安全仪控系统设计指引.docx
《安全仪控系统设计指引.docx》由会员分享,可在线阅读,更多相关《安全仪控系统设计指引.docx(30页珍藏版)》请在冰豆网上搜索。
安全仪控系统设计指引
安全仪控系统设计指引
页次
1安全仪控系统与安全等级缘由
What?
SISSIFSIL
安全仪控系统(SafetyInstrumentedSystems:
SIS)指的是一个仪控系统,包含传送器、可程控器(logicsolver)、控制阀或pump,可用来达成某一个或多个安全仪控功能(SafetyInstrumentedFunction:
SIF)。
Shell把SIF叫做InstrumentedProtectiveFunction(IPF)。
所谓的安全仪控功能,就是具有安全等级(SafetyIntegrityLevel:
SIL)的逻辑连锁,可藉以避免工厂不幸的工安事件发生。
SIL就是一个SIS的安全境界指标,它的定义取决于安全仪控功能的操作模式(modeofoperation):
需求模式(demandmode)或连续模式(continuousmode)。
安全仪控功能的操作模式
根据IEC61508-43.5.12节的定义,安全仪控功能的需求频率不大于每年一次,且不大于SIS测试的一半频率,方可视为需求模式,否则须视为连续模式。
例如,某一SIF需求频率是每年一次,且该SIS每年测试两次,即可适用需求模式。
相对于IEC61508-4的定量定义,IEC61511-13.2.43.1节的操作模式定义则偏向定性描述,有助于了解需求模式及连续模式的特性。
根据IEC61511-1的定义,在SIS故障时且【制程操作异常或DCS故障】时,危险才会发生的SIF操作模式,称之为需求模式。
反之,只要该SIS故障,不管制程或DCS是否异常,皆有潜在危险存在的SIF操作模式,称之为连续模式。
飞机的自动导航系统是典型的「连续模式」,而石化业一般而言属于需求模式。
需求模式的安全等级
基本上SIL和成功率(availability),都是用来描述当制程发生异常时,所需要SIS正常发挥跳车功能的需求程度。
接受一个SIL1的SIS,意味着该灾害风险很低,使用一个可能有10%失败率(90%成功率)的SIS是可接受的。
举一个SIL1SIS,用在油槽高液位跳脱的例子来说。
90%成功率代表有10次高液位发生时,有可能发生1次SIS失败,而导致油槽溢流。
这样的风险是可承受的吗?
若不能,则须使用更高等级的SIS,如SIL2,失败率为10-2,或再高等级,SIL3SIS,失败率仅为10-3。
除了SIL1~3,相信很多人也看过AK5/6的写法。
下表除了IEC61511-3FigureE.2的SIL和AK对照表,并加上相关成功率、需求模式平均可能失败率(PFDavg:
AverageProbabilityofFailureonDemand)和风险降低倍数(RRF:
RiskReductionFactor)的数据,放在一起方便比对参考。
IEC/
ISA
DINV19250
AvailabilityRequired
PFDavgforDemand
ModeofOperation
EquivalentRRF
=1/PFDavg
SIL4
AK7
>99.99%
10-5to<10-4
100,000to10,000
SIL3
AK5/6
99.90-99.99%
10-4to<10-3
10,000to1,000
SIL2
AK4
99.00-99.90%
10-3to<10-2
1,000to100
SIL1
AK2/3
90.00-99.00%
10-2to<10-1
100to10
连续模式的安全等级
需求模式的安全等级考虑的是当事件发生时,SIS成功的机率有多高。
而连续模式的安全等级如下,它与制程或DCS是否发生异常无涉,只考虑该SIS每小时无法执行SIF的失败率有多高。
IEC/ISA
ProbabilityofDangerousFailuretoPerformtheSIF
forContinuousModeofOperation(perhour):
PFH
SIL4
10-9to<10-8
SIL3
10-8to<10-7
SIL2
10-7to<10-6
SIL1
10-6to<10-5
Why,WhereandWhen?
ISA和IEC61508/61511
美国:
滥觞
由于世界各地制程工厂意外不断的发生,1990年代欧美各国不约而同,都在设法从立法着手改善工安设计。
配合1992年美国OSHA订定的1910.119“ProcessSafetyManagementforHighlyHazardousChemicals”,美国ISA首先在1996年发行84.01“ApplicationofSafetyInstrumentedSystemsfortheProcessIndustries”,创先提出SIS的实际应用,随后美国EPA和OSHA很快地认可此一工业标准。
从此,1997年3月起在美国建厂的任何仪控系统,皆须遵循ISA84.01.
