SIL分析应用工厂安全系统

听取帖子

摘要

功能安全在流程工业中非常重要。安全仪表系统(SIS)目前被用于降低对人和环境都具有较高潜在危险的过程的风险。为安全仪表系统选择正确的组件是有效降低工业应用风险的关键步骤。

为实现此目标，任何系统组件都必须符合国际标准的特殊安全要求，例如IEC 61508和IEC 61511.以下内容不久将描述。

介绍

单独单独的安全措施可以消除过程风险。因此，有效的安全系统由几个保护层组成。这样，如果一个保护层发生故障，则其他层可能会将过程取向安全状态。

随着保护层的数量增加，整个过程的安全性增加。图1提供了保护层的全局视图。重要的是要理解，在其中一个失败的情况下，每个层都必须独立地从其他层运作。

保护分析层（LOPA）是一种方法，允许密切检查所有工艺危险，并有助于选择最合适的保护层。

对于每个过程危险，洛卡得出结论认为现有保护不能降低可接受水平的风险，可以引入所谓的安全仪表系统（SIS）以控制该过程。

安全仪表系统专门设计用于检测危险过程状态，因为它们的发展和开始适当的对策。为了满足其作用，SIS总是由至少一个传感器，一个逻辑设备和一个最终元素组成。该最终元件通常是连接到阀门的电动执行器。

如今，安全仪表系统在过程工厂中安装，以通过将处理在超过预定设定点时通过将过程取得缓解危险，以便不再能够确保安全的操作条件。如果流程风险不在可接受的范围内，则安全仪表系统被用作将其降低到可容许值的可能方法。

SIS的使用必须与目标SIL级别相关。本文显示了如何在进程应用程序中确定SIL级别。

图1:保护层(磁控)

保护层的示例包括：

• 灭火系统;
• 泄漏遏制系统;
• 减压阀;
• 有毒物质检测和警告系统。

在已知每个危害的危险频率之后，关键问题是：“通过所有保护层操作，是低于可接受频率的有效频率？”。换句话说，一旦定义了所有保护层，如果洛卡得出结论，现有保护层不能将风险降低到可接受或可容忍的水平，则需要一种安全仪表系统。

1.0安全仪器系统和功能

安全仪表功能（SIF）是由SIS执行的安全功能，以实现或保持安全状态。传感器，逻辑求解器和最终元素在音乐会上行动，以检测危险并将过程带到安全状态。每个SIF都用作保护层，以使有效的危险频率降低到可接受的危险频率之下。为此，每个SIF必须具有最小SIL级别。

SIL是一种代表“安全完整性水平”的首字母缩写。它来自运营商使用的两个国际标准，以量化危险操作的安全性能要求：

• IEC 61508：电气/电子/可编程电子安全相关系统功能安全性
• IEC 61511：用于工艺业部门的安全仪表系统

按照IEC标准的定义，有四个SIL级别(1-4)。更高的SIL级别意味着需要从SIS获得更高级别的保护。为了显示SIL水平是如何确定的，请参考图2。

SIL级是危险频率和危害严重程度的函数。可以更频繁地发生或具有更严重后果的危害需要更高的SIL水平。在过去的20年里，SIL的全球重要性大幅发展。

然而，对于许多终端用户来说，SIL仍然是一个经常被误解的模糊概念。为了充分理解SIL概念及其含义，重要的是介绍功能安全性以及它如何应用于流程工业中的安全仪表系统(SIS)。

2.0功能安全

功能安全是用于描述逻辑溶剂，传感器和最终元件的正确功能的安全系统的术语，以实现所需的风险减少因子（RRF）。由IEC标准61508定义的功能安全是控制系统自动提供过程的安全性。

功能安全是为应对越来越多的需求而改善安全系统的信心。越来越多地利用电气，电子或可编程电子系统进行安全功能，提高了设计安全系统的意识，以防止危险失败并在最终出现时控制它们。

行业专家开始解决功能安全，并通过制定标准IEC 61508和IEC 61511来正规化降低过程工厂风险的方法。这些标准很重要，因为之前的安全标准仅是规范性的，而不是基于性能。

功能安全背后的基本思想是，必须通过危害和风险分析在设计阶段进行人们和环境所带来的潜在风险。风险图通常有助于确定目标SIL级别。

当成功进行每个安全功能并且工艺风险降低到所需水平时，实现了功能安全性。由于安全仪表系统主要用于降低人员和环境危险潜力高的流程风险，因此任何单独的系统组件都必须完全满足标准提供的安全要求。

