安全儀表系統(tǒng)（SIS）-SIL驗算入門概念

國家安監(jiān)總局發(fā)布的“安監(jiān)總管三[2014]116號”文件中對安全儀表系統(tǒng)(SIS)的評估提出了具體要求，包括進一步加強安全儀表系統(tǒng)全生命周期的管理，從源頭加快規(guī)范新建項目安全儀表系統(tǒng)管理工作，并且積極推進在役安全儀表系統(tǒng)評估工作。另外：在役裝置2019年底前完成安全儀表系統(tǒng)評估和完善工作，老舊裝置及新建項目如未配套安全儀表系統(tǒng)和未進行SIL定級則將不核發(fā)新的《安全生產(chǎn)許可證》今后安全儀表系統(tǒng)的相關(guān)工作會越來越多，越來越重要，基于此，本文將對安全儀表系統(tǒng)的功能安全知識進行介紹。1.安全儀表系統(tǒng)生命周期IEC61508、IEC61511、ISA84等標(biāo)準(zhǔn)中對安全儀表系統(tǒng)整體生命周期有詳細(xì)的描述，它是一個結(jié)構(gòu)化的流程，各階段的活動之間并不是孤立存在的，實際上是一個完整的體系，相互之間有一定的邏輯關(guān)系和順序。安全儀表SIS系統(tǒng)的安全生命周期分為3個階段：即分析階段、實現(xiàn)階段、運行階段。在分析階段對風(fēng)險進行管理，主要工作是危害和風(fēng)險的分析，對降低風(fēng)險的進行確認(rèn)。在實現(xiàn)階段，需要考慮SIS系統(tǒng)采用的技術(shù)、結(jié)構(gòu)和測試間隔周期等，并對系統(tǒng)的可用性和安全性進行評估，實現(xiàn)系統(tǒng)的性能要求。最后在運行階段，要進行啟動前的安全監(jiān)控，工程師要理解系統(tǒng)是否滿足了所有的安全要求，所有的SIF回路是否滿足SIL等級要求等。并且在每次維護和修改系統(tǒng)都需要有詳細(xì)的文檔記錄。

我們用簡單直觀的流程圖來表現(xiàn)安全儀表系統(tǒng)的生命過程，在初始階段進行危險識別，一般采用HAZOP分析方法，或者WHAT-IF等，識別出風(fēng)險高的假想事故場景，然后進一步對這些風(fēng)險高的事情場景進行半定量分析，這里一般采用保護層分析方法（LOPA），以確定是否需要安全儀表功能SIF，同時對SIF回路的SIL等級要求明確。接下來在安全要求規(guī)范（SRS）中編寫安全儀表功能SIF的技術(shù)要求，包括SIL水平，測試間隔、可靠性要求，輸入輸出等內(nèi)容。確定SRS方后下一步工作就是需要對SIF回路進行SIL驗證工作，根據(jù)安全需求規(guī)格說明書（SRS）的要求，收集SIF回路相關(guān)設(shè)備的失效數(shù)據(jù)和架構(gòu)約束，計算SIF回路已達到的SIL等級。最后就是運營階段，需要周期性維護，在線測測，離線檢測等確保系統(tǒng)的性能。2.安全儀表系統(tǒng)（SIS）

安全儀表系統(tǒng)（SIS）由傳感器、邏輯運算器和最終控制元件組成的系統(tǒng)。當(dāng)工藝條件偏離時，使裝置處于安全狀態(tài)的目的。安全儀表系統(tǒng)功能功能包括：1、監(jiān)視生產(chǎn)過程的狀態(tài)，判斷生產(chǎn)過程中是否出現(xiàn)某種潛在的危險條件。2、當(dāng)出現(xiàn)危險的條件時，自動執(zhí)行其規(guī)定的安全儀表功能（SIF），防止危險事件的發(fā)生。換句話說，安全儀表系統(tǒng)一旦執(zhí)行了正常的安全儀表功能，則不會發(fā)生危險事件。3、減輕危險事件造成的影響，也就是通過減少損失，或者減少影響后果的辦法來降低風(fēng)險。在一些情況下，安全儀表系統(tǒng)實現(xiàn)安全儀表功能的目的是減少風(fēng)險，或者說是減少潛在危險發(fā)生的概率。另外一些情況，實現(xiàn)其安全儀表功能的目的是減弱已經(jīng)發(fā)生危險事件的后果，還有一些情況，則是兩種情況的綜合?？紤]一個壓力反應(yīng)器的簡單例子，為了防止反應(yīng)器內(nèi)的壓力超過它的設(shè)計壓力而可能發(fā)生危險的情況，所以安裝了安全儀表系統(tǒng)，該SIS系統(tǒng)由兩個壓力變送器(PT2,PT3)，一個TT3溫度傳感器、邏輯運算單元和兩個閥門,組成。3.安全儀表功能（SIF）SIF即安全儀表功能是安全儀表系統(tǒng)是否能有效地執(zhí)行其安全功能的體現(xiàn)，每一個安全儀表功能針對特定的風(fēng)險事故場景進行保護。在安全儀表功能中，討論的危險事故場景不同則其關(guān)鍵動作也會不同。在實際系統(tǒng)中，需要對控制、設(shè)備及工藝過程等多方面的深入的認(rèn)識，才能正確的設(shè)計安全儀表功能SIF。安全儀表SIS系統(tǒng)中包括多個安全儀表功能SIF。

