安全儀控系統概論

views/visitor

148442
Total views : 191678

安全儀控系統(Safety Instrumented System,SIS)概論

作者  陳宏裕、鄭金龍

作者 陳宏裕、鄭金龍

台灣中油股份有限公司石化事業部 儀電組

 目錄

一、前言

  記得有一次筆者向學員介紹安全儀控系統,當筆者秀出下圖一時,有個學員突然舉起手說他覺得這樣的設計最好!筆者微笑地問他為什麼?而該學員也如筆者預期地回答”這樣的設計最省成本”,而筆者再反問學員如果在一個很危險的製程上使用這樣的設計好嗎?學員頓時無言以對;其實在設計安全儀控系統時,成本不是唯一的考量,而是必須納入風險概念,儘可能將風險降到可接受範圍內,而且降低風險的方案也是要合理可行的。

圖一、典型Non SIL迴路設計

二、淺談安全儀控系統

  安全儀控系統為製程工場避免危害發生的最後一道電子防護設施,其最主要的功能是當製程可能發生危害時將製程帶到安全狀態,避免危害發生,反過來說當安全儀控系統每成功地執行一次,代表工場避免掉一次可能發生危害的機會。

圖二、危害發生演進圖

  而我們該如何去設計一個安全儀控功能 (SIF, Safety Instrumented Function) ,國際規範IEC-61511提供了相當完整的流程讓我們來依循,下圖三為IEC-61511之安全生命週期,我們大略可把此生命週期分為三個階段 (1)評估與分析 (2)設計與建置 (3)維運階段。

圖三、安全儀控系統生命週期圖

三、風險評估與保護層分析

  以一個正常運作中的工場來說,所考慮的安全,無非是避免財物與人員的損失,而這些損失,也就是「風險」(Risk),評估風險的動作,正是建構安全儀控系統的第一步。那麼,風險又該如何去評估呢?常見的風險評估公式為

  其中R代表風險,F代表發生可能性 (Likelihood) ,是由「 可能引發事故之活動頻率 (Active Frequency) 」f,以及「事故發生機率 (Incident Probability) 」P兩項參數組合而成的,C代表事故發生之後果之嚴重性(Consequence),α則是一個大於1的值,代表社會對該風險的厭惡程度。常見的風險表示方法為每年發生n次損失m元的危害。

  在理想上,任何人當然都希望處於零風險的狀態之下,但是在現實中,即使是個人,多多少少都必須承受一定程度的風險,更何況是一個正在運轉中,有著各種的設備,有著高溫或高壓製程流體的工場,風險評估的手法有多種,如HazOp、FMEA、Fault Tree、What-if、Check List…等,在此就不詳述,風險評估最主要是要分析出事故發生的頻率與該事故的嚴重性。

  當事故的嚴重性與頻率被分析出來後,此兩個數值的乘積即代表著原始風險,意謂著在沒有任何保護層下工場可能發生的風險,但是工場在設計時,大都同時會設計不同的保護層,例如安全的本質設計、洩壓閥或相關防護…等,此時就必須進行保護層分析  (LOPA, Layer of Protection Analysis)  來判別相關保護層是否可以預防或減輕事故發生,並分析保護層可減少多少事故發生的可能性與嚴重性,此時頻率與嚴重性的乘積可以被稱為經其他保護層保護下之剩餘風險。

  我們再把嚴重性比對風險目標,則可得到我們所能接受此嚴重性事故發生的頻率,而把此頻率除經保護層保護下之頻率,即可得到一個值叫風險降低因子 (RRF, , Risk Reduction Factor) ,由此風險降低因子比對下表一則可求得此安全迴路之安全整合等級 (SIL) 。 

表一、SIL/PFD分級定義(IEC 61511-1 Table 3)

  舉例來說假設經風險評估後,發現一危害之起始原因發生之原始頻率為50年一次(即為2*10-2次/年),若此事故損失可能達100億元,在沒有其他保護層的保護下,比對下表二之風險目標 (此風險目標只提供參考,各公司應依各公司狀況制定自己的風險目標) 即可得到100億元損失的頻率目標為10-5次/年,則此RRF (風險降低因子) =2*10-2/10-5=2000,比對表一表格則可發現需要SIL 3等級的安全迴路才能滿足安全要求。

  同上例子若此設備設已有其他獨立保護層,若此獨立保護層的需求失效率 (PFD, Probability of Failure on Demand)  為10-1,則經保護層減輕後之頻率為2*10-2次/年*10-1=2*10-3次/年,RRF=2*10-3/10-5=200,比對表一可發現採用SIL 2等級的安全迴路即可。

