SIS系统的整个安全生命周期可分为分析、工程实施及操作维护3大阶段。在分析阶段,要辨识工艺过程的潜在危险,并对其后果和可能性进行分析,以便确定过程风险及必要的风险降低要求。工程实施阶段主要完成SIS系统的工程设计、仪表选型,安全逻辑控制器的硬件配置、软件组态以及系统集成,完成操作和维护人员的培训,完成SIS系统的安装和调试,以及SIS系统的安全验证。操作维护阶段在整个安全生命周期中时间区间 长,包括操作和维护、修改和SIS系统的停用。
![](https://img64.cn-america.cn/5eceadd4559dcfd2478f8950f26a4fa09f536982185755a9a9dc1e1232e834efa6fbb3acfe95f20a.jpg)
![](https://img68.cn-america.cn/5eceadd4559dcfd2478f8950f26a4fa09f536982185755a92adba6031f1eb9f7b65a19fb04518321.jpg)
在SIS系统设计选型后,要根据可靠性数据和操作模式,对安全仪表功能的危险失效概率或危险失效频率进行计算,评定是否满足目标安全仪表的功能安全要求。这是保证必要的风险降低和功能安全仪表功能安全的重要环节。同时,在SIS系统运行后,日常维护、修改管理、周期性检验测试、功能安全审计等也是功能安全的核心工作。
如何发挥SIS安全仪表系统的防御性安全优势,像工厂其它控制系统一样,深度防御也是SIS安全仪表系统的重要概念,实施深度防御需从整个工厂层面的安全性、工程实践以及系统级防御开始。
比如用高压跳车情境下一个2oo3(一种提供防御等级的方法)SIS安全仪表系统架构的(SIF)的案例做了说明。 个威胁是更改脱机配置, 个威胁是在线将压力设定值更改为危险区域。第三个是未经的下载导致更改逻辑或下载导致更改三个压力传感器设备。对于脱机配置更改, 步仅向具有资格和受过培训的人员开启访问权限。通过系统密匙确定每个用户的权力范围,确保用户有足够的权限执行相关任务。通过智能卡和PIN登录到系统进行更改,可防止远程访问更改。
下一步,防止将脱机配置下载到SIS安全仪表系统逻辑控制器。安全步骤包括添加一个批准人,该批准人必须登录系统在获得批准后允许下载。 层保护是通过软件锁定对逻辑控制器进行锁定,防止下载、停用、调试和中断HART写入功能。 层保护是必须使用智能卡和PIN等中介解锁物理密钥,进行更改。可是,在现实中更多的挑战在于运营管理的挑战,因为现场的任意人都可以转动钥匙,或者意外解锁。深度防御包括用户权限、双重身份验证、附加审批、锁定逻辑控制器以及更改物理设备现状。
SIS安全仪表系统的安全旁路系统是进行安全检验或执行例行维护时的必要系统之一。每个安全旁路都会实施执行或拒绝两种选项。例如,除非获得旁路实施许可,否则可以多次拒绝旁路请求,强制进行物理批准。 ,确保执行旁路的用户拥有权限,且在物理状态外还使用了双重身份验证。第三,在进行旁路操作时提供安全仪表功能警报,以便操作员了解已完成的旁路操作。该警报仅针对需要了解已完成旁路操作的操作人员和维护人员。
此外,还需在安全性方面对易用性进行取舍。可见,安全旁路系统保护层包括物理实体、双重身份验证、 其它批准人、提醒和自动旁路拆除。
SIS安全仪表系统功能中逻辑控制器I/O、传感器和 终控制元件的防御层。物理安全非常重要:对于SIF中使用的HART 7设备来说,除过一个主设备进行修改外,其它辅助主设备不能进行任何更改。如果出现差异、线路故障和配置更改问题,则会发出警报。另一层是锁定逻辑控制器,防止通过HART与设备进行通信导致的更改。以上安全防御机制都是除基本过程控制系统具备的网络分段、白名单、病毒防御和其它网络安全措施以外的更多防御措施。
所有评论仅代表网友意见,与本站立场无关。