SIL的案例
儀表安全等級的定義和區別SIL1、SIL2與SIL3有什么區別?
SIL等級是不能進行組態修改的,這個是根據計算得來的。系統的SIL等級是表明系統可應用于某一SIL等級場合,當然達到SIL3等級的系統也可用于SIL2的場合。而且根據IEC61508,SIS(安全儀表系統)不僅僅是要求控制系統具有SIL等級,而且要求現場的儀表閥門也具有SIL等級,不僅僅是構成一個控制回路的各個組成部件(監測儀表、控制系統、執行機構等)具有SIL等級,而是要去計算這整個控制回路的PFD,如果計算出的PFD在了SIL2的范圍,那么這個控制回路就達到了SIL等級。一個控制回路要求為SIL2還是SIL3等級,是根據這個控制回路在整個生產裝置中的重要性,對安全的影響等多方面分析而來。
只是在國內,這些都被各方面的人搞得簡單化了,現場儀表和執行機構就用普通的不具有SIL等級的,只有控制系統才要求SIL等級,而且也不去計算到底需要某一SIL等級的就行,在石油化工上SIS都搞成了SIL3等級的了。
化工導航 丨 www.hg-dh.com
化工加 丨 www.chemical-plus.cn
本文作者:小加
素材來源:互聯網
轉載請注明出處,謝謝!
化工加
長按識別二維碼關注我們
展開 SIL驗證中用PFD還是PFH?
通常被稱為SIL驗證的過程用于證明符合功能安全標準IEC61511(過程工業安全應用)或IEC62061(機械安全應用)。以上每個標準都根據安全功能的故障概率(PFD或PFH)來定義安全功能的隨機硬件故障性能要求。
背 景
為了幫助您了解必要的背景知識,下面列出了一系列問題,這些問題應該有助于向未入門者介紹該主題。
為什么需要SIL驗證?
設計用于自動感應危險并對危險做出反應的設備可以在工業中的許多不同應用中進行設計和使用。典型的過程工業應用包括緊急停車/跳閘系統,該系統可防止潛在的危險壓力,溫度或液位狀況超限。對于危險機械,使用自動安全功能來檢測人體是否接近并實現安全狀態,以保護工人免受傷害。無論何種應用,危害的所有者均應確定每種安全功能的SIL目標。此過程稱為SIL確定或SIL選擇。
為了證明每個安全功能都能滿足的隨機硬件目標,需要進行PFD或PFH計算。 SIL驗證失敗概率的計算提供了一種標準化的方法,可以將安全功能設計與其目標安全完整性等級(SIL)進行比較。
PFD或PFH是SIL唯一需要驗證的東西嗎?
展開 石油化工罐區安全儀表系統(SIS)的設計及SIL驗證
從驗證結果可以看出,雖然采用雙電磁閥“1oo2”冗余結構配置將總回路的SIL限制結構約束提升到SIL2,但計算的PFDavg仍不滿足目標SIL2要求。那么,可以通過縮短閥門的TI3進行重新配置和計算,運用PHAMS平臺將執行元件部分的TI3逐漸減小,計算發現TI3至少縮短為24個月,才能使SIF滿足目標SIL。驗證結果見表13所列,各子系統的驗證結果分析見表14所列。
通過以上SIL驗證分析可以看出,并不是設置冗余結構就能使SIS滿足目標SIL,為了保證SIS系統的安全可靠性,必須在設計階段進行SIF回路各子系統的冗余結構合理化設計,并避免過度設計;同時,在安裝、調試、運行維護中應嚴格執行IEC 61511功能安全管理的相關規定,做好各個階段的功能安全評估工作。
展開 安全儀表系統SIL驗證中存在哪些問題?有什么解決方案?
