确定安全完整性等级(SIL)需求的方法
- 格式:pdf
- 大小:384.91 KB
- 文档页数:16
2020年06月作业申请人在电脑端发起申请后,作业审批人员在移动端查看管辖范围内的待审批作业票,对符合作条件的作业票进行批复。
图1直接作业管理系统流程框架作业计划时间前作业票签发相关人员抵达作业现场,由施工单位技术人员向作业人员进行技术和安全交底,并通过移动端拍照留痕,并提交到系统。
对于需要进行采样检测的作业,需同步开展采样检测,并将采样检测结果输入至系统中。
作业票由作业申请人现场填报作业人员相关信息后生成,作业票由监护人员进行安全条件确认签字和签发人签字后签发。
为保证签字人现场签字,通过人员定位和人脸识别实现定位签发,证件真伪通过OCR 证件识别比照基础信息库信息和外部查询网站信息识别。
作业完工后,监护人现场定位签字验收。
作业流程从现场交底到完工验收全程实现视频监控,具有权限的用户可通过移动端远程查看现场作业场景。
同时具有权限用户也可在GIS 地图查看作业分布情况。
当作业完工验收后,作业票据及相关信息会上传至系统,系统会对作业情况进行分析,形成分析报告。
4结语直接作业信息管理系统的开发应用,能够规范管道企业直接作业流程,解决目前作业环节中存在的关键问题,实现直接作业管理现场透明化、作业标准化、系统信息化,颠覆直接作业传统管理形式。
对于提升和优化直接作业的安全管理,保障直接作业作业过程安全具有重要意义。
参考文献:[1]张少春,丁元华.天然气管道运营企业直接作业环节HSE 管理探讨[J].中国石油和化工标准与质量,2017,(10):47-48.[2]李成承,周玉峰.化工装置直接作业环节安全管理对策[J].安全、健康和环境,2018,18(11):53-55.[3]李彬,张建辉.浅谈石化企业直接作业环节的安全监管[J].石油化工安全环保技术,2019,35(5):3-5.[4]施红勋,王秀香,牟善军,等.石化企业作业票证移动定位签发系统的研发与应用[J].中国安全生产科学技术,2014,10(增):124-128.[5]刘珍,陈全.铜冶炼企业风险数据库与作业许可管理信息系统研发[J].工业安全与环保,2017,43(9):71-74.作者简介:邓付平(1986-),男,从事生产安全管理工作。
v1.0 可编辑可修改1 SIL 定级分析方法SIL 定义IEC 61511(参考文献[i])中对安全完整性等级(SIL)的定义是指在一定时间、一定条件下,安全相关系统执行其所定义的安全功能的可靠性。
安全完整性等级(SIL)由两部分组成:硬件安全完整性等级,这部分的安全完整性与随机硬件危险失效有关,主要体现在安全仪表功能的运行过程中,与部件的功能退化及老化等有关;系统安全完整性等级,这部分的安全完整性与系统的危险失效有关,主要与系统设计、制造流程、变更改造、操作规划以及文档记录等有关。
安全完整性等级(SIL)是一种离散的等级,用于规定分配给安全仪表系统中安全功能回路在需求时的失效概率。
SIL 等级的说明参见表。
表–安全完整性等级(SIL)划分需求时的失效概率(PFD)目标风险降低系数SIL 1~10~100SIL 2~100~1000SIL 3~1000~10000SIL 4~10000~100000SIL 定级分析方法应用风险评价矩阵和保护层分析(LOPA)方法,基于IEC 61508/61511 标准来评价装置现有的安全功能回路所需的安全完整性等级(SIL)。
SIL 定级分析采取会议的形式,利用头脑风暴的方法进行。
结合相应的工艺流程设计、联锁设置和HAZOP 分析结果,来识别、分析装置中各联锁是否承担安全功能,是否属于安全仪表功能(SIF)回路。
对于所识别出来的安全仪表功能回路,则进一步分析对此安全功能产生要求的因素有哪些,其要求频率是什么。
综合考虑和分析所需保护设备或系统中已有的各类保护措施,并讨论其降低风险的有效性;依据残余风险的水平和公司风险可接受水平的高低来判定所需安全仪表功能回路的完整性等级。
