安全仪表系统白皮书

安全仪表系统白皮书 ARC ARC咨询集团 2004年9月 管理概论 .......................................................... 3 最优先的是降低风险............................................. 4 安全标准指导最佳操作 .......................................... 5 IEC 61508 ....................................................... 5 安全完整性等级 .................................................. 6 IEC 61511:过程工业的安全标准 ............................. 6 安全仪表系统的主要发展趋势 ................................. 8 对于全方位安全关注的增加 .................................... 8 现场设备的自动监测和测试 .................................... 9 与控制系统集成而又彼此独立 ............................... 10 增强的机动性和伸缩性 ........................................ 11 应对不断变化的过程状态 ..................................... 11 OPSYS工业标准运用的加强 ................................ 12 给最终用户的建议 ............................................. 13 计算过程风险 过程设计变化 其它的风险降低，例如警报和异常程序 风险 可容忍的风险等级 （由每个应用中的用户定义） 随着安全标准IEC61508和更新近的对于过程工业的标准IEC61511的发表，越来越多的用户开始对执行严格的危害风险评估和应用经认证的安全仪表系统 （SIS）感兴趣。由于用户安全知识的不断增加，他们正更加集中关注于能够自 动监测和测试现场设备的全方位安全性。用户们想要他们的安全仪表系统（SISs）通过与控制系统集成，进行更少的验证测试和具备可升级的体系，来更经济地满 足他们的需求。他们也在寻觅更多的性能以便修改基础过程条件的警报限制，找 寻在紧急情况下进行有序停车的步骤。由于过程工业的安全标准IEC61511的出台，迫使用户们将经济有效的安全措施作为首要的考虑对象。 对于全方位安全关注的增加 现场设备的自动监测和测试 与控制系统更紧密的集成 增强的机动性和伸缩性 增强的功能性以应对不断变化的过程 状态 运用工业标准操作系统 当前，SIS故障最主要的原因是现场设备的问 题 快递公司问题件快递公司问题件货款处理关于圆的周长面积重点题型关于解方程组的题及答案关于南海问题 并非逻辑控制装置的问题。 防护系统需要通过检查整个设计中全部现场设备的情况来了解安全回路全方位 的状况。故而，是否有能力提供从传感器到制动器的整套集成安全 方案 气瓶 现场处置方案 .pdf气瓶 现场处置方案 .doc见习基地管理方案.doc关于群访事件的化解方案建筑工地扬尘治理专项方案下载 应该是选 择SIS时的一个重要的考察标准。 现有的控制阀发生导杆卡死和密封故障的可能性很小。TÜV认证的阀门控制器和制动器也在市场中有售。作为一个完整的设计，SIS设计应该包括限制阀门活动测试。 供应商现在为控制系统和SIS提供了相似的系统，它们包括了相似的配置程 序，设计语言和维护程序。这两个系统相互集成但又有充分的保护措施来防止同 时瘫痪。应该选择一种逻辑控制装置灵活并且功能强大的系统。 选择一种将现场设备状态信息集成到逻辑中的系统是非常重要的。用户应该 选择一种提供配置，操作和维护环境清晰集成同时又需要将安全和控制部分分离 的系统。