安全完整性等级（SIL）是安全系统性能的衡量标准，而不是过程风险的衡量标准。风险等级越高，所需的系统性能就越高。基于危害和风险分析，为每个单独的安全仪表功能（SIF）分配了所需的性能级别或SIL。安全仪表系统的每个SIF可能具有不同的SIL。

SIS，PLC和BPCS之间的区别

如何计算完整性水平

       工业工厂需要一支跨学科的团队来评估和分配SIF（而非特定人员）的SIL性能水平。分配给团队的常见部门是过程，机械设计，安全，操作和控制系统。定量或定性分析用于计算每个SIF的SIL：

1. ALARP，风险矩阵和风险图

       ALARP（在合理可行范围之内），风险矩阵和风险图是确定SIL的定性方法。

       定性数据更快，更容易，但是也很主观，许多工程师都不愿意使用这些数据来分配性能水平。使用定性数据分析的系统通常过于保守，从而增加了不必要的成本。

2.LOPA（保护分析层）

       LOPA是一种定量方法，用于识别和分析独立保护层（IPL）的影响-能够预防危险事件的设备，系统或动作。

       LOPA非常详细，要求组织成员就风险承受能力达成共识。定量分析通常可提供较低水平的所需性能，从而降低安全系统成本。

       一旦使用定量或定性分析分配了SIL，并考虑了独立的保护层，就会编写安全要求规范（SRS）来描述系统的功能和完整性要求。

       功能需求描述了系统的输入，输出和逻辑。完整性要求描述了每个功能所需的性能。

       规格不正确或不正确会导致安全应用中44％的事故发生，从而强调了充分了解系统功能和完整性要求的重要性。

       计算SIL需要设备故障率-危险检测（DD），危险未检测（DU），安全检测（SD）和安全未检测（SU）。

       及时失效（FITs）是数据所有者/运营商需要计算的按需失效概率（PFD），安全失效分数（SFF），风险降低因子（RRF），安全可用性（SA）和平均失效时间（ MTTF）。对于单工系统，此FIT数据使计算目标SIL级别相当容易。

       要真正了解SIL等级，您需要知道什么是按需失败概率（PFD）。PFD可能是当有需求时循环失败的可能性。SIF的PFD是使用潜在的危险未检测到的故障数和回路的测试间隔来计算的。

       使用安全仪表系统将SIF实施为保护层，以减少过程危害。这是一种自动化的方式，可以针对潜在的不安全状况采取措施并使流程返回安全或稳定状态。

       1、SIS，PLC和BPCS硬件之间的一些主要区别是：

       2、标准BPCS的失败模式未知

       3、SIS PLC将在指定的概率（SIL）内安全地发生故障

       4、SIS PLC已通过IEC61508等标准的安全应用认证

       5、必须由在安全和开发平台上具有适当能力的人员来配置安全PLC。

       单个SIS PLC可以在其中控制任何数量的安全仪表功能，具体取决于设施或设施区域中可能存在多少不安全状况。

       大多数安全回路都被设计为断电跳闸系统，SIS PLC必须断开电源才能使回路跳闸。

       通常连接到SIS的传感元件是压力变送器，液位变送器，温度变送器，火焰探测器，烟雾探测器，有毒气体探测器，紧急关机（ESD）开关以及任意数量的输入设备。

       非常终的元素通常是电磁阀（SOV），信标，喇叭，排气扇和门等。

       要牢记的一件事是，SIS不仅是系统的控制器。SIS包括所有变送器和非常终元件，以及相关的螺线管，排气阀和回路分配器。SIS包含的任何可能导致回路潜在故障的组件都是该组件。

       如果需要时组件不可用，则会发生危险故障。设备诊断大大降低了发生危险故障的机会。安全故障（也称为扰民/虚假旅行）通常会导致计划外停机。传感器表决逻辑通常用于避免麻烦的跳闸并提高系统性能。

独立系统的重要性

       由于BPCS并不非常好，因此在过程工业中需要安全仪表系统。许多工业标准和准则建议将SIS与BPCS分开。

       “用于执行安全仪表功能的一部分的设备不得用于基本过程控制目的，如果该设备的故障导致基本过程控制功能的故障导致对安全仪表功能的需求，则除非已进行分析以确认总体风险是可以接受的。” – ANSI / ISA 84.00.01-2004 11.2.10。

       人为问题是SIS和BPCS相互独立的非常常见原因。无论如何训练，人们都不能信任人们在紧急情况下做出安全的决定。

       一项在威胁生命的情况下对人类绩效进行分析的研究发现，人们需要在不到一分钟的时间内做出错误选择的概率为99％，这强调了自动化SIS防范危险事件的重要性。

       如果允许组件在SIS和BPCS之间共享，则规范可能会被忽略，从而导致严重的后果。将SIS与BPCS分开可以确保在进行更改之前先对安全要求规范（SRS）进行审查，并且在实施更改之前，将确定由建议的更改引起的所有新的潜在危害。

       应该考虑使用按颜色，唯一标签或编号系统区分的设备，以帮助与BPCS设备区分开。

SIS与BPCS

       安全仪表系统是被动的和休眠的，监视和维护过程的安全性。这些系统运行很长一段时间，在其中它们只是等待响应系统需求。

       诊断在SIS中至关重要，以确保组件正常运行，从而减少了手动测试的频率。安装后的更改必须严格遵守更改管理（MOC）。即使非常小的变化也可能产生重大后果。

       基本过程控制系统（BPCS）是有源和动态，控制该过程。这些系统具有各种数字和模拟输入和输出，可对逻辑功能做出反应，从而使大多数故障都能自动显示。对BPCS的更改非常普遍，需要进行更改以保持准确的过程控制。