PART4
建議提出的科學性
經SIL驗證計算后,可得出待驗證SIF的隨機失效SIL等級及結構約束的SIL等級,綜合考慮得其實際所能實現的SIL等級,那么對于不滿足SIL要求的安全儀表功能我們在提建議時,就應分別從隨即失效及結構約束兩個方面去考慮。當是隨機失效的SIL等級限制整體的SIL等級時,可以從
●設備的選型,如選用失效率數據更低的設備;
或
●表決配置,如提 高 H FT;
●或管理措施(如縮短檢驗測試間隔)等方面去進行建議的提出;當是結構約束的SIL等級限制整體的SIL等級時,可以從
●設備的選型,如選用SFF較大或系統SIL等級較高的設備;或
●表決配置,如提 高 H FT。
但是,當具體能實現的SIL等級與要求的SIL等級差距較大,不能通過部分設備的更換或管理進行改造以滿足時(如某一SIF,SIL要求為SIL3,實際能實現的為SIL0),此時,如直接提出整改意見是全部換經SIL3認證的儀表或閥門,從用戶的角度去考慮可能其可操作性不強,建議此時應從SIL定級/LOPA分析的角度、后果的確定、現場管理、保護層的分配、條件修正、使能事件等多方面去考慮,而非簡單的從設備本身的整改去提高所能實現的SIL等級。
展開 
SIL 定級技術要求有哪些?我們該如何正確的理解和應用?
04
分段SIL定級法
SIL的定級其實并不適合只用單一方法進行,有專家提出分階段方法,即“利用簡單技術篩選,之后系統地逐步運用更加復雜的技術選出最優SIL”。這種方法運用了三種理念的篩選,即分別從定性、半定量到完全定量。可運用每種方法的定量程度及安全保障措施的完整性評價程度來度量每種方法的嚴謹程度。
通過定性方法(如風險矩陣、風險圖法)計算得到的結果相對更加保守。定性的方法能得出可接受風險等級,但是它們之間關系并不是很清楚,這些方法可能“使得分析更簡單;但是當SIL僅僅增加一個等級時,SIF的優化成本卻明顯增加;而使用更加復雜的分析方法卻可節省更多成本”。
當使用分階段方法時,風險圖法可以對大量安全功能的初步篩選進行第一階段分析,第二階段中與SIL相關的安全功能以選擇更加嚴謹的方法,然而某些專家指出在石油化工行業更適合使用LOPA,由于企業管理和監管人員等利益相關方對可辯證的數值方法的需求逐漸增加,風險圖法在石油化工行業中已經落后,而LOPA相對更加適用。在SIL定級中的不準確性“通常來源于缺乏對初始原因頻率和對可接受風險減緩頻率的明確分類”。
展開 如何看懂一篇SIL定級報告
編 輯 | 化工活動家
來 源 | 儀控信息港
作 者 | 何龍
關鍵詞 | SIL定級 報告
共 451 字 | 建議閱讀時間 5 分鐘
SIL定級一般是在設計階段完成,設計院按照SIL定級結果完成設計,如果SIL級別較高,說明該回路保護層不足,增加保護層或者選用較可靠SIS和切斷閥,提高可靠性。SIL驗算一般是在項目儀表訂貨階段完成,提供儀表、切斷閥型號和SIS廠家即可開始,如驗算不合格,應重新選型,定級和驗算分別出報告;對于在役裝置,一般是定級和驗算一起做,同一本報告,先定級,接著做驗算。下面我就分享一下怎么看懂一個SIL定級報告。
對于SIL定級我國有標準《保護層分析(LOPA)方法應用導則》AQ_T 3054-2015,這個導則有個推薦表,就是大家常說的LOPA表,其實這個表想把要各種風險分析全面,需要大量篇幅不說,還需要自己編寫公式,可以用,但是并沒有exSILentia軟件那么科學和靈活,對于一些檢查的專家來說,他們更容易接受這個表格,所以有不少exSILentia用戶沒辦法只有放棄軟件,用LOPA表來做。這是一種悲哀。
