結構約束是影響SIL驗證結果的要素

2024/5/28 1:34:41 人評論次瀏覽分類：DCS 文章地址：http://www.gsipv.com/tech/5600.html

在SIL驗證過程中，我們經常會遇到這樣的問題：明明某個SIF的失效概率滿足了SIL定級的要求，但最終的驗證結果卻不符合。這是為什么？

1、SIL驗證的指標
依據IEC61508、IEC61511、GB/T20438、GB/T21109、GB/T50770等標準要求，SIF的SIL等級需要從失效概率、結構約束和系統能力這3個方面進行驗證。

失效概率，就是SIF發生失效的概率，不同失效概率對應不同的SIL等級。

結構約束，就是字面意思，SIF結構上的約束。不同的SIL等級對結構約束的要求不同，反過來就是不同的結構約束能達到的SIL等級不同。

系統能力，工程術語定義為設備應對系統性失效的能力，不同SIF由于硬件上的差異，能夠達到的系統能力等級也不同。這個概念比較抽象。拿小轎車做個類比，車輛速度盤上的最高速度能達到240km/h，不代表車子實際就能跑到這么高的速度，但這個240就是車輛系統的速度能力。(大致是這個意思，實際說明白需要花很長篇幅)

在SIL驗證中，一個SIF最終的SIL等級，取失效概率、結構約束和系統能力這3個要素對應的SIL等級的最小值。通常，如果一個SIF的驗證不通過，要么是失效概率SIL等級不滿足，要么是結構約束不滿足，只有很少情況下是因為系統能力不滿足。

2、詳說結構約束
總體而言，結構約束是受故障裕度(HFT)和安全失效分數(SFF)二者影響的。

故障裕度，是指“出現故障或錯誤時,功能單元能夠繼續執行要求的功能或操作的能力。”(定義來自GB/T21109.1)

簡而言之就是描述壞了1個還有其他能頂上的能力。對于MooN結構，HFT=N-M。

故障裕度體現的是冗余的概念。

安全失效分數，是用來衡量設備失效表現的一個指標。SFF=(λs+λdd)/(λs+λd)，或者SFF=1-λs/(λs+λd)。(此處默認：λs=λsd+λsu，λd=λdd+λdu)

IEC61508中，對A類設備的結構約束要求如下：

IEC61508中對A類設備的結構約束要求

IEC61508，對B類設備的結構約束要求如下：

IEC61508中對B類設備的結構約束要求

IEC61511對結構約束的要求與IEC61508略有差異，但基本上也還是這個意思。GB/T50770對結構約束要求得比較泛，在此不再贅述，如果感興趣可以查閱標準原文。

綜上，對結構約束的要求，和冗余有很大關聯，但二者之間并不等同。(GB/T50770對結構約束要求就只考慮了冗余)

3、為何要設置結構約束？
先說結論：結構約束的目的是防止在實施風險控制措施時一味追求SIS的低失效率而忽略了風險控制措施的整體性。

啥意思這是？

這要回到LOPA的洋蔥模型/奶酪模型說起。

在LOPA中，針對某一事故場景，有本質安全設計、基本過程控制等多種風險控制措施，這些風險控制措施共同組成了應對該事故場景的風險防護。而SIS僅僅是眾多風險控制措施中的一種而已。

單純的從概率的角度而言，如果將SIS類的失效概率降到足夠低，那么事故發生概率就可以足夠低。

但這樣做存在問題。

為什么？

在LOPA中，我們討論的失效是針對設備本身而言的。設備失效會導致該風險控制措施失效，但風險控制失效不全是設備失效造成的。

尤其是針對SIS而言。導致SIS沒起作用的原因包括但不限于：設備失效、外力破壞、以及未投用。對，這個未投用，看似駭人聽聞，實際很常見。對很多中小企業而言，壓根沒有具備足夠專業技能的技術人員來運維SIS，與其投用了各種搞不懂，還不如直接放一邊不管，反正事故發生是講概率的。

從另外一個角度而言，當SIS的失效率(內因)足夠低時，外力破壞、未投用等等這些導致SIS不起作用的外因就不能不重視了。從矛盾論的角度來看，這個時候的主要矛盾已經發生了變化。

假如某SIF的失效概率是1E-3，但可以預見的外因導致SIF不起作用的發生頻率為1E-1/a，那么這個SIF真實的失效表現怎么樣呢？

只要SIS，不要其他類型的保護措施行不行？答案顯而易見。

所以，為了防止雞蛋全都放在一個籃子里，人們在SIL驗證時又人為增加了結構約束和系統能力這兩個要求。

這就是結構約束的意義所在。

相關閱讀
◆什么條件下裝置需要上SIS系統
◆SIL等級是怎么確定的?依據是什么
◆緊急切斷閥選型設計與在SIS系統中的應用

上一篇：三種進口DCS國產化替代方案

下一篇：可燃有毒氣體報警器/圍堰能否作為SIS系統獨立保護層？