你的位置:首页 > 新闻动态 > 行业新闻

安全完整性等级(SIL)验证-PFD计算方法的比较

2019/11/29 14:16:37      点击:


安全完整性等级(SIL)验证-PFD计算方法的比较



摘要:



IEC61511中明确规定,每个SIF要求时失效概率PFD应等于或低于安全要求规格书中指定的失效目标值,并需要通过计算进行确认。笔者分别采用可靠性框图法、故障树法、Markov模型法(使用软件计算)对实际项目进行了安全完整性等级(SIL)验证,对这三种主流的SIL验证PFD计算方法进行比较。



SIL验证流程:



SIL验证流程主要包括:成立验证组(专业人员);准备资料(SIF一览表,表格中应包含安全仪表回路及其目标SIL等级、所用仪表设备信息、设备失效数据、正在执行的检验测试周期);可靠性建模;软件计算(计算出安全失效分数(SFF),结合硬件故障裕度(HFT),得出架构约束的安全完整性等级);根据失效数据和可靠性模型,计算要求时的失效概率PFD,并符合SIL要求时的检验测试周期),同时还可根据企业的需求,计算关键过程的误停车率;输出报告(计算结果、符合性评价、符合SIL要求的检验测试周期及建议措施等内容)



本文仅对其中计算要求时失效概率PFD的三种不同方法的优缺点进行讨论。



项目实例:



当设备液位过高时联锁关闭蒸汽阀组(FCV-01-681EV-010656)和PCV-01-616,以避免设备内部的高压导致事故发生,造成人员伤亡和设备损坏。工艺见图如图1






 
 
 
 
 
 
 
 
 
 
 
 






1 液位联锁回路工艺简图





液位SIF回路的输入输出结构见表1,回路失效率数据见表2,回路SIL验证结果见表3



1 液位联锁回路的输入输出





 
 
 


 
 
 


 
 
 


 
 
 


 

回路名称


 

 

液位联锁回路


 

 

表决形式


 

 

输入单元


 

 

LT_01-658A/B/C


 

 

2oo3


 

 

逻辑处理单元


 

 

PES


 

 

1oo2D


 

 

输出单元


 

 

FCV-01-681/EV-01-656,PCV-01-616


 

 

2oo2


 

注:整个大组,其中FCV-01-681/EV-01-656阀组为1oo2


 


2 液位联锁回路的失效率数据





 
 
 
 
 
 
 
 


 
 
 
 
 
 
 
 


 
 
 
 
 
 
 
 


 
 
 
 
 
 
 
 


 
 
 
 
 
 
 
 


 
 
 
 
 
 
 
 


 
 
 
 
 
 
 
 


 
 
 
 
 
 
 
 


 
 
 
 
 
 
 
 


 
 
 
 
 
 
 
 


 
 
 
 
 
 
 
 


 
 
 
 
 
 
 
 


 

名称


 

 

λDD


 

 

λDU


 

 

λSD


 

 

λSU


 

 

结构类型


 

 

TI


 

 

MTTR


 

 

液位计


 

 

6.22E-08


 

 

7.18E-08


 

 

7.97E-08


 

 

1.02E-07


 

 

B


 

 

36


 

 

8小时


 

 

安全栅


 

 


 

 

3.00E-08


 

 


 

 

1.10E-07


 

 

A


 

 

36


 

 

8小时


 

 

处理器


 

 

1.10E-06


 

 

1.50E-08


 

 

1.30E-06


 

 

6.0E-09


 

 

B


 

 

36


 

 

4小时


 

 

电源


 

 


 

 

2.25E-06


 

 


 

 

2.50E-07


 

 

B


 

 

36


 

 

4小时


 

 

DI卡件


 

 


 

 

1.30E-08


 

 

2.70E-08


 

 

1.30E-08


 

 

B


 

 

36


 

 

4小时


 

 

DO卡件


 

 


 

 

2.00E-08


 

 


 

 

1.20E-08


 

 

B


 

 

36


 

 

4小时


 

 

执行器


 

 


 

 

5.60E-07


 

 


 

 

3.00E-07


 

 

A


 

 

36


 

 

8小时


 

 

球阀1


 

 


 

 

5.30E-07


 

 


 

 


 

 

A


 

 

36


 

 

8小时


 

 

球阀2


 

 


 

 

7.10E-07


 

 


 

 


 

 

A


 

 

36


 

 

8小时


 

 

蝶阀


 

 


 

 

2.75E-06


 

 


 

 


 

 

A


 

 

36


 

 

8小时


 

 

电磁阀


 

 


 

 

4.57E-09


 

 


 

 

1.10E-07


 

 

A


 

 

36


 

 

8小时


 


计算过程说明:



由于参考文献中并未给出多通道的共因失效概率,故计算时均采用参考值0.1。另外可靠性框图法和故障树法不能计算功能测试覆盖率参数,无法给出多组结构及异型结构,因此计算时默认功能测试覆盖率为100%,采用这两种方法计算输出模块时首先以1oo1表决模式计算了单个阀门的PFD,且没有考虑共因失效的影响。



HAZOPkit软件及exSILentia软件均以Markov模型法为基础,故直接使用了两款软件作为Markov模型法的验算结果。其中exSILentia软件计算结果为参考文献的计算结果,因不确定计算时选用了哪些参数,所以仅作参考。





