T-CCSAS 045-2023 安全儀表功能(SIF)安全完整性等級(jí)(SIL)驗(yàn)證導(dǎo)則

ICSCCS13.200C68團(tuán)體標(biāo)準(zhǔn)T/CCSAS045—2023安全儀表功能(SIF)安全完整性等級(jí)(SIL)驗(yàn)證導(dǎo)則Guidelinesforsafetyintegritylevel(SIL)verificationofsafetyinstrumentedfunctions(SIF)2023-11-27發(fā)布2023-11-27實(shí)施中國(guó)化學(xué)品安全協(xié)會(huì)ⅠT/CCSAS045—2023前言 Ⅲ1范圍 12規(guī)范性引用文件 13術(shù)語和定義 14符號(hào)和縮略語 35概述 46總體原則和要求 67過程和執(zhí)行 7附錄A(資料性)SIL驗(yàn)證示例 12附錄B(資料性)SIL驗(yàn)證輸入 15附錄C(資料性)計(jì)算方法 16附錄D(資料性)調(diào)整和影響 24附錄E(資料性)公式和推導(dǎo) 25附錄F(資料性)故障樹方法和PFD 28附錄G(資料性)馬爾可夫方法和PFD 30附錄H(資料性)計(jì)算示例和方法比較 35附錄I(資料性)失效模式和影響分析FMEA示例 47參考文獻(xiàn) 49ⅢT/CCSAS045—2023本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分:標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。請(qǐng)注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別專利的責(zé)任。本文件由中國(guó)化學(xué)品安全協(xié)會(huì)提出并歸口。本文件起草單位:惠生工程(中國(guó))有限公司、北京安必達(dá)科技有限公司、中國(guó)化學(xué)品安全協(xié)會(huì)、上海歌略軟件科技有限公司、中科合成油工程有限公司、中國(guó)成達(dá)工程有限公司、中海殼牌石油化工有限公司、巴斯夫(中國(guó))有限公司、珠海安彥企業(yè)管理咨詢有限公司、中石油華東設(shè)計(jì)院有限公司、中國(guó)化學(xué)賽鼎寧波工程有限公司、中國(guó)寰球工程有限公司、萬華化學(xué)集團(tuán)股份有限公司、浙江石油化工有限公司。1T/CCSAS045—2023安全儀表功能(SIF)安全完整性等級(jí)(SIL)驗(yàn)證導(dǎo)則1范圍本文件確立了安全儀表功能(SIF)的安全完整性等級(jí)(SIL)驗(yàn)證的原則,提供了驗(yàn)證方法、公式、示例、數(shù)據(jù)等內(nèi)容,給出了失效率、結(jié)構(gòu)約束、系統(tǒng)性能力等驗(yàn)證的程序、內(nèi)容等說明。本文件適用于石油化工和化工裝置的SIL驗(yàn)證。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中,注日期的引用文件,僅該日期對(duì)應(yīng)的版本適用于本文件。不注日期的引用文件,其最新版本(包括所有的修改單)適用于本文件。GB/T20438.2—2017電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全第2部分:電氣/電子/可編程電子安全相關(guān)系統(tǒng)的要求GB/T20438.3—2017電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全第3部分:軟件要求GB/T20438.4—2017電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全第4部分:定義和縮略語GB/T21109.1—2022過程工業(yè)領(lǐng)域安全儀表系統(tǒng)的功能安全第1部分:框架、定義、系統(tǒng)、硬件和應(yīng)用編程要求3術(shù)語和定義GB/T20438.4—2017和GB/T21109.1—2022界定的以及下列術(shù)語和定義適用于本文件。安全儀表功能safetyinstrumentedfunction;SIF由安全儀表系統(tǒng)(SIS)實(shí)現(xiàn)的安全功能。注:SIF設(shè)計(jì)用來達(dá)到一個(gè)要求的SIL,SIL由其他參與降低相同風(fēng)險(xiǎn)的保護(hù)層決定。[來源:GB/T21109.1—2022,3.2.66]3.2安全完整性等級(jí)safetyintegritylevel;SIL為規(guī)定SIS應(yīng)達(dá)到的安全完整性要求而分配給SIF的離散等級(jí)(4個(gè)等級(jí)中的一個(gè))。注1:SIL等級(jí)越高,期望的PFDavg、PFH越低。注2:目標(biāo)失效量和SIL間的關(guān)系見GB/T21109.1—2022的表4和表5。注3:SIL4是安全完整性的最高等級(jí),SIL1是最低等級(jí)。注4:此定義和GB/T20438.4—2017中的定義有差別,從而反映過程領(lǐng)域術(shù)語中的差異。[來源:GB/T21109.1—2022,3.2.69,有修改]3.3驗(yàn)證verification通過檢查和客觀證據(jù)證實(shí)要求已滿足。2T/CCSAS045—2023注:本文件的范圍是SIL驗(yàn)證,不包括對(duì)SIS的其他的檢查、確認(rèn)。[來源:GB/T21109.1—2022,3.2.87,有修改]3.4故障裕度faulttolerance出現(xiàn)故障或錯(cuò)誤時(shí),功能單元能夠繼續(xù)執(zhí)行要求的功能或操作的能力。注1:硬件故障裕度HFT=1表示:當(dāng)多個(gè)組件中的1個(gè)故障時(shí),單元能工作。注2:2oo3配置的危險(xiǎn)故障的HFT是1;1oo3的是2。[來源:GB/T21109.1—2022,3.2.21,有修改]3.5系統(tǒng)性能力systematiccapability;SC當(dāng)設(shè)備根據(jù)安全手冊(cè)規(guī)定的說明進(jìn)行應(yīng)用時(shí),設(shè)備的系統(tǒng)性安全完整性達(dá)到規(guī)定SIL要求的置信度的度量(表示為SC1到SC4),其與特定的安全功能有關(guān)。注1:系統(tǒng)性能力參照GB/T20438.2—2017和GB/T20438.3—2017中系統(tǒng)性故障的避免和控制要求確定。注2:系統(tǒng)性失效機(jī)制取決于設(shè)備的特性。對(duì)于只由硬件組成的設(shè)備,只考慮硬件失效機(jī)制。對(duì)于由硬件和軟件組成的設(shè)備,則需要考慮硬件和軟件失效機(jī)制間的相互影響。注3:某設(shè)備SCN的系統(tǒng)性能力是指當(dāng)設(shè)備按照安全手冊(cè)規(guī)定的SCN要求應(yīng)用時(shí),此設(shè)備達(dá)到了SCN的系統(tǒng)性安全完整性。[來源:GB/T21109.1—2022,3.2.80]3.6要求時(shí)的平均失效概率averageprobabilityoffailureondemandPFDavg在規(guī)定時(shí)間段內(nèi),當(dāng)要求時(shí),設(shè)備(系統(tǒng))不能響應(yīng)的平均概率。注1:PFD隨時(shí)間積累而變化,是時(shí)間的函數(shù)PFD(t);PFDavg是規(guī)定時(shí)間段內(nèi)的平均值。注2:對(duì)于SIS,需求時(shí),不能響應(yīng),即為危險(xiǎn)故障。注3:也稱為要求時(shí)的平均危險(xiǎn)失效概率(averageprobabilityofdangerousfailureondemand)。[來源:ISATR84.00.02—2022,附錄B,有修改]3.7每小時(shí)的失效概率probabilityoffailureperhour;PFH每小時(shí)設(shè)備(系統(tǒng))故障的平均次數(shù)。注:此處故障指危險(xiǎn)故障。[來源:ISATR84.00.02—2022,第7章,有修改]3.8誤停車率spurioustriprate;STR在單位時(shí)間內(nèi),設(shè)備誤動(dòng)作引起的,工藝停車或混亂的預(yù)期次數(shù)。注:STR=1/MTTFSP[來源:ISATR84.00.02—2022,附錄B,有修改]3.9檢驗(yàn)測(cè)試間隔testinterval;TI2次成功的檢驗(yàn)測(cè)試之間的時(shí)間間隔。注1:本文件中,PTI(prooftestinterval)和TI含義相同。注2:本文件中,TI及其他時(shí)間參數(shù)參與計(jì)算時(shí),單位是小時(shí)(h)。注3:檢驗(yàn)測(cè)試間隔也稱檢測(cè)周期。[來源:ISATR84.00.02—2022,7,有修改]3T/CCSAS045—2023失效率failurerateλ時(shí)間點(diǎn)t之后的時(shí)間段Δt內(nèi)發(fā)生失效的設(shè)備總量,與t時(shí)間點(diǎn)完好設(shè)備的總量的比值,在Δt趨向0時(shí)的極限值。注1:本術(shù)語主要應(yīng)用于隨機(jī)失效。