结构约束是影响SIL验证结果的要素
2025年02月03日 11:04:10
来源:云南昌晖仪表制造有限公司 >> 进入该公司展台
阅读量:65
在过程中,我们经常会遇到这样的问题:明明某个SIF的失效概率满足了SIL定级的要求,但最终的验证结果却不符合。这是为什么?
1、SIL验证的指标依据IEC61508、IEC61511、GB/T20438、GB/T21109、GB/T50770等标准要求,SIF的需要从失效概率、结构约束和系统能力这3个方面进行验证。
失效概率,就是SIF发生失效的概率,不同失效概率对应不同的SIL等级。
结构约束,就是字面意思,SIF结构上的约束。不同的SIL等级对结构约束的要求不同,反过来就是不同的结构约束能达到的SIL等级不同。
系统能力,工程术语定义为设备应对系统性失效的能力,不同SIF由于硬件上的差异,能够达到的系统能力等级也不同。这个概念比较抽象。拿小轿车做个类比,车辆速度盘上的速度能达到240km/h,不代表车子实际就能跑到这么高的速度,但这个240就是车辆系统的速度能力。(大致是这个意思,实际说明白需要花很长篇幅)
在SIL验证中,一个SIF最终的SIL等级,取失效概率、结构约束和系统能力这3个要素对应的SIL等级的最小值。通常,如果一个SIF的验证不通过,要么是失效概率SIL等级不满足,要么是结构约束不满足,只有很少情况下是因为系统能力不满足。
2、详说结构约束总体而言,结构约束是受故障裕度(HFT)和安全失效分数(SFF)二者影响的。
故障裕度,是指“出现故障或错误时,功能单元能够继续执行要求的功能或操作的能力。”(定义来自GB/T21109.1)
简而言之就是描述坏了1个还有其他能顶上的能力。对于MooN结构,HFT=N-M。
故障裕度体现的是冗余的概念。
安全失效分数,是用来衡量设备失效表现的一个指标。SFF=(λs+λdd)/(λs+λd),或者SFF=1-λs/(λs+λd)。(此处默认:λs=λsd+λsu,λd=λdd+λdu)
IEC61508中,对A类设备的结构约束要求如下:
IEC61508,对B类设备的结构约束要求如下:
IEC61511对结构约束的要求与IEC61508略有差异,但基本上也还是这个意思。GB/T50770对结构约束要求得比较泛,在此不再赘述,如果感兴趣可以查阅标准原文。
综上,对结构约束的要求,和冗余有很大关联,但二者之间并不等同。(GB/T50770对结构约束要求就只考虑了冗余)
3、为何要设置结构约束?先说结论:结构约束的目的是防止在实施风险控制措施时一味追求SIS的低失效率而忽略了风险控制措施的整体性。
啥意思这是?
这要回到LOPA的洋葱模型/奶酪模型说起。
在LOPA中,针对某一事故场景,有本质安全设计、基本过程控制等多种风险控制措施,这些风险控制措施共同组成了应对该事故场景的风险防护。而SIS仅仅是众多风险控制措施中的一种而已。
单纯的从概率的角度而言,如果将SIS类的失效概率降到足够低,那么事故发生概率就可以足够低。
但这样做存在问题。
为什么?
在LOPA中,我们讨论的失效是针对设备本身而言的。设备失效会导致该风险控制措施失效,但风险控制失效不全是设备失效造成的。
尤其是针对SIS而言。导致SIS没起作用的原因包括但不限于:设备失效、外力破坏、以及未投用。对,这个未投用,看似骇人听闻,实际很常见。对很多中小企业而言,压根没有具备足够专业技能的技术人员来运维SIS,与其投用了各种搞不懂,还不如直接放一边不管,反正事故发生是讲概率的。
从另外一个角度而言,当SIS的失效率(内因)足够低时,外力破坏、未投用等等这些导致SIS不起作用的外因就不能不重视了。从矛盾论的角度来看,这个时候的主要矛盾已经发生了变化。
假如某SIF的失效概率是1E-3,但可以预见的外因导致SIF不起作用的发生频率为1E-1/a,那么这个SIF真实的失效表现怎么样呢?
只要SIS,不要其他类型的保护措施行不行?答案显而易见。
所以,为了防止鸡蛋全都放在一个篮子里,人们在SIL验证时又人为增加了结构约束和系统能力这两个要求。
这就是结构约束的意义所在。
◆◆◆
版权与免责声明:
1.凡本网注明"来源:全球装备网"的所有作品,版权均属于全球装备网,转载请必须注明全球装备网。违反者本网将追究相关法律责任。
2.企业发布的公司新闻、技术文章、资料下载等内容,如涉及侵权、违规遭投诉的,一律由发布企业自行承担责任,本网有权删除内容并追溯责任。
3.本网转载并注明自其它来源的作品,目的在于传递更多信息,并不代表本网赞同其观点或证实其内容的真实性,不承担此类作品侵权行为的直接责任及连带责任。其他媒体、网站或个人从本网转载时,必须保留本网注明的作品来源,并自负版权等法律责任。
4.如涉及作品内容、版权等问题,请在作品发表之日起一周内与本网联系。
