咨询热线:+(86)10 63308519
您现在所在位置:首页 > 新闻
设定标准
来源: ceasia-china.com作者: Kenny Fu时间:2019-12-16 16:05:12点击:7348

Peter Clarke博士向我们解释了认真合理的使用IEC 61511安全标准将会让我们的流程工厂得到哪些收益。

流程行业安全标准 IEC 61511 与其上游的功能安全标准 IEC61508已经问世多年,现在它们已经被当作是管理工业风险的有效方法。尽管这些标准已经取得了成功,但是还是有些人把它们看作是立法者强加到企业身上复杂繁重的负担,对最终用户来说根本就没什么用。然而,本文将要讨论的,就是事实与上述这些人的看法相去甚远。

这些标准,已经成为了工业的需要,而不是从外部强加的负担,如果应用得当,可以创造巨大的价值。企业的收益可以体现在安全性提升、高性价比的设计和维护过程、停机时间减少等方面,所有这些对于企业的收支平衡都有着很大的影响。

功能安全的概念IEC 61511 的诞生是因为流程中蕴含着大量的危险,有非常大的可能会导致损失和伤害。这些出乎意料的结果的风险,既取决于事件的严重程度,比如有多少人在事故中受伤或者死亡,造成了多少破坏和生产损失,也取决于它们发生的频率,也就是这类事件预计多久会发生一次。

我们希望将风险降低到可以接受的水平从而能够控制这些危险。如何做当然取决于我们自己,但是还需要一系列方法,其中有一些是工程方面的,有一些是过程步骤,还有一些则要与流程技术相关。

但是,即便是使用了尽可能多的方法,还会有很多风险的水平很高。仅仅是简单的为工厂加装更多的警报器、释放阀和运行环节,并不能解决问题,有一些已经消失的法律又被人们重新翻了出来加以使用,当然这些就已经不是本文讨论的范围了。在本文中,我们主要讨论防护工具:主动自动化防护系统,也就是通常所说的安全仪表系统(SIS)。

因为SIS承担着降低风险的重任,我们在使用它们的时候必须慎之又慎。并没有一款通用的现货型安全仪表系统,我们可以简单安装然后把它放在那置之不理。对于每一个可能的风险,都必须为SIS设计专门的安全功能。如果我们没有正确的设计、安装和维护,安全仪表系统可能就会在出现需求失效,在不需要的时候工作,或者对于危险情况提供的保护没有达到我们的预期。对于流程行业,可以为我们在复杂而且极具挑战性的SIS世界里提供指引的就是国际标准 IEC 61511 了,它告诉我们在SIS的整个生命周期都需要对其非常关注,甚至是在SIS还没有投入工作之前,我们就需要考虑到底要SIS做什么。

标准使用安全生命周期的概念解决了SIS整个工作流程的问题。简单的说,生命周期可以分为三个阶段,在这些阶段中我们分别需要回答以下问题:我需要SIS吗,如果需要,需要什么类型的?我应该如何设计SIS满足要求?当我的系统工作时,如何确保SIS也正在工作?

安全生命周期检查在生命周期的第一个阶段,我们需要分析工厂运行可能包含的风险。首先,我们必须决定自己可以容忍何种程度的安全风险;我们也可以选择考虑其他的危险类型,比如对环境的破坏、停机、设备损坏和声誉受损。尽管我们的高级管理层可能会相信零风险的存在,但是这并不是一个有意义的目标,因为它不可能实现。所以说,我们必须设定有限的风险目标,作为生命周期后续工作的基础。

接下来,我们需要检查流程,识别出所有的风险原因。对于每一个可能会带来意外结果的事件来说,我们都必须确定它可能的发生频率(比如一年发生多少次)以及严重程度(比如工厂损坏的成本)。我们将降低风险的方法进行分配,然后确定需要使用安全仪表系统提供多少补充保护。

对于每一个无法容忍的风险,都需要定义安全功能,也就是说在危险条件满足的时候采取的措施。就此,我们准备一份名为SRS(稍后我们将进行讨论)的规范,说明安全功能的可靠性需要达到何种程度。做出这种规定,是因为由于一些随机硬件故障,安全仪表系统存在需要时无法工作的可能性。这种安全可靠性的指标被定义为安全完善度等级,或者简称SIL,分为1至4级。

