确定工艺应用的安全完整性水平
安全仪表系统(SIS)安装在工艺装置中,以减轻工艺危害,并且必须在工艺过程中指定目标安全完整性水平(SIL),以确定下一步需要做什么。
安全仪表系统(SIS)安装在工艺装置中,当超过预定设定值或超过安全操作条件时,通过将工艺带到“安全状态”来减轻工艺危害。
SIS是多层安全方法中的一个保护层,因为单独的安全措施无法消除风险。保护层分析(LOPA)是一种对所有已知的工艺危害和所有已知的保护层进行仔细检查的方法。对于LOPA研究得出现有保护措施不能将风险降低到可接受或可容忍水平的每一种工艺危害,都需要SIS。并不是所有的过程危险都需要使用SIS。每一个需要使用SIS的危险必须被指定一个目标安全完整性等级(SIL)。
什么是SIL级别?
SILs来自两个自愿标准,由工厂所有者/运营商用于量化危险操作的安全性能要求:
- IEC 61508:电气/电子/可编程电子安全相关系统的功能安全
- IEC 61511:过程工业部门的安全仪表系统。
根据IEC标准的定义,有四个SIL级别(1-4)。较高的SIL级别意味着更大的过程危险和更高级别的SIS所需的保护。SIL级别是危害频率和危害严重程度的函数。更频繁发生或后果更严重的危险将具有更高的SIL水平。
为了确定过程危险的SIL级别,了解安全生命周期是有帮助的。
安全生命周期
IEC标准定义了一个称为安全生命周期的概念,该概念提供了一个可重复的框架,在此框架中识别和分析所有工艺危害,以了解哪些危害需要使用SIS进行缓解。按照设计,这是一个循环过程。工艺设计、操作条件或设备的任何更改都需要循环回到开始,以确保任何更改都得到正确实施。
要确定SIL级别有许多步骤,首先要执行过程危害分析(PHA)。
PHA是对与工业过程相关的所有潜在危险的系统评估。有必要分析所有潜在的原因和后果:
- 火灾
- 爆炸
- 释放有毒、危险或易燃物质等。
关注任何可能影响这个过程的事情,包括:
- 设备故障
- 仪器故障或校准问题
- 公用事业损失(电力、冷却水、仪器空气等)
- 人为错误或行为
- 外部因素,如风暴或地震。
每个工艺危害的频率和严重性都必须进行分析:
- 这种情况多久会发生一次?任何时候手动加油操作都可能发生油罐泄漏(一年多次)
- 结果有多严重?局部损伤,火灾,爆炸,毒气释放,死亡。
PHA分析的核心是事情可能并且确实会出错。忘记是否如果它将会发生,而不是考虑当它会发生的。每个识别出的危险都有一个“可接受的”频率。你不能假设危险“永远不会”发生。
- 需要简单急救的危险,如果一年只发生一次,就可以被认为是“可以接受的”
- 由储罐破裂引起的爆炸和火灾的“可接受”频率可能是一万年发生一次。
PHA的最终结果是列出所有可能的过程危险,并为每一种危险指定可接受的发生频率。PHA完成后,安全生命周期的下一步是保护层分析。
没有单一的安全措施可以消除风险。因此,有效的安全系统必须包含保护层。这样,如果一层保护层失效,后续的层将使过程进入安全状态。随着保护层数量及其可靠性的增加,整个过程的安全性也在增加。理解每一层必须独立于其他层运行是很重要的,以防一个或多个层发生故障。
保护层的一些具体例子包括:
- 灭火系统
- 防漏系统(堤防或双层墙)
- 减压阀
- 气体探测/警报系统。
对于PHA中确定的每一种工艺危险:
- 列出所有可用的非sis安全措施
- 给每一层分配它自己的危害风险降低因子
- 计算适用保护层的有效危险频率。
例如:一个水箱装满操作每年发生250次-“可能”每年经历250次溢满事件。
- 设置适当的排气/排水系统作为保护层,可将危险降低100倍(降低危险系数)。
- 储罐过充造成的危险的有效频率为每年250/100 = 2.5次。
在知道每种危险的有效危险频率后,要问的关键问题是:“在应用非sis保护层的情况下,有效频率是否低于可接受的频率?”
