功能安全与安全完整性等级综述
安全仪表系统安全完整性等级的评估技术
安全仪表系统安全完整性等级的评估技术李玉明姜巍巍李荣强庄腾宇中国石油化工股份有限公司青岛安全工程研究院青岛市【摘要】介绍了安全仪表系统在现代过程工业中的作用和地位以及功能安全的特点和标准体系重点阐述了安全完整性等级的划分和评估过程以及等级的确定和计算方法为安全仪表系统等级评估提供依据。
【关键词】安全仪表系统功能安全安全完整性等级独立保护层前言安全仪表系统也称为安全联锁系统、紧急停车系统、安全相关系统、安全停车系统等由国际电工委员会标准及 定义的专门用于安全的控制系统 。
】是用于对设备可能出现的故障进行保护动作的控制系统它必须能够迅速、正确的对故障做出响应最终能够完全避免事故的发生或者至少能减少事故给设备、环境和人员造成的危害。
随着经济的飞速发展石化装置越来越大型化工艺过程越来越复杂对环境保护和人身安全的要求也越来越高等原因安全性变的尤为重要。
因此为了防止事故的发生减少由此带来的损失保证企业的安全稳定运转一套能够检测装置的异常并对可能发生的潜在危害作出相应动作的系统是必不可少的。
安全仪表系统正是基于该目的被提出来的。
年发生的印度博帕尔农药厂毒气泄漏事件年前苏联切尔诺贝利核电站泄漏事件年北海阿尔法油田爆炸事件发生的吉化双苯厂爆炸事件等等至今还让人们心有余悸。
以上重大事故的发生都与安全仪表系统在危险工况下未能发挥作用有直接或间接的关系。
因此如何确保安全仪表系统能够正确行使其功能安全保障石化装置长周期牧稿日期作者简介李玉明高级工程师功能安全工程师叫 年毕业于南京化工学院自动化专业从事功能安全评估方面的工作。
安全稳定运行已经成为目前迫切需要解决的问题。
的作用及在保护层中的位置安全仪表系统是用仪表实现安全功能的系统包括传感器、逻辑控制器和最终执行元件及相应软件等川。
图 所示为典型系统的构成。
图典型的构成传感器检测过程中的异常并将之送到逻辑运算器吲逻辑运算器按照设定的逻辑产生控制信号最终执行元件得到从逻辑运算器来的控制信号并产生相应的动作从而达到消除过程隐患的目的。
PESSRAE简介
一、功能安全与安全功能A:安全措施依赖被动系统~如电机的温升问题:对导电部分采用耐高温材料、提高材料的绝缘等级、电机加风扇等B:通过主动系统达到安全~如通过热敏电阻测温度,过热断开接触器二、标准体系IEC 61508:2000(功能安全标准)(已转化为GB/T 20438:2006)—》IEC62061(机械相关)—》》ISO22201-2009(电梯相关~PESSRAL) & ISO22201-2:2011(自动扶梯及自动人行道相~PESSARE) & ISO22201-3:2011(生命周期相关)。
三、几个定义PESSARE—自动扶梯/自动人行道安全相关应用中的可编程电子系统,自动扶梯新标准GB16899:2011已加入了功能安全内容,参考于GB/T 20438-2006 (电气/电子/可编程电子安全相关系统的功能安全)。
(超速与防逆转的保护、梯级缺损检测、扶手带失速等)PESSRAL—电梯安全相关应用中的可编程电子系统,标准及检规尚未增加功能安全内容。
(如超速保护、减行程减速监控、防止轿厢意外移动等)✓安全完整性等级Safety Integrity Level (SIL)规定了分配到可编程电子安全相关系统中的安全功能的安全完整性要求,最高安全完整性等级为4,最低为1。
—SIL表明了各种因素导致故障(包括随机硬件故障和系统性故障)的故障率,这些故障将导致不安全状态的出现,例如硬件故障,软件故障,电干扰所致故障—SIL并非是系统、子系统、要素或元件的特性。
SIL(N=1,2,3,4)的正确理解是系统支持安全功能的潜在能力具有达到N的安全完整性水平。
✓电梯规范中的安全完整性等级它是各种因素导致电梯故障率(包括随机硬件故障和系统性故障)的可能性,这些故障将导致不安全状态的出现,例如硬件故障,软件故障,电干扰所致故障等。
安全完整性等级是电梯安全保护系统(使用PES)的核心指标。
