【原】聚焦过程安全 | SIS系统的安全完整性等级（SIL）评估

摘要

在过程工厂安装的安全仪表系统（SIS），主要用于减轻过程风险，但在确定下一步行动之前，必须先为其指定目标安全完整性等级（SIL）。

安装在过程工厂的安全仪表系统(SIS)，在过程值超过设定值时或偏离安全运行工况时，可以将过程带入“安全状态”，从而缓解过程风险。

没有单一的安全措施可以消除所有的风险，SIS只是多层安全体系中的一层。保护层分析(LOPA)方法，可以识别、分析所有已知的过程风险以及保护层。如果在LOPA分析中得出结论，认为现有的保护措施不能将风险降低到可接受或可容忍的水平，那就需要SIS系统来应对每一种过程风险。并不是所有的过程风险都需要SIS系统。每个需要SIS系统的风险，都必须指定一个目标安全完整性等级(SIL)。

SIL等级是什么？

SIL等级来自于两个非强制性标准，工厂所有者/经营者通常用其来量化应对运行风险的安全性能要求：

• IEC 61508: 电气/电子/可编程电子安全相关系统的功能安全

• IEC 61511: 过程工业领域安全仪表系统的功能安全

正如国际电工委员会（IEC）标准的定义，安全等级分为1-4级。较高的SIL，意味着更大的过程风险，也就需要SIS系统需要提供更高水平的保护。SIL是风险频率和危害严重程度的函数。发生频率高、或具有更严重后果的风险，其SIL等级越高。

为了确定过程风险的SIL等级，理解安全生命周期会有所帮助。

安全生命周期

IEC标准定义了一个被称之为安全生命周期的概念，它提供了一个可重复的框架，在此框架中，所有的过程风险都被识别和分析，以了解哪些危害需要使用SIS系统进行缓解。从设计上看，这是一个周期性的过程。任何工艺设计、操作工况或设备的变更，都需要从头开始重复该过程，以确保任何变更都能正确实施。

要确定SIL，需要遵循诸多步骤。该过程从执行过程危险分析(PHA)开始。PHA是对与工业过程相关的所有潜在风险的系统评估。有必要分析下列情况的所有潜在原因和后果：

• 火灾；

• 爆炸；

• 释放有毒、风险或易燃物质等。

• 关注任何可能影响该进程的内容，包括：

• 设备故障；

• 仪表故障或校准问题；

• 公用设施(电力、冷却水、仪表空气等)的丧失；

• 人为错误或行为；

• 外部因素，如风暴或地震。

必须分析每种过程风险的频率和严重程度，例如：

• 发生的频率是多少？如果手动执行填充操作，任何情况下都有可能会发生溢罐事故（每年多少次）。

• 结果严重程度如何？局部损坏、火灾、爆炸，毒气释放、死亡。

PHA分析的核心基于这样一个事实：任何事情都可能而且确实会出错。不要考虑它是否会发生，而应该考虑它何时发生。识别出的风险，都应指定一个“可接受的”频率。不能假定一个永远不会发生的风险。例如：

• 一个需要基本急救干预的风险，如果一年仅发生一次，那么这种风险可以视为“可接受”；

• 由于油罐破裂而引起的爆炸和火灾，其“可接受”频率为每10000年一次。

PHA分析的最终结果，是一系列可能的工艺风险列表，为每个过程风险分配了可接受的发生频率。安全生命周期的下一步是保护层分析。单靠单一的安全措施无法消除风险。因此，有效的安全体系必须由多个保护层组成。

这样，如果一个保护层出现故障，则后续层将使该过程处于安全状态。随着保护层数量的增加和可靠性的提高，整个过程的安全性也随之增加。有一点非常重要，在一个或多个层失败时，每层必须能够独立于其它层运行。

保护层的具体例子包括：

• 灭火系统；

• 防泄漏系统(堤防或双壁)；

• 卸压阀；

• 气体检测/报警系统。

对于在PHA中识别的过程风险，应该：

• 列出所有可用的非SIS安全措施；

• 为每一层指定其风险降低因子；

• 计算保护层应用后的有效风险频率；例如：罐体填充操作，发生每年的频率为250次，因此溢罐事件发生的频率为250次每年；

• 适当的排气/排水系统作为保护层，可以将风险降低（风险系数）100倍；

• 储罐溢出危险的有效频率为每年250/100=2.5次。

每个危害的有效危害频率确定后，要问的关键问题是：“采用非SIS保护层后，有效频率是否能够低于可接受频率？”

一旦识别出所有的过程风险，并为其分配保护层后，如果PHA/LOPA的研究得出结论，认为现有的保护不能将风险降低到可接受的或可容忍的水平，那就需要安装SIS系统。然而，并不是每一个过程风险都需要使用SIS系统。