在安全生命周期的第二阶段,我们设计一款SIS满足需求。需要选择硬件,进行计算保证硬件可以达到要求,撰写软件和维护步骤,并在所有的安全设备安装和试车的前后进行深入的测试和检查。接下来在第三阶段,我们在SIS就位的情况下运行工厂,对SIS的性能和工厂引发的安全需求(包括真实的危险事件和假性事件)进行记录。我们还需要按照计划对SIS进行维护,通过变更步骤管理(本文稍后将会讨论)对SIS设计的每一次修改仔细的进行控制。

设计错误控制到目前为止,在我们关于安全仪表系统可靠性的讨论中,我们都在潜意识中认为只有一种类型的失效,即随机元件失效,它是由自然老化或者是意外的外部压力(如热、冷和振动)导致的。

事实上,还有另外一种失效也非常重要,甚至可能对于安全PLC这类高技术设备来说更加重要。这种失效是由设计错误造成的,通常就像草地中的蛇完全的隐蔽起来,直到各种外界条件凑巧一同发生时才会被发现。

在仪表安全用语中,这些出乎意料的事故被称为系统失效,因为它们只有条件合适发生的趋势就会呈现出系统性。我们将一些典型的系统失效列在表1当中。一个简单的例子,是检测阀门(一种非回流阀)的安装方式错误:在反向压力发生的时候,它一定会导致出现你不想看到的反向流。换句话说,这种失效是确定的:失效只是由外界环境决定,并不取决于随机的外部影响。

处理随机和系统这两类失效的方法是截然不同的。随机失效是一直都会发生的事件,没有任何工程手段可以根除。就好像我们看看自己的身体:我们可能会因为随机的外部影响而生病。我们可能会遭遇事故,我们的身体最终会衰老直至死亡。这就是我们为什么要进行健康检查、预防性维护(你是否会定期刷牙和使用牙线)和保险。这些都是我们在安全生命周期的第三阶段应该采用的维护策略。

然而另外一方面,系统失效可以通过良好的工程设计和管理彻底消除。事实上,对待这类失效的态度不仅仅是可以消除,是必须要消除。IEC 61511 的贡献之一就是提供处理系统失效的方法论。

多层策略I E C 6 1 5 1 1 为处理系统失效开发了多层策略。为了理解这一点,我们将讨论的重点放在三个主要的概念上:元件、SIS设计和项目管理。

(1) 元件层级IEC 61511 需要我们分步消除SIS元件中的设计错误。有两种方式可以任选其一:我们可以购买设计和制造方法久经考验(比如经过SIL认证)的元件,或者我们也可以选择使用记录良好(之前使用的情况)的元件。在购买SIS元件,比如传感器、阀门、安全PLC的时候,SIL认证通常是设备制造商的责任。IEC 61508 详细列出了SIL认证的要求,该标准是 IEC 61511 的母标准(其他与安全仪表系统相关的标准还包括面向机械行业的 IEC 62061)。

越来越多的设备制造商已经开始认识到SIL认证的价值,这就为最终用户验证他们选择的元件提供了一种便捷的方法,并保证了制造和设计过程的质量。

SIL认证服务由一些独立的审计机构完成,包括TVRheinland.TV Nord 和 Exida。后者还拥有安全自动化设备清单,可供在线咨询(www.sale-online.com),同时该机构还设计了一套风险分析软件exSILentia。

一旦一款产品通过SIL认证,证书会确定使用这款元件的任何安全功能所能达到的最大SIL级别。在证书或者相关的评估报告中,需要提供所有量化安全功能可靠性所需的数据,当然还可以提供其他很多与失效率相关的数据资源。

率先使用比较的方法让每个用户选购的元件在实际使用中的性能都可以达到预期。标准并没有精确定义需要多少历史记录,但是一般来说 SIL 1 级最少需要在至少一年的时间里有超过10个元件在不同的场合下工作达到 100,000 小时,而失效率不能差于理论计算的预测数值。应用所学的SIL等级越高,提前试用的证据就要越充分。

