安全仪表系统整个周期简介

RRF
〉10，0000 〉10，000 1，000-10，000 100-1，000 10-100 1-10
RRF 1，000-10，000 100-1，000 10-100
危险故障Dangerous Failure
指能够导致安全仪表系统处于危险或失去功能的 故障。(例如：对高温、高压跳车信息没有反应。)
平均故障间隔时间（MTBF-Mean Time between Failures）
指两次故障之间的时间间隔，即MTBF＝MTTF＋MTTR
l(t) l(t) 恒 定
故障率的单位是时间的 倒数，实际应用中使用 每十亿小时（109 ）的故 障数，即FIT
早期阶段
有用的生命阶段
故障率浴盆曲线
老化阶段
t
可编程电子系统Programmable Electronic System（PES） 指由一个或多个可编程电子设备组成，用于控制、保护或监视的系统。该系统 包括电源，中央处理单元，输入设备，数据高速通道和其它通信部件，输出设 备等。
计算目标
尚未建立的SIS需要达到的SIL等级 （PFDavg/RRF）
已经建立的SIS所能达到的SIL等级（ PFDavg）
需要SIL几的SIS？
过程危险和风险评估
HAZOP（HAZard and Operability study ）
• 定义：“危险性和可操作性研究”，运用系统审查方法来分析新设计或已有 工厂的生产工艺和工程意图，以评价由于装置、设备的个别部分的误操作或 机械故障引起的潜在危险，并评价其对整个工厂的影响。
undetected
可用性（PFS）：安全故障概率 指1个系统在一个给定的时间点能够正确执行功能的概率； 正常激活的SIS也可能在输出断开时故障，这是安全故障
概率
l =l +l
D
DD
DU
dangerous detected
dangerous undetected
自诊断Diagnostic (D)
指发生故障时，系统能自动检测出本身的故障。
日常生活的安全卫士
电梯、扶梯超速保护，坠落保护等系统
上下梯级缺失检测 主电机速度检测 扶手带速度检测
切断主电机，导致停机
日常生活的安全卫士
汽车安全气囊、 发动机管理和防抱 死刹车系统（ABS， Anti-locked Braking System )
日常生活的安全卫士
飞机操纵面的线控操作
日常生活的安全卫士
设想可能的偏差
重新应用引导词
研究偏离的后果
采取的安全措施
研究偏差的原因
研究现有防护措施
需准备资料：
评价危险性
工程设计基础、工艺叙述、供审查用的工艺流程图、前期做的危险因素调查报 告、物料和热量平衡、仪表逻辑框图或因果关系图、电信号单线图、装置区图、总 图、物料安全数据表、健康风险性分析、安全备忘录、工艺安全性描述、主要设备 的数据表、安全阀数据表或泄放情况汇总、定义承包商的工艺包
Rockwell GE Triconex
二取一带自诊断1oo2D (1 out of 2 with Diagnostic)
系统故障时性能递减方式：2-1-0 当一个CPU被检测出故障时，该CPU 被切除，另一个CPU继续工作；若第二个CPU再被检 测出故障时，系统停车。
ABB HIME Honewell
可靠性/安全性（PFD）：危险故障概率 指1个部件或1个系统在一个给定的时间段内及特 定的操作条件下能够正确执行功能的能力；在输 出激活时故障，称作需求时故障概率
safe
safe detected
l =l +l
S
SD
SU
安全故障Safe Failure 不会使SIS处于危险或故障状态。但是此类故障可 能导致系统切换进入安全状态，导致系统误停车。
三、SIL
比较的类别 实施阶段 针对对象
需求计算
评估计算
SIS详细设计之前
SIS设计完成或运行之后
生产过程及其已有控制系统和非SIS 生产过程的SIS系统 保护系统
常用方法 计算分析的关键
风险图/Hazop/LOPA/ETA/FTA
可靠性方框图/FTA/Markov模型法
过程（包含控制/保护系统）的危险 SIS的故障模式、故障率分析 和风险分析
被外部风险降低设
加
统覆盖的部分风险 统覆盖的部分风险
施覆盖的部分风险
所有安全系统和外部风险降低设施所获得的风险降低
