安全儀表系統(tǒng)（SIS）-SIL驗(yàn)算入門概念

國家安監(jiān)總局發(fā)布的“安監(jiān)總管三[2014]116號(hào)”文件中對(duì)安全儀表系統(tǒng)(SIS)的評(píng)估提出了具體要求，包括進(jìn)一步加強(qiáng)安全儀表系統(tǒng)全生命周期的管理，從源頭加快規(guī)范新建項(xiàng)目安全儀表系統(tǒng)管理工作，并且積極推進(jìn)在役安全儀表系統(tǒng)評(píng)估工作。另外：在役裝置2019年底前完成安全儀表系統(tǒng)評(píng)估和完善工作，老舊裝置及新建項(xiàng)目如未配套安全儀表系統(tǒng)和未進(jìn)行SIL定級(jí)則將不核發(fā)新的《安全生產(chǎn)許可證》今后安全儀表系統(tǒng)的相關(guān)工作會(huì)越來越多，越來越重要，基于此，本文將對(duì)安全儀表系統(tǒng)的功能安全知識(shí)進(jìn)行介紹。1.安全儀表系統(tǒng)生命周期IEC61508、IEC61511、ISA84等標(biāo)準(zhǔn)中對(duì)安全儀表系統(tǒng)整體生命周期有詳細(xì)的描述，它是一個(gè)結(jié)構(gòu)化的流程，各階段的活動(dòng)之間并不是孤立存在的，實(shí)際上是一個(gè)完整的體系，相互之間有一定的邏輯關(guān)系和順序。安全儀表SIS系統(tǒng)的安全生命周期分為3個(gè)階段：即分析階段、實(shí)現(xiàn)階段、運(yùn)行階段。在分析階段對(duì)風(fēng)險(xiǎn)進(jìn)行管理，主要工作是危害和風(fēng)險(xiǎn)的分析，對(duì)降低風(fēng)險(xiǎn)的進(jìn)行確認(rèn)。在實(shí)現(xiàn)階段，需要考慮SIS系統(tǒng)采用的技術(shù)、結(jié)構(gòu)和測(cè)試間隔周期等，并對(duì)系統(tǒng)的可用性和安全性進(jìn)行評(píng)估，實(shí)現(xiàn)系統(tǒng)的性能要求。最后在運(yùn)行階段，要進(jìn)行啟動(dòng)前的安全監(jiān)控，工程師要理解系統(tǒng)是否滿足了所有的安全要求，所有的SIF回路是否滿足SIL等級(jí)要求等。并且在每次維護(hù)和修改系統(tǒng)都需要有詳細(xì)的文檔記錄。

我們用簡(jiǎn)單直觀的流程圖來表現(xiàn)安全儀表系統(tǒng)的生命過程，在初始階段進(jìn)行危險(xiǎn)識(shí)別，一般采用HAZOP分析方法，或者WHAT-IF等，識(shí)別出風(fēng)險(xiǎn)高的假想事故場(chǎng)景，然后進(jìn)一步對(duì)這些風(fēng)險(xiǎn)高的事情場(chǎng)景進(jìn)行半定量分析，這里一般采用保護(hù)層分析方法（LOPA），以確定是否需要安全儀表功能SIF，同時(shí)對(duì)SIF回路的SIL等級(jí)要求明確。接下來在安全要求規(guī)范（SRS）中編寫安全儀表功能SIF的技術(shù)要求，包括SIL水平，測(cè)試間隔、可靠性要求，輸入輸出等內(nèi)容。確定SRS方后下一步工作就是需要對(duì)SIF回路進(jìn)行SIL驗(yàn)證工作，根據(jù)安全需求規(guī)格說明書（SRS）的要求，收集SIF回路相關(guān)設(shè)備的失效數(shù)據(jù)和架構(gòu)約束，計(jì)算SIF回路已達(dá)到的SIL等級(jí)。最后就是運(yùn)營階段，需要周期性維護(hù)，在線測(cè)測(cè)，離線檢測(cè)等確保系統(tǒng)的性能。2.安全儀表系統(tǒng)（SIS）

