Serviceline
Serviceline Industrial Sensors
Serviceline Explosion Protection

2.执行风险降低

低安全整体性水平,或SIL要求(SIL 30)表示仅需要相对较低的风险预防

通常依靠安装其它PLT电路充当运行所需PLT设备旁的安全功能来降低行将发生的风险,即电路只在运行设备故障时要求动作。这种专门用于风险降低的设备叫做防护设备Z功能

使用防护设备所达到的风险降低程度依赖于设备的正常运行。如果防护设备不会失效,则可以实现相应风险的完全消除。残余风险则为零。由于这在实际运行中是不现实的,因此使用防护设备仅能实现有限程度的风险降低。尽管残余风险总是存在,但已经降低到可以接受的程度。设计流程的目的在于执行防护设备,使达到的风险降低程度尽可能地与所需SIL相吻合。

不足的风险降低(防护设备SIL低于所需SIL)会导致不能接受的残余风险。而风险过度降低(防护设备SIL高于所需SIL)会导致不必要的高工作量。这并不合理。

关于防护设备应当如何设计以达到特定程度的风险降低(即特定SIL),可参见EN 61511VDI/VDE 2180。最重要的是要清楚防护设备因何故失效,因为可从相应的答案中得出防护设备的设计要求。最近的调查显示,导致防护设备失效的故障类型在原则上有两种:

  • Systematic fault
  • Random fault

低安全整体性水平,或SIL要求(SIL 32)表示仅需要相对较低的风险预防


系统和随机故障

低安全整体性水平,或SIL要求(SIL 34)表示仅需要相对较低的风险预防

虽然可以预测随机故障出现概率的特定等级,但它并不适用于strong>系统故障

但与随机故障不同,系统故障原则上完全可以预防。然而,经验表明,这仅在某种程度上是正确的(尤其涉及软件时)。这些认识引出了防护设备设计的如下要求

  • 引入特殊质量管理系统预防失效(关键词:“功能性安全管理系统”或简称“FSM系统”)
  • 通过冗余和/或故障安全行为以及故障检测避免失效(关键词:硬件故障容错、安全故障总和、诊断范围)
  • 基于随机故障进行失效概率量化计算(关键词:PFD/PFH计算)

上述三点的具体实施决定了防护设备风险降低的程度。一般来说,涉及计划、实施以及运行防护设备的工作量取决于设备所需的SIL等级。标准EN 61508EN 61511以及VDI/VDE 2180说明了防护设备设计与能够达到SIL之间的明确关系。

当设计防护设备时,需同时适当考虑故障预防故障控制失效概率,以达到特定程度的风险降低。单独考虑失效概率不足以满足SIL要求。实际上,当结构(冗余、诊断、故障安全设计)和失效概率满足相应SIL标准所规定的要求时,防护设备才能达到特定SIL。此外,执行必须使用FSM系统。只有这样,才能假设系统故障实现了必要程度的预防