用户应该确定其选择的系统符合国际安全标准同时又尽可能不付出太大 的代价。 在接近工厂和机械极限的情况下操作 瞬时操作状态（开车，停车，换班，工作动力转变） 使用有害原材料 制造有害中间体 使用未经训练的员工 缺乏安全教育 风险常常被定义成一个意外事件的频率和危害性的组合。即事故发生的周期 长短和事故的严重程度。制造业操作中事故及其风险的例子包括了死亡或断肢， 环境影响，资本设备损坏和生产中断。对于许多生产商来说，损坏公司形象也是 一个重要的风险因素。与此同时，环境意识、对于法规的关注、诉讼的威胁也在 不断地增加，所以，显而易见，降低风险对于绝大多数制造商来说越来越重要。 降低制造车间内风险的最佳方式是设计本质安全的过程。然而，在当今的制 造工业环境中，本质安全是很难达到。在哪里储存，加工或处理有毒有害物质， 哪里就有风险。 既然要完全消除全部的风险是不可能的，制造商就必须认同一种相对可以容 忍的风险等级。在鉴定完危害后，危害和风险研究应通过考量可能性和危害性评 估每个风险的情况。所在地的情况，例如人口密度，工厂内的交通网络和气象情 况也应在风险评估时列入考虑事项之列。 更高的环境意识 日益增加的法规事项 安全标准的出台 维护公司形象 一旦危害和风险研究确定了风险的属性，就可以评定它们是否在可以接受的 等级之下。带有过程警报和人为干涉设备的基础过程控制系统可以提供第一层的 保护来降低制造设备中的风险。当基础控制系统不能将风险降低到一个可以容忍 的等级的时候，就需要动用附加的保护措施。它们包括带有硬件连锁，卸压阀和 密封盘的安全仪表系统。为了有效地工作，各保护子系统应全部相互独立运作。 随着安全标准IEC61508和更新近的对于过程工业的标准IEC61511的发表， 越来越多的用户开始对执行严格的危害风险评估和应用经认证的安全仪表系统 感兴趣。这些标准指导我们进行最佳的操作，给我们提供了建议。但是这并没有 免除用户们的安全责任。这些标准针对的并不仅仅是技术问题，而是包括了计划、 管理和评估所有旨在提高安全性的活动，这些活动贯穿于整个系统生命周期。 IEC61508 由国际电工委员会（IEC）发表的安全标准IEC61508可以应用在广泛的工 业和应用领域，该标准主要是为供应商编写的。IEC61508由七个部分构成，起 先的部分是针对特殊系统的总体安全要求，软件要求和应用指导。该标准是通用 的，可以作为“standalone”标准在工厂直接使用；也可以作为工业专业标准的 发展基础在国际标准组织中使用。这些工业专业包括了机械部门，过程部门或原 子能部门。在评估一个安全系统时，建议用户选择一个经过如TÜV或FM之类独立第三方认证的系统。 应当注意，独立组织的认证也应由用户安全手册进行平行的再检查。该手册 是一个定义SIS部件使用限制的文件。 对于好的安全系统，手册是非常薄的，带有最少量的限制。而要注意厚的 安全手册，它意味着在SIS使用过程中有许多复杂之处和限制。 安全完整性定义为安全仪表系统在特定阶段的所有状态条件下顺利地执行 所需的安全功能的可能性。安全完整性等级（SIL）被定义为完成安全功能所需 的安全完整性要求的离散等级。安全完整性等级源于风险的评估，它不是风险的 度，而是系统预期可靠性或功能的度量。 安全完整性等级（SIL） 需求模式下的故障可能性 连续模式下的故障可能性 -2-1 -6-51 ?10到＜10?10到＜10 -3-2-5-62 ?10到＜10 ?10到＜10 -4-3-6-73 ?10到＜10 ?10到＜10 -5-4-7-84 ?10到＜10 ?10到＜10 需求模式：在此模式下，对于过程或其它条件做出反应措施（每年不超过一 次） 连续模式：执行连续控制来维护功能性安全的功能 IEC 61511 IEC61511是专门针对过程工业中的最终用户的。该标准为所有的用户提供 最好的安全操作 方法 快递客服问题件处理详细方法山木方法pdf计算方法pdf华与华方法下载八字理论方法下载 以完成现代的SIS。