安全仪表系统1

IEC 61508 特殊要求
17
2.8.2 SIS系统一个回路的PFD的确定 以国外报导资料为例: Sensor 传感器 PFD=228X10-9 Logic Solver 逻辑单元 5X10-9 Control Valve 执行机构 308X10-2
这一回路的PFD=228X10-9+5X10-9+308X10-2≈308X10-2
4
3
2
1
10~100
可见，装置所要求的安全度等级越高，则要求它所采用的安全仪表 系统发生故障的概率越低，相应地，要求系统所具有的风险降低因子越 高。SIL与PFD是安全仪表系统的目标值。
4
2.2.2 安全仪表系统的工作模式 SIS系统分为两种类型，具有不同的工作模式 连续操作模式(System with a Continuous Mode of Operation) 其故障率(Failure Rates)以每年中的每小时故障次数表示。 按指令操作模式(Systems Operating on Demand) 其故障率按每个指令发生的故障次数表示。 2.2.3. 安全仪表的故障模式(Failure Model) 安全故障(Safe Failure) 可以检测到的安全故障(Safe Detected)，其故障率为λsd 不可以检测到的安全故障(Safe UnDetected)，其故障率为λsu 危险故障(Dangerous Failure) 可以检测到的危险故障(Dangerous Detected)，其故障率为λdd 不可以检测到的危险故障(Dangerous UnDetected)，其故障率为 λdu
安全仪表系统 及其在加氢装置的应用
中国石化工程建设公司（SEI） 王为华 2006.4.26
1.安全仪表系统概述 安全仪表系统概述
1.1安全仪表系统主要构成 1.1.1 IEC61511的定义 传感器 逻辑控制单元 最终执行机构 1.1.2 SIS SIS系统各单元的故障概率(PFDavg) (PFDavg) 传感器：42% 逻辑控制单元：8% 最终执行机构：50% 1.2 功能安全仪表系统的概念 IEC61511提出,系统故障时,
SIL 安全度等级
硬件容错要求（Hardware Fault Tolerance）
SFF<60% 1 2 3 SFF 60%~90% 0 1 2 IEC 61508 规定的特殊应用要求
14
SFF>90% 0 0 1
1 2 3 4
2.6 安全度等级所对应的实用性及风险降低因子 根据IEC 61508标准，安全仪表系统的实用性、风险降低因子与安全度 等级及相对应的德国TŐV认证等级如下所示：
安全故障余数SFF（Safe Failure Fraction）
10
11
风险降低因子RRF(Risk Reduction Factor) RRF=1/PFD 维修率μ(表示SIS系统部件维修成功的可能性) μ=1/MTTR 可靠性 R(t) (Reliability) 可靠性是时间的函数 R(t)=1-F(t) dR(t)/dt=f(t) f(t)=λe-λt R(t)=e-λt 系统部件发生故障的可能性F(t) F(t)是时间的函数，F(t)=1-R(t)=1- e-λt ∵ ex =1+x+x2/2!+x3/3!+x4/4!+••••≈1+x ∴ e-λt=1-λt ∴ F(t)=1-e-λt ≈λt
7
采用故障分析和风险评估可以确定一个工艺装置是否需要独立设置SIS 系统。SIS的需求是由装置的安全度等级SIL来确定的。SIL安全度等级 又与SIS系统的实用性及其可能发生故障的概率PFD相关，如下表所示。
