耿杰（中化环境科技工程有限公司，辽宁 沈阳110021）

0 引言

安全仪表功能评估是对安全仪表功能进行验算，即安全完整性等级（SIL）验算，也有人翻译成“验证”。该步骤是对SIL定级的确认，查证该回路所用的元件失效概率是否符合定级时的级别。国家安全监管总局关于加强化工安全仪表系统管理的指导意见（安监总管三〔2014〕116号）中要求对在役生产装置或设施的化工企业和危险化学品储存单位进行现有安全仪表功能评估。那么，什么是安全仪表系统的评估？评估有哪些方法？需要做哪些工作？接下来，文章将做简要阐述。

1 安全完整性等级（SIL）验算方法

1.1 SIF构成

安全仪表功能（SIF）是由SIS执行的、具有特定安全完整性等级（SIL）的安全功能，将被控工艺对象置于或保持在安全状态。

安全仪表系统（SIS）是用于执行一个或多个SIF（安全仪表功能）的仪表系统。SIS 由传感器、逻辑控制器，以及最终元件构成。SIS 可以包括软件，可以包括人员动作作为SIF 的一部分。SIF要达到要求的SIL等级，安全仪表系统才能达到要求的安全功能。

1.2 验算方法选择

常用的SIL 验算的方法有可靠性框图、故障树、马尔可夫模型。

RBD可靠性框图是一种图形化分析方法，它用图形的方式来表示系统内部组件的串联关系，将表决方式的连接关系也转换为串并联的方式，具有简单、清晰、直观的特点。

故障树分析是根据布尔逻辑用图表示系统特定故障间的相互关系，它是对故障发生的根本原因进行推理分析，然后建立从结果到原因描述故障的有向逻辑图。该方法具有分析方法直观、应用范围广泛和逻辑性强等特点。

马尔可夫模型将系统归于不同的若干状态。一个状态会以某种状态转移到其他状态。马尔可夫模型包括了设备的多种失效模式，能覆盖最多的影响可靠性的因素，不受设备之间的依赖关系影响。因而成为SIL验算的主流方法。但马尔可夫模型涉及到转换图和数学矩阵，计算费时费力。

2 安全完整性等级（SIL）验算过程

SIF 的SIL 验算计算是将SIF 分解为子系统，如传感器、逻辑控制器、最终元件（切断阀等），先计算各子系统的要求时平均失效概率PFDavg，再将结果加和求得系统平均失效概率，计算公式如下：

进行PFDavg计算时，一般要完成的步骤：

（1）收集各回路中组件的失效数据（λ）；

（2）建立SIF回路中各组件的可靠性框图（RBD）；

（3）定量分析各SIF 回路要求时的平均失效概率（PFDavg）及平均误动作停车时间间隔（MTTFs）；

（4）计算SIF回路中各组件的PFDavg 贡献率；

（5）验证当前SIF回路是否满足目标SIL 等级要求；

SIL验算计算一般使用专门的计算软件。

3 假设及输入条件

PFDavg 的计算需考虑需求模式、失效率（λ）、表决机制（MooN）、检验测试覆盖率（CTI）、检验测试间隔（TI）、平均修复时间（MTTR）、共因失效因子（β）等因素的影响。

3.1 需求模式

需求模式分为低要求模式、高要求模式、连续模式。

低要求模式：在这种模式下，安全相关系统的操作频率不大于每年一次或者不大于两倍的检验测试频率；

高要求模式：在这种模式下，安全相关系统的操作频率大于每年一次或者大于两倍的测试周期频率；

连续模式：需求的发生为连续状态。

一般情况下，生产过程对SIS的需求为低要求模式。

3.2 失效率（λ）

随机硬件失效是不同部件由于退化原因而失效，这种失效在随机时间发生。随机硬件失效包括四种失效模式：安全可检测（λSD）、安全不可检测（λSU）、危险可检测（λDD）、危险不可检测（λDU）。其中危险不可检测（λDU）的失效模式对SIF 的影响非常重要。

失效率（λ）数据可以通过SIL认证证书、企业检修维护数据库或行业通用数据库获得。

3.3 硬件故障裕度（HFT）

硬件故障裕度（HFT）指出现故障或误差的情况下，功能单元继续执行要求功能的能力。硬件故障裕度（HFT）与表决机制（MooN）有关，HFT=N-M。

如安全仪表系统内有多个表决组，则要先计算表决组的平均失效概率。

3.4 检验测试覆盖率（CTI）

检验测试覆盖率（CTI）指对系统的平均失效概率影响很大，不完全的检验测试会使元件的平均失效概率曲线起点升高，如图1所示。

检验测试覆盖率（CTI）由业主提供或选取行业通用数据。

3.5 平均修复时间（MTTR）及平均无故障时间（MTTF）

平均恢复时间(MTTR)是从出现故障到恢复中间的这段时间。MTTR越短，系统的恢复性越好。

平均无故障时间(MTTF)即系统平均能够正常运行多长时间发生一次故障。MTTF越大，系统的可靠性越高。

3.6 检验测试周期（TI）

推荐与工艺装置停车检修周期一致，某些情况下也会短于工艺装置停车检修周期。

图1 不完全的检验测试下的元件平均失效概率

3.7 共因失效因子（β）

当采用冗余的同型部件时由于共同的原因引起两个或两个以上的元件同时失效叫做共因失效，共因失效概率通常在1%～20%之间，共因失效因子β根据不同情况选取。

3.8 初始事件（IE）

初始事件是事故场景的初始原因，一般包括外部事件、设备故障和人员失误。计算中涉及的初始事件（IE）概率可由业主提供，或取自行业典型的失效数据。

3.9 运行管理相关假设

安全仪表系统要达到设计的安全完整性等级，必须在设计、安装、使用、维护等方面遵循相关证书和安全手册。例如，所有SIF 回路元件的安装及选型均按照国家标准规范执行；所有元件的功能都能够被校验与测试；编制SIS 系统的维修与操作程序并定期审核；等等。

4 安全完整性等级（SIL）验算结果

根据计算得出每一个SIF回路的PFDavg，对照表1（以要求模式为例），判断该回路属于哪个SIL等级，将验算得出的SIL等级与SIL 定级结果对照，确定现有安全仪表系统的要求时平均失效概率是否满足SIL定级要求。

表1 要求模式安全完整性等级