安全仪控系统设计指引.doc

安全仪控系统设计指引目 录页次1安全仪控系统与安全等级缘由41.1What? SIS SIF SIL41.1.1安全仪控功能的操作模式41.1.2需求模式的安全等级41.1.3连续模式的安全等级51.2Why, Where and When? ISA和IEC 61508/6151151.2.1美国：滥觞51.2.2欧盟IEC：集大成51.3How? IEC 61508/61511和安全生命周期62招标书SIS/SIL工作划分及需求72.1SIS/SIL工作划分及报价风险72.2招标书SIS/SIL软件需求72.3招标书SIS测试周期及SIL验算参数82.3.1工厂岁修及SIS测试周期82.3.2SIL验算参数SIS测试周期与PFDavg关系SIS任务时间、测试效率与PFDavg关系Beta系数与PFDavg关系MTTR与PFDavg关系103SIS/SIL项目执行要点103.1SIS/SIL开工澄清会议103.2Phase 1: 风险评估(Hazard and Risk Assessment)113.2.1SIL分级准则(SIL Classification Criteria)113.2.2SIL风险评估(Hazard and Risk Assessment)113.3Phase 2: 保护层安全功能分配123.4Phase 3: SIS安全需求规范(SIS Safety Requirements Specification)123.5Phase 4: SIS设计(SIS Design and Engineering)133.5.1SIS设计及SIL验算故障率相关基本定义硬件容错备援需求SIS架构 - Voting故障率数据的来源SIL验算报告153.6SIS 测试及测试程序163.6.1SIS在线测试163.6.2SIS在线测试：P & ID 已有相关设施者173.6.3SIS在线测试：P & ID 未标示相关设施者173.6.4SIS测试程序184SIL计算理论204.1Failure Mode & Effect Analysis (FMEA)204.2Reliability Block Diagram (RBD)204.3Markov Analysis214.4Fault Tree Analysis (FTA)215缩写、SIS法规清单及参考书目225.1机关及术语缩写225.2SIS法规清单235.3SIS参考书目241 安全仪控系统与安全等级缘由1.1 What? SIS SIF SIL安全仪控系统(Safety Instrumented Systems: SIS)指的是一个仪控系统，包含传送器、可程控器(logic solver)、控制阀或pump，可用来达成某一个或多个安全仪控功能(Safety Instrumented Function: SIF)。Shell把SIF叫做Instrumented Protective Function (IPF)。所谓的安全仪控功能，就是具有安全等级(Safety Integrity Level: SIL)的逻辑连锁，可藉以避免工厂不幸的工安事件发生。SIL就是一个SIS的安全境界指标，它的定义取决于安全仪控功能的操作模式(mode of operation)：需求模式(demand mode)或连续模式(continuous mode)。1.1.1 安全仪控功能的操作模式根据IEC 61508-4 3.5.12节的定义，安全仪控功能的需求频率不大于每年一次，且不大于SIS测试的一半频率，方可视为需求模式，否则须视为连续模式。例如，某一SIF需求频率是每年一次，且该SIS每年测试两次，即可适用需求模式。相对于IEC 61508-4的定量定义， IEC 61511-1 节的操作模式定义则偏向定性描述，有助于了解需求模式及连续模式的特性。根据IEC 61511-1的定义，在SIS故障时且【制程操作异常或DCS故障】时，危险才会发生的SIF操作模式，称之为需求模式。反之，只要该SIS故障，不管制程或DCS是否异常，皆有潜在危险存在的SIF操作模式，称之为连续模式。飞机的自动导航系统是典型的连续模式，而石化业一般而言属于需求模式。1.1.2 需求模式的安全等级基本上SIL和成功率(availability)，都是用来描述当制程发生异常时，所需要SIS正常发挥跳车功能的需求程度。接受一个SIL 1的SIS，意味着该灾害风险很低，使用一个可能有10%失败率(90%成功率)的SIS是可接受的。举一个SIL 1 SIS，用在油槽高液位跳脱的例子来说。90%成功率代表有10次高液位发生时，有可能发生1次SIS 失败，而导致油槽溢流。这样的风险是可承受的吗？若不能，则须使用更高等级的SIS，如SIL 2，失败率为10-2，或再高等级，SIL 3 SIS，失败率仅为10-3。