在我们衡量安全仪表系统（SIS）性能的时候，一般会使用两个指标：其中一种比较常见的叫做出现需求时候的失效概率（PFD），而另外一个是PFH。PFH最早来自1997年版的国标IEC 61508CONTROL ENGINEERING China版权所有，意思是每小时的（危险）失效概率。而在最近的文献里面，PFH的定义已经被修订为危险失效的失效频率（每小时）。
　　那么问题来了，我们应该在什么情况下使用PFD，又在什么情况下使用PFH呢？
　　低频需求和高频需求
　　在基础国际标准IEC 61508当中，PFD（更多时候实际上使用的PFD的平均值：PFDavg）被规定为在低频需求模式下运行的SIS的量度，而PFH则是用于高频或者连续需求模式。

　　需求实际上指的是需要SIS做出响应的一些事件。如果SIS没有及时响应CONTROL ENGINEERING China版权所有，这些事件可能就会造成对于设备、人员、工厂甚至环境的破坏。那么新的问题来了：到底什么是低频需求模式，什么又是高频和连续需求模式呢？
　　IEC 61508对于高频和需求模式的区分也给出了一些指导意见：
　　■ 低频需求模式：需求的发生频率小于每年一次；
　　■ 高频需求模式：需求的发生频率大于每年一次。
　　模式的边界
　　这种划分方法非常简单明了，并且容易遵循。但是问题是我们为什么选择一年一次作为两种模式的分界，而不是六个月或者两年呢？
　　我们可以从SIS的失效模式和维护策略当中找到些许的线索。尽管现在很多新型的SIS都已经安装了自诊断功能，然而还是有一些失效是无法通过诊断功能检测到的，它们必须通过定期的功能测试才能发现并且排除。这些所谓的未检测到的危险（DU）失效，是安全仪表系统失效的主因。在最简单的单通道SIS（比如一个闭合阀）的性能计算里面，PFDavg等于DU失效速率和功能测试半周期的乘积。而功能测试周期的一半实际上就是SIS的平均停机时间。
　　在这类计算当中CONTROL ENGINEERING China版权所有，我们没有考虑需求的影响，或者说我们假设失效的SIS可以在需求到来之前修复。这也就是说，PFDavg的计算在一定程度上基于一个重要的假设，即如果有DU失效发生，那么该系统在下一次功能测试和维护中被修复的概率要大于需求到来的概率。长期而言，功能测试的频率应该高于需求的频率。
　　在很多情况下SIS的测试频率是每年一次，那么这个频率也就可以作为保证PFD计算有效的最高需求频率。尽管事实上失效SIS的修复速率是每半年一次，每年一次可以认为是一种比较保险并且明了的数值，用来区分两种需求频率。
　　量度的含义
　　此外CONTROL ENGINEERING China版权所有，两个量度的含义也有一些不同。PFDavg是从长期的角度来看，SIS不能执行安全功能的平均时间比例，因此它也可以看做是系统的平均不可用性。
　　而PFH与另外一个可靠性分析当中常见的量度有些类似之处，它就是失效发生速率（ROCOF）。系统在某一时间节点上的PFH可以看做是该系统的无条件失效速率。从长期来看，PFH也就是系统的平均失效速率。
　　因此控制工程网版权所有，我们就能够理解为什么IEC 61508针对PFD和PFH给出了两套安全完善等级（SIL）的标准。
　　关于作者：
　　刘一骝，挪威科技大学（NTNU）生产与质量工程系的副教授，他所工作的RAMS团队在安全仪表系统、技术安全以及其他一些可靠性和安全相关领域的研究，具有世界级的水平。作者在加入NTNU之前，曾经是《控制工程中文版》的编辑。作者邮箱：yiliu.liu@ntnu.no。