GB16899-2011中,规定最高安全完整性等级为SIL2EN81-1:1998-A1中,规定最高安全完整性等级为SIL3四、检验相关(现阶段是自动扶梯)✓GB16899-2011 35页,表6✓GB16899-2011 5.12.1.2.6(PESSARE)✓电气安全装置的类型(在安全开关(即原安全触点)、安全电路基础上增加P ESSARE)✓检规1.1制造资料,可编程电子安全相关系统的型式试验合格证✓故障锁定相关项目。
安全仪表系统的应用问题及解决方案
安全仪表系统的应用问题及解决方案摘要:系统地介绍了安全仪表系统、安全仪表功能、安全完整性等级的基本概念,以及安全仪表系统在实际应用中的一些具体方法,指出了国内在安全仪表系统应用方面存在的问题及解决方案。
对分析判断和解决工业装置的生产,设计的安全仪表系统难题具有指导意义。
关键词:安全仪表系统安全仪表功能安全完整性等级安全仪表系统(Safety Instrumented System,SIS)是石油化工装置中独立于基本过程控制学院(Basic Process Control System,BPCS)的安全保护系统,对石油化工装置的安全保护起着十分重要的作用。
目前我国在安全仪表的设计和采用中基本上是根据以往的经验,在认为较危险的关键部位设安全仪表系统或紧急停车系统,基本上没有对联锁回路进行安全分析及评价,采用仪表系统后也基本上没有对整个安全仪表系统进行验证。
由于 SIS 回路组件配置是否满足要求不能明确界定,因此会出现 SIS 系统设计不足或是过度设计的不合理情况,从而造成系统设置存在安全风险或投资的浪费。
即使一些大型国有化企业的使用和管理也没有达到标准化,设计单位关于安全仪表系统的设计也存在一些问题。
本文归纳总结了安全仪表系统在工程上应用遇到的问题及解决办法,希望能为安全仪表系统在工程上应用提供一些有益帮助。
1 安全仪表功能的介绍1. 1 安全仪表功能的概念安全仪表功能(Safety Instrumented Functions,SIF)是为了防止、减少危险事件发生或保持过程安全状态,用测量仪表、逻辑控制器、最终元件及相关软件等实现的安全保护功能或安全控制功能。
安全仪表系统是实现一个或多个安全仪表功能的仪表系统。
SIF 功能是众多风险降低手段之一,是通过仪表设施来实现的一种安全保护功能。
既然是一种安全保护功能,则应保证当需要这种安全功能时,必须有足够的可靠性能保证这种功能能够启动。
衡量这种“可靠性”则用安全完整性等级(Safety Integrity Level,SIL)来表示。
安全完整性等级认证
SIL(Safety Integrity Level)-安全完整性等级。
SIL认证就是基于IEC 61508, IEC 61511, IEC 61513, IEC 13849-1, IEC 62061, IEC 61800-5-2等标准,对安全设备的安全完整性等级(SIL)或者性能等级(PL)进行评估和确认的一种第三方评估、验证和认证。
功能安全认证主要涉及针对安全设备开发流程的文档管理(FSM)评估,硬件可靠性计算和评估、软件评估、环境试验、EMC电磁兼容性测试等内容。
欧洲电工标准化(CENELEC的缩写)委员会,欧洲三大标准化组织之一。
CENELEC 负责电子工程领域的欧洲标准化。
CENELEC连同电信标准化(ETSI)和CEN(所有其他技术领域的标准化)形成了欧洲标准化体系。
SIL认证一共分为4个等级,SIL1、SIL2、SIL3、SIL4,包括对产品和对系统两个层次。
其中,以SIL4的要求最高。
2主要标准IEC 61508:电气/电子/可编程电子安全相关系统的功能安全性IEC61508标准规定了常规系统运行和故障预测能力两方面的基本安全要求。
这些要求涵盖了一般安全管理系统、具体产品设计和符合安全要求的过程设计,其目标是既避免系统性设计故障,又避免随机性硬件失效。
IEC61508标准的主要目标为:· 对所有的包括软、硬件在内的安全相关系统的元器件,在生命周期范围提供安全监督的系统方法;· 提供确定安全相关系统安全功能要求的方法;· 建立基础标准,使其可直接应用于所有工业领域。
