干货 | 检验测试周期(Ti)对SIL计算影响的11个关键点

干货 | 检验测试周期(Ti)对SIL计算影响的11个关键点
特别策划

作者:唐彬,王琳
好文:4256字 | 10分钟阅读
 

 
对于想挑战下安全功能回路的SIL验证计算的工程技术人员,无论是用公式手动计算还是使用辅助软件(如RiskCloud),都需要决定以下关键参数之后才能展开计算。

 

  • 安全功能回路中所有涉及仪表设备的每种故障模式的故障率λ;

  • 检验测试周期(Proof  Test Interval:Ti);

  • 平均恢复时间(MTTR);

  • 设备冗余时,包括共因(β因子)参数估计;

 
理解这些参数背后代表的含义和使用原理,无疑对于快速确定这些关键参数有显著的帮助。
 
本文将详细介绍下其中最重要参数之一:检验测试周期(Proof Test Interval,Ti)。
认真读完,文末福利增书→《SIL定级与验证》

 

在展开之前,请读者回顾下安全仪表系统中两个基本概念SIL等级和平均失效概率PFDavg。
 
SIL是Safety Integrity Level的缩写,直译为安全完整性等级。安全完整性是指安全仪表系统在规定的条件和规定的时间内,成功完成安全仪表功能的可能性。安全完整性等级是衡量安全仪表系统安全性能的离散性等级。简而言之,就是将安全功能回路(SIF)成功完成安全功能的可能性分为了四个等级。
 
失效概率PFD和SIL是不可分割的两个概念,如果SIL是一个离散等级概念,那么PFD就是SIL连续数量化的一面,英文全称为 Probability of Dangerous Failure on Demand,直译为要求时的平均失效概率。失效概率的概念被用来量化安全功能回路成功完成安全仪表功能的可能性,可以理解为失效概率越高,完成安全功能可能性越低,因此SIL等级越低。PFD和SIL对应关系如下图表所示,两者实为一体。



SIL等级因为概念简练便于使用,在工程实践中更经常使用或被提及,但与其对应的PFD并不能因此而被忽略。在实际项目中,笔者曾经遇到过HAZOP/LOPA分析中SIL等级和PFD完全不匹配的脱节现象,令人十分质疑分析者对LOPA,SIL的基本理解。
 
SIL验证计算的直接结果实际上是安全回路的整体平均失效概率PFDavg(Average Probability of Dangerous Failure on Demand),SIL等级则根据计算出来的PFDavg判断。那么,测试周期Ti对PFDavg有什么影响呢?

 
 
1、为什么计算平均失效概率而不是失效概率?

平均失效概率PFDavg是指一个时间段内失效概率的平均值,为什么使用平均值而不是失效概率本身呢?
 
原因很简单,算起来太难,失效概率是时间的指数函数,实时失效概率随时间变化而变化,这在实际操作中难以求取,因此引入平均值代替,换成平均值后碍眼的积分符号就消失了。工程师最爱不就是简单粗暴有效嘛。



 
2、检验测试周期(Proof Test Interval:Ti)是什么?

 

检验测试(Proof  Test)在 GB/T21109-2007检验测试定义为执行定期测试以检测安全相关系统中危险的隐藏故障,以便在必要时进行维修可以将系统恢复到如新状态或尽可能接近该状态)。检验测试之间的时间间隔则为测试周期Ti。

 
 
3、为什么要做验证测试?

 

验证测试旨在揭示仪表设备可能隐藏的所有“未被发现/未被发现”的故障,任何人都不知道的故障。测试的频率,即Ti,对PFDavg有重大影响。如果仪表设备未在指定的时间间隔内进行测试,则存在未检测到的故障可能会在提出要求之前未被发现的危险,安全功能在您需要时可能无法工作!
 


4、验证测试(Proof  Testing)和功能测试(Functional Testing)是一回事吗?

 

回答是不!功能测试通常是指对安全功能回路的测试,以确保指定的功能正常工作。在冗余通道中,功能测试可能发现不了所有故障;例如在1oo2配置的子系统中,功能测试可能会检测到传感器架构的危险故障,但不会揭示有多少故障,如图所示;然而,验证测试则可检测到所有故障,因为回路中的每一个仪表器件都会被单独测试。
 




5、测试验证周期怎样影响PFDavg?

