Zrozumienie SIS, SIF i różnic między SIL 3 a innymi poziomami SIL

Przyrządowe systemy bezpieczeństwa (SIS) mają kluczowe znaczenie w nowoczesnym przemyśle, szczególnie w sektorach wysokiego ryzyka, takich jak przemysł chemiczny, energetyczny i petrochemiczny. Poziom integralności bezpieczeństwa (SIL) to kluczowy wskaźnik służący do pomiaru bezpieczeństwa i niezawodności SIS.

Ponieważ SIL 3 stał się często omawianym tematem w systemach o krytycznym znaczeniu dla bezpieczeństwa, szczególnie ważne jest zrozumienie definicji, poziomów i zastosowań SIL, a także konkretnego znaczenia i mających zastosowanie scenariuszy SIL 3. Ten artykuł pomoże Ci w pełni zrozumieć związek pomiędzy SIS i SIL, ze szczególnym uwzględnieniem znaczenia SIL 3, a jego celem będzie pomoc w dokonywaniu właściwych wyborów w praktycznych zastosowaniach.

Podstawowe pojęcia SIS i SIF

Przyrządowy system bezpieczeństwa (SIS) to system zaprojektowany w celu realizacji jednej lub większej liczby przyrządowych funkcji bezpieczeństwa (SIF).

Składający się z przyrządów pomiarowych, sterowników logicznych, siłowników, końcowych elementów sterujących i powiązanego oprogramowania aplikacyjnego, głównym zadaniem SIS jest monitorowanie operacji procesowych i podejmowanie w odpowiednim czasie działań w celu zapobiegania wypadkom w przypadku wystąpienia zagrożeń.

Przyrządowa funkcja bezpieczeństwa (SIF) to specyficzna funkcja bezpieczeństwa wykonywana przez SIS. Służy do monitorowania niebezpiecznych warunków w procesie i podejmowania odpowiednich środków kontrolnych, takich jak awaryjne wyłączenie, odcięcie zasilania i aktywacja urządzeń nadmiarowych.

W powyższych definicjach napotykamy pewien stopień „definicji kołowej” – oprzyrządowana funkcja bezpieczeństwa jest realizowana przez oprzyrządowany system bezpieczeństwa, a oprzyrządowany system bezpieczeństwa jest używany do realizacji oprzyrządowanych funkcji bezpieczeństwa. Ta kołowa definicja wskazuje na współzależność pomiędzy systemem i jego funkcjami. Jednak taki sposób definiowania pomaga nam zrozumieć ścisłe powiązanie i ścieżkę realizacji pomiędzy systemem a jego funkcjami.

Poziom nienaruszalności bezpieczeństwa (SIL) to miara zdolności przyrządowej funkcji bezpieczeństwa (SIF) do ograniczania określonych zagrożeń.

Istnieją cztery poziomy SIL, od SIL 1 do SIL 4, przy czym SIL 4 jest najwyższym poziomem, wskazującym najniższe prawdopodobieństwo awarii i najwyższą niezawodność systemu. Im wyższy poziom SIL, tym wyższe wymagania bezpieczeństwa stawiane systemowi, co umożliwia jego pracę w bardziej złożonych i niebezpiecznych środowiskach.

Poziomy SIL są zazwyczaj powiązane z PFDavg (średnie prawdopodobieństwo wystąpienia niebezpiecznej awarii na żądanie) i PFH (częstotliwość występowania niebezpiecznych awarii na godzinę). Każdy poziom SIL ma odpowiednie wymagania standardowe, jak następuje:

• SIL 1: Odpowiedni do środowisk niskiego ryzyka, pozwalający na stosunkowo wysokie prawdopodobieństwo awarii.
• SIL 2: Nadaje się do środowisk średniego ryzyka.
• SIL 3: Nadaje się do środowisk wysokiego ryzyka, wymagających niskiego prawdopodobieństwa awarii.
• SIL 4: Nadaje się do środowisk o wyjątkowo wysokim ryzyku, wymagających wyjątkowo niskiego prawdopodobieństwa awarii.

