今日頭條
官方微信
官方抖音
案例頻道安全儀表功能管理
Safety Instrumented Function Management
邊文藝
(施耐德電氣(中國(guó))有限公司,北京市 100102)
Bian Wenyi
(Schneider Electric (China) Co., Ltd, Beijing 100102)
【摘 要】 過(guò)去的這些年,社會(huì)經(jīng)濟(jì)的不斷發(fā)展使得過(guò)程工業(yè)的規(guī)模越來(lái)越大,帶來(lái)的整體系統(tǒng)所面臨的風(fēng)險(xiǎn)也隨之增加,在以石油/天然氣開(kāi)采運(yùn)輸、石化、化工、發(fā)電等為代表的過(guò)程工業(yè)領(lǐng)域,緊急停車(chē)系統(tǒng)(ESD)、燃燒器管理系統(tǒng)(BMS)、火災(zāi)和有毒有害可燃?xì)怏w檢測(cè)保護(hù)系統(tǒng)(FGS)、高完整性壓力保護(hù)系統(tǒng)(HIPPS)等以安全保護(hù)和抑制減輕災(zāi)害為目的的安全儀表系統(tǒng)(SIS),已廣泛應(yīng)用于不同的工藝或設(shè)備防護(hù)場(chǎng)合,保護(hù)人員、生產(chǎn)設(shè)備及環(huán)境,但是對(duì)于在役安全儀表系統(tǒng)的維護(hù)和安全儀表功能的管理還存在諸多挑戰(zhàn),本文結(jié)合功能安全標(biāo)準(zhǔn),給出了安全儀表功能的管理內(nèi)容。
【關(guān)鍵詞】 功能安全 安全完整性等級(jí) 安全儀表功能 周期性驗(yàn)證測(cè)試
Abstract: In the past few years, social economy development has increased the size of the process industry and the risks of the overall system. In oil/gas transportation, petrochemical, chemical, power generation, and other process industrial field, the emergency shutdown system (ESD), burner management system (BMS), fire and gas detection system (FGS), high integrity pressure protection system (HIPPS) with safety protection and inhibition of disaster relief for the purpose of safety instrument system (SIS), has been widely used in different process or equipment protection, protection of personnel, production equipment and the environment, However, there are still many challenges to the maintenance of safety instrument system and the management of safety instrument function. This paper combines with the function safety standard to give the management content of safety instrument function.
Key words: Functional Safety Safety Integrity Level Safety Instrumented Function Proof Testing
1 什么是安全儀表功能
1.1 功能安全標(biāo)準(zhǔn)
在過(guò)程工業(yè)功能安全領(lǐng)域,具有里程碑意義的標(biāo)準(zhǔn)是德國(guó)的DIN V 19250《控制技術(shù).測(cè)量和控制設(shè)備應(yīng)考慮的基本安全原則》/ DIN V VDE0801《安全有關(guān)系統(tǒng)中的計(jì)算機(jī)原理》、美國(guó)的ANSI/ISA-S84.01-1996《安全儀表系統(tǒng)在過(guò)程工業(yè)中的應(yīng)用》,以及現(xiàn)今大家熟知的IEC61508/IEC61511,國(guó)際電工委員會(huì)分別與2010年和2016年對(duì)第一版的IEC61508/IEC61511進(jìn)行了更新,提出了新的要求。
