功能安全技术讲座第八讲—— 安全仪表系统与设备的失效分析与控制

　　引言

　　安全仪表系统功能失效可能导致两种后果:一是没有危险条件时误停车，使正常的生产过程中断;一是出现危险条件时没有响应，导致安全控制与防护失败，不能避免事故甚至灾难发生。进行S工S与设备的失效分析，确定设备的每一种失效表现形式对系统功能的影响，是进行S工S安全完整性设计、保证系统功能安全的基础。在明确设备失效对系统失效影响的基础上，采用有效的设备失效控制技术，可以极大地提升设备安全性能，提高系统的安全完整性。

　　1 SIS的失效模式

　　安全仪表系统(以卜简称S工S)是石汕、化工、电力、冶金等流程工业领域广泛应用的一种安全相关系统，它的功能是检测、监视生产过程中与安全相关的参量，在危险条件出现时采取相应措施，防止危险事件发生，避免山事故泞致的人身则产伤害与环境灾难。失效模式是指失效的表现形式。

　　SIS的失效模式依赖于组织系统的每一个功能回路，即安全仪表功能(以下简称SIF)的失效模式。SIF是“为达到功能安全所必需的具有特定安全完整性水平的电气/电子/可编程电子安全功能。SIF既可以是安全仪表保护功能，也可以是安全仪表控制功能一个或多个SIF回路组成SIS,复杂的SIS,其SIF回路可能达到2000多个。

　　SIF的失效模式分为安全失效、危险失效。考虑设备的自诊断功能时又分为检测到和未检测到的失效。

　　安全失效是不会使S工S处于潜在的危险状态或功能故障状态的失效。安全失效又称为扰乱性失效(nuisance failure),假错误失效(spurious tripfailure)、伪错误失效(false trip failure)或者故障安全失效(fail-to-safe failure)。

　　危险失效是可能使SIS潜在地处于某种危险或功能丧失状态的失效。设计时，通过故障安全型配置、冗余配置等措施，可以极大地减少设备故障泞致SIF处于危险状态的可能性，减少危险失效。

　　通过内部诊断能检测到的危险失效被称为检测到的危险失效，通过内部诊断不能检测到的危险失效被称为未检测到的危险失效。检测失效的能力是系统安全性能的重要特征，通常用诊断覆盖率来表示。

　　共同原因失效山一个或多个事件引起一个多通道系统中的两个或多个分离通道失效，从而泞致系统失效的一种失效。

　　进行SIF的失效分析时，会把焦点集中在未检测到的危险失效，因为这些失效是可能泞致事故发生的。安全失效不会泞致危险，但安全失效中包括了会造成误停车的失效在内的多种失效，而误停车的经济损失往往很大，许多专家提出，SIF的安全失效模式还应再细分出通报失效、无影响失效等，以利于对S工F的误动作率或者平均误动作间隔进行分析，但是否将这部分内容加入正在修订的工EC61508、工EC61511标准，国际上还在讨论之中。