今日頭條
官方微信
官方抖音
案例頻道摘要:過(guò)去的這些年,社會(huì)經(jīng)濟(jì)的不斷發(fā)展使得過(guò)程工業(yè)的規(guī)模越來(lái)越大,帶來(lái)的整體系統(tǒng)所面臨的風(fēng)險(xiǎn)也隨之增加,在以石油/天然氣開(kāi)采運(yùn)輸、石化、化工、發(fā)電等為代表的過(guò)程工業(yè)領(lǐng)域,緊急停車系統(tǒng)(ESD)、燃燒器管理系統(tǒng)(BMS)、火災(zāi)和有毒有害可燃?xì)怏w檢測(cè)保護(hù)系統(tǒng)(FGS)、高完整性壓力保護(hù)系統(tǒng)(HIPPS)等以安全保護(hù)和抑制減輕災(zāi)害為目的的安全儀表系統(tǒng)(SIS),已廣泛應(yīng)用于不同的工藝或設(shè)備防護(hù)場(chǎng)合,保護(hù)人員、生產(chǎn)設(shè)備及環(huán)境,但是對(duì)于在役安全儀表系統(tǒng)的維護(hù)和安全儀表功能的管理還存在諸多挑戰(zhàn),本文結(jié)合功能安全標(biāo)準(zhǔn),給出了安全儀表功能的管理內(nèi)容。
關(guān)鍵詞:功能安全;安全完整性等級(jí);安全儀表功能;周期性驗(yàn)證測(cè)試
1 什么是安全儀表功能
1.1 功能安全標(biāo)準(zhǔn)
在過(guò)程工業(yè)功能安全領(lǐng)域,具有里程碑意義的標(biāo)準(zhǔn)是德國(guó)的DIN V 19250《控制技術(shù).測(cè)量和控制設(shè)備應(yīng)考慮的基本安全原則》/ DIN V VDE0801《安全有關(guān)系統(tǒng)中的計(jì)算機(jī)原理》、美國(guó)的ANSI/ISA-S84.01-1996《安全儀表系統(tǒng)在過(guò)程工業(yè)中的應(yīng)用》,以及現(xiàn)今大家熟知的IEC 61508/IEC61511,國(guó)際電工委員會(huì)分別與2010年和2016年對(duì)第一版的IEC 61508/IEC61511進(jìn)行了更新,提出了新的要求。
在我國(guó),等同采用國(guó)際標(biāo)準(zhǔn)IEC 61508的中國(guó)國(guó)家標(biāo)準(zhǔn)GB/T 20438于2006年首次發(fā)布,2017年更新了第二版;等同采用國(guó)際標(biāo)準(zhǔn)IEC 61511的中國(guó)國(guó)家標(biāo)準(zhǔn)GB/T 21109于2007首次發(fā)布。
功能安全標(biāo)準(zhǔn)的發(fā)布,解決了困擾業(yè)內(nèi)多年的對(duì)復(fù)雜安全系統(tǒng)功能安全保障的理論與實(shí)踐問(wèn)題。
1.2 安全完整性等級(jí)
安全完整性等級(jí)(Safety Integrity Level,SIL)是一種離散的等級(jí),描述了一個(gè)安全相關(guān)系統(tǒng)在確切的條件下和確切的時(shí)間內(nèi)正確執(zhí)行安全功能的概率。SIL等級(jí)越高代表安全功能無(wú)法被正確執(zhí)行的可能性越小,如圖1所示。
圖1 安全完整性等級(jí)
1.3 安全儀表功能
安全儀表系統(tǒng)(Safety Instrumented System,SIS)作為獨(dú)立保護(hù)層(Independent Protection Layer,IPL)中最關(guān)鍵的部分,是指用于實(shí)現(xiàn)一個(gè)或幾個(gè)安全儀表功能的系統(tǒng),由傳感器、邏輯控制器、最終元件及相關(guān)軟件組成。
安全儀表功能(Safety Instrumented Function,SIF)是指由安全儀表系統(tǒng)執(zhí)行的安全功能,安全儀表功能具有某個(gè)特定的SIL,同其它保護(hù)層一起參與風(fēng)險(xiǎn)的降低。
2 安全儀表功能管理的目的
2.1 安全儀表功能管理的目的
是為了在操作和維護(hù)階段,保證每個(gè)安全儀表功能所需的SIL能夠有效維護(hù), 使得安全儀表系統(tǒng)通過(guò)正確的操作和有效維護(hù)以維持其所需的安全完整性。