在我國(guó),等同采用國(guó)際標(biāo)準(zhǔn)IEC61508的中國(guó)國(guó)家標(biāo)準(zhǔn)GB/T20438于2006年首次發(fā)布,2017年更新了第二版;等同采用國(guó)際標(biāo)準(zhǔn)IEC61511的中國(guó)國(guó)家標(biāo)準(zhǔn)GB/T21109于2007首次發(fā)布。
功能安全標(biāo)準(zhǔn)的發(fā)布,解決了困擾業(yè)內(nèi)多年的對(duì)復(fù)雜安全系統(tǒng)功能安全保障的理論與實(shí)踐問(wèn)題。
1.2 安全完整性等級(jí)
安全完整性等級(jí)(Safety Integrity Level,SIL)是一種離散的等級(jí),描述了一個(gè)安全相關(guān)系統(tǒng)在確切的條件下和確切的時(shí)間內(nèi)正確執(zhí)行安全功能的概率。SIL等級(jí)越高代表安全功能無(wú)法被正確執(zhí)行的可能性越小,如圖1所示。
圖1 安全完整性等級(jí)
1.3 安全儀表功能
安全儀表系統(tǒng)(Safety Instrumented System,SIS)作為獨(dú)立保護(hù)層(Independent Protection Layer,IPL)中最關(guān)鍵的部分,是指用于實(shí)現(xiàn)一個(gè)或幾個(gè)安全儀表功能的系統(tǒng),由傳感器、邏輯控制器、最終元件及相關(guān)軟件組成。
安全儀表功能(Safety Instrumented Function,SIF)是指由安全儀表系統(tǒng)執(zhí)行的安全功能,安全儀表功能具有某個(gè)特定的SIL,同其它保護(hù)層一起參與風(fēng)險(xiǎn)的降低。
2 安全儀表功能管理的目的
2
2.1 安全儀表功能管理的目的是為了在操作和維護(hù)階段,保證每個(gè)安全儀表功能所需的SIL能夠有效維護(hù), 使得安全儀表系統(tǒng)通過(guò)正確的操作和有效維護(hù)以維持其所需的安全完整性。
2.2 功能安全的閉環(huán)管理
安全儀表功能作為參與風(fēng)險(xiǎn)降低的關(guān)鍵部分,在操作運(yùn)維階段,非常有必要證明其是否按照設(shè)計(jì)和預(yù)期運(yùn)行。
如圖2所示,設(shè)計(jì)階段通過(guò)預(yù)先危險(xiǎn)性分析,有效的識(shí)別了危險(xiǎn)事件,清楚了危險(xiǎn)事件的原因,在運(yùn)維階段,需要對(duì)事件原因和要求率進(jìn)行跟蹤,確保設(shè)計(jì)階段考慮的正確性,對(duì)于安全儀表功能和其它保護(hù)層的設(shè)計(jì)同樣需要運(yùn)維階段的跟蹤來(lái)確保每個(gè)保護(hù)層能夠按照預(yù)期實(shí)現(xiàn)其風(fēng)險(xiǎn)降低能力。
通過(guò)操作運(yùn)維階段的驗(yàn)證,如果發(fā)現(xiàn)設(shè)計(jì)階段任何遺漏的危險(xiǎn)事件場(chǎng)景和原因,必須按照功能安全全生命周期的管理完成進(jìn)一步的設(shè)計(jì)和實(shí)現(xiàn)。
圖2 安全儀表功能的閉環(huán)
2.3 安全儀表功能管理目前的不足
在工程項(xiàng)目的設(shè)計(jì)階段,工程公司花費(fèi)了大量的時(shí)間和人力對(duì)工藝系統(tǒng)進(jìn)行了全面的風(fēng)險(xiǎn)識(shí)別和分析,在此基礎(chǔ)上通過(guò)保護(hù)層分析法,設(shè)置獨(dú)立保護(hù)層,將固有風(fēng)險(xiǎn)降低至可容忍風(fēng)險(xiǎn)標(biāo)準(zhǔn)以下,在此過(guò)程中,有很多關(guān)于安全的整體要求和前提假設(shè)會(huì)被寫(xiě)入安全要求規(guī)格書(shū)(Safety Requirements Specification, SRS),比如,每個(gè)SIF回路要求率的預(yù)期、周期性驗(yàn)證測(cè)試(Proof Testing)時(shí)間間隔的要求,以及對(duì)SIF旁路和平均故障修復(fù)時(shí)間(Mean Time to Repair,MTTR)的要求,這些內(nèi)容都會(huì)用于指導(dǎo)運(yùn)維階段安全儀表功能的管理。
當(dāng)下,項(xiàng)目交付節(jié)點(diǎn)已然成為所有信息流轉(zhuǎn)的瓶頸,使得安全儀表功能的設(shè)計(jì)與運(yùn)維有些脫節(jié),設(shè)計(jì)階段所做的風(fēng)險(xiǎn)識(shí)別結(jié)果并沒(méi)有完整的傳遞給運(yùn)維人員,使其清楚每個(gè)危險(xiǎn)場(chǎng)景的所有原因和后果,安全要求規(guī)格書(shū)中提到的整體要求也沒(méi)有有效地指導(dǎo)運(yùn)維階段安全儀表功能的管理。
3 安全儀表功能管理內(nèi)容