除了SIL 13，相信很多人也看过AK 5/6的写法。下表除了IEC 61511-3 Figure E.2的SIL和AK对照表，并加上相关成功率、需求模式平均可能失败率(PFDavg: Average Probability of Failure on Demand)和风险降低倍数(RRF: Risk Reduction Factor)的数据，放在一起方便比对参考。IEC/ISADIN V19250Availability RequiredPFDavg for DemandMode of OperationEquivalent RRF= 1/PFDavgSIL 4AK 799.99% 10-5 to 10-4100,000 to 10,000SIL 3AK 5/699.90 - 99.99% 10-4 to 10-310,000 to 1,000SIL 2AK 499.00 - 99.90% 10-3 to 10-21,000 to 100SIL 1AK 2/390.00 - 99.00% 10-2 to 10-1100 to 101.1.3 连续模式的安全等级需求模式的安全等级考虑的是当事件发生时，SIS成功的机率有多高。而连续模式的安全等级如下，它与制程或DCS是否发生异常无涉，只考虑该SIS每小时无法执行SIF的失败率有多高。IEC/ISAProbability of Dangerous Failure to Perform the SIF for Continuous Mode of Operation (per hour): PFHSIL 4 10-9 to 10-8SIL 3 10-8 to 10-7SIL 2 10-7 to 10-6SIL 1 10-6 to 0的连锁控制必须放在SIS内执行，原则上也只有SIL 0的连锁控制可以放在SIS内执行。右图展现的其实就是IEC 61511-3 Figure C.1，是典型保护层分析的范围层次示意图，可以看出独立保护层区分事先预防(prevention)及减缓灾害(mitigation)的概念。常见的预防型保护层有DCS控制/警报、操作人员训练及应变、SIS连锁等。减缓灾害型保护层通常是机械性的，如安全阀、土堤等。以风险降低倍数(RRF)的观点来说，一个独立保护层至少须RRF 10。3.4 Phase 3: SIS安全需求规范(SIS Safety Requirements Specification)实务上，SIS安全需求规范(SRS: Safety Requirements Specification)可用跳脱说明(trip description)来执行，描述安全仪控功能，并载明SIL需求。SRS除了描述各跳脱连锁的需求及因果关系外，也应包含控制阀shut off泄漏等级。另外，为了确保能及时安全跳车，SRS尚须交代相关时间性需求，如process safety time, valve stroke time, time delay等。若有特殊需求，如防火，亦须加注。细节可参考IEC 61511-1 Clause 10。相对应的SIS跳脱说明和SIL风险评估表，应尽可能使用相同的SIF (Safety Instrumented Function) No.，即二者有关的仪表、pump号码皆一致。若是牵就Licensor等既有文件，SIS跳脱说明和SIL风险评估表无法含盖相同仪表时，SIL风险评估表上必须明列该SIF所有相关仪表、pump号码及对应的跳脱说明(trip description)号码，以利后续相关作业的进行。SIS跳脱说明除了提供一般常见的逻辑因果关系外，尚须提供以下的valve/motor voting table及开车时间(start-up time)，供SIL验算用。相对于仪表的MTTR修复时间，start-up time指的是SIS误动作造成制程跳车后，多久可再重新开车的时间。理论上，如果start-up time无限大，则PFDavg趋近于0，因为制程没有在操作时，根本不用担心SIS是否要用时却故障的问题。开车时间对PFDavg影响不大，若数据源不易取得，可用保守数值4小时来算，会有较高的PFDavg。No.Safety Instrumented Function No.Valve/motor Voting150Z160450FV16002/XZV16007: 1oo23oo350FV16028/XZV16033: 1oo250XZV18117/8: 1oo2251Z110551FV11008/ XZV11014: 1oo251XZV110011oo23oo351-P-1502A/B: 2oo251FV13010/14/92: 1oo33.5 Phase 4: SIS设计(SIS Design and Engineering)Phase 4有两大任务，一个是SIS设计及SIL验算，另一个是准备SIS 测试程序(trip test procedure)，供SIS回路测试及将来固定周期测试(Proof Test)用。