這是lopa表做的,非常不方便,計算也容易出現問題,其實exSILentia可以直接選擇人員、財產、環境和社會聲譽各種風險,是非常好的一個軟件,只可惜不是中文,“專家”門很難接受。
展開 應用案例分享 | 智駕路試數據分析及 SiL/HiL 回灌案例介紹
通過軟件在環(SiL)和硬件在環(HiL)回灌驗證,該系統能夠充分評估和優化算法性能,發揮數據價值。可解決智能駕駛測試過程中的幾類問題:
實車測試效率低,無法有效閉環驗證
場景挖掘速度慢,數據堆積無價值
部分工況危險性高,且無法重復測試
實車測試成本高,工況無法復現
本文將通過實際應用案例進行講解,例如圖1展示了一個典型的路試數據分析及SiL/HiL回灌方案。
圖1 典型路試數據分析和SiL/HiL回灌方案
路試項目數據分析案例簡介
智能駕駛測試數據通常來源于汽車廠商在新車發布前進行的實際道路測試、場地測試以及量產車的數據。其主要特點包括:數據覆蓋廣,經過精心規劃和錄制,包含車載總線和傳感器數據,能夠充分反映系統狀態;數據量龐大,每次路試的持續時間可能為幾周或幾個月;團隊分工明確,包括路測工程師、數據分析工程師和算法工程師等。圖2展示了某自動駕駛研發項目中,使用OrienLink進行數據分析和回灌測試的流程。
圖2 OrienLink測試分析流程
方案解讀
通過云端協同,多個業務團隊可以在平臺上共同完成所有測試任務。路試團隊根據測試需求,采集大量原始數據,并通過互聯網或磁盤郵寄的方式將數據上傳至云端。同時,團隊會提前進行數據架構設置、解析協議配置(如圖3),同步準備數據。數據分析團隊根據測試需求,構建車輛中間層,并預埋所需的數據分析標記信號,如Cut-in、Cut-out和異常制動等關鍵場景標記。
展開 化工人一定要了解儀表安全等級Esd和SIS的區別!
SIL等級是不能進行組態修改的,這個是根據計算得來的。系統的SIL等級是表明系統可應用于某一SIL等級場合,當然達到SIL3等級的系統也可用于SIL2的場合。而且根據IEC61508,SIS(安全儀表系統)不僅僅是要求控制系統具有SIL等級,而且要求現場的儀表閥門也具有SIL等級,不僅僅是構成一個控制回路的各個組成部件(監測儀表、控制系統、執行機構等)具有SIL等級,而是要去計算這整個控制回路的PFD,如果計算出的PFD在了SIL2的范圍,那么這個控制回路就達到了SIL等級。一個控制回路要求為SIL2還是SIL3等級,是根據這個控制回路在整個生產裝置中的重要性,對安全的影響等多方面分析而來。
只是在國內,這些都被各方面的人搞得簡單化了,現場儀表和執行機構就用普通的不具有SIL等級的,只有控制系統才要求SIL等級,而且也不去計算到底需要某一SIL等級的就行,在石油化工上SIS都搞成了SIL3等級的了。
來源:網絡
展開 范詠峰老師解讀SIS和BPCS的共用問題,儀表人快來學習~
實際的情況是,即使對于SIL1的應用場景,也很難做到這一點。
3 實際工程中的執行原則
3.1 基本原則
SIS和BPCS應獨立,包括測量儀表、最終執行元件和邏輯控制器,SIS和BPCS的獨立性示意如圖2所示。
如受某些條件所限,確需共用時應滿足下文中的前提條件,當不能滿足時,SIS和BPCS應獨立或重新進行風險評估分析,優化工藝流程和保護措施,尋求合理、客觀的解決方案。
實際工程中可執行的原則如下:
1)針對新建裝置,SIS和BPCS應獨立。
2)針對在役裝置,原則上SIS和BPCS應獨立。當受客觀條件所限不具備改造可能性或者改造過程中會帶來新的風險,在滿足下文中共用的前提條件時,SIS和BPCS可共用。如果不能滿足下文中的條件,應重新進行風險評估分析,優化工藝流程和保護措施,尋求合理、客觀的解決方案。