安全仪表系统和功能

SIS的目的，就是在超过设定值或当超过安全运行工况时，使过程处于“安全状态”。SIS的作用是通过实施安全仪表功能（SIF）来降低风险。

SIF的两个示例包括：

• 危害：水箱溢流。SIF：SIS系统将灌装泵停止，将液位维持在安全水平。

• 危害：高温。SIF：SIS打开继电器，以在预定的安全温度下切断对加热器电路的电源。

在任何情况下，SIF都是SIS实现或保持安全状态的安全功能。SIF的传感器、逻辑运算器和最终元件协同动作，以检测风险并将过程带入到安全状态。

每个SIF作为保护层，将有效风险频率降至可接受的风险频率以下。要做到这一点，每个SIF必须有一个最小的风险降低因子。

安全生命周期模型的实例，改编自IEC61511。图片来源：Cross 公司。

SIF的SIL目标水平

在罐溢出实例中，在实施非SIS保护层之后，其有效频率为每年2.5次。如果可接受的危害频率为每10年一次，那SIF必须有不低于25的风险降低因子(RRF)。

• SIF的最小风险降低因子(RRF)=未实施SIS的有效频率/可接受频率=2.5/0.1=25。

• 每个SIF所需的最小RRF被用于确定SIF的目标SIL等级。

通过表1，可以直接从RRF确定目标SIL等级。注意SIL和RRF之间的关系。SIL1具有的最小RRF为101，SIL2具有最小的RRF为102，以此类推。

对于罐体过量填充的例子，最小RRF为25，SIF的目标SIL为SIL1，因此，这是一个等级为SIL1的风险。

对于PHA和LOPA所识别的每个风险，使用相同的方法为SIF的分配目标SIL。请注意，可能有不同的目标SIL。过程的下一个步骤，是设计一种能满足需求的SIF，以便达到目标SIL。

SIF可实现的SIL等级

SIS是由许多组件组成的系统,例如:

• 信号输入传感器；

• 输入信号接口与处理；

• 具有电源和通信的逻辑运算器；

• 输出信号处理、接口和电源；

• 执行器(阀门、开关装置)，用于最终控制功能。

举个SIF的例子：在高温工况下继电器断开，负责加热器电路的SIS系统，应包含以下回路部件中的任何一种或全部:热电偶、变送器、输入信号调节器或隔离器、模拟输入卡、通讯卡、中央处理器、离散输出卡、输出信号调理器或隔离器、以及加热器继电器。

必须假定某一时刻会发生风险。你不能认为风险永远不会发生。同样，必须假定SIF的任何组成部分都可能无法根据需求采取行动。

一个比较常见的故障是有关正常工艺条件下保持开启的隔离阀的。如果需要关闭此阀门才能实现特定的SIF，则风险可能是在需要关闭阀门时此阀保持在开的位置，而不是按要求关闭。因此，我们必须知道SIF的失效概率。

给定SIF的总体故障概率，通过执行SIL计算来确定。SIL计算有些复杂，但本质上，该计算过程就是收集SIF部件的故障率数据，如测试频率、冗余、表决安排等。最终结果是每个SIF，都可以获得可能出现故障的总体概率（PFD）。

构成SIF回路的众多设备的制造商，都会公布设备的故障率数据。过程企业经常与咨询公司签订合同，以确定失效概率。

这些故障概率数据，是进行SIF计算所需的输入数据，而本身并不是SIL数据。并没有自带SIL等级的设备。您无法购买到具有SIL等级的变送器或SIL等级的控制系统。

一旦已知了SIF的PFD，那么它的RRF就是PFD的倒数(RRF=1/PFD)。然后，就可以比较SIF的RRF与所需的最低RRF。如果SIF的RRF大于所需的最小RRF，那SIF就可以将整体风险降低到可接受的水平。

回到前面罐体溢出的例子，假设SIL计算证明SIF具有300的RRF。由于该值大于25，SIF大大满足要求。如果SIL计算发现RRF小于25，那就需要改变或重新排列SIF组件。

增加RRF的一种方法，是在表决机制中配置冗余的变送器，或者购买故障率较低的变送器。SIL等级、PFD和RRF之间的关系如表2所示。

回到罐填充实例中，SIF的RRF为300，而需求的最小RRF为25(SIL1)。SIF可实现的SIL等级是SIL2。这意味着有SIL2的SIF可用于保护SIL1风险。这是完全可以接受的，而且比较常见。

本文来自于《控制工程中文版》（CONTROL ENGINEERING China）2018年1-2月刊《聚焦过程自动化》栏目，原标题为：过程应用的安全完整性等级评估

————本期杂志封面————