隨著智能制造的不斷升級(jí),整體系統(tǒng)的安全也面臨更高的要求,施耐德電氣可以提供涵蓋功能安全、信息安全和作業(yè)安全等內(nèi)容的“智能安全”解決方案,其中功能安全作為核心組成部分,施耐德電氣提供包括咨詢(xún)、硬件、軟件、工程、服務(wù)等功能安全的全生命周期服務(wù)。
安全儀表功能的管理主要是為了保證實(shí)際運(yùn)行系統(tǒng)的失效率滿(mǎn)足設(shè)計(jì)對(duì)失效率的期望,從這個(gè)維度考慮,安全儀表功能的管理內(nèi)容至少包含:SIF要求率、SIF及子部件的旁路、子部件實(shí)際失效率、周期性驗(yàn)證測(cè)試和平均故障修復(fù)時(shí)間等。
施耐德電氣提供的安全儀表功能管理工具獲得了業(yè)界的高度認(rèn)可,如埃克森美孚、Reliance、雪佛龍、利安德巴塞爾等很多國(guó)際能源巨頭都選擇了施耐德電氣提供的 ”SIF Manager” 平臺(tái)作為安全儀表功能的管理工具來(lái)幫助他們自信的管理過(guò)程風(fēng)險(xiǎn)。圖3 是某項(xiàng)目中SIF管理的導(dǎo)航界面,從中可以看到SIF管理的基本內(nèi)容。
圖3 安全儀表功能管理概覽
3.1安全儀表功能要求率分析
安全儀表系統(tǒng)完整性SIL的設(shè)計(jì)具有要求率的前提假設(shè),在IEC61508/ IEC61511中,定義了低要求模式和高要求或連續(xù)操作模式下安全完整性等級(jí)所對(duì)應(yīng)的故障概率。以IEC61511為例,低要求模式:僅在需求時(shí)執(zhí)行SIF的操作模式,以便將過(guò)程轉(zhuǎn)換到指定的安全狀態(tài),并且每年的要求頻率不超過(guò)1次。高要求模式:SIF只在需求時(shí)執(zhí)行,以便將過(guò)程轉(zhuǎn)換到指定的安全狀態(tài),以及要求頻率大于每年一次的操作模式。連續(xù)模式:SIF將操作模式作為正常操作的一部分保持在安全狀態(tài)。
在系統(tǒng)運(yùn)維階段,需要對(duì)每個(gè)SIF的實(shí)際要求率做統(tǒng)計(jì)和分析,確保實(shí)際要求率不超過(guò)設(shè)計(jì)階段對(duì)要求率的假設(shè),形成閉環(huán)驗(yàn)證,證明SIF安全完整性等級(jí)設(shè)計(jì)的正確性。
統(tǒng)計(jì)和分析SIF要求的類(lèi)型包含:成功執(zhí)行的要求、執(zhí)行失敗的要求、誤執(zhí)行的要求、手動(dòng)測(cè)試成功的要求,手動(dòng)測(cè)試失敗的要求。
3.2 旁路管理
旁路的管理包含單個(gè)安全子部件的旁路和整個(gè)安全儀表功能的旁路。對(duì)于冗余設(shè)計(jì)的單元,單個(gè)安全子部件的旁路并不一定意味著安全功能的喪失,但對(duì)整個(gè)安全儀表功能的旁路則意味安全功能的喪失,這一點(diǎn)在實(shí)際操作時(shí)要特別注意。
短時(shí)間旁路子部件或安全儀表功能是維修和測(cè)試的常用手段,旁路時(shí)間的長(zhǎng)短,直接影響到SIF的安全完整性等級(jí)。
所有的旁路動(dòng)作都需要完整記錄和顯示,包括:旁路的開(kāi)始時(shí)間、旁路的恢復(fù)時(shí)間、期望旁路恢復(fù)的時(shí)間和超過(guò)期望恢復(fù)時(shí)間而實(shí)際沒(méi)有恢復(fù)的SIF等。
3.3 失效率統(tǒng)計(jì)
SIF整體安全完整性等級(jí)的實(shí)現(xiàn)取決于每個(gè)子部件的安全完整性表現(xiàn),運(yùn)維階段需要統(tǒng)計(jì)現(xiàn)場(chǎng)運(yùn)行的每個(gè)子部件的實(shí)際失效率,來(lái)驗(yàn)證現(xiàn)場(chǎng)安裝的安全儀表系統(tǒng)是否有按照設(shè)計(jì)要求和預(yù)期工作,達(dá)到相應(yīng)的風(fēng)險(xiǎn)降低能力。
在我國(guó),還沒(méi)有可用的基本反應(yīng)現(xiàn)場(chǎng)實(shí)際情況的安全儀表系統(tǒng)子部件的失效率數(shù)據(jù)庫(kù),目前SIL的驗(yàn)證基本上是采用國(guó)外的失效率數(shù)據(jù)庫(kù)和一些實(shí)驗(yàn)室數(shù)據(jù),這些數(shù)據(jù)與國(guó)內(nèi)現(xiàn)場(chǎng)的失效率情況大多存在偏差,以此評(píng)估出來(lái)的安全完整性不能準(zhǔn)確的反應(yīng)實(shí)際情況,所以每個(gè)現(xiàn)場(chǎng)需要積累自己的失效率數(shù)據(jù)庫(kù),如果國(guó)內(nèi)的大多數(shù)現(xiàn)場(chǎng)能夠分享其失效率數(shù)據(jù),對(duì)國(guó)內(nèi)失效率數(shù)據(jù)庫(kù)的建設(shè)是非常有幫助的。
