安全完整性等級(SIL)驗證-PFD計算方法的比較
摘要:
在IEC61511中明確規定,每個SIF要求時失效概率PFD應等于或低于安全要求規格書中指定的失效目標值,并需要通過計算進行確認。筆者分別采用可靠性框圖法、故障樹法、Markov模型法(使用軟件計算)對實際項目進行了安全完整性等級(SIL)驗證,對這三種主流的SIL驗證PFD計算方法進行比較。
SIL驗證流程主要包括:成立驗證組(專業人員);準備資料(SIF一覽表,表格中應包含安全儀表回路及其目標SIL等級、所用儀表設備信息、設備失效數據、檢驗測試周期);可靠性建模;軟件計算(計算出安全失效分數(SFF),結合硬件故障裕度(HFT),得出架構約束的安全完整性等級);根據失效數據和可靠性模型,計算要求時的失效概率PFD,并符合SIL要求時的檢驗測試周期),同時還可根據企業的需求,計算關鍵過程的誤停車率;輸出報告(計算結果、符合性評價、符合SIL要求的檢驗測試周期及建議措施等內容)。
◆ ◆ ◆ ◆ ◆
本文僅對其中計算要求時失效概率PFD的三種不同方法的優缺點進行討論。
項目實例:
當設備液位過高時聯鎖關閉蒸汽閥組(FCV-01-681和EV-010656)和PCV-01-616閥,以避免設備內部的高壓導致事故發生,造成人員傷亡和設備損壞。工藝見圖如圖1:
液位SIF回路的輸入輸出結構見表1,回路失效率數據見表2,回路SIL驗證結果見表3。
表1 液位聯鎖回路的輸入輸出
回路名稱 | 液位聯鎖回路 | 表決形式 |
輸入單元 | LT_01-658A/B/C | 2oo3 |
邏輯處理單元 | PES | 1oo2D |
輸出單元 | FCV-01-681/EV-01-656,PCV-01-616 | 2oo2 注:整個大組,其中FCV-01-681/EV-01-656閥組為1oo2 |
表2 液位聯鎖回路的失效率數據
名稱 | λDD | λDU | λSD | λSU | 結構類型 | TI | MTTR |
液位計 | 6.22E-08 | 7.18E-08 | 7.97E-08 | 1.02E-07 | B | 36月 | 8小時 |
安全柵 | 3.00E-08 | 1.10E-07 | A | 36月 | 8小時 | ||
處理器 | 1.10E-06 | 1.50E-08 | 1.30E-06 | 6.0E-09 | B | 36月 | 4小時 |
電源 | 2.25E-06 | 2.50E-07 | B | 36月 | 4小時 | ||
DI卡件 | 1.30E-08 | 2.70E-08 | 1.30E-08 | B | 36月 | 4小時 | |
DO卡件 | 2.00E-08 | 1.20E-08 | B | 36月 | 4小時 | ||
執行器 | 5.60E-07 | 3.00E-07 | A | 36月 | 8小時 | ||
球閥1 | 5.30E-07 | A | 36月 | 8小時 | |||
球閥2 | 7.10E-07 | A | 36月 | 8小時 | |||
蝶閥 | 2.75E-06 | A | 36月 | 8小時 | |||
電磁閥 | 4.57E-09 | 1.10E-07 | A | 36月 | 8小時 |
由于參考文獻中并未給出多通道的共因失效概率,故計算時均采用參考值0.1。另外可靠性框圖法和故障樹法不能計算功能測試覆蓋率參數,無法給出多組結構及異型結構,因此計算時默認功能測試覆蓋率為100%,采用這兩種方法計算輸出模塊時首先以1oo1表決模式計算了單個閥門的PFD,且沒有考慮共因失效的影響。
HAZOPkit軟件及exSILentia軟件均以Markov模型法為基礎,故直接使用了兩款軟件作為Markov模型法的驗算結果。其中exSILentia軟件計算結果為參考文獻的計算結果,因不確定計算時選用了哪些參數,所以僅作參考。
表3 液位聯鎖回路SIL計算結果
名稱 | PFDavg數據 | |||
可靠性框圖法 | 故障樹法 | HAZOPkit軟件 | exSILentia軟件 | |
輸入(包括液位計和安全柵) | 1.40E-04 | 1.52E-4 | 2.10E-04 | 2.52E-04 |
邏輯控制器(包含電源、處理器和卡件) | 3.04E-03 | 4.00E-3 | 3.99E-03 | 1.97E-04 |
輸出(FCV-01-681/EV-01-656,PCV-01-616) | 1.74E-02 | 1.74E-2 | 1.90E-02 | 1.89E-02 |
SIF回路PFDavg | 2.10E-02 | 2.16E-2 | 2.32E-02 | 1.93E-02 |
有論文通過OREDA數據庫中的先驗數據對故障樹法及Markov模型法的計算精度做了對比,發現在系統結構較簡單的情況下兩者的計算結果誤差較小,且與先驗數據吻合。Markov模型法對復雜系統計算結果表現更好。因此本文將不再比較這三種驗算方法的精確度,僅對這三者從功能性及實用性上進行討論。
表4 驗證方法比較
可靠性框圖法 | 故障樹法 | Markov模型法 | |
計算的復雜程度 | 簡單,可筆算 | 簡單,可筆算 | 計算量很大,必須借助計算機 |
反應單個設備失效與系統失效的關系 | 一般 | 較好 | 較差 |
數據需求 | 數據需求量相對較小,僅考慮危險失效狀態數據 | 數據需求量相對較小,僅考慮危險失效狀態數據 | 數據需求量較大,包括危險失效狀態數據及安全失效狀態數據,但并不是必須的。 |
多失效模型 | 不支持 | 不支持 | 支持 |
建模范圍 | 不易實現動態建模,一次建模只能求得一個可靠性指標 | 不易實現動態建模,一次建模只能求得一個可靠性指標 | 可實現動態建模,一次建模可以求得多個可靠性指標 |
多組表決模式 | 可支持 | 可支持 | 支持 |
異型結構 | 不支持 | 可支持 | 支持 |
功能測試覆蓋率 | 不支持 | 不支持 | 可支持 |
計算復雜程度:
反映單個設備與系統間的聯系:
多失效模型:
建模范圍:
多組表決模式及異型結構:
功能測試覆蓋率:
總結:
無論是可靠性框圖法、故障樹法還是Markov模型法進行SIL驗證,都必須建立在設備及元件失效率統計的基礎上,準確的數據是驗證結果準確的前提。對于結構較簡單的SIF回路,三種驗證方法的驗算結果均得出同一SIL等級的結論。
另外,可靠性框圖法及故障法對于單個設備和系統間的關系有較好的描述,且簡單模型的公式大多是公開的,因此企業在SIS系統設計、選型階段可利用公式估計所需設備的可靠性數據下限。Markov模型法由于其靈活性、準確性,成為SIL驗證軟件的首選方案,其計算量過大,直觀性差的特點在軟件中也得到了解決。