1、SIL驗證的指標(biāo)
依據(jù)IEC61508、IEC61511、GB/T20438、GB/T21109、GB/T50770等標(biāo)準(zhǔn)要求,SIF的SIL等級需要從失效概率、結(jié)構(gòu)約束和系統(tǒng)能力這3個方面進行驗證。
失效概率,就是SIF發(fā)生失效的概率,不同失效概率對應(yīng)不同的SIL等級。
結(jié)構(gòu)約束,就是字面意思,SIF結(jié)構(gòu)上的約束。不同的SIL等級對結(jié)構(gòu)約束的要求不同,反過來就是不同的結(jié)構(gòu)約束能達到的SIL等級不同。
系統(tǒng)能力,工程術(shù)語定義為設(shè)備應(yīng)對系統(tǒng)性失效的能力,不同SIF由于硬件上的差異,能夠達到的系統(tǒng)能力等級也不同。這個概念比較抽象。拿小轎車做個類比,車輛速度盤上的最高速度能達到240km/h,不代表車子實際就能跑到這么高的速度,但這個240就是車輛系統(tǒng)的速度能力。(大致是這個意思,實際說明白需要花很長篇幅)
在SIL驗證中,一個SIF最終的SIL等級,取失效概率、結(jié)構(gòu)約束和系統(tǒng)能力這3個要素對應(yīng)的SIL等級的最小值。通常,如果一個SIF的驗證不通過,要么是失效概率SIL等級不滿足,要么是結(jié)構(gòu)約束不滿足,只有很少情況下是因為系統(tǒng)能力不滿足。
2、詳說結(jié)構(gòu)約束
總體而言,結(jié)構(gòu)約束是受故障裕度(HFT)和安全失效分數(shù)(SFF)二者影響的。
故障裕度,是指“出現(xiàn)故障或錯誤時,功能單元能夠繼續(xù)執(zhí)行要求的功能或操作的能力。”(定義來自GB/T21109.1)
簡而言之就是描述壞了1個還有其他能頂上的能力。對于MooN結(jié)構(gòu),HFT=N-M。
故障裕度體現(xiàn)的是冗余的概念。
安全失效分數(shù),是用來衡量設(shè)備失效表現(xiàn)的一個指標(biāo)。SFF=(λs+λdd)/(λs+λd),或者SFF=1-λs/(λs+λd)。(此處默認:λs=λsd+λsu,λd=λdd+λdu)
IEC61508中,對A類設(shè)備的結(jié)構(gòu)約束要求如下:
IEC61508,對B類設(shè)備的結(jié)構(gòu)約束要求如下:
IEC61511對結(jié)構(gòu)約束的要求與IEC61508略有差異,但基本上也還是這個意思。GB/T50770對結(jié)構(gòu)約束要求得比較泛,在此不再贅述,如果感興趣可以查閱標(biāo)準(zhǔn)原文。
綜上,對結(jié)構(gòu)約束的要求,和冗余有很大關(guān)聯(lián),但二者之間并不等同。(GB/T50770對結(jié)構(gòu)約束要求就只考慮了冗余)
3、為何要設(shè)置結(jié)構(gòu)約束?
先說結(jié)論:結(jié)構(gòu)約束的目的是防止在實施風(fēng)險控制措施時一味追求SIS的低失效率而忽略了風(fēng)險控制措施的整體性。
啥意思這是?
這要回到LOPA的洋蔥模型/奶酪模型說起。
在LOPA中,針對某一事故場景,有本質(zhì)安全設(shè)計、基本過程控制等多種風(fēng)險控制措施,這些風(fēng)險控制措施共同組成了應(yīng)對該事故場景的風(fēng)險防護。而SIS僅僅是眾多風(fēng)險控制措施中的一種而已。
單純的從概率的角度而言,如果將SIS類的失效概率降到足夠低,那么事故發(fā)生概率就可以足夠低。
但這樣做存在問題。
為什么?
在LOPA中,我們討論的失效是針對設(shè)備本身而言的。設(shè)備失效會導(dǎo)致該風(fēng)險控制措施失效,但風(fēng)險控制失效不全是設(shè)備失效造成的。
尤其是針對SIS而言。導(dǎo)致SIS沒起作用的原因包括但不限于:設(shè)備失效、外力破壞、以及未投用。對,這個未投用,看似駭人聽聞,實際很常見。對很多中小企業(yè)而言,壓根沒有具備足夠?qū)I(yè)技能的技術(shù)人員來運維SIS,與其投用了各種搞不懂,還不如直接放一邊不管,反正事故發(fā)生是講概率的。
從另外一個角度而言,當(dāng)SIS的失效率(內(nèi)因)足夠低時,外力破壞、未投用等等這些導(dǎo)致SIS不起作用的外因就不能不重視了。從矛盾論的角度來看,這個時候的主要矛盾已經(jīng)發(fā)生了變化。
假如某SIF的失效概率是1E-3,但可以預(yù)見的外因?qū)е耂IF不起作用的發(fā)生頻率為1E-1/a,那么這個SIF真實的失效表現(xiàn)怎么樣呢?
只要SIS,不要其他類型的保護措施行不行?答案顯而易見。
所以,為了防止雞蛋全都放在一個籃子里,人們在SIL驗證時又人為增加了結(jié)構(gòu)約束和系統(tǒng)能力這兩個要求。
這就是結(jié)構(gòu)約束的意義所在。
相關(guān)閱讀
◆什么條件下裝置需要上SIS系統(tǒng)
◆SIL等級是怎么確定的?依據(jù)是什么
◆緊急切斷閥選型設(shè)計與在SIS系統(tǒng)中的應(yīng)用