须留意目前Fieldbus尚未通过认证，不可使用在SIS回路，即每一个SIS相关仪表须有自己专用的结线，接回SIS系统I/O。3.5.1 SIS设计及SIL验算 故障率相关基本定义一般来说，电子仪器可适用故障率(failure rate)l是常数的模式。当故障率l是常数时，随着时间变化，组件的可靠度(reliability)将如下表及右图所示。当lt (或lTI)小于0.1时，F(t) lt 及PFDavg lDU TI / 2的简化公式常被使用，其中TI 指的是 testing interval。Failure rate lNumber of failures per unit time 1/hReliability R(t) = e-ltProbability of success during an interval of time tUnreliability F(t)= 1 - R(t) = 1 - e-lt ltProbability of failure during an interval of time tMTTF = 1 / lMean Time To FailureMTTFD = 1 / lDMean Time To Dangerous FailureMTTFS = 1 / lSMean Time To Failure Spurious (Safe Failure)l = lS + lDls = spurious, safe failure = STR (Spurious Trip Rate),lD = dangerous failure.l = lSD + lSU + lDD + lDU每个 ls 和 lD 均再细分为 “detectable”及“undetectable”。Safe Failure Fraction (SFF)SFF = ( lS + lDD) / ( lS + lD ).上表中安全故障比例(Safe Failure Fraction: SFF)的定义出自 IEC 61508-2 Annex C。在这瑞安全故障(safe failure)指的是仪表异常故障时，会有误动作（其实制程是正常的），导致工厂跳车；而危险故障(dangerous failure)则是说在仪表异常故障的情况下，会造成制程真正异常时，却无法执行跳车功能，而引发不幸的工安事件。SIL验算除了验证SIL等级是否满足之外，也同时计算平均误动作时间(MTTFs: Mean Time To Failure Spurious)。 硬件容错备援需求下表最低硬件容错备援需求(Hardware Fault Tolerance: HFT)汇整自IEC 61511-1 Table 5 & 6。举例来说，SIL 2 的回路其传送器至少须有1+1 = 2 组，而SIL 1 的回路其传送器有1+0 = 1 组即可。此表为IEC 61511 SIS系统架构的最低要求，整个SIS回路仍须满足SIL验算时的PFDavg需求。意思是如果备援架构很好，但所使用的单一仪表故障率太高时，仍有可能导致无法满足整个回路的target SIL。另外对PLC来说，IEC 61511和IEC 61508的HFT要求是一样的。SIL最低硬件容错备援需求For PLCFor Sensors and Final ElementsSFF 90%1100022101332124依据IEC 61508-2 Table 2 & 3，即以下二表IEC 61511 也允许使用早期在IEC 61508-2 Table 2 & 3发展的HFT需求表。此二表如下，分成Type A及Type B两类仪表，全以SFF为基础，界定其HFT需求。若无特殊状况，SIL验算时采用IEC 61511的HFT要求即可，比较简单，可不用查仪表的安全故障比例。Type A：非复杂仪表安全故障比例最低HFT需求012 60%SIL 1SIL 2SIL 360% to 90%SIL 2SIL 3SIL 490% to 99%SIL 3SIL 4SIL 4 99%SIL 3SIL 4SIL 4Type B：含复杂电子组件的仪表SFF最低硬件容错备援需求012 60%Not allowedSIL 1SIL 260% to 90%SIL 1SIL 2SIL 390% to 99%SIL 2SIL 3SIL 4 99%SIL 3SIL 4SIL SIS架构 - Voting“MooN voting” 代表该系统有N个独立组件，而必须有M个组件健康(healthy)，才能使该系统正确安全地执行跳脱功能。