同时,亦可指导其他领域的标准,使这些标准的起草具有一致性(如基本概念、技术术语、对规定安全功能的要求等);· 鼓励运营商和维护部门使用以计算机为基础的技术;· 建立概念统一、协调一致的标准架构和体系。
IEC61511:过程工业领域安全仪表系统的功能安全要求IEC61511是专门针对流程工业领域安全仪表系统的功能安全标准,它是国际电工委员会继功能安全基础标准IEC61508之后推出的专业领域标准,IEC61511在国内的协调标准为GB/T 21109。
安全完整性等级(SIL)杂谈(一)
安全完整性等级(SIL)杂谈(一)作者:段慧文来源:《演艺科技》2018年第07期【摘要】介绍安全完整性等级的相关标准,重点在于舞台机械控制系统安全相关的内容,同时阐述了舞台机械专业的国内外差距。
【关键词】安全完整性等级;舞台机械;控制系统;标准;差距文章编号: 10.3969/j.issn.1674-8239.2018.07.0081 概述1.1 功能安全、安全完整性和安全相关系统电子/电气/可编程(E/E/EP)电子器件、软件系统在工业控制领域的大量使用,大大提升了自动化程度和生产效率。
但由于各种原因(如:研发人员的知识结构、开发制造中风险管理意识的不足、自身安全性能存在缺陷产品的流入等),在相关行业的安全控制系统中,由可靠性造成的人身安全、财产损失和环境危害等问题经常发生,给社会带来了无法挽回的损失。
世界各国在过程安全和工业装备安全控制中,对广泛涉及公众及职业安全的产品安全性设计非常重视,并且将电子、电气及可编程电子安全控制系统相关的技术,发展为一套成熟的安全设计技术,即功能安全技术。
笔者对几个与安全设计技术有关的名词作简单说明:(1)功能安全功能安全是与电子单元控制EUC(Electronic Unit Control)或与EUC控制系统有关的整体安全的组成部分,内容包括管理和技术两方面。
在管理上和技术上保证 E/E/PE安全系统、其他技术安全系统和外界风险降低设施来执行安全功能。
无论零部件或者整个系统发生的失效,也不管是随机失效、系统失效或者是共因失效(同一原因引起的不同故障失效),都不会导致安全系统故障,进而不会对人员或者环境产生危害,那么该系统在功能上就是安全的。
无论是在正常工作状态或者是故障工作状态,控制系统都必须保证其安全功能。
欧美各国已经颁布了涉及到各个领域的、成套的与功能安全相关的产品规范和设计标准,如:轨道信号控制(EN 5012X)、核电控制(EN 61513)、工业装备及机器控制(EN 62601, EN ISO 13849-1/2)、过程工业控制(EN 61511)等;IEC 61508系列标准已经成为各个国家、行业广泛认可的基本功能安全标准;中国也逐渐形成了相应的功能安全国家标准,行业和企业将逐步按照国家强制标准的要求去升级自身产品的安全性。
浅谈安全仪表系统安全完整性等级(SIL)评估在石化装置的应用
一、概述随着我国大型石油化工行业的发展,工艺路线的多元化,越来越多的装置中含有高温、高压、有毒、有害、易燃易爆介质,SIS系统做为保证装置安全生产的关键环节,其SIL等级的确定是SIS系统设计的基础,应由具备SIL评估资质的专业公司进行SIL等级确认,并依据等级在SIS系统配置完成后对其进行验证。
在大型石油化工装置进行SIL评估,合理设置SIS系统,可以有效保障石化装置安全。
二、安全仪表系统安全完整性等级的确定1.安全完整性等级(SIL)安全完整性等级(S I L)是以IEC61508及IEC61511中所涉及的反应失效概率(PFD)为基准的。
标准中将反应失效概率划分为四个范围,并对应相应的SIL等级。
表2-1给出了与每一个SIL 等级所对应的反应失效概率(PFD)的范围及相应的风险降低因子(RRF)。
