如下页图1所示www.cechina.cn,SIS提供完成整个安全回路的集成方法。这样的一个回路包括传感器、逻辑控制器和最终控制元件。SIS系统能够在有安全需要的时候关闭过程工厂或者工厂的一部分,同时在设备失效的时候确保工厂安全运行。
图1 一套SIS包括三个部分:传感器、逻辑控制器和最终控制元件。它需要能够独立地执行功能,不依赖基本过程控制系统。图片来源:Emerson Process Management
安全仪表功能(SIF)是SIS用来安全关闭过程工厂而采取的措施。每一个确认的SIF都包括一系列应对某种危险的举措。因此,一套过程工厂的SIS系统包括过程危险分析(PHA)报告中列出的多种安全仪表功能。
在设计阶段,需要考虑很多因果场景,以查看不同零件失效的时候会发生什么状况。安全完整性等级(SIL)就是一套绩效指标,用来量化某一个安全仪表功能在需要启动的时候失效的概率,也就是人们所熟知的要求失效概率(PFD)。DCS系统在工厂运行的时候持续执行过程控制功能,而SIS则是设计一直处于休眠状态CONTROL ENGINEERING China版权所有,直到需要执行险事件的发生概率降低多少。
要求失效概率(PFD)是设计用来保护过程工厂的SIF在危险关闭情况出现的时候不能够安全关闭工厂的概率。换句话说,就是这个安全功能在需要的时候没有起作用。
安全生命周期
正如IEC 61508和ANSI/ISA-S84.01所定义的那样控制工程网版权所有,安全生命周期从结构上确定了SIS的开发,从最初的概念设计到最终停用包括如下阶段:
1. 概念设计;
2. 危险和风险分析;
3. 安全要求规范;
4. 系统架构和整体规划;
5. 应用编程;
6. 系统制造;
7. 系统集成;
8. 工厂验收测试;
9. 系统安装和试车;
10. 安全系统验收——现场验收测试;
11. 运行和维护计划;
12. 系统变更管理;
13. 停用;
14. 信息和建档要求。
总的来说CONTROL ENGINEERING China版权所有,分析师和开发人员必须通过危险分析识别出与设备以及任何相关控制系统有关的重大危险。这个分析要确认功能安全对于防范每个重大危险是否必要。如何是的话,那么就必须要在设计中加以认真考虑。功能安全是应对危险的一种方法,而另外一种则是从根本上消除或者降低危险,比如本安设计,是更为重要的。
IEC 61508使用于安全相关系统,此类系统包含电气/电子/可编程电子(E/E/PE)设备。它关注的是由E/E/PE安全相关系统的安全功能失效所引起的危险,而不是由于E/E/PE设备自身引起的危险。它源于并且适用于各种应用的E/E/PE设备安全相关系统。
图2 来自SIS的信息可以发送到更大规模的控制网络当中,用于报警和数据收集。此外,它们还需要能够独立地执行安全功能。
可以适用于IEC 61508的E/E/PE安全相关系统包括:
■ 紧急关闭系统;
■ 火灾和气体检测系统;
■ 涡轮机控制;
■ 气体燃烧器管理;
■ 起重机自动安全负载指示器;
■ 机器设备的保护性互锁及紧急停车系统;
■ 铁路信号系统;
■ 利用限速进行保护的变速电机驱动。
相关安全功能的实施涉及到机电继电器(电气)、不可编程固态电子元件(电子)和可编程电子元件。可编程电子安全相关系统一般都包括可编程控制器、可编程逻辑控制器、微处理器、面向应用的集成电路或者其他包括像传感器、变送器和执行器这些智能设备的可编程元件。
无论对于哪种情况,标准都适用于整个E/E/PE安全相关系统。例如CONTROL ENGINEERING China版权所有,它适用于传感器,也适用于从控制逻辑到通讯系统再到最终执行元件,也包括操作人员的各种关键性操作。对于有效选取和实施的安全功能来说,必须要从整体上对系统进行考虑。E/E/PE安全相关系统的物理构成完全取决于它的安全功能。
采用安全生命周期的概念是一项巨大的挑战,但是它对于人员、财产和环境的安全至关重要。