2.2 功能安全的閉環(huán)管理
安全儀表功能作為參與風(fēng)險(xiǎn)降低的關(guān)鍵部分,在操作運(yùn)維階段,非常有必要證明其是否按照設(shè)計(jì)和預(yù)期運(yùn)行。
如圖2所示,設(shè)計(jì)階段通過(guò)預(yù)先危險(xiǎn)性分析,有效的識(shí)別了危險(xiǎn)事件,清楚了危險(xiǎn)事件的原因,在運(yùn)維階段,需要對(duì)事件原因和要求率進(jìn)行跟蹤,確保設(shè)計(jì)階段考慮的正確性,對(duì)于安全儀表功能和其它保護(hù)層的設(shè)計(jì)同樣需要運(yùn)維階段的跟蹤來(lái)確保每個(gè)保護(hù)層能夠按照預(yù)期實(shí)現(xiàn)其風(fēng)險(xiǎn)降低能力。
通過(guò)操作運(yùn)維階段的驗(yàn)證,如果發(fā)現(xiàn)設(shè)計(jì)階段任何遺漏的危險(xiǎn)事件場(chǎng)景和原因,必須按照功能安全全生命周期的管理完成進(jìn)一步的設(shè)計(jì)和實(shí)現(xiàn)。
圖2 安全儀表功能的閉環(huán)
2.3 安全儀表功能管理目前的不足
在工程項(xiàng)目的設(shè)計(jì)階段,工程公司花費(fèi)了大量的時(shí)間和人力對(duì)工藝系統(tǒng)進(jìn)行了全面的風(fēng)險(xiǎn)識(shí)別和分析,在此基礎(chǔ)上通過(guò)保護(hù)層分析法,設(shè)置獨(dú)立保護(hù)層,將固有風(fēng)險(xiǎn)降低至可容忍風(fēng)險(xiǎn)標(biāo)準(zhǔn)以下,在此過(guò)程中,有很多關(guān)于安全的整體要求和前提假設(shè)會(huì)被寫入安全要求規(guī)格書(Safety Requirements Specification, SRS),比如,每個(gè)SIF回路要求率的預(yù)期、周期性驗(yàn)證測(cè)試(Proof Testing)時(shí)間間隔的要求,以及對(duì)SIF旁路和平均故障修復(fù)時(shí)間(Mean Time to Repair,MTTR)的要求,這些內(nèi)容都會(huì)用于指導(dǎo)運(yùn)維階段安全儀表功能的管理。
當(dāng)下,項(xiàng)目交付節(jié)點(diǎn)已然成為所有信息流轉(zhuǎn)的瓶頸,使得安全儀表功能的設(shè)計(jì)與運(yùn)維有些脫節(jié),設(shè)計(jì)階段所做的風(fēng)險(xiǎn)識(shí)別結(jié)果并沒(méi)有完整的傳遞給運(yùn)維人員,使其清楚每個(gè)危險(xiǎn)場(chǎng)景的所有原因和后果,安全要求規(guī)格書中提到的整體要求也沒(méi)有有效地指導(dǎo)運(yùn)維階段安全儀表功能的管理。
3 安全儀表功能管理內(nèi)容
隨著智能制造的不斷升級(jí),整體系統(tǒng)的安全也面臨更高的要求,施耐德電氣可以提供涵蓋功能安全、信息安全和作業(yè)安全等內(nèi)容的“智能安全”解決方案,其中功能安全作為核心組成部分,施耐德電氣提供包括咨詢、硬件、軟件、工程、服務(wù)等功能安全的全生命周期服務(wù)。
安全儀表功能的管理主要是為了保證實(shí)際運(yùn)行系統(tǒng)的失效率滿足設(shè)計(jì)對(duì)失效率的期望,從這個(gè)維度考慮,安全儀表功能的管理內(nèi)容至少包含:SIF要求率、SIF及子部件的旁路、子部件實(shí)際失效率、周期性驗(yàn)證測(cè)試和平均故障修復(fù)時(shí)間等。
施耐德電氣提供的安全儀表功能管理工具獲得了業(yè)界的高度認(rèn)可,如埃克森美孚、Reliance、雪佛龍、利安德巴塞爾等很多國(guó)際能源巨頭都選擇了施耐德電氣提供的“SIF Manager”平臺(tái)作為安全儀表功能的管理工具來(lái)幫助他們自信的管理過(guò)程風(fēng)險(xiǎn)。圖3是某項(xiàng)目中SIF管理的導(dǎo)航界面,從中可以看到SIF管理的基本內(nèi)容。
圖3 安全儀表功能管理概覽
3.1安全儀表功能要求率分析
