创建SIF验证过程

过程安全系统包括许多单独的安全仪表功能(sif)，设计用于在出现问题时将工厂或过程单元移至安全状态。当出现不希望出现的情况时，这些函数应该按照特定的计划自动执行。

例如，蒸汽加热反应堆将配备一个压力传感器，能够确定它是否已经超出其安全操作范围。SIF将有一个行程点，控制器(SIF的逻辑求解器)将做一些具体的事情来纠正这种情况。在这种情况下，它会打开一个安全阀，以防止反应堆中的压力继续升高，并可能切断蒸汽流动。当压力达到规定的设定值时，这个动作，或者可能的动作，会自动发生，按照安全工程师设计的计划，以避免反应堆或其相关管道爆炸的任何可能性(见故事结尾的“设计一个SIF”)。

在设计过程中，特别是在产品易燃或有毒的过程中，安全专家会仔细研究，以确定所有可能出错的地方。例如，如果这个阀门卡住了怎么办?如果反应堆温度过高怎么办?这个水箱会溢出吗?然后，安全专家设想如果这些情况发生，会造成什么样的破坏或损害，以及问题实际发展的可能性。

如果他们认为发生的特定问题的后果超出了公司愿意承担的风险，安全专家就会设计补救措施，并创建SIF来实施。在一个复杂单元中，可能有数百个单独的sif。它们所涵盖的危险可能会重叠，从而形成多层保护。因此，如果一项措施失败或被证明是不够的，还需要另一项措施以避免更激烈的升级。

每个SIF都被分配了一个安全完整性级别(SIL)，从基本意义上讲，这是它在更大的风险降低图景中的重要性。每一个SIF都很重要，但有些更为重要。SIL评级高的情况尤其重要，补救措施必须大大降低事件发生的概率。那些SIL评级较低的人可能会有较小的后果，或者可能有其他能够解决问题的机制，因此风险降低的程度会较小。(见编者注)

安全专家设计sif，然后在工厂运行期间监督它们的安装和维护。这个安全生命周期(SLC)概念将实现一个完整安全系统或一个SIF的所有步骤联系在一起。它遵循三个主要阶段:分析、实现和维护。它首先对过程进行初步分析和危险识别，然后转向开发一种机制来防止事件发生，包括安装和持续支持。

安全专家在这方面的作用怎么强调都不过分。这里提供的设计和实施安全功能的建议应留给合格的安全专家。虽然了解这些事情是如何工作的很重要，但如果你没有接受过适当的培训，自己执行它们并不是一个好主意，可能会造成灾难性的后果。要应用一个常见的表达，不要在家里尝试这个。

这会有用吗?

安装SIF后，必须对其进行验证，以验证其操作。验证必须遵循特定的程序，以确保它是可信的，并记录所有步骤。验证过程将SIF置于显微镜下，解剖它，并寻找它可能失败的所有方式。每一种可能性都必须逐一、逐个地进行检查和测试。在规定的时间间隔内进行证明测试，以检测未检测到的危险故障，这些故障可能会阻止SIF在未来工作。传感器、逻辑求解器和最终元件可以在不同的时间间隔分别测试，或者可以一次测试整个SIF。最终，特定的SIF或完整的安全系统可能与给定的工艺单元或整个工厂一起退役，从而结束其生命周期。

“验证”这个词很关键。在构建或升级一个单元时，会执行多种测试和检查。诸如软件验证、循环检查、证明测试、工厂验收测试等术语可以用于其他事情。但是安全系统验证必须遵循适用标准中规定的特定方法，并且必须以特定的方式记录。其他测试也可能同样具体，但通常它们可能有不同的目标。

安全生命周期中的一个步骤

SIF验证只是更大的SLC中的一个步骤，但是非常关键。图1显示了应用于连续流程的典型SIF的一个假设示例。在这个例子中，两种液体原料被泵入反应器，然后加热和搅拌，使它们形成一种新的化合物，从反应器顶部附近流出。温度、压力、液位分别用TT01、PT01、LT01测量。

危险分析警告，如果输出流被阻塞，可能会发生超压事件，因此，设计师指定了一个SIF，能够创建第二个出口，允许一些内容物通过一个储罐。这可能不是唯一一个与反应堆有关的SIF。如果温度过高，可能会有另一个SIF被设计用来关闭加热器的蒸汽，或者如果反应堆的水平过高，原料输入可能会被切断。

在正常运行条件下，基本过程控制系统(BPCS)使这些参数保持平稳。对于这个例子，它可能在99.99%以上的情况下都能很好地工作。不幸的是，在现实世界中，事情可能而且确实会出错。蒸汽控制阀可能卡住，或从反应器中提取产品的泵可能失效。在这些情况下，BPCS不能总是处理这种情况，SIF必须介入并完成它的工作。

