安全仪表系统SIS——SIL验算入门

国家安监总局发布的“安监总管三[2014]116号”文件中对安全仪表系统(SIS)的评估提出了具体要求，包括进一步加强安全仪表系统全生命周期的管理，从源头加快规范新建项目安全仪表系统管理工作，并且积极推进在役安全仪表系统评估工作。另外：在役装置2019年底前完成安全仪表系统评估和完善工作，老旧装置及新建项目如未配套安全仪表系统和未进行SIL定级则将不核发新的《安全生产许可证》，今后安全仪表系统的相关工作会越来越多，越来越重要，基于此，本文将对安全仪表系统的功能安全知识进行介绍。

1.安全仪表系统生命周期

IEC 61508、IEC 61511、ISA84等标准中对安全仪表系统整体生命周期有详细的描述，它是一个结构化的流程，各阶段的活动之间并不是孤立存在的，实际上是一个完整的体系，相互之间有一定的逻辑关系和顺序。安全仪表SIS系统的安全生命周期分为3个阶段：即分析阶段、实现阶段、运行阶段。在分析阶段对风险进行管理，主要工作是危害和风险的分析，对降低风险的进行确认。在实现阶段，需要考虑SIS系统采用的技术、结构和测试间隔周期等，并对系统的可用性和安全性进行评估，实现系统的性能要求。最后在运行阶段，要进行启动前的安全监控，工程师要理解系统是否满足了所有的安全要求，所有的SIF回路是否满足SIL等级要求等。并且在每次维护和修改系统都需要有详细的文档记录。 我们用简单直观的流程图来表现安全仪表系统的生命过程，在初始阶段进行危险识别，一般采用HAZOP分析方法，或者WHAT-IF等，识别出风险高的假想事故场景，然后进一步对这些风险高的事情场景进行半定量分析，这里一般采用保护层分析方法（LOPA），以确定是否需要安全仪表功能SIF，同时对SIF回路的SIL等级要求明确。接下来在安全要求规范（SRS）中编写安全仪表功能SIF的技术要求，包括SIL水平，测试间隔、可靠性要求，输入输出等内容。确定SRS方后下一步工作就是需要对SIF回路进行SIL验证工作，根据安全需求规格说明书（SRS）的要求，收集SIF回路相关设备的失效数据和架构约束，计算SIF回路已达到的SIL等级。最后就是运营阶段，需要周期性维护，在线测测，离线检测 等确保系统的性能。

2.安全仪表系统（SIS） 

安全仪表系统（SIS）由传感器、逻辑运算器和最终控制元件组成的系统。当工艺条件偏离时，使装置处于安全状态的目的。安全仪表系统功能功能包括：1、监视生产过程的状态，判断生产过程中是否出现某种潜在的危险条件。2、当出现危险的条件时，自动执行其规定的安全仪表功能（SIF） ，防止危险事件的发生。换句话说，安全仪表系统一旦执行了正常的安全仪表功能，则不会发生危险事件。3、减轻危险事件造成的影响，也就是通过减少损失，或者减少影响后果的办法来降低风险。在一些情况下，安全仪表系统实现安全仪表功能的目的是减少风险，或者说是减少潜在危险发生的概率。另外一些情况，实现其安全仪表功能的目的是减弱已经发生危险事件的后果，还有一些情况，则是两种情况的综合。考虑一个压力反应器的简单例子，为了防止反应器内的压力超过它的设计压力而可能发生危险的情况，所以安装了安全仪表系统，该SIS系统由两个压力变送器(PT2,PT3)，一个TT3温度传感器、逻辑运算单元和两个阀门,组成。

3.安全仪表功能（SIF）

SIF即安全仪表功能是安全仪表系统是否能有效地执行其安全功能的体现，每一个安全仪表功能针对特定的风险事故场景进行保护。在安全仪表功能中，讨论的危险事故场景不同则其关键动作也会不同。在实际系统中，需要对控制、设备及工艺过程等多方面的深入的认识，才能正确的设计安全仪表功能SIF。安全仪表SIS系统中包括多个安全仪表功能SIF。 一个传感器或一个执行器可能隶属于多个SIF（安全仪表功能回路），比如S-1传感器监控的参数超过设定值，可以让6号最终执行元件动作。同时S-2传感器也可以使6号最终执行元件动作。不同的SIF对应的SIL等级可以不同，因为每个一个SIF回路所对应的假想事故场景的风险并不一样。同时一个SIF回路在二个事故场景中，所要求的SIL等级也可能是不同的。不可以说整个SIS系统是SIL-1等级

4.安全仪表系统(SIS) 和基本过程控制系统（BPCS) 