SIS是干什么的？安全功能
就是降低风的措施，实现安全功能的系统就是安全保护控制系统。
工艺过程中：
反应、混合、干 燥、物料输送、 精馏等工艺过程 出现的危险； 人为错误的危险；
设备（包括仪表） 故障的危险。
有必要将风险维持在这一水平
4：可忽略的风险
风险等级： 等级1 不可忍受风险 等级2 不期望的风险 等级3 可忍受风险 等级4 忽略的风险
如何达到允许的风险？
残余风险
风险降低：通用概念 允许风险
受控设备 风险
风 必要的风险降低
险
实际的风险降低
增
被 其 他 技 术 安 全 系 被 E/E/PE安 全 相 关 系
平均故障时间（MTTF-Mean Time To Failure）
指功能单元实现规定功能失效平均时间，它实际上是故障时间的期望值。
注：MTTF＝
1 l
只对故障率为常数的同种零件或故障率都为常数的一组零件才适用。
平均修复时间（MTTR-Mean Time To Repair）
其定义包括检测故障发生需要的时间和进行修复需要的时间。
医疗辐射机器的 辐射剂量互锁系统 和控制系统
二、安全仪表系统
安全仪表系统（SIS Safety Instrumented system）
安全仪表系统(SIS)是由国际电工委员会(IEC)标准IEC 61508及IEC 61511定义的专门用于安全的控制系统。能够实现一个活多个安全仪 表功能的系统。
当过程变量越限，机械设备故障，系统本身故障或能源中断时，安 全仪表系统能自动（必要时可手动）地完成预先设定的动作，使操 作人员、工艺装置及环保进入安全状态。
SIS包含仪表安全控制功能，也可包含仪表安全保护功能，或两者兼 具。
安全仪表系统
下述系统均属于安全仪表系统
• 安全联锁系统（Safety Interlock system-SIS）； • 安全相关系统（Safety Related system-SRS）； • 仪表保护系统（Instrumented protective system-IPS）； • 紧急停车系统（Emergency Shutdown System-ESD） • 火灾和气体检测系统(Fire and gas Systems-FGS) • 燃烧管理系统（Burner Management Systems-BMS） • 燃汽轮机、透平压缩机集成控制系统（Integrated turbo &
在一般情况下，风险是 不允许的
风险的允许值是当进一步风险降 低不可行或其成本与获得的改进 非常不对称时的值
当降低风险时，风险降低，相应的为 进一步降低风险以满足ALARP的投入 对风险值降低的作用越小。三角形逐 渐小的面积表示了这个概念
3：广泛可接受的区 域（在该区域无需为 论证ALARP进行细 致工作）
• 允许风险取决于国家、社会、企业或个人能够接受的风险水平
•
- 国家政策法规的要求
•
- 企业的规章制度
•
- 社会对该事件的共识
•
- 业主的容忍程度
•
- ……
ALARP模型（As Low As Reasonably Practicable ）
1：不允许区域
2：ALARP或允 许区域（在该区 域仅当利益不允 许时才要承担风 险）
逻辑运算器Logic Solver 指安全仪表系统或过程控制系统中完成一个或多个逻辑功能的部件。
基本过程控制系统Basic Process Control System (BPCS) 指用于直接或间接控制过程及相关设备的控制系统，系统包括分散控制系统（DCS）、 现场总线控制系统（FCS）、压缩机控制系统（CCS）、可编程控制系统（PLC）等。
有哪些降低风险的措施呢？
专业领域划分
管理：法规的制定与执 行 人员的培训 等
土建、电信（火气系统 FGS ）
仪电： BPCS系统的可 靠性（报警、联锁）/专 门的安全控制系统
设备、管道：机械强度， 耐压、磨损、腐蚀等
工艺：原料/产品等的毒 性/爆性；生产工艺的安 全性协调性等
日常生活的安全卫士
高铁、动车、地铁等列车信号系统和自动防护系统（ATP， Automatic Train Protection ）
• 成员：由专家小组组成，包括：工艺工程师、设备工程师、安全工程师、操 作主管、仪表、控制工程师、设计工程师、记录员。