Poziomy te pomagają zespołom projektowym w ocenie wymagań niezawodności i wymaganych poziomów bezpieczeństwa systemu.

Różnica między SlL, SlF i SlS

Zgodnie z normami IEC 61511 i VDI/VDE 2180-1 istnieją pewne funkcje bezpieczeństwa o niskiej integralności (LIF), które nie wymagają ochrony o wysokiej integralności. Funkcje te mają współczynnik redukcji ryzyka (RRF) mniejszy niż 10 i zazwyczaj nie muszą być wdrażane w systemach bezpieczeństwa.

• SIL-a: oznacza „brak specjalnych wymagań bezpieczeństwa” lub „może nie wymagać warstwy zabezpieczającej SIS”, co oznacza, że ​​do ochrony nie jest potrzebny żaden dodatkowy przyrządowy system bezpieczeństwa.
• SIL-0: Wskazuje „brak wymagań bezpieczeństwa”. Funkcje takie nie wymagają interwencji specjalistycznych warstw ochronnych (takich jak przyrządowe systemy bezpieczeństwa). Na przykład sprzęt objęty warstwą ochronną podstawowego systemu kontroli procesu (BPCS) ma maksymalny współczynnik redukcji ryzyka wynoszący 10.

Chociaż te funkcje bezpieczeństwa nie wymagają skomplikowanych warstw ochrony SIS, nadal przejmują pewne podstawowe obowiązki związane z bezpieczeństwem. W analizie SIL funkcje sklasyfikowane jako SIL-a, SIL-0 i SIL-1 są ogólnie uważane za scenariusze niskiego ryzyka. W tych scenariuszach funkcje takie jak wyłączanie i wyłączanie można realizować za pomocą istniejących systemów sterowania bez wsparcia systemów bezpieczeństwa o wysokiej integralności.

Projekt i zastosowanie tych funkcji bezpieczeństwa o niskiej integralności jest rozsądne, szczególnie biorąc pod uwagę potencjalny problem „przeciążenia”, z jakim mogą się spotkać systemy o wysokiej integralności. W niektórych przypadkach wykonywanie tych funkcji z wystarczającą niezawodnością za pomocą systemów kontroli może nie tylko spełnić kryteria akceptacji ryzyka, ale także uniknąć nadmiernych inwestycji.

Norma IEC definiuje SIL-a i SIL-0, podczas gdy VDI/VDE zapewnia alternatywy dla SIL-0 i SIL-1#. Chociaż istnieją między nimi różnice w terminologii, są to zasadniczo funkcje bezpieczeństwa o niskiej integralności, wymagające niskiego współczynnika redukcji ryzyka (< 10) i nie wymagające wdrażania w systemach bezpieczeństwa.

SIL 3 to jeden z poziomów nienaruszalności bezpieczeństwa zdefiniowanych w normie IEC 61508. Wymaga współczynnika redukcji ryzyka na poziomie 1000–10 000 w przypadku awarii na żądanie i prawdopodobieństwa awarii na poziomie 10⁻⁸–10⁻⁷ na godzinę. SIL 3 jest zwykle stosowany w środowiskach wysokiego ryzyka, takich jak przemysł petrochemiczny, przetwórstwo chemiczne i elektrownie. Znaczenie poziomu SIL 3 polega na jego zdolności do skutecznego ograniczania ryzyka związanego z określonymi zagrożeniami do akceptowalnego poziomu.

Chociaż sprzęt SIL 3 może wydawać się zbędny, zwłaszcza w środowiskach niskiego ryzyka, używanie sprzętu SIL 3 może w niektórych przypadkach przynieść znaczną poprawę bezpieczeństwa. Może na przykład wydłużyć okres testów T-proof (czas weryfikacji testu), poprawiając w ten sposób skuteczność wykrywania ukrytych usterek.