相比IEC61508的七个部分，IEC61511只有三个部分： , 第一部分：框架，定义，系统，硬件和软件要求 , 第二部分：应用指导方针 , 第三部分：关于确定所需安全完整性等级的指导 IEC61511的第一部分主要是 规范 编程规范下载gsp规范下载钢格栅规范下载警徽规范下载建设厅规范下载 性的，而第二和第三部分是提供资讯的。 IEC61511第一部分中的标准构建忠于安全生命周期模型。危害和风险分析运用 了保护层的概念并对于标准IEC61508中提出的安全完整性等级概念做了详细的 说明。第一部分还罗列了当制定安全要求规范时所要注意的关键问题。诸如分离， 一般起因，故障检测反应，硬件可靠性和在使用中证明等问题也都在第一部分中 有所阐述。 第一部分还包括了软件安全要求规范，该规范针对的是以下事项，如体系结 构、硬件之间的关系、安全仪表功能、安全完整性等级、软件确认计划、支持工 具、测试、集成和修正。另外，该部分中有一节是有关于工厂接受性测试要求的， 而另有一节罗列了安装和试车的要求。 标准的第二部分提供一整套指导方法来规范、设计、安装、运行和维护第一 部分中所定义的安全仪表功能和相关安全仪表系统。该部分主要借鉴了ISA技术报告dTR84.0.02，该报告提供了计算安全仪表系统性能的技术指导。 标准的第三部分提供了过程危害和风险分析技术的发展方法。它提供了风险 的基本概念，安全完整性和风险关系和可容忍风险的确定方法的相关信息。早先 提出的国际安全标准ANSI/ISA-84将会在很大程度上依照IEC61511进行更新。 IEC61508 IEC61511 适用于广泛应用领域的通用安全过程工业的专业部门安全标准 标准 应用于所有安全相关系统和外部只应用于安全仪表系统 降低风险的设备 主要对于安全系统和设备的生产主要对于安全系统和设备的系 和供应商 统设计人员，集成人员和用户 IEC61508IEC61511 随着生产商越来越具备安全问题的相关知识，他们正在实行更加彻底的危害 和风险分析以精确地确定他们的需求。他们将目光投向了全方位安全以期达到降 低风险的目的。他们想通过将安全和控制系统更加紧密的集成来让SIS更经济地完成使命。他们也在寻求具有更多伸缩性的机动体系，可以根据过程条件修正警 报极限的增强功能和可以在紧急情况下有序停车的程序。 SIS故障最主要的原因是现场设备的问题而并非逻辑控制装置的问题。人们 在发展带有表决电路和高级诊断功能的逻辑控制装置的道路上已经有了很大的 进步。然而，超过90％的故障起因与逻辑控制装置无关，而是传感器和制动器 造成的。 逻辑控制装置 最终元件 测量 SIS 当前的保护系统需要满足检查I/O和现场设备的需求。事实上，需要将I/O构件监测结合到其整个设计中去。例如： , 传感器的确认 , 环境条件监测，诸如可以导致传感器性能退化的温度和湿度 , 传送器漂移 电子构件的普通故障经常是由环境条件引起的。 许多电子设备暴露在过高的湿度和温度条件下时会出现故障，所以这些条件 应被密切监视。传感器的刻度也成为了SIS整体的一个部分。运用例如HART和通常的基础总线等开放协议可以允许进行远程监测，诊断和确认。 1 集成的状态数据从现场设备进入逻辑控制装置 2 当输入量不可靠时，降低从现场输入/设备出来的信号质量 3 比较数字和模拟量以确定输入量的有效性 当前，高性能阀技术也正在被使用。在安全应用领域中，对阀装配状态不进 行自动诊断的阀门控制器的使用使得对于应需启动能力的关注持续增加。控制阀 发生导杆卡死和密封故障的可能性很小。TÜV认证的制动器和阀门控制器和制 动器现在市场中可以买到，可以测试和诊断它们的状态。作为一个完整的设计， SIS设计应该包括限制阀门活动测试。 现在可以在市场中买到经认证的智能的传感器和最终控制元件，它们能将各 自的状态报告给逻辑控制装置。这就使得及时更换故障传感器或在表决策略中忽 略故障传感器输出值的机会大大增加。而且，最终控制元件的相关故障也能被更 快地诊断以防止危险的情况出现。 运用智能的阀门控制器还能进行局部冲击实验。这种实验得到的诊断程序内 容比人工实验要丰富得多，而且可以避免在现场进行人工实验时操作人员所冒的 风险。此外，在该实验进行时，阀体不必从安全系统中移出。 