安全儀表系統(tǒng)（SIS）由傳感器、邏輯運(yùn)算器和最終控制元件組成的系統(tǒng)。當(dāng)工藝條件偏離時(shí)，使裝置處于安全狀態(tài)的目的。安全儀表系統(tǒng)功能功能包括：1、監(jiān)視生產(chǎn)過程的狀態(tài)，判斷生產(chǎn)過程中是否出現(xiàn)某種潛在的危險(xiǎn)條件。2、當(dāng)出現(xiàn)危險(xiǎn)的條件時(shí)，自動(dòng)執(zhí)行其規(guī)定的安全儀表功能（SIF），防止危險(xiǎn)事件的發(fā)生。換句話說，安全儀表系統(tǒng)一旦執(zhí)行了正常的安全儀表功能，則不會(huì)發(fā)生危險(xiǎn)事件。3、減輕危險(xiǎn)事件造成的影響，也就是通過減少損失，或者減少影響后果的辦法來降低風(fēng)險(xiǎn)。在一些情況下，安全儀表系統(tǒng)實(shí)現(xiàn)安全儀表功能的目的是減少風(fēng)險(xiǎn)，或者說是減少潛在危險(xiǎn)發(fā)生的概率。另外一些情況，實(shí)現(xiàn)其安全儀表功能的目的是減弱已經(jīng)發(fā)生危險(xiǎn)事件的后果，還有一些情況，則是兩種情況的綜合。考慮一個(gè)壓力反應(yīng)器的簡(jiǎn)單例子，為了防止反應(yīng)器內(nèi)的壓力超過它的設(shè)計(jì)壓力而可能發(fā)生危險(xiǎn)的情況，所以安裝了安全儀表系統(tǒng)，該SIS系統(tǒng)由兩個(gè)壓力變送器(PT2,PT3)，一個(gè)TT3溫度傳感器、邏輯運(yùn)算單元和兩個(gè)閥門,組成。3.安全儀表功能（SIF）SIF即安全儀表功能是安全儀表系統(tǒng)是否能有效地執(zhí)行其安全功能的體現(xiàn)，每一個(gè)安全儀表功能針對(duì)特定的風(fēng)險(xiǎn)事故場(chǎng)景進(jìn)行保護(hù)。在安全儀表功能中，討論的危險(xiǎn)事故場(chǎng)景不同則其關(guān)鍵動(dòng)作也會(huì)不同。在實(shí)際系統(tǒng)中，需要對(duì)控制、設(shè)備及工藝過程等多方面的深入的認(rèn)識(shí)，才能正確的設(shè)計(jì)安全儀表功能SIF。安全儀表SIS系統(tǒng)中包括多個(gè)安全儀表功能SIF。

一個(gè)傳感器或一個(gè)執(zhí)行器可能隸屬于多個(gè)SIF（安全儀表功能回路），比如S-1傳感器監(jiān)控的參數(shù)超過設(shè)定值，可以讓6號(hào)最終執(zhí)行元件動(dòng)作。同時(shí)S-2傳感器也可以使6號(hào)最終執(zhí)行元件動(dòng)作。不同的SIF對(duì)應(yīng)的SIL等級(jí)可以不同，因?yàn)槊總€(gè)一個(gè)SIF回路所對(duì)應(yīng)的假想事故場(chǎng)景的風(fēng)險(xiǎn)并不一樣。同時(shí)一個(gè)SIF回路在二個(gè)事故場(chǎng)景中，所要求的SIL等級(jí)也可能是不同的。不可以說整個(gè)SIS系統(tǒng)是SIL-1等級(jí)安全儀表系統(tǒng)(SIS)和基本過程控制系統(tǒng)（BPCS)

關(guān)于安全儀表系統(tǒng)(SIS)和基本過程控制系統(tǒng)（BPCS)的差異，讓很多初學(xué)者疑惑，二種系統(tǒng)從邏輯結(jié)構(gòu)上來看明明是差不多的，為什么還要區(qū)分呢？現(xiàn)在來講一下它們的差異。

