安全仪控系统设计指引.docx

1、安全仪控系统设计指引安全仪控系统设计指引页次1 安全仪控系统与安全等级缘由What? SIS SIF SIL安全仪控系统(Safety Instrumented Systems: SIS)指的是一个仪控系统，包含传送器、可程控器(logic solver)、控制阀或pump，可用来达成某一个或多个安全仪控功能(Safety Instrumented Function: SIF)。Shell把SIF叫做Instrumented Protective Function (IPF)。所谓的安全仪控功能，就是具有安全等级(Safety Integrity Level: SIL)的逻辑连锁，可藉以避免工

2、厂不幸的工安事件发生。SIL就是一个SIS的安全境界指标，它的定义取决于安全仪控功能的操作模式(mode of operation)：需求模式(demand mode)或连续模式(continuous mode)。安全仪控功能的操作模式根据IEC 61508-4 3.5.12节的定义，安全仪控功能的需求频率不大于每年一次，且不大于SIS测试的一半频率，方可视为需求模式，否则须视为连续模式。例如，某一SIF需求频率是每年一次，且该SIS每年测试两次，即可适用需求模式。相对于IEC 61508-4的定量定义， IEC 61511-1 3.2.43.1节的操作模式定义则偏向定性描述，有助于了解需求模

3、式及连续模式的特性。根据IEC 61511-1的定义，在SIS故障时且【制程操作异常或DCS故障】时，危险才会发生的SIF操作模式，称之为需求模式。反之，只要该SIS故障，不管制程或DCS是否异常，皆有潜在危险存在的SIF操作模式，称之为连续模式。飞机的自动导航系统是典型的连续模式，而石化业一般而言属于需求模式。需求模式的安全等级基本上SIL和成功率(availability)，都是用来描述当制程发生异常时，所需要SIS正常发挥跳车功能的需求程度。接受一个SIL 1的SIS，意味着该灾害风险很低，使用一个可能有10%失败率(90%成功率)的SIS是可接受的。举一个SIL 1 SIS，用在油槽高

4、液位跳脱的例子来说。90%成功率代表有10次高液位发生时，有可能发生1次SIS 失败，而导致油槽溢流。这样的风险是可承受的吗？若不能，则须使用更高等级的SIS，如SIL 2，失败率为10-2，或再高等级，SIL 3 SIS，失败率仅为10-3。除了SIL 13，相信很多人也看过AK 5/6的写法。下表除了IEC 61511-3 Figure E.2的SIL和AK对照表，并加上相关成功率、需求模式平均可能失败率(PFDavg: Average Probability of Failure on Demand)和风险降低倍数(RRF: Risk Reduction Factor)的数据，放在一起方

5、便比对参考。IEC/ISADIN V19250Availability RequiredPFDavg for DemandMode of OperationEquivalent RRF= 1/PFDavgSIL 4AK 799.99% 10-5 to 10-4100,000 to 10,000SIL 3AK 5/699.90 - 99.99% 10-4 to 10-310,000 to 1,000SIL 2AK 499.00 - 99.90% 10-3 to 10-21,000 to 100SIL 1AK 2/390.00 - 99.00% 10-2 to 10-1100 to 10连续模式的

6、安全等级需求模式的安全等级考虑的是当事件发生时，SIS成功的机率有多高。而连续模式的安全等级如下，它与制程或DCS是否发生异常无涉，只考虑该SIS每小时无法执行SIF的失败率有多高。IEC/ISAProbability of Dangerous Failure to Perform the SIF for Continuous Mode of Operation (per hour): PFHSIL 4 10-9 to 10-8SIL 3 10-8 to 10-7SIL 2 10-7 to 10-6SIL 1 10-6 to 10-5Why, Where and When? ISA和IEC 6

7、1508/61511美国：滥觞由于世界各地制程工厂意外不断的发生，1990年代欧美各国不约而同，都在设法从立法着手改善工安设计。配合1992年美国OSHA 订定的1910.119 “Process Safety Management for Highly Hazardous Chemicals”，美国ISA首先在1996年发行84.01 “Application of Safety Instrumented Systems for the Process Industries”，创先提出SIS的实际应用，随后美国EPA和OSHA 很快地认可此一工业标准。从此，1997年3月起在美国建厂的任何仪