3.4 周期性驗(yàn)證測(cè)試(Proof Testing)
安全產(chǎn)品在做功能安全認(rèn)證的過(guò)程中,其失效率由四部分組成,分別為:λSD(可診斷的安全失效率)、λSU(不可診斷的安全失效率)、λDD(可診斷的危險(xiǎn)失效率)和λDU(不可診斷的危險(xiǎn)失效率),其中,λDU是無(wú)法通過(guò)在線(xiàn)增加診斷來(lái)發(fā)現(xiàn)和避免的,但其失效又會(huì)帶來(lái)安全功能的喪失,相關(guān)標(biāo)準(zhǔn)給出了通過(guò)周期性驗(yàn)證測(cè)試的辦法來(lái)檢測(cè)不可診斷的危險(xiǎn)失效。
周期性驗(yàn)證測(cè)試是人為的手動(dòng)測(cè)試,需要從系統(tǒng)設(shè)計(jì)階段開(kāi)始就要考慮其可操作性,保證在不影響系統(tǒng)正常運(yùn)轉(zhuǎn)的情況下執(zhí)行測(cè)試。
周期性驗(yàn)證測(cè)試的管理需要統(tǒng)計(jì)所有子部件的測(cè)試時(shí)間間隔(TI)以及具體測(cè)試方法,對(duì)即將到來(lái)的測(cè)試做到提醒,對(duì)已經(jīng)超期的測(cè)試給出報(bào)警提示。圖4給出了周期性驗(yàn)證測(cè)試的管理界面。
圖4 周期性驗(yàn)證測(cè)試管理
3.5 平均故障恢復(fù)時(shí)間
平均故障修復(fù)時(shí)間是在做安全完整性設(shè)計(jì)的時(shí)候必須要考慮的因素,直接影響到安全系統(tǒng)的可靠性和可用性,比如通常假設(shè)8小時(shí)或者24小時(shí)可以修復(fù)故障,平均故障修復(fù)時(shí)間包含故障分析時(shí)間和故障修復(fù)時(shí)間,對(duì)于故障修復(fù),備件管理顯得尤為重要。
系統(tǒng)運(yùn)維階段,要確保實(shí)際的平均故障恢復(fù)時(shí)間不超過(guò)設(shè)計(jì)階段的假設(shè),一是要提高維護(hù)工程師的故障分析和處理水平,可以搭建樣機(jī)反復(fù)演練,二是要有足夠的備件,保證現(xiàn)場(chǎng)故障的部件能給被及時(shí)更換,從而保證整體安全系統(tǒng)的安全完整性等級(jí)。
4 安全儀表功能管理的輸入文件
安全儀表功能管理是根據(jù)原始的功能安全設(shè)計(jì)標(biāo)準(zhǔn)實(shí)時(shí)監(jiān)控和驗(yàn)證實(shí)際安全儀表功能的健康狀態(tài),利用這些信息提供動(dòng)態(tài)的、可視化的界面用于指導(dǎo)安全儀表功能的維護(hù)。
要想做好安全儀表功能的管理,理解原始的功能安全設(shè)計(jì)文件和要求非常重要,至少包含以下文件:
l 包含危險(xiǎn)事件的HAZOP報(bào)告
l 保護(hù)層(LOPA)設(shè)計(jì)文件
l 安全要求規(guī)格書(shū)(SRS)
l 完整的SIF數(shù)據(jù)表
l SIS系統(tǒng)各部件的安全手冊(cè)
5 結(jié)束語(yǔ)
過(guò)程安全是一段不以實(shí)現(xiàn)安全設(shè)計(jì)為終點(diǎn)的旅程,在安全系統(tǒng)操作和運(yùn)維階段,需要反復(fù)驗(yàn)證,不斷地證明將風(fēng)險(xiǎn)降低到可接受水平的安全儀表系統(tǒng)能夠按照設(shè)計(jì)和預(yù)期工作,并根據(jù)實(shí)際運(yùn)行數(shù)據(jù)的反饋與設(shè)計(jì)數(shù)據(jù)形成閉環(huán),驗(yàn)證原始設(shè)計(jì)的正確性,最終,實(shí)現(xiàn)功能安全全生命周期的管理,確保安全儀表系統(tǒng)達(dá)到相應(yīng)的風(fēng)險(xiǎn)降低能力。
參考文獻(xiàn)
[1] IEC 61508: 2010, Functional safety of electrical/electronic/programmable electronic safety related systems
[2] IEC 61511: 2016, Functional safety – Safety instrumented systems for the process industry
sector
[3] 張建國(guó). 安全儀表系統(tǒng)在過(guò)程工業(yè)中的應(yīng)用. 中國(guó)電力出版社,2010.6
[4] How to easily comply with the requirements of IEC61511 edition 2 clause 16,Sven Grone & Steve J. Elliott
北京市公安局海淀分局備案號(hào):11010802023656號(hào)