本文件假定設(shè)備中失效的數(shù)量相對(duì)于完好的數(shù)量,按固定比例出現(xiàn)。注2:單位通常是FIT(10-9次/h)。注3:本術(shù)語應(yīng)用于系統(tǒng)失效時(shí),表示非設(shè)備自身原因?qū)е碌氖А來源:ISATR84.00.02—2022,附錄B,有修改]4符號(hào)和縮略語4.1符號(hào)下列符號(hào)適用于本文件。M—N取M(MooN)表決配置中的M。N—N取M(MooN)表決配置中的N。R—N取M(MooN)表決配置中,R=N-M+1。例如:3取2時(shí),M=2,N=3,R=2。β—共因因子。λ—失效率。μ—維修率。4.2縮略語下列縮略語適用于本文件。AC:結(jié)構(gòu)約束(architectureconstraint)CCF:共因失效(commoncausedfailure)DC:診斷覆蓋率(diagnosticcoverage)DI:診斷周期(diagnosticinterval)DR:需求率(demandrate)DTT:非勵(lì)磁停車(de-energizetotrip)ETT:勵(lì)磁停車(energizetotrip)FIT:菲特(failureintime)FMEA:失效模式和影響分析(failuremodeandeffectsanalysis)FTA:故障樹分析(faulttreeanalysis)HFT:硬件故障裕度(hardwarefaulttolerance)IF:獨(dú)立失效(independentfailure)MT:使用期限(missiontime)MTBF:平均失效間隔時(shí)間(meantimebetweenfailure)MTTF:平均故障前時(shí)間(meantimetofailure)注1:也稱為平均無故障時(shí)間。MTTR:平均恢復(fù)時(shí)間(meantimetorestoration)PFD:要求時(shí)的失效概率(probabilityoffailureondemand)4T/CCSAS045—2023PFDavg:要求時(shí)的平均失效概率(averageprobabilityoffailureondemand)PFH:每小時(shí)的失效概率(probabilityoffailureperhour)PTC:檢驗(yàn)測(cè)試覆蓋率(prooftestcoverage)PVST:部分閥門行程測(cè)試(partialvalvestroketest)注2:也稱為PST部分行程測(cè)試(partialstroketest)。RRF:危險(xiǎn)降低因子(riskreductionfactor)SFF:安全失效分?jǐn)?shù)(safefailurefraction)SIF:安全儀表功能(safetyinstrumentedfunction)SIL:安全完整性等級(jí)(safetyintegritylevel)SIS:安全儀表系統(tǒng)(safetyinstrumentedsystem)SRS:安全要求規(guī)范(safetyrequirementsspecifications)SC:系統(tǒng)性能力(systematiccapability)STR:誤停車率(spurioustriprate)TI:檢驗(yàn)測(cè)試間隔(testinterval)4.3標(biāo)志符號(hào)在代碼或縮略語上加標(biāo)志,可構(gòu)成新的含義。例如:λDU表示“危險(xiǎn)、未檢測(cè)到的失效率”。使用標(biāo)志時(shí),可用作下標(biāo)、上標(biāo)、尾綴,也可按需使用小寫,需保證可辨識(shí)、無歧義、統(tǒng)一。應(yīng)用于PFD、PFH、STR的標(biāo)志如下:●cal—計(jì)算值(calculated);●FE—最終元件部分(finalelement);●LS—邏輯解算器部分(logicsolver);●S—傳感器部分(sensor);●SS—支持系統(tǒng)部分(supportingsystem);●tar—目標(biāo)值(target)。應(yīng)用于λ、MTTF的標(biāo)志如下:●D—危險(xiǎn)(dangerous);●DD—危險(xiǎn)、檢測(cè)到的(dangerousdetected);●DU—危險(xiǎn)、未檢測(cè)到的(dangerousundetected);●S—安全(safe);●SD—安全、檢測(cè)到的(safedetected);●SP—誤停車(spurioustrip);●SU—安全、未檢測(cè)到的(safeundetected)。5概述5.1SIL驗(yàn)證的外部關(guān)系和內(nèi)部結(jié)構(gòu)見圖1,以及后續(xù)條目的說明。示例見附錄A。5T/CCSAS045—2023圖1SIL驗(yàn)證5.2SIL驗(yàn)證包括設(shè)計(jì)階段的初步SIL驗(yàn)證、采購(gòu)后的SIL驗(yàn)證、現(xiàn)役裝置的SIL驗(yàn)證等。5.3SIL驗(yàn)證的輸入對(duì)象(圖1中實(shí)線箭頭)應(yīng)包括如下,對(duì)應(yīng)的文件見附錄B:a)SIL定級(jí):包括每個(gè)SIF的說明和SIL要求等;b)可用性要求:包括STR等參數(shù);c)維護(hù)情況:包括TI等參數(shù);d)可靠性參數(shù):包括λ等參數(shù);e)工程設(shè)計(jì):包括P&ID、因果表、邏輯圖等文件,用于方便理解驗(yàn)證對(duì)象。段,未采購(gòu)產(chǎn)品,無產(chǎn)品數(shù)據(jù),可采用擬用產(chǎn)品證書數(shù)據(jù)或通用數(shù)據(jù)。5.5SIL驗(yàn)證的工作范圍(圖1中橢圓)應(yīng)包括:a)檢查:冗余度(HFT)、系統(tǒng)性能力(SC)、可靠性(PFDavg/PFH)、誤停車(STR);b)計(jì)算:PFDavg/PFH、STR。注:STR為可選。5.6SIL驗(yàn)證的檢查依據(jù)見表1,計(jì)算方法見附錄C。表1SIL檢查表SILPFDavgPFHSC最小HFT最小(結(jié)構(gòu)約束AC檢查)注3GB/T21109.1—2022GB/T20438.2—2017中A類GB/T20438.2—2017中B類1<10-1≥10-2<10-5≥10-61000(SFF≥60%時(shí))1(SFF<60%時(shí))2<10-2≥10-3<10-6≥10-720(低需求模式時(shí))模式時(shí))0(SFF≥60%時(shí))1(SFF<60%時(shí))0(SFF≥90%時(shí))1(60%≤SFF<90%時(shí))2(SFF<60%時(shí))3<10-3≥10-4<10-7≥10-8310(SFF≥90%時(shí))1(60%≤SFF<90%時(shí))2(SFF<60%時(shí))0(SFF≥99%時(shí))1(90%≤SFF<90%時(shí))2(60%≤SFF<90%時(shí))注1:當(dāng)SIL定級(jí)報(bào)告中有具體的PFDavg或PFH數(shù)值要求時(shí),以其為準(zhǔn)。注2:選擇檢查PFD或PFH,取決于SIF的操作模式。操作模式的需求率決定了PFD或PFH更客觀。注3:操作模式的說明見C.3.1,A類/B類的說明見5.7,SFF的說明見C.2.8。注4:STR的檢查依據(jù)為用戶和項(xiàng)目要求。6T/CCSAS045—20235.7組成SIF的組件設(shè)備的分類見表2。表2設(shè)備分類表分類條件A類要實(shí)現(xiàn)安全功能的元器件滿足下列全部條件:●所有組成元器件的失效模式都被明確定義;●故障狀況下組件的行為能夠完全確定;●有充足而可靠的失效數(shù)據(jù),可顯示出滿足所聲明的檢測(cè)到的和未檢測(cè)到的危險(xiǎn)失效的失效率B類不滿足以上條件之一5.8當(dāng)計(jì)算檢查不合格時(shí),可調(diào)整輸入(圖1中虛線箭頭),并重新計(jì)算檢查,直至合格。調(diào)整對(duì)結(jié)果的影響見附錄D。5.9驗(yàn)證報(bào)告的內(nèi)容應(yīng)包括:輸入整理、計(jì)算框圖和過程、結(jié)果和檢查、修改建議、相關(guān)產(chǎn)品證書等。5.10SIL驗(yàn)證結(jié)束后,結(jié)果可反饋至各上游工作中,形成閉環(huán)。6總體原則和要求6.1SIF的SIL驗(yàn)證計(jì)算采用的儀表設(shè)備可靠性數(shù)據(jù)宜來自以往使用數(shù)據(jù)、SIL認(rèn)證報(bào)告、公開發(fā)行的工業(yè)數(shù)據(jù)庫(kù)或手冊(cè)等。以往使用的術(shù)語和定義見GB/T21109.1—2022中的3.2.51。根據(jù)“以往使用”選擇設(shè)備的要求見GB/T21109.1—2022中的11.5.3。6.2用于邏輯解算器的可編程電子系統(tǒng)應(yīng)取得功能安全認(rèn)證。6.3SIS或安全子系統(tǒng)的TI的確定宜綜合考慮SIL驗(yàn)證的符合性和企業(yè)檢維修與停車的整體規(guī)劃。SIS或安全子系統(tǒng)的TI宜與企業(yè)計(jì)劃停車檢修時(shí)間間隔相同。6.4為滿足SIL驗(yàn)證的符合性,SIS或安全子系統(tǒng)的TI與企業(yè)計(jì)劃停車檢修時(shí)間間隔相同具有困難時(shí),可采用不同的時(shí)間間隔。