通过安全完整性等级(SIL)评估资产安全性

对于关键设备建立安全仪表系统(SIS)进行安全性控制是一个行业通行做法,并是多个行业的规范性要求。(如《SH/t 3018-2003 石油化工安全仪表系统设计规范》)SIS本身是一个自动化的控制系统,但其安全有效性需要进行SIL评估与验证。

安全仪表系统(Safety Instrumented System – SIS)

安全仪表系统是用仪表来实现安全功能的系统。

想象一个加热元件,其加热房间的温度并维持在所需的温度(例如,20摄氏度)。如果温度过快升高,温度变化可能会导致一系列事件,例如可能导致设备故障或事故。为了防止在加热过程中升温过快,温度计内的传感器不断测量温度,并将该信息传递给计算机。计算机决定温度是否以与此过程的指定安全限制一致。如果传输到计算机的数据表明温度增加太快,它将向加热元件发送命令以降低温度。

温度计,计算机和加热元件内的传感器一起作为安全仪表系统,监控房间的加热过程,以确保安全有效地执行。

安全仪表系统通常有三个主要构成

  • 仪表(感应数据)
  • 逻辑运算器(测算是否安全)
  • 最终控制元素(执行保护)

安全仪表功能(Safety Instrumented Function)

安全仪表功能(SIF)是安全仪表系统中的需要满足的特定过程监控。每个SIS中可能有1个或多个SIF。

对于为安全仪表系统定义的每个仪表功能,将存在至少一个保护仪表回路(PIL)以满足该需要。 保护仪表回路是一系列相互连接的仪器。每个回路都被设计为能维持流程中的特定状态,控制住特定目的或功能。

在进行系统化分析时,每个安全仪表功能都可能关联以下要素:

  • 逻辑运算器( 每个运算器可能为多个SIF服务。 )
  • 设备和(或)功能位置
  • SIF 常见故障
  • 如果异常,则可能发生的危险事件。

逻辑运算器(Logic Solver)

逻辑运算是硬件设备或软件系统,其输入和输出连接到安全关键设备(最终控制元素)。 安全关键设备和逻辑解算器组成了保护仪器回路(PIL)。 该回路旨在满足仪表功能的需求(SIF)。

安全完整性等级(SIL)

安全完整性等级(SIL)是一种用于定义风险等级的标准,或用于指定风险控制的目标水平。

具体的SIL标准值,在不同行业的安全标准中并不一致。 在基于IEC 61508标准的功能安全标准中,定义了四个SIL,其中SIL 4最可靠,SIL 1最少。

受控设备(EUC – Equipment Under Control)风险应当被评估、预测,针对每一种潜在的危险事件。

IEC 61508 : 电气/电子/可编程电子安全相关系统的功能安全 (E/E/PE, or E/E/PES).

使用示例1(定量分析SIL)

IEC 61508标准建议“可以使用定性或定量危害和风险分析技术”。

例如可以按以下风险的定性分析,是一个基于6种发生可能性和4种后果的框架。

发生可能性的类别

可能性类别 定义 参考范围(每年故障)
经常 系统生命周期中多次> 10^(-3)
可能 系统生命周期中可能多次出现 10^(-3) 到 10^(-4)
偶尔 系统生命周期可能会发生一次 10^(-4) 到 10^(-5)
罕见 系统生命周期中不太会发生 10^(-5) 到 10^(-6)
不太可能 几乎不可能会出现 10^(-6) 到 10^(-7)
难以置信 无法相信它竟然会发生 < 10^(-7)

后果分类

后果类别 定义
灾难性的 威胁到多人的生命
关键性的威胁到一个人的生命
明显的对一人或多人造成受害
轻微的最多会造成轻微伤害

风险评级矩阵(SIL)

风险=发生的可能性*后果

灾难性的关键性的明显的轻微的
经常SIL-4 不可接受SIL-4 不可接受SIL-4 不可接受SIL-3 阻止发生
可能SIL-4 不可接受SIL-4 不可接受SIL-3 阻止发生SIL-2 可容忍的
偶尔SIL-4 不可接受SIL-3 阻止发生SIL-2 可容忍的SIL-2 可容忍的
罕见SIL-3 阻止发生SIL-2 可容忍的SIL-2 可容忍的SIL-1 被接受的
不太可能SIL-2 可容忍的SIL-2 可容忍的SIL-1 被接受的SIL-1 被接受的
难以置信SIL-1 被接受的SIL-1 被接受的SIL-1 被接受的SIL-1 被接受的
  • SIL-4级 – 不可接受: 任何环境中都不可接受;
  • SIL-3级 – 阻止发生:几乎无法降低风险,或是降低风险的代价明显比改进它要大很多。
  • SIL-2级 – 可容忍的:如果降低风险的代价大于改进它,就容忍它的出现。
  • SIL-1级 – 被接受的:接受它的存在,并按需要进行监控。