3)SIS和BPCS有單一配置的共用設備,如果BPCS作為初始事件或作為獨立保護層,則共用設備所在SIF回路的SIL等級一般限制在不超過SIL1,即SIL2及以上等級的回路不宜共用。這樣考慮的原因是,SIS和BPCS共用可能會提高SIF回路的SIL等級需求,如對于原本要求SIL2等級的回路,提高要求后,可能會變為為SIL3,按標準要求SIL3等級的回路通常需要設置冗余架構,即HFT≥1,此時已經不能由單一測量儀表或執行元件實現。
4)SIS和BPCS有安全性冗余配置的共用設備,如“1oo2”配置或“2oo3”配置,SIL2是否允許SIS和BPCS共用,應按照具體應用場景及所采用設備的具體情況進行風險分析和SIL驗算,根據分析結論及驗算結果評估確定。
展開 安全儀表基本概念及配置原則
安全完整性、安全完整性等級(SIL)
安全完整性:在規定的條件和時間內,SIS完成SIF的平均概率。
安全完整性等級(SIL):安全功能的等級,由低到高分SIL1—SIL4。
本規范要求在安全功能分配時,安全完整性等級最高為SIL3。
低要求操作模式:
SIL1為平均每年失效的概率10-1---10-2
SIL2為平均每年失效的概率10-2---10-3
SIL3為平均每年失效的概率10-3---10-4
SIL評估內容:
1)確定每個SIF的SIL
2)確定診斷、維護和測試要求,包括測試間隔時間。
5. 基本過程控制系統(BPCS)
響應過程測量以及其它設備、其它儀表、控制系統或操作員的輸入信號,按過程控制規律、算法、方式,產生輸出信號實現過程控制及其相關設備運行的系統。
(理解就是SIS以外的控制系統,不執行SIF的系統)。
6. 保護層
通過預防、控制、減緩等手段降低風險的措施
安全生命周期:從工程方案設計開始到所有安全儀表功能停止使用的全部過程。
分三個階段:
1)工程設計階段,從方案設計到詳細工程設計完。自控專業從收到SIL評估及審查前的過程為參與者,后為主導者。
2)集成調試驗收測試階段,集成商為主。
3)操作維護階段,業主自控專業為主。
測量儀表
測量儀表包括模擬量和開關量兩種類型儀表
1. 一般規定
● 測量儀表宜采用4~20mA+HART的智能變送器
● 爆炸危險場所優先使用隔爆型儀表
● 現場安裝測量儀表防護等級不應低于IP65
● 測量儀表及取源點宜獨立設置
● 不應采用現場總線或其它通信方式作為SIS的輸入信號
2.
展開 中科院蘭州化物所周峰研究員團隊 Adv. Mater.: 材料和器械表面生長水凝膠潤滑涂層新方法
SIL@UV-SCIRP方法生長水凝膠涂層的示意圖。
近期,中科院蘭州化物所周峰研究員、麻拴紅副研究員團隊提出了一種在通用材料和醫療器械表面生長水凝膠潤滑涂層的新方法:即基于黏附性功能層(SIL)的紫外引發-表面催化引發自由基聚合方法(UV-SCIRP)[SIL@ UV-SCIRP]。該方法具體過程如下(圖1):首先在基底表面沉積黏附性的PDA涂層;然后,將其浸泡在FeCl3·6H2O和檸檬酸(CA)的水溶液中,形成PDA/CA-Fe3+復合功能層(i);接著,在紫外光照射下將PDA/CA-Fe3+功能層中的Fe3+還原為Fe2+(ii);最后,將負載Fe2+催化劑的基底浸入單體溶液中進行界面自由基聚合,于室溫下在基底表面原位生長水凝膠涂層(iii-iv)。
圖2.利用SIL@ UV-SCIRP方法在各種基底表面可控生長水凝膠涂層。
水凝膠涂層的厚度可通過反應參數精確調控;該界面修飾方法適用于不同組分的反應單體,制備得到的水凝膠涂層化學組分可調;該方法可以在室溫下快速在金屬、聚合物、無機物、生物有機體等各種基底表面生長出水凝膠涂層(圖2)。
