过程安全有什么风险?

在工艺装置中，保护层(LOP)包括安全阀、破裂盘、堤防和安全仪表系统(SIS)。SISs是专门设计的解决方案，可以持续在线，并期望立即采取行动来减轻任何检测到的不安全过程事件。但是，在不安全事件发生的几周、几个月甚至几年之间，我们能做些什么来减少这种可能性呢?

戴夫·哈罗德著二五年四月一日

要阅读完整的64页pdf格式的“台塑公司伊奥利波利斯，伊利诺伊州”，请点击这里。

一目了然

防护层
提高安全标准
S84的作用
更好的可靠性
测试方法

栏:
安全标准提高前的事故

在工艺装置中，保护层(LOP)包括安全阀、破裂盘、堤防和安全仪表系统(SIS)。SISs是专门设计的解决方案，可以持续在线，并期望立即采取行动来减轻任何检测到的不安全过程事件。
但是，在不安全事件发生的几周、几个月甚至几年之间，如何才能将SIS某些部分的按需故障(PFD)的概率降到最低呢?答案是:选择适合安全应用的设备，使用良好的工程实践来设计和安装这些设备，应用良好的维护实践，然后测试，测试，再测试。

提高安全标准

安全标准的制定曾经是为了满足应用、行业和/或国家的特定需求。其中一个例子是美国国家标准协会(ANSI) P-1.1-1969标准，该标准定义了美国纸浆、纸张和纸板厂的安全要求

通常，这些标准是基于标准发布时可用的技术开发的设计规范。这样的标准假定系统生命周期活动(包括安装、测试和维护)得到了适当的执行，但这个假设一再被证明是错误的。(参见侧栏“导致安全标准提高的事故”。)

最近的安全标准，如国际电工委员会(IEC)和仪器、系统和自动化协会(ISA)制定的安全标准，是基于识别和量化风险，尽可能消除风险，并在风险无法完全消除时应用LOPs来产生“基于性能”的标准。

IEC 61508(第1-7部分);电气/电子/可编程电子安全相关系统的功能安全，是一个全面的、基于性能的标准，涵盖了一系列行业的功能安全要求，包括化学、石油和天然气、纸浆和造纸、非核发电以及一些非加工工业。

为了回应早期过程工业采用者对IEC 61508过于繁琐和缺乏灵活性的反馈，IEC委员会提取并重新编写了相关章节，形成了专门针对过程工业的IEC 61511。其结果是一个功能安全标准，为过程工业提供了一定程度的实施灵活性，同时确保在IEC 61508框架内实现合规性。

祖父条款

ANSI/ISA S84.00.01-2004是SIS-Tech Solutions的总裁，也是ISA SP84委员会的投票成员之一。功能安全:过程工业部门的安全仪表系统(S84-2004)符合IEC 61511，但有一个例外。

S84-2004中包含了一个祖父条款，要求设施所有者/运营商检查和记录他们的SIS设计、操作和维护实践。如果确定当前安装的SIS提供安全操作，则不需要对系统进行修改。然而，如果检查显示SIS没有提供足够的保护，就必须使用最新的良好工程实践使其符合要求。

IEC 61511和S84-2004的目标不是规定必须应用何种技术或级别的冗余。相反，这些安全标准的目的是确保过程风险越大，安装的SIS越坚固。

尽管遵守IEC 61511和S84-2004仍然是自愿的，但它正在成为过程工业选择的国际安全体系标准，如下所示:

最终用户在会议和专题讨论会上提交的论文;
过程控制系统制造商网站参考资料和
中国、印度、爱尔兰、意大利、挪威、英国和美国政府机构的参考资料。

美国劳工部职业安全与健康管理局(Occupational Safety & Health Administration, OSHA)对伊利诺伊州伊利奥波利斯市的台塑公司(Formosa Plastics)处以361,500美元的罚款，这是政府意识到S84标准的一个例证。在OSHA指控的45项“严重违规”中，有几项提到台塑“未能遵守公认的良好工程规范，如ANSI/ISA S84”。

(有关台塑的OSHA引用文件，请参阅这篇在线文章的链接。)

关注哪里

设备按需故障(PFD)的概率随着时间的推移而增加。然而，经过另一个全面验证的测试，设备工作正常，它返回到原来的可靠性水平。增加全防护测试的频率可降低PFDAVG，并提供两种选择:1)使用相同的设备以满足更高的安全水平(SIL);2)使用更便宜的设备来实现相同的SIL。

当工程师和技术人员开始了解iss时，他们通常会得出这样的结论:需要三倍或四倍冗余逻辑解算器。

然而，当检查OREDA(海上可靠性数据)等数据时，他们发现最终控制元件故障的概率为50%，传感器故障的概率为42%，逻辑解算器故障的概率仅为8%。这些事实并不能免除任何人选择和安装适当的逻辑求解器的责任，但它们确实有助于强调考虑的重要性所有影响SIS性能的因素。

