SIS - 安全仪表系统 - 实际视角 - 第1部分

介绍

仪表安全系统（SIS）用于监控工厂内变量和参数是否在操作极限范围内，并在存在风险条件时生成警报，将工厂置于安全状态或甚至关闭状态。

安全条件必须在工厂中始终遵循和采用，最佳的操作和安装实践是雇主和雇员的职责。还需要记住的是，关于安全法规的第一个概念是确保所有系统以安全的方式进行安装和操作，第二个概念是与安全相关的仪器和报警装置能够可靠和高效地运行。

安全仪表系统（SIS）是负责操作安全并确保在操作超出安全界限时在规定的安全范围内紧急停车的系统。其主要目的是避免工厂内外的事故，如火灾、爆炸、设备损坏，保护生产与财产，并且避免对生命或个人健康以及社区的灾难性影响。必须清楚的是，没有系统是完全免疫于故障的，系统在任何情况下都必须提供安全状态。

多年来，安全系统的设计是根据德国标准（DIN V VDE 0801和DIN V 19250）进行的，这些标准多年来得到了全球安全界的高度认可，并最终导致了全球标准IEC 61508的制定，该标准今天在涉及电力、电子、任何类型工业的可编程设备的操作安全方面起到了伞盖作用。该标准涵盖了所有具有机电性质的安全系统。

根据IEC 61508认证的产品应基本处理3种类型的故障：

• 随机硬件故障

• 系统性错误

• 常见原因的故障

IEC 61508标准分为7个部分，其中前4部分是强制性的，其余3部分为指导性建议：

• 第1部分：一般要求

• 第2部分：电子/电气/机械安全相关系统的规范

• 第3部分：软件需求

• 第4部分：定义和缩写

• 第5部分：安全完整性等级确定方法示例

• 第6部分：IEC 61508-2和IEC 61508-3应用指南

• 第7部分：技术与措施概述

该标准系统地处理了SIS（安全仪表系统）生命周期的所有活动，关注系统所需的性能。一旦达到了所需的SIL（安全完整性等级）水平，冗余度和测试间隔由系统规格制定者自行决定。

IEC 61508旨在通过统一相关概念，提升可编程电子安全（包括PLC、微处理系统、分布式控制系统、智能传感器和执行器等）的改进。

最近，关于SIS的开发、项目和维护的多个标准已经制定，我们已经提到IEC 61508（通用工业）和IEC 61511（面向连续处理液体和气体的工业）也值得一提。

在许多应用中，实践中可以看到对用于控制系统且无安全功能的设备进行SIL认证。也相信市场上存在不实信息，导致购买了更昂贵的设备，这些设备是为安全功能设计的，但在实践中将用于过程控制功能，SIL认证并没有带来预期的好处，甚至使设备的使用和操作更加困难。

此外，这种错误信息使用户认为他们有一个经过认证的安全控制系统，但实际上他们拥有的是一个具有安全功能的控制器。

随着数字设备和仪器应用的增长，对于参与项目或日常仪器工作的专业人员来说，提升技能并掌握如何确定安全系统所需的性能，以及如何使用计算工具和确保风险率在可接受范围内的知识，变得至关重要。

此外，还需要：

• 理解常见模式中的故障，了解在特定系统中可能发生的故障类型，哪些是安全的，哪些是不安全的，如何预防它们，以及更多内容；何时、如何、在哪里以及在每种情况下哪个冗余级别最为合适。

• 为每个应用定义适当的预防性维护水平。

仅仅使用现代的、复杂的或甚至是经过认证的设备，本身并不能绝对保证与传统技术相比在可靠性和操作安全性上的任何改进，除非在系统实施过程中采用与每种可用技术相关的优点和局限性相关的标准和知识。此外，还必须考虑到SIS整个生命周期的问题。

我们通常看到与安全设备相关的事故被绕过 由于操作或维护期间。在设计阶段，当然很难避免这些设备将来会被绕过，但通过更严格的项目和更好地满足安全系统用户的操作需求，可以消除或大幅减少未经授权的绕过的数量。

通过使用和应用固定逻辑电路或可编程、容错和/或故障安全的逻辑电路、微计算机和软件概念，今天已经可以设计出高效且安全的系统，其成本与该功能相适应。

SIS的复杂性程度取决于所考虑的工艺。加热器、反应器、裂解柱、锅炉、炉子是需要精心设计和实施的安全联锁系统设备的典型例子。

一个SIS的正常运行需要高于传统系统的要求性能和诊断条件。SIS的安全操作由传感器、逻辑编程器、处理器和最终元件组成，这些元件旨在检测安全限值被超越（例如，过程变量如压力和温度超过高高报警限值）或在不安全的操作条件下防止系统运行。

