前言

我們知道在進行危險與可操作性（HAZOP）分析和安全完整性等級（SIL）評估之后，如果確定需要增加安全儀表系統（SIS）來降低風險，那么就需要對儀表安全功能（SIF）進行SIL驗算。常規的SIL驗算過程相對比較繁瑣漫長，且常有驗算結果無法滿足目標SIL等級要求的情況（即無法通過SIL驗證），這時候又要回過頭分析各種可能原因，可能是SIF設計的問題，也可能是某個儀表設備的問題……這是目前SIL驗算工作普遍存在的現象。

試想一下，如果SIL定級的時候我們把SIL驗算流程簡化，不需要提供設備的失效數據和復雜的計算，經過簡單判斷就能得到SIF大概的SIL等級，是不是就能大大提高工作效率，減少返工？我們稱之為實用簡化的SIL預驗算：

1.一般情況下，單一執行動作（1oo1）的SIF，采用通用數據計算可以實現SIL1級別，但PFDavg很難達到1.00E-02（RRF=100）。如果都采用SIL2及以上的SIL認證設備，組成的SIF則可達到SIL2級別但PFDavg很難達到1.00E-03甚至2.50E-03這個數值，換言之在SIL定級的時候，若要求SIF的PFD小于2.50E-03或RRF超過400，則SIL驗算的結果很難達到定級的要求(如某個SIL2的SIF定級時要求PFD小于1.00E-03，那么在SIL驗算時注定失敗！)；

2.SIL驗算過程中，傳感器是否設置冗余對整個SIF的PFDavg影響較小，而要求同時執行的動作（關鍵動作）的增加卻對整個SIF的PFDavg影響較大。

3.若所有設備均采用認證的失效數據計算，SIF的目標要求為SIL2時，關鍵動作不宜超過3個；隨著關鍵動作的增加，SIF可以實現的SIL等級會出現降級趨勢。

本文將根據實際項目中的失效數據并結合項目組成員的豐富經驗，詳細探討上述SIL預驗算的方法。

SIL驗算方法概述

在確定SIL等級時，應考慮導致非安全狀態的所有失效因素，如硬件隨機失效、軟硬件設計缺陷和環境干擾等。這些類型中的某些失效，特別是硬件隨機失效，在低要求操作模式下可以使用要求時的平均失效概率（PFDavg）來量化。但SIF的安全完整性還取決于許多因素，它們不能精確量化，只能定性考慮。故常規的SIL驗算，通過對SIF各組成部分的PFDavg計算分析，并綜合結構約束、系統能力等方面來考量驗證SIF的SIL等級，以確認其是否滿足目標SIL等級要求。

由于化工行業中SIF的SIL等級要求主要集中在SIL1和SIL2級別，在SIL驗算的時候結構約束和系統能力比較容易滿足目標SIL等級要求，所以后文將假定只采用PFDavg來代表整個SIF的SIL等級。

PFDavg的值是由SIF中安全功能的子系統PFDavg加和得出，是在一定運行周期內要求時發生失效的平均概率，其中還受測試周期、測試覆蓋率、共因失效等諸多參數影響。為了方便計算分析，提出以下前提：

1.將SIF劃分為傳感器（包括傳感器和輸入接口元件）、邏輯運算器（包括CPU、電源和各模塊通道）和最終執行元件（包括最終執行元件和輸出接口元件）三個部分，整個SIF的PFDavg計算如下：

PFDavg=PFD+ PFD+ PFD

其中：

PFDavg 是整個SIF要求時的平均失效概率；

PFD是傳感器要求時的平均失效概率；PFD是邏輯運算器要求時的平均失效概率；PFD是最終執行元件要求時的平均失效概率；

2.假設裝置設計使用年限為15年，平均恢復時間（MTTR）為24小時，檢驗測試周期（TI）為12個月，功能測試覆蓋率（CTI）為100%，共因失效因子（β）為5%，操作模式為低要求操作模式；

3.同類型設備分別采用通用失效數據和認證失效數據，僅考慮設備未檢測到的危險失效（DU）。如表1-失效數據表：

表1-失效數據表

SIF1:反應釜R101溫度(TZS101,1oo1)高高聯鎖關閉進料閥XZV101(1oo1)