表2-1 安全完整性等级(SIL)及对应的PFD和RRFSILPFDRRF4≥ 10-5 a <10-4>10 000 a ≤100 0003≥ 10-4 a <10-3>1000 a ≤10 0002≥ 10-3 a <10-2>100 a ≤10001≥ 10-2 a <10-1>10 a ≤100SIL等级是一个重要的安全可靠性的参数,用以表征安全相关系统针对一个特定的功能需求所能达到的风险降低的程度。
根据IEC61508/61511的规定,安全完整性等级低于SIL1的保护功能可以通过基本工艺控制系统(BPCS)来实现,对于安全完整性等级大于或等于SIL1的保护功能来说,必须通过安全仪表系统来实现。
2. SIL定级本文采用的S I L等级评估方法为IEC61511标准中的保护层分析法(LOPA 法),主要包含以下步骤:①系统划分及确定受保护设备(EUC);②识别每个EUC包含的安全仪表功能(SIF);③分析需求SIF动作的触发原因及原因的失效频率;④评价可能的安全、环境和经济后果及其严重等级(不考虑任何保护措施);⑤判断初始风险是否满足风险可接受准则(如果风险可接受,则该场景没有SIL等级要求,该场景分析结束);如果不满足风险可接受准则,则进入下一步分析;⑥识别该场景的独立保护层及其PFD值;⑦判断残余风险是否满足风险可接受准则(如果风险可接受,则该场景没有SIL等级要求,该场景分析结束);如果不满足风险可接受准则,则进入下一步分析;⑧根据残余风险和可接受风险的差距,分配SIF的SIL等级;⑨重复以上步骤,直至所有系统和EUC中的SIF分析完毕。
什么是功能安全?汽车功能安全的设计方案
什么是功能安全?汽车功能安全的设计⽅案如今,汽车⾏业变⾰迅猛,汽车的设计、使⽤和销售模式都在快速演变。
驾驶员安全技术、交通拥堵、环境问题及汽车作为代步⼯具的基本前提都影响着新⼀代汽车的研发。
为解决这些难题,很多汽车⼚商都试图强化计算能⼒以优化车辆控制。
欧盟新车安全评鉴协会(EuroNCAP)颁布的新标准规定,车道变换⽀持等安全辅助功能是获得五星安全评级的必要条件。
车载处理器的数量在所有细分市场都稳步上升,⽬前平均为40-50个,⽽⼀些⾼端车型则已经搭载近120个处理器。
据Semicast Research预测,到2022年,仅发动机引擎罩下的电⼦控制单元(ECU)组件就将达到近860亿美元的市场规模,相较2015年的530亿年复合增长率达到7%。
半导体⼚商将有机会在汽车电⼦领域挖掘⼀⼤桶⾦。
⾼科技芯⽚可以改善动⼒系统排放、增强安全性能、并利⽤蜂窝⽹络实现车辆间及道路基础设施之间的互联。
但是,随着系统的复杂化,保证驾驶员安全就变得更为关键,必须打造更加⾃动化,系统化,且能患于未然的解决⽅案——即我们通常所称的“功能安全”。
什么是功能安全?简⽽⾔之,功能安全的最终⽬的是确保产品安全运⾏,即便出现问题也可以继续保驾护航。
基于这⼀理念,ARM将保证安全视为头等⼤事,⽽⾮单纯依照市场导向随波逐流,不断加强研发,推出更多功能安全相关产品。
各⾏各业都会制定标准,指导未来发展并限定最低准⼊门槛。
在汽车电⼦⾏业,这⼀标准就是ISO 26262,它将功能安全定义为:“避免因电⽓/电⼦系统故障⽽导致的不合理风险”。
不同领域的标准并不完全⼀致,例如针对电⽓和电⼦系统的IEC 61508以及飞⾏器电⼦硬件的DO-254都有各⾃的定义⽅式。
更需值得注意的是,它们都拥有专⽤术语,并提供了包括⽬标参数在内的⼯程研发指导。
因此,开始产品研发前确定⽬标市场并制定合适的流程⾄关重要,因为中途修改研发流程必然会导致效率低下。
图1展⽰了硅⽚IP的不同应⽤标准。
安全完整性等级评估(SIL定级)分析及其应用
风险图表法通过 4 个参数之间的关系,反映出当 安全功能故障或未设置安全功能时可能出现的危险 状态。这 4 个参数是:后果参数 C、暴露参数 F、避免 参数 P 和需求参数 W 。
后果参数 C:表征危险事件可能导致的事故的后 果 ,可 用 平 均 伤 亡 人 数 衡 量 ,此 人 数 可 在 考 虑 危 险 事 件的致命性的情况下,通过计算区域被占用时暴露区 中的人数来确定。