标准IEC61511要求SIS中的所有部件都要经过离线的，完全的测试；测试 的间隔决定于所用的部件和所需的SIL。使用这些自动测试技术，再加上已经独 立校验可靠性数据的经认证的设备，使得检验测试的间隔可以大大地拉长。这将 使得工厂运行的时间有所增加。 许多制造公司将安全用的控制器完全独立于控制与优化用的控制器。SIS中所用的控制器是由专门的制造商提供的，加入了大量的诊断功能，并经过了TÜV的安全认证。在以前，很难在安全和控制系统中使用完全不同的系统。一些用户 甚至将控制系统和SIS系统委托给不同的制造商。 由不同的控制器分别执行安全和控制功能将有许多其他的好处。它们包括： , 独立的故障——将控制系统和SIS同时故障的风险降到了最小。 , 安全——防止控制系统中的变化导致任何SIS系统的变化或故障 , 安全控制器的不同要求——安全系统一般设计使故障发生在安全的方式条 件下，而基础过程控制系统通常要追求利用率最大化。SIS还具有一些特殊 性质，如丰富的诊断功能，特殊软件错误检查，受保护数据的存储和错误容 忍。 标准IEC61508在这个问题上多少有不明确的地方。它强烈建议两种系统分 离但又没有做强制要求。当前，许多用户发现使用相似的系统来执行控制和安全 功能有其合理性，因为这样可以减少使用不同设计程序、语言、安装要求和维护 程序所带来的问题。使用不同的程序会引起认为的失误和可能的安全问题，这样 的风险始终是存在的。 使用相似系统所带来的经济利益也是很明显的。其降低了对于设备使用范围 和质量上的要求，所以也减少了硬件、配置、人员训练和库存方面的成本。此外， 这还免除了使用不同系统时所需要的不同技术服务和支持的负担。 通用的数据镜像 增强的安全性 在工作站等级上控制和安全环境的形象差别 适当的访问保护 可以显著降低集成的难度 当今一些控制和SIS系统供应商提供了相似的系统来执行两种功能。这些系 统具备了相似的人机界面，配置程序，设计语言和维护程序。关键的是要在两种 系统即便彼此独立地使用了不同的软件和硬件时，也要确保它们具有共同的配 置，操作和维护界面。这使用户在将两种系统进行分离以满足安全要求的同时又 收获了集成运行所带来的好处。控制和安全系统彼此保持清晰的通信，但又具备 足够的保护措施以避免两者同时瘫痪。 在已安装的SIS中负责危急情况控制或安全停车的部分大多数时三重化 （2oo3）和双重化（1oo2D）系统。然而，SIS供应商正在不断提供其它的系统，它们包括了四选二（2oo4D），成对冗余和Clustering配置。随着供应商不断增强配置的机动性，用户可以将两个或更多的安全设计逻辑控制器放在一起以降低故 障发生频率，增加利用率。 针对变化的安全需求和利用率要求的可变的控制器配置 每一个模块只关注少量的控制回路 对于大型应用问题可使用多个控制器 安全控制器变得越来越具有伸缩性。由于限制了每一个控制器内所包含的 I/O数量，控制器的尺寸变小了。但是许多控制器一起工作还是可以完成非常大 型的应用问题。这对于用户来说是个实惠，因为他们再也不必去购置在许多应用 中不必使用的巨型而又昂贵的系统。 在检测到危险条件时，SIS状态为设备提供了一个简单的先后次序（通常不 依靠回路），来使过程有序地停车。当基础过程系统在极端警报条件下对一个单 元进行停车时，将设备停车功能加入SIS可以导致风险的显著降低。SIS中丰富的功能模块还可以控制过程独立启动等级的执行，这在批量控制系统中表现得很 典型。 标准IEC61511要求所有流通旁路和正常工作的阻碍都要显示在警报/事件日志上，这样便于对其进行严格管理。 在最新的SIS中为达到标准中的要求，提供了这类功能。这保证了所要求的 权威等级可以根据问题回路中的SIL要求来自动设定，而不再需要任何其他的配 置就可以显示起作用的旁路和工作的阻碍情况。 要寻求一个具有经认证的丰富内置功能的SIS，还有另外一个原因。英国 HSE（健康，安全与环境局）的一项研究发现85％的SIS故障与工程有关，大约60％的故障在SIS安装之前就已经被植入其中了。因此，显而易见地，就如 IEC61511中所提及的那样，SIS应具有强大的功能来尽量简单地达到最安全的操 作并据此配置系统。