这些风险包括人员伤亡、环境破坏以及直接和间接经济损失。
确定SIL 的目的是通过应用可靠的安全仪表系统来降低危害事件的风险,从而把系统的风险降低到可接受水平。
v1.0 可编辑可修改该研究方法的特点是:保护层分析(LOPA):用于分析工艺流程中所保护对象可能发生的危害事件偏离情形,以及导致危害事件产生的原因、后果和各种保护措施等;风险等级矩阵:利用风险等级矩阵来确定各个安全仪表功能(SIF)回路所需求的安全完整性等级(SIL)。
1 SIL 定级分析方法1、1 SIL 定义IEC 61511(参考文献[i])中对安全完整性等级(SIL)的定义就是指在一定时间、一定条件下,安全相关系统执行其所定义的安全功能的可靠性。
安全完整性等级(SIL)由两部分组成:•硬件安全完整性等级,这部分的安全完整性与随机硬件危险失效有关,主要体现在安全仪表功能的运行过程中,与部件的功能退化及老化等有关;•系统安全完整性等级,这部分的安全完整性与系统的危险失效有关,主要与系统设计、制造流程、变更改造、操作规划以及文档记录等有关。
安全完整性等级(SIL)就是一种离散的等级,用于规定分配给安全仪表系统中安全功能回路在需求时的失效概率。
SIL 等级的说明参见表1、1。
1、2应用风险评价矩阵与保护层分析(LOPA)方法,基于IEC 61508/61511 标准来评价装置现有的安全功能回路所需的安全完整性等级(SIL)。
SIL 定级分析采取会议的形式,利用头脑风暴的方法进行。
结合相应的工艺流程设计、联锁设置与HAZOP 分析结果,来识别、分析装置中各联锁就是否承担安全功能,就是否属于安全仪表功能(SIF)回路。
对于所识别出来的安全仪表功能回路,则进一步分析对此安全功能产生要求的因素有哪些,其要求频率就是什么。
综合考虑与分析所需保护设备或系统中已有的各类保护措施,并讨论其降低风险的有效性;依据残余风险的水平与公司风险可接受水平的高低来判定所需安全仪表功能回路的完整性等级。
这些风险包括人员伤亡、环境破坏以及直接与间接经济损失。
确定SIL 的目的就是通过应用可靠的安全仪表系统来降低危害事件的风险,从而把系统的风险降低到可接受水平。
该研究方法的特点就是:•保护层分析(LOPA):用于分析工艺流程中所保护对象可能发生的危害事件偏离情形,以及导致危害事件产生的原因、后果与各种保护措施等;•风险等级矩阵:利用风险等级矩阵来确定各个安全仪表功能(SIF)回路所需求的安全完整性等级(SIL)。
确定安全完整性等级(SIL)需求的方法——优势与弊端1简介安全完整性等级(SIL)的概念是随着BS EN 61508的发展被引进的。
对于具有安全功能的系统,SIL是对其质量或者说靠性进行的一种度量,具体来说,就是对系统能否按预期执行相应功能的可信赖程度的一种度量。
本文主要讨论在过程工业设备领域流行的两种确定SIL需求的方法:风险图表法和保护层级分析(LOPA)法并指出两种方法各自的优势和局限,特别是针对风险图表法。
同时也给何种情况下应选择何种方法的推荐标准。
2SIL的定义相关标准承认,不同的安全功能,其所需的运作方式也迥然不同。
很多功能的实际使用频率非常低,比如汽车的如下两项功能:∙防抱死系统(ABS)。
(当然,这跟司机也有关系)∙安全气囊(SRS)另一方面,有些功能的使用频率很高,甚至是持续运作的,比如汽车的这两项功能:∙刹车∙转向如此,一个根本性的问题便是:这两种类型的功能,其发生故障的频度达到多大会导致事故的发生?针对二者的答案是不同的:∙对于使用频率低者,事故频率由两个参数构成:1)功能的使用频率2)当使用时,该功能发生故障的概率——故障概率(PFD)因此,这种情况下,PFD便能恰当地衡量该功能的性能表现,而PFD的倒数则称为:风险消除因数(RRF)。
∙对于使用频率高者,或持续运作的功能,能恰当地衡量其表现的数据则是故障频率(λ),或者平均无故障时间(MTTF)。
假设故障的发生呈指数分布,则MTTF与λ互为倒数。
当然,以上的两种表达方式并不是独立的,而是相互关联的。
