安全仪表系统的功能安全
安全仪表系统的功能安全
文献:1.安全PLC现状分析,傅昆.
2.功能安全标准的历史过程与发展趋势,史学玲
3.安全仪表系统的功能安全,阳宪惠, 郭海涛
4.功能安全与我国安全相关的产业创新模式研究,史学玲,冯小升
随着石油化工、电力等行业进入规模化生产,生产装置积聚的能量越来越大, 并造成重大工业事故。安全仪表系统是安全相关系统的一类, 是保障生产安全的重要措施,它应在危险事件发生之前正确地执行其安全功能, 避免或减少事故的发生。然而有些时候, 由于安全仪表系统发生失效, 在需要它执行安全功能时无法正确执行预定的功能, 从而导致灾难事故的发生。为了确保安全仪表系统的功能得到切实执行, 功能安全的相关研究诞生了。2000年,国际电工委员会发布了IEC61508标准,该标准明确提出了安全相关系统的功能安全。功能安全是安全仪表系统有效地执行其安全功能的能力体现,是以系统功能的可靠执行来保证安全。
1功能安全标准及应用
1996年美国仪器仪表协会完成了第一个关于过程工业安全仪表系统的标准——ANSI/ISA-S84 01。随后, 国际电工委员会于2000年出台了功能安全国际标准IEC61508: 电气/电子/可编程电子( E/E/PE)安全相关系统的功能安全。该标准是功能安全的通用标准,是其它行业制订功能安全标准的基础。从此,功能安全的研究逐步成为研究热点。2003年, IEC发布了适用于石油、化工等过程工业的标准IEC61511。随即, 美国用IEC61511取代了ANSI/ ISA-S84 01成为国家标准。之后,适用于其它行业的功能安全标准相继出台,例如,核工业的IEC61513,机械工业的IEC62021等等。我国已于2006 年、2007 年分别等同采用了IEC61508和IEC61511, 发布了GB /T 20438 和GB /T 21109。这些标准均对安全相关系统的功能安全提出了要求, 但没有明确达到要求的方法和步骤。
在功能安全标准出台之初,英国、澳大利亚等国就开始强制采用该标准。日
本已将IEC61508国际标准转变为JIS-C-0508国家标准, 并在电子、宇航、铁路、汽车、原子能、化工、冶金等许多领域得到了应用。由于西方国家对于安全管理研究和应用已经趋于成熟,它们往往将功能安全国际标准同本国的工业实践相结合,由本国安全监管部门提出明确的标准应用指南。例如在挪威海上石油开采工业中,就在实施IEC61511标准时加入了管理部门的自身经验,制定了一系列的指南并对标准进行了改进。比如在IEC61511中,对于系统失效并没有要求进行定量的风险分析,但是挪威海上采油业中根据工业生产中的平均系统失效概率,对其进行了估算,做出了系统失效定量化的初步探索。
在没有相应行业标准的工业领域中,以IEC61508为基础建立本行业的安全规范。例如,在美国的采矿业中,引入了基于可编程电子器件的自动采矿系统,但是对于这种应用尚无相应的标准可以遵照执行。为了加强对自动采矿系统的安全管理,矿山安全和健康监察局委托国家职业安全与健康研究所制定了基于PE 的采矿系统功能安全框架。
2功能安全评估理论研究
功能安全是一种基于风险的安全技术和管理模式。风险评估是实施功能安全管理的前提,安全完整性等级是功能安全技术的体现,安全生命周期是功能安全管理的方法。因此,风险评估、安全完整性等级和安全生命周期是IEC61508的精髓。
2. 1风险评估
风险是出现伤害的概率及该伤害严重性的组合。出现伤害即是发生了事故。因此,要确定或预测某个事故的风险,就要先明确事故发生的可能性大小及该事故造成的后果的严重程度。目前,定量计算事故后果严重程度的模型较多,尤其是重大危险源的事故后果伤害模型, 例如凝聚相含能材料爆炸、蒸气云爆炸、沸腾液体扩展为蒸气爆炸、池火灾、固体和粉尘火灾等。根据这些模型,可以定量计算出死亡、重伤、轻伤、财产损失的半径及在该半径范围内发生的人员伤亡和财产损失数量。
事故发生的可能性大小是确定风险值的另一个重要参数。通过对受控系统有
关元件失效频率和人为失误频率等数据的处理可得到可能发生事故的频率。常用的方法有故障树分析、事件树分析和可靠性框图等方法。但是,由于缺乏基本事件的失效概率数据,这些方法的应用均受到阻碍。我国现阶段尤其欠缺对失效数据的收集和整理。
2. 2安全完整性等级的选择
通过风险评估,明确了需要降低的风险值,以及为了提高安全性仍需要增加的安全仪表功能,接下来就需要为每个安全仪表功能SIF 选择安全完整性等级SIL。SIL的选择方法有定性和定量的两类。目前常用的定性方法有:风险矩阵法和风险图;基于频率的定量法,如故障树、事件树、LOPA、根据频率定量计算法。
( 1)风险矩阵。
风险矩阵法将创建一个矩阵, 它的行列分别代表事件后果的严重程度和发生的可能性, 矩阵元素为某一个SIL值。
( 2)风险图。