同一SIF的傳感器、最終元件和邏輯解算器可采用不同的TI。6.5當(dāng)SIF的誤動(dòng)作可能造成的損失大于可容忍程度時(shí),可規(guī)定可用性要求,并驗(yàn)證SIF滿足可用性要求,如驗(yàn)證SIF的STR滿足企業(yè)可用性要求。SIF的誤停車不涉及法律、法規(guī)、規(guī)章、標(biāo)準(zhǔn)規(guī)范要求時(shí),企業(yè)可決定誤停車可容忍要求,并據(jù)此確定SIF的可用性配置。6.7同一個(gè)傳感器、邏輯解算器、最終元件可用于不同的SIF,共用部分應(yīng)滿足所有相關(guān)SIF的安全技術(shù)要求,包括SIF要求和SIL要求,并應(yīng)進(jìn)行驗(yàn)證。6.8安全儀表系統(tǒng)應(yīng)獨(dú)立于基本過程控制系統(tǒng),并應(yīng)獨(dú)立完成安全儀表功能。SIS可執(zhí)行非功能安全的儀表功能。SIS應(yīng)具有優(yōu)先權(quán),非功能安全的儀表功能的失效或指令不應(yīng)影響SIS的功能安全,包括不應(yīng)降低SIF的SIL。6.9除非SIS緊急停車按鈕和相關(guān)環(huán)節(jié)(包括操作人員和獲取信息的措施)滿足功能安全標(biāo)準(zhǔn)的要求并獲得置信,SIS緊急停車按鈕不應(yīng)參與SIL驗(yàn)算,不應(yīng)降低SIF可達(dá)到的危險(xiǎn)失效量。6.10SIL驗(yàn)證計(jì)算的輸入條件應(yīng)包括危險(xiǎn)失效率(λ)、檢驗(yàn)測(cè)試間隔(TI)、表決形式(MooN)、診斷覆蓋率(DC)、平均恢復(fù)時(shí)間(MTTR)、共因因子(β)等。6.11在對(duì)聯(lián)鎖邏輯確定具體SIF時(shí),應(yīng)區(qū)分聯(lián)鎖邏輯中的安全關(guān)鍵設(shè)備和非安全關(guān)鍵設(shè)備。安全關(guān)鍵設(shè)備執(zhí)行安全儀表功能,非安全關(guān)鍵設(shè)備不執(zhí)行安全儀表功能。安全關(guān)鍵設(shè)備是指該設(shè)備的動(dòng)作是將工藝過程轉(zhuǎn)入安全狀態(tài)必不可少的動(dòng)作,只有該設(shè)備的動(dòng)作有效執(zhí)行才能將工藝過程轉(zhuǎn)入安全狀態(tài)。非安全關(guān)鍵設(shè)備是指該設(shè)備的動(dòng)作不是將工藝過程轉(zhuǎn)入安全狀態(tài)必不可少的動(dòng)作,該設(shè)備的動(dòng)作失效7T/CCSAS045—2023不影響通過安全關(guān)鍵設(shè)備的動(dòng)作將工藝過程轉(zhuǎn)入安全狀態(tài)。注1:聯(lián)鎖邏輯不等同于SIF。聯(lián)鎖邏輯僅表達(dá)因果關(guān)系;SIF是對(duì)某一場(chǎng)景的保護(hù)功能。一個(gè)SIF明確定義一個(gè)保護(hù)功能的范圍和可靠性要求。一個(gè)“聯(lián)鎖邏輯”可能是一個(gè)SIF,也可能包含多個(gè)SIF,反之亦然。注2:區(qū)分安全關(guān)鍵設(shè)備和非安全關(guān)鍵設(shè)備、確定SIF是SIL定級(jí)的工作。如果SIL驗(yàn)證中發(fā)現(xiàn)SIF中包括了非安全關(guān)鍵設(shè)備,可以提出復(fù)核要求并由相關(guān)人員確定安全關(guān)鍵設(shè)備和非安全關(guān)鍵設(shè)備,以及SIF。6.12SIF中控制閥的閥體、執(zhí)行機(jī)構(gòu)、電磁閥均應(yīng)參與SIL驗(yàn)算。6.13石油化工和化工裝置SIF的SIL等級(jí)不應(yīng)高于SIL3級(jí)。如果在確定SIL等級(jí)時(shí),有可能達(dá)到SIL4,應(yīng)重新分配保護(hù)層的安全功能,或采用多個(gè)獨(dú)立的安全儀表功能,使SIL等級(jí)不高于SIL3。GB/T21109.1—2022的11.3的要求。6.15SIF有變動(dòng)時(shí)(包括儀表設(shè)備的型號(hào)、軟件的版本號(hào)、制造商、聯(lián)鎖邏輯、獨(dú)立和共用、場(chǎng)景等方面的變動(dòng)),應(yīng)重新開展SIL評(píng)估,含SIL定級(jí)、SIL驗(yàn)證。6.16SIL驗(yàn)證可建立全生命周期的動(dòng)態(tài)機(jī)制,比如可根據(jù)儀表設(shè)備現(xiàn)場(chǎng)的實(shí)際運(yùn)行情況,定期評(píng)估用于SIL驗(yàn)證的儀表設(shè)備的可靠性數(shù)據(jù)的合理性,如果發(fā)現(xiàn)用于SIL驗(yàn)證的儀表設(shè)備的可靠性數(shù)據(jù)不同于現(xiàn)場(chǎng)實(shí)際情況,可根據(jù)現(xiàn)場(chǎng)實(shí)際情況適當(dāng)調(diào)整可靠性數(shù)據(jù),賦值合適的失效率以符合現(xiàn)場(chǎng)實(shí)際情況,并開展SIL驗(yàn)證。6.17用于SIL驗(yàn)證的計(jì)算公式應(yīng)符合有關(guān)國(guó)家標(biāo)準(zhǔn)的要求。7過程和執(zhí)行7.1驗(yàn)證程序7.1.1SIL驗(yàn)證節(jié)點(diǎn)SIS安全生命周期中的“SIS設(shè)計(jì)和工程”階段應(yīng)開展SIL驗(yàn)證,如圖2所示?！癝IS設(shè)計(jì)和工程”階段中的基礎(chǔ)工程設(shè)計(jì)階段可開展SIL預(yù)驗(yàn)證,“SIS設(shè)計(jì)和工程”階段中的詳細(xì)工程設(shè)計(jì)階段應(yīng)開展SIL驗(yàn)證?，F(xiàn)役裝置,SIF有變動(dòng)時(shí),按照6.15的要求進(jìn)行SIL驗(yàn)證;SIL驗(yàn)證可按照6.16的要求,建立全生命周期的動(dòng)態(tài)機(jī)制。圖2SIS安全生命周期框圖8T/CCSAS045—20237.1.2SIL驗(yàn)證程序典型的SIL驗(yàn)證流程如圖3所示。圖3SIL驗(yàn)證流程示意圖7.2驗(yàn)證輸入7.2.1SIL驗(yàn)證輸入資料宜包括但不局限于以下內(nèi)容:a)工程設(shè)計(jì)資料,包括P&ID、邏輯圖等;b)SIF清單、SIF組成和SIF安全關(guān)鍵設(shè)備清單;c)SIF的SIL級(jí)別要求;d)SIF的操作模式;e)SIF的目標(biāo)失效量要求;f)檢驗(yàn)測(cè)試間隔(TI);g)儀表設(shè)備的可靠性數(shù)據(jù);h)配置方案,包括表決形式(MooN);i)儀表設(shè)備安全手冊(cè);j)變更文件。7.2.2可檢查表的形式檢查SIL驗(yàn)證輸入資料是否齊全,見附錄B。7.3驗(yàn)證符合性7.3.1SIL驗(yàn)證應(yīng)包括SIF硬件安全完整性驗(yàn)證;SIL驗(yàn)證可包括系統(tǒng)性安全完整性驗(yàn)證。9T/CCSAS045—20237.3.2硬件安全完整性驗(yàn)證應(yīng)包括失效量驗(yàn)證(見7.4)和結(jié)構(gòu)約束驗(yàn)證(見7.5)。在低要求操作模式時(shí),失效量驗(yàn)證應(yīng)采用PFDavg驗(yàn)證;在連續(xù)操作模式或高要求操作模式時(shí),失效量驗(yàn)證應(yīng)采用PFH驗(yàn)證。7.3.3SC可用于系統(tǒng)安全完整性的驗(yàn)證,見7.6。7.4失效量驗(yàn)證7.4.1應(yīng)確定用于SIL驗(yàn)證的SIF目標(biāo)失效量。SIL定級(jí)給出明確的目標(biāo)失效量時(shí),SIF目標(biāo)失效量應(yīng)采用此目標(biāo)失效量。SIL定級(jí)沒有給出明確的目標(biāo)失效量,只給出SIL等級(jí)時(shí),SIF目標(biāo)失效量參考表3或表4,可采用要求達(dá)到的SIL等級(jí)對(duì)應(yīng)的最小的PFDavg或PFH。7.4.2SIF的計(jì)算失效量應(yīng)不大于目標(biāo)失效量。7.4.3在低要求操作模式時(shí),SIF的SIL等級(jí)應(yīng)采用PFDavg或RRF衡量,根據(jù)表3確定。表3安全完整性等級(jí)(低要求操作模式)SILPFDavgRRF4≥10-5到<10-4>10000到≤1000003≥10-4到<10-3>1000到≤100002≥10-3到<10-2>100到≤10001≥10-2到<10-1>10到≤1007.4.4在連續(xù)操作模式或高要求操作模式時(shí),SIF的SIL等級(jí)應(yīng)采用PFH衡量,根據(jù)表4確定。表4安全完整性等級(jí)(連續(xù)操作模式或高要求操作模式)SILPFH4≥10-9到<10-83≥10-8到<10-72≥10-7到<10-61≥10-6到<10-57.5結(jié)構(gòu)約束驗(yàn)證7.5.1每個(gè)SIF均應(yīng)滿足結(jié)構(gòu)約束要求,結(jié)構(gòu)約束要求可通過HFT的要求表達(dá)。7.5.2當(dāng)SIS可被分解成獨(dú)立的SIS子系統(tǒng)時(shí)(如傳感器、邏輯解算器及最終元件),則HFT可在SIS子系統(tǒng)層級(jí)指定。