安全仪表系统( SIS)培训
2022.11.18
1
主要内容
? 1、 SIS概述
? 2、 SIS设计原则
? 3、 SIS应用
2
1、 SIS概述
3
1、 SIS概述
1.1 什么是安全仪表系统?
? 安全仪表系统( Safety instrumented System,简称 SIS),又
称为安全联锁系统( Safety interlocking System),主要为工
厂控制系统中报警和联锁部分,对控制系统中检测的结果实施报
警动作或调节或停机控制,是工厂企业自动控制中的重要组成部
分
4
1、 SIS概述
1.1 什么是安全仪表系统?
? 典型化工装置的独立保护层呈 "洋葱 "
形分布,从内到外一般设计为
? 过程(本质安全)设计、基本过程控制
系统、警报与人员干预、安全仪表系统 、
减灾及缓解设施、 释放后物理防护、工
厂紧急响应以及社区应急响应等
? SIS可以监测生产过程中出现的或者
潜伏的危险,发出告警信息或直接
执行预定程序,立即进入操作,防
止事故的发生、降低事故带来的危
害及其影响
5
1、 SIS概述
1.1 什么是安全仪表系统?
? 常见的 SIS
? 安全联锁系统( Safety Interlock System—SIS)
? 安全关联系统( Safety Related System—SRS)
? 仪表保护系统( Instrument Protective System—IPS)
? 透平压缩机集成控制系统( Integrated Turbo & Compressor Control
System—ITCC)
? 火灾及气体检测系统( Fire and gas systems—F&G)
? 紧急停车系统( Emergency Shutdown Device—ESD)
? 燃烧管理系统( Burner Management System——BMS)
? 列车自动防护系统( ATP)
6
1、 SIS概述
1.2 哪些企业需要安装 SIS?
? 国家安监局第 116号文件阐明
? 从 2018年 1月 1日起,所有新建涉及“两重点一重大”的化工装置和危险化学品储存设
施要设计符合要求的 SIS。其他新建化工装置、危险化学品储存设施安全仪表系统,从
2020年 1月 1日起,应执行功能安全相关标准要求,设计符合要求的安全仪表系统
? 涉及“两重点一重大”在役生产装置或设施的化工企业和危险化学品储存单位,要在
全面开展过程危险分析(如危险与可操作性分析)基础上,通过风险分析确定安全仪
表功能及其风险降低要求,并尽快评估现有安全仪表功能是否满足风险降低要求。企
业应在评估基础上,制定安全仪表系统管理方案和定期检验测试计划。对于不满足要
求的安全仪表功能,要制定相关维护方案和整改计划, 2019年底前完成安全仪表系统
评估和完善工作
? 其他化工装置、危险化学品储存设施,要参照本意见要求实施
? 安监总管三 〔 2017〕 121号文件中提到了: 《 化工和危险化学品生产经营单
位重大生产安全事故隐患判定标准(试行) 》
7
1、 SIS概述
1.2 哪些企业需要安装 SIS?
? “两重点一重大”就是指政府安监部门重点监管的危险化工工艺、重点监管的危险化学品
和重大危险源的监管,简称“两重点一重大”,都要安装 SIS
? 一重点监管的危险化工工艺: 《 首批重点监管的危险化工工艺目录 》
? 二重点监管的危险化学品: 《 首批重点监管的危险化学品名录 》
? 一重大指重大危险源:长期地或临时地生产、加工、使用或储存
? 据安监局 116号文件规定
? 重大危险源的化工生产装置装备应满足安全生产要求的自动化控制系统
? 一级或者二级重大危险源,装备紧急停车系统,即 SIS
? 对重大危险源中的毒性气体、剧毒液体和易燃气体等重点设施,设置紧急切断装置
? 毒性气体的设施,设置泄漏物紧急处置装置
? 涉及毒性气体、液化气体、剧毒液体的一级或者二级重大危险源,配备独立的 SIS
? 该意见涉及到了生产、设计、管理等多个方面,包括 HAZOP分析、 SIL等级评估、安全系
统验证、老装置安全系统安全等级评估、安全系统改造等
8
1、 SIS概述
1.3 非安全控制系统 PLC和 SIS的区别