3 液位联锁回路SIL计算结果





 
 


 
 
 
 
 


 
 
 
 
 


 
 
 
 
 


 
 
 
 
 


 
 
 
 
 


 

名称


 

 

PFDavg数据


 

 


 

 

可靠性框图法


 

 

故障树法


 

 

HAZOPkit软件


 

 

exSILentia软件


 

 

输入(包括液位计和安全栅)


 

 

1.40E-04


 

 

1.52E-4


 

 

2.10E-04


 

 

2.52E-04


 

 

逻辑控制器(包含电源、处理器和卡件)


 

 

3.04E-03


 

 

4.00E-3


 

 

3.99E-03


 

 

1.97E-04


 

 

输出(FCV-01-681/EV-01-656,PCV-01-616


 

 

1.74E-02


 

 

1.74E-2


 

 

1.90E-02


 

 

1.89E-02


 

 

SIF回路PFDavg


 

 

2.10E-02


 

 

2.16E-2


 

 

2.32E-02


 

 

1.93E-02


 




有论文通过OREDA数据库中的先验数据对故障树法及Markov模型法的计算精度做了对比,发现在系统结构较简单的情况下两者的计算结果误差较小,且与先验数据吻合。Markov模型法对复杂系统计算结果表现更好。因此本文将不再比较这三种验算方法的精确度,仅对这三者从功能性及实用性上进行讨论。



4 验证方法比较




 
 
 
 


 
 
 
 


 
 
 
 


 
 
 
 


 
 
 
 


 
 
 
 


 
 
 
 


 
 
 
 


 
 
 
 


 


 

 

可靠性框图法


 

 

故障树法


 

 

Markov模型法


 

 

计算的复杂程度


 

 

简单,可笔算


 

 

简单,可笔算


 

 

计算量很大,必须借助计算机


 

 

反应单个设备失效与系统失效的关系


 

 

一般


 

 

较好


 

 

较差


 

 

数据需求


 

 

数据需求量相对较小,仅考虑危险失效状态数据


 

 

数据需求量相对较小,仅考虑危险失效状态数据


 

 

数据需求量较大,包括危险失效状态数据及安全失效状态数据,但并不是必须的。


 

 

多失效模型


 

 

不支持


 

 

不支持


 

 

支持


 

 

建模范围


 

 

不易实现动态建模,一次建模只能求得一个可靠性指标


 

 

不易实现动态建模,一次建模只能求得一个可靠性指标


 

 

可实现动态建模,一次建模只能求得多个可靠性指标


 

 

多组表决模式


 

 

可支持


 

 

可支持


 

 

支持


 

 

异型结构


 

 

不支持


 

 

可支持


 

 

支持


 

 

功能测试覆盖率


 

 

不支持


 

 

不支持


 

 

可支持


 

计算复杂程度:

可靠性框图法及故障树法模型设计完成后,可根据推导出的PFD计算公式直接进行计算,计算量较小。而Markov模型是通过矩阵描述系统状态,计算量非常大,必须借助计算机才能实现计算。

反映单个设备与系统间的联系:

可靠性框图法对系统内部的串并联关系描述清晰,故障树法能直观体现单个设备故障与系统故障之间的逻辑关系。而Markov模型法在这方面表现较差。

数据需求:

一般认为Markov模型法的数据需求量较大,但是笔者通过计算发现,如果只考虑计算系统要求时失效率PFD时,仅采用可靠性框图法或故障树法需求的数据就可以得到相似的结果。

多失效模型:

故障树法是建立在事件只具有二态性且故障逻辑关系确定的假设基础上,因此难以描述多态性事件。比如对于某些电子元件,它可能有正常、开路、短路等状态。而Markov模型法是建立在概率学基础上,对多态系统有较好的描述。

建模范围:

可靠性框图法及故障树法一次建模只能求得一个可靠性指标,同时模型结构发生变化时必须重新推导计算公式,灵活性一般。

多组表决模式及异型结构:

在本次验证过程中,笔者碰到的最大麻烦就是输出模块(阀组)的计算。实例中三个阀门类型均不同,且分成了两组,由于找不到对应的公式,只能分别计算单个设备的PFD,再通过简单概率法计算。故障树法可支持多组表决及异型结构,但是公式的推导难度过大。

功能测试覆盖率:

本次验证中假定了功能测试覆盖率为100%,即每次功能测试后设备将回到初始状态,这显然是不符合实际的。实际测试的过程中,功能测试覆盖率对计算结果的影响较大,而这三种验证方法中,仅Markov模型法可实现这项功能。

 

总结:

无论是可靠性框图法、故障树法还是Markov模型法进行SIL验证,都必须建立在设备及元件失效率统计的基础上,准确的数据是验证结果准确的前提。对于结构较简单的SIF回路,三种验证方法的验算结果均得出同一SIL等级的结论。

另外,可靠性框图法及故障法对于单个设备和系统间的关系有较好的描述,且简单模型的公式大多是公开的,因此企业在SIS系统设计、选型阶段可利用公式估计设备所需的可靠性数据下限。Markov模型法由于其灵活性、准确性,成为SIL验证软件的首选方案,其计算量过大,直观性差的特点在软件中也得到了解决。