• 方法：根据引导词、偏差确定产生偏差的原因、危害、已有措施、改善措施 和建议。
工作流程 ：
选择工艺单元、操作步骤
了解设计意图
重新选择工艺单元或参做步骤
选择工艺参数
重新考察工艺参数
安全仪表系统
尹永娟
问题：
• 1，SIS是干什么？ • 2，什么是SIS？ • 3，需要SIL几的SIS？ • 4，设计中怎么做到？
一、安全与风险
• 安全的定义： • 安全，不存在不可接受的风险。
• 不存在绝对安全，只存在相对安全。
• 将安全问题转化为风险问题，通过控制 风险使安全变得可控。
• 风险的定义：
冗余Redundancy
指为实现同一功能，使用多个相同功能的模块或部件同时工作。
容错Fault Tolerant
指功能模块在出现故障时，仍能继续正确执行特定功能的能力。
三取二2oo3 (2 out of 3)
系统故障时性能递减方式：3-2-0 采用三取二表决方式，即三个CPU中若一个运算结果与其它两个不同，该CPU 故障，其 余两个继续工作；若其余两个CPU运算结果再有不同时，则无法表示出哪一个是正确， 系统停车。
IEC61508/IEC61511的安全完整性等级 划分（低要求模式）
安全度等级
PFDavg
RRF
4
〈0.0001
〉10，000
3
0.001-0.0001
1，000-10，000
2
0.01-0.001
100-1，000
1
0.1-0.01
10-100
ANSI/ISA S84.01的安全度等级划分
安全度等级
平均失效概率（average probability of failure on demand -PFDavg）需要 SIS时，其发生故障的概率。它与SIL相对应，其对应关系如下图 所示：
风险降低因子（Risk Reduction Factor-RRF ）
RRF＝风险削减后的危险事件的频率/危险事件的目标频率
HAZOP报告 ：
危险和可操作性研究报告
项目名称
项目编号
P&ID号
管段号
引导词 偏差
原因
后果
液位
高液位 BPCS失效
高压
第页 日期 负责人 研究小组名称 保护设施 采取措施
编号 执行人 操作员
详细说明
接受的答复状态
压力
高压
高液位/外部火灾 容器内物质释放到环境中 保护层
泄压阀
考虑SIS
作用：
降低生产过程风险，分析在BPCS中执行SIL＝１功能回路的安全。 确定是否可达到允许风险即是否需要SIS。 作为风险矩阵、风险图、保护层方法的前提输入条件，确定SIF（safety instrument Function） 的SIL（需求计算）
（3）可靠性要求不同 SIS要求更可靠
（4）控制方法不同
连续控制为主 / 逻辑控制为主
（5）使用和维护方法不同 SIS更严格
安全仪表系统术语及定义
安全完整性等级（Safety Integrity Level-SIL）
一种离散的等级，用于规定分配给E/E/PE 安全相关系统的安全功能的完 整性要求 是安全系统的核心 代表着使过程风险降低的数量级
• compressor Controe Systems-ITCC） (不一定TUV认证)
安全仪表系统
下图为由PES构成的SIS
检测单元
输入模块
PES 控制模块
输出模块
执行单元
与 的区别： SIS BPCS（DCS/SCADA）
（1）目的功能不同
生产功能 / 安全功能
（2）运行状态不同
实时运行 / 部分运行部分备用
• 常常被定义出现伤害的概率及该伤害严 重性的组合。 （风险就是事件发生的频 繁有多大？后果多严重？）
风险=概率*后果
• 过程风险（受控设备风险）：由于过程、 BPCS和相关的人员因素问题而存在的特 定的危险事件的风险。（无安全保护特
征）
• 允许风险：根据当今社会的水准,在给定 的范围内能够接受的风险。
PFDavg
3
0.001-0.0001
2
0.01-0.001
1
0.1-0.01
DIN V19250的安全完整性等级划分
安全度等级 AK8 AK7 AK5、AK6 AK4 AK2、AK3 AK1
PFDavg
<0.00001 〈0.0001 0.001-0.0001 0.01-0.001 0.1-0.01 1-0.1