7.5.3SIS或SIS子系統(tǒng)的HFT和相關(guān)要求應(yīng)按照以下3種路線之一確定:a)符合表5的要求,并且全可變語言(FVL)和有限可變語言(LVL)可編程設(shè)備的診斷覆蓋率應(yīng)不小于60%,并且失效量計(jì)算中使用的可靠性數(shù)據(jù)應(yīng)由不小于70%的統(tǒng)計(jì)置信區(qū)間上限確定;注1:此路線同GB/T21109.1—2022中11.4.5~11.4.9建立的路線。GB/T21109.1—2022中建立的路線源自GB/T20438.2—2017中的路線2H。b)符合表6的要求和GB/T20438.2—2017中(路線1H)的要求;注2:GB/T20438.2—2017中的路線1H基于硬件故障裕度和安全失效分?jǐn)?shù)的概念。c)符合表5的要求和GB/T20438.2—2017中(路線2H)的要求。10T/CCSAS045—2023注3:GB/T20438.2—2017中的路線2H基于由最終用戶反饋的元器件可靠性數(shù)據(jù)、對(duì)指定的安全完整性等級(jí)增強(qiáng)的置信度和硬件故障裕度。表5不同SIL對(duì)應(yīng)的最小HFT要求SIL操作模式要求的最小HFT1任何模式02低要求模式02高要求/連續(xù)模式13任何模式14任何模式2表6安全相關(guān)組件或子系統(tǒng)執(zhí)行安全功能時(shí)的最大允許安全完整性等級(jí)組件的SFFHFTA類安全相關(guān)組件或子系統(tǒng)B類安全相關(guān)組件或子系統(tǒng)012012<60%SIL1SIL2SIL3不允許SIL1SIL260%~<90%SIL2SIL3SIL4SIL1SIL2SIL390%~<99%SIL3SIL4SIL4SIL2SIL3SIL4≥99%SIL3SIL4SIL4SIL3SIL4SIL47.6系統(tǒng)性安全完整性驗(yàn)證SCN是指SILN的系統(tǒng)性安全完整性已被滿足。7.6.1設(shè)備的系統(tǒng)性能力SCN(N=1,2,3)應(yīng)滿足SIF要求的SIL等級(jí)要求。設(shè)備的系SCN是指SILN的系統(tǒng)性安全完整性已被滿足。7.6.2系統(tǒng)性安全完整性(系統(tǒng)性能力)要求,可通過實(shí)現(xiàn)以下合規(guī)路線之一來滿足:a)路線1s:符合避免系統(tǒng)性工作要求(見GB/T20438.2—2017的7.4.6和GB/T20438.3—2017)和控制系統(tǒng)性故障要求(見GB/T20438.2—2017的7.4.7和GB/T20438.3—2017);b)路線2s:符合設(shè)備以往使用證明的要求(見GB/T20438.2—2017的7.4.10);c)路線3s(僅針對(duì)已有軟件組件):符合GB/T20438.3—2017的2的要求。7.6.3對(duì)于某具有系統(tǒng)性能力SCN的組件,若該組件的系統(tǒng)性故障并不會(huì)使指定安全功能失效,而僅在另一個(gè)具有系統(tǒng)性能力SCN的組件同時(shí)發(fā)生系統(tǒng)故障時(shí)才會(huì)使指定功能失效,則在兩個(gè)組件之間足夠獨(dú)立的前提下其組合的系統(tǒng)性能力可視為SC(N+1)。足夠獨(dú)立性的判斷可參考GB/T20438.2—2017的。7.6.4多個(gè)系統(tǒng)性能力為SCN的組件組合后可聲明的最高系統(tǒng)性能力為SC(N+1)。每個(gè)SCN組件在這種方式下僅能使用一次,不準(zhǔn)許繼續(xù)增加SCN組件達(dá)到或超過SC(N+2)。7.7不合格調(diào)整7.7.1SIL驗(yàn)證不滿足要求時(shí),可采取的措施例如:a)選擇高可靠性設(shè)備;b)提高冗余配置;11T/CCSAS045—2023c)縮短TI(如適用);d)提高檢驗(yàn)測(cè)試覆蓋率;e)減少共因失效;f)增加PST功能;g)重新進(jìn)行安全評(píng)估,考慮是否可通過增加保護(hù)層來降低SIL等級(jí)要求。7.7.2調(diào)整輸入及對(duì)驗(yàn)證的影響見附錄D。7.8驗(yàn)證報(bào)告SIL驗(yàn)證報(bào)告宜包括,但不局限于以下內(nèi)容:a)SIL驗(yàn)證輸入資料清單;b)說明硬件安全完整性驗(yàn)證的符合性;c)說明系統(tǒng)性安全完整性驗(yàn)證的符合性;d)說明SIL驗(yàn)證采用的公式,并說明標(biāo)準(zhǔn)符合性;e)對(duì)于驗(yàn)證不合格的SIF給出的建議措施(尤其是對(duì)現(xiàn)役裝置進(jìn)行SIL驗(yàn)證時(shí));f)SIL驗(yàn)證結(jié)果清單和建議清單。7.9驗(yàn)證示例7.9.1SIL驗(yàn)證的示例見附錄A。7.9.2附錄A以實(shí)際的SIF為例,采用計(jì)算軟件,詳細(xì)具體地執(zhí)行了SIL計(jì)算和驗(yàn)證,包括如下內(nèi)容。a)明確SIF的結(jié)構(gòu)以及表決關(guān)系。根據(jù)SIL定級(jí)報(bào)告中的SIF描述、P&ID、邏輯描述和相關(guān)設(shè)計(jì)文件,確定SIF各子系統(tǒng)(傳感器、邏輯解算器、最終元件)組成的邏輯表決結(jié)構(gòu)。b)整理SIF組件的失效數(shù)據(jù)。明確數(shù)據(jù)來源、組件的安全失效λSD/λSU、危險(xiǎn)失效λDD/λDU等。c)整理每個(gè)子系統(tǒng)及組件的以下參數(shù):●采用的標(biāo)準(zhǔn)(本例中,使用GB/T21109.1—2022);●操作模式(低、高或者連續(xù));●使用期限(MT);●檢驗(yàn)測(cè)試間隔(TI);●檢驗(yàn)測(cè)試覆蓋率(PTC);●共因因子等。d)計(jì)算SIF的PFDavg和STR。e)得到整個(gè)SIF功能回路的PFDavg、HFT、SC、STR后,對(duì)比要求值,判定該SIF回路是否實(shí)現(xiàn)SIL定級(jí)要求。當(dāng)對(duì)STR無要求時(shí),不需對(duì)比判定。12T/CCSAS045—2023附錄A(資料性)SIL驗(yàn)證示例A.1輸入SIF描述:貧胺液緩沖罐D(zhuǎn)-01液位LT-01/02/03(2oo3)低低聯(lián)鎖,關(guān)閉貧胺液升壓泵P-01出口XV-01。定級(jí)要求:PFDavg<1E-01,SIL1。工藝流程:見圖A.1。圖A.1工藝流程A.2過程搭建模型:該SIF功能回路結(jié)構(gòu)分析如圖A.2所示,分為:●傳感器子系統(tǒng),包括:變送器、安全柵等;●邏輯解算器子系統(tǒng),包括:AI、DO、CPU、電源等模塊;●最終元件子系統(tǒng),包括:繼電器、電磁閥、執(zhí)行機(jī)構(gòu)、閥門等。傳感器包括了3個(gè)液位測(cè)量?jī)x表,LT-01/02/03,表決關(guān)系為2oo3,任意兩個(gè)儀表低低聯(lián)鎖即觸發(fā)聯(lián)鎖動(dòng)作;邏輯解算器為SIL3認(rèn)證的SIS系統(tǒng);最終元件執(zhí)行聯(lián)鎖動(dòng)作,關(guān)閉一個(gè)閥門。圖A.2SIF結(jié)構(gòu)輸入?yún)?shù)整體部分:EQ\*jc3\*hps10\o\al(\s\up2(●),●)MTEQ\*jc3\*hps10\o\al(\s\up2(●),●)MT=10年;13操作模式:低要求模式;T/CCSAS045—操作模式:低要求模式;●MTTR=8h;EQ\*jc3\*hps10\o\al(\s\up1(●),●)PTC=90%(為簡(jiǎn)化示例,按全部組件相同考慮);●MTTR=8h;●現(xiàn)場(chǎng)維護(hù)能力指數(shù):良好。輸入?yún)?shù)子系統(tǒng)部分:見表A.1。表A.1SIL計(jì)算子系統(tǒng)的SFF、β以及HFT子系統(tǒng)SFFβHFT傳感器87.2%5%1邏輯解算器97.8%2%1最終元件0%0輸入?yún)?shù)組件部分:見表A.2。表A.2計(jì)算使用各組件的失效數(shù)據(jù)子系統(tǒng)位號(hào)儀表類型分類λSDλSUλDDλDU備注傳感器LT-01/02/03液位變送器B類280125774108安全柵A類06500350邏輯解算器SIS系統(tǒng)CPU處理器B類7430752380125電源225002500AI模塊99010900100AI通道48348300DO模塊7604019010DO通道1391573最終元件XV-01繼電器A類09000600電磁閥A類03000200執(zhí)行機(jī)構(gòu)A類04000300球閥A類02500600注1:λ的單位為FIT(10-9次/h)。注2:設(shè)備分類來自證書、通用數(shù)據(jù)。注3:數(shù)據(jù)來自證書或通用數(shù)據(jù),并為示例的方便作了簡(jiǎn)化和調(diào)整。A.3結(jié)論計(jì)算和驗(yàn)證結(jié)論:通過。詳細(xì)如下。表A.3表示:各參數(shù)的計(jì)算結(jié)果和要求值的對(duì)比。圖A.3表示:PFD在使用年限內(nèi)的變化趨勢(shì),及其平均值PFDavg。圖A.4表示:各子系統(tǒng)對(duì)整體的貢獻(xiàn)比例。