耿杰（中化環(huán)境科技工程有限公司，遼寧 沈陽110021）

0 引言

安全儀表功能評估是對安全儀表功能進行驗算，即安全完整性等級（SIL）驗算，也有人翻譯成“驗證”。該步驟是對SIL定級的確認，查證該回路所用的元件失效概率是否符合定級時的級別。國家安全監(jiān)管總局關(guān)于加強化工安全儀表系統(tǒng)管理的指導(dǎo)意見（安監(jiān)總管三〔2014〕116號）中要求對在役生產(chǎn)裝置或設(shè)施的化工企業(yè)和危險化學(xué)品儲存單位進行現(xiàn)有安全儀表功能評估。那么，什么是安全儀表系統(tǒng)的評估？評估有哪些方法？需要做哪些工作？接下來，文章將做簡要闡述。

1 安全完整性等級（SIL）驗算方法

1.1 SIF構(gòu)成

安全儀表功能（SIF）是由SIS執(zhí)行的、具有特定安全完整性等級（SIL）的安全功能，將被控工藝對象置于或保持在安全狀態(tài)。

安全儀表系統(tǒng)（SIS）是用于執(zhí)行一個或多個SIF（安全儀表功能）的儀表系統(tǒng)。SIS 由傳感器、邏輯控制器，以及最終元件構(gòu)成。SIS 可以包括軟件，可以包括人員動作作為SIF 的一部分。SIF要達到要求的SIL等級，安全儀表系統(tǒng)才能達到要求的安全功能。

1.2 驗算方法選擇

常用的SIL 驗算的方法有可靠性框圖、故障樹、馬爾可夫模型。

RBD可靠性框圖是一種圖形化分析方法，它用圖形的方式來表示系統(tǒng)內(nèi)部組件的串聯(lián)關(guān)系，將表決方式的連接關(guān)系也轉(zhuǎn)換為串并聯(lián)的方式，具有簡單、清晰、直觀的特點。

故障樹分析是根據(jù)布爾邏輯用圖表示系統(tǒng)特定故障間的相互關(guān)系，它是對故障發(fā)生的根本原因進行推理分析，然后建立從結(jié)果到原因描述故障的有向邏輯圖。該方法具有分析方法直觀、應(yīng)用范圍廣泛和邏輯性強等特點。

馬爾可夫模型將系統(tǒng)歸于不同的若干狀態(tài)。一個狀態(tài)會以某種狀態(tài)轉(zhuǎn)移到其他狀態(tài)。馬爾可夫模型包括了設(shè)備的多種失效模式，能覆蓋最多的影響可靠性的因素，不受設(shè)備之間的依賴關(guān)系影響。因而成為SIL驗算的主流方法。但馬爾可夫模型涉及到轉(zhuǎn)換圖和數(shù)學(xué)矩陣，計算費時費力。

2 安全完整性等級（SIL）驗算過程

SIF 的SIL 驗算計算是將SIF 分解為子系統(tǒng)，如傳感器、邏輯控制器、最終元件（切斷閥等），先計算各子系統(tǒng)的要求時平均失效概率PFDavg，再將結(jié)果加和求得系統(tǒng)平均失效概率，計算公式如下：

進行PFDavg計算時，一般要完成的步驟：

（1）收集各回路中組件的失效數(shù)據(jù)（λ）；

（2）建立SIF回路中各組件的可靠性框圖（RBD）；

（3）定量分析各SIF 回路要求時的平均失效概率（PFDavg）及平均誤動作停車時間間隔（MTTFs）；

（4）計算SIF回路中各組件的PFDavg 貢獻率；

（5）驗證當前SIF回路是否滿足目標SIL 等級要求；

SIL驗算計算一般使用專門的計算軟件。

3 假設(shè)及輸入條件

PFDavg 的計算需考慮需求模式、失效率（λ）、表決機制（MooN）、檢驗測試覆蓋率（CTI）、檢驗測試間隔（TI）、平均修復(fù)時間（MTTR）、共因失效因子（β）等因素的影響。

