安全仪表系统的十个事实（一）

来源：Invensys
安全完整性等级（SIL）和认证已经成为为安全仪表系统（SIS）选择可编程电子系统（Programmable Electronic System）、安全PLC或逻辑控制器的基本原则。
然而，SIL等级是要求降低风险能力和故障概率的唯一度量，这意味着它仅仅度量设备的“故障安全”的本质，当为过程工业选择安全系统时，它不应是考虑的唯一度量。
考虑到“故障安全”在隔离过程性能中的问题可能导致危险的条件，例如，非计划停机及其接下来的过程单元的重起，除了经济、质量、生产损失和其他不利的影响，还导致大量高风险条件。
各种行业过程，例如，上游和下游的油气，石化，特别是化工和作为资产利用性能参考的正常运行功率。当确保资产利用时，安全系统必须提供安全或资产可用性。
下面请看Invensys-Premier咨询服务公司TUV FS专家 Robin McCrea-Steele所写的论文：
当SIL等级不够时
摘要
常见的误解是安全PLC要求的SIL限制是过程安全应用中选型的主要的或有时是唯一的评价标准。虽然SIL等级是要求降低风险能力和故障概率的一种度量，但是它仅仅度量设备的“故障安全”的本质的说法是真实的。能关断的工厂是相对安全的，这一点是勿须质疑的。然而，除了经济、质量、生产损失和其他消极的影响，考虑与非计划关断及其接下来的过程重起相关的更高风险是非常重要的。因此，问题出现了，什么能度量子系统的过程正常运行的能力？
很明显，答案不是安全标准，也不是典型的第三方认证。事实上，利用当今的技术，不难设计具有SIL3认证的“故障安全”PLC。当过程正常运行时间也是一个要求时，挑战开始了。
伪平均无故障时间率（MTTFspurious rates）在光幕保护冲床操作员的离散制造工厂也许不是特别重要的，但是它们在过程工厂中特别重要。
在1oo2组态中，双重冗余PLC是为“故障安全”应用选择的最初解决方案。试图最小化有限可用的硬件固有（一个带2个表的人从来不知道时间）的误动作去开发双重冗余系统的接下来的改进 (1oo2D , 1oo2DR, 2oo4D)。
工业不久就会发现微处理器的自诊断范围的限制，现在依赖通道比较诊断的特点。然后诊断的限制就产生了第二个限制，但是底线是通道之间任何非诊断误比较，系统必须误关断。利用1oo2D 或 2oo4D双重冗余系统，你能做很多事情。必须注意，它们是“故障安全”，但是有不合理的误故障的趋势。
另一方面，容错和过程正常运行时间是TMR技术固有的。军事和航空航天工业已经使用三重冗余系统数十年。Triconex成功实现的是在过程工厂实施中优化该技术。通过把2oo3多数表决的特点和自诊断与比较诊断的特点结合起来，Triconex的 2oo3D系统已经在过程安全和过程正常运行时间上保持领导地位20多年了。相同的2oo3D PLC已经在核工业的关键安全应用中取得认证。
令人感兴趣的是，虽然Triconex TMR系统已经取得SIL3要求限制的认证，但是在过程工业中，86%的Triconex应用都用在SIL1和SIL2的安全仪表功能（SIF）中。Triconex TMR是中间的SIL，或着换句话说，用于任何SIL1到SIL3的SIF中。
另一个误解是，SIL3安全PLC对没有SIL3 的SIF的工厂是一种浪费。安全从业人员认识到：存在很多SIF之间共享安全PLC的SIS相关的“积累的”残余风险。虽然安全标准的期望度量并不考虑重叠的风险，该领域的专家推荐增加常见的由多个SIF（例如，ESD阀和安全PLC）共享的子组件的安全要求。甚至具有所有SIL1和SIL2的SIF的过程应用由于以上原因用SIL3认证的PLC提供得更好。
关于与安全PLC相关的现场仪表，特别要注意的是，PLC技术并没有规定冗余。某些人可能认为双重冗余PLC需要2个变送器，而TMR PLC需要3个变送器。这绝对没有联系。现场冗余是通过SIF的SIL确定而不是通过PLC技术确定的。某种SIF需要1个、2个或3个变送器，而不管PLC技术是1oo2D, 2oo4D 或2oo3D。
结论
当为过程工业应用选择安全PLC时，不仅仅考虑SIL认证和最初成本，还要考虑以下方面：
① 考虑具有德国莱茵TUV认证的制造商，作为极好的经过验证的功能安全中心。
② 选择具有SIL3要求限制的安全PLC，即使你有极少或没有SIL3的SIF。要记住的是，安全PLC由很多SIF用部分重叠相关的危险风险共享。由更高完整性安全PLC提供共享安全逻辑控制器的SIL1和SIL2 的SIF。
③ 高度权衡MTTF spurious率。过程正常运行时间对经济原因和安全都是极端重要的。通过降低误动作，避免生产损失，限制对过程设备的损坏或压力，考虑业主的生命周期成本。
④ 校验制造商的安全跟踪记录，为得出你自己的结论，确保在过去有大量的安装应用。