14T/CCSAS045—2023表A.3SIL計(jì)算結(jié)果匯總目標(biāo)PFDavg/SIL等級(jí)<1E-01/SIL1實(shí)現(xiàn)PFDavg/SIL等級(jí)1.51E-02/SIL1SIF及子系統(tǒng)PFDavgMTTFSP/年實(shí)現(xiàn)的SIL(AC和SC部分)SILACSILSCSIF回路整體1.51E-0233.8321傳感器4.55E-04499.813(HFT=1)1邏輯解算器2.51E-05287.913(HFT=1)3最終元件1.46E-0241.532(HFT=0)1圖A.3PFDavg趨勢(shì)圖圖A.4各子系統(tǒng)PFDavg和MTTFSP分布圖15T/CCSAS045—2023附錄B(資料性)SIL驗(yàn)證輸入驗(yàn)證所需的輸入文件和內(nèi)容的檢查清單見表B.1。表B.1SIL驗(yàn)證輸入清單序號(hào)輸入文件文件的內(nèi)容必須補(bǔ)充備注1-1SIL定級(jí)報(bào)告SIF清單1-2SIF組成1-3SIF安全關(guān)鍵清單1-4SIF的SIL級(jí)別要求1-5SIF的操作模式1-6SIF的目標(biāo)失效量要求1-7表決關(guān)系(MooN)2-1儀表設(shè)備SIL證書/FMEDA報(bào)告或其對(duì)應(yīng)型號(hào)的安全手冊(cè)(注1)生產(chǎn)廠家2-2儀表具體型號(hào)或系列2-3失效數(shù)據(jù)2-4SIL等級(jí)(@HFT)2-5SC等級(jí)2-6類型3-1工藝P&ID設(shè)備以及儀表位號(hào)3-2SIF回路與工藝流程關(guān)系4-1聯(lián)鎖邏輯說明與配置,或聯(lián)鎖邏輯圖,或邏輯因果表SIF配置方案4-2表決關(guān)系(MooN)5-1儀表索引、儀表規(guī)格書或儀表臺(tái)賬生產(chǎn)廠家5-2儀表具體型號(hào)或系列6-1SIL計(jì)算數(shù)據(jù)調(diào)研表(注2)—注1:采取“以往使用”的做法時(shí),SIL證書不是必需的。注2:由業(yè)主填寫匯總傳感器、邏輯解算器、最終元件等的信息。注3:所有文件需是最新版本。16T/CCSAS045—2023附錄C(資料性)計(jì)算方法C.1概述C.1.1本附錄說明驗(yàn)證涉及的計(jì)ISATR84.00.02—2022。C.1.2SIF計(jì)算的本質(zhì)是通過現(xiàn)有的儀表可靠性,以概率數(shù)學(xué)的方式,在不同的維修方式下,預(yù)測(cè)SIF失效的概率。其中的計(jì)算涉及儀表的可靠性數(shù)據(jù)管理、目標(biāo)管理、工作環(huán)境,例如:有效的儀表供電、布線等安全設(shè)計(jì)。C.1.3SIF計(jì)算的內(nèi)部過程見圖C.1。依據(jù)設(shè)備的各類失效的概率,考慮邏輯結(jié)構(gòu)、維護(hù)情況,計(jì)算系統(tǒng)的各類失效的概率。本圖僅表示了主要部分,詳細(xì)見后續(xù)條款。其中:計(jì)算輸入見C.2;計(jì)算過程見C.3~C.7;特殊的其他問題見C.8。圖C.1SIF計(jì)算C.1.4PFD的整體計(jì)算過程如下。一個(gè)SIF包括3個(gè)部分:a)傳感器(E)部分:含傳感器至解算器輸入之間所有環(huán)節(jié),通常包括變送器、安全柵等。需考慮N取M的結(jié)構(gòu)、1個(gè)SIF中涉及多個(gè)參數(shù)測(cè)量等因素。b)邏輯解算器(LS)部分:包括輸入、控制器、輸出等。c)最終元件(FE)部分:含解算器輸出至最終元件之間所有環(huán)節(jié)。通常包括閥體、執(zhí)行機(jī)構(gòu)、電磁閥、繼電器等。需考慮多個(gè)閥門的關(guān)系、多個(gè)電磁閥的關(guān)系、部分行程測(cè)試等。對(duì)于每一部分,從單體設(shè)備失效率,計(jì)算這部分子系統(tǒng)的PFDavg。合并3部分求和,即SIF的PFDavg。對(duì)于ETT系統(tǒng),需增加考慮支持系統(tǒng)(SS)的電源的失效。詳見公式(C.1):PFDSIF=PFDS+PFDLS+PFDFE+PFDSS……(C.1)注:公式(C.1)中的所有PFD均指PFDavg。PFH、STR的過程相同。支持系統(tǒng)對(duì)于STR計(jì)算適用不同的原則。C.2失效的基本特征C.2.1本條說明設(shè)備組件的失效。設(shè)備、組件等指組成系統(tǒng)、SIF的儀表、閥門、控制設(shè)備等。失效有時(shí)也稱為故障。注:關(guān)于失效和故障的定義和互換使用,參考GB/T7826—2012中3.3的注2。C.2.2失效的分級(jí)見表C.1。17T/CCSAS045—2023表C.1失效分級(jí)失效分級(jí)說明舉例危險(xiǎn)失效因?yàn)樵O(shè)備故障不能完成設(shè)定的安全功能電磁閥卡頓:停車觸發(fā),電磁閥失電,但是電磁閥和閥門不動(dòng)作安全失效設(shè)備的誤操作不會(huì)引起危險(xiǎn),或喪失保護(hù)功能電磁閥電纜斷了,電磁閥失電,閥門誤動(dòng)作至停車觸發(fā)的位置C.2.3失效的模式見表C.2。表C.2失效模式失效模式說明舉例完全失效設(shè)備失去完成設(shè)定功能的能力需要時(shí),切斷閥不能全關(guān)。工藝參數(shù)變化時(shí),變送器信號(hào)無變化?？刂葡到y(tǒng)不能接受輸入降級(jí)條件(部分失效)設(shè)備的可靠性降低,仍能完成預(yù)設(shè)的功能,不滿足預(yù)設(shè)的規(guī)格。如果降級(jí)條件一直存在,會(huì)惡化為完全失效?，F(xiàn),以防惡化控制輸出高。工藝參數(shù)指示高。邏輯表決通道失效早期條件不影響設(shè)備的功能。如果不矯正,可能惡化為降級(jí)條件或完全失效接頭松動(dòng)。端子腐蝕。隔離被損壞C.2.4失效的機(jī)理見表C.3。表C.3失效機(jī)理失效機(jī)理說明舉例隨機(jī)失效本質(zhì)原因是內(nèi)部的。隨著時(shí)間而發(fā)生,可以預(yù)測(cè)變送器電路板故障系統(tǒng)失效本質(zhì)原因是外部的。發(fā)生與時(shí)間無關(guān),無法預(yù)測(cè)。依據(jù)經(jīng)驗(yàn)整體估算,通過系統(tǒng)性的改善工作使之減少非常規(guī)的復(fù)雜的設(shè)計(jì),復(fù)雜的診斷維護(hù),不好的維護(hù)和操作,管理中的變更。變更錯(cuò)誤C.2.5失效率數(shù)據(jù)的來源包括:企業(yè)的可靠性數(shù)據(jù)積累;行業(yè)數(shù)據(jù)手冊(cè)和共享;制造廠SIL證書、安全手冊(cè)等。SIL證書的數(shù)據(jù)應(yīng)基于分析,并可被查證。表C.4羅列了參考數(shù)據(jù)的部分來源。18T/CCSAS045—2023表C.4數(shù)據(jù)來源組織網(wǎng)址PERDProcessEquipmentReliabilityDatabase /CCPS/ActiveProjects/PERD/index.aspxPDSForumPDSDataHandbookPage/OREDAOffshoreReliabilityDataOREDAHandbookInstrumentReliabilityNetwork WIB(InternationalInstrumentUsers’Association) http://www.wib.nlIEEEIEEEStandard493 RIACEPRDElectronicPartsReliabilityDataNPRDNon-electronicPartsReliabilityData—C.2.6有些失效的根本原因是相同的,稱為共因失效。非共因失效即獨(dú)立失效。二者對(duì)于整個(gè)系統(tǒng)失效的影響是不同的。共因失效的占比是共用因子β。例如:2個(gè)冗余的變送器,隔膜被水錘損壞,同時(shí)故障,是共因故障。而其中1個(gè)的電路損壞,是獨(dú)立失效。C.2.7失效的詳細(xì)分級(jí)(安全\危險(xiǎn)失效、是否檢測(cè)到的失效,以及與“被揭露出”的關(guān)系)見圖C.2。圖C.2失效詳細(xì)分級(jí)C.2.8設(shè)備失效率參數(shù)的關(guān)系如下,示意見圖C.3。λ分為4部分:λDU、λDD、λSU、λSD。λD是λDU和λDD之和,λS是λSU和λSD之和。λSP包含λS,λSP是否還包含λDD取決于系統(tǒng)設(shè)計(jì)(檢測(cè)到的危險(xiǎn)失效是否可安全停車)。通常認(rèn)為失電停車DTT系統(tǒng)的λSP包含λDD;反之,ETT時(shí)不包含。DC是λD中λDD的比例。19T/CCSAS045—2023SFF是λ中λSP的比例。λ是MTTF的倒數(shù)。MTBF是MTTF和MTTR之和,通常MTTF遠(yuǎn)遠(yuǎn)大于MTTR,所以MTBF約等于MTTF。圖C.3設(shè)備失效率C.2.9設(shè)備的失效率服從浴盆效應(yīng),見圖C.4。早期,失效率高,主要是磨合失效;使用期,失效率穩(wěn)定且低,主要是隨機(jī)失效;末期,失效率高,主要是老化失效。SIL驗(yàn)證僅計(jì)算使用期的穩(wěn)定的隨機(jī)失效。圖C.4浴盆效應(yīng)C.3操作模式C.3.1SIF的操作模式見表C.5。