SIL定级时如何提前判断SIF能否实现？

前言

我们知道在进行危险与可操作性（HAZOP）分析和安全完整性等级（SIL）评估之后，如果确定需要增加安全仪表系统（SIS）来降低风险，那么就需要对仪表安全功能（SIF）进行SIL验算。常规的SIL验算过程相对比较繁琐漫长，且常有验算结果无法满足目标SIL等级要求的情况（即无法通过SIL验证），这时候又要回过头分析各种可能原因，可能是SIF设计的问题，也可能是某个仪表设备的问题……这是目前SIL验算工作普遍存在的现象。

试想一下，如果SIL定级的时候我们把SIL验算流程简化，不需要提供设备的失效数据和复杂的计算，经过简单判断就能得到SIF大概的SIL等级，是不是就能大大提高工作效率，减少返工？我们称之为实用简化的SIL预验算：

1.一般情况下，单一执行动作（1oo1）的SIF，采用通用数据计算可以实现SIL1级别，但PFDavg很难达到1.00E-02（RRF=100）。如果都采用SIL2及以上的SIL认证设备，组成的SIF则可达到SIL2级别但PFDavg很难达到1.00E-03甚至2.50E-03这个数值，换言之在SIL定级的时候，若要求SIF的PFD小于2.50E-03或RRF超过400，则SIL验算的结果很难达到定级的要求(如某个SIL2的SIF定级时要求PFD小于1.00E-03，那么在SIL验算时注定失败！)；

2.SIL验算过程中，传感器是否设置冗余对整个SIF的PFDavg影响较小，而要求同时执行的动作（关键动作）的增加却对整个SIF的PFDavg影响较大。

3.若所有设备均采用认证的失效数据计算，SIF的目标要求为SIL2时，关键动作不宜超过3个；随着关键动作的增加，SIF可以实现的SIL等级会出现降级趋势。

本文将根据实际项目中的失效数据并结合项目组成员的丰富经验，详细探讨上述SIL预验算的方法。

SIL验算方法概述

在确定SIL等级时，应考虑导致非安全状态的所有失效因素，如硬件随机失效、软硬件设计缺陷和环境干扰等。这些类型中的某些失效，特别是硬件随机失效，在低要求操作模式下可以使用要求时的平均失效概率（PFDavg）来量化。但SIF的安全完整性还取决于许多因素，它们不能精确量化，只能定性考虑。故常规的SIL验算，通过对SIF各组成部分的PFDavg计算分析，并综合结构约束、系统能力等方面来考量验证SIF的SIL等级，以确认其是否满足目标SIL等级要求。

由于化工行业中SIF的SIL等级要求主要集中在SIL1和SIL2级别，在SIL验算的时候结构约束和系统能力比较容易满足目标SIL等级要求，所以后文将假定只采用PFDavg来代表整个SIF的SIL等级。

PFDavg的值是由SIF中安全功能的子系统PFDavg加和得出，是在一定运行周期内要求时发生失效的平均概率，其中还受测试周期、测试覆盖率、共因失效等诸多参数影响。为了方便计算分析，提出以下前提：

1.将SIF划分为传感器（包括传感器和输入接口元件）、逻辑运算器（包括CPU、电源和各模块通道）和最终执行元件（包括最终执行元件和输出接口元件）三个部分，整个SIF的PFDavg计算如下：

PFDavg=PFD+ PFD+ PFD

其中：

PFDavg 是整个SIF要求时的平均失效概率；

PFD是传感器要求时的平均失效概率；PFD是逻辑运算器要求时的平均失效概率；PFD是最终执行元件要求时的平均失效概率；

2.假设装置设计使用年限为15年，平均恢复时间（MTTR）为24小时，检验测试周期（TI）为12个月，功能测试覆盖率（CTI）为100%，共因失效因子（β）为5%，操作模式为低要求操作模式；

3.同类型设备分别采用通用失效数据和认证失效数据，仅考虑设备未检测到的危险失效（DU）。如表1-失效数据表：

表1-失效数据表

SIF1:反应釜R101温度(TZS101,1oo1)高高联锁关闭进料阀XZV101(1oo1)