1、兩者執(zhí)行的功能有所不同，基本過程控制系統(tǒng)是執(zhí)行常規(guī)生產(chǎn)過程控制的系統(tǒng)，據(jù)統(tǒng)計(jì)，工業(yè)中95%以上的控制系統(tǒng)都是基本過程控制系統(tǒng)。由此可見，BPCS執(zhí)行基本生產(chǎn)控制功能，以達(dá)到生產(chǎn)過程的正常操作要求。SIS則是監(jiān)視生產(chǎn)過程的狀態(tài)，判斷危險(xiǎn)條件，防止事故的發(fā)生。2、兩者具備不同的工作狀態(tài)，SIS是被動(dòng)的、休眠的，BPCS是主動(dòng)的，動(dòng)態(tài)的，是用來滿足生產(chǎn)需要，所以要?jiǎng)討B(tài)的運(yùn)行，保持生產(chǎn)過程的連續(xù)穩(wěn)定的運(yùn)行。3、對(duì)于失效，兩種系統(tǒng)有著不同的表現(xiàn)形式。BPCS其大部分失效都是顯而易見的，比如生產(chǎn)過程中，達(dá)不到特定的開關(guān)狀態(tài)，必定會(huì)影響正常的生產(chǎn)，因此故障的發(fā)生就會(huì)顯現(xiàn)出來。SIS系統(tǒng)由于大部分時(shí)間處于休眠狀態(tài)，所以很難覺察它是否出現(xiàn)了失效或者存在隱性的問題。所以SIS系統(tǒng)需要自診斷測(cè)試系統(tǒng)，還要周期性的離線測(cè)試和在線測(cè)試。5.安全完整性等級(jí)(SIL)IEC61508中對(duì)SIL的定義為：在一定時(shí)間，一定條件下，安全相關(guān)的系統(tǒng)執(zhí)行其所規(guī)定的安全功能的可能性。選擇安全完整性水平的目的是通過降低風(fēng)險(xiǎn)發(fā)生的概率，把風(fēng)險(xiǎn)降低到一個(gè)可以接受的水平。IEC61508規(guī)范中“高要求操作模式”和“低要求操作模式”所定義的SIL等級(jí)有所差異。低要求操作模式是指對(duì)安全儀表系統(tǒng)提出的操作要求頻率不大于每年一次，或者不大于二倍的功能測(cè)試頻率。SIL安全完整性等級(jí)，簡(jiǎn)單的說，SIL是對(duì)安全可靠性的一種衡量。每一個(gè)SIL等級(jí)代表一個(gè)風(fēng)險(xiǎn)降低的數(shù)量級(jí)，比如一個(gè)SIL-1安全功能裝置使一個(gè)事故發(fā)生的頻率降低了一個(gè)數(shù)量級(jí)，SIL-2使風(fēng)險(xiǎn)發(fā)生的頻率降低了二個(gè)數(shù)量級(jí)。6.安全要求規(guī)范(SRS)英國健康和安全署HSE對(duì)34個(gè)直接由控制系統(tǒng)和安全系統(tǒng)失效造成的事故進(jìn)行調(diào)查，得到的結(jié)果顯示，44%的事故是由于不正確的安全要求規(guī)范引起的。第二類高的引發(fā)事故的原因是調(diào)試后的變更，占21%。所以確定安全要求規(guī)范正確的重要性顯而易見，換句話說，系統(tǒng)可能完成了其設(shè)計(jì)的所具有的功能，但是這些功能本身不是正確的。前面所說的由控制系統(tǒng)失效直接造成的事故中44%是由于不正確的安全要求規(guī)范引起的，那么SIF的安全要求規(guī)范如何編制？在IEC61511標(biāo)準(zhǔn)中的定義：包含了安全儀表功能（SIF）所有要求的規(guī)范。它的目標(biāo)是規(guī)定詳細(xì)的過程安全信息中所需要的要求。在安全要求規(guī)范編寫前，我們需要收集以下資料:概念的過程安全設(shè)計(jì)。危險(xiǎn)分析和風(fēng)險(xiǎn)評(píng)估。非安全儀表系統(tǒng)保護(hù)層的應(yīng)用。為必須的安全儀表功能確定安全完整性等級(jí)。這些內(nèi)容必須是有效的、完善的。如果這些過程不存在或者不完善，無論在制定系統(tǒng)的規(guī)范上花費(fèi)多少時(shí)間，最終得到的都是不正確的安全要求規(guī)范。一個(gè)示例的安全要求規(guī)范（SRS）編寫，安全要求規(guī)范的主要內(nèi)容是：SIF的啟動(dòng)裝置，三個(gè)壓力傳感器PT-1，采用三選二的2oo3。