表二、風險目標

四、設計建置階段

  在表一中有一個名詞叫需求失效率PFD (Probability of Failure on Demand) ,而PFDavg即為平均需求失效率,PFDavg為設計階段的主軸,所有的設計、計算只為求出PFDavg;PFDavg與風險降低因子 (RRF, Risk Reduction Factor) 互為倒數關係,此意義表示若RRF=100 (風險須降低100倍) ,則安全儀控迴路(SIF)之PFDavg須設計成1/100,意即此SIF執行100次以上才能允許一次失效。

  另外,PFD的計算,必須依安全儀控系統中的每一個儀錶迴路來計算,舉例來說,高壓跳車迴路與高溫跳車迴路的PFD值都必須獨立進行驗算。而一個迴路中的所有元件,包含邏輯運算器 (Logic Solver, LS) 、感測器 (Sensor) 與最後作動元件 (Final Element, FE) ,其PFD值均必須考慮計算,而整個安全儀控功能SIF (Safety Instrument Function) 的平均PFD值:

  PFDavg(SIF) = PFDavg(Sensor)+PFDavg(LS)+PFDavg(FE)

  在設計階段中會影響PFDavg的參數有很多,比如Mission Time (安全儀控系統服役年限) 、Proof Test Intervial (測試週期) 、Diagnostic Coverage (診斷測試範圍) 與儀錶的選用…相關問題,而以上參數等選用都會影響安全等級,在此選用幾個例子來解釋其影響

  【 儀錶的選用與安全儀控系統的架構限制 】

  在談此標題前,我們先來了解什麼叫失效,失效可分為安全失效 (Safe Failure) 與危險失效 (Dangerous Failure) ,所謂的安全失效 (Safe Failure) 白話地說就是系統不該跳車時跳車,其原因乃安全儀控系統中之某設備產生失效(偏移或故障…)導致系統在正常操作下跳車;而所謂的危險失效 (Dangerous Failure) ,白話地說就是安全儀控系統應跳車而未跳車,其原因也是因為安全儀控系統中之某設備產生失效 (偏移或故障…) 而導致系統在異常操作時卻無法跳車,而導致事故發生。

圖四、失效類型區分圖

  安全儀控系統的失效 (Failure) 指系統功能無法正常運作,配合製程參數設計,進行正常停車的現象,可以包含信號、電源、空氣源等失效現象,以及系統內裝置元件損壞等。系統失效區分安全失效 (Safe Failure) 與危險失效 (Dangerous Failure) ,而這兩者又可以再區分為可偵測 (Detected) 與不可偵測 (Undetected) 兩種情形,如圖四所示;若在正常操作情形下,系統因製程參數超過跳車設定點而停車的話,代表安全儀控系統正常運作,而不屬於任何失效的情形。

1、安全失效 (Safe Failure)

        一般而言,當一個系統迴路中某個元件失效而誤動作跳車 (Spurious Trip) ,則該失效就屬於安全失效。例如,製程低壓跳車設定點為10 kg/cm2,當製程正常操作在壓力15 kg/cm2時,壓力傳送器卻因為膜片變形而傳回8 kg/cm2,導致系統跳車,那麼此壓力傳送器就是發生安全失效。而安全失效又依偵測功能的有無區分為:

  (1)、可偵測的安全失效 (FSD:Safe Failure Detected)

  (2)、不可偵測的安全失效 (FSU:Safe Failure Undetected)  

        為什麼可以順利停車的系統失效稱為安全失效呢?這是因為安全儀控系統係利用跳車的機制來避免工場在不正常的製程參數下繼續運轉,也代表順利跳車對工場運作而言是安全的。因此,當失效會導致系統停車,也就是誤動作跳車時,雖然會造成不必要的停爐損失,但是該失效對工場整體而言是安全的,因此稱為安全失效。

2、危險失效 (Dangerous Failure)

  反過來說,系統失效時,如果系統無法正常停車而繼續運轉,將有可能造成後續的危害事件發生,此時便稱為危險失效。而危險失效一樣可以依照有無偵測功能來區分為:

  (1)、可偵測的危險失效 (FDD:Dangerous Failure Detected)

  (2)、不可偵測的危險失效 (FDU:Dangerous Failure Undetected)

  有偵測功能的危險失效,可以在失效發生時,進行緊急處理,人為修護或停車,也可以結合診斷 (Diagnostics) 功能,提前進行停車,來避免進一步的危害。然而不可偵測的危險失效,例如電磁閥卡住無法作動,在操作中無法偵測或預知是否卡住,就是系統風險的主要來源。