典型的安全系统示例：

• 紧急关机系统 (ESD)

• 安全关机系统 (SSD)

• 安全互锁系统

• 火焰和气体系统

接下来，我们将通过一系列文章，介绍更多关于概率计算、可靠性和故障概念、SIS 等的实用细节。

我们将从安全生命周期和风险分析开始。

安全生命周期

定义: "这是一个具有特定目标的工程过程，旨在实现并确保一个安全系统在系统生命周期内有效，并以有效的成本降低风险水平。"

换句话说，这个周期旨在为系统在其整个生命周期内提供风险评估的指导，从项目概念到日常维护。

为什么选择安全生命周期？

• 事故可能会发生，因此，有必要将事故的频率和严重性降到最低。

• 仪器化的安全系统和安全生命周期旨在最小化风险。

图1 – 安全生命周期的典型示例

安全生命周期涉及概率分析，以确保安全项目的一致性。此外，通过计算可以以有效的成本降低风险。在工厂生命周期内保持安全仪表系统（SIS）的一致性对安全管理至关重要。一个有效的管理计划应包括严格的控制和程序，以确保：

• 识别关键点、概念和选择传感器设备、技术、逻辑解决器以及最终设备和元件，并确保冗余满足计算出的安全性和风险降低水平。选定技术和架构后，应有一个定期分析和审查的计划，并重新评估整体安全性。

• 在每个阶段（项目、安装、操作、修改/维护）的测试应符合安全要求、程序和安全标准。

• 确保SIS在维护后恢复到正常工作状态。

• 系统的完整性不得因未经授权的访问、编程、三点或绕过而受损。

• 对系统进行任何修改时都应遵守管理变更的程序。

• 修改的质量应得到验证，并在恢复操作之前重新验证系统。

安全生命周期应成为PSM（过程安全管理系统——过程安全管理系统）的一部分。这样，它将被方便地采用和应用，并在公司所有阶段和级别上让员工参与。

风险分析

系统包含的风险越多，满足安全系统要求就越困难。风险基本上是发生不期望事件的可能性与该事件后果的乘积。

一个过程的风险可以定义为某个特定事件发生的频率（F）与该事件发生后所导致的后果（C）的乘积。

风险 = 可能性 x 影响。

图2 - 根据IEC 61508的风险考虑。

在我们的安全系统中，搜索是通过最小化可接受风险水平来确定控制回路的SIL等级，并且可以通过过程风险的分析和识别来确定SIL等级。SIL等级的验证可以通过故障可能度（PFD）来完成。

IEC 61508标准定义了系统功能性和完整性要求。功能性的要求基于过程，而完整性的要求则关注可靠性，可靠性被定义为安全完整性等级（SIL）。存在4个离散的级别，并且具有3个重要特性：

• 适用于全部安全功能;

• SIL等级越高，要求越严格。

• 适用于技术性和非技术性要求

表1 - SIL等级

如何解释SIL等级？正如我们所见，SIL等级是SIS完整性的度量，我们可以从两个基本方面来解释：

1) 考虑到风险降低和表1：

• SIL1：风险降低>= 10且<= 100

• SIL2: 风险降低>= 100且<= 1000

• SIL3: 风险降低>= 10000且<= 10000

• SIL4: 风险降低>= 10000e & <=100000

2) 通过解释表格2，例如，SIL 1意味着事故或不希望事件的风险较低，一个SIS有90%的可用性，或者有10%的故障几率。

表2 - 根据硬件故障容错的SIL和SFF等级

近年来，SIL评估在化学和石化应用领域有所增加。我们甚至可以基于对工厂和社区可能影响的表达来说明SIL水平的需求：

"4" – 对社区的灾难性影响。

"3" – 保护员工和社区。

"2" – 保护生产和服务。可能对员工造成伤害。

"1" – 对物业的小影响和保护生产和服务。

图3 - 植物和社区可能受到的影响程度与SIL的关系

这个分析存在缺陷，因为很难定义什么是小影响，什么是大影响。

有多种风险识别方法：

• HAZOP技术（危险与可操作性研究）：在何处识别风险，并在何处需要更高的SIL级别；

• 检查清单技术;

• FMEA技术（故障模式及其影响），分析控制回路中每个设备和组件的故障。

在SIL等级方面，要求的等级越高，成本也会越高，因为硬件和软件的规格更加复杂和严格。通常，每个安全功能的SIL等级选择与专业人员的经验有关，但也可以选择通过HAZOP矩阵分析或层保护分析（LOP – Layers Of Protection），包括政策、程序、安全策略和仪器仪表。