SIF2:反應釜R102溫度(TZS102A,TZS102B,1oo2)高高聯鎖關閉進料閥XZV102(1oo1)

SIF3:反應釜R103溫度(TZS103,1oo1)高高聯鎖關閉進料閥XZV103A和XZV103B(2oo2)

上述SIF將采用表1-失效數據表中的數據計算，計算結果如表2-各SIF計算表：

表2-各SIF計算表

將SIF各組件的PFDavg進行數據對比分析，如圖1、圖2、圖3:

圖1-SIF1的PFDavg占比分布

圖2-SIF2的PFDavg占比分布

圖3-SIF3的PFDavg占比分布

根據上圖三個部分對SIF的PFDavg占比分析，我們可以初步得出以下結論:

1)無論采用通用失效數據還是認證失效數據，邏輯運算器部分的PFDavg對整個SIF的PFDavg幾乎沒有影響；

2)執行動作為閥門類的SIF，最終執行元件部分PFDavg占比遠大于傳感器部分PFDavg占比。A、當采用認證失效數據計算PFDavg，最終執行元件部分在PFDavg占比明顯更大；B、當傳感器設置冗余（如SIF2，傳感器1oo2）或增加要求同時執行的動作（即關鍵動作，如SIF3，關鍵動作2oo2）時，最終執行元件部分在PFDavg占比非常明顯。

通常條件下，上述情況是由以下原因造成的：

①從儀表設備未檢測到的危險失效（DU）來說，閥門失效概率一般大于變送器；

②從裝置復雜程度來說，執行開關閥動作涉及的設備個數多于傳感器部分;

③從SIF設計來說，傳感器可能會設置冗余，而關鍵動作的增加卻會提高最終執行元件部分的PFDavg。

根據表2-各SIF計算表中各SIF的合計數據，即整個SIF的PFDavg，得到如圖4-各SIF的PFDavg合計值:

圖4-各SIF的PFDavg合計值

根據上圖，我們可以得出以下結論：

3)單一執行動作的SIF，所有設備均采用通用數據計算可以實現SIL1級別，但PFDavg很難達到1.00E-02這個數值。所有設備均采用認證數據計算可以實現SIL2級別（如SIF1和SIF2），但PFDavg很難達到1.00E-03（RRF=1000）甚至2.50E-03（RRF=400）這個數值；

4)不論采用何種數據計算，傳感器設置冗余對整個SIF的PFDavg影響較小（對比SIF2和SIF1），增加關鍵動作對整個SIF的PFDavg影響較大（對比SIF3和SIF1）。

目前為止，根據上述結論，在經過具體計算之前，我們已經對何種設計的SIF及采用何種數據去計算SIF，最終能實現對應的SIL等級有了大概判斷。為了再進一步探討關鍵動作的增加對整個SIF的PFDavg的影響關系，分別設置以下SIF:

SIF4:反應釜R104溫度(TZS104,1oo1)高高聯鎖關閉進料閥XZV104A~C(3oo3)

SIF5:反應釜R105溫度(TZS105,1oo1)高高聯鎖關閉進料閥XZV105A~D(4oo4)

SIF6:反應釜R106溫度(TZS106,1oo1)高高聯鎖關閉進料閥XZV106A~E(5oo5)

SIF7:反應釜R107溫度(TZS107,1oo1)高高聯鎖關閉進料閥XZV107A~F(6oo6)

上述SIF將采用表1-失效數據表中的數據計算，再結合之前SIF1和SIF3的數據，結果如圖4-SIF的PFDavg合計值：

圖4-SIF的PFDavg合計值

根據上圖，我們可以得出以下結論：

5)若所有設備均采用認證數據計算，當SIF目標要求為SIL2時，關鍵動作不宜超過3個；

6)隨著關鍵動作的增加，SIF可以實現的SIL等級會出現降級趨勢。

最后，我們以一個簡單的實際案例結束這篇文章，該案例只給出SIF描述和目標要求，請廣大讀者來預驗算判斷，不用經過具體驗證計算，僅憑給定的SIF描述就能判斷出能否達到目標要求，案例見表3-案例簡析：

表3-案例簡析

審核編輯 ：李倩