? 从 SIS的发展过程看,其控制单元部分经历了电气继电器
( Electrical)、电子固态电路( Electronic)和可编程电子系统
( Programmable Electronic System),即 E/E/PES三个阶段
? 非安全控制系统 PLC
? 不是按故障安全型设计的,当系统内部元件出现短路故障时,它并不能
检测到,因此其输出状态不能保证系统回到预定的安全状态,这种 PLC只
能用于安全度等级要求低的场合
? 以输出电路为例
9
1、 SIS概述
1.3 非安全控制系统 PLC和 SIS的区别
? 当 1、 2两点短路时,来自 PLC的控制信
号将不起作用 (失效 ),电磁阀将一直处
于带电 (励磁 )状态;当需要 联锁动作 (电
磁阀释电停车 )时,由于此故障的存在
而拒动,其输出不能保证处于安全停车
状态。这就是违背了故障安全 (Fault to
Safety)的原则
? 当 1、 2两点开路时,将导致误动作而停
车,同样会带来损失
? 可见, 这种 非安全 PLC的 DO卡输出电
路的安全性和可用性都是不高的
非安全控制系统 PLC的 DO卡示意图
10
1、 SIS概述
1.3 非安全控制系统 PLC和 SIS的区别
? 中央处理器不仅向串联的场效应管 (FET)发
出控制信号,而且还接受来自场效应管的
状态反馈信号,以便对其输出进行全面测
试。当测得某管输出发生短路时,中央处
理器即启动纠错动作,隔离相关的故障
? 看门狗 (Watch Dog)是个多通道的计时器
电路。它由中央处理器等周期性地触发,
如果两个触发之间的时间小于某设定值或
者大于某最大值,则看门狗的输出将失效。
同时看门狗还能监视内部工作电压,使之
在正常的电压范围内
SIS安全单容错 DO卡示意图
11
1、 SIS概述
1.3 非安全控制系统 PLC和 SIS的区别
? 与非安全 PLC相比较, SIS至少应具备以下几点:
? (1) 满足相关安全标准规范要求,且经过权威机构认证,取得了相应安全
等级证书
? (2)在硬件和软件上采用冗余、容错措施,具有完善的测试手段,当检测
到系统故障,特别是危险故障时能使系统回到安全状态
? (3) 能进行系统故障报警,指示故障原因、故障位置,便于在线维护
? (4) 故障安全型设计
12
1、 SIS概述
1.4 相关的标准
? 由于 SIS涉及到人员、设备、环境的安全,各国均制定了相关的
标准、规范,使得 SIS的设计、制造和使用均有章可循,并由权
威的认证机构对产品能达到的安全等级进行确认
? ( 1) IEC61508《 电气 /电子 /可编程电子安全相关系统的功能安
全 》 标准
? IEC61508标准规定了常规系统运行和故障预测能力两方面的基本安全要
求。这些要求涵盖了一般安全管理系统、具体产品设计和符合安全要求
的过程设计,其目标是既避免系统性设计故障,又避免随机性硬件失效
? ( 2) GB/T-20438-2017:等同于采用 IEC61508国际标准,即
《 电气 /电子 /可编程电子安全相关系统的功能安全 》
13
1、 SIS概述
1.4 相关的标准
? ( 3) IEC61511《 过程工业领域安全仪表系统的功能安全 》 标准
? IEC61511是专门针对流程工业领域安全仪表系统的功能安全标准,它是国际电工委员
会继功能安全基础标准 IEC61508之后推出的专业领域标准,解决了安全仪表系统应达
到怎样的安全完整性和性能水平的问题
? ( 4) GB/T-21109-2007:等同于采用 IEC61511国际标准 《 过程工业领域
安全仪表系统的功能安全 》
? ( 5) GB/T-50770-2013 《 石油化工安全仪表系统设计规范 》
? 该规范适用于石油化工工厂或装置新建、扩建及改建项目的安全仪表系统的工程设计,
目的是为了防止和降低石油化工工厂或装置的过程风险,保证人身和财产安全,保护
环境
? ( 6)行业标准 SHB-Z06-1999《 石油化工紧急停车及安全联锁系统设计导
则 》 14
1、 SIS概述
1.4 相关的标准
? ( 7)美国仪表学会制定的 ISA-S84.01 《 安全仪表系统在过程工