许多潜在变量

在检查假设的过程时，SIF设计人员必须做出的选择包括:

• 所使用的压力仪表的类型
• 压力仪表位置
• 跳闸后阀门的响应时间
• 管道和阀门通径足够减压
• 起脱压力设定
• 自复位与非自复位循环
• 应该发送给BPCS的信息。

当这些参数设置好后，设备就可以安装并进行验证了。这是关键时刻，一切都必须正常工作，尽管那些做测试的人试图让它失败。鉴于其关键性质，验证必须是一个符合相关标准的仔细和深思熟虑的过程，并且必须有完整的文件记录。执行所需的一系列测试可能是一个复杂的过程，涉及各种其他工厂人员，例如以下典型步骤:

1. 识别所有连接到被测SIF的设备或系统。显然，安全装置本身是包括在内的，但可能还涉及其他切线。SIF设备必须独立工作，但执行测试可能需要绕过另一个系统，禁用警报，或改变过程的一个元素。
2. 让所有将参与或受此过程影响的部门和人员参与进来，并听取他们的意见。主要包括操作、维护、过程控制和过程安全。但永远不要低估那些可能认为自己应该参与进来的人的数量。在需要的时候请求输入和帮助，因为测试总是会影响其他领域，特别是操作和维护。
3. 创建测试过程并以书面形式进行。因为测试必须被记录，所以它必须遵循特定的过程。IEC 61511而且ISA 84指定测试必须包含的一般步骤，确保测试遵循这些建议。每个步骤都应该表明期望的结果，遵循系统设计者确定的潜在故障模式。SIL评级可能会发挥作用，因为具有高SIL评级的SIF可能需要比具有低SIL评级的SIF更广泛的测试。该程序还必须在植物环境中实用，因此必须仔细选择。在大多数公司中，可以为每种情况设置和调整一个基本的程序模板，因此没有必要为每个SIF从头开始。
4. 确定并记录执行测试所需的设备的事先准备工作，以及手边的任何不寻常的设备，如秒表。如果管道必须排空，或者容器中的液体必须移动到特定的水平，则必须注意这些要求。如果第2步执行正确，这将更容易。
5. 沟通测试说明。具体说明谁需要在哪里，他们需要做什么，以及他们的活动必须在什么时候进行。同样，这一步的合作和成功取决于第2步。一些测试将SIF作为一个单元处理，而其他测试将检查单个组件。
6. 详细指定在测试期间必须记录哪些变量。压力仪表实际显示的值是多少?执行器对信号做出反应需要多长时间?在实际使用中，它的反应速度是否达到了要求?这时秒表就会派上用场了。如果响应时间对于秒表来说太快，则可能需要使用其他机制，例如连接到进程的软件程序上的事件或警报日志。
7. 在测试完成后，沟通恢复服务的说明。
8. 此测试可能只执行一次，但是由于SIF有可能被更新或以其他方式修改，因此该过程应该包括修订历史。

了解关于如何设计SIF的更多模拟危险和建议。

模拟危险

sif的设计是为了应对问题，通常是潜在的重大事件。当安全功能被激活时，这是因为BPCS无法应对故障或其他故障——这些都不是小事。验证SIF应该尽可能密切地涉及创建问题，以便SIF可以毫无疑问地作出适当的响应。尽管如此，对于为确保安全传感器正确读取问题而对一个大型反应堆过度加压或对一罐产品过热的建议，总有来自运营部门的反对意见。

在现实世界中，即使是在处理像安全系统这样重要的事情时，也需要以实用性的名义做出一些让步。下面，按照从最佳到仍然可接受的顺序，列出了验证sif的典型方法:

1. 安全谨慎地操作该过程，以创造危险的条件。显然，这是最具结论性的测试。但它通常涉及最剧烈的过程中断，有些操作比其他操作更糟糕。提高储油罐的液位可能不像给反应堆增压那么糟糕，但这种方法通常很难说服管理层，而且这种情况发生得最少。
2. 隔离并操纵传感器。如果不能给反应堆过度加压，另一种方法是拆除传感器设备，在较小的规模上创造类似的条件。也许可以将压力仪表连接到压缩空气管道上，或者将热电偶放入热水浴中。如果能以实际的方式做到这一点，它几乎和方法1一样好，而且通常要容易得多。
3. 使用模拟传感器。将实际传感器与变送器解耦，并使用模拟器为安全仪器提供虚拟输入。最常见的例子是断开热电偶并使用热电偶模拟器。
4. 使用校准器。将发射机置于模拟模式并产生跳闸信号。这是最不现实的，但肯定是最简单的。因此，不幸的是，这也是最常见的方法。

