馬上下發的《石油化工安全儀表系統設計規范》GBT50770-2013局部修訂稿第4.1.5條是這么規定的“安全完整性等級分級為SILa或SIL0指要求時危險失效平均概率(PFDavg)介于0.1和1之間的風險降低措施。SILa或SIL0聯鎖保護功能可在安全儀表系統實現,也可在基本過程控制系統實現。”
首先我們的安全儀表規范基本都是遵循或借鑒IEC61508標準,在IEC61508中有SILa的劃分。目前全球最權威的SIL定級和驗算軟件exSILentia中,其矩陣中也有SILa的劃分。其定級軟件中是用SILa(0)來表示的。
(C) Consequences if Fail on Demand
CA=Minor Injury
CB=Severe Injury/One Death
CC=Several Deaths
CD=Many Deaths/Catastrophe
(F) Presence in the Danger Zone
FA=Seldom to Frequently
FB=Frequently to Continuously
(W) Demand Rate
W1=Very Low (10 to 100 years)
W2=Low (1 to 10 years)
W3=High (<1 year)
(P) Probability to avert Hazard
PA=Under Certain Circumstances
PB=Almost Impossible
(A) Asset Loss
A1=Moderate $100K to $1M, 1-5 days
A2=Major $1M to $6M, 5 - 15 days
A3=Extensive $6M to $12M, 15 - 30 days
A4=Catastrophic >$12M, > 30 days
(E) Environmental Consequences
E1=Small, Uncontained Release
E2=Moderate Uncontained Release
E3=Large Uncontained Release
E4=Extensive Uncontained Release
《石油化工安全儀表系統設計規范》充分借鑒了IEC61508標準,對要求時危險失效平均概率(PFDavg)介于0.1和1之間定義為SILa或SIL0,并明確可以在DCS中實現,也可以在SIS中實現。
1、SIL0=SILa+不需要安全等級的聯鎖回路。
在LOPa分析中,所有中間事件的可能性和風險的可接受值之間風險消除因子1≤RRF≤10,那么這個回路可以定義為SILa或者SIL0,這時雖然是SILa或者SIL0,但是風險尚有缺口; 當中間事件的可能性和風險的可接受值之間風險消除因子RRF≤1時,則當前獨立保護層已經能滿足風險消除的需求。
2、當RRF≤1時,不需要安全等級的聯鎖回路是否等于可以取消聯鎖設置?
這個不完全是,要綜合HAZOP來分析,如果取消聯鎖回路其事故發生的初始事件會提高,其風險也會隨之提高,甚至到不可接受,要具體分析。
3、SILa很明確就是可以在DCS中實現,到達SIL1才要求宜分開。網上確實有一些錯誤的說法,造成了一些的誤導。
4、SILa是否需要驗證?SILa中1≤RRF≤10,其風險還有缺口,需要聯鎖回路來彌補,當RRF=1和RRF=10時都屬于SILa(SIL0)序列,但是其相差一個數量級。既然有風險缺口,不去驗證去完整性,如何證明此聯鎖能滿足安全需求呢。可能會有人問,DCS沒有失效數據,如何驗證呢?所有的儀控設備,不管是否去做安全認證,都有失效概率,并不是說只有取得SIL證書的儀表和控制系統才有失效概率,失效概率是所有設備的一個固有特性。
摘錄了PaulGruhn,P.E.,CFSEHarry L.Cheddie的一段文章:
安全聯鎖系統的失效數據庫來源主要有三部分:第一是維護記錄,工廠的維護記錄是最好的數據源,最具有代表環境、維護規程、以及供貨商關注點的信息;第二、供貨商記錄,供貨商的記錄數據來源主要是實驗室和工廠反饋;第三、第三方數據庫,第三方數據庫來自海上石油、化工、以及核工業,這個數據庫很貴,但是很容易買到。數據來源于不同的工廠,是工廠維護人員整理出來的成果,也有一部分來源于供貨商。
這三個數據來源中,第一個是最真實的,第二個最不可信,第三個半信半疑。
《Center for Chemical Process Safety》一段:從各種工業數據收集程序發表的現場失效數據來看,實際在用設備的危險失效率明顯高于大多第三方認證報告聲明的值。對于現場設備,認證報告聲稱的危險失效率一般比實際安裝使用收集的低3-10倍。
所以SIL驗算不能以SIL證書為主,一定要降級使用,王婆賣瓜的道理大家都懂。
作者:何龍
