结构约束是影响SIL验证结果的要素

2024/5/28 1:34:41 人评论次浏览分类：DCS 文章地址：//ny-tec.com/tech/5600.html

在SIL验证过程中，我们经常会遇到这样的问题：明明某个SIF的失效概率满足了SIL定级的要求，但最终的验证结果却不符合。这是为什么？

1、SIL验证的指标
依据IEC61508、IEC61511、GB/T20438、GB/T21109、GB/T50770等标准要求，SIF的SIL等级需要从失效概率、结构约束和系统能力这3个方面进行验证。

失效概率，就是SIF发生失效的概率，不同失效概率对应不同的SIL等级。

结构约束，就是字面意思，SIF结构上的约束。不同的SIL等级对结构约束的要求不同，反过来就是不同的结构约束能达到的SIL等级不同。

系统能力，工程术语定义为设备应对系统性失效的能力，不同SIF由于硬件上的差异，能够达到的系统能力等级也不同。这个概念比较抽象。拿小轿车做个类比，车辆速度盘上的最高速度能达到240km/h，不代表车子实际就能跑到这么高的速度，但这个240就是车辆系统的速度能力。(大致是这个意思，实际说明白需要花很长篇幅)

在SIL验证中，一个SIF最终的SIL等级，取失效概率、结构约束和系统能力这3个要素对应的SIL等级的最小值。通常，如果一个SIF的验证不通过，要么是失效概率SIL等级不满足，要么是结构约束不满足，只有很少情况下是因为系统能力不满足。

2、详说结构约束
总体而言，结构约束是受故障裕度(HFT)和安全失效分数(SFF)二者影响的。

故障裕度，是指“出现故障或错误时,功能单元能够继续执行要求的功能或操作的能力。”(定义来自GB/T21109.1)

简而言之就是描述坏了1个还有其他能顶上的能力。对于MooN结构，HFT=N-M。

故障裕度体现的是冗余的概念。

安全失效分数，是用来衡量设备失效表现的一个指标。SFF=(λs+λdd)/(λs+λd)，或者SFF=1-λs/(λs+λd)。(此处默认：λs=λsd+λsu，λd=λdd+λdu)

IEC61508中，对A类设备的结构约束要求如下：

IEC61508中对A类设备的结构约束要求

IEC61508，对B类设备的结构约束要求如下：

IEC61508中对B类设备的结构约束要求

IEC61511对结构约束的要求与IEC61508略有差异，但基本上也还是这个意思。GB/T50770对结构约束要求得比较泛，在此不再赘述，如果感兴趣可以查阅标准原文。

综上，对结构约束的要求，和冗余有很大关联，但二者之间并不等同。(GB/T50770对结构约束要求就只考虑了冗余)

3、为何要设置结构约束？
先说结论：结构约束的目的是防止在实施风险控制措施时一味追求SIS的低失效率而忽略了风险控制措施的整体性。

啥意思这是？

这要回到LOPA的洋葱模型/奶酪模型说起。

在LOPA中，针对某一事故场景，有本质安全设计、基本过程控制等多种风险控制措施，这些风险控制措施共同组成了应对该事故场景的风险防护。而SIS仅仅是众多风险控制措施中的一种而已。

单纯的从概率的角度而言，如果将SIS类的失效概率降到足够低，那么事故发生概率就可以足够低。

但这样做存在问题。

为什么？

在LOPA中，我们讨论的失效是针对设备本身而言的。设备失效会导致该风险控制措施失效，但风险控制失效不全是设备失效造成的。

尤其是针对SIS而言。导致SIS没起作用的原因包括但不限于：设备失效、外力破坏、以及未投用。对，这个未投用，看似骇人听闻，实际很常见。对很多中小企业而言，压根没有具备足够专业技能的技术人员来运维SIS，与其投用了各种搞不懂，还不如直接放一边不管，反正事故发生是讲概率的。

从另外一个角度而言，当SIS的失效率(内因)足够低时，外力破坏、未投用等等这些导致SIS不起作用的外因就不能不重视了。从矛盾论的角度来看，这个时候的主要矛盾已经发生了变化。

假如某SIF的失效概率是1E-3，但可以预见的外因导致SIF不起作用的发生频率为1E-1/a，那么这个SIF真实的失效表现怎么样呢？

只要SIS，不要其他类型的保护措施行不行？答案显而易见。

所以，为了防止鸡蛋全都放在一个篮子里，人们在SIL验证时又人为增加了结构约束和系统能力这两个要求。

这就是结构约束的意义所在。

相关阅读
◆什么条件下装置需要上SIS系统
◆SIL等级是怎么确定的?依据是什么
◆紧急切断阀选型设计与在SIS系统中的应用

上一篇：三种进口DCS国产化替代方案

下一篇：可燃有毒气体报警器/围堰能否作为SIS系统独立保护层？