最简单地,假设可以以一个比正常使用频率高的频度对某功能进行检验,则以下关系成立:PFD = λT/2 = T/(2xMTTF) 或者:RRF = 2/( λT) 或 = (2xMTTF)/T其中T是检验间隔(注意:若要将事故速率显著降低到故障速率λ以下,检验频率1/T应至少为正常使用频率的两倍,最好是能达到5倍或更高。
)但这两者却是不同的量:PFD是一个概率,是无量纲量;λ是一个速率,量纲是t-1 。
安全评价资质 sil评估
SIL(Safety Integrity Level,安全完整水平)是一种用于评估安全系统的资质,目的是确定系统的可靠性和安全性水平。
SIL评估是根据国际标准IEC 61508(功能安全)和IEC 61511(过程工业安全系统)进行的。
这些标准定义了安全系统的要求和规范,并提供了一套评估方法和工具,以便确定系统的SIL等级。
SIL评估一般包括以下步骤:
1. 安全要求分析(SRS):根据系统的功能和安全要求,确定系统的安全目标和功能。
2. 危险性和可靠性分析(HRA):识别和评估潜在的危险和故障情况,以确定系统的安全完整性水平。
3. 安全完整性级别(SIL)确定:根据HRA的结果,确定系统的SIL等级,通常分为SIL 1至SIL 4。
4. 定义安全功能:根据SIL等级,确定实施安全功能所需的硬件和软件要求。
5. 验证和验证:对实施的安全功能进行验证和验证,以确保其满足SIL要求。
SIL评估是一项专业的技术工作,需要有相关领域的专业知识
和经验。
通常由专门的工程师、安全专家或独立的第三方机构进行评估。
评估结果被用于指导安全系统的设计、实施和监督,以确保系统在操作过程中的安全性和可靠性。
1 SIL 定级分析方法1.1 SIL 定义IEC 61511(参考文献[i])中对安全完整性等级(SIL)的定义是指在一定时间、一定条件下,安全相关系统执行其所定义的安全功能的可靠性。
安全完整性等级(SIL)由两部分组成:•硬件安全完整性等级,这部分的安全完整性与随机硬件危险失效有关,主要体现在安全仪表功能的运行过程中,与部件的功能退化及老化等有关;•系统安全完整性等级,这部分的安全完整性与系统的危险失效有关,主要与系统设计、制造流程、变更改造、操作规划以及文档记录等有关。
安全完整性等级(SIL)是一种离散的等级,用于规定分配给安全仪表系统中安全功能回路在需求时的失效概率。
SIL 等级的说明参见表1.1。
表1.1 –安全完整性等级(SIL)划分1.2 SIL 定级分析方法应用风险评价矩阵和保护层分析(LOPA)方法,基于IEC 61508/61511 标准来评价装置现有的安全功能回路所需的安全完整性等级(SIL)。
SIL 定级分析采取会议的形式,利用头脑风暴的方法进行。
结合相应的工艺流程设计、联锁设置和HAZOP 分析结果,来识别、分析装置中各联锁是否承担安全功能,是否属于安全仪表功能(SIF)回路。
对于所识别出来的安全仪表功能回路,则进一步分析对此安全功能产生要求的因素有哪些,其要求频率是什么。
综合考虑和分析所需保护设备或系统中已有的各类保护措施,并讨论其降低风险的有效性;依据残余风险的水平和公司风险可接受水平的高低来判定所需安全仪表功能回路的完整性等级。
这些风险包括人员伤亡、环境破坏以及直接和间接经济损失。
确定SIL 的目的是通过应用可靠的安全仪表系统来降低危害事件的风险,从而把系统的风险降低到可接受水平。
该研究方法的特点是:•保护层分析(LOPA):用于分析工艺流程中所保护对象可能发生的危害事件偏离情形,以及导致危害事件产生的原因、后果和各种保护措施等;•风险等级矩阵:利用风险等级矩阵来确定各个安全仪表功能(SIF)回路所需求的安全完整性等级(SIL)。
IEC 61511将安全仪表功能的操作模式分为:要求操作模式(Demand Mode of Operation)和连续操作模式(Continuous Mode of Operation)。
安全完整性等级对要求操作模式下的失效概率见表1-1。