欧盟IEC:
集大成
两年后,1998年欧洲IEC订定61508-1~-7,也提出了SafetyRelatedSystem的相关法规。
2003年,针对制程工厂的SIS,IEC也出版了61511-1~-3。
IEC61511定义严谨,且安全生命周期(Safetylifecycle)阶段任务要求明确,广受业界使用。
美国ISA也在2004年发行84.00.01-1~-3,取代掉84.01,而其文件抬头则直接标示:
修改自IEC61511。
至此,SIS/SIL终于有了共同的法规依循:
世界大同篇IEC61511,业界再也不用为ISA与IEC在SIS/SIL上不同的用字及定义伤脑筋。
关于欧洲SIS立法及IEC标准的关系,则请详下图。
与美国SIS发展历史类似,鉴于工安事件的频繁及严重性,欧盟SevesoIIDirective也在1996年发布,要求任一产品在欧盟销售前,必须满足[96/082/EEC]的基本要求。
至于执行上相关技术细节,[96/082/EEC]则要求参照至IEC61508和61511。
How?
IEC61508/61511和安全生命周期
安全仪控系统设计依循IEC61508或IEC61511,端视角色而定。
IEC61508“FunctionalSafetyofElectrical/Electronic/ProgrammableElectronicSafety-RelatedSystems,”主要是为SIS产品、厂商而写,而IEC61511“FunctionalSafety-SafetyInstrumentedSystemsfortheProcessIndustrySector”主要是为SIS系统设计、整合、用户而发行,例如中鼎等工程顾问公司或塑化公司等石化工厂。
如下二图所示,IEC61508的安全生命周期有16个阶段,而IEC61511的安全生命周期已简化成8个阶段,两者其实大同小异。
SILclassificationcriteria.
Listhazardprocessscenarioswiththerisk/consequencesandsequencesleadingtothesehazards.
AllocateeachSIFtoSIS,DCS,orother;verifySIL.
FAT,
SAT.
DevelopSRSintermsofSIFandSIL.
Definethelimitsoftheequipmentundercontrolandthescopeofhazardandriskanalysis.
IEC61511safetylifecycle
以下是依据IEC61511的安全生命周期所做的工作划分范例,各阶段的主要任务将在后续章节说明。
Phase*/Title
Activity/Output
By
1.HazardandRiskAssessment
a.SILclassificationcriteria.
客户
b.SILassessmenttabletolisthazardprocessscenarioswiththerisk/consequencesandsequencesleadingtothesehazards.
客户
3.AllocationofSafetyFunctionstoProtectionLayers
Layerofprotectionanalysis(通常含在SILassessmenttable里面).
客户
4.SISSafetyRequirementsSpecification
DevelopSRSintermsofSIFandSIL.
EPC包商
5.SISDesignandEngineering
a.SISDesignincludingSILverification.
b.SIStriptestprocedures.
EPC包商
6.SISInstallation,Commissioning,andValidation
a.Installationandcommissioning.
b.FATandSAT.
EPC包商
*:
安全生命周期其他阶段尚有6).operationandmaintenance,7).modification,和
8).decommissioning.
2招标书SIS/SIL工作划分及需求
SIS/SIL工作划分及报价风险
投标时应检查上述表格中,各项工作是由客户自己或EPC(设计、采购、建造)统包商负责完成,以避免投标后工作划分的纠纷。
SIS测试程序(SIStriptestprocedure)是否由包商做,应查明招标要求。
此外,执行SIL验算报告(SILverificationreport)不能达到SIL评估表(SILassessmenttable)所列的目标值(targetSIL)时,可能会须增设仪表或相关机械设备,此时所衍生增加的设计、采购、建造等各项费用,是由客户自己或EPC统包商承担,亦应了解。
招标书SIS/SIL软件需求
SIL评估表及验算报告等是否需特定软件,应查明招标书。
若无,投标时应明列得标后预定使用的软件。
SIL验算软件,如Exida公司的SILver,一个账号可多人同时无限时数上网使用,每年租金美金1495元。
但如指定IsographFaultTree+作为SIL验算软件,花费则约近或破NT$100万。
另外,仪表故障率(failurerate)数据的来源是否有特殊要求,亦应查明。
若无,投标时应告知客户仪表故障率数据来源。
例如,Exida公司的SILver软件已内含故障率数据库,但若招标书指定某一版本的OffshoreREliabilityDAta(OREDA),则须另估报价费用:
OREDA是一笔钱,key-in数据到验算软件,耗费更多任务时是另一笔钱。
招标书SIS测试周期及SIL验算参数
工厂岁修及SIS测试周期
工厂计划几年岁修一次,以
升级会员 