安全仪表系统安全完整性等级(SIL)验算

安全完整性等级验算是验证已设计或安装的安全仪表功能是否达到其目标SIL要求的关键过程。它是一个回溯性、基于性能数据的分析，核心在于量化SIL的两个核心指标：可靠性和可用性。

一、 核心目的

确认SIF的平均失效概率或要求时失效概率是否符合其分配的SIL目标等级（SIL 1-4）。

二、 主要标准依据

IEC 61508：功能安全基本标准，规定原理和方法。 

IEC 61511：过程工业领域应用标准，最常用。 

其他行业特定标准（如ISO 26262适用于汽车）。

三、 验算的两大核心量化指标

根据SIF的操作模式，采用不同指标： 

低要求模式： 

核心指标：平均失效概率。 

定义：在系统处于休眠状态下，当需求发生时，SIF无法执行其安全功能的平均概率。

SIL等级对应范围（根据IEC 61511）：

SIL 1: ≥10⁻² 到 <10⁻¹ 

SIL 2: ≥10⁻³ 到 <10⁻² 

SIL 3: ≥10⁻⁴ 到 <10⁻³ 

SIL 4: ≥10⁻⁵ 到 <10⁻⁴

高要求/连续模式： 

核心指标：危险失效的平均频率。 

定义：单位时间内（通常为每小时）发生危险失效的平均次数。 

SIL等级对应范围不同，要求更严苛。 

验算即是通过计算，证明SIF的PFDavg或PFH值落在目标SIL的范围内。

四、 验算的核心要素与数据来源

计算基于SIF的整个回路，包括三个子系统： 

传感器子系统：变送器、开关、传感器等。 

逻辑控制器子系统：安全PLC、继电器等。 

最终元件子系统：切断阀、电磁阀、电机等。

关键输入数据： 

硬件失效率：来自制造商数据手册或通用数据库。 

λ：总失效率。 

λ_D：可检测的危险失效率。 

λ_DU：未检测的危险失效率（对PFDavg贡献最大）。 

λ_S：安全失效率。 

结构约束：硬件故障裕度。 

硬件故障裕度：子系统在单点故障后仍能工作的能力。 

安全失效分数：衡量子系统诊断能力，分为A、B两类。 

需结合HFT和SFF，根据标准中的表格，判定子系统的架构是否达到目标SIL的结构性要求。

测试与维护策略：

TI：功能测试间隔。 

MTTR：平均恢复时间。 

β：共因失效因子（衡量冗余元件因共同原因同时失效的概率）。

五、 基本验算方法（简化示例）

对于低要求模式，PFDavg的简化计算公式（以1oo2冗余传感器为例）：

更通用的方法是使用可靠性框图或马尔可夫模型，并通常借助专业软件进行计算。

六、 典型验算流程步骤

定义与准备： 

明确待验算的SIF及其目标SIL。 

收集完整的SIF回路结构图、部件清单。 

从数据库或制造商处获取所有部件的失效率数据。

建立可靠性模型： 

根据回路结构和冗余配置，为每个子系统建立可靠性框图。 

确定共因失效因子β等参数。

执行量化计算： 

使用公式或专业软件，计算整个SIF回路的PFDavg或PFH值。

评估与判定： 

将计算结果与目标SIL的允许范围比较。 

同时检查每个子系统的结构约束是否满足目标SIL的架构要求。 

两者都必须满足，验算才算通过。

敏感性分析与报告： 

分析关键参数变化对结果的影响。 

形成正式的验算报告，记录所有假设、输入数据和结果。 

如果未通过，提出改进建议。

七、 常用工具

专业软件：exSILentia、SILence、RiskNow等。 

可靠性计算库：OREDA、PDS方法手册等。

八、 重要注意事项

“验算”不等于“验证”：验算是验证活动中的关键量化部分。 

数据质量至关重要：垃圾数据入，垃圾结果出。失效率数据的来源和适用性需仔细评估。 

共因失效不容忽视：不合理的β因子设定会导致对冗余系统可靠性的过度乐观估计。 

系统性失效：量化验算主要针对随机硬件失效。系统性失效需通过严格的生命周期管理来控制。 

定期更新：当工艺条件、设备或维护策略发生重大变更时，需重新验算。

总结而言，SIL验算是一个以数据为基础，以标准为准则的系统化量化分析过程，旨在用证据证明安全仪表功能在抵御随机硬件失效方面的性能，达到了所要求的安全完整性等级。