 

以1oo1表决结构的简化公式为例,其中Ti即检验测试周期,λdu为危险不可测失效率。




在仪表设备的服务寿命内,制造商一般认为λdu为固定值,影响最终PFDavg的参数就是测试周期Ti了。从以上公式可推测,Ti由一年检测一次的频率变化为半年检测一次时,失效概率PFDavg会降低一倍,但工程实践中也是这样吗?
 
这里要引入安全功能(SIF)回路的概念,完成一个安全功能(SIF)实际上需要三个子单元协作,信号测量、逻辑运算控制器、动作执行,好像人的五官、大脑、四肢;一旦感受到危险,传递警报给大脑,做出判断,是逃跑还是战斗,由四肢执行。认真读完,文末福利增书→《SIL定级与验证》
 
而上面的简化公式只是描述了一个组件(仪表或阀门)的失效概率,没有反映出三个子单元,即一个SIF回路的平均失效概率。那么SIF回路的PFDavg如何计算?正解为:

PFDavgPFD传感器PFD逻辑运算控制器PFD动作执行

 原理很好理解,熟悉概率的同学复习下如何计算随机独立事件发生概率,别忘了,三个单元出现失效都是各自独立的随机事件呦。

 
既然以上三个单元都能够出现失效,那么一个SIF回路的失效肯定是要考虑三个单元,测试频率变了,三个单元的失效会同步变化吗?笔者尝试用国内使用率较高的SIL计算软件歌略RiskCloud计算了一下验证测试周期分别从1延长为10年的一个变化,结果如图三。
 
计算假设如下,仅Ti一个参数变化。
  • 仅限1oo1结构,没有共因失效;

  • 仪表型号保持相同;

  • 测试周期一致;





*蓝色代表安全功能回路整体的PFDavg变化趋势;橙色对应传感器子系统,灰色对应SIS控制系统,黄色对应执行子系统。
 
显然,随着验证测试周期的递增,PFDavg随着周期的逐年延长而越来越高,说明完成安全功能的可能性随着周期的加长而下降,但与Ti=1年每年规律线性增长相比,PFDavg变化率并没有呈现同步的线性响应,到了TI=10年时,PFDavg也不过只有TI=1年时的4倍左右(表一),和上面简化公式相比,似乎有点出乎意料。






各个子单元随验证周期改变发生变化的敏感性不同,以及各个子单元对PFDavg贡献度不同,使得最终的PFDavg偏离了周期变化的线性规律。同时也反映出PFD(t)的非线性化特征。
 
RiskCloud使用的是马尔可夫链建模预测随机事件发生概率,对比简化公式,可考虑更多的因子,例如安全可测/不可测失效率,危险可测失效率,工厂维护能力评估,验证测试覆盖率,平均修复时间,服务寿命等等。且自带SIL证书数据库,报告模板,可输出完整excel或者word格式报告,十分方便用户使用计算结果。
 
如同英国统计学家George E. P. Box所说,“All models are wrong, but some are useful. Remember that all models are wrong; the practical question is how wrong do they have to be to not be useful.(所有模型都是错的,但其中有些是有用的。记住,所有模型都是错误的;关键的问题是模型错到什么程度就没有用处了)”马儿可夫模型也许是错误的,然而没有别的模型能像马可夫模型一样包容更多参数,更接近实际工程应用场景了。
 

 
6、什么是验证测试覆盖率?

 

验证测试覆盖率 (Proof test coverage,PTC)是一个术语,表示通过定义的验证测试程序暴露的危险的未检测故障的百分比。例如,95%的PTC告诉我们,所有可能未检测到的故障中有95%将在验证测试期间被发现。考虑不完美验证测试的影响,PFDavg计算中应考虑验证测试覆盖率。验证测试覆盖率没有出现在上述的简化公式中,但RiskCLoud采用了这一参数作为输入,提供了一个修正模型更接近实际应用的窗口。
 

 
7、可以进行完美的验证测试吗?
 