Poziom SIL 3 nie jest przyznawany dla pojedynczego sprzętu, ale dla funkcji wykonywanych przez sprzęt, co gwarantuje, że może on zapewnić wystarczające gwarancje bezpieczeństwa w środowiskach wysokiego ryzyka. W przypadku doboru sprzętu poziom SIL 3 oznacza wyższe wymagania dotyczące niezawodności i nadmiarową konstrukcję, a sprzęt jest zwykle droższy. Jest to jednak konieczna inwestycja w przypadku zastosowań krytycznych.

Wdrożenie i utrzymanie poziomu SIL 3 wymaga dodatkowych inwestycji. Oprócz początkowych kosztów zakupu sprzętu, poziom SIL 3 wymaga również od zespołu operacyjnego posiadania określonych umiejętności, co oznacza dodatkowe koszty szkolenia i zarządzania personelem. Co więcej, sprzęt SIL 3 ma zazwyczaj wyższe wymagania projektowe i testowe, więc jego koszt jest wyższy niż w przypadku sprzętu konwencjonalnego.

Jednak koszt SIL 3 jest opłacalny w porównaniu z potencjalnym ryzykiem i możliwymi stratami. Zwłaszcza w środowiskach wysokiego ryzyka koszt niewdrożenia SIL 3 może znacznie przekroczyć koszt wdrożenia. SIL 3 może nie tylko poprawić bezpieczeństwo systemu, ale także zmniejszyć prawdopodobieństwo wypadków, zapewniając bezpieczeństwo personelu, sprzętu i środowiska podczas procesu produkcyjnego.

Klasyfikacja SIL to nie tylko kwestia techniczna, ale także kompleksowy proces zarządzania ryzykiem. Stosując metody takie jak HAZOP (Hazard and Operability Study) i LOPA (Layer of Protection Analysis) można systematycznie analizować potencjalne zagrożenia w procesie i określać wymagany poziom SIL. Przy wyborze poziomu SIL należy wziąć pod uwagę rodzaj ryzyka, prawdopodobieństwo wystąpienia, konsekwencje wypadków i wymagane poziomy redukcji ryzyka.

Projektując SIS, istotne jest rozróżnienie pomiędzy komponentami krytycznymi dla bezpieczeństwa i elementami niekrytycznymi dla bezpieczeństwa. Komponenty krytyczne dla bezpieczeństwa odnoszą się do tych zmiennych pomiarowych i działań, które są niezbędne dla bezpieczeństwa, takich jak czujniki temperatury i ciśnienia oraz systemy wyłączania awaryjnego. Z drugiej strony komponenty niekrytyczne dla bezpieczeństwa to te, które nie wpływają bezpośrednio na bezpieczeństwo systemu i nie mają bezpośredniego wpływu na bezpieczeństwo procesu.

Normy takie jak GB/T 21109.1-2022 szczegółowo określają ramy i wymagania dotyczące projektowania SIS, pomagając przedsiębiorstwom przestrzegać naukowych i systematycznych specyfikacji projektowych podczas wdrażania SIS, aby zapewnić spełnienie wymagań dotyczących poziomu SIL i funkcjonalności.

Poziomy SIL, szczególnie SIL 3, mogą skutecznie poprawić bezpieczeństwo systemu, jeśli są stosowane w środowiskach wysokiego ryzyka. Chociaż koszt wdrożenia poziomu SIL 3 jest stosunkowo wysoki, ma on kluczowe znaczenie dla zapobiegania wypadkom związanym z bezpieczeństwem, ograniczania ryzyka i zapewniania bezpieczeństwa produkcji w określonych scenariuszach.

Podejmując decyzję o przyjęciu poziomu SIL 3, przedsiębiorstwa powinny kompleksowo rozważyć ocenę ryzyka, analizę kosztów i korzyści oraz długoterminowe gwarancje bezpieczeństwa. Wraz z rozwojem technologii przemysłowej zastosowanie SIL będzie promowane w większej liczbie dziedzin, a nowe technologie i metody w jeszcze większym stopniu poprawią skuteczność i niezawodność przyrządowych systemów bezpieczeństwa.