安全完整性等级(SafetyIntegrityLevel,简称SIL),国际标准IEC61508中定义的一种离散性的等级,它用来衡量安全相关系统成功执行规定的安全功能的概率。概率越高,则安全完整性等级越高。安全完整性等级分为4个级别,即SIL1、SIL2、SIL3和SIL4。根据国家安监总管[2014]116号文规定,涉及“两重点一重大”的在役装置必须开展安全仪表系统的评估,SIL验证是计算评估现有安全仪表系统(SIS)硬件及SIF回路安全完整性等级,从而判定安全仪表系统能否满足SIL定级需求,确保安全仪表系统能够达到设计目的。
典型的SIL验证流程如图所示。
SIL验证输入资料宜包括但不局限于以下内容:
a)工程设计资料,包括P&ID、逻辑图等;
b)SIF清单、SIF组成和SIF安全关键设备清单;
c)SIF的SIL级别要求;
d)SIF的操作模式;
e)SIF的目标失效量要求;
f)检验测试间隔(TI);
g)仪表设备的可靠性数据;
h)配置方案,包括表决形式(MooN);
i)仪表设备安全手册;
j)变更文件。
SIL验证应包括SIF硬件安全完整性验证;SIL验证可包括系统性安全完整性验证。硬件安全完整性验证应包括失效量验证和结构约束验证。在低要求操作模式时,失效量验证应采用PFDavg验证;在连续操作模式或高要求操作模式时,失效量验证应采用PFH验证。
应确定用于SIL验证的SIF目标失效量。SIL定级给出明确的目标失效量时,SIF目标失效量应采用此目标失效量。SIL定级没有给出明确的目标失效量,只给出SIL等级时,SIF目标失效量参考表3或表4,可采用要求达到的SIL等级对应的最小的PFDavg或PFH。
每个SIF均应满足结构约束要求,结构约束要求可通过HFT的要求表达。
当SIS可被分解成独立的SIS子系统时(如传感器、逻辑解算器及最终元件),则HFT可在SIS子系统层级指定。
SIS或SIS子系统的HFT和相关要求应按照以下3种路线之一确定:
a)符合表5的要求,并且全可变语言(FVL)和有限可变语言(LVL)可编程设备的诊断覆盖率应不小于60%,并且失效量计算中使用的可靠性数据应由不小于70%的统计置信区间上限确定;
b)符合表6的要求和路线 1H的要求;
c)符合表5的要求和路线 2H的要求。
设备的系统性能力SC N(N=1,2,3)应满足SIF要求的SIL等级要求。设备的系统性能力SC N是指SIL N的系统性安全完整性已被满足。
对于某具有系统性能力SC N的组件,若该组件的系统性故障并不会使指定安全功能失效,而仅在另一个具有系统性能力SCN的组件同时发生系统故障时才会使指定功能失效,则在两个组件之间足够独立的前提下其组合的系统性能力可视为SC(N+1)。
多个系统性能力为SCN的组件组合后可声明的最高系统性能力为SC(N+1)。每个SCN组件在这种方式下仅能使用一次,不准许继续增加SCN组件达到或超过SC(N+2)。
SIL验证不满足要求时,可采取的措施例如:
a)选择高可靠性设备;
b)提高冗余配置;
c)缩短TI(如适用);
d)提高检验测试覆盖率;
e)减少共因失效;
f)增加PST功能;
g)重新进行安全评估,考虑是否可通过增加保护层来降低SIL等级要求。
获取调查报告全文:3EHS安全山
如需获取原文,可以点击上方链接。
扫描左侧二维码添加联系方式。