针对风险可以制定措施,包括

  • 降低风险发现的措施。
  • 风险出现后,减轻伤害的措施。

使用示例2( 车辆安全完整性等级 ASIL)

ISO 26262 – 车辆安全完整性等级 ASIL中按以下方式定义风险: Risk = S * (E * C)

严重性暴露概率可控性
S0 无伤害
E0 – 很低的概率C0 完全可控
S1 轻度伤害E1 – 低概率 1%C1 简单可控 (>=99% 驾驶员 )
S2 严重伤害(有可能生还)E2 – 中度概率 1%-10%C2 一般可控 (>90% 驾驶员)
S3 致命伤害E3 -高概率(常见)C3 难以控制 (<90% 驾驶员)

示例3 (IEC 61511)

暴露时长 Frequency and duration可能性 Probability of hazardous可避免性 Avoidance
Fr=5: 1小时Pr=5 非常高
Fr=5: 1小时到1天Pr=4 常见
Fr=4: 1天到两周Pr=3 可能Av=5 不可控
Fr=3: 2周到1年Pr=2 少见Av=3 有可控性
Fr=2: 1年以上Pr=1 基本不可能Av=1 可受控

分级 Class (Cl)=Fr+Pr+Av

严重性CL = 4Cl=5-7Cl = 8-10Cl = 11-13Cl = 14-15
Se=4 死亡或严重伤残(失去视力、手臂)SIL-2SIL-2SIL-2SIL-3SIL-3
Se=3 永久性伤残(失去手指)其它措施SIL-1SIL-2SIL-3
Se=2 可恢复性伤害,需要专业医疗处理其它措施SIL-1SIL-2
Se=1 可恢复性伤害,需要基础处理其它措施SIL-1

不同行业可参考的具体标准

IEC 61511针对由电子为基础的安全系统提出 了一个一致、合理的安全性管理技术方案。之后,以此为参照,衍生出不同行业的标准。

  • 汽车:ISO 26262是IEC 61508对汽车电气/电子系统的改编。它被各大汽车制造商广泛采用。
  • 轨道交通:IEC 62279为铁路应用提供了IEC 61508的特定解释。它旨在涵盖铁路控制和保护软件的开发,包括通信,信令和处理系统。
  • 流程制造:例如炼油厂,石化,化学,制药,纸浆和纸张以及电力。 IEC 61511是一项技术标准,其中规定了工业过程安全的系统工程实践。
  • 核电厂: IEC 61513为核电厂安全重要系统的仪表和控制提供了要求和建议。
  • 机械加工: IEC 62061是IEC 61508的机械加工行业的细分标准。

SIL验证

必须对安全仪表系统和该系统中的每个仪表功能(SIF)进行测试,以确保这些系统的功能符合其设计标准。 验证测试包含一组步骤,您需要执行这些步骤来测试安全仪表系统和仪表功能。 进行测试的条件应代表系统运行的正常条件。

根据组成安全仪表系统的设备或设备组,您需要定义一组适用于给定设备或设备组的测试步骤。 换句话说,您需要定义一组测试步骤,您可以在测试类似系统时重复使用这些步骤。

通过软件进行SIL分析的典型过程

进行SIL分析包括完成以下步骤:

  • 创建一个“ SIL分析 ”:初始时仅包括分析的范围、时间。后续执行分析的结果会保存在这个实体中
  • 定义“ SIL分析团队 ”:团队成员将会进行分析工作。
  • 定义“逻辑运算器(Logic Solver)”: 逻辑运算器是用以监控仪表功能过程以及保护仪器回路。
  • 定义“安全仪表功能(SIF)”,每个安全仪表功能,都用于将SIL维持特定等级中。
  • 执行“SIL评估”:确定每个仪表功能的目标SIL值(可能性、严重性)。
  • 创建“SIL验证”: 通过创建保护性仪器回路并定义其中要素,重新试验,并验证是否达到目标SIL。
  • 执行“SIL验证”:记录、分析结果,必要时需要重新执行,以确保系统按照其设计的标准运行。
  • 将SIL分析链接到参考文档,其中包含与分析相关的参考资料。提出建议书。
  • 最后可以战略性地使用建议来提出一种行动方案,该行动方案将可以减轻已经评估的风险,或者策略性地提醒另一个用户或创建用于解决具体问题的工作请求。

发表评论