圖3.利用SIL@ UV-SCIRP方法生長的水凝膠涂層與基材的界面結合力評估及生長水凝膠涂層前后基材表面摩擦性能。
界面剝離試驗表明通過該方法制備得到的水凝膠涂層與基材具有良好的界面結合強度;摩擦測試結果表明采用該方法可以有效改變基材表面固有的潤濕和水潤滑性能(圖3)。
展開 
關于安全儀表系統誤動作率符合性驗證的探討
該標準在2015年升版后,關于安全儀表回路誤動作率(STR)的計算公式部分相較ISATR 84.00.02:2002進行了修改,具體計算步驟如式(1)~式(6)所示:
誤動作率的優化方法
在SIL驗證過程中,如果出現SIF回路STR不能滿足SRS中“允許最高誤停車率”要求的情況,就需要優化SIF回路,提高回路STR并重新進行SIL驗算,直到滿足要求為止。
1
選用更可靠的儀表
①新建裝置
依據《中國石化建設項目設計安全管理辦法》(中國石化安[2018]67號文)3.3.4條規定,在新建項目基礎設計階段“形成安全要求規范,設計符合要求的安全儀表系統,并組織內部審查驗證。”。即在基礎設計階段形成SRS,就需要明確各SIF回路的“允許最高誤停車率”并進行驗證計算。
在驗證過程中若發現SIF回路無法滿足SRS中要求,可選擇對SIF回路中各子系統提出要求,建議選用可靠性更高的儀表。設計人員依據SRS及驗證報告,確認每臺儀表的可靠性要求,確保采購的儀表的失效參數能滿足SIF回路的SIL等級要求及STR要求。
②在役裝置
新建裝置驗證計算有第三方認證機構出具的SIL認證報告作為理論保證,而在役裝置若在3年1次的SIL驗證計算中仍使用證書數據,則導致的結果便是無論裝置運行多少年,驗證結果均無變化。以靜態的失效數據作為依據,無法反映儀表隨著工作壽命臨近,失效暴增的情況。
在役裝置在有條件的情況下應建立該廠的安全儀表失效數據庫。在裝置的生命周期內,使用工廠安全儀表失效數據庫中的數據以及不完美測試的計算公式進行驗證計算,則每3年1次的驗證計算結果應該都是動態的。
展開 汽車軟件測試:需求和最佳實踐
多虧了技術的進步,為我們帶來了這個問題的解決方案:硬件在環仿真(HIL)和軟件在環仿真(SIL)測試。
軟件在環仿真(SIL)測試
軟件在環仿真測試通過模擬環境中測試和驗證軟件代碼,能夠消除bug、提高代碼質量并顯著縮短構建時間。
在各大汽車品牌和OEM廠商試圖通過不斷創新以奪得競爭優勢的背后,真正的交鋒發生在代碼的字里行間。無論是何種類型的產品(安全、儀表盤、導航系統或其他),軟件在獲準用于車輛之前都必須經過廣泛測試。
SIL的優點包括:
軟件測試可隨每個程序模塊完成后定期進行測試,而無需等待最終構建
測試可以實現自動化并同時運行
測試結果可共享且易于分析
它可以將軟件開發與硬件開發分離,因此軟件制造商可以在不受硬件行業瓶頸制約的情況下持續創新
無需要專用的測試臺(下文中提到的HIL測試則需要此類測試臺)
SIL測試易于擴展、可重復性高并且比手動測試更快
硬件在環仿真(HIL)測試
硬件在環仿真測試,顧名思義,是一種與車輛硬件相關的測試和驗證方法。這些模擬器是最終產品的大致模型,在將真實的ECU接入測試系統之前,對其進行全面測試。
HIL測試臺使用來自攝像頭和雷達等設備的數據輸入并實時運行數學仿真模型來模擬實際的汽車發動機動力學。一般來說,HIL測試比SIL測試成本更高,也更耗時,所以要在SIL測試完成之后進行。
汽車軟件測試的重要性并非完全是出于道路安全考慮,同時也需要考慮諸如網絡安全、OEM的信任度和可靠性,以及汽車品牌健康和形象等其他因素。
汽車軟件測試相關法規
當然,針對汽車硬件和軟件組件的測試有著非常嚴格的規定。
展開 葉向東老師細說安全儀表系統(中)
裝置中安全聯鎖的安全完整性等級(SIL)是否越高越好?