提前使用的数据并不仅仅对安全应用是有意义的,一些非安全应用场合,比如一般的流程控制系统,也可以考虑分析这些数据。然而,非常重要的是,标准并没有要求历史数据与目标应用相关。在实际当中,这就意味着元件必须与之前使用的完全相同。说的具体一点,就是任何内置软件的修改数字都必须匹配,元件必须使用在类似的操作条件和物理环境当中,上述是 IEC 61511 的原话。

要证实这一点,通常是事先使用这种方法的一个瓶颈。很明显,这还需要依赖于可靠性数据收集的质量,这也是我们稍后会讨论的一个话题。

由于这些挑战,很多用户倾向于在所有的SIS应用中使用已经通过SIL认证的元件。然而,这并不总是最好的策略。有时候,如果一台设备已经帮助你的工厂远离事故很多年,坚持使用你已经非常了解的设备效果更好。这是出于以下的几条原因:

你的技术人员已经对它非常熟悉,因此在安装和维护过程中犯的错误更少;现场设备的类型更少,意味着备件更少,出错的几率也更低;你已经从直接的经验中了解到它的性能局限在哪里,比如在现有的工厂环境中它的磨损老化时间是多久。

因此,尽管有一些困难存在,用户还是不应该把事先使用这种方法排除在考虑之外。像exSILentia这样的软件工具现在也可以帮助开发事先使用的验证流程。

(2) SIS设计层级

遵循 IEC 61511 标准可以帮助我们消除SIS自身设计之中的错误。再次重申,这包括两个方面,每一个方面都贯穿标准的始终,它们分别是:正确的设计和正确的建档。

首先,让我们看看什么是正确的设计。因为 IEC 61511非常强调前端的风险分析。按照经验,规范不合理是安全功能无法实现避免事故这一目标的重要原因之一。建立正确的规范需要我们一丝不苟的进行风险分析。

到目前为止,我们已经知道我们降低风险的目标是什么,下一个关键步骤就是确保我们的设计可以实现上述目标。IEC 61511 通过计算我们设计的理论风险降低程度,在现场安装任何设备之前考量目标是否能够实现。计算并不是一个可有可无的流程,可以由外部的咨询师完成,当然也可以使用能够分析高度复杂安全功能的软件工具。

对于正确的建档,今天的大型项目都在被划分成若干的子项目,分包给不同的承包商,这个过程尽管有自己的优势,但是也造成了通讯中断和责任模糊的问题。最终的后果可能是灾难性的,很多流程工厂的重大事故都证实了这一点。

为了解决这些问题,IEC 61511 强调了在安全生命周期的每一个阶段都要进行有效建档的重要性。具体的说,它需要创建一份名为安全需求规范(SRS)的文档。

SRS最早创建于SIS的需求清晰的时候,这时SIS的目标表现细节已经知晓了,比如,SIS需要能够降低多大程度的风险,它需要应对哪些危险,如果危险增加的时候,哪些不良后果需要避免。在设计的稍晚阶段,需要修改SRS,包括实现这些目标所需硬件的细节信息。

SRS是安全生命周期中一份关键文件,主要的理由如下:它为安全生命周期中的各参与方,包括SIS的设计、施工、试车、维护、修正各方,提供了一个触点。它定义了安全生命周期绩效的测量标杆,这适用于生命周期的各个方面。举例来说,设计师必须检查自己的设计是否满足SRS的需求,维护人员必须要保证他们按照SRS列出的细节进行维护,而运营管理人员必须要确认真实情况(风险的程度和安全仪表系统的绩效)与SRS中所做的假设匹配。所有这些检查都是标准要求的。因此,SRS是验证所有后续生命周期工作的重心。编辑有效的SRS文件是一项繁重的工作,但是和生命周期中许多其他的活动一样,咨询师和工具可以提供很多帮助。

(3) 项目管理层级与安全生命周期所有的阶段平行,IEC 61511 要求从最初概念到安全设备的最终废弃所有活动都要进行适当的管理。这涉及到很多方面:竞争力需求、计划和建档控制等等。但是从我们的角度来说,我们主要关注两个方面:确认生命周期中所做的工作可以带来安全以及变更管理。