业中的应用 》
? ( 8)美国化学工程学会制定的 AICHE( ccps) 《 化学过程的安
全自动化导则 》
? ( 9)英国健康与安全执委会制定的 HSE PES《 可编程电子系统
在安全领域的应用 》
? ( 10)德国国家标准中有安全系统制造厂商标准 -DIN V VDE
0801、过程操作用户标准 -DIN V 19250和 DIN V 19251、燃烧
管理系统标准 -DIN VDE 0116等
15
1、 SIS概述
1.5 基本组成
? 在 IEC61508 中, SIS被称为安全相关系统( Safety Related
System) ,将被控对象称为被控设备( EUC)
? IEC61511将 SIS定义为用于执行一个或多个安全仪表功能
( Safety Instrumented Function, SIF)的仪表系统
? SIS是由传感器(如各类开关、变送器等)、逻辑控制器、以及最终执行
元件(如电磁阀、电动门等)组成,即 检测单元、控制单元和执行单元
? SIS可以包括软件,也可以不包括软件
? 另外,当操作人员的手动操作被视为 SIS的有机组成部分时,必须在安全
规格书( Safety Requirement Specification, SRS)中对人员操作动作的
有效性和可靠性做出明确规定,并包括在 SIS的效能计算中
16
1、 SIS概述
1.5 基本组成
? 如右图示,反应器的 SIS系统由一个压力 /温
度变送器、一个阀门和一个逻辑解算器组成
? 压力 /温度变送器检测反应器容器内压力 /温度,
并将其变换成合适的信号传送给逻辑解算器
? 逻辑解算器判断若压力 /温度超过了高保护整定
值,则关断进料阀以降低反应器容器内压力 /温
度,这被称为安全系统的一个安全功能
? 很明显,例子中 SIS只有一个安全功能
? 如果三个设备有一个或多个失效,安全功能将失效,
即它将不能对反应器容器内压力 /温度进行限制
? SIS的安全功能由传感器 /变送器、逻辑解算器和执
行器(进料阀)三部分功能决定 反应器的安全仪表系统
17
1、 SIS概述
1.6 SIS的功能安全与安全功能
? SIS的功能安全
? 必须在 工艺系统 出现危险情况时正确执行其对应的安全功能,安全仪表
系统的这种特性被称为功能安全
? 功能安全实际上讲的是 SIS系统自身的安全问题
? SIS的安全功能
? 实际上讲的是让 SIS执行什么样的安全任务,如何保护受控设备
18
1、 SIS概述
1.6 SIS的功能安全与安全功能
? 右图是一个气液分离容器 A液位控
制的安全仪表功能回路图
? 这个安全仪表功能完整的描述是
? 当容器液位开关达到安全联锁值时,
逻辑运算器使电磁阀 Z断电,则切断
进调节阀膜头信号,使调节阀切断
容器 A进料,这个动作要在 3秒内完
成,安全等级必须达到 SIL2
? 这是一个安全仪表功能的完整描述,
而所谓的安全仪表系统,则 是执行
类似 一个或多个这样的安全仪表 功
能的系统
L液面超高 -L1接点闭合 -Z带电
Z1接点 打开, S线圈断电
S电磁阀切断,往调节阀膜头的控制信号调节阀切断工艺进
料,完成联锁保护作用
K起:按钮开关 , 起动联锁保护回路兼有复位作用
K停:起人工强制起动联锁保护作用
K旁:旁路联锁保护作用,用于开车或检修联锁信号仪表
A
19
1、 SIS概述
1.6 SIS的功能安全与安全功能
? 隐故障( Covert Fault)
? 不对危险产生报警,允许危险发展的故障,是隐故障或危险故障( SHB-
Z06-1999)
? Covert Fault: Fault that can be classified as hidden, concealed,
undetected, unrevealed, latent, ect. ( ISA-S84.01-1996)
? 显故障( Overt Fault)
? 能显示出故障自身存在的故障,是显故障或安全故障( SHB-Z06-1999)
? Overt Fault: Fault that can be classified as announced, detected,