一個傳感器或一個執(zhí)行器可能隸屬于多個SIF（安全儀表功能回路），比如S-1傳感器監(jiān)控的參數(shù)超過設(shè)定值，可以讓6號最終執(zhí)行元件動作。同時S-2傳感器也可以使6號最終執(zhí)行元件動作。不同的SIF對應(yīng)的SIL等級可以不同，因為每個一個SIF回路所對應(yīng)的假想事故場景的風(fēng)險并不一樣。同時一個SIF回路在二個事故場景中，所要求的SIL等級也可能是不同的。不可以說整個SIS系統(tǒng)是SIL-1等級安全儀表系統(tǒng)(SIS)和基本過程控制系統(tǒng)（BPCS)

關(guān)于安全儀表系統(tǒng)(SIS)和基本過程控制系統(tǒng)（BPCS)的差異，讓很多初學(xué)者疑惑，二種系統(tǒng)從邏輯結(jié)構(gòu)上來看明明是差不多的，為什么還要區(qū)分呢？現(xiàn)在來講一下它們的差異。

1、兩者執(zhí)行的功能有所不同，基本過程控制系統(tǒng)是執(zhí)行常規(guī)生產(chǎn)過程控制的系統(tǒng)，據(jù)統(tǒng)計，工業(yè)中95%以上的控制系統(tǒng)都是基本過程控制系統(tǒng)。由此可見，BPCS執(zhí)行基本生產(chǎn)控制功能，以達到生產(chǎn)過程的正常操作要求。SIS則是監(jiān)視生產(chǎn)過程的狀態(tài)，判斷危險條件，防止事故的發(fā)生。2、兩者具備不同的工作狀態(tài)，SIS是被動的、休眠的，BPCS是主動的，動態(tài)的，是用來滿足生產(chǎn)需要，所以要動態(tài)的運行，保持生產(chǎn)過程的連續(xù)穩(wěn)定的運行。3、對于失效，兩種系統(tǒng)有著不同的表現(xiàn)形式。BPCS其大部分失效都是顯而易見的，比如生產(chǎn)過程中，達不到特定的開關(guān)狀態(tài)，必定會影響正常的生產(chǎn)，因此故障的發(fā)生就會顯現(xiàn)出來。SIS系統(tǒng)由于大部分時間處于休眠狀態(tài)，所以很難覺察它是否出現(xiàn)了失效或者存在隱性的問題。所以SIS系統(tǒng)需要自診斷測試系統(tǒng)，還要周期性的離線測試和在線測試。5.安全完整性等級(SIL)IEC61508中對SIL的定義為：在一定時間，一定條件下，安全相關(guān)的系統(tǒng)執(zhí)行其所規(guī)定的安全功能的可能性。選擇安全完整性水平的目的是通過降低風(fēng)險發(fā)生的概率，把風(fēng)險降低到一個可以接受的水平。IEC61508規(guī)范中“高要求操作模式”和“低要求操作模式”所定義的SIL等級有所差異。低要求操作模式是指對安全儀表系統(tǒng)提出的操作要求頻率不大于每年一次，或者不大于二倍的功能測試頻率。SIL安全完整性等級，簡單的說，SIL是對安全可靠性的一種衡量。每一個SIL等級代表一個風(fēng)險降低的數(shù)量級，比如一個SIL-1安全功能裝置使一個事故發(fā)生的頻率降低了一個數(shù)量級，SIL-2使風(fēng)險發(fā)生的頻率降低了二個數(shù)量級。6.安全要求規(guī)范(SRS)英國健康和安全署HSE對34個直接由控制系統(tǒng)和安全系統(tǒng)失效造成的事故進行調(diào)查，得到的結(jié)果顯示，44%的事故是由于不正確的安全要求規(guī)范引起的。第二類高的引發(fā)事故的原因是調(diào)試后的變更，占21%。所以確定安全要求規(guī)范正確的重要性顯而易見，換句話說，系統(tǒng)可能完成了其設(shè)計的所具有的功能，但是這些功能本身不是正確的。前面所說的由控制系統(tǒng)失效直接造成的事故中44%是由于不正確的安全要求規(guī)范引起的，那么SIF的安全要求規(guī)范如何編制？在IEC61511標(biāo)準(zhǔn)中的定義：包含了安全儀表功能（SIF）所有要求的規(guī)范。