这些因素包括:

定期使用手动或自动部分行程阀门测试可以延长全防测试之间的时间，同时保持所需的PFDAVG。

部件的故障率和失效模式;

仪表安装;
冗余;
投票;
诊断覆盖率;和
测试频率。

确保充分处理这些因素，同时避免过度设计解决方案的唯一方法是建立良好的设计标准。首先进行风险分析并确定IEC标准中定义的所需安全完整性级别(SIL)。(见“需求操作方式”表。)

一旦确定了所需的SIL，该标准将提供目标风险降低系数(RRF)和目标平均PFD，从而量化SIS的设计标准。

当然，简单地设计和安装SIS以满足定义的完整性数字是不够的，必须维护SIS，使其性能不会随着时间的推移而降低。

减少PFD

基本上有三种方法可以降低SIS按需失效的概率:

安装双、三、四重装置;
增加设备诊断覆盖率;和
增加设备测试的频率。

如今，随着提供嵌入式诊断与资产管理相结合的大量设备的出现，扩展诊断范围变得更加容易且更具成本效益。但是，在将此类解决方案作为SIS解决方案的一部分引入时，需要采取特殊的预防措施。

例如，Exida.com的安全系统专家研究了HART通信协议的多路复用器(如倍加福提供的HART通信协议)与艾默生过程管理的资产管理解决方案(AMS)软件的结合，以提高SIS设备诊断覆盖率。

Exida报告说，经过测试的设计可以有效地扩展设备诊断覆盖范围和满足IEC 61511的许多要求，只要:

医疗辅助队软件已设置适当的密码及特权保安措施;
建立程序并形成文件，以确保HART手持式通信器的正确使用;和
在SIS设计中考虑了多路复用器故障率。
减少PFD的第三种选择是增加设备的测试频率。

图表“测试频率影响PFD”_AVG，说明了更频繁的全防测试如何降低PFD_AVG．

然而，读者应该注意，全面的测试通常需要关闭过程或安装旁路管线。随着越来越多的工艺设施在计划关闭之间运行的时间越来越长，通常没有机会进行全防测试。

完全防护测试的另一种选择是部分冲程安全阀，这不足以导致过程中断，但足以验证阀门是否按要求移动。

图表“部分行程阀测试的好处”说明了部分行程阀测试如何在保持所需PFD的同时延长全面测试之间的时间_AVG．

部分行程阀试验

部分行程阀检测的三种基本方法是:

机械限制;
脉冲电磁阀;和
位置控制。

机械限位是一种廉价的解决方案，它需要安装机械装置，如接箍、阀门千斤顶或干扰器，以限制阀门的行程。在使用这些设备时，安全阀不可用。确保阀门已经恢复正常工作是程序驱动的。

将电信号脉冲到安全阀的电磁阀上的方法实现简单，对开/关安全隔断阀非常有效。它需要限位开关(或位置变送器);由逻辑求解器提供的可调、定时、脉冲输出;以及迫使电磁阀返回其安全位置的逻辑，以避免虚假的过程关闭。

使用控制阀和基于微处理器的“智能”定位器(控制器)作为SIS解决方案的一部分时，位置控制是最有效的。除了能够将阀门移动到预定设置外，智能定位器还提供丰富的诊断范围，例如阀门行程和执行器分离力。由于安全阀通常没有安装定位器，这种方法的主要缺点是需要额外的硬件和相关的安装成本。

然而，炼油巨头英国石油公司报告说，在安装美卓自动化的Neles VG800阀门控制器和ValvGuard测试和监控软件后，工厂的安全性大大提高，运营成本降低。英国石油公司也报告了非常短的投资回收期。

沙特阿美公司报告说，在安装艾默生的FieldVue数字阀门控制器后，其安全阀也取得了类似的成功。

增加安全阀的诊断覆盖率和/或检测频率的一个鲜为人知的好处是可能消除一些安全阀。在一些高风险的应用中，将两个安全阀串联安装一直是一种长期的做法。原因是，这两个阀门不太可能在需要时关闭。然而，通过谨慎使用冗余设备，增加诊断覆盖范围和增加测试频率，一些公司已经取消了两个安全阀中的一个，据报道，没有牺牲安全覆盖范围。

需求操作方式

安全完整性等级	目标风险降低因素失效的需求	&安全可用性的目标平均概率
注:SIL 4级应用通常不用于过程工业，标准警告说，单个可编程安全系统不应用于满足SIL 4要求。来源:控制工程，数据来自IEC 61511-1表3
1 (90 - 99%)	10到100	0.1 ~ 0.01
2 (99 - 99.9%)	100到1000	0.01 ~ 0.001
3 (99.9 - -99.99%)	1000到10000	0.001 ~ 0.0001
4 (> 99.99%)	> 10000	&0.0001