表C.5操作模式操作模式說明舉例低需求模式需求時(shí),SIF才動(dòng)作。DR≤1次/年。驗(yàn)證:PFDavg汽包液位低低:作為保護(hù)措施,預(yù)期的DR為0.1次/年高需求模式需求時(shí),SIF才動(dòng)作。DR>1次/年。驗(yàn)證:PFH批量反應(yīng)器進(jìn)料超限:每批次:16h運(yùn)行,4h切換。每年:50批次。DR=600次/年連續(xù)模式SIF是正常運(yùn)行的一部分,使工藝處于安全狀態(tài)。SIF的失效會(huì)導(dǎo)致危險(xiǎn)的事故。驗(yàn)證:PFH反應(yīng)器溫度:溫度控制應(yīng)維持正常;當(dāng)超溫時(shí),其他手段(超溫保護(hù)、超壓保護(hù)等)因?yàn)榫唧w原因(時(shí)間不足、措施不足等)不能保證反應(yīng)器的安全DR=需求次數(shù)/總操作時(shí)間。C.3.2SIL驗(yàn)證的輸入文件應(yīng)明確每個(gè)SIF的操作模式、驗(yàn)證選擇(PFDavg或PFH)、目標(biāo)值。C.3.3PFDavg是一個(gè)時(shí)間段失效概率的平均值,PFH是瞬時(shí)值。選擇依據(jù)是操作模式和DR(需求的頻繁程度)。選擇目的是更客觀地反映實(shí)際情況。C.3.4STR的驗(yàn)證僅考慮瞬時(shí)情況,不考慮操作模式和DR。20T/CCSAS045—2023C.4PFH計(jì)算C.4.1PFH的一般公式見公式(C.2)。PFHMooN=×(1-β)×λD×N-M+(β×λD)…………(C.2)公式的說明如下:a)本公式適用于DR較高的情況,包括:連續(xù)模式、需求模式(DR較高時(shí),通常是高需求模式);b)DR較高時(shí),診斷出的故障依然會(huì)導(dǎo)致失效,診斷對(duì)可靠性無貢獻(xiàn)。因?yàn)樵\斷出的危險(xiǎn)失效沒有時(shí)間將系統(tǒng)移至安全停車狀態(tài);c)PFH的計(jì)算基于D型失效,包括DU、DD型;DC不參與計(jì)算。C.4.2PFH具體公式和推導(dǎo)見附錄E。C.5PFD計(jì)算C.5.1本條詳細(xì)說明PFD計(jì)算的原理和過程。PFH、STR的計(jì)算原理與PFD相同且簡(jiǎn)化,可不考慮時(shí)間積累等因素,因此PFH、STR計(jì)算各條不再詳述,參考PFD計(jì)算。C.5.2可靠性方塊圖是PFD計(jì)算的基本方法,它表示了組件和系統(tǒng)的失效傳遞關(guān)系。在圖中有通路表示系統(tǒng)無失效,無通路表示系統(tǒng)有失效?？煽啃苑綁K圖(單表結(jié)構(gòu))見圖C.5,3個(gè)部分的任1個(gè)部分失效,無通路,整個(gè)系統(tǒng)失效,所以系統(tǒng)PFD等于組件PFD的匯總?？煽啃苑綁K圖(冗余結(jié)構(gòu):傳感器2取1,最終元件2取1)見圖C.6,2個(gè)傳感器(S1/S2)組件中1個(gè)失效,有通路,這個(gè)環(huán)節(jié)沒有失效。這個(gè)環(huán)節(jié)PFD不是2個(gè)組件的匯總,是基于排列組合的概率計(jì)算。圖C.5可靠性方塊圖(單表結(jié)構(gòu))圖C.6可靠性方塊圖(冗余結(jié)構(gòu))C.5.3完整的維修時(shí)間指:從失效停止工作,到校正后再次工作,之間的不可工作時(shí)間。見圖C.7,包括:a)檢測(cè)失效的時(shí)間;b)開始維修前的準(zhǔn)備時(shí)間;21T/CCSAS045—2023c)實(shí)際的維修時(shí)間;d)組件恢復(fù)運(yùn)行前的等待時(shí)間。相關(guān)的定義及依據(jù)如下:●MTTR(平均恢復(fù)時(shí)間meantimetorestoration)指a、b、c、d部分;●MRT(平均維修時(shí)間meanrepairtime)指b、c、d部分;●因歷史原因,MTTR也被用作平均維修時(shí)間(meantimetorepair),即MRT;●MTTR參與SIF計(jì)算,對(duì)結(jié)果影響比較小。圖C.7MTTRC.5.4表決(N取M)邏輯影響了(單個(gè)儀表和組合之間的)失效傳遞關(guān)系,見表C.6。同一配置,對(duì)于危險(xiǎn)失效、安全失效(誤停車),這一傳遞關(guān)系是不同的。失效傳遞關(guān)系是建立模型的基礎(chǔ)。表C.6表決表決危險(xiǎn)HFT安全HFT邏輯圖1取1002取1102取2013取2114取221C.5.5共因抵消了冗余的作用。對(duì)于共因失效CCF部分,冗余配置無作用,相當(dāng)于1取1(例如:單表、單閥等);對(duì)于獨(dú)立失效IF部分,冗余降低了失效。示意見圖C.8。圖C.8共因C.5.6PFD基本公式的推導(dǎo)見附錄E。故障樹方法和馬爾可夫方法的介紹,以及PFD具體公式見附22T/CCSAS045—2023錄F和附錄G。C.6STR計(jì)算C.6.1STR的一般公式見公式(C.3)。STRMooN=N!/[R!(M-1)!]·R·λsp·[λsp·(TI/2+MTTR)]M-1……(C.3)公式的說明如下:a)假設(shè)共因失效少,可忽略。b)假設(shè)設(shè)備無連續(xù)自動(dòng)診斷功能,檢測(cè)時(shí)間為檢修時(shí)間TI的一半。當(dāng)設(shè)備為自動(dòng)診斷功能時(shí),去掉公式中的“TI/2”。c)公式推導(dǎo)為:冗余配置中,1個(gè)設(shè)備失效期間,另一個(gè)設(shè)備也失效的概率,并依次類推。C.6.2STR的具體公式見附錄E。C.7SIF計(jì)算C.7.1基于以下假設(shè),可把實(shí)際實(shí)現(xiàn)理想化為數(shù)學(xué)模型,進(jìn)而可開展SIF計(jì)算。a)設(shè)備的失效率和維修率在計(jì)算目標(biāo)周期內(nèi)是固定的。b)設(shè)備失效之后,修好之前,不會(huì)再次失效。c)TI遠(yuǎn)遠(yuǎn)小于MTTF。d)測(cè)試和維修是完善的。e)所有設(shè)備選擇正確。例如:閥門根據(jù)應(yīng)用,在失效時(shí)都是安全位置。f)電源失效是非勵(lì)磁狀態(tài)。g)可檢測(cè)的危險(xiǎn)失效(λDD)發(fā)生時(shí),將發(fā)生安全停車。h)人員經(jīng)過培訓(xùn),按照制度工作。C.7.2SIF計(jì)算僅針對(duì)隨機(jī)失效。系統(tǒng)失效無法被定量計(jì)算,需整體估算。C.7.3不同方法的SIF計(jì)算示例及比較見附錄H。C.8其他C.8.1冗余結(jié)構(gòu)中,各個(gè)設(shè)備的失效率不同時(shí),采用表C.7的方法修改原公式。例如:采購(gòu)不同制造廠的壓力變送器組成3取2表決時(shí),每個(gè)變送器的λ不同,采用第3列替換第1列,修正原公式。表C.7不同失效率的公式調(diào)整相同失效率不同失效率:2取M時(shí)不同失效率:3取M時(shí)λ(λ1+λ2)/2(λ1+λ2+λ3)/3λ2λ1λ2(λ1λ2+λ1λ3+λ2λ3)/3λ3—λ1λ2λ3C.8.2本文件未詳細(xì)分析邏輯解算器的內(nèi)部計(jì)算?？捎上到y(tǒng)廠家提供此部分的PFD、PFH和STR結(jié)果,直接使用。對(duì)于1個(gè)項(xiàng)目,結(jié)果可按類型復(fù)用。其計(jì)算原理類似傳感器、最終元件的拆分。通常,邏輯解算器的PFD和STR在整個(gè)SIF中占比較小。表決信號(hào)的IO分配會(huì)通過共因,影響可靠性和計(jì)算。例如:3取2信號(hào),分配至不同的IO卡,相比于相同的卡,可靠性更高,理論上PFD更低。C.8.3系統(tǒng)失效(例如:儀表合理選型、防止腐蝕、防止堵塞、儀表正確安裝、回路失效安全搭建、維護(hù)水平等)對(duì)于SIF的可靠性影響很大,但是難以同隨機(jī)失效(例如:變送器的λ參數(shù)、冗余配置)一樣,通過SIF計(jì)算來體現(xiàn)。實(shí)際維護(hù)中,應(yīng)通過減少系統(tǒng)失效,提高可靠性。23T/CCSAS045—2023C.8.4通過查表法計(jì)算PFD,可參考GB/T20438.6—2017中附錄B的B.3.2.3。C.8.5PTC(檢驗(yàn)測(cè)試覆蓋率)對(duì)PFDavg的影響見圖A.3。當(dāng)不全覆蓋(PTC<100%)時(shí),會(huì)逐個(gè)提高M(jìn)T內(nèi)每個(gè)TI的PFD平均值。進(jìn)而,第1個(gè)TI的EQ\*jc3\*hps19\o\al(\s\up3(PF),的。)DEQ\*jc3\*hps19\o\al(\s\up5(平均值,),盡量提高)EQ\*jc3\*hps19\o\al(\s\up5(不),實(shí))EQ\*jc3\*hps19\o\al(\s\up5(等),踐)EQ\*jc3\*hps19\o\al(\s\up5(于),中)EQ\*jc3\*hps19\o\al(\s\up5(整),測(cè))EQ\*jc3\*hps19\o\al(\s\up5(個(gè)),試)從TEQ\*jc3\*hps19\o\al(\s\up3(P),高)EQ\*jc3\*hps19\o\al(\s\up4(FD平均),可靠性。)