无论选择哪种方法，都应该将其写入过程中。

到目前为止所描述的测试主要针对传感器。在大多数情况下，sif都在寻找不需要的温度或压力，但是为了避免溢出和泄漏，液位也是常见的。

sif的其他部分——逻辑求解器和最终控制元件(FCE)或执行器——也同样重要，必须单独彻底地检查。在实际的现场验证过程中，对这些设备进行一系列单独的检查也很重要。对于逻辑求解器:

• 确认所有输入输出正常
• 确认编程和其他软件，以确保所有设定值和其他配置是正确的
• 如果使用投票方案，则必须验证到所有传感器的连接，尽管检查每个可能的组合可能是不必要的。

正如有必要避免中断测试传感器的过程一样，测试FCE也可能导致中断。作为验证的一部分，打开安全阀或反复关闭主要机械部件(如泵或压缩机)并不是一个好主意。与检查传感器一样，为了实用起见，可能需要做一些让步。

对于大型设备，可能会断开或绕过FCE与设备的接口，这样就可以在不实际关闭设备的情况下看到它的运行。类似地，给阀门执行器的压缩空气供应可以被禁用，因此它不会移动，尽管执行器仍然可以被验证。

话虽如此，如果没有看到最终操作完全工作至少一次，就没有测试是完整的。如果必须进行中间测试，一个好的程序是使最终操作发生在第一个和最后一个测试上。如果做两次太多了，那么应该在期末考试时做。这允许最后的元素在测试时被保留，而不是依赖于这样一个关键设备的重新连接。

设计良好并经过全面测试的SIF应该在紧急情况下可靠地运行，并且不会引起麻烦。验证过程是大型SLC中的关键步骤。当由合格和经验丰富的安全工程师执行时，工厂应该对其安全运行的能力有信心，以保护工厂人员、环境和设备。

设计SIF

安全检测函数(SIF)是一个简单的过程，有时称为安全循环，旨在执行单一功能。它由三个部分组成:传感器、逻辑求解器和执行器。从概念上讲，它是一个控制回路，但它有一个离散的开关函数。

例如，考虑将石油产品从管道转移到储罐的石油终端。该控制系统本应防止操作人员将油箱注满，但如果该控制系统不能正常工作，液体可能会过高并从油箱通风口流出。考虑到这种情况所产生的危险，我们添加了SIF作为保护层(见图2)。有一个液位传感器将其数据发送到逻辑求解器，逻辑求解器是一个安全级控制器，能够从传感器读取液位变量，当达到特定值时，编程使其跳闸并打开继电器关闭泵电机。在这种情况下，执行器在漏油前停止漏油。它还可能关闭油箱的进口阀门。这个循环不是用来调节电平的。它只是在关卡到达设定的跳闸点时停止转移。

SIF最关键的方面是其独立运作的能力。它必须完全独立，不依赖于操作员或控制系统的任何其他部分的帮助。有人可能会问，为什么这个复杂的系统不能用一个更便宜的电平开关与泵串联起来代替呢?答案是可以，但级别开关不能提供相同的功能保证。如果它被卡住或活动部件生锈或腐蚀，在紧急情况下可能无法运行。是的，它可以被测试，但这需要操作员来执行测试，并且它可能不会给出它的状况的明确指示。

更精细的安全回路方法能够向控制系统发送信息，以表明其正常工作。它可以发送它的液位测量，以显示它有一个正确的读数，并验证逻辑求解器正在工作。也可以更改行程点，但这只能根据修改SIF的程序进行。如果传感器失效或任何其他组件失效，逻辑求解器可以向控制系统发送警报。逻辑求解器也可以编程，以规定的间隔进行自我测试，打开阀门以验证它是否被卡住。这些诊断功能提供了更高的置信度，并确保SIF在被调用时能够完成其工作。

斯科特·海耶斯控制系统工程师在哪里特立独行的技术．Maverick Technologies是CFE媒体内容合作伙伴，CSIA一级会员控制工程2011年度最佳系统集成商，并入选控制工程2012年系统集成商名人堂。

编者按:确定SIL评级的过程很复杂，超出了本文讨论的范围。有关SIL评级、安全仪表系统和安全仪表功能的更多信息，请阅读控制工程杂志的“真实世界工程”博客，由Maverick Technologies的工程师撰写。js

本文发表于应用自动化补充的控制工程
而且设备工程．

-请参阅下面补充的其他文章。

Maverick科技是一家相2016年9月27日会员。

您是否具有本内容中提到的主题的经验和专业知识?你应该考虑为我们的CFE媒体编辑团队做出贡献，并获得你和你的公司应得的认可。点击在这里开始这个过程。