revealed, ect.( ISA-S84.01-1996)
20
1、 SIS概述
1.6 SIS的功能安全与安全功能
? SIS系统拒动
? 当工艺条件达到或超过安全极限时, SIS本应引导工艺过程停车,但由于
其自身存在隐性故障(危险故障),譬如输出开关被误连短路,而不能
响应此要求,即该停车而拒停,降低了安全性
? 危险故障定义为这样一些故障,这些故障会阻止 SIS系统对潜在的危险工
况做出反应
21
1、 SIS概述
1.6 SIS的功能安全与安全功能
? SIS系统误动
? 如右图,当输出开关由于某种原因处于非
激励状态,即使潜在的危险工况没有发生,
SIS也会进入一种安全失效状态,这种情况
经常被称为“误动”
? 误动可能会以许多不同方式发生
? 例如,输入电路可能会发生故障,从而使逻
辑解算器误认为是传感器检测到了危险工况,
而事实上并没有这种情况发生
? 逻辑解算器本身也可能出现运算错误,并导
致输出回路失电,输出回路可能出现开路
? SIS的许多元件失效均会导致系统进入安全失
效状态
22
1、 SIS概述
1.7 SIS系统结构
? 1oo1D
? 1oo2, 1oo2D
? 2oo3
? 将三路隔离、并行的控制系统(每路称为一个分电路)
和广泛的诊断集成在一个系统中,用三取二表决提供高
度完善、无差错,不会中断的控制
? 2oo4D
? 本质是双重化 1oo2D,其容错功能使系统中任何一个部
件发生故障,均不影响系统的正常运行
? 单块 CPU采用 1oo2D的结构,避免了因为其中一块 CPU出
现故障后系统停机,单块 CPU可以满足 SIL3的要求
? 单个 IO卡件内部采用 1oo1D机制,诊断功能把检测到的
一个危险失效转变成了一个安全失效,当系统检测出失
效时,它会强制系统处于断开状态
23
1、 SIS概述
1.8 特点
? 以 IEC61508作为基础标准,符合国际安全协会规定的仪表的安全标准规定
? 具有覆盖面广、安全性高、有自诊断功能,能够检测并预防潜在的危险
? 容错性的多重冗余系统, SIS一般采用多重冗余结构以提高系统的硬件故障裕度,
单一故障不会导致 SIS安全功能丧失
? 应用程序容易修改,可根据实际需要对软件进行修改
? 响应速度快,从输入变化到输出变化的响应时间一般在 10~50ms左右,一些小型
SIS的响应时间更短
? 自诊断覆盖率大,工人维修时需要检查的点数比较少
? 可实现从传感器到执行元件所组成的整个回路的安全性设计,具有 I/O短路、断线
等监测功能
24
1、 SIS概述
1.9 SIL认证
? SIL认证是基于 GB/T-20438、 GB/T-21109、 IEC61508、
IEC61511、 IEC61513、 IEC13849-1、 IEC62061、 IEC61800-
5-2等标准,对安全设备的安全完整性等级( SIL或者性能等级
( PL))进行评估和确认的第三方评估、验证和认证
? SIL等级认证主要涉及针对安全设备开发流程的文档管理( FSM)
评估,硬件可靠性计算和评估、软件评估、环境试验、 EMC电磁
兼容性测试等内容
? SIL认证包括对产品和系统两个层面
? 国内外有一些专业机构开展 SIL认证
25
1、 SIS概述
1.10 小结
? 大多石油和化工生产过程具有高温、高压、易燃、易爆、有毒等
危险。当某些工艺参数超出安全极限,未及时处理或处理不当时,
便有可能造成人员伤亡、设备损坏、周边环境污染等恶性事故。
这就是说,从安全的角度出发,石油和化工生产过程自身存在着
固有的风险
? SIS是一种满足功能安全标准,经专门机构认证,具有一定安全
完整性水平,用于降低生产过程风险的仪表安全保护系统。它不
仅能响应生产过程因超过安全极限而带来的风险,而且能检测和
处理自身的故障,从而按预定条件或程序使生产过程处于安全状
态,以确保人员、设备及工厂周边环境的安全
26
2、 SIS设计原则
27
2、 SIS设计原则
2.1 SIS设计应遵循的原则
? (1) 可靠性原则(安全性原则)
? (2) 可用性原则
? (3) 独立性原则
? (4) 标准认证原则
? (5) 故障安全原则
? (6) 冗余原则