3.0目标SIM的SIF

让我们创建一个例子，试图解决危险坦克溢出造成的问题。申请所有保护层后，让我们假设每年仍有2.5次的有效频率。

如果可接受的危险频率在10年内一次，则SIF必须具有至少25的风险减少因子（RRF）（SIF的最小RRF =有效频率/可接受频率= 2.5 / 0.1 = 25）。

SIF的最小所需RRF用于通过使用表1来确定SIF的目标SIL级别。此图表建立了SIL级和RRF之间的关系。SIL1对应于101的最小RRF，SIL2具有102等的最小RRF。

对于坦克溢出示例，刚刚考虑，最小RRF是25，因此，SIF的目标SIL水平是SIL1。该示例显示，对于需要SIF的LoPA识别的每个危险，必须使用所描述的方法分配目标SIL级别。

一个安全的过程的下一步是设计一个SIS能够达到所需的SIFs和维持目标SIL水平预定的时间，所谓的“SIS生命周期”。

4.0可实现的SIS水平

必须满足三个主要标准，以确保SIS符合指定的SIL：

1. 系统能力;
2. 按需发生危险故障的最大允许概率;
3. 建筑限制。

在下文中，我们将简要审查所有这些主要标准。

4.1系统能力

IEC 61508定义了两种替代方法，以确保组件适用于具有定义的SIL额定值的安全仪表系统。

第一种方法被称为“路线1”。它要求每个在组件上工作的人，以及因此涉及到它的开发、制造和维护的人，都必须在所谓的组件“生命周期”中遵循严格的程序。

目的是避免由于计算，规格和设计故障错误的“系统错误”。“1次”是新开发组件的首选方法。第二种方法称为“路由2S”。

它依赖于现场数据，因此，适用于现有组件。“路由2S”考虑到现场数据，以表明现有组件仍然具有在安全仪表系统中使用所需的可靠性。

该方法主要用于数据字段，通常存在的数据字段实际上存在。这两种方法都需要现场测试，该测试必须在用户的工厂中进行具有定义频率的，以标准命名为“测试间隔”。

组件的SIL能力通常在由“第三部分”释放的证书中，该证书与制造商和最终用户无关。

4.2需求失败的可能性

按需失败（PFD）的概率是SIS在需要时未能执行其安全功能的概率。标准定义了整个SIS的最大允许PFD。由于SIS包含至少一个传感器，一个逻辑设备和一个最终元素，因此这些组件中的任何一个都必须具有相等或接近允许的PFD的最大值或接近的危险故障率。

标准指定允许的最大PFD与每个组件的危险失败率相关，并且它也取决于测试间隔：测试间隔越长，系统可能导致的概率越高。

考虑到整个SIS，逻辑器件的PFD分布为15%，传感器为35%，执行器为25%，阀门为25%，可以认为是一个很好的指导。危险故障率的值通常由制造商提供。

4.3体系结构约束

任何安全仪表系统都必须具有宽容宽容架构。IEC 61508中的“路线1H”依赖于足够的冗余和最小安全故障分数（SFF）的组合。安全故障分数是安全或导致功能安全的系统故障的分数。

标准要求SIS的架构必须满足严格的要求。例如，没有冗余的SIL 2安全系统，并且使用至少一个复合电子元件作为逻辑器件，将导致微处理器的最小所需SFF为90％。

在这个安全仪表系统中使用的所有组件的SFF不需要达到90%。只有当该元件可以视为简单电子元件时，如阀门或执行器，才允许选择SFF最低要求为60%的元件，无冗余。

如果“路线1H”被选择，它总是明智的选择组件，满足最小的SFF要求，以避免昂贵的冗余，以实现所需的SIL级别的SIS。

4.4执行器的特殊要求

诸如传感器，致动器和阀门的场部件暴露于影响逻辑装置通常不必承受的影响。这些包括环境条件，如温度，压力，湿度，污染物和振动。另外，可以暴露于磨料或腐蚀过程元件的现场组分。

在设计SIS时，选择能够在SIS的预期寿命上抵御这些条件的组件至关重要。如果由于这种“非设计使用”，单个组件由于此类“非设计使用”而导致，整个SIS甚至不会满足SIL1。

为了提高系统可靠性，即安全系统在危急情况下自动干预的概率，对进行周期性的场测试绝对至关重要。该标准考虑使用这些测试在安全仪表系统中成功使用执行器和阀门的基本要求。