在一个完美的世界中,进行验证测试,其中每个未检测到的故障都会被发现,并且设备将恢复到“如新”的状态。然而不幸的是,在现实世界中,这种情况很少发生。造成这种情况的原因各不相同,例如:
验证测试可能不会在精确的工艺条件下进行;
测试困难(例如,不能确保阀门在操作后是气密的);
参考仪表(例如,流量计)未被正确校准;
 
下图比较了完美验证测试和不完美验证测试对于最终PFDavg的影响,在使用寿命内,不完美验证测试最终将逐渐抬高PFDavg,直到再也不能满足安全要求,该安全回路或者仪表设备达到使用终点,需要替换更新。
 
而在完美世界中,通过完美验证测试,安全回路或者仪表设备每次都可以重新回到“如新“的开始,一直保持其安全功能,好像不死之身。显然这是不现实的。




8、如何进行验证测试?

 

验证测试的有效性和效率取决于指定它的程序。验证测试程序的开发和实施有5个关键阶段,如下所示:
  • 制定测试程序——编写测试程序并审查故障模式;

  • 验证测试程序——实际使用该程序进行测试;

  • 修改测试程序——遵从修改过的测试程序,确保维持PTC;

  • 确保进行测试的人员能够胜任——这在工厂安装新设备时尤为重要;

  • 在使用后进行审查和修改——确保测试程序在其20多年的使用寿命内保持合理有效性。

认真读完,文末福利赠书→《SIL定级与验证》

 
 
9、如何决定检验测试周期?

 

让我们看看标准怎么说,以GBT 21109.1-2007为例,在第16.3章节中有如下描述:检验测试的频率应同PFDavg计算所决定的一样;以某些定期的间隔(由用户确定),根据各种因素,包括:历史测试数据,工程经验,硬件降级和软件可靠性等,重新评价测试频率。
 
换句话说,是用户根据自身的实际情况和安全要求决定。用户结合实际工艺操作要求和自身维护能力首先提出验证测试周期,经过SIL验证计算,结果符合其安全要求的情况下,即采用计算中使用的检验测试的频率。
 

 
10、SIF回路中三个子单元的检验测试的频率必须一致吗?

 

NO!虽然在上期讨论使用RiskCloud计算时,采用了信号测量、逻辑运算控制器、动作执行单元测试周期一致的假设,但RiskCloud允许三个单元选用不一样的测试周期Ti,工程实践中,只要操作方便,检验测试的频率也可以不一致。对于同增加冗余来提高安全性能比较难实现的情况,提高失效概率占比大的单元的检验测试频率是个不错的解决办法。

 
 
11、检验测试的成本!?

 

视情况而定!当考虑生产损失、劳动力成本、测试设备成本等时,验证测试可能会导致成本显着增加,这也是指定正确测试间隔很重要的原因。过于频繁,可能因频繁中断生产造成巨大的经济损失,而间隔太长,又可能会影响安全功能的运行。应在工厂停工和其他维护工作期间安排验证测试,可以最大限度地减少生产损失。如果检验测试周期不能随意变更,要提高SIF回路的安全性能就只能依赖增加冗余和选用更优质的产品来解决了。



 
唐彬
作者
 
 
北京安必达科技有限公司执行董事。他所擅长的业务范围包括工艺危害分析(HAZOP、What-if、 FMEA、LOPA、SIL)、工艺安全管理(PSM)、EHS管理系统及审计、作业风险控制、应急反应技术支持、定量风险评价,以及EHS相关培训等。他曾在ERM公司担任中国地区安全与风险管理首席顾问,在杜邦中国安全咨询部门担任顾问,在美国空气化工公司担任工程项目工程师和北方区安全经理,在中国石化担任工艺工程师。


本文来源上海歌略软件有限公司,内容仅代表作者个人观点,不足之处欢迎讨论交流,仪表圈整理编辑,授权转载,如需转载请联系圈秘13201752726全文转载,不得断章取义。
 
更多技术问题,欢迎加圈秘微信进群,和专家一对一探讨交流!



说点什么