值;當(dāng)全覆蓋(PTC=100%)時(shí),兩種平均值是相同C.8.6對(duì)于提高可靠性的冗余配置(例如:2取1、3取2等),β影響PFDavg,說明如下。a)對(duì)影響因素綜合評(píng)分后,β取值宜在10%以內(nèi)。b)當(dāng)參與計(jì)算時(shí),β對(duì)計(jì)PFD的影響是正向的,即β越大,PFD越大;因?yàn)?β的部分內(nèi),各種表決降級(jí)為1取1(例如:單表、單閥),消除了冗余降低失效的作用。(不同測(cè)量方法、相同測(cè)量方法但不同制造廠、相同測(cè)量方法和制造廠)的傳感器:β的取值依次變大。最終元件的情況類似。d)盡量降低實(shí)踐中的共因β,從而提高可靠性。e)參考GB/T20438.6—2017中表D.4。C.8.7冗余結(jié)構(gòu)中的硬件故障裕度,由SIL等級(jí)、需求模式、以往使用、故障安全、安全失效分?jǐn)?shù)等共同決定。這些參數(shù)形成了子系統(tǒng)的結(jié)構(gòu)約束。C.8.8“以往使用”的做法需要具備可靠性管理經(jīng)驗(yàn):對(duì)于在特定條件下使用的設(shè)備,經(jīng)過評(píng)估,證明設(shè)備適合于操作條件,具有滿意的檢測(cè)、測(cè)試的方法,設(shè)備所在的安全儀表功能滿足安全完整性等級(jí)要求。用戶根據(jù)以往使用經(jīng)驗(yàn),匯總形成批準(zhǔn)的供應(yīng)商目錄,有效管理可使用在同一具體操作條件下的多個(gè)設(shè)備廠家和類型。同時(shí)用戶建立自己的可靠性數(shù)據(jù)庫(kù),確定設(shè)備及其子系統(tǒng)的可靠性數(shù)據(jù),通過可靠性目標(biāo)管理,改善設(shè)備的維修方式和診斷方式,不斷提高設(shè)備的可靠性,不斷篩選證明合適的設(shè)備類型,提高SIF的安全完整性。C.8.9FMEA列表分析失效的模式、分級(jí)、原因、機(jī)理。例子見附錄I。24T/CCSAS045—2023(資料性)調(diào)整和影響SIL驗(yàn)證計(jì)算時(shí),調(diào)整輸入?yún)?shù)對(duì)結(jié)果的影響,見表D.1。表D.1調(diào)整和影響對(duì)象調(diào)整措施可靠性PFD/PFH可用性STR經(jīng)濟(jì)性成本備注共因β降低采購(gòu)不同制造廠的產(chǎn)品提高提高不變完善設(shè)計(jì)、健全管理提高提高不變提高不采取額外措施降低降低不變產(chǎn)品可靠性λ提高采購(gòu)高檔次的儀表提高提高提高降低采購(gòu)低檔次的儀表降低降低降低冗余結(jié)構(gòu)提高1oo1改為1oo2提高降低提高1oo1改為2oo2降低提高提高1oo1改為2oo3提高提高提高1oo2改為2oo3小量降低提高提高2oo2改為2oo3提高小量降低提高降低2oo3改為1oo2小量提高降低降低2oo3改為2oo2降低小量提高降低2oo3改為1oo1降低降低降低1oo2改為1oo1降低提高降低2oo2改為1oo1提高降低降低修改2oo2改為1oo2提高降低不變1oo2改為2oo2降低提高不變部分行程測(cè)試增加提高提高提高取消降低降低降低檢驗(yàn)測(cè)試間隔(TI)縮短提高不變提高延長(zhǎng)降低不變降低平均恢復(fù)時(shí)間(MTTR)縮短不變提高提高影響小延長(zhǎng)不變降低降低影響小使用期限(MT)縮短提高提高提高延長(zhǎng)降低降低降低檢驗(yàn)測(cè)試覆蓋率(PTC)提高提高提高提高降低降低降低降低補(bǔ)充說明:針對(duì)驗(yàn)證不合格的情況,還有其他應(yīng)對(duì)策略。例如:考察該SIF設(shè)置的科學(xué)性和合理性。檢查并分辨動(dòng)作是否與安全相關(guān)。25T/CCSAS045—2023附錄E(資料性)公式和推導(dǎo)E.1PFH公式推導(dǎo)、公式、計(jì)算實(shí)例對(duì)于3取2配置,采用故障樹模型,推導(dǎo)PFH公式。見圖E.1。圖E.1PFH失效模型對(duì)于各種配置,推導(dǎo)的結(jié)果,見表E.1。表E.1PFH公式配置公式1取1λD2取1(1-β)2·λD2·TI+β·λD3取13/4·(1-β)3·λD3·TI2+β·λD2取22λD3取23(1-β)2·λD2·TI+β·λD3取33λD注:公式的適用條件、參數(shù)調(diào)整見正文章條。計(jì)算例子的匯總見表E.2。計(jì)算過程略。26T/CCSAS045—2023表E.2PFH例子結(jié)果匯總λD0.05/年0.008/年TI1年5年1年5年1取10.050.050.0080.0082取10.0340.0130.000220.00473取10.00110.00320.000160.000172取160.0162取30.00820.0370.000340.00113取240.024注1:本表羅列24種情況;2種λD取值、2種TI取值,6種配置。注2:β=2%。E.2PFD基本公式的推導(dǎo)推導(dǎo)過程:見ISATR84.00.02—推導(dǎo)過程:見ISATR84.00.02—2022的附錄D。說明:見圖E.2。左圖中,PFD是時(shí)間的函數(shù)。右圖說明如下:●失效的比例是固定的,即:λ?！袷О幢壤l(fā)生。每個(gè)時(shí)刻,都基于目前的可靠總量,發(fā)生等比例的失效。通過微分并積分(本文件略去),可知未失效的可用數(shù)量是λ和時(shí)間的指數(shù)函數(shù)。即:e-λt?！馝Q\*jc3\*hps19\o\al(\s\up0(P),λ)FEQ\*jc3\*hps10\o\al(\s\up0(Dav),TI)EQ\*jc3\*hps19\o\al(\s\up1(是),2。)平均值,失效數(shù)量在TI周期(遠(yuǎn)小于最終壽命)內(nèi)的積分并近似。即:PFDavg=圖E.2PFD示意PFD的具體公式見附錄F和附錄G。E.3STR公式STR的公式見表E.3。表E.3STR公式配置公式1取1λsp2取12λsp27T/CCSAS045—2023表E.3STR公式(續(xù))配置公式3取13λsp2取22λsp2·(TI/2+MTTR)3取26λsp2·(TI/2+MTTR)3取33λsp3·(TI/2+MTTR)2注:公式的適用條件、參數(shù)調(diào)整見正文章條。28T/CCSAS045—2023附錄F(資料性)故障樹方法和PFDF.1說明FTA故障樹分析起源于20世紀(jì)60年代,用于估算北極星導(dǎo)彈項(xiàng)目的安全性和民兵導(dǎo)彈誤發(fā)射的可能性。20世紀(jì)70年代,擴(kuò)展至核工業(yè),用于估算核反應(yīng)堆失控的可能性。20世紀(jì)80年代,擴(kuò)展至流程工業(yè),用于估算事故的可能性,包括SIF失效的可能性。FTA用于估算設(shè)備和組件失效導(dǎo)致事故的可能性,是公認(rèn)的技術(shù)。FTA需基于對(duì)估算對(duì)象(SIF設(shè)計(jì))的正確理解。FTA不能替換SIF設(shè)計(jì)本身。FTA僅圖示和羅列故障路徑,估算總體失效。FTA的計(jì)算基于底層設(shè)備組件的失效率,這些數(shù)據(jù)來自大量工業(yè)數(shù)據(jù)的積累,并根據(jù)工藝操作條FTA完整的計(jì)算量非常大,可按需分層次采用近似的公式。F.2作業(yè)說明FTA的工作步序見表F.1,采用的圖例見圖F.1。表F.1FTA步序步序說明1SIF描述和信息:儀表、工藝、公用工程(儀表風(fēng)、供電等)、檢修周期(離線\在線)、失效模式、失效率、診斷、維修周期(離線\在線)、共因、系統(tǒng)失效2頂端事件辨識(shí):以PFD(安全功能失效)或STR(誤停車)為目標(biāo)的頂端事件3構(gòu)造故障樹:從基本事件(設(shè)備組件各類失效)到頂端事件的邏輯傳遞關(guān)系。采用圖F.1的圖例4定性檢查故障樹:需工藝和儀表的設(shè)計(jì)、操作、危險(xiǎn)評(píng)估人員5定量估算圖F.1FTA圖例29T/CCSAS045—2023F.3公式故障樹法的PFDavg一般公式見公式(F.1)。……λD·MTTR)R+β·((1-DC)·λD·TI/2+DC·λD·DI/2+λD·MTTR)PFDavg=N!/(R!(M……λD·MTTR)R+β·((1-DC)·λD·TI/2+DC·λD·DI/2+λD·MTTR)(F.1)公式考慮了共因。對(duì)于CCF部分,冗余配置降級(jí)為1取1(無冗余),體現(xiàn)為公式中β系數(shù)的部分。對(duì)于IF部分,體現(xiàn)為公式中(1-β)系數(shù)的部分。故障樹法的PFDavg具體公式見表F.2。表F.2故障樹法的PFDavg近似公式配置公式1取1(1-DC)·λD·TI/2+DC·λD·DI/2+λD·MTTR2取1((1-DC)·(1-β)·λD·TI/2+DC·(1-β)·λD·DI/2+(1-β)·λD·MTTR)2+((1-DC)·β·λD·TI/2+DC·β·λD·DI/2+β·λD·MTTR)3取1((1-DC)·(1-β)·λD·TI/2+DC·(1-β)·λD·DI/2+(1-β)·λD·MTTR)3+((1-DC)·β·λD·TI/2+DC·β·λD·DI/2+β·λD·MTTR)2取22·((1-DC)·λD·TI/2+DC·λD·DI/2+λD·MTTR)3取23·((1-DC)·(1-β)·λD·TI/2+DC·(1-β)·λD·DI/2+(1-β)·λD·MTTR)2+((1-DC)·β·λD·TI/2+DC·β·λD·DI/2+β·λD·MTTR)3取33·((1-DC)·λD·TI/2+DC·λD·DI/2+λD·MTTR)30T/CCSAS045—2023(資料性)馬爾可夫方法和PFDG.1說明馬爾可夫Markov模型或方法致力于隨機(jī)過程的數(shù)學(xué)分析,并得到了廣泛的發(fā)展和應(yīng)用,是定量分析SIS可靠性的方法之一。