经认证的丰富功能模块可以使得以上的这些目标更容易达 到。 规范 设计和施行 安装和试车 操作和维护 试车后的改变 SIS OPSYS SIS逻辑控制装置中是否使用了高可靠性的操作系统（OPSYS），对其性能有着至关重要的影响。事实上， SIS中的操作系统都必须进行认证以确保达到 与SIS所保护回路的SIL等级相同高的安全程度等级。同时，降低维护成本的需 要和现代过程技术的利用率情况，决定了在安全仪表系统的逻辑控制装置中使用 经济的标准化、模块化操作系统成为了一种需求。一个经第三方认证的经济的， 标准化，模块化OPSYS将给SIS供应商和用户带来巨大的利益。 在使用中证明 经过彻底的测试 准确的现场故障通告和纠正系统 SIS , 将IEC61511作为您的安全执行标准。 , 实施严格的基于标准的危害和风险分析来确定您工厂的正确保护等级。 , 在危害和风险分析的基础上，选择一种满足您所有风险管理要求的经认证的 安全仪表系统。 , 选择一种能够与您的基础控制系统紧密集成的安全仪表系统，但同时其又要 可以满足所要求的独立程度。 , 选择一种能够提供从感应器到驱动器的整套集成安全方案的系统。 , 持续监测现场设备的状态，在适当的地方进行自动测试。 , 选择一种可以机动配置的系统，以便可以灵活地进行位置调度和伸缩组合。 , 选择一种带有经认证的丰富功能模块的系统，以便在实行逻辑运算时可以计 入现场设备状态，便于设计和配置。 , 对于安全应用问题，经认证的标准化，模块化操作系统对于整个系统来讲非 常重要。 , 选择一个系统，其可以通过对于全回路使用自动检验测试和改良的诊断功能 来达到安全和利用率的同时最大化。 , 谨防厚的安全手册。选择限制少的系统。 ：Asish Ghosh Chantal Polsonetti 对于工业缩写词的完整列表，参见我们的网页 www.arcweb.com/Community/terms/terms.htm ANSI 美国国家标准协会 BPCS 基础过程控制系统 DCS 分布式控制系统 ESD 紧急停车（系统） FM 工厂共同体 HART 高速可设地址远程传感器 HAZOP危害性和可操作性 HMI 人机界面 HSE 健康，安全和环境局 IEC 国际电子技术委员会 OPSYS 高可靠性操作系统 OSHA 职业安全和健康管理局 PLC 可设计逻辑控制器 PSM 过程 安全管理 企业安全管理考核细则加油站安全管理机构环境和安全管理程序安全管理考核细则外来器械及植入物管理 SIL 安全完整性等级 SIS 安全仪表系统 TMR 三倍模块冗余 TÜV Technischer Uberwachungs Verein (技术检查协会) ARC咨询集团始建于1986年，现已发展成为设备制造和供应链的业界思想领袖。就算对于您最复杂的业务问题，我们的分析师也能通过他们专家级的工业 知识和第一手的业务经验来帮助您得到最佳的解决方案。我们执着地追求简单却 又关键的目标：提高您的资产回报，增强操作性能，降低总体成本，提高方案的 投资回报和增加股份价值。 此报告中所有信息的所有权和版权均属于ARC。在没有事先得到ARC允许， 此报告的任何部分均不能复制。此项研究由[客户名字]部分赞助，但此报告中 ARC所提出的意见均基于ARC自身独立的分析。 您可以通过ARC的咨询服务得到我们正在进行的广泛研究的成果和我们员 工的丰富经验。ARC的咨询服务团队经过专门的设计，以使他们对于自身所在 组织的发展策略和方向负有决策和执行责任。如您有意咨询，请来电，传真或来 函至： ARC Advisory Group, Three Allied Drive, Dedham, MA 02026 USA 电话: 781-471-1000, 传真: 781-471-1100, 电子邮件: info@ARCweb.com 请访问我们的网站 ARCweb.com 3 ALLIED DRIVE DEDHAM MA 02026 USA BOSTON, MA | PITTSBURGH, PA | PHOENIX, AZ | SAN FRANCISCO, CA