的描述,且简单模型的公式大多是公开的,因此企业在SIS系统设计、选型阶段可利用公式估计所需设备的可靠性数据下限。Markov模型法由于其灵活性、准确性,成为SIL验证软件的首选方案,其计算量过大,直观性差的特点在软件中也得到了解决。