第 46 卷 增刊 2018 年 7 月
煤化工
Coal Chemical Industry
Supplement Jul. 2018
安全完整性等级评估(SIL 定级)分析及其应用
王世芳
(赛鼎工程有限公司,山西 太原 030032)
摘 要 介绍了安全完整性等级(SIL)的定级方法、定级原则及其在工程中的应用,重点介绍了采用校正风险 图法和保护层分析法进行 SIL 定级的程序和优缺点,并提出了 SIL 定级过程中,应遵循多专业性、合理尽可能低、 整体性、独立性、针对性、可靠性优先等原则,以确保 SIL 定级的合理性。以某甲醇合成装置为例,采用保护层分析 法对主要的安全仪表功能进行了 SIL 定级。
关键词 安全完整性等级(SIL),SIL 定级,风险降低,风险图法,保护层分析
文章编号:1005-9598(2018)-S1-0081-04 中图分类号:TQ086 文献标识码:A
随着化工装置生产规模的日益扩大、复杂工艺技 术和先进控制手段的广泛采用,生产装置和设施的过 程安全成为重要的课题。为降低过程风险,化工装置 设 计 中 通 常 采 取 一 系 列 的 保 护 层 ,如 本 质 安 全 、基 本 过程控制、报警及操作人员干预、安全仪表系统、物理 保护及紧急响应,以降低装置的风险。其中,安全仪表 系统作为装置安全运行的最后一道防线,在生产装 置出现可能导致安全事故的情况时,能瞬间准确动 作,使生产过程安全停止运行或自动导入预定的安全 状态,在安全生产中起着至关重要的作用。如果安全 仪表系统的安全功能失效,则往往会导致严重的安全 事故。为评估安全仪表系统的功能安全性,即安全仪 表执行安全功能的可靠性,引入了安全完整性等级 (safety integrity level,SIL)概念。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
2013.3 AUTOMATION PANORAMA
25
Focus
聚 焦
系统的效果。
工业安全
整体,而且把安全仪表系统的整个生命周期也看作是一个整体, 以整体协调的需要来研究局部问题,并选择优化方案,综合评价 ( 2 )安全管理与责任体系科学化。一个安全仪表系统的运 行存在两个并行的过程,一个是系统设计、使用过程,一个是对 系统的计划、组织和控制的过程。要保证安全仪表系统的 SIL 能 力,需要明确两个过程中所有相关人员的职责范围和工作目标, 建立安全仪表系统的责任体系。 ( 3 )各门学科的协调化。安全仪表系统是一个技术综合 体,它跨越许多学科,而且是填补这些学科边界空白的边缘学 科。它不仅涉及工程学的领域,还涉及社会、经济和政治等领 域。所以为了适当解决这些领域的问题,它要求从系统的总体目 标出发,综合运用各种科学技术,并使它们协调配合而达到系统 整体的优化。 ( 4 )安全的相对性。功能安全将安全定义为“没有不可接 受的风险”,即用系统功能失效导致危险的概率来表示发生事 故、造成人员伤亡或财产损失的危险性,如果此概率小于法律规 定的限度,就是允许的。 ( 5 )基于风险的量化技术。用数学的方法量化安全仪表系 统的安全完整性,是功能安全控制技术的核心。用SIL级别表明最 终用户可以多大程度地相信工业过程的安全性。 ( 6 )建立结构与功能的数学关系。系统的安全完整性表现 在系统内部的硬件、软件、通讯等诸要素之间及系统与外部环境 之间的关系上。系统内部诸要素之间的联系为内部联系,表征内 部联系的范畴,称为结构。系统与外部环境之间的联系为外部 联系,表征这种联系的范畴称为功能。要素、系统、环境三个环 节,是通过结构和功能两个中介的沟通而有机联系起来的。 ( 7 )战略性安全解决方案。从安全战略角度来看,不仅考 虑了各独立系统中所有元器件的问题,如传感器、控制器、执行 器等,而且考虑了由所有安全仪表系统构成的组合安全仪表系统 的问题。
5 我们的对策
功能安全的最大作用是可以针对危险事件建立有效的控制措 施,预先防止事故发生,或者在出现危险时知道怎样去控制它。
4 功能安全标准与国际国内应用现状