以下是风险分析的一些步骤和细节：

• 识别潜在风险

•  开始使用HAZOP（危险与可操作性分析）

• 公司应有一个在流程及其风险方面的专家小组。

• 可以应用多种方法，如危险与可操作性分析（PHA）、危险与可操作性分析（HAZOP）用于风险识别、修改后的HAZOP、事故后果、风险矩阵、风险图或定量分析以确定所需的安全水平。

• 规范建议了识别安全完整性等级的方法。

• 可用的方法是定性、定量或半定量的。

• 确定适用于该SIS的SIL，使过程的固有风险等于或小于可接受的风险水平，从而确保装置操作所需的必要安全。

• 评估潜在风险相关的概率

• 设备故障

• 人为错误

• 评估潜在风险和事件影响的后果

频率

4

SIL 2

SIL 3

SIL 4

SIL 4

3

SIL 2

SIL 3

SIL 3

SIL 4

2

SIL 1

SIL 2

SIL 3

SIL 3

1

SIL 1

SIL 1

SIL 2

SIL 2

后果的严重性

1

2

3

4

表3 – 风险矩阵示例

频段

质量标准

4

(> 1/100 年): 简单设备或阀门的故障，管道故障，或日常活动中的一般错误

3

(1/100 – 1/1000 年): 双重设备或阀门故障，管道破裂，泄漏或人为错误

2

(1/1000 – 1/10000 年): 仪器故障和人为错误或小流程中的故障组合

1

(< 1/10000 年): 仪器多次故障和人为错误或工艺罐和容器的自发故障

表4 – 频率范围 - 定性标准

结果带

质量标准

4

人员：多重或致命的伤害

公众：有可能导致多重或致命的伤害

环境：高环境影响的非受控排放

财产：损失> 1亿美元

3

人员：潜在严重伤害或小型致命事故

公众：潜在严重伤害或小型致命事故

环境：中等环境影响的非限制性排放

财产：损失在1000万至1亿美元之间

2

人员：严重伤害需紧急医疗

公众：有潜在严重伤害需紧急医疗

环境：低环境影响的非限制性排放

财产：损失在100万美元至1000万美元之间

1

人员：需要急救的受伤

公众：气味、噪音/干扰、无直接影响

环境：有限区域的泄漏影响

财产：损失在10万至100万之间

表5 – 后果范围 - 定性标准

一些涉及安全系统中的术语和概念

• 需求：任何引起安全系统需要行动的条件或事件

• PFD（需求故障概率）：适用于安全系统的可靠性指标。

• MTBF 是衡量设备中可维修项目可靠性的基本指标。它可以以小时或年为单位表示。它通常用于系统可靠性和可持续性分析中。

• MTBF：可以使用以下公式计算：

• MTBF = MTTR + MTTF

• 其中：

• MTTR = 平均修复时间

• MTTF = 平均故障时间 = 所有故障率的倒数

• SFF = 安全故障分数， é 是所有设备故障率中导致安全故障或非安全故障但被诊断出的故障比例。

• 在 FMDEA（故障模式、效应和诊断分析）中分析的故障类型：

1. 危险检测 (DD)：可检测到的故障，可能导致输出误差超过2%。

2. 危险的未检测到 (DU): 无法检测到的故障，可能导致输出错误超过2%。

3. 安全检测 (SD)：可检测到的故障，不会影响被测量变量，但会使输出电流安全化并通知用户

4. 安全未被检测到 (SU)：在这种情况下，设备存在一个问题，但无法检测到，但输出在2%的安全公差范围内成功运行。如果将此安全公差用作设计参数，这种故障可以被忽略。

5. 诊断公告故障 (AU)：一种没有立即影响的故障，但如果再次发生，可能会使设备处于危险状态。

6. 还可以定义以下故障：

• 随机故障：组件（硬件）的自发故障。随机故障可能是永久性的（直到被消除为止）或间歇性的（在特定条件下出现，然后又消失）。

• 系统性故障：隐藏在项目或安装（硬件或通常是软件）中的故障，或由于在安全活动周期中出现的错误（包括疏忽和遗漏）导致SIS在特定情况下、在特定输入组合下或在特定环境条件下失效。

• 共同模式故障：共同模式故障的结果。

• 常见故障模式：一种单一的原因可能导致系统中多个元件失效。可能是系统内部或外部的原因。

好奇

图3 – 事故涉及控制系统的因果关系研究 - HSE – 健康与安全执行委员会

结论

在实际操作中，所追求的是减少故障，从而减少停机和运营风险。目标是提高运营可用性，并在流程方面，通过减少变异来直接提高盈利能力。

在本系列的下一篇文章中，我们将更详细地了解SIS。在第二部分中，我们将简要介绍可靠性工程系统并进行一些计算。