  另外,危險失效並非是指工場會產生立即性的危害,而是當系統有危險失效,又發生製程參數上的異常,也就是產生危害的條件,且其他保護層無法處理時,才會造成工場的危害。

  由安全的角度來看,安全失效的停車無論有無偵測功能,對工場而言都是屬於安全的,而危險失效時,系統不會跳車的情形是需極力避免的。然而,即使是誤動作跳車也會造成不必要的停爐損失,因此,一個工場要能順利運作,所有失效都是要儘量避免的。

  要預防失效的主要方法,便是偵測 (Detection) 與診斷 (Diagnostic) ,而偵測和診斷兩者是有所區別的。偵測意謂系統可以查到目前是否有失效現象,並透過警報的方式,通知操作或維護人員,是了解失效原因的根本。而診斷係指偵測到失效之後,判讀失效原因,並進行對應的後續處置措施。

  安全失效比率 (SFF, Safe Failure Fraction) ,SFF值通常使用百分比方式表示,定義為:

  其中λ稱為失效率 (Failure Rate) ,常用的單位為FIT,也就是「次/109小時」。

  IEC-61511對邏輯運算器而言,其架構限制如表三所示,該圖表中顯示若我們使用未經SIL認證之邏輯運算器 (SFF <60%) ,其必須有3個以上之硬體錯誤容忍度 (HFT) 才能達到SIL 3,意即採用四選一 (1oo4,1 out of 4) 以上之架構方能達成,若必須達成SIL 2的設計,則必須採用2個以上之硬體錯誤容忍度 (HFT) ,意即三選一 (1oo3,1 out of 3) 的架構;若我們採用經過SIL認證之邏輯運算器,若其SFF>90%,則只要1個以上之硬體錯誤容忍度 (HFT) 就能達到SIL 3,意即採用二選一 (1oo2,1 out of 2) 以上的設計即可。

表三、IEC-61511對邏輯運算器的結構限制規定

  而IEC-61511對感測器、非電子設備邏輯運算器與最後作動元件,其結構限制則如表四所示,若使用非經認證之設備時,其HFT還必須加1。

表四、IEC-61511對感測器與最後作動元件的結構限制規定
圖五、典型SIL1設計
圖六、典型SIL2設計

五、安全儀控系統PFD值計算方式

  前面提到,考量架構限制之後,如果架構限制該迴路可以到SIL 3的等級,並不代表此迴路真的具有SIL 3等級,還必須經過SIF安全儀控功能的驗算,確定其平均PFD值是否滿足SIL 3所需的條件。

  那麼一個迴路的PFD值要如何計算呢?計算PFD值除了需要失效率之外,還必須考慮幾項後續計算迴路PFD的參數,如故障平均時間 (MTTF, Mean Time To Failure) 、故障平均檢修時間 (MTTR, Mean Time To Repair) 、測試間隔時間 (PTI, Proof Test Interval) 等。而迴路中的每個組成元件,也就是每個次系統,其PFD值都必須分開計算,然後再依據SIF計算所有PFD之總和。

[]  若一安全儀控迴路中各元件平均PFD值如下表所示,試算整個迴路的SIL等級。

[]

  PFDavg(SIF) = PFDAVG(Sensor) + PFDAVG(LS) + PFDAVG(FE)

                            = 3E-05 + 9E-05 + 4.3E-02

                            = 4.31E-02

        因此,此迴路為SIL 1等級

  一個安全儀控系統的迴路PFD值主要便是來自危險失效率,不過,如果要將危險失效率轉換成PFD值的話,還需要更進一步的分析,而一般常見的PFD計算方法為失誤樹分析(FTA, Fault Tree Analysis),也就是將可能發生應跳車而未跳車的事件以樹狀圖表示。

  另外,失誤樹分析也可以用來分析誤跳車的機率,稱為PFS (Probability of Fail Safe) 安全失效機率。PFS是用來評估工場因誤跳車可能損失多少金錢的指標,PFS乘以此系統的產值,就是工場因此系統誤跳車可能損失的金錢。其分析方法和PFD的分析方法相似。   

六、安全儀控系統之設計準則

  PFD與PFS的分析與計算,其實分別代表系統的「安全性(Safety)」與「可用性(Availability)」的分析,安全儀控系統的設計原則,最後都必須以PFD或PFS值作為量化的依據。

  安全儀控系統設計階段的考慮條件,就是希望儘可能設計出應跳車時必定會跳車,同時誤跳車率低,且可以穩定運作的系統,也就是說系統必須兼具安全性(Safety)、可用性(Availability)與可靠性(Reliable)。