3.1 需求模式

需求模式分為低要求模式、高要求模式、連續(xù)模式。

低要求模式：在這種模式下，安全相關(guān)系統(tǒng)的操作頻率不大于每年一次或者不大于兩倍的檢驗測試頻率；

高要求模式：在這種模式下，安全相關(guān)系統(tǒng)的操作頻率大于每年一次或者大于兩倍的測試周期頻率；

連續(xù)模式：需求的發(fā)生為連續(xù)狀態(tài)。

一般情況下，生產(chǎn)過程對SIS的需求為低要求模式。

3.2 失效率（λ）

隨機硬件失效是不同部件由于退化原因而失效，這種失效在隨機時間發(fā)生。隨機硬件失效包括四種失效模式：安全可檢測（λSD）、安全不可檢測（λSU）、危險可檢測（λDD）、危險不可檢測（λDU）。其中危險不可檢測（λDU）的失效模式對SIF 的影響非常重要。

失效率（λ）數(shù)據(jù)可以通過SIL認證證書、企業(yè)檢修維護數(shù)據(jù)庫或行業(yè)通用數(shù)據(jù)庫獲得。

3.3 硬件故障裕度（HFT）

硬件故障裕度（HFT）指出現(xiàn)故障或誤差的情況下，功能單元繼續(xù)執(zhí)行要求功能的能力。硬件故障裕度（HFT）與表決機制（MooN）有關(guān)，HFT=N-M。

如安全儀表系統(tǒng)內(nèi)有多個表決組，則要先計算表決組的平均失效概率。

3.4 檢驗測試覆蓋率（CTI）

檢驗測試覆蓋率（CTI）指對系統(tǒng)的平均失效概率影響很大，不完全的檢驗測試會使元件的平均失效概率曲線起點升高，如圖1所示。

檢驗測試覆蓋率（CTI）由業(yè)主提供或選取行業(yè)通用數(shù)據(jù)。

3.5 平均修復(fù)時間（MTTR）及平均無故障時間（MTTF）

平均恢復(fù)時間(MTTR)是從出現(xiàn)故障到恢復(fù)中間的這段時間。MTTR越短，系統(tǒng)的恢復(fù)性越好。

平均無故障時間(MTTF)即系統(tǒng)平均能夠正常運行多長時間發(fā)生一次故障。MTTF越大，系統(tǒng)的可靠性越高。

3.6 檢驗測試周期（TI）

推薦與工藝裝置停車檢修周期一致，某些情況下也會短于工藝裝置停車檢修周期。

圖1 不完全的檢驗測試下的元件平均失效概率

3.7 共因失效因子（β）

當采用冗余的同型部件時由于共同的原因引起兩個或兩個以上的元件同時失效叫做共因失效，共因失效概率通常在1%～20%之間，共因失效因子β根據(jù)不同情況選取。

3.8 初始事件（IE）

初始事件是事故場景的初始原因，一般包括外部事件、設(shè)備故障和人員失誤。計算中涉及的初始事件（IE）概率可由業(yè)主提供，或取自行業(yè)典型的失效數(shù)據(jù)。

3.9 運行管理相關(guān)假設(shè)

安全儀表系統(tǒng)要達到設(shè)計的安全完整性等級，必須在設(shè)計、安裝、使用、維護等方面遵循相關(guān)證書和安全手冊。例如，所有SIF 回路元件的安裝及選型均按照國家標準規(guī)范執(zhí)行；所有元件的功能都能夠被校驗與測試；編制SIS 系統(tǒng)的維修與操作程序并定期審核；等等。

4 安全完整性等級（SIL）驗算結(jié)果

根據(jù)計算得出每一個SIF回路的PFDavg，對照表1（以要求模式為例），判斷該回路屬于哪個SIL等級，將驗算得出的SIL等級與SIL 定級結(jié)果對照，確定現(xiàn)有安全儀表系統(tǒng)的要求時平均失效概率是否滿足SIL定級要求。

表1 要求模式安全完整性等級