风险图最早源于德国的安全标准, 主要考察对人员造成的伤害。风险图也是基于分级的, 包括可能性、后果、处于危险区域的时间长度和人员避开危险的概率四个参数。一旦确定了它们的分级, 就可确定安全完整性等级。在IEC61511中, 事件发生的可能性用要求率表示, 而且将风险图推广应用于环境保护和资产保护中。
( 3)根据频率定量计算。
安全完整性等级与必需的风险降低相关,因此,当必需的风险降低仅由单一安全措施实现,且当事件发生的后果不变时,该安全措施的平均要求时失效概率可直接计算。因为事故是在有危险事件且安全相关系统的安全功能没有正确执行的情况下才会发生,因此事故发生频率等于初始危险事件发生频率与安全功能要求时失效概率之积。当事故发生频率为允许频率时,安全功能最大要求时失效概率由下式确定。
PFD avg =F t/F np
式中: PFD avg ——安全功能平均要求时失效概率;F t ——允许风险频率;
F np——初始危险事件发生的频率。
2. 3安全完整性等级的验证
安全仪表系统设计完成后或安装完成试运行后或已运行多年后, 要对其进行功能安全评估,以明确其安全功能所能达到的安全完整性等级。如果计算得到的安全完整性等级达不到根据风险评估选择的安全完整性等级,则安全仪表系统应重新设计或进行改造。常用的主流方法有可靠性框图、故障树和马尔可夫(Markov)模型。
3评估和认证服务
国外功能安全评估和认证起步较早, 并且已经被广大用户、设备供应商和集成商、工程承包商所接受。用户通过权威的第三方机构进行评估和认证,对自己选用的安全系统更加放心,也使设备制造商能够生产出更加可靠的设备, 提高自身竞争力。目前国外比较著名的评估和认证机构和公司有德国的TUV和美国的Exida。功能安全评估和认证主要有产品安全评估和认证、过程评估和认证、管理过程认证、人员资格认证和项目安全评估,我国目前尚无功能安全评估和认证机构,某些行业的大型企业内部开始了功能安全评估工作,如中国石化安全工程研究院已在中石化内部开展功能安全评估工作,但只局限于对过程进行风险分析和硬件安全完整性等级计算。上海工业自动化仪表研究所已经建立了功能安全相关实验室,并对某化工厂的工业煤气输送开展了功能安全评估工作。北京市劳动保护科学研究所尝试对燕山石化某竣工验收项目的安全仪表系统进行了评估,从项目风险分析开始,明确危险事件,从而对可能引发该危险事件的安全仪表系统进行评估, 但也只考虑了硬件随机失效概率。
另外,机械工业机械仪器仪表综合技术研究所得到国家重点课题资金资助,筹建了“系统功能安全测试实验室”,拟开展对产品的功能安全认证工作。同时,该所开展了一系列功能安全标准和相关技术培训及功能安全人员资格认证。
4功能安全产品
目前,国外很多安全PLC、智能安全仪表等产品已经通过了功能安全产品第三方认证,达到了IEC61508或IEC61511标准规定的相应SIL等级要求, 或者通过使用中验证的原则达到了一定的SIL等级。例如, 西门子、霍尼韦尔、罗克韦
尔、黑马、横河、欧姆龙、倍加福、贝加莱、三菱电机、施耐德、皮尔磁、A&D 等厂家的安全控制器、安全总线几乎都符合IEC61508标准并得到了SIL3等级的认证, 即安全仪表系统的逻辑控制器大都达到了SIL3等级。可见, 自动化厂家将安全仪表系统的安全性能提高过多地放在了逻辑控制器上, 这实际是一个误区。事实上,制约SIL等级提高的瓶颈大多是”最终执行机构”电磁阀或切断阀等。近年来,已出现带有自诊断的智能型电动执行机构,其安全完整性等级可达到SIL2 等级。至于安全仪表系统的前端——传感器,一些自动化厂家的智能传感器已达到了SIL2等级,如西门子安全测量仪表(传感器)的安全完整性等级经过使用验证达到SIL2等级,通过冗余的多通道设计,可实现安全完整性等级高达SIL3。
我国石油、化工、冶金、电力等高危行业的大型企业采用的紧急停车系统、火气系统往往都是国外产品。一些典型的国产化系统, 如中石化北京设计院开发的炼油核心装置”催化裂化机组综合控制系统”、”连续重整装置催化剂再生控制系统”,中国铁道科学研究院研制的TR9型容错铁路联锁系统等, 其核心控制设备也都是国外设备。而且,目前国内尚无经过第三方功能安全认证的自动化安全产品。
小结
(1)国外工业发达国家已经广泛地采用了功能安全标准,并结合实际出台了相应指南,甚至对功能安全标准进行改进;而我国刚刚将功能安全标准作为推荐性国家标准引进,这在一定程度上限制了我国功能安全的发展步伐。
(2)国外对功能安全理论研究比较深入,国内刚刚起步,需要进一步深入探讨工业系统定量风险分析的方法,尤其是确定事故发生的频率;目前对于安全仪表系统的评估侧重于随机硬件失效对系统失效定量不够,因此需要研究更完善的针对安全仪表系统本身的定量评估方法。
(3)国外的功能安全评估和认证已被广泛接受,而我国目前尚无功能安全评估和认证机构, 只是尝试地开展了功能安全评估工作。
(4)国外很多安全监控产品已经通过了功能安全产品第三方认证,并加大功能安全产品的开发,而我国尚无经过第三方认证的功能安全产品。