8、控系统，皆须遵循ISA 84.01.欧盟IEC：集大成两年后，1998年欧洲IEC订定61508-1-7，也提出了Safety Related System的相关法规。2003年，针对制程工厂的SIS，IEC也出版了61511-1-3。IEC 61511定义严谨，且安全生命周期(Safety life cycle)阶段任务要求明确，广受业界使用。美国ISA也在2004年发行84.00.01-1-3，取代掉84.01，而其文件抬头则直接标示：修改自IEC 61511。至此，SIS/SIL终于有了共同的法规依循：世界大同篇IEC 61511，业界再也不用为ISA与IEC在SIS/SIL上不同的用字

9、及定义伤脑筋。关于欧洲SIS立法及IEC标准的关系，则请详下图。与美国SIS发展历史类似，鉴于工安事件的频繁及严重性，欧盟Seveso II Directive也在1996年发布，要求任一产品在欧盟销售前，必须满足96/082/EEC的基本要求。至于执行上相关技术细节，96/082/EEC则要求参照至IEC 61508和61511。How? IEC 61508/61511和安全生命周期安全仪控系统设计依循IEC 61508或IEC 61511，端视角色而定。IEC 61508“Functional Safety of Electrical/Electronic/Programmable Ele

10、ctronic Safety-Related Systems,”主要是为 SIS 产品、厂商而写，而IEC 61511“Functional Safety - Safety Instrumented Systems for the Process Industry Sector”主要是为 SIS 系统设计、整合、用户而发行，例如中鼎等工程顾问公司或塑化公司等石化工厂。如下二图所示，IEC 61508的安全生命周期有16个阶段，而IEC 61511的安全生命周期已简化成8个阶段，两者其实大同小异。SIL classification criteria.List hazard process sc

11、enarios with the risk/consequences and sequences leading to these hazards.Allocate each SIF to SIS, DCS, or other; verify SIL.FAT,SAT.Develop SRS in terms of SIF and SIL.Define the limits of the equipment under control and the scope of hazard and risk analysis.IEC 61511 safety lifecycle以下是依据IEC 6151

12、1的安全生命周期所做的工作划分范例，各阶段的主要任务将在后续章节说明。Phase* / TitleActivity / OutputBy1. Hazard and Risk Assessmenta. SIL classification criteria.客户b. SIL assessment table to list hazard process scenarios with the risk/consequences and sequences leading to these hazards.客户3. Allocation of Safety Functions to Protecti

13、on LayersLayer of protection analysis（通常含在SIL assessment table里面）.客户4. SIS Safety Requirements SpecificationDevelop SRS in terms of SIF and SIL.EPC包商5. SIS Design and Engineeringa. SIS Design including SIL verification.b. SIS trip test procedures.EPC包商6. SIS Installation, Commissioning, and Validati

14、ona. Installation and commissioning.b. FAT and SAT.EPC包商*: 安全生命周期其他阶段尚有 6). operation and maintenance, 7). modification,和8). decommissioning.2 招标书SIS/SIL工作划分及需求SIS/SIL工作划分及报价风险投标时应检查上述表格中，各项工作是由客户自己或EPC（设计、采购、建造）统包商负责完成，以避免投标后工作划分的纠纷。SIS测试程序(SIS trip test procedure)是否由包商做，应查明招标要求。此外，执行SIL验算报告(SIL ve

15、rification report)不能达到SIL评估表(SIL assessment table)所列的目标值(target SIL)时，可能会须增设仪表或相关机械设备，此时所衍生增加的设计、采购、建造等各项费用，是由客户自己或EPC统包商承担，亦应了解。招标书SIS/SIL软件需求SIL评估表及验算报告等是否需特定软件，应查明招标书。若无，投标时应明列得标后预定使用的软件。SIL验算软件，如Exida公司的SILver，一个账号可多人同时无限时数上网使用，每年租金美金1495元。但如指定Isograph Fault Tree+ 作为SIL验算软件，花费则约近或破 NT$ 100万。另外，仪表故障率(failure rate )数据的来源是否有特殊要求，亦应查明。若无，投标时应告知客户仪表故障率数据来源。例如，Exida公司的SILver软件已内含故障率数据库，但若招标书指定某一版本的Offshore REliability DAta (OREDA)，则须另估报价费用：OREDA是一笔钱，key-in 数据到验算软件，耗费更多任务时是另一笔钱。招标书SIS测试周期及SIL验算参数工厂岁修及SIS测试周期工厂计划几年岁修一次，以