关于安全仪表系统(SIS) 和 基本过程控制系统（BPCS) 的差异，让很多初学者疑惑，二种系统从逻辑结构上来看明明是差不多的，为什么还要区分呢？现在来讲一下它们的差异。
1、两者执行的功能有所不同，基本过程控制系统是执行常规生产过程控制的系统，据统计，工业中95%以上的控制系统都是基本过程控制系统。由此可见，BPCS执行基本生产控制功能，以达到生产过程的正常操作要求。SIS则是监视生产过程的状态，判断危险条件，防止事故的发生。2、两者具备不同的工作状态，SIS是被动的、休眠的，BPCS是主动的，动态的，是用来满足生产需要，所以要动态的运行，保持生产过程的连续稳定的运行。3、对于失效，两种系统有着不同的表现形式。BPCS其大部分失效都是显而易见的，比如生产过程中，达不到特定的开关状态，必定会影响正常的生产，因此故障的发生就会显现出来。SIS系统由于大部分时间处于休眠状态，所以很难觉察它是否出现了失效或者存在隐性的问题。所以SIS系统需要自诊断测试系统，还要周期性的离线测试和在线测试。

5.安全完整性等级(SIL)

IEC61508中对SIL的定义为：在一定时间，一定条件下，安全相关的系统执行其所规定的安全功能的可能性。选择安全完整性水平的目的是通过降低风险发生的概率，把风险降低到一个可以接受的水平。IEC61508规范中“高要求操作模式”和“低要求操作模式”所定义的SIL等级有所差异。低要求操作模式是指对安全仪表系统提出的操作要求频率不大于每年一次，或者不大于二倍的功能测试频率。SIL安全完整性等级，简单的说，SIL是对安全可靠性的一种衡量。每一个SIL等级代表一个风险降低的数量级，比如一个SIL-1安全功能装置使一个事故发生的频率降低了一个数量级，SIL-2使风险发生的频率降低了二个数量级。

6.安全要求规范(SRS)

英国健康和安全署HSE对34个直接由控制系统和安全系统失效造成的事故进行调查，得到的结果显示，44%的事故是由于不正确的安全要求规范引起的。第二类高的引发事故的原因是调试后的变更，占21%。所以确定安全要求规范正确的重要性显而易见，换句话说，系统可能完成了其设计的所具有的功能，但是这些功能本身不是正确的。前面所说的由控制系统失效直接造成的事故中44%是由于不正确的安全要求规范引起的，那么SIF的安全要求规范如何编制？在IEC61511标准中的定义：包含了安全仪表功能（SIF）所有要求的规范。它的目标是规定详细的过程安全信息中所需要的要求。

在安全要求规范编写前，我们需要收集以下资料:

1. 概念的过程安全设计。
2. 危险分析和风险评估。
3. 非安全仪表系统保护层的应用。
4. 为必须的安全仪表功能确定安全完整性等级。
5. 这些内容必须是有效的、完善的。如果这些过程不存在或者不完善，无论在制定系统的规范上花费多少时间，最终得到的都是不正确的安全要求规范。

一个示例的安全要求规范（SRS）编写，安全要求规范的主要内容是：

1. SIF的启动装置，三个压力传感器PT-1，采用三选二的2oo3。
2. 风险是下游压力高于管道规格。
3. 后果：管道超压和长时间损坏管道的可能性。
4. 安全状态：104阀门和105阀门关闭，并且停止压缩机C-101。
5. 功能测试周期，12个月。
6. 响应时间: 根据最大阀门的行程时间，20秒。
7. 目标SIL是SIL2水平，风险降低因子RRF是500倍其它还有一些参数都要详细记录。

7.功能测试周期和覆盖率

为了验证安全仪表系统的运行状况以及确认其达到了SIL水平，对安全仪表系统进行周期性的功能测试是必须的。这里的测试是对整体系统的测试，包括传感器，逻辑控制器，最终执行元件和相关的一些报警。功能测试应该被看做是正常的预防性维护活动。没有周期性的功能测试，安全仪表系统很可能在需要它响应的时候不能的执行其功能。因为安全仪表系统的工作模式是被动的，很多设备的故障不能够显现出来。功能测试方法有：在SIS中内置的自动测试离线测试，在工艺系统不运行时手动完成。在线测试，在工艺系统运行时手动完成关于功能测试频率：每个系统的测试频率是根据它所采用的技术、系统配置和目标风险控制，而具体设定的。不能说SIL-1的要求每月测试一次，SIL-2的每季度测试一次。那么怎么样确定测试周期呢？可以通过尝试不同的测试周期分别计算平均危险失效概率PFD的方法，确定最终需要什么样的测试周期才能满足安全功能规范的要求。这里要讲的另外一点，就是测试覆盖率，如果每次测试覆盖率能达到100%，那么测试完成后，系统又能回到初始状态。每到一个测试周期，系统的危险失效概率PFD就回到了初始点。实际上功能测试覆盖率不可能达到100%，所以由于测试的不完整，PFD永远不会恢复到原始值。如果测试覆盖率为90%，风险显著升高，不完整的测试可通过功能测试的频率来影响PFD。如果没有功能测试计划，那么PFD将会更高。