确认生命周期表现对于熟悉 ISO 9000 的用户来说并不是一个全新的概念。不仅需要在实际上遵循各个步骤,还要表现出来。不仅要将步骤建档,还要显示出可以达到预先设计的目标。不仅要在理念上追寻高质量,而且要在实际工作中有所体现。不仅要说到,而且还要证明我们已经做到(并且知道怎么做)。

质量管理的四条公理也同样存在于 IEC 61511 之中。在安全的世界里,它们分别叫做确认、验收、功能安全评估和审计。这看起来很苛刻,但是它们敦促我们第一次就做到最好,保证所有的错误在萌芽阶段就可以发现,而不会出现在硬件当中造成灾难性后果。

因为标准是基于表现的,它并没有对工厂设计或者流程设计提出很多具体的、描述性的要求。因此,我们可以开发适应自己公司文化和结构的安全管理战略。不必要额外建立很多文档来管理安全生命周期,将生命周期的要求集成到现有的计划、设计、建设和维护工作当中,就足够了。

对于第二点,在工厂中没有关于变更管理(MoC)的特别要求。需要特别指出的就是,IEC 61511 需要 MoC 方法的完整性。

事实上,从这一点上可以看出,生命周期的循环特性非常明显:对于MoC策略来说,我们分析需求会不会给工厂带来改变,如果必要,就需要返回到生命周期较早的阶段。因此,我们可能需要重新回到风险分析、SRS建档、设计和维护的阶段,进行修改。建档的价值再一次得到了体现,如果我们在第一时间花点精力撰写文档的话,那么后来工厂变更的影响衡量起来就容易多了。

对潜在变更的影响进行一个全面的分析,是非常好的习惯,可以消除很多事故。比如说,1974 年英国 Flexborough化工厂的灾难性事故带走了28个人的生命,实际上如果有合适的变更管理,它完全可以避免。严格变更管理的另外一项好处,是可以避免秘密变更,它可能是在工厂内经年累月发生的,比如设置点变化、假性防护过多、使用硬件旁路等等。这些变化也可能由于经验丰富员工的离职,在几个月之内就可以发生。

利润那么,使用 IEC 61511 的方法实现功能安全有什么收益呢?简而言之,就是它会为你赚钱。合理的风险分析避免了工厂出现巨大损失的情况,它也可以减少不必要的工程工作,降低前期和维护成本,进而提高利润水平,更不用说由于工厂运行时间增加带来的巨大收益。

充分关心设计的完善程度,是消除系统失效的唯一有效方法,它甚至可以不需要整套的安全系统。设计过程的细节管理,保证在昂贵的安全硬件购买订单下达之前消除一切与成本相关的错误。最后,严格的按照计划合理维护和一丝不苟的变更管理,保证减少停机时间增加安全性。

IEC 61511 通过仪表安全的集成化方法,帮助你实现上述所有的收益,让你的工厂一直安全平稳的运营。

CEA China作者:Peter Clarke博士是Exida亚太区高级安全咨询顾问。欢迎任何有关本文的平稳和问题,请发送邮件peter.clarke@exida.com。所有在12月31日之前反馈的读者,都将会收到一份A2大小的安全生命周期彩色海报,也会得到Ed Marszal和Eric Scharpf两人合写的《安全完善度等级选择》一书。

集成SIS系统保障高压聚乙烯生产

西门子工业自动化集团自动化系统部

于1986年建成的中石油大庆石化分公司6万吨/年高压聚乙烯I装置在设计之初采用德国伊姆豪逊专利技术,以乙烯为生产原料,氧气为引发剂,丙烯、丙烷、丁烯-1为分子量调整剂,采用一热三冷四点进料的管式法反应,反应温度为270~330℃,反应压为210~270MPa,可生产13个不同牌号的聚乙烯产品。

作为典型的高温高压和易燃易爆装置,最开始采用了西门子S3控制系统,1994年升级为S5系统,而时至今日,随着工厂对安全和控制的要求日益严苛,大庆石化再次进行了升级改造,将装置控制系统升级为 SIMATIC PCS7,并集成了西门子SIS系统S7 F/FH。