表1-1 安全完整性等级对要求操作模式下的失效概率要求要求操作模式(低要求操作模式)SIL的要求操作模式是指,在响应过程状态或其他“要求”(Demand)时,执行特定的动作(如关闭阀门)。
要求操作模式的特征,是当SIF出现危险失效,并且“要求”出现时,才会导致潜在危险发生。
典型的“要求”包括:工艺过程参数出现异常,达到设定的安全极限值,或者BPCS本身处于失效状态。
这就意味着SIF的危险失效,并不一定即刻导致危险。
常见的ESD应用是典型的要求操作模式。
从表1-1可以看出,每个SIL等级对应着SIF一个数量级的平均失效的概率,它用符号表示为PFDavg;目标风险降低数值,也称为风险降低因数RRF(Risk Reduction Factor)。
PFDavg与RRF互为倒数,即PFDavg=1/RRF.它们的物理含义是,每提升一个SIL等级,意味着SIF的平均失效概率降低一个数量级,也意味着将危险事件发生的可能性降低10倍。
安全完整性等级对连续操作模式下SIF的危险失效频率要求见表1-2。
表1-2 安全完整性等级对连续操作模式下的失效概率要求连续(高要求)操作模式生,除非存在其他防止措施。
连续模式涵盖执行连续安全控制,以便保持功能安全的安全仪表功能。
2、过程海洋平台SIL 评估可以分两部分来完成: 第一部分是对海洋平台进行为SIL 选择与验证服务的HAZOP 分析,其目的在于分析SIF 回路所保护的事故场景,然后对分析出的事故场景进行LOPA 分析,识别独立保护层,进而确定该SIF 回路的失效概率和SIL 等级;第二部分是对SIF 回路的SIL 等级进行验证,确定该SIF 回路实际达到的SIL 等级,判断是否符合最低SIL 等级要求。
sil认证评定方法
SIL(Safety Integrity Level)是用于评定安全相关系统的安
全完整性水平的一种标准。
SIL评定方法通常涉及以下几个方面:
1. 风险分析,首先需要对系统所涉及的安全风险进行分析,包
括可能导致的事故、损失和伤害。
这一步骤通常使用HAZOP(危害
与操作性分析)或者FMEA(故障模式与效应分析)等方法来进行。
2. 安全完整性水平的确定,根据风险分析的结果,确定系统需
要达到的安全完整性水平,即SIL等级。
这一步骤通常基于风险评
估的结果和标准要求来确定。
3. 定量评估,通过定量分析来评估系统的安全完整性水平,通
常使用定量风险评估方法,如概率论分析和可靠性分析等,来计算
系统在特定条件下的失效概率和安全性能。
4. 验证和确认,对系统的设计和实施进行验证和确认,确保其
达到了预期的SIL等级要求。
这一步骤通常包括对系统的设计文件、验证测试和安全管理计划的审查和确认。
5. 持续监测,SIL评定并不是一次性的工作,系统需要持续监测和评估其安全完整性水平,以确保其在运行过程中持续满足相关的安全要求。
总的来说,SIL评定方法涉及对系统的风险分析、安全完整性水平的确定、定量评估、验证和确认以及持续监测等多个方面的工作,需要综合考虑系统的设计、实施和运行过程中的各种因素,以确保系统能够达到预期的安全性能要求。
确定安全完整性等级(SIL)需求的方法——优势与弊端1简介安全完整性等级(SIL)的概念是随着BS EN 61508的发展被引进的。
对于具有安全功能的系统,SIL是对其质量或者说靠性进行的一种度量,具体来说,就是对系统能否按预期执行相应功能的可信赖程度的一种度量。
本文主要讨论在过程工业设备领域流行的两种确定SIL需求的方法:风险图表法和保护层级分析(LOPA)法并指出两种方法各自的优势和局限,特别是针对风险图表法。
同时也给何种情况下应选择何种方法的推荐标准。
2SIL的定义相关标准承认,不同的安全功能,其所需的运作方式也迥然不同。
很多功能的实际使用频率非常低,比如汽车的如下两项功能:∙防抱死系统(ABS)。
