(C) Consequences if Fail on Demand CA=Minor Injury CB=Severe Injury/One Death CC=Several Deaths CD=Many Deaths/Catastrophe
(F) Presence in the Danger Zone FA=Seldom to Frequently FB=Frequently to Continuously
(W) Demand Rate W1=Very Low (10 to 100 years) W2=Low (1 to 10 years) W3=High (<1 year)
(P) Probability to avert Hazard PA=Under Certain Circumstances PB=Almost Impossible
(A) Asset Loss A1=Moderate $100K to $1M, 1-5 days A2=Major $1M to $6M, 5 - 15 days A3=Extensive $6M to $12M, 15 - 30 days A4=Catastrophic >$12M, > 30 days
(E) Environmental Consequences E1=Small, Uncontained Release E2=Moderate Uncontained Release E3=Large Uncontained Release E4=Extensive Uncontained Release
《石油化工安全仪表系统设计规范》充分借鉴了IEC61508标准,对要求时危险失效平均概率(PFDavg)介于0.1和1之间定义为SILa或SIL0,并明确可以在DCS中实现,也可以在SIS中实现。
1、SIL0=SILa+不需要安全等级的联锁回路。 在LOPa分析中,所有中间事件的可能性和风险的可接受值之间风险消除因子1≤RRF≤10,那么这个回路可以定义为SILa或者SIL0,这时虽然是SILa或者SIL0,但是风险尚有缺口; 当中间事件的可能性和风险的可接受值之间风险消除因子RRF≤1时,则当前独立保护层已经能满足风险消除的需求。
2、当RRF≤1时,不需要安全等级的联锁回路是否等于可以取消联锁设置? 这个不完全是,要综合HAZOP来分析,如果取消联锁回路其事故发生的初始事件会提高,其风险也会随之提高,甚至到不可接受,要具体分析。
3、SILa很明确就是可以在DCS中实现,到达SIL1才要求宜分开。网上确实有一些错误的说法,造成了一些的误导。
4、SILa是否需要验证?SILa中1≤RRF≤10,其风险还有缺口,需要联锁回路来弥补,当RRF=1和RRF=10时都属于SILa(SIL0)序列,但是其相差一个数量级。既然有风险缺口,不去验证去完整性,如何证明此联锁能满足安全需求呢。可能会有人问,DCS没有失效数据,如何验证呢?所有的仪控设备,不管是否去做安全认证,都有失效概率,并不是说只有取得SIL证书的仪表和控制系统才有失效概率,失效概率是所有设备的一个固有特性。
摘录了PaulGruhn,P.E.,CFSEHarry L.Cheddie的一段文章:
安全联锁系统的失效数据库来源主要有三部分:第一是维护记录,工厂的维护记录是最好的数据源,最具有代表环境、维护规程、以及供货商关注点的信息;第二、供货商记录,供货商的记录数据来源主要是实验室和工厂反馈;第三、第三方数据库,第三方数据库来自海上石油、化工、以及核工业,这个数据库很贵,但是很容易买到。数据来源于不同的工厂,是工厂维护人员整理出来的成果,也有一部分来源于供货商。
这三个数据来源中,第一个是最真实的,第二个最不可信,第三个半信半疑。
《Center for Chemical Process Safety》一段:从各种工业数据收集程序发表的现场失效数据来看,实际在用设备的危险失效率明显高于大多第三方认证报告声明的值。对于现场设备,认证报告声称的危险失效率一般比实际安装使用收集的低3-10倍。
所以SIL验算不能以SIL证书为主,一定要降级使用,王婆卖瓜的道理大家都懂。
作者:何龙