SIL 1 2 3 4
PFDavg 10-1-10-2 10-2-10-3 10来自3-10-4 10-4-10-5
21
此下去，将会导致反应失控，造成“飞温”，使反应器内件及 催化剂损坏。所以温度及压力是两个重要的控制参数。 ③ 由高压及低压部分组成，两部分的分界面是在高低压分离器， 为避免高压串入低压，发生爆炸，所以高分器的液位及界位是 极其重要的控制参数。
12
随着时间的推移，安全仪表系统部件发生故障的可能性F(t)逐渐增大。 而其可靠性R(t)逐渐降低，两者之间的趋势可用下图表示：
13
2.5 对SIS系统硬件的容错要求 为保证SIS系统的可靠性，IEC61511提出了对SIS系统硬件的最少 容错要求。下表主要是对SIS逻辑运算和控制单元（Logic Solvers）的 容错要求。
9
2.4 安全仪表系统可靠性基本参数 MTTF、MTTR、MTBF 实用性 A （Safety Availability） MTTF MTTF µ A= = A= MTTF+MTTR MTBF λ+µ 故障率λ(Failure Rate) SIS系统发生故障的概率PFD，通常用其平均值表示PFDavg
1
不伤亡人员 不损伤设备 不对环境造成破坏 1.3 SIS与DCS的区别 与DCS所处层面不同 与DCS工作性质不同 与DCS对可靠性要求不同
2
2.安全度等级的概念 安全度等级的概念
2.1安全度等级的划分 IEC61508将一个装置的安全度等级划分为4级: SIL1-4级(Safety Integrity Level): SIL 1 级 SIL 2 级 SIL 3 级 SIL 4 级 根据IEC61511”功能安全”的要求，综述这4级的不同内容。 2.2 安全度等级与系统发生故障概率(PFDavg) 2.2.1 IEC61508与IEC61511对不同的安全度等级所要求的系统发生故障的 概率作出了规定。 如下表所示。
3.2 加氢装置的工艺流程及装置组成： 1、流程图（略） 2、装置组成：加氢装置由反应部分、分馏部分、加热炉及压缩机组等 几部分组成。 通常包括： 原料油罐、自动反冲洗过滤器、高压原料泵、加氢反应加热炉、加 氢精制反应器、加氢裂化反应器、冷（热）高分、冷（热）低分、 高压空冷器、高压注水泵、分馏塔、分馏加热炉、循环氢压缩机、 补充氢压缩机等。 3、加氢装置的特点： ① 高温，高压，临氢环境，要求仪表的压力等级及材质严格满 足工艺条件。 ② 加氢装置是耗氢极强放热反应，必须及时补充氢气（一般每 吨原料油耗氢250-350NM3，120万吨/年加氢裂化装置需补充 H2 40000NM3/h，否则压力下降。同时又是强放热反应，热 量不及时排出，就会加快反应速度从而放出更多的热量，如
5
安全故障率为λs= λsd + λsu 危险故障率为λd= λdd + λdu 显性故障(Over Fault)即为安全故障,(对出现的故障能够报警显示) 隐性故障(Cover Fault)即为危险故障。(对产生的危险性及故障 不报警,并任危险性发展下去). 检测SIS系统故障的三种方式: 通过正常的过程操作,人为使SIS系统某一局部发生S/D,来检测 系统。 通过定期测试(Test)：例如 Stuck On/Stuck Off功能。 通过SIS系统内部自诊断(Diagnostics),通过内置诊断软件实 现。
SIL 4 3 2 1
15
2.7 安全仪表系统可靠性基本参数计算实例 例1. 例2. 例3. 例4. 例5. 例6. 例7. 例8.