SIF2:反应釜R102温度(TZS102A,TZS102B,1oo2)高高联锁关闭进料阀XZV102(1oo1)

SIF3:反应釜R103温度(TZS103,1oo1)高高联锁关闭进料阀XZV103A和XZV103B(2oo2)

上述SIF将采用表1-失效数据表中的数据计算，计算结果如表2-各SIF计算表：

表2-各SIF计算表

将SIF各组件的PFDavg进行数据对比分析，如图1、图2、图3:

图1-SIF1的PFDavg占比分布

图2-SIF2的PFDavg占比分布

图3-SIF3的PFDavg占比分布

根据上图三个部分对SIF的PFDavg占比分析，我们可以初步得出以下结论:

1)无论采用通用失效数据还是认证失效数据，逻辑运算器部分的PFDavg对整个SIF的PFDavg几乎没有影响；

2)执行动作为阀门类的SIF，最终执行元件部分PFDavg占比远大于传感器部分PFDavg占比。A、当采用认证失效数据计算PFDavg，最终执行元件部分在PFDavg占比明显更大；B、当传感器设置冗余（如SIF2，传感器1oo2）或增加要求同时执行的动作（即关键动作，如SIF3，关键动作2oo2）时，最终执行元件部分在PFDavg占比非常明显。

通常条件下，上述情况是由以下原因造成的：

①从仪表设备未检测到的危险失效（DU）来说，阀门失效概率一般大于变送器；

②从装置复杂程度来说，执行开关阀动作涉及的设备个数多于传感器部分;

③从SIF设计来说，传感器可能会设置冗余，而关键动作的增加却会提高最终执行元件部分的PFDavg。

根据表2-各SIF计算表中各SIF的合计数据，即整个SIF的PFDavg，得到如图4-各SIF的PFDavg合计值:

图4-各SIF的PFDavg合计值

根据上图，我们可以得出以下结论：

3)单一执行动作的SIF，所有设备均采用通用数据计算可以实现SIL1级别，但PFDavg很难达到1.00E-02这个数值。所有设备均采用认证数据计算可以实现SIL2级别（如SIF1和SIF2），但PFDavg很难达到1.00E-03（RRF=1000）甚至2.50E-03（RRF=400）这个数值；

4)不论采用何种数据计算，传感器设置冗余对整个SIF的PFDavg影响较小（对比SIF2和SIF1），增加关键动作对整个SIF的PFDavg影响较大（对比SIF3和SIF1）。

目前为止，根据上述结论，在经过具体计算之前，我们已经对何种设计的SIF及采用何种数据去计算SIF，最终能实现对应的SIL等级有了大概判断。为了再进一步探讨关键动作的增加对整个SIF的PFDavg的影响关系，分别设置以下SIF:

SIF4:反应釜R104温度(TZS104,1oo1)高高联锁关闭进料阀XZV104A~C(3oo3)

SIF5:反应釜R105温度(TZS105,1oo1)高高联锁关闭进料阀XZV105A~D(4oo4)

SIF6:反应釜R106温度(TZS106,1oo1)高高联锁关闭进料阀XZV106A~E(5oo5)

SIF7:反应釜R107温度(TZS107,1oo1)高高联锁关闭进料阀XZV107A~F(6oo6)

上述SIF将采用表1-失效数据表中的数据计算，再结合之前SIF1和SIF3的数据，结果如图4-SIF的PFDavg合计值：

图4-SIF的PFDavg合计值

根据上图，我们可以得出以下结论：

5)若所有设备均采用认证数据计算，当SIF目标要求为SIL2时，关键动作不宜超过3个；

6)随着关键动作的增加，SIF可以实现的SIL等级会出现降级趋势。

最后，我们以一个简单的实际案例结束这篇文章，该案例只给出SIF描述和目标要求，请广大读者来预验算判断，不用经过具体验证计算，仅凭给定的SIF描述就能判断出能否达到目标要求，案例见表3-案例简析：

表3-案例简析

审核编辑 ：李倩