(当然,这跟司机也有关系)∙安全气囊(SRS)另一方面,有些功能的使用频率很高,甚至是持续运作的,比如汽车的这两项功能:∙刹车∙转向如此,一个根本性的问题便是:这两种类型的功能,其发生故障的频度达到多大会导致事故的发生?针对二者的答案是不同的:∙对于使用频率低者,事故频率由两个参数构成:1)功能的使用频率2)当使用时,该功能发生故障的概率——故障概率(PFD)因此,这种情况下,PFD便能恰当地衡量该功能的性能表现,而PFD的倒数则称为:风险消除因数(RRF)。
∙对于使用频率高者,或持续运作的功能,能恰当地衡量其表现的数据则是故障频率(λ),或者平均无故障时间(MTTF)。
假设故障的发生呈指数分布,则MTTF与λ互为倒数。
当然,以上的两种表达方式并不是独立的,而是相互关联的。
最简单地,假设可以以一个比正常使用频率高的频度对某功能进行检验,则以下关系成立:PFD = λT/2 = T/(2xMTTF)或者:RRF = 2/( λT) 或 = (2xMTTF)/T其中T是检验间隔(注意:若要将事故速率显著降低到故障速率λ以下,检验频率1/T应至少为正常使用频率的两倍,最好是能达到5倍或更高。
)但这两者却是不同的量:PFD是一个概率,是无量纲量;λ是一个速率,量纲是t-1 。
然而标准中对两种度量都使用相同的术语——SIL,定义见下表:表1 – BS EN 61508 中低使用频率下的SIL定义SIL平均PFD范围RRF范围①410-5≤ PFD < 10-4100000 ≥ RRF > 10000310-4≤ PFD < 10-310000 ≥ RRF > 1000210-3≤ PFD < 10-21000 ≥ RRF > 100110-2≤ PFD < 10-1100 ≥ RRF > 10表2 – BS EN 61508 中高使用频率或持续运作下的SIL定义SILλ范围(每小时故障次数)MTTF范围(年) ②410-9≤λ< 10-8100000 ≥ MTTF > 10000310-8≤λ< 10-710000 ≥ MTTF > 1000210-7≤λ< 10-61000 ≥ MTTF > 100110-6≤λ< 10-5100 ≥ MTTF > 10在低使用频率模式下,SIL是PFD的代表;在高使用频率或持续运作模式下,SIL则是故障速率的代表。
(在标准中,高低使用频率的分界大体上被设置在每年一次,这与3到6个月的检验间隔是相符的。
在很多情况下,要使检验间隔比这更短也不大可行。
)现在,考虑有这样一项功能,它可以同时对两种危险进行保护:其中一种平均两周发生一次,约合25次每年,也就是高使用频率型;另一种大约10年发生一次,也就是低使用频率型。
如果该功能的平均无故障时间为50年,那么对高频危险的保护将达到SIL1级别。
同时,对于低频危险的保护来说,高频危险的发生有效地检验了该功能。
其他条件相同的情况下,对低频危险的防护等级实际上达到了:PFD = 0.04/(2x50) = 4 x 10-4即:SIL3那么,该功能达到的SIL等级究竟为何呢?显然答案不是唯一的,而是取决于具体保护的危险,特别是危险发生的频率是高还是低。
①此栏并非标准中所定义,但通常RRF比PFD更易处理。
②此栏并非标准中所定义,但作者发现在过程工业领域,这些近似的MTTF值更有用,因为在这里,时间更多地是以年来计,而不是小时。
在前一种情况下,可以达到的SIL等级是由设备的内在属性决定的;后一种情况下,尽管设备的内在属性也很重要,但是可以达到的SIL等级同样受检验制度的影响,这在过程工业领域很重要。
在这里,可达到的SIL等级易受现场设备(过程仪表以及其他特别是末端设备如关断阀等)可靠性的影响。
这些现场设备需要定期地检验方能达到需求的SIL等级。
每天和标准打交道的人可能对这些定义的区别非常了解,但对于偶尔使用的人还是容易混淆的。
3确定SIL需求的一些方法BS EN 61508 提供了三种确定SIL需求的方法:∙定量法。
∙风险图表法,在标准中被作为定性方法。
∙伤害事件严重性矩阵,在标准中同样被作为定性方法。
BS IEC 61511 则提供了:∙半定量法。
∙安全层级矩阵模型,被作为半定性方法。
∙标准化风险图表法,在标准中被作为半定性方法,但业内也有些作为半定量方法。