風(fēng)險(xiǎn)是下游壓力高于管道規(guī)格。后果：管道超壓和長(zhǎng)時(shí)間損壞管道的可能性。安全狀態(tài)：104閥門和105閥門關(guān)閉，并且停止壓縮機(jī)C-101。功能測(cè)試周期，12個(gè)月。響應(yīng)時(shí)間:根據(jù)最大閥門的行程時(shí)間，20秒。目標(biāo)SIL是SIL2水平，風(fēng)險(xiǎn)降低因子RRF是500倍其它還有一些參數(shù)都要詳細(xì)記錄。7功能測(cè)試周期和覆蓋率為了驗(yàn)證安全儀表系統(tǒng)的運(yùn)行狀況以及確認(rèn)其達(dá)到了SIL水平，對(duì)安全儀表系統(tǒng)進(jìn)行周期性的功能測(cè)試是必須的。這里的測(cè)試是對(duì)整體系統(tǒng)的測(cè)試，包括傳感器，邏輯控制器，最終執(zhí)行元件和相關(guān)的一些報(bào)警。功能測(cè)試應(yīng)該被看做是正常的預(yù)防性維護(hù)活動(dòng)。沒有周期性的功能測(cè)試，安全儀表系統(tǒng)很可能在需要它響應(yīng)的時(shí)候不能的執(zhí)行其功能。因?yàn)榘踩珒x表系統(tǒng)的工作模式是被動(dòng)的，很多設(shè)備的故障不能夠顯現(xiàn)出來。功能測(cè)試方法有：在SIS中內(nèi)置的自動(dòng)測(cè)試離線測(cè)試，在工藝系統(tǒng)不運(yùn)行時(shí)手動(dòng)完成。在線測(cè)試，在工藝系統(tǒng)運(yùn)行時(shí)手動(dòng)完成關(guān)于功能測(cè)試頻率：每個(gè)系統(tǒng)的測(cè)試頻率是根據(jù)它所采用的技術(shù)、系統(tǒng)配置和目標(biāo)風(fēng)險(xiǎn)控制，而具體設(shè)定的。不能說SIL-1的要求每月測(cè)試一次，SIL-2的每季度測(cè)試一次。那么怎么樣確定測(cè)試周期呢？可以通過嘗試不同的測(cè)試周期分別計(jì)算平均危險(xiǎn)失效概率PFD的方法，確定最終需要什么樣的測(cè)試周期才能滿足安全功能規(guī)范的要求。這里要講的另外一點(diǎn)，就是測(cè)試覆蓋率，如果每次測(cè)試覆蓋率能達(dá)到100%，那么測(cè)試完成后，系統(tǒng)又能回到初始狀態(tài)。每到一個(gè)測(cè)試周期，系統(tǒng)的危險(xiǎn)失效概率PFD就回到了初始點(diǎn)。實(shí)際上功能測(cè)試覆蓋率不可能達(dá)到100%，所以由于測(cè)試的不完整，PFD永遠(yuǎn)不會(huì)恢復(fù)到原始值。如果測(cè)試覆蓋率為90%，風(fēng)險(xiǎn)顯著升高，不完整的測(cè)試可通過功能測(cè)試的頻率來影響PFD。如果沒有功能測(cè)試計(jì)劃，那么PFD將會(huì)更高。8.故障模式FailureModes對(duì)于安全儀表系統(tǒng)，關(guān)注的不是系統(tǒng)如何運(yùn)行，而是系統(tǒng)如何故障。安全儀表系統(tǒng)的故障可能導(dǎo)致它不能對(duì)危險(xiǎn)狀況作出響應(yīng)，也就不能完成保護(hù)的功能。另一個(gè)方面，安全儀表系統(tǒng)的失效也有可能造成系統(tǒng)的誤停車，使得正常生產(chǎn)中斷。這些不同的失效方式被稱為故障模式。分析設(shè)備的故障模式在整個(gè)安全儀表系統(tǒng)中的影響是十分重要的，在故障模式明確的基礎(chǔ)上才能進(jìn)行安全儀表系統(tǒng)的可靠性建模。根據(jù)安全儀表系統(tǒng)的可靠性模式和設(shè)備的失效數(shù)據(jù)才能對(duì)安全儀表系統(tǒng)進(jìn)行定量的可靠性分析。SIF的失效模式分為安全失效和危險(xiǎn)失效。危險(xiǎn)失效一般是隱藏的，不容易發(fā)現(xiàn)的，它會(huì)導(dǎo)致控制回路在需要響應(yīng)時(shí)不能響應(yīng)，使系統(tǒng)處于危險(xiǎn)的狀態(tài)。安全失效是明顯的，已知的，它的主要影響是系統(tǒng)的可靠性。