在最新这次改造升级过程中,上海西门子工业自动化有限公司(SIAS)负责DCS和SIS的一体化工程设计、组态、调试和开车,SIAS协助用户方拆除了控制室原有S5 PLC系统,并以输入输出安全栅为界面,将现有I/O点分配进入新的PCS7 S7-400FH控制系统,重新转换整个控制系统程序为S7平台,不但实现原有的全部功能,而且实现了SIL3安全等级的安全控制功能。

基于全集成自动化(TIA)的DCS和SIS安全集成解决方案优势在项目升级中体现无疑,其中安全系统S7-400FH既满足安全功能上的独立需求,又可以在DCS的操作界面上显示全部的安全相关工艺和维护诊断数据,便于统一的数据管理,其结果是节省成本的同时也避免了DCS与SIS属于不同供应商带来的接口兼容性隐患。

集成安全系统S7-F/FH每单个CPU能够达到SIL3等级要求,在本项目中为了满足高可用性要求,系统进行了全冗余容错配置,包括控制器、I/O模件、系统总线和服务器的多层次冗余,其中基于柔性模件冗余(FMR)技术的S7-400FH具备多路容错性能,允许系统多个故障发生而不会造成装置误停车。

保证工厂安全运行

艾默生过程管理作为PlantWeb数字工厂架构的一个拓展,艾默生智能SIS解决方案包括传感器、逻辑解算器和最终控制元件构成完整的安全回路。

数据表明, 超过9 0 % 的安全事故来自于现场设备,DeltaV智能SIS通过连续的诊断确保安全仪表回路在整个生命周期的安全性。利用现场智能变送器的扩展诊断技术,可以提高设备的可信度,减少误动作,减少验证测试,延长验证测试的时间间隔。针对现场阀门,为了防止执行机构的锈蚀和粘连导致的无法动作,艾默生采用局部行程测试方案,有助于维护人员有目的的合理安排维护工作,而不是面对意外故障采取应急措施。DeltaV SIS 安全仪表系统可以快速满足 IEC61511 在运营上要求,自动的文档记录功能满足国际安全标准及当地附加的规范。内置的变更管理,二次确认,下装控制,设备审核跟踪等可简化符合 IEC61511标准的工作。

与传统的SIS不同,DeltaV SIS 实现集成并且独立的构架,SIS与常规系统实现无缝整合,集成的操作界面、SOE、和工程软件使工厂运营更加有效。安全系统的逻辑解算器、通讯信道、电源,实时操作系统保持了IEC61508 所要求的独立。

DeltaV SIS 设计关注于每个安全仪表功能的实现,每个逻辑解算器都是数个安全仪表功能的容器,他们之间不存在意外的交叉。DeltaV SIS 可随安全仪表功能的增加而扩展,只需在线增加逻辑解算器就可以包含更多的安全功能,不会影响现有系统的性能与运行。DeltaV SIS 提供了经过认证的全套智能软件模块,灵活的表决功能块把以前冗长的工程设计,测试和调试变为简单的鼠标拖放操作。简化维护工作和降低复杂性使整个生命周期内的成本和风险降低。

所有的软件功能块都经过 TV 认证,直观易用。包括内置事件序列处理程序、旁路管理、权限管理,符合IEC61511的要求。EEMUA 191 风格的报警显示,为操作工及时发现危险信息提供醒目的提示。所有模板式操作员界面可以快速组态并且可按需灵活定制。

值得一提的是,艾默生不仅仅提供优秀的安全仪表系列产品,而且提供经过TV认证的符合 IEC61511 标准的服务体系,服务涵盖安全的整个生命周期,目前,DeltaV SIS在国内的江西赛维多晶硅、中石油兰州石化、中石油储气库、山西三维集团等众多项目中得以成功应用。

> 相关阅读:
> 评论留言:
杂志更多+
热门推荐
联系地址: 北京丰台区广安路9号国投财富广场4号楼3A19 企业邮箱:steve.zhang@fbe-china.com
©2019 版权所有©北京中福必易网络科技有限公司  京公安备11010802012124京ICP备16026639号-2