搞清源头:SIL定级不是拍脑袋
很多人以为SIL定级就是画个风险矩阵,然后对着后果挑数字。大错特错。我见过最离谱的,是把一个常压储罐超压保护定成SIL 3。一问才知道,因为储罐旁边是厂区主干道,分析人员觉得万一爆炸可能死人。那为什么不先考虑本质安全设计?把储罐挪远点,或者加个爆破片直接对空?SIS是最后一道防线,不是让你懒于从根源消除风险的借口。 帮大家理一理:SIL是衡量一个安全仪表功能在要求时成功执行设计功能的概率。 SIL1大概相当于10年的危险失效概率要低于10的负1次方,SIL3则要低于10的负3次方。硬件故障裕度、诊断覆盖率、检验测试周期——这些都是硬骨头。但更软性的、更致命的,是后果定义模糊。比如“可能造成严重人员伤害”,什么叫严重?断根手指还是死亡?这直接决定SIL等级,进而影响整个回路的架构和测试周期。你让一个没进过现场的工程师闭门造车,结果就是安全回路复杂得像航天飞机,维护人员根本不敢碰,久而久之,旁路开关就永远打在“维护”位置了。这事儿我亲眼见过,一点也不夸张。
设计里的那些“我以为”
问与答:揪心的那些实际问题
问:我们工厂DCS系统已经有很多报警和联锁了,为什么还要单独上SIS?这不是多花钱吗?答:DCS是过程控制的脑,它主要负责让生产保持最优状态,它的设计目标不是故障安全。而SIS是独立的保护层,它的信条是“宁可错杀,不可放过”。当过程变量超出安全临界值,SIS必须把工艺带到安全状态,哪怕会停车。而且IEC 61511要求SIS的平均危险失效概率要远低于DCS。简单说,DCS是赚钱的,SIS是保命的。你想把命挂在赚钱机器上吗?反正我不敢。 问:SIL验证有没有实用工具?我感觉那计算太复杂了,全是公式。
答:肯定有。现在很多机构提供在线SIL验算工具,比如基于IEC 61508的可靠性框图或者马尔可夫模型。不过说实话,工具是死的,输入数据才是关键。比如你往工具里填阀门危险失效率,是从安全手册来的,还是从Exida数据库查的?是通用数据还是现场统计的?数据质量决定验证结果的可靠性。我习惯先用exida的SILver或者歌略的RiskCloud做初步计算,但一定会交叉比对,尤其是当结果接近SIL等级边界时。千万别偷懒用默认值,否则验出来的SIL达标不过是自欺欺人。
人,才是最大的变量