例如，1oo2 (1 out of 2)只要求1个组件健康，而2oo3却必须至少有2个组件健康。这也是为什么下表中，1oo2电磁阀的PFD失败率会低于2oo3的电磁阀。亦即在制程异常时，1oo2比2oo3更能安全地执行跳脱功能。但相对的，2oo3电磁阀的平均误动作时间(MTTFs)则远长于1oo2电磁阀，表示2oo3的电磁阀比较不会因误动作而跳车。Voting结构PFDSILMTTFspurious1oo18.28E-03SIL 215 Years1oo26.85E-05SIL 37.5 Years2oo21.65E-02SIL 1230 Years2oo32.06E-04SIL 377 Years 故障率数据的来源仪表故障率数据是SIL验算的必要组件，其来源主要有两类。第一类来自工业界长期收集统计的数据库，比较著名的有OREDA (Offshore REliability DAta)。第二类则为特定厂商型号的故障率数据数据库，SIL验算软件也有提供此类功能，例如Exida SILver。Exida帮许多厂商，例如Emerson，提供各个型号的FMEDA (Failure Modes Effects and Diagnostic Analysis)分析报告，内含该产品的故障率详细数据。另外，Exida SILver也提供Generic Data，类似OREDA的一般产品故障率数据，而非特定型号，其数据来自OREDA等类似的handbook。 SIL验算报告SIL计算的理论基础虽然繁多，其基本的概念则相同。只要手边有Excel软件，利用以下ISA TR 84.00.02-2 的简易公式，也可以先做一些简单的SIL试算。验算结果如果达不到target SIL，则须考虑加强SIS组件可靠度、结构、增加partial valve stroke test，或是重新考虑IPL架构，降低SIS的target SIL，或者考虑缩短测试周期，采用在线测试。VotingPFDavgSTR (failures per hour)1oo1lDU x TI / 2lS 1oo2( lDU2 x TI2 ) / 32 lS1oo3( lDU3 x TI3 ) / 43 lS 2oo2lDU x TI2 lS2 MTTR2oo3lDU2 x TI26 lS2 MTTRPFDSIS = PFDsensor + PFDPLC + PFDvalve/motorSTR SIS = STRsensor + STRPLC + STRvalve/motorTI: 测试周期；MTTFS = 1/STR，STR: Spurious Trip Rate以下是用Exida SILver计算SIL的范例。首先分别计算1oo2传送器、1 logic solver (IEC 61508/61511对SIS 的PLC用字)及1oo2控制阀的PFDavg。Sensor Part InformationGraphSensor Group(s)Edit(1) P620155/6-PZT for P620110-PDZ Details(2) P620158-PZT DetailsPFDavg Sensor Part 7.96E-05MTTFS Sensor Part (years) 273.8Maximum SIL allowed (Architectural Constraints IEC 61511) 2Logic Solver Part InformationGraphLogic SolverEdit(1) HIMA H51q-HS 2004D QMR DetailsPFDavg Logic Solver Part 1.13E-04MTTFS Logic Solver Part (years) 192.33Maximum SIL allowed (Architectural Constraints IEC 61511) 3Final Element Part InformationGraphFinal Element Group(s)Edit(1) F620109-1-FV & H620112-HZV DetailsPFDavg Final Element Part 7.07E-03MTTFS Final Element Part (years) 10.27Maximum SIL allowed (Architectural Constraints IEC 61511) 2最后加总上述3项，即可得知PFDSIS及SIL。右图PFDavg在传送器、logic solver及控制阀的分配比例图，是典型的表现。一般SIS回路其失败率，大都来自控制阀及pump，其次是传送器。SIL 3的PLC (Logic Solver) 通常都不是SIS 回路达不到target SIL的原因。