∙风险图表法,被作为定性方法。
∙保护层级分析(LOPA)。
(尽管标准并未指明是定性还是定量,但该方法是倾向于定量的。
)风险图表法和保护层级分析是两种流行的确定SIL需求的方法,特别是在过程工业领域。
两者的优势和弊端以及应用范围是本文的主要议题。
4风险图表法风险图表法广泛使用的原因将在下文中介绍。
典型的风险图表见图1。
C为后果参数,C A-C D表示不同的后果等级。
F为频率与暴露时间参数。
P为避免伤害的可能性。
W为无保护状态下,危险发生的速率。
图中的参数可被给予定性的描述,如:C C≡造成数人死亡。
或定量的描述,如C C≡发生死亡的概率为0.1到1.0。
图1 – 典型的风险图表第一种定义规避了问题的实质:“数人”是多少人?在实际应用中,要评估SIL需求是非常困难的,除非有一套公认的,以定量范围的术语给出的参数值定义。
这些定义可能按照评估机构的风险准则标准化过,也可能没有,但这里,方法已经变成半定量的了(或许是半定性?当然一定是在定量和定性两种极端之间的某个位置。
)表3给出了一套典型的定义表3 – 风险图表参数的典型定义后果C A轻微伤害C B每次事故发生死亡的概率在0.01到0.1C C每次事故发生死亡的概率在0.1到1C D每次事故发生死亡的概率 > 1暴露时间F A< 10% 的时间F B≥ 10% 的时间伤害的可避免性/不可避免性P A> 90%可避免 / < 10%不可避免P B≤ 90%可避免 / ≥ 10%不可避免发生速率W1低于30年一次W23到30年一次W30.3到3年一次4.1 优势风险图表法具有如下优势:∙是一种半定性/半定量的方法▪不需要精确的伤害发生速率、后果以及其他参数的值▪不需要专业的计算或复杂的建模▪只要对应用领域心里“有谱”的人就可以使用∙通常作为一种团队实践,类似于HAZOP[译注:危险与可操作性分析]▪个人偏见得以消除▪对于风险与危害的理解得以在团队成员间传播(如从设计、操作、维护等不同位置得出的理解)▪个人易忽视的问题得以被发现▪需要计划和制度∙不需要详细学习相对轻微的伤害▪可以相对较快的速度评估多种危害▪可作为一种有效的筛查工具用于识别:-需要更细致评估的危害-无需额外防护的轻度危害由此可使资源和维护成本投向更有效的方向,生命周期成本也得以优化。
4.2 残余风险范围的问题考虑例子中的参数分别取:C C,F B,P B,W2,这样表示需要达到SIL3 的防护。
C C≡每次事故发生死亡的概率在0.1到1F B≡暴露时间≥ 10%P B≡伤害不可避免的可能性≥ 10%W2≡ 3到30年发生一次SIL3 ≡ 10000 ≥ RRF ≥ 1000假设所有参数均位于其范围的几何平均数处:后果 = √(0.1 x 1.0) = 每次事故发生死亡的概率为0.32暴露时间 = √(10% x 100%) = 32%不可避免性 = √(10% x 100%) = 32%发生速率 = √(3 x 30) ≈ 10年发生一次RRF = = √(1000 x 10000) ≈ 3200(注意:之所以用几何平均数是因为风险图表的参数实际上是按对数坐标来标定的)考虑不加保护的危害:风险最大值 = (1 x 100% x 100%)/3 ≈每3年有一人因事故死亡风险几何平均值= (0.32 x 32% x 32%)/10 = 每300年有一人因事故死亡风险最小值 = (1 x 10% x 10%)/30 ≈每30000年有一人因事故死亡即:不加保护的风险从最小到最大有着4个数量级之差。
考虑加以SIL3级别的保护则:残余风险最大值≈ (3 x 1000) = 每3000年有一人因事故死亡残余风险几何平均值≈ (300 x 3200) ≈每100万年有一人因事故死亡残余风险最小值≈ (30000 x 10000) = 每3000万年有一人因事故死亡即:加以保护后的风险从最小到最大有着5个数量级之差。
图2给出了基于平均情况的原理表示图2 – BS IEC 61511 中的风险消除模型。