国际电工委员会( IEC )、国际标准化组织( ISO )分别 开始制定功能安全相关标准,第一批制定的标准中主要涉及的 是安全仪表系统,也就是由电气、电子、可编程电子为技术基 础的控制与保护系统的功能安全,包括 IEC61508 、 IEC61511 、 IEC62061 等几十个标准,涉及石油、化工、冶金、电力、机械 制造、电梯、家电等多个领域。这些标准出台后,欧盟指令、 美国职业安全与卫生管理局( OSHA1910_134 )、美国环保署 (EPA40CFRPart68)、英国(HSE)都将其纳入安全法规范畴。能安全与安全完整性等级综述
The Summary of Functional Safety and Safety Integrity Level
机械工业仪器仪表综合技术经济研究所 史学玲,冯晓升
摘要:从法规与标准的角度介绍了功能安全与安全完整性等级的概念,并提 出建立中国功能安全保障体系的建议。 关键词:功能安全;安全完整性等级;SIL Abstract: Introduced the concept of functional safety and safety integrity level from the point of view of regulations and standards, and proposing the establishment of functional safety system. Key words: Functional safety; Safety integrity level; SIL
[1]
3 安全相关系统的功能安全与SIL
安全相关系统(safety-related system)是“三同时”制度中 提及的安全设施的一种。 安全相关系统包括安全控制系统与安全保护系统两大类,其 功能是检测危险事件,当危险事件发生时,安全相关系统将采取 适当的动作和措施,防止被保护对象进入危险状态,避免危及人 身安全,保护财产不受损失。如锅炉压力达到一定值时炉火自动 熄灭;危险化学品运输车出事故后的社会应急保障;矿井内有害 气体达到危险值时报警并自动进入应急状态;当有人进入危险区 域时电锯自动停止动作……这类系统在不同领域有不同名称,在 石油化工领域统称为安全仪表系统(SIS;以下称安全相关系统为 安全仪表系统)。 安全仪表系统通常都是综合性的、复杂的,难以确定实际操 作中的每一种失效模式,也很难测试所有可能发生的状况,技术 缺陷、硬件或软件的偶然失效、环境、管理人员,任何一个环节 都有可能导致系统功能失效,从而导致危险发生。因此,需要采 用系统性方法确定其SIL能力。 为了实现安全仪表系统的功能安全,首先要对安全仪表系统 实现风险控制的总体能力进行评估与控制,即要确切地了解它能 做什么(执行什么安全功能),和能多大程度地相信它(即能降 低几级风险,SIL能力是多少)。然后通过对系统中每一个功能单 元,包括子系统和器件、人员、组织的功能安全进行管理与控制 来实现SIL能力。用系统中每一个功能单元的可靠工作,保证整个 系统在需要时执行的正确功能,从而控制和防护危险。[2] 为了保证安全仪表系统的 SIL 能力,应完整考虑以下所有方 面: ( 1 )研究方法的整体化。不仅把安全仪表系统看作是一个
1 引言
《安全生产法》第二十四条规定:“生产经营单位新建、改 建、扩建工程项目的安全设施,必须与主体工程同时设计、同时 施工、同时投入生产和使用。安全设施投资应当纳入建设项目概 算。”这一要求一般被称之为“三同时”制度。“三同时”制度 从源头上消除各类项目可能造成伤亡和职业病的危险因素,防止 事故发生,避免因安全问题造成不必要损失,是确保本质安全的 有效法律制度。 “三同时”制度中提到的安全设施包括安全与卫生设备、 个体防护措施和生产性辅助设施。这些设施的安全功能是消除或 减轻危害因素、防止伤亡事故和职业病的发生。每种安全设施可 以执行一个或多个安全功能,每一个安全功能都能降低一定的风 险。而就一个项目而言,无论这个项目是石油、化工装置还是机 械设备,采用安全设施执行安全功能后,这套石油、化工装置或 机械设备的安全就在很大程度上依赖于安全设施能否正确执行其 安全功能。 “三同时”制度在我国实施已经多年,对我国安全生产起到 了极为关键的作用。但进一步分析历年来发生的工业事故,会发 现安全设施的有效性是一个急待解决的问题。