可將故障進(jìn)一步分為檢測(cè)到的故障和未檢測(cè)到的故障安全故障可分為安全檢測(cè)故障SD和安全未檢測(cè)故障SU。危險(xiǎn)故障可分為危險(xiǎn)檢測(cè)故障DD和危險(xiǎn)未檢測(cè)故障DU。我們?cè)赟IL驗(yàn)算過程中主要用于SD\SU\DD\DU四個(gè)參數(shù)值，其中DU（危險(xiǎn)未檢測(cè)到的故障）是決定平均危險(xiǎn)失效率PFD的關(guān)鍵數(shù)值。9.體系結(jié)構(gòu)約束ArchitecturalConstraints

有很多因素會(huì)影響安全儀表功能的實(shí)現(xiàn)，其中有一些關(guān)鍵的因素，如：1設(shè)備制造商用來減少設(shè)備系統(tǒng)失效的措施，2，設(shè)備的安全和危險(xiǎn)失效率。3，設(shè)備的自診斷能力4，設(shè)備和安全儀表功能的測(cè)試檢驗(yàn)。5共同原因失效的防范等等。IEC標(biāo)準(zhǔn)委員會(huì)認(rèn)為，在功能安全標(biāo)準(zhǔn)方面，上面的部分因素實(shí)際上是不能夠度量的。所以IEC61508提出了除了計(jì)算平均危險(xiǎn)失效率PFDavg外，還要考慮結(jié)構(gòu)約束能實(shí)現(xiàn)的最低SIL等級(jí)，結(jié)構(gòu)約束是通過設(shè)備的硬件冗余度以及設(shè)備類型和安全失效分?jǐn)?shù)SFF來確認(rèn)的。系統(tǒng)最終達(dá)到什么樣的SIL等級(jí)是根據(jù)平均危險(xiǎn)失效率PFDavg和結(jié)構(gòu)約束綜合考慮的。IEC61508標(biāo)準(zhǔn)中把設(shè)備分為A型和B型設(shè)備，兩者的體系結(jié)構(gòu)約束有所不同。A型裝置是指所有組成部件的故障模式均已明確定義并且可以完全確定子系統(tǒng)在故障條件下的行為等，常見的A型設(shè)備有閥門，開關(guān)等；B型裝置一般被認(rèn)為是復(fù)雜裝置。有以下特征：1.至少一個(gè)組成部件的故障模式定義不明確；2.無法完全確定子系統(tǒng)在故障條件下的行為。比如傳感器，邏輯運(yùn)算器等屬于B型設(shè)備。10.SIL驗(yàn)算SIL

Verification

功能安全完整性評(píng)估SIL驗(yàn)算工作開始前需要確認(rèn)以下內(nèi)容：1、背景資料的準(zhǔn)備。是否進(jìn)行了危害分析，比如使用HAZOP方法識(shí)別所有的假想事故場(chǎng)景，并對(duì)風(fēng)險(xiǎn)高的事故場(chǎng)景進(jìn)行保護(hù)層LOPA分析，分析是否需要SIF。同時(shí)已經(jīng)為SIF回路確定了相應(yīng)的技術(shù)方案，明確設(shè)備的冗余結(jié)構(gòu)，如1oo2，2oo3等。周期性的測(cè)試方案也已經(jīng)記錄在案安全要求規(guī)范SRS詳細(xì)記錄了SIF回的相關(guān)規(guī)范要求。2、失效數(shù)據(jù)SIL驗(yàn)算過程中需要收集SIF各子系統(tǒng)中各部件的故障數(shù)據(jù)。各種設(shè)備的故障率和故障模式的數(shù)據(jù)，用于計(jì)算每個(gè)子系統(tǒng)和整個(gè)SIF的PFDavg。3、故障數(shù)據(jù)的來源：1、工廠統(tǒng)計(jì)收集的失效數(shù)據(jù)，這個(gè)數(shù)據(jù)是準(zhǔn)確可靠的，但是大部分工廠并沒有這些數(shù)據(jù)。2、設(shè)備廠商提供的SIL認(rèn)證數(shù)據(jù)或統(tǒng)計(jì)數(shù)據(jù)，比如這是一個(gè)exida或tuv認(rèn)證的SIL認(rèn)證3、如