? (7) 诊断与在线维护原则
? (8) 维护旁路开关( MOS)设
置
? (9) 联锁与复位设置
? (10) SIS的应用软件组态
? (11) SIS的其它设计原则
? (12) 结构约束
? (13) SIL的最终评估
28
2、 SIS设计原则
2.2 可靠性原则(安全性原则)
? 不同的工业过程(如生产规模、原料和产品的种类、工艺和设备的复
杂程度等)对安全的要求是不同的,国际标准将其划分为若干安全完
整性等级( SIL: Safety Integrity Level)
? 为了保证工艺装置的生产安全,安全仪表系统必须具备与工艺过程相
适应的安全完整性等级 SIL( Safety Integrity Level)的可靠度
? IEC 61508进行了详细的技术规定,对于安全仪表系统,可靠性有两
个含义
? 一个是安全仪表系统本身的工作可靠性
? 另一个是安全仪表系统对工艺过程认知和联锁保护的可靠性,还应有对工艺过
程测量,判断和联锁执行的高可靠性
29
2、 SIS设计原则
2.2 可靠性原则(安全性原则)
? 评估安全完整性等级 SIL的主要参数就是:平均危险故障率
PFDavg (probability of failure on demand)
? 它是 SIS系统按要求执行指定功能的故障概率,是度量 SIS系统按要求模
式工作故障率的目标值( SHB-Z06-1999)
? 这是一个衡量安全性的指标,或称拒动率。它意味着系统是危险的,不
会在 要求 demand(潜在的紧急条件) 发生时产生响应
? PFS(安全故障概率)
? 正常激励的 SIS系统在它的输出非激励时,就会处于故障状态,这有一个
概率,称为安全故障概率( PFS),或称误动率
30
2、 SIS设计原则
2.2可靠性原则(安全性原则)
? 安全完整性等级 Safety Integrity Level( SIL)是一种离散的等级,
用来规定分配给安全相关系统安全功能的安全完整性要求
? 安全完整性等级 SIL( Safety Integrity Level)是指在规定的条件下、规定
的时间内安全相关系统成功完成所要求的安全功能的可能性,也就是在要求
安全系统动作时其功能失效概率的倒数
? 安全完整性等级可分为 4个等级,按其从高到低依次分为 1~4级, SIL4是安
全完整性最高的等级(平均概率最高), SIL1是最低等级
? 安全完整性等级越高,应执行所要求的安全功能的概率也越高,在工业行业
中一般涉及到的只有 1, 2, 3级,因为 SIL4级投资大,系统复杂,一般只用
于核电行业
31
2、 SIS设计原则
2.2可靠性原则(安全性原则)
? 根据安全相关系统使用方式, IEC 61508 对安全仪表功能所属的过程工艺定义了两种模式:
低要求 (Low demand)模式 和 高要求 (High demand)模式, IEC 61511则称之为 要求模式
和 连续模式
? 低要求模式和高要求模式定义上的区别在于:低要求模式下,安全仪表功能每年被执行的次数少于 1次
( <=1次 /年 ),并且每个验证测试周期中不超过 2次,而高要求模式每年安全仪表功能被执行的次数
超过 1次( >1次 /年),每个验证测试周期中执行次数超过 2次
? 通常来讲,石化化工等行业所采用的 EDS, FGS, BMS等系统,均属于低要求模式。因为
正常情况下,每年安全功能被执行的次数是不会超过 1次的。当然,实际的应用过程中,有
可能有些工厂的 SIS系统每年动作多次,那并不意味着它的工艺就是高要求模式,可能是由
于不合理的工艺设计,操作习惯等因素的影响
? 采用不同的操作模式结构有可能使用几个安全完整性等级较低的系统来满足一个较高安全
完整性等级功能的需要
? 例如:使用一个 SIL2和一个 SIL1的系统共同来满足一个 SIL3功能的需要
32
2、 SIS设计原则
2.2 可靠性原则(安全性原则)
? 根据 IEC 61508标准,在不同的操作模式下,
安全完整性的目标失效概率和目标风险降低,
如右表所示
? 低要求模式下, SIL等级的定义是按平均每次动作
发生故障的几率( PFD)来表示。常见的 SIL3级
别,代表着每次执行安全功能,发生故障的几率