16
2.8 安全仪表系统对现场仪表的容错要求 2.8.1 SIS系统对现场变送器及执行机构的最小容错要求如下表所示
SIL 1 2 3 4
SFF<60% 0 1 2
SFF=60%~90% 0 1 1
实用性A 0.90-0.99 0.99-0.999 0.999-0.9999 >0.9999
8
关于HAZOP（Hazard and Operability Study） 目前有些装置在设计SIS系统时，采用HAZOP方法，来确定装置所需 的SIL等级。下面简介一下采用HAZOP的确定SIL等级的步骤。 SIL评级前应先进行HAZOP，对工艺流程进行全面的评估并提出需要报 警和仪表安全联锁的部分，作为SIL评级的设计输入。所有的报警和联锁 都要进行相应的SIL评级。经过SIL评级后，某些报警可能需要提高等级 到安全联锁，某些安全联锁也有可能降低等级到报警，某些报警也有可 能被取消。 不同工程公司的SIL评级方法不尽相同，对于安全的要求也有所不同。 评定SIL等级时，一般而言都是先假设没有SIS功能，在只考虑DCS、预 报警、机械设备等对危险减低的情况下，根据危险发生的概率和危险发 生时带来危害程度，对应于一定SIL等级评定矩阵，最后得出相应的SIL 级别。
6
2.3 安全度等级的初步确定 SIS的安全度等级是由构成SIS系统的三个单元的SIL来初步确定的: SIL装置= SIL传感器+ SIL逻辑单元+SIL执行机构 例如传感器为SIL2级,而SIL2每年故障概率平均值为0.01~0.001，取 中间值为0.005；逻辑单元为SIL3级，取中间值为0.0005 ；执行机构 为SIL1级，取中间值为0.05，则 PFDavg= 0.005+ 0.0005+ 0.05=0.0555， 初步确定为SIL1级。 即装置的安全度等级由其构成的三个单元中最低的SIL等级决定。 对于传感器和执行机构，如果不能满足安全功能的SIL等级要求，可 以通过马尔可夫模型（Markov Model）计算，确定选取1OO2D、 2OO3、2OO4D等配置方案。 为使一个工艺装置达到安全目标需在IEC61508与61511及ISA S84.01安全标准的基础上，对工艺过程进行故障分析，采用风险评 估的方法，来确定装置及SIS系统的SIL等级要求。
3
SIL
系统发生故障的概率(PFDavg) (Probability of Failure on Demand) 10-5~10-4 10-4~10-3 10-3~10-2 10-2~10-1
风险降低因子(RRF). (Risk Reduction Factor) 104~105 103~104 102~103
19
3. 加氢装置对安全仪表系统的要求.
3.1 加氢装置的定义与分类 1、定义： 通过加氢反应后，原料中至少有10%以上分子变小了的工艺过程。 通常用转化率来描述。（Conversion） 2、分类： ① 加氢精制（Hydrorefining） 反应压力P<10MPa，转化率C<10% ② 加氢裂化（Hydrocracking） P>10MPa，C>50% ③ 加氢处理（Hydrotreating） P<10MPa ，C=0 (原料油中没有分子变小的工艺过程) ④ 加氢改质（Upgrading） P<10MPa ，C>15% (主要生产低密度，低芳烃及高十六烷值 的柴油馏分) ⑤ 缓和加氢裂化 （Mild to moderate Hydrocracking） 20 P<10MPa ，C>30% (以生产柴油为主要目的）
A 实用性 >99.99% 99.9%-99.99% 99%-99.9% 90%-99% PFD (发生故障的概率) <0.0001 0.001-0.0001 0.01-0.001 0.1-0.01 RRF TUV AK1-6 (风险降低因子) GERMAN APPL. CLASS (AK) >10000 1000-10000 100-1000 10-100 7 5-6 4 2-3 典型应用领域 (Typical Application) Nuclear Power (核电站工业) Utility Chemical Boilers Processes Industrial (石化装置) Boilers (一般工业应用)
18
2.8.3 现场变送器的安全认证情况 据资料报导，截止到2005年6月底，EMERSON公司的3051S型压力变 送器及3144P型温度变送器已经取得了SIL2经（非冗余应用）和SIL3级（冗 余应用）认证，其PFD=6.38X10-4，其SFF=84%。（最近资料显示，其 SFF已达到95%）。经过安全认证的3051S型压力变送器，其内部有许多自 诊断线路，功能增强许多。 另外，据报导EMERSON的CORIOLIS质量流量计，可以用在要求SIL2 EMERSON CORIOLIS SIL2 级的装置（可能目前尚未认证）。 其 SFF=92% EMERSON的DVC6000数字定位器，已取得SIL1~3级认证。