它的目標(biāo)是規(guī)定詳細(xì)的過程安全信息中所需要的要求。在安全要求規(guī)范編寫前，我們需要收集以下資料:概念的過程安全設(shè)計。危險分析和風(fēng)險評估。非安全儀表系統(tǒng)保護層的應(yīng)用。為必須的安全儀表功能確定安全完整性等級。這些內(nèi)容必須是有效的、完善的。如果這些過程不存在或者不完善，無論在制定系統(tǒng)的規(guī)范上花費多少時間，最終得到的都是不正確的安全要求規(guī)范。一個示例的安全要求規(guī)范（SRS）編寫，安全要求規(guī)范的主要內(nèi)容是：SIF的啟動裝置，三個壓力傳感器PT-1，采用三選二的2oo3。風(fēng)險是下游壓力高于管道規(guī)格。后果：管道超壓和長時間損壞管道的可能性。安全狀態(tài)：104閥門和105閥門關(guān)閉，并且停止壓縮機C-101。功能測試周期，12個月。響應(yīng)時間:根據(jù)最大閥門的行程時間，20秒。目標(biāo)SIL是SIL2水平，風(fēng)險降低因子RRF是500倍其它還有一些參數(shù)都要詳細(xì)記錄。7功能測試周期和覆蓋率為了驗證安全儀表系統(tǒng)的運行狀況以及確認(rèn)其達到了SIL水平，對安全儀表系統(tǒng)進行周期性的功能測試是必須的。這里的測試是對整體系統(tǒng)的測試，包括傳感器，邏輯控制器，最終執(zhí)行元件和相關(guān)的一些報警。功能測試應(yīng)該被看做是正常的預(yù)防性維護活動。沒有周期性的功能測試，安全儀表系統(tǒng)很可能在需要它響應(yīng)的時候不能的執(zhí)行其功能。因為安全儀表系統(tǒng)的工作模式是被動的，很多設(shè)備的故障不能夠顯現(xiàn)出來。功能測試方法有：在SIS中內(nèi)置的自動測試離線測試，在工藝系統(tǒng)不運行時手動完成。在線測試，在工藝系統(tǒng)運行時手動完成關(guān)于功能測試頻率：每個系統(tǒng)的測試頻率是根據(jù)它所采用的技術(shù)、系統(tǒng)配置和目標(biāo)風(fēng)險控制，而具體設(shè)定的。不能說SIL-1的要求每月測試一次，SIL-2的每季度測試一次。那么怎么樣確定測試周期呢？可以通過嘗試不同的測試周期分別計算平均危險失效概率PFD的方法，確定最終需要什么樣的測試周期才能滿足安全功能規(guī)范的要求。這里要講的另外一點，就是測試覆蓋率，如果每次測試覆蓋率能達到100%，那么測試完成后，系統(tǒng)又能回到初始狀態(tài)。每到一個測試周期，系統(tǒng)的危險失效概率PFD就回到了初始點。實際上功能測試覆蓋率不可能達到100%，所以由于測試的不完整，PFD永遠(yuǎn)不會恢復(fù)到原始值。如果測試覆蓋率為90%，風(fēng)險顯著升高，不完整的測試可通過功能測試的頻率來影響PFD。如果沒有功能測試計劃，那么PFD將會更高。8.故障模式FailureModes對于安全儀表系統(tǒng)，關(guān)注的不是系統(tǒng)如何運行，而是系統(tǒng)如何故障。安全儀表系統(tǒng)的故障可能導(dǎo)致它不能對危險狀況作出響應(yīng)，也就不能完成保護的功能。另一個方面，安全儀表系統(tǒng)的失效也有可能造成系統(tǒng)的誤停車，使得正常生產(chǎn)中斷。這些不同的失效方式被稱為故障模式。分析設(shè)備的故障模式在整個安全儀表系統(tǒng)中的影響是十分重要的，在故障模式明確的基礎(chǔ)上才能進行安全儀表系統(tǒng)的可靠性建模。根據(jù)安全儀表系統(tǒng)的可靠性模式和設(shè)備的失效數(shù)據(jù)才能對安全儀表系統(tǒng)進行定量的可靠性分析。SIF的失效模式分為安全失效和危險失效。危險失效一般是隱藏的，不容易發(fā)現(xiàn)的，它會導(dǎo)致控制回路在需要響應(yīng)時不能響應(yīng)，使系統(tǒng)處于危險的狀態(tài)。安全失效是明顯的，已知的，它的主要影響是系統(tǒng)的可靠性。