是 10-3 到 10-4
? 在高要求模式下, SIL等级则以每小时发生故障的
几率( PFH)来表示。 SIL3级别意味着每小时发
生故障的几率是 10-8 到 10-7
? IEC 61511的要求模式和连续模式下, SIL等
级也是分别用 PFD和 PFH来表示,各个级别的
故障几率与 IEC 61508的规定相同
33
2、 SIS设计原则
2.2 可靠性原则(安全性原则)
? 提高安全仪表系统的 SIL等级,对安全仪表系统回路内的各个部分
实行冗余是主要的手段
? 冗余 (Redundant):具有指定的独立的 N:1重元件,并且可以自
动地检测故障,切换到后备设备上
(SHB – Z06 – 1999)
? 冗余系统 (Redundant System):并行地使用多个系统部件,以
提供错误检测和错误校正能力的系统
(SHB – Z06 – 1999)
34
2、 SIS设计原则
2.2 可靠性原则(安全性原则)
? 容错 (Fault Tolerant):具有内部冗余的并行元件和集成逻辑,当硬件
或软件部分故障时,能够识别故障并使故障旁路,进而继续执行指定
的功能;或在硬件和软件发生故障的情况下,系统仍具有继续运行的
能力。它往往包括三方面的功能:第一是约束故障,即限制过程或进
程的动作,以防止在错误被检测出来之前继续扩大;第二是检测故障,
即对信息和过程或进程的动作进行动态检测;第三是故障恢复即更换
或修正失效的部件
(SHB – Z06 – 1999)
? 容错系统 (Fault Tolerant System):具有容错结构的硬件与软件系统
(SHB – Z06 – 1999)
35
2、 SIS设计原则
2.2 可靠性原则(安全性原则)
? 通过冗余和故障
屏蔽的结合来实
现容错。容错系
统一定是冗余系
统,冗余系统不
一定是容错系统
? 容错系统的冗余
形式有双重、三
重、四重等
CPU冗余 (双机热备 ) 三重模块冗余容错系统 36
2、 SIS设计原则
2.3 可用性原则
? 工艺条件并未达到安全极限值, SIS不应引导工艺过程停车,但
由于其自身存在显故障(安全故障)而导致工艺过程停车,即不
该停车而误停,降低了可用性
? 对于安全仪表系统的设计而言,不能一味的追求系统的高可靠性,
系统的可用性也需要考虑。正确的判断过程事故,可以减少装置
的非正常停车,减少开、停车造成的经济损失
37
2、 SIS设计原则
2.3 可用性原则
? 可用性(也称可用度)是指安全仪表系统在一个给定的时间点能
够正确执行功能的概率,常用百分数计算:
? MTBF:平均故障间隔时间( Mean Time Between Failures)
? MDT:平均停车时间( Mean Downtime)
38
2、 SIS设计原则
2.3 可用性原则
? 如何提高 SIS的可用性?
? 要使系统可用度增加,就要增加平均故障间隔时间( MTBF),或减少平均停
车时间( MDT)
? 为了提高系统的可用性
? 安全仪表系统应具有硬件和软件自诊断和测试功能
? 安全仪表系统应为每个输入工艺联锁信号设置维护旁路开关,方便进行在线测试和维护;
同时减少因安全仪表系统系统维护造成的停车;需要注意的是用于三选二表决方案的冗
余检测元件不需要旁路,手动停车输入也不需要旁路;同时严禁对安全仪表系统输出信
号设立旁路开关,以防止误操作而导致事故发生
? 如果 SIL计算表明测试周期小于工艺停车周期,而对执行机构进行在线测试时无法确保
不影响工艺而导致误停车,则安全仪表系统的设计应当根据需要进行修改,通过提高冗
余配置以延长测试周期或采用部分行程测试法,对事故状态关闭的阀门增加手动旁通阀,
对事故状态开启的阀门增加手动截止阀等措施,以允许在线测试安全仪表系统阀门
? 这些手段对于提供安全仪表系统的可用性都是很有帮助的
39
2、 SIS设计原则
2.3 可用性原则
? MTTF、 MTTR、 MTBF与 SIL的关系
? MTBF:平均故障间隔时间( Mean Time Between Failures)
? MTTR:平均恢复时间( Mean Time to Repair)
