结构约束是影响SIL验证结果的要素

2024/5/28 1:34:41 人评论 次浏览 分类:DCS  文章地址:http://yunrun.com.cn/tech/5600.html

SIL验证过程中,我们经常会遇到这样的问题:明明某个SIF的失效概率满足了SIL定级的要求,但最终的验证结果却不符合。这是为什么?

1、SIL验证的指标

依据IEC61508、IEC61511、GB/T20438、GB/T21109、GB/T50770等标准要求,SIF的SIL等级需要从失效概率、结构约束和系统能力这3个方面进行验证。

失效概率,就是SIF发生失效的概率,不同失效概率对应不同的SIL等级。


结构约束,就是字面意思,SIF结构上的约束。不同的SIL等级对结构约束的要求不同,反过来就是不同的结构约束能达到的SIL等级不同。


系统能力,工程术语定义为设备应对系统性失效的能力,不同SIF由于硬件上的差异,能够达到的系统能力等级也不同。这个概念比较抽象。拿小轿车做个类比,车辆速度盘上的最高速度能达到240km/h,不代表车子实际就能跑到这么高的速度,但这个240就是车辆系统的速度能力。(大致是这个意思,实际说明白需要花很长篇幅)


在SIL验证中,一个SIF最终的SIL等级,取失效概率、结构约束和系统能力这3个要素对应的SIL等级的最小值。
通常,如果一个SIF的验证不通过,要么是失效概率SIL等级不满足,要么是结构约束不满足,只有很少情况下是因为系统能力不满足。

2、详说结构约束

总体而言,结构约束是受故障裕度(HFT)和安全失效分数(SFF)二者影响的。

故障裕度,是指“出现故障或错误时,功能单元能够继续执行要求的功能或操作的能力。”(定义来自GB/T21109.1)


简而言之就是描述坏了1个还有其他能顶上的能力。对于MooN结构,HFT=N-M。


故障裕度体现的是冗余的概念。


安全失效分数,是用来衡量设备失效表现的一个指标。
SFF=(λs+λdd)/(λs+λd),或者SFF=1-λs/(λs+λd)。(此处默认:λs=λsd+λsu,λd=λdd+λdu)

IEC61508中,对A类设备的结构约束要求如下:

IEC61508中对A类设备的结构约束要求

IEC61508,对B类设备的结构约束要求如下:

IEC61508中对B类设备的结构约束要求

IEC61511对结构约束的要求与IEC61508略有差异,但基本上也还是这个意思。GB/T50770对结构约束要求得比较泛,在此不再赘述,如果感兴趣可以查阅标准原文。


综上,对结构约束的要求,和冗余有很大关联,但二者之间并不等同。(GB/T50770对结构约束要求就只考虑了冗余)


3、为何要设置结构约束?

先说结论:结构约束的目的是防止在实施风险控制措施时一味追求SIS的低失效率而忽略了风险控制措施的整体性。

啥意思这是?

LOPA的洋葱模型/奶酪模型

这要回到LOPA的洋葱模型/奶酪模型说起。


在LOPA中,针对某一事故场景,有本质安全设计、基本过程控制等多种风险控制措施,这些风险控制措施共同组成了应对该事故场景的风险防护。而SIS仅仅是众多风险控制措施中的一种而已。


单纯的从概率的角度而言,如果将SIS类的失效概率降到足够低,那么事故发生概率就可以足够低。


但这样做存在问题。


为什么?


在LOPA中,我们讨论的失效是针对设备本身而言的。设备失效会导致该风险控制措施失效,但风险控制失效不全是设备失效造成的。


尤其是针对SIS而言。导致SIS没起作用的原因包括但不限于:设备失效、外力破坏、以及未投用。对,这个未投用,看似骇人听闻,实际很常见。对很多中小企业而言,压根没有具备足够专业技能的技术人员来运维SIS,与其投用了各种搞不懂,还不如直接放一边不管,反正事故发生是讲概率的。


从另外一个角度而言,当SIS的失效率(内因)足够低时,外力破坏、未投用等等这些导致SIS不起作用的外因就不能不重视了。从矛盾论的角度来看,这个时候的主要矛盾已经发生了变化。


假如某SIF的失效概率是1E-3,但可以预见的外因导致SIF不起作用的发生频率为1E-1/a,那么这个SIF真实的失效表现怎么样呢?


只要SIS,不要其他类型的保护措施行不行?答案显而易见。


所以,为了防止鸡蛋全都放在一个篮子里,人们在SIL验证时又人为增加了结构约束和系统能力这两个要求。


这就是结构约束的意义所在。


相关阅读

什么条件下装置需要上SIS系统
SIL等级是怎么确定的?依据是什么
紧急切断阀选型设计与在SIS系统中的应用

共有访客发表了评论 网友评论

  客户姓名:
邮箱或QQ:
验证码: 看不清楚?