[專題] 功能安全入門 10｜簡化的SIL 1和2實際範例與專題總結

讓我們把之前討論過的所有內容放在實際案例中。由於在實踐中的大多數安全功能是SIL1和SIL2，而SIL3極少，因此我們將僅關注SIL1和SIL2。

典型SIL 1設計案例

我們先來介紹幾個典型的安全完整性等級1設計。

這是壓力容器(V101)。藍色儀器或裝置是基本製程控制系統的組成部分，旨在維持容器內的液位。如果其中某個元件發生故障，則可能無法控制容器的液位。

例如，如果液位傳送器(LT101)發生危險故障，即，它停止了對儲槽液位的反應，並一直報告相同的液位，則控制器(LIC101)會繼續認為液位是固定的，即使液位在上升。如果液位上升過多，物料可能從容器頂部溢位（稱為氣流遏制系統的損失），進而引發爆炸。

另一方面，安全儀表系統（顯示為紅色）通過獨立液位傳送器(LT102)、獨立邏輯解算器和獨立閥(XV101)測量容器中的同一液位。

因此，如果其中一個基本製程控制系統元件發生故障，安全儀表系統仍能檢測到高液位，保護此容器不致進入危險狀態。如果此保護功能的安全完整性等級，被確定為安全完整性等級1(SIL1)，則此設計就足夠了。

提高可靠性的措施

典型SIL 1設計 — 安全性和更高MTTFS（平均故障時間具有欺騙性）)。

[註：平均無故障時間=系統故障導致虛假製程跳車之前的平均時間]

但是，如果LT102不是世界上最可靠呢？ 由於環境條件、腐蝕性製程流體等原因，裝置會隨著時間的推移，發生故障 在上一示例中，仍然符合Safety Integrity Level 1，因為如果LT102出現欺詐性故障，則該安全功能將起作用。

但這將觸發閥(XV101)並關閉該製程，僅僅因為這一台價值1,000美元的裝置出現了虛假故障，就可能導致數百萬美元的生產損失。

提高此保護迴路的可用性，但不影響安全性的一種方法，是使用兩個測量裝置檢視容器中的同一液位。

如果其中一台出現假故障，在無需求時故障，您仍會從第二台裝置收到健康訊號。兩個表決者必須同時同意（兩個表決者同時成立，或2oo2），在觸發保護迴路之前，存在製程條件問題。由於本裝置額外增加了一個裝置，從而降低了因假跳車而關閉的可靠性或可能性。

注意，安全完整性未受影響。SIF仍可達到1級安全完整性等級SIF，但由於僅有一個液位傳送器誤跳車不會引起迴路跳車，所以製程可靠性增加。

重要事項：簡化例項並不表明有必要採用系統方法來識別危險、風險、後果、可能性、目標水準、減少風險的方法等。

典型SIL 2設計案例

讓我們看看較高的完整性迴路。這是安全完整性等級2的設計。它仍採用相同的製程控制，但假設相關的風險、後果和可能性要高一個數量級。因此，它需要一個數量級更多的風險降低以達到可容忍的水準。

此架構使用安全迴路中的兩級裝置來測量容器中的液位（LT102和LT103）。只有其中一個必須檢測到危險狀況（兩個或兩個中的一個，或1oo2）才能使用閥XV101和XV102關閉系統。

同樣，由於這些裝置中只有一個裝置，必須就危險狀況進行表決，因此它使生產單元跳車，並使生產單元進入安全狀態。這種設計比以前的設計安全多了，但是如果一件售價1000美元的裝置出現故障，它還是會停止生產。

典型SIL 2設計 — 更高MTTFS（平均故障時間虛假資訊）

為了提高此生產單元的總體可用性並維護安全性，通常可以使用測量相同水準的三個裝置(LT102、LT103、LT104)。

在正常操作期間，所有三個液位傳送器都監控液位，並會進行表決，使得三分之二(2oo3)需要同意要求安全功能，才能進行液位傳送。這樣可使其中一台裝置損壞，而不會導致整個工廠跳車，同時仍可提供所需的安全級別。

另一個優點是，線上維護和測試液位傳送器，而無需將迴路置於手動控制中，或在表決將其逐出方程式時丟失任何保護。

重點是，在設計系統時，需要同時考慮工廠的安全性和工廠的可靠性。畢竟，最安全的工廠不是從來不啟動也不運行！

---

就這樣！在本系列中，我們力求簡單，介紹功能安全的重要性及其所涉及的內容。

專題總結：

• 裝置硬體故障並非是以往工業重大事故的主要原因。

• IEC61511 / ISA S84.01是適用於製程工業的標準。

• 它們基於效能標準，涵蓋整個安全生命週期。

• 它們並非總是強制性的，但被行業和監管機構視為最佳工程實踐。

• 安全儀表系統是獨立的保護層，必須與基本製程控制系統分開獨立使用。在正常情況下，它們不應「共用」相同的現場裝置。

• SIS PLC不同於傳統PLC，它們經過獨立認證，可用於安全相關應用中。

• 安全儀表化功能是在安全儀表化系統(SIS)內執行的一個迴路（安全迴路）。它包括感測器、邏輯解算器和最終控制元件，用於檢測危險並將製程置於安全狀態。

• 安全完整性等級(SIL)表示特定安全儀表功能的可容忍故障率。

• 風險是可能性和後果的產物。安全儀表系統旨在降低事故或事件的可能性，但並不會減少後果。

• 最後，在設計安全儀表系統時，必須考慮裝置測試、表決架構和工廠可靠性目標。安全嗎？ 是否安全，是否具有足夠的可用性，以允許連續生產？

就像所有東西一樣，魔鬼總是隱藏在細節之中。好消息是，有大量的優秀資源可供更多企業使用 資訊，包括以下來源：

• 美國石油學會
• 化學製程安全中心
• 化學品安全委員會
• 能源研究所       
• 健康與安全主管       
• 國際石油和天然氣生產商協會(OGP)
• 國家技能學院
• 經濟合作與發展組織（經合組織）
• 職業安全與健康協會(OSHA)

---

關於作者

Kenny Chua是Triconex安全與關鍵業務的產品經理。

他擁有工商管理碩士(MBA)、電氣工程理學士學位(BSc)、專案管理專家(PMP)以及TÜV認證功能安全工程師(FS Eng)。

彼於製程安全行業擁有逾15年經驗，包括擔任專案工程、專案管理及產品管理等職務。