安全儀表系統(tǒng)完整性SIL的設(shè)計(jì)具有要求率的前提假設(shè),在IEC61508/ IEC61511中,定義了低要求模式和高要求或連續(xù)操作模式下安全完整性等級(jí)所對(duì)應(yīng)的故障概率。以IEC61511為例,低要求模式:僅在需求時(shí)執(zhí)行SIF的操作模式,以便將過(guò)程轉(zhuǎn)換到指定的安全狀態(tài),并且每年的要求頻率不超過(guò)1次。高要求模式:SIF只在需求時(shí)執(zhí)行,以便將過(guò)程轉(zhuǎn)換到指定的安全狀態(tài),以及要求頻率大于每年一次的操作模式。連續(xù)模式:SIF將操作模式作為正常操作的一部分保持在安全狀態(tài)。
在系統(tǒng)運(yùn)維階段,需要對(duì)每個(gè)SIF的實(shí)際要求率做統(tǒng)計(jì)和分析,確保實(shí)際要求率不超過(guò)設(shè)計(jì)階段對(duì)要求率的假設(shè),形成閉環(huán)驗(yàn)證,證明SIF安全完整性等級(jí)設(shè)計(jì)的正確性。
統(tǒng)計(jì)和分析SIF要求的類型包含:成功執(zhí)行的要求、執(zhí)行失敗的要求、誤執(zhí)行的要求、手動(dòng)測(cè)試成功的要求,手動(dòng)測(cè)試失敗的要求。
3.2 旁路管理
旁路的管理包含單個(gè)安全子部件的旁路和整個(gè)安全儀表功能的旁路。對(duì)于冗余設(shè)計(jì)的單元,單個(gè)安全子部件的旁路并不一定意味著安全功能的喪失,但對(duì)整個(gè)安全儀表功能的旁路則意味安全功能的喪失,這一點(diǎn)在實(shí)際操作時(shí)要特別注意。
短時(shí)間旁路子部件或安全儀表功能是維修和測(cè)試的常用手段,旁路時(shí)間的長(zhǎng)短,直接影響到SIF的安全完整性等級(jí)。
所有的旁路動(dòng)作都需要完整記錄和顯示,包括:旁路的開(kāi)始時(shí)間、旁路的恢復(fù)時(shí)間、期望旁路恢復(fù)的時(shí)間和超過(guò)期望恢復(fù)時(shí)間而實(shí)際沒(méi)有恢復(fù)的SIF等。
3.3 失效率統(tǒng)計(jì)
SIF整體安全完整性等級(jí)的實(shí)現(xiàn)取決于每個(gè)子部件的安全完整性表現(xiàn),運(yùn)維階段需要統(tǒng)計(jì)現(xiàn)場(chǎng)運(yùn)行的每個(gè)子部件的實(shí)際失效率,來(lái)驗(yàn)證現(xiàn)場(chǎng)安裝的安全儀表系統(tǒng)是否有按照設(shè)計(jì)要求和預(yù)期工作,達(dá)到相應(yīng)的風(fēng)險(xiǎn)降低能力。
在我國(guó),還沒(méi)有可用的基本反應(yīng)現(xiàn)場(chǎng)實(shí)際情況的安全儀表系統(tǒng)子部件的失效率數(shù)據(jù)庫(kù),目前SIL的驗(yàn)證基本上是采用國(guó)外的失效率數(shù)據(jù)庫(kù)和一些實(shí)驗(yàn)室數(shù)據(jù),這些數(shù)據(jù)與國(guó)內(nèi)現(xiàn)場(chǎng)的失效率情況大多存在偏差,以此評(píng)估出來(lái)的安全完整性不能準(zhǔn)確的反應(yīng)實(shí)際情況,所以每個(gè)現(xiàn)場(chǎng)需要積累自己的失效率數(shù)據(jù)庫(kù),如果國(guó)內(nèi)的大多數(shù)現(xiàn)場(chǎng)能夠分享其失效率數(shù)據(jù),對(duì)國(guó)內(nèi)失效率數(shù)據(jù)庫(kù)的建設(shè)是非常有幫助的。
3.4 周期性驗(yàn)證測(cè)試(Proof Testing)
安全產(chǎn)品在做功能安全認(rèn)證的過(guò)程中,其失效率由四部分組成,分別為:λSD(可診斷的安全失效率)、λSU(不可診斷的安全失效率)、λDD(可診斷的危險(xiǎn)失效率)和λDU(不可診斷的危險(xiǎn)失效率),其中,λDU是無(wú)法通過(guò)在線增加診斷來(lái)發(fā)現(xiàn)和避免的,但其失效又會(huì)帶來(lái)安全功能的喪失,相關(guān)標(biāo)準(zhǔn)給出了通過(guò)周期性驗(yàn)證測(cè)試的辦法來(lái)檢測(cè)不可診斷的危險(xiǎn)失效。