可將故障進一步分為檢測到的故障和未檢測到的故障安全故障可分為安全檢測故障SD和安全未檢測故障SU。危險故障可分為危險檢測故障DD和危險未檢測故障DU。我們在SIL驗算過程中主要用于SD\SU\DD\DU四個參數(shù)值，其中DU（危險未檢測到的故障）是決定平均危險失效率PFD的關(guān)鍵數(shù)值。9.體系結(jié)構(gòu)約束ArchitecturalConstraints

有很多因素會影響安全儀表功能的實現(xiàn)，其中有一些關(guān)鍵的因素，如：1設(shè)備制造商用來減少設(shè)備系統(tǒng)失效的措施，2，設(shè)備的安全和危險失效率。3，設(shè)備的自診斷能力4，設(shè)備和安全儀表功能的測試檢驗。5共同原因失效的防范等等。IEC標(biāo)準(zhǔn)委員會認(rèn)為，在功能安全標(biāo)準(zhǔn)方面，上面的部分因素實際上是不能夠度量的。所以IEC61508提出了除了計算平均危險失效率PFDavg外，還要考慮結(jié)構(gòu)約束能實現(xiàn)的最低SIL等級，結(jié)構(gòu)約束是通過設(shè)備的硬件冗余度以及設(shè)備類型和安全失效分?jǐn)?shù)SFF來確認(rèn)的。系統(tǒng)最終達到什么樣的SIL等級是根據(jù)平均危險失效率PFDavg和結(jié)構(gòu)約束綜合考慮的。IEC61508標(biāo)準(zhǔn)中把設(shè)備分為A型和B型設(shè)備，兩者的體系結(jié)構(gòu)約束有所不同。A型裝置是指所有組成部件的故障模式均已明確定義并且可以完全確定子系統(tǒng)在故障條件下的行為等，常見的A型設(shè)備有閥門，開關(guān)等；B型裝置一般被認(rèn)為是復(fù)雜裝置。有以下特征：1.至少一個組成部件的故障模式定義不明確；2.無法完全確定子系統(tǒng)在故障條件下的行為。比如傳感器，邏輯運算器等屬于B型設(shè)備。10.SIL驗算SIL

Verification

功能安全完整性評估SIL驗算工作開始前需要確認(rèn)以下內(nèi)容：1、背景資料的準(zhǔn)備。是否進行了危害分析，比如使用HAZOP方法識別所有的假想事故場景，并對風(fēng)險高的事故場景進行保護層LOPA分析，分析是否需要SIF。同時已經(jīng)為SIF回路確定了相應(yīng)的技術(shù)方案，明確設(shè)備的冗余結(jié)構(gòu)，如1oo2，2oo3等。周期性的測試方案也已經(jīng)記錄在案安全要求規(guī)范SRS詳細(xì)記錄了SIF回的相關(guān)規(guī)范要求。2、失效數(shù)據(jù)SIL驗算過程中需要收集SIF各子系統(tǒng)中各部件的故障數(shù)據(jù)。各種設(shè)備的故障率和故障模式的數(shù)據(jù)，用于計算每個子系統(tǒng)和整個SIF的PFDavg。3、故障數(shù)據(jù)的來源：1、工廠統(tǒng)計收集的失效數(shù)據(jù)，這個數(shù)據(jù)是準(zhǔn)確可靠的，但是大部分工廠并沒有這些數(shù)據(jù)。2、設(shè)備廠商提供的SIL認(rèn)證數(shù)據(jù)或統(tǒng)計數(shù)據(jù)，比如這是一個exida或tuv認(rèn)證的SIL認(rèn)證3、如