安全完整性等級(SIL)驗(yàn)證-PFD計(jì)算方法的比較
摘要:
在IEC61511中明確規(guī)定,每個(gè)SIF要求時(shí)失效概率PFD應(yīng)等于或低于安全要求規(guī)格書中指定的失效目標(biāo)值,并需要通過計(jì)算進(jìn)行確認(rèn)。筆者分別采用可靠性框圖法、故障樹法、Markov模型法(使用軟件計(jì)算)對實(shí)際項(xiàng)目進(jìn)行了安全完整性等級(SIL)驗(yàn)證,對這三種主流的SIL驗(yàn)證PFD計(jì)算方法進(jìn)行比較。
SIL驗(yàn)證流程主要包括:成立驗(yàn)證組(專業(yè)人員);準(zhǔn)備資料(SIF一覽表,表格中應(yīng)包含安全儀表回路及其目標(biāo)SIL等級、所用儀表設(shè)備信息、設(shè)備失效數(shù)據(jù)、檢驗(yàn)測試周期);可靠性建模;軟件計(jì)算(計(jì)算出安全失效分?jǐn)?shù)(SFF),結(jié)合硬件故障裕度(HFT),得出架構(gòu)約束的安全完整性等級);根據(jù)失效數(shù)據(jù)和可靠性模型,計(jì)算要求時(shí)的失效概率PFD,并符合SIL要求時(shí)的檢驗(yàn)測試周期),同時(shí)還可根據(jù)企業(yè)的需求,計(jì)算關(guān)鍵過程的誤停車率;輸出報(bào)告(計(jì)算結(jié)果、符合性評價(jià)、符合SIL要求的檢驗(yàn)測試周期及建議措施等內(nèi)容)。
◆ ◆ ◆ ◆ ◆
本文僅對其中計(jì)算要求時(shí)失效概率PFD的三種不同方法的優(yōu)缺點(diǎn)進(jìn)行討論。
項(xiàng)目實(shí)例:
當(dāng)設(shè)備液位過高時(shí)聯(lián)鎖關(guān)閉蒸汽閥組(FCV-01-681和EV-010656)和PCV-01-616閥,以避免設(shè)備內(nèi)部的高壓導(dǎo)致事故發(fā)生,造成人員傷亡和設(shè)備損壞。工藝見圖如圖1:
液位SIF回路的輸入輸出結(jié)構(gòu)見表1,回路失效率數(shù)據(jù)見表2,回路SIL驗(yàn)證結(jié)果見表3。
表1 液位聯(lián)鎖回路的輸入輸出
回路名稱 | 液位聯(lián)鎖回路 | 表決形式 |
輸入單元 | LT_01-658A/B/C | 2oo3 |
邏輯處理單元 | PES | 1oo2D |
輸出單元 | FCV-01-681/EV-01-656,PCV-01-616 | 2oo2 注:整個(gè)大組,其中FCV-01-681/EV-01-656閥組為1oo2 |
表2 液位聯(lián)鎖回路的失效率數(shù)據(jù)
名稱 | λDD | λDU | λSD | λSU | 結(jié)構(gòu)類型 | TI | MTTR |
液位計(jì) | 6.22E-08 | 7.18E-08 | 7.97E-08 | 1.02E-07 | B | 36月 | 8小時(shí) |
安全柵 | 3.00E-08 | 1.10E-07 | A | 36月 | 8小時(shí) | ||
處理器 | 1.10E-06 | 1.50E-08 | 1.30E-06 | 6.0E-09 | B | 36月 | 4小時(shí) |
電源 | 2.25E-06 | 2.50E-07 | B | 36月 | 4小時(shí) | ||
DI卡件 | 1.30E-08 | 2.70E-08 | 1.30E-08 | B | 36月 | 4小時(shí) | |
DO卡件 | 2.00E-08 | 1.20E-08 | B | 36月 | 4小時(shí) | ||
執(zhí)行器 | 5.60E-07 | 3.00E-07 | A | 36月 | 8小時(shí) | ||
球閥1 | 5.30E-07 | A | 36月 | 8小時(shí) | |||
球閥2 | 7.10E-07 | A | 36月 | 8小時(shí) | |||
蝶閥 | 2.75E-06 | A | 36月 | 8小時(shí) | |||
電磁閥 | 4.57E-09 | 1.10E-07 | A | 36月 | 8小時(shí) |
由于參考文獻(xiàn)中并未給出多通道的共因失效概率,故計(jì)算時(shí)均采用參考值0.1。另外可靠性框圖法和故障樹法不能計(jì)算功能測試覆蓋率參數(shù),無法給出多組結(jié)構(gòu)及異型結(jié)構(gòu),因此計(jì)算時(shí)默認(rèn)功能測試覆蓋率為100%,采用這兩種方法計(jì)算輸出模塊時(shí)首先以1oo1表決模式計(jì)算了單個(gè)閥門的PFD,且沒有考慮共因失效的影響。