馬爾可夫模型包括系統(tǒng)狀態(tài)和轉(zhuǎn)換,狀態(tài)之間的轉(zhuǎn)換原因是故障和維修。狀態(tài)轉(zhuǎn)換以概率發(fā)生,并是下次狀態(tài)轉(zhuǎn)換的開始。隨著時(shí)間推移,即可定量估算SIS的可靠性。馬爾可夫圖主要包含2個(gè)元素:表示系統(tǒng)狀態(tài)的圓圈和表示不同狀態(tài)之間的轉(zhuǎn)換弧線。見圖G.1。圖G.1簡(jiǎn)單模型狀態(tài)1是在正常運(yùn)行的原件狀態(tài)。狀態(tài)2是故障但可修復(fù)的原件的狀態(tài)。正常運(yùn)行狀態(tài)可失效,轉(zhuǎn)換為狀態(tài)2;故障但可修復(fù)的狀態(tài)經(jīng)過維修,轉(zhuǎn)換為狀態(tài)1。G.2建模原理G.2.1建模說明當(dāng)進(jìn)行馬爾可夫分析時(shí),需要構(gòu)造一個(gè)馬爾可夫圖,也稱為狀態(tài)轉(zhuǎn)移圖。馬爾可夫圖表示系統(tǒng)的狀態(tài)及其在不同狀態(tài)之間的轉(zhuǎn)換。為了便于理解,本附錄以1oo1架構(gòu)的馬爾可夫建模進(jìn)行舉例,說明馬爾可夫建模的詳細(xì)過程。本附錄的目的是講解馬爾可夫建模的方法原理,并不針對(duì)具體的1oo1D、1oo2、1oo3、2oo3等其他表決情況建模分析。馬爾可夫建模過程需要詳細(xì)了解各種故障率和修復(fù)率,以及使用一個(gè)數(shù)學(xué)模型,如狀態(tài)轉(zhuǎn)移矩陣來計(jì)算處于每個(gè)狀態(tài)的概率。狀態(tài)轉(zhuǎn)移矩陣是馬爾可夫模型的核心部分,它是系統(tǒng)在一個(gè)定義的時(shí)間間隔Δt內(nèi)從一種狀態(tài)過渡到另一種狀態(tài)的概率矩陣。時(shí)間間隔的長(zhǎng)度影響計(jì)算的精度,間隔越小,精度越高。轉(zhuǎn)移概率矩陣包含了關(guān)于系統(tǒng)轉(zhuǎn)移的所有信息。使用圖G.2開發(fā)一個(gè)示例矩陣來說明該方法。在實(shí)際應(yīng)用中,分析人員可只關(guān)注模型的構(gòu)建,而不是基礎(chǔ)的數(shù)學(xué)運(yùn)算。不過,至少理解本附錄所介紹的方法原理。關(guān)于馬爾可夫方法更詳細(xì)地討論,讀者可參考ISO/TR12489:2013。故障安全和故障危險(xiǎn)模式的馬爾可夫模型見圖G.2。31T/CCSAS045—2023圖G.2故障安全和故障危險(xiǎn)的馬爾可夫圖狀態(tài)0是正常無故障狀態(tài),狀態(tài)1是安全檢測(cè)的失效狀態(tài),狀態(tài)2是可檢測(cè)出危險(xiǎn)的失效狀態(tài),狀態(tài)3是未檢測(cè)出危險(xiǎn)的失效狀態(tài)。其中各個(gè)狀態(tài)的轉(zhuǎn)換關(guān)系如圖G.2所示。假設(shè)未檢測(cè)出危險(xiǎn)的失效狀態(tài)不能在線維修修復(fù)。G.2.2建模過程建模過程主要分為以下3個(gè)部分。a)定義系統(tǒng)可能出現(xiàn)的狀態(tài),系統(tǒng)狀態(tài)在馬爾可夫圖中用圓表示。狀態(tài)0:安全狀態(tài);狀態(tài)1:安全失效;狀態(tài)2:檢測(cè)出危險(xiǎn)失效;狀態(tài)3:未檢測(cè)出危險(xiǎn)失效。b)列出系統(tǒng)狀態(tài)之間可能發(fā)生轉(zhuǎn)換的情況,轉(zhuǎn)換在馬爾可夫圖中用有向弧線表示。狀態(tài)0-->狀態(tài)1發(fā)生安全失效;狀態(tài)0-->狀態(tài)2發(fā)生檢測(cè)出的危險(xiǎn)失效;狀態(tài)0-->狀態(tài)3發(fā)生未檢測(cè)出的危險(xiǎn)失效;狀態(tài)1-->狀態(tài)0安全失效被修復(fù);狀態(tài)2-->狀態(tài)0檢測(cè)出的危險(xiǎn)失效被修復(fù)。c)計(jì)算狀態(tài)之間轉(zhuǎn)換的概率。狀態(tài)0-->狀態(tài)1安全失效率λS;狀態(tài)0-->狀態(tài)2檢測(cè)出的危險(xiǎn)失效率λDD;狀態(tài)0-->狀態(tài)3未檢測(cè)出的危險(xiǎn)失效λDU;狀態(tài)1-->狀態(tài)0安全失效修復(fù)率μS;狀態(tài)2-->狀態(tài)0檢測(cè)出的危險(xiǎn)失效修復(fù)率μDD。G.2.3轉(zhuǎn)移矩陣對(duì)于具有N個(gè)系統(tǒng)狀態(tài)的馬爾可夫圖,轉(zhuǎn)移概率矩陣是一個(gè)N×N個(gè)覆蓋所有可能的轉(zhuǎn)移矩陣。例如,圖G.2有4種狀態(tài),所以轉(zhuǎn)移概率矩陣是一個(gè)4×4的矩陣。表G.1矩陣是通過使用模型中定義的圓弧(轉(zhuǎn)換概率)來填充的。32T/CCSAS045—2023表G.1安全失效/危險(xiǎn)失效馬爾可夫模型的轉(zhuǎn)移概率矩陣轉(zhuǎn)移狀態(tài)初始狀態(tài)012301-λS-λDD-λDUλSλDDλDU1μS1-μS002μDD01-μDD030001已知λS=0.001,μS=0.04,λDD=0.06,μDD=0.125,λ表G.2安全失效/危險(xiǎn)失效馬爾可夫模型的量化轉(zhuǎn)移概率矩陣轉(zhuǎn)移概率0.9090.0010.060.030.040.96000.12500.87500001G.2.4矩陣運(yùn)算給定時(shí)間t時(shí)刻的概率計(jì)算公式用一個(gè)向量微分方程公式(G.1)來表示:EQ\*jc3\*hps19\o\al(\s\up5(→),P)(t)=et[M]EQ\*jc3\*hps19\o\al(\s\up5(→),P)(0)…………(G.1)式中:P(t)—時(shí)刻t的狀態(tài)概率向量;t—時(shí)刻t,單位為小時(shí)(h);[M]—狀態(tài)轉(zhuǎn)移概率的馬爾可夫矩陣;P(0)—初始狀態(tài)概率向量,通常為一個(gè)列向量,完好狀態(tài)為1,其他狀態(tài)為0。盡管矩陣指數(shù)的屬性與普通指數(shù)不完全相同,也可得出公式(G.2):EQ\*jc3\*hps19\o\al(\s\up4(→),P)(t)=e(t-t1)[M]et1[M]EQ\*jc3\*hps19\o\al(\s\up4(→),P)(0)=e(t-t1)[M]EQ\*jc3\*hps19\o\al(\s\up4(→),P)(t1)……(G.2)式中:P(t)—時(shí)刻t的狀態(tài)概率向量;t—時(shí)刻t,單位為小時(shí)(h);t1—上一時(shí)刻t1,單位為小時(shí)(h);[M]—狀態(tài)轉(zhuǎn)移率的馬爾可夫矩陣;P(0)—初始狀態(tài)概率向量,通常為一個(gè)列向量,完好狀態(tài)為1,其他狀態(tài)為0;P(t1)—時(shí)刻t1狀態(tài)向量,通常為一個(gè)列向量。以上描述了馬爾可夫過程的基本屬性:給定t1時(shí)刻的狀態(tài)概率概括了所有過去演變的相關(guān)信息,并足以用來計(jì)算從t1時(shí)刻起系統(tǒng)的未來是如何演變的。通過公式(G.2)可得出前10個(gè)時(shí)刻的馬爾可夫模型概率,見表G.3。33T/CCSAS045—2023表G.3安全失效/危險(xiǎn)失效馬爾可夫模型的部分時(shí)間概率時(shí)刻狀態(tài)0狀態(tài)1狀態(tài)2狀態(tài)301.0000.00000.00000.000010.90900.00100.06000.030020.83380.00190.10700.057330.77140.00260.14370.082340.71930.00330.17200.105450.67540.00390.19370.127060.63830.00440.21000.147370.60670.00490.22200.166480.57940.00530.23070.184690.55570.00560.23660.2020案例中的馬爾可夫模型中處于危險(xiǎn)失效的狀態(tài)是狀態(tài)2和狀態(tài)3,所以PFD是為狀態(tài)2和狀態(tài)3的概率之和,而PFDavg是所有PFD的平均值。PFDavg可通過平均累計(jì)時(shí)間(MCT)進(jìn)行計(jì)算,見公式(G.3)和(G.4)。MEQ\*jc3\*hps19\o\al(\s\up6(→),CT)(T)=EQ\*jc3\*hps19\o\al(\s\up6(→),P)(t)dt……………(G.3)式中:MCT—狀態(tài)平均累計(jì)時(shí)間向量;T—最終時(shí)刻T,單位為小時(shí)(h);P(t)—時(shí)刻t的狀態(tài)概率向量。對(duì)于EQ\*jc3\*hps19\o\al(\s\up4(→),P)(t),使用已有的成熟算