常见原因失败

       将SIS与BPCS分开可以极大地降低因常见原因而造成的风险，这些原因是影响整个系统的系统性故障。常见原因故障可能包括断电，软件错误或未检测到的设备故障。

       假设安装冗余组件将导致一个更安全，更可靠的系统，但并非总是非常好的。通常，更多的组件导致系统的更多复杂性，从而导致更多的问题。

       常见原因故障通常由温度波动，设备振动，射频干扰或电涌引起。SIF要求的性能水平越高，您就必须更加意识到常见的故障原因。

       防止常见原因故障的理想方法是安装具有多种技术的冗余设备，并将这些设备物理上分开。例如，如果安装安全差压变送器以监视液位应用，则在变送器断电时，还应考虑安装表压机械开关。

减少这些故障的推荐方法是：

       使用冗余设备

       安装带有诊断程序的设备

       选择多种技术

       物理上分开的设备

选择哪种技术

认证与经过验证的使用

       许多所有者/运营商提出的一个常见问题是，他们是否应该在SIS中使用经过认证或已使用过的设备。ANSI / ISA 84.00.01-2004决不要求在SIS中使用经过认证的组件。

       某些制造商提供未经IEC 61508认证的“使用证明”或“ SIL适合”组件。供应商提供使用经过验证的组件的制造商必须提供质量程序，在类似环境中证明可接受的性能水平，并证明其丰富的经验。

       使用经过认证的设备的主要优点是易于访问由独立第三方收集的故障率数据（FIT）。如果考虑使用“经过验证的设备”或“适合SIL的设备”，则通常使用供应商的现场返回数据来提供故障率数据，但是该数据不能准确代表整个设备的故障，因此无法进行独立分析。

       由经过认证的独立第三方收集的数据使所有者/运营商能够使用可靠且经过测试的数据快速计算其SIF所需的性能水平（SIL）。

       所有者/运营商可以选择安装未经认证的组件，在其SIS中称为“经证明可使用”或“适合SIL”。该信息通常可在设施维护记录，供应商现场退货数据和第三方数据库中获得。未经认证的组件故障率数据通常不准确。

       制造商使用现场退货数据来计算产品故障率，但是此数据取决于客户退货。此外，除非安装了自动维护软件管理系统，否则设施维护记录并不总是具有设备故障信息的非常新信息。当考虑没有独立第三方故障率数据的设备时，请谨慎使用。

发射器与开关

       您应该考虑在SIS中同时安装变送器和开关。由于不断增加的诊断，现场指示，更低的故障率以及提高的准确性和可重复性，变送器通常是SIS中考虑的非常好个组件。

       但是应考虑包括冗余和多样化的技术，以避免系统中的常见原因故障。变送器需要向操作员供电，并且仅通过PLC或DCS提供控制。

       如果您断电会怎样？如果PLC或DCS发生故障怎么办？如果发射器电子设备出现故障怎么办？在这种情况下，一旦发生危险情况，机械开关将继续运行并提供保护。通过安装冗余设备，可以避免常见原因故障，从而降低风险。

讨厌的旅行

       讨厌的旅行被称为SIS中的安全故障。平均失效时间（MTTFspurious）是SIS计算中用来确定设备何时会遭受安全失效的术语。

       当设备以所有者/操作员知道故障的方式发生故障时，通常会通过PLC或DCS发出警报或警告，从而发生安全故障。安全故障对所有者/操作者是一件令人讨厌的事，并给生产损失和停机带来经济后果。

       关闭后，要求所有者/操作员采取手动操作来重置系统-不允许它自动重新启动。

       避免这些麻烦跳脱的非常佳方法是通过PLC或DCS中的传感器通道投票。表决逻辑比较设备通道并确定所需的操作。

       了解安全和容错之间的区别很重要。1oo1是非常安全的，但不是容错的，这意味着超出传感器编程范围的任何测量都将导致关机。

       2oo2具有很高的容错能力，但不如1oo1安全，因为它在关闭之前需要两个通道达成共识。2oo3是两种双重模式的适当折衷。1oo2D是首选配置，可减少不必要的行程并提高安全性。

通信与诊断

       组件信号通常通过PLC或DCS发送和接收。ANSI / ISA 84.00.01-2004建议在PLC或DCS中对现场设备进行写保护，以避免对超出安全要求规范的设备进行更改的风险。

       双边通信（例如HART或Foundation Fieldbus）在BPCS设备中很重要，但在SIS中却没有用。实际上，越来越多的网络安全威胁突显了在攻击过程中操纵设备安全变量的情况下要求对设备进行写保护的重要性。在安装SIS传感器时，不需要进行双向通信，而只会增加额外和不必要的成本。

       设备诊断不断改进，并向所有者/操作员提供其SIS中设备的健康状态。通过识别设备何时以及如何发生故障，此信息可降低设备的危险故障率。所有者/操作员可以迅速更换故障设备，以确保其过程得到适当的保护。

相关产品推荐：精密数字压力表、热量积算仪、数字显示调节仪