24
AUTOMATION PANORAMA 2013.3
功能安全防止的是安全设施的功能失效所导致的危险,解决 的是安全设施有效性问题。因此,研究建立我国功能安全保障体 系,对于“三同时”制度的有效性实施具有十分重要的意义。
成的人员伤亡、财产损失、环境破坏的严重程度,国家用法律的 方式明确各生产经营单位的安全风险控制目标,各生产经营单位 将企业的安全风险控制目标分解到每一个危险源,最后转化为每 一个安全设施的功能安全。这样就形成了一个国家 - 生产经营单 位-危险源控制的风险控制体系。 ( 2 )功能安全从系统整体的安全要求出发,不但将安全责 任与组织管理程序进行科学的分解,而且将构成系统的结构与诸 元素的SIL进行科学分解。由这些分解的整体构成有序的系统,在 合理分工的基础上进行严密有效的协作,通过科学的组织管理体 系和安全仪表系统集成来实现安全的总体目标。 ( 3 )功能安全是系统论、控制论、现代安全管理等学科相 互渗透、交叉发展而成。功能安全方法就是应用这些学科技术来 实现系统的模型化和最优化,把定性分析和定量分析紧密结合, 进行系统分析和系统设计。
2 功能安全与安全完整性等级的基本概念
功能安全是2000年以后兴起的一项安全工程学科,旨在防止 安全设施功能失效所导致的危险。 功能安全包括技术和管理两方面内容,涉及石油、化工、机 械、能源等多个领域,是通过提高安全设施有效性来控制与保护 各类危险源,避免或减少工业事故对公众和环境的影响,防止各 类装备尤其是成套装置发生不可接受危险的技术。 例如,锅炉控制系统是一种安全设施,其功能是当锅炉压力 达到危险值时关闭炉火。如果这个功能失效,压力达到危险值时 炉火不能熄灭,而是持续燃烧,锅炉就会爆炸,人员就会遇到危 险。在这种情况下,安全依赖于锅炉控制系统执行正确的功能。 锅炉控制系统承担了一定的风险降低能力,锅炉容量越大、压力 越高,这套控制系统承担的风险降低要求也越高。 安全设施的每一个安全功能都对应降低某一个危险事件的风 险,在2000年推出的功能安全基础标准IEC61508 中,把每一个 安全功能降低风险的能力定义为安全完整性等级(Safety Integrity Level; 以下简称 SIL ),如果安全设施可以将风险降低一个数量 级,也就是说,采用该安全设施后,原来一年发生一次事故的概 率可以降为几十年发生一次,表示该安全设施具有SIL1的能力。 如果安全设施可将风险降低4个数量级,也就是说,采用该安全设 施后,原来一年发生一次事故的概率可以降为几万年发生一次, 表示该安全设施具有SIL4的能力。 引入功能安全与 SIL 概念后,安全设施的有效性问题可以用 系统的、量化的方法得到解决。首先根据基础的风险分析与保 护层分析确定每一个安全设施需要承担的风险降低要求( SIL 要 求),然后用系统性安全性分析确定该安全设施实际能够承担的 风险降低能力(SIL能力)。安全设施每一个安全功能的SIL要求 与SIL能力相比,SIL要求等于SIL能力,则表示整套装置的安全设 施配置合适;SIL能力小于SIL要求,则表示安全设施配置不合理 或不安全;SIL能力大于SIL要求,则表示存在过保护现象,后果 是资产浪费且可能引入新的不安全因素。功能安全分析法就是这 样采用SIL指标来确定每一个安全设施配置的有效性与安全性的。 SIL 的概念适用于所有安全设施,只要它承担的是风险降低 功能,就可以用量化的方法确定其风险降低能力。但由于每一种 安全设施的技术特点差别极大,针对每一种安全设施确定SIL能力 是一项十分复杂的工作。 功能安全具有以下特点: (1)功能安全将安全转化为SIL控制。综合事故发生可能造