8.故障模式Failure Modes

对于安全仪表系统，关注的不是系统如何运行，而是系统如何故障。安全仪表系统的故障可能导致它不能对危险状况作出响应，也就不能完成保护的功能。另一个方面，安全仪表系统的失效也有可能造成系统的误停车，使得正常生产中断。这些不同的失效方式被称为故障模式。分析设备的故障模式在整个安全仪表系统中的影响是十分重要的，在故障模式明确的基础上才能进行安全仪表系统的可靠性建模。根据安全仪表系统的可靠性模式和设备的失效数据才能对安全仪表系统进行定量的可靠性分析。SIF的失效模式分为安全失效和危险失效。危险失效一般是隐藏的，不容易发现的，它会导致控制回路在需要响应时不能响应，使系统处于危险的状态。安全失效是明显的，已知的，它的主要影响是系统的可靠性。 可将故障进一步分为检测到的故障和未检测到的故障安全故障可分为安全检测故障SD和安全未检测故障SU。危险故障可分为危险检测故障DD和危险未检测故障DU。我们在SIL验算过程中主要用于SD\SU\DD\DU四个参数值，其中DU（危险未检测到的故障）是决定平均危险失效率PFD的关键数值。

9.体系结构约束Architectural Constraints 

有很多因素会影响安全仪表功能的实现，其中有一些关键的因素，如： 

1，设备制造商用来减少设备系统失效的措施。

1. 设备的安全和危险失效率。
2. 设备的自诊断能力 。
3. 设备和安全仪表功能的测试检验。
4. 共同原因失效的防范等等。

IEC标准委员会认为，在功能安全标准方面，上面的部分因素实际上是不能够度量的。所以IEC61508提出了除了计算平均危险失效率PFDavg外，还要考虑结构约束能实现的最低SIL等级，结构约束是通过设备的硬件冗余度以及设备类型和安全失效分数SFF来确认的。系统最终达到什么样的SIL等级是根据平均危险失效率PFDavg和结构约束综合考虑的。IEC61508标准中把设备分为A型和B型设备，两者的体系结构约束有所不同。A型装置是指所有组成部件的故障模式均已明确定义并且可以完全确定子系统在故障条件下的行为等，常见的A型设备有阀门，开关等；B型装置一般被认为是复杂装置。有以下特征：1.至少一个组成部件的故障模式定义不明确；2.无法完全确定子系统在故障条件下的行为。比如传感器，逻辑运算器等属于B型设备。

10.SIL验算 SIL Verification

功能安全完整性评估SIL验算工作开始前需要确认以下内容：

1、背景资料的准备。是否进行了危害分析，比如使用HAZOP方法识别所有的假想事故场景，并对风险高的事故场景进行保护层LOPA分析，分析是否需要SIF。同时已经为SIF回路确定了相应的技术方案，明确设备的冗余结构，如1oo2，2oo3等。周期性的测试方案也已经记录在案安全要求规范SRS详细记录了SIF回的相关规范要求。

2、失效数据SIL验算过程中需要收集SIF各子系统中各部件的故障数据。各种设备的故障率和故障模式的数据，用于计算每个子系统和整个SIF的PFDavg。

3、故障数据的来源：1、工厂统计收集的失效数据，这个数据是准确可靠的，但是大部分工厂并没有这些数据。2、设备厂商提供的SIL认证数据或统计数据，比如这是一个exida或tuv认证的SIL认证3、如果上面二项的数据都没有，可以用设备通用数据替代，比如OREDA数据库。

功能安全完整性评估SIL验算的目标是确定每个SIL在以下方面达到了要求的安全性能：

1. 需要时的平均危险失效概率PFD。

2. 风险降低系数RRF， 是平均危险失效概率PFD倒数。

3. 体系结构约束 通过每个子系统的硬件故障裕度（HFT）和安全失效分数（SFF），以确定所能达到的最高的SIL等级。MTTFS平均误停车时间 通过安全失效已检测SD 和 安全失效未检测SU 的故障数据进行计算。

4. 安全仪表功能SIF最终达到的SIL等级，根据平均危险失效概率pfd和体系结构约束的较小值确定。