Safety Instrumented Function Performance Metricsfor SIF UZ620201-RRMT6201S1 CO Feed Reverse FlowGraphAverage Probability of Failure on Demand (PFDavg) 7.27E-03Safety Integrity Level (PFDavg) 2Safety Integrity Level (Architectural Constraints IEC 61511) 2Risk Reduction Factor 138MTTFS (years) 9.423.6 SIS 测试及测试程序3.6.1 SIS在线测试合约有要求或会为了提升SIL以便达到target SIL时，须考虑下列相关措施，以利SIS在线测试(on-line test)。一般来说，Sensor及Logic Solver不需要考虑在线测试，因为它们的可靠度通常都很高，而且ISA TR 84.00.03 7.2.2节也提到Logic Solver做在线测试并不实际。3.6.2 SIS在线测试：P & ID 已有相关设施者a. 控制阀或pump有备援者针对控制阀或pump有备援者，只须在逻辑设计上，增加在线测试时必要的on-line test mode及bypass logic即可。主要是必须确保在线测试时，只shutdown被测的单阀或单机，而制程仍可正常运转。b. 控制阀有manual bypass valve者打开manual bypass valve，手动控制该管线流量，而控制阀可用其前后的block valve隔离起来，做在线测试。3.6.3 SIS在线测试：P & ID 未标示相关设施者当控制阀没有上述相关设施，可供在线测试时，可考虑增设坊间套装产品，如Emerson DVC6000，来做partial stroke testing。此外，以下两种源自ISA TR 84.00.03 Annex MM的测试方法，亦可纳入考虑。a. Solenoid in Bypass请参考左图及以下测试功能说明。1. 正常操作时正常操作时，打开187项manual ball valve，所以air supply及449项电磁阀可正常运作。2. 在线测试时在线测试时，关掉187项manual ball valve，所以air supply会被隔离掉，控制阀的开度位置将维持不变。此时可将449项电磁阀de-energize，测试者把手放在port 2，即可确认电磁阀是否正确排气。b. Solenoid is Pulsed这个方法并未隔离电磁阀，而是由DCS操作员点选DCS画面的button，让电磁阀暂时de-energize。现场操作员则负责看控制阀开度，确认阀体的动作。当控制阀有动作时，可推断电磁阀已正确排气。电磁阀稍后会在事先规划好的时间内，自动复电。3.6.4 SIS测试程序SIS 测试程序应交代SIF 的SIL及测试周期。测试方式为off-line脱机测试、在线测试或二者兼具，端赖SIL验算报告的结果。撰写前应提供模板，供客户确认测试程序的底稿格式。以下脱机测试相关条件，应先与客户检讨，以利撰写SIS 测试程序时配合之。脱机测试程序范例如下供参考。a. DCS bypass：是否可用DCS simulation或其bypass功能，来bypass DCS连锁，以便专心测试SIS？或者测试时，须尽量观察DCS数值，来确认DCS连锁不会干扰SIS测试？b. 岁修计划：流体全部清空，或是储槽以外流体全部清空（仅储槽仍使用），或有其他特殊岁修计划。c. Motor测试模式：是否皆采用test mode（切断power circuit，但control circuit connected），如以下范例，或有其他特殊要求。UZ620806-02 L620841 Phosgenation Reactor R1 R6231 High-high-high LevelReference drawings:Instrument Loop Wiring Diagram 69-0002:H620806, L620841, N620810 Logic Diagram 69-0001/006:21, 42A, U620806P & ID Diagram:6208CategoryUnitRangeHigh-high-highAllowable RangeAs LeftProcess%0.0100.095.994.996.9InstrumentmA42019.3419.1819.501. Discuss test with control room operator and obtain relevant permits to work.Re