一旦识别出所有工艺危害并分配了保护层,如果PHA/LOPA研究得出结论,现有的保护不能将风险降低到可接受或可容忍的水平,则需要安全仪表系统(SIS)。然而,并不是每一种工艺危害实际上都需要使用SIS。
安全仪表系统和功能
SIS的目的是当超过预定的设定值或超过安全操作条件时,使过程达到“安全状态”。
SIS的作用是通过实施安全工具化功能(sif)来降低风险。两个例子包括:
- 危害:油箱溢满。SIF:SIS将充填泵停止在预定的安全水平
- 危害:高温。SIF:SIS打开一个继电器,在预定的安全温度下切断加热电路的电源。
在任何情况下,SIF都是SIS为达到或维持安全状态而实现的安全函数。SIF的传感器、逻辑求解器和最终元素协同工作,以检测危险并使过程达到安全状态。
每个SIF都充当保护层,将有效危险频率降低到可接受的危险频率以下。要做到这一点,每个SIF必须具有最小的风险降低因子。
SIF的目标SIL级别
以储罐过充为例,确定在应用非sis保护层后,有效频率为每年2.5次。如果可接受的危害频率是10年一次,那么SIF必须具有至少25的风险降低因子(RRF)。
- SIF的最小RRF =有效频率w/o SIS /可接受频率= 2.5/0.1 = 25。
- 每个SIF所需的最小RRF用于确定SIF的目标SIL级别。
目标SIL级别通过使用图3中的表直接从所需的RRF确定。注意SIL Level和RRF之间的关系。SIL1的最小RRF为10^1,SIL2的最小RRF为10^2,依此类推。
| 银 | 所需风险降低因子(RRF) |
|---|---|
| 1 | 10 ~ 100 (101到102) |
| 2 | 100 ~ 1000 (102到103.) |
| 3. | 1000 ~ 10000 (103.到104) |
| 4 | 1 ~ 10万(104到105) |
对于油箱溢满的例子,最小RRF为25,SIF的目标SIL级别为SIL1,因此这是一个SIL1危险。
对于PHA和LOPA识别的每个需要SIF的危险,使用相同的方法分配目标SIL级别。请注意,您可能会有各种目标SIL级别。该过程的下一步是设计能够实现所需sif并达到目标SIL水平的SIS。
SIF的可达到SIL水平
SIS是一个由许多组件组成的系统,例如:
- 信号输入传感器
- 输入信号的接口和处理
- 具有电源和通信的逻辑求解器
- 输出信号处理,接口和电源
- 执行机构(阀门、开关装置)用于最终控制功能。
在一个SIF示例中,SIS在高温下使继电器断电以打开加热器电路,可以有以下任何或所有回路组件:
- 热电偶
- 发射机
- 输入信号调节器或屏障
- 模拟输入卡
- 通信卡(年代)
- CPU
- 离散输出卡
- 输出信号调节器或屏障
- 加热器电路继电器。
人们必须假定危险会在某一时刻发生。你不能假设危险“永远不会”发生。类似地,必须假定SIF的任何组件都可能无法按要求采取行动。
一个非常常见的故障是隔离阀在正常工艺条件下保持打开状态。如果需要关闭该阀门以实现特定的SIF,则阀门可能会在需要时保持打开而不关闭。因此,必须知道SIF的失效概率。
给定SIF的总体失效概率是通过执行SIL计算(SIL计算)来确定的。SIL计算有些复杂,超出了本文的范围,但从本质上讲,该过程是为SIF组件收集故障率数据,并考虑诸如测试频率、冗余、投票安排等因素。最终的结果是,对于每个SIF,您最终会得到按需失败(PFD)的总体概率。
设备制造商公布了组成SIF循环的众多设备部件的故障率数据。公司经常与顾问签订合同,以确定故障率的值。
对于SIF执行SIL计算所需的输入是故障率数据,而不是SIL级别数据。没有所谓的sil级设备。我们不购买SIL-rated发射器或SIL-rated控制系统。
一旦SIF的PFD已知,那么它的RRF就是PFD的倒数(RRF = 1/PFD)。然后可以将SIF的RRF与所需的最小RRF进行比较。如果SIF的RRF大于最小RRF,则SIF足以将总体危险水平降低到可接受水平以下。
回到我们的油箱溢满示例,让我们假设SIL计算证明SIF的RRF为300。因为它大于25,那么SIF就足够了。如果SIL计算发现RRF小于25,则需要更改或重新排列SIF组件。增加RRF的一种方法是在投票装置中安装冗余发射机或购买故障率较低的发射机。
SIL水平、RRF和PFD之间的关系如下所示。
| 银 | PFD | RRF |
|---|---|---|
| 1 | 1 / 10 - 1 / 100 | 10至100 |
| 2 | 1 / 100 - 1 / 1000 | 100至1000 |
| 3. | 千分之一到万分之一 | 1000到10000 |
| 4 | 万分之一到十万分之一 | 1万至10万 |
回到油箱填充的例子,最小RRF为25 (SIL1), SIF RRF为300。SIF可达到的SIL级别为SIL2。这意味着有一个sil2能力的SIF被用来保护SIL1危险。这是完全可以接受的,也很正常。
大卫Yoset项目经理是什么跨公司.本文最初发表于克罗斯公司的集成系统博客。由制作编辑克里斯·瓦夫拉编辑,控制工程, CFE传媒,cvavra@cfemedia.com.
克罗斯公司是相2017年4月20日会员。
原始内容可以在www.crossco.com.
您是否具有本内容中提到的主题的经验和专业知识?你应该考虑为我们的CFE媒体编辑团队做出贡献,并获得你和你的公司应得的认可。点击在这里开始这个过程。