控制回路的SIL等級僅僅表征控制失效后可能產生的危險和可能造成的災害損失,不是保證安全的指標。對于一個裝置來說,具有的SIL等級越低越好,數量越少越好,說明安全運行的風險小、控制失效后的危險或發生災害時的損失小。IEC標準中SIL等級的劃分采用等比冪級數,沒有實踐與風險科學根據,更沒有工藝故障概率分析。
舉個例子:SIL等級的平均失效概率數值是怎么來的?與工藝過程有關系嗎?與電氣、電子和可編程設備的故障率有關系嗎?機械、電氣、電子、集成電路等不同的設備一概采用同一種失效概率評估和確定,有科學依據和實驗驗證嗎?也難怪SIL認證僅僅是文件和資料的認證,而沒有試驗檢驗。
12
安全儀表系統的構成
SIS的設置是生產安全的需要,也與歐美的操作方式有關。歐美的操作人員是不管防災減災的,不處理非正常工藝狀態,所以,DCS之外的事情就設置SIS,用來在異常情況下停止裝置運行,才有了采用檢測元件、PLC和開關閥組成的SIS。沒有人機接口,不需要操作工干預,沒有模擬輸出和調節閥。其實是和DCS一樣,SIS每時每刻都在工作的,差別僅在于不到危險狀態執行機構不動作,一旦動作就停裝置。
IEC 61508和IEC 61511根據外國的某種可靠性技術和自動停車的需要,做了理論上的科普,形成了技術標準,而不是工程標準。而國內石化化工行業工程技術人員誤將這兩項標準當做工程標準,才有了“剪不斷,理還亂”的現實。
展開 英飛凌推出具備強大計算能力和并滿足高效率和安全標準先進特性的全新汽車微控制器系列
利用PRO-SIL?確保安全第一
為滿足汽車系統供應商對內在數據和操作安全的要求,AUDO MAX中的兩個產品系列都具備英飛凌創新的PRO-SIL(安全完整性水平)功能。TC179x 和 TC172x產品系列是EPS(電動助力轉向)、底盤控制器和懸架/減震裝置等對安全性要求極高的系統以及混合動力汽車和電動汽車采用的控制裝置的理想之選。
PRO-SIL支持汽車系統供應商和汽車制造商采用相關安全特性并設計出符合國際IEC61508 或ISO26262標準的系統。
例如,PRO-SIL允許實現內存保護特性,旨在將注重安全的軟件與不注重安全的軟件進行分離。此外,PRO-SIL還允許實現誤碼校正和完整性校驗功能,確保計算的完整性。包含一個主處理器和一個協處理器(外設控制處理器)的TriCore架構也可用作異步雙核安全系統。
模塊化封裝概念
AUDO MAX系列以管腳兼容為基礎,可實現靈活擴展。汽車系統供應商可由較小封裝升級至更大的封裝——例如從采用BGA292封裝、具備3Mb閃存的200MHz器件TC1791升級至采用BGA516封裝、具備4Mb閃存的300MHz器件TC1798。AUDO MAX系列各器件之間的內部芯片凸點完全一致,不過,在外部芯片凸點方面,更大的BGA允許實現額外的I/O。
外設連接(FlexRay、CAN和SENT)
AUDO MAX系列還包括具備2個10Mbit/s FlexRay信道和2至4個1Mbit/s CAN節點的器件。微控制器集成的全球首個SENT(單緣半字節傳輸)接口可簡化系統的集成工作。SENT是適用于高分辨率傳感器數據傳輸的SAE標準。內置的接口可確保無需將模擬接口插入信號鏈,即可直接與數字傳感器實現通信。將模擬接口插入信號鏈會增加設計工作、電路板尺寸和成本,同時降低精確度。
展開 