HAZOPkit軟件及exSILentia軟件均以Markov模型法為基礎(chǔ),故直接使用了兩款軟件作為Markov模型法的驗(yàn)算結(jié)果。其中exSILentia軟件計(jì)算結(jié)果為參考文獻(xiàn)的計(jì)算結(jié)果,因不確定計(jì)算時(shí)選用了哪些參數(shù),所以僅作參考。
表3 液位聯(lián)鎖回路SIL計(jì)算結(jié)果
名稱 | PFDavg數(shù)據(jù) | |||
可靠性框圖法 | 故障樹法 | HAZOPkit軟件 | exSILentia軟件 | |
輸入(包括液位計(jì)和安全柵) | 1.40E-04 | 1.52E-4 | 2.10E-04 | 2.52E-04 |
邏輯控制器(包含電源、處理器和卡件) | 3.04E-03 | 4.00E-3 | 3.99E-03 | 1.97E-04 |
輸出(FCV-01-681/EV-01-656,PCV-01-616) | 1.74E-02 | 1.74E-2 | 1.90E-02 | 1.89E-02 |
SIF回路PFDavg | 2.10E-02 | 2.16E-2 | 2.32E-02 | 1.93E-02 |
有論文通過OREDA數(shù)據(jù)庫中的先驗(yàn)數(shù)據(jù)對故障樹法及Markov模型法的計(jì)算精度做了對比,發(fā)現(xiàn)在系統(tǒng)結(jié)構(gòu)較簡單的情況下兩者的計(jì)算結(jié)果誤差較小,且與先驗(yàn)數(shù)據(jù)吻合。Markov模型法對復(fù)雜系統(tǒng)計(jì)算結(jié)果表現(xiàn)更好。因此本文將不再比較這三種驗(yàn)算方法的精確度,僅對這三者從功能性及實(shí)用性上進(jìn)行討論。
表4 驗(yàn)證方法比較
可靠性框圖法 | 故障樹法 | Markov模型法 | |
計(jì)算的復(fù)雜程度 | 簡單,可筆算 | 簡單,可筆算 | 計(jì)算量很大,必須借助計(jì)算機(jī) |
反應(yīng)單個(gè)設(shè)備失效與系統(tǒng)失效的關(guān)系 | 一般 | 較好 | 較差 |
數(shù)據(jù)需求 | 數(shù)據(jù)需求量相對較小,僅考慮危險(xiǎn)失效狀態(tài)數(shù)據(jù) | 數(shù)據(jù)需求量相對較小,僅考慮危險(xiǎn)失效狀態(tài)數(shù)據(jù) | 數(shù)據(jù)需求量較大,包括危險(xiǎn)失效狀態(tài)數(shù)據(jù)及安全失效狀態(tài)數(shù)據(jù),但并不是必須的。 |
多失效模型 | 不支持 | 不支持 | 支持 |
建模范圍 | 不易實(shí)現(xiàn)動態(tài)建模,一次建模只能求得一個(gè)可靠性指標(biāo) | 不易實(shí)現(xiàn)動態(tài)建模,一次建模只能求得一個(gè)可靠性指標(biāo) | 可實(shí)現(xiàn)動態(tài)建模,一次建模可以求得多個(gè)可靠性指標(biāo) |
多組表決模式 | 可支持 | 可支持 | 支持 |
異型結(jié)構(gòu) | 不支持 | 可支持 | 支持 |
功能測試覆蓋率 | 不支持 | 不支持 | 可支持 |
計(jì)算復(fù)雜程度:
反映單個(gè)設(shè)備與系統(tǒng)間的聯(lián)系:
多失效模型:
建模范圍:
多組表決模式及異型結(jié)構(gòu):
功能測試覆蓋率:
總結(jié):
無論是可靠性框圖法、故障樹法還是Markov模型法進(jìn)行SIL驗(yàn)證,都必須建立在設(shè)備及元件失效率統(tǒng)計(jì)的基礎(chǔ)上,準(zhǔn)確的數(shù)據(jù)是驗(yàn)證結(jié)果準(zhǔn)確的前提。對于結(jié)構(gòu)較簡單的SIF回路,三種驗(yàn)證方法的驗(yàn)算結(jié)果均得出同一SIL等級的結(jié)論。
另外,可靠性框圖法及故障法對于單個(gè)設(shè)備和系統(tǒng)間的關(guān)系有較好的描述,且簡單模型的公式大多是公開的,因此企業(yè)在SIS系統(tǒng)設(shè)計(jì)、選型階段可利用公式估計(jì)所需設(shè)備的可靠性數(shù)據(jù)下限。Markov模型法由于其靈活性、準(zhǔn)確性,成為SIL驗(yàn)證軟件的首選方案,其計(jì)算量過大,直觀性差的特點(diǎn)在軟件中也得到了解決。