周期性驗(yàn)證測(cè)試是人為的手動(dòng)測(cè)試,需要從系統(tǒng)設(shè)計(jì)階段開(kāi)始就要考慮其可操作性,保證在不影響系統(tǒng)正常運(yùn)轉(zhuǎn)的情況下執(zhí)行測(cè)試。
周期性驗(yàn)證測(cè)試的管理需要統(tǒng)計(jì)所有子部件的測(cè)試時(shí)間間隔(TI)以及具體測(cè)試方法,對(duì)即將到來(lái)的測(cè)試做到提醒,對(duì)已經(jīng)超期的測(cè)試給出報(bào)警提示。圖4給出了周期性驗(yàn)證測(cè)試的管理界面。
圖4 周期性驗(yàn)證測(cè)試管理
3.5 平均故障恢復(fù)時(shí)間
平均故障修復(fù)時(shí)間是在做安全完整性設(shè)計(jì)的時(shí)候必須要考慮的因素,直接影響到安全系統(tǒng)的可靠性和可用性,比如通常假設(shè)8小時(shí)或者24小時(shí)可以修復(fù)故障,平均故障修復(fù)時(shí)間包含故障分析時(shí)間和故障修復(fù)時(shí)間,對(duì)于故障修復(fù),備件管理顯得尤為重要。
系統(tǒng)運(yùn)維階段,要確保實(shí)際的平均故障恢復(fù)時(shí)間不超過(guò)設(shè)計(jì)階段的假設(shè),一是要提高維護(hù)工程師的故障分析和處理水平,可以搭建樣機(jī)反復(fù)演練,二是要有足夠的備件,保證現(xiàn)場(chǎng)故障的部件能給被及時(shí)更換,從而保證整體安全系統(tǒng)的安全完整性等級(jí)。
4 安全儀表功能管理的輸入文件
安全儀表功能管理是根據(jù)原始的功能安全設(shè)計(jì)標(biāo)準(zhǔn)實(shí)時(shí)監(jiān)控和驗(yàn)證實(shí)際安全儀表功能的健康狀態(tài),利用這些信息提供動(dòng)態(tài)的、可視化的界面用于指導(dǎo)安全儀表功能的維護(hù)。
要想做好安全儀表功能的管理,理解原始的功能安全設(shè)計(jì)文件和要求非常重要,至少包含以下文件:
包含危險(xiǎn)事件的HAZOP報(bào)告
保護(hù)層(LOPA)設(shè)計(jì)文件
安全要求規(guī)格書(SRS)
完整的SIF數(shù)據(jù)表
SIS系統(tǒng)各部件的安全手冊(cè)
5 結(jié)束語(yǔ)
過(guò)程安全是一段不以實(shí)現(xiàn)安全設(shè)計(jì)為終點(diǎn)的旅程,在安全系統(tǒng)操作和運(yùn)維階段,需要反復(fù)驗(yàn)證,不斷地證明將風(fēng)險(xiǎn)降低到可接受水平的安全儀表系統(tǒng)能夠按照設(shè)計(jì)和預(yù)期工作,并根據(jù)實(shí)際運(yùn)行數(shù)據(jù)的反饋與設(shè)計(jì)數(shù)據(jù)形成閉環(huán),驗(yàn)證原始設(shè)計(jì)的正確性,最終,實(shí)現(xiàn)功能安全全生命周期的管理,確保安全儀表系統(tǒng)達(dá)到相應(yīng)的風(fēng)險(xiǎn)降低能力。
參考文獻(xiàn)
[1] IEC 61508: 2010, Functional safety of electrical/electronic/programmable electronic safety related systems
[2] IEC 61511: 2016, Functional safety – Safety instrumented systems for the process industry
sector
[3] 張建國(guó). 安全儀表系統(tǒng)在過(guò)程工業(yè)中的應(yīng)用. 中國(guó)電力出版社,2010.6
[4] How to easily comply with the requirements of IEC61511 edition 2 clause 16,Sven Grone & Steve J. Elliott
北京市公安局海淀分局備案號(hào):11010802023656號(hào)