(一)、SIS之安全性(Safety)考量

        安全性意義是要保證製程需求跳車時會跳車,而其量化的依據就是利用平均PFD值的高低,來判斷系統的安全性,越低的PFD值意謂著越高的安全性。以設計層面上來看,通常多選一架構,如1oo2或1oo3架構,都具有較低的PFD值,而這些架構便是利用元件的串聯組合而成。換句話說,可以依靠元件串聯來提高安全性迴路,如圖七所示。

圖七、為繼電器安全性串聯設計

  如圖七所示,其電磁閥由兩個繼電器元件 (Relay) 控制跳車作動與否,若Relay A與B採用串聯設計,則相當於二選一1oo2架構,必須兩個繼電器同時危險失效才有可能發生應跳車而未跳車的情形,其安全性較一個繼電器的設計大幅提升。不過串聯的設計方式雖然提升了安全性,可是相對來說,誤動作跳車的機率卻會提升到原來的兩倍,只要有任何一個繼電器安全失效,便會產生誤動作跳車,造成工場不必要的停爐損失,也就是可用性降低。

(二)、SIS之可用性 (Availability) 考量

  當系統的安全性滿足要求之後,下一步的考量便是可用性要求,也就是希望系統在不應跳車時不可以跳車,亦即如何去避免誤動作跳車。增加系統可用性的作法便是就元件並聯,而其量化的基準便是PFS值。

圖八、繼電器可用性並聯設計

  如圖八所示,將兩個繼電器並聯設計使用是考慮到可用性,也就是2oo2的架構。只有在兩個繼電器都發生安全失效時,才會造成誤動作跳車。不過,單純並聯的接法,也代表犧牲了安全性,因為當有任何一個繼電器危險失效時,就會造成應跳車而未跳車。

  因此,如果系統不需要太高的安全性,那麼利用單純的並聯來增加可用性是很好的作法,不過當需求安全性較高時,就必須採用可以兼顧安全性與可用性的設計方式了。而一般來說,常見的設計方式就是採用多選多的架構,如2oo3架構,也就是結合串、並聯的設計。

  以圖九設計方式,就是同時考慮安全性與可用性的方式,利用四個繼電器兩兩串聯後再並聯,如此一來便可以同時兼顧安全性與可用性。

圖九、兼具安全性與可用性繼電器串並聯設計

  不過有兩件事情必須留意:首先,圖九設計方式並不等同於四選二2oo4的架構,所謂四選二的架構是要「任兩個」繼電器作動時,系統就會跳車,以本例來說,即使Relay A與Relay B作動,系統也不會跳車,因此不是2oo4的架構。嚴格來說,此架構是將兩個1oo2架構的次系統,再作成2oo2的架構。

  第二點,任何改善都必須耗費成本,以本例來說,若要兼顧安全性與可用性,就必須多添購兩個繼電器,也因此,一開始提到的風險降低原則ALARP (As Low As Reasonable Practice) ,若不需要如此高的安全性與可用性,則這些設計方法是不具任何討論價值的。把只需要一選一的架構的安全儀控迴路更改成二選一,甚至是三選二的架構,只是徒增安裝與維護成本,毫無任何效益可言。

(三)、SIS之可靠性 (Reliability) 考量

  可靠度是系統運行的穩定性指標,其定義是「系統在一段特定時間內成功運轉的機率」,所謂成功運轉指的就是運轉中不會產生失效。而這是在特定時間無法進行線上修復的系統設計重要考量。舉例來說,假設一架飛機每次的飛行時間為十個小時,則在設計儀控系統時,就必須要求十個小時的可靠度高於需求值,因為在飛航的十個小時之內,任何線上修護(Online Repair)都是不可行的。

(四)、安全儀錶的認証 (Certification)

  安全儀控系統設計最後階段就是儀錶的選用,舉例來說,相同的安全儀控迴路,選用A廠牌或是B廠牌的傳送器,算出來的SIF值會相同嗎?在絕大多數的情況下,答案應該是否定的。更進一步來說,要如何知道選用的儀錶到底符不符合安全儀錶的規範,其安全整合等級SIL又是多少?這一切其實都必須靠第三方的公證組織來進行商品之認證 (Certification)。

  安全儀控系統中的任何元件由於都必須納入PFD值的計算,因此對一些核心元件,廠商為了確保其安全性與可用性,會將資料送第三方的公證組織來進行認證,例如Exida、TÜV等。通過認證之後,會有一份證書。

七、結論

  安全儀控系統的目的在防止製程潛在危害的發生,為製程安全保護層中至為重要的一環,本文僅為概念之介紹而略過繁雜的風險等級計算,實際上系統的設計需投入相當的人力資源,另由於不同可靠度等級之元件、環路間之價格差異甚鉅,因此在安全與經濟方面宜取得適當之平衡。

error: Content is protected !!
返回頂端