在为SIS选择执行器之前必须分析一些其他技术问题。下面的讨论远离穷举，但体验表明某些方面被忽视，导致有时在主要的设计故障中。

4.5进一步的技术问题

有时，致动器必须执行不同的安全功能。当执行器是在标准操作期间设计用于安全停止功能的SIS的一部分时，发生这种情况，并且同时也是用于紧急关闭（ESD）的另一个SIS的一部分。

在这种情况下，必须确定优先级以确保可以符合每个安全仪器系统的要求进行安全功能。

SIS应与基本过程控制系统（BPC）物理上分开。如果我们只考虑到传感器和逻辑求解器，则SIS始终以这种方式构建。

尽管如此，对于诸如致动器和阀门的最终元件，这种方法通常非常昂贵，因为必须购买，安装和维护，而不是每个致动器和维护，而不是仅购买。

因此，在处理控制系统和安全仪表系统中使用相同的执行器和阀门使用相同的执行器和阀门。这是允许的，但在一些非常严格的条件下。最重要的是如下。

一)BPC和SIS联合使用的所有组件必须作为安全系统的一部分被视为，这意味着它们必须遵守IEC 61508。

b）用作SIS和BPC的一部分使用的组件的失败不得导致BPC的失败，以返回可能导致SIS的请求进行干预。

C）必须充分分离SIS和BPC，以确保BPC的失败对SIS没有负面影响。

5.0总结和结论

以下是本文的关键要点。

• SIS的目的是当超出预定设定点并且违背了安全操作条件时，将过程带到“安全状态”。SIS的作用是通过实施安全仪表功能（SIF）来降低风险。
• 仅当现有的非SIS安全层证明不足以将过程危害降低到可接受的水平时，过程植物危险才变得“SIL评级”。
• SIFS必须减轻SIFS的危险。
• 通过计算每个SIF的所需目标风险减少因子来确定每个危害的SIL水平。
• 为了获得可接受的风险水平，必须设计SIS，使得每个部件的危险失效率小于允许的最大PFD。
• 选择SIS的组件时，重要的是要确保每个组件的系统能力与整个SIS的所需SIL匹配。

参考文献

[1]IEC 61508.;

[2]IEC 61511.;

[3]使用电动执行器的安全仪表系统 - 如何选择合适的组件。CPP（化学生产设备流程） - Konradin Industrie - 2017年8月 - 作者：Heike Schmeding，Auma Riester

---

回答下面的评论:

嗨安东尼
我更愿意使用事件树回答问题。

让我们考虑压力箱。假设坦克安装在SeveSO指令适用的过程工厂中。

过程工厂中不需要的事件（罐的爆发）的发生概率不能超过1×10-6事件/年的值。

不需要的事件发生的概率大于1×10-6事件/年（例如，1 x 10-5事件/年）导致不可接受的风险价值。

让我们假设，首先，Lopa分析已经确定了坦克必须配备：

• 安全阀，
• 警报系统，
• 基本过程控制系统（BPC），由传感器（换能器），控制器和最终元件（阀+致动器）组成。

启动事件的频率f0（安全阀粘附关闭）等于1 x 10-2的事件/年。

警报系统的需求失败（PFD）的概率为1 x 10-1事件/年。

基本过程控制系统（BPC）的需求（PFD）失败的可能性是1 x 10-1事件/年。

事件树的使用导致发生不需要的事件（罐的爆发）的可能性等于1 x 10-4事件/年。

正如我所说，由于1 x 10-4的事件/年度，因此不可接受的事件发生的概率是不可接受的，从而大于1 x 10-6事件/年。

因此，再次使用LOPA分析。

我们决定用安全仪表系统（SIS）装备压力箱。

为了将不需要的事件发生的概率降低到值为1 x 10-6的事件/年，安全仪表系统必须能够确保按需失效（PFD）等于1 x 10-至少2，其对应于等于100的风险降低因子（RRF）。

当然，能够确保等于100的风险减少因子（RRF）的安全仪表系统（SIS）的特征在于等于2的安全完整性水平（SIL）。

如果我们需要将不需要的事件的发生频率（压力容器的爆发）达到1 x 10-5，则LoPA分析将导致这一结论性评论：风险减少因子（RRF）等于到10就足够了。通过插入容器安全链中的SIL 1的安全仪表系统（SIS）来实现风险降低因子（RRF）的该值。

这一提出的方法非常精确，因为它基于LoPA分析和事件树的应用。如上所述，根本不允许近似值。