? MTTF:平均无故障时间( Mean Time to Failure)
? MTTF=MTTR+MTBF
? PFD=MTTR/(MTBF+ MTTR)
? 已知 MTTR=24h, MTBF=2000h
? PFD=24/(24+2000)=0.0119
? 硬件安全完整性等级为 SIL 1
40
2、 SIS设计原则
2.3 可用性原则
? 冗余表决方法及其安全性、可用性的关系
? 可用性 (A: Availability)是指系统可使用工作时间 (连续运行时间 )的概率,
用百分数计算, A = MTBF/(MTBF+MTTR), A值越大可用性越好
? 可靠性(安全性) PFD= MTTR /(MTBF+MTTR), PFD越小则安全性越
好
? 冗余逻辑表决方法及安全性 -可用性的关系例子如下表所示
41
2、 SIS设计原则
2.3 可用性原则
? 隐故障 (危险故障 )使 SIS该动
而拒动,隐故障概率越高,
安全性越差
? 显故障 (安全故障 )使 SIS不该
动而误动,显故障概率越高,
可用性越差
? 1oo2(二选一 )安全性最好,
但可用性最差
? 2oo2(二选二 )可用性最好,
但安全性最差
? 2oo3(三选二 )可兼顾
冗余逻辑的表决方法及其与安全性、可用性的关系
42
2、 SIS设计原则
2.4 独立性原则
? 安全仪表系统应独立于基本过程控制系统( BPCS,如 DCS, FCS, CCS,
PLC等),独立完成安全保护功能
? 安全仪表系统的检测元件,控制单元和执行机构应单独设置。如果工艺要求同时进行
联锁和控制的情况下,安全仪表系统和 BPCS应各自设置独立的检测元件和取源点(个
别特殊情况除外,如配置三取二检测元件,进 DCS信号三取中,进安全仪表系统三取
二,经过信号分配器公用检测元件)
? 如需要,安全仪表系统应能通过数据通信连接以只读方式与 BPCS通信,但禁止 BPCS通
过该通信连接向安全仪表系统写信息。安全仪表系统应配置独立的通信网络,包括独
立的网络交换机,服务器,工程师站等
? 安全仪表系统应采用冗余电源,由独立的双路配电回路供电
? 应避免安全仪表系统和 BPCS的信号接线出现同一接线箱、中间接线柜和控制柜内
43
2、 SIS设计原则
2.5 标准认证原则
? 随着安全标准的推出以及对安全系统重视度的不断提高,安全仪
表系统的认证也变得越来越重要,系统的设计思想,系统结构都
须严格遵守相应国际标准并取得权威机构的认证
? 安全仪表系统必须获得 IEC 61508 SIL相应 SIL等级的认证。安全
仪表系统系统中使用的硬件,软件和仪表必须遵守正式版本并已
商业化,同时必须获得国家有关防爆、计量、压力容器等强制认
证。严禁使用任何试验产品
44
2、 SIS设计原则
2.6 故障安全原则
? 组成 SIS的各环节自身出现故障的概率不可能为零,且供电、供
气中断亦可能发生
? 当安全仪表系统的元件、设备、环节或能源发生故障或者失效时,
系统设计应当使工艺过程按预定的顺序能够趋向安全运行或者安
全状态( Fault to Safety),这就是系统设计的故障安全性原则
? 能否实现“故障安全“取决于工艺过程及安全仪表系统的设计
45
2、 SIS设计原则
2.6 故障安全原则
? 整个 SIS,包括现场仪表和执行器,都应设计成以下绝对安全形式,即:
? (1)现场触点应开路报警,正常操作条件下闭合
? 现场开关仪表选用常开接点,工艺正常时触点闭合,达到安全极限时触点断开,触发联锁动作,必要时采用“二选一”、或
“三选二”等配置
? (2)现场执行器联锁时不带电,正常操作条件下带电
? 电磁阀采用正常励磁,联锁未动作时,电磁阀线圈带电,联锁动作时断电
? 对于执行器,如切断阀,一般情况下 SIS应设计成安全联锁动作时,切断阀在安全的即失气的状态。当有多个不同的工艺回路对
该切断阀有不同动作要求时;如同一个 FC(失气时关)切断阀, A安全联锁动作时要求该阀门全开;另一个 B安全联锁动作时要
求该阀门全关。此时就要求 SIS在 A安全联锁中输出“ 1“ 使电磁阀带电阀门全开,在 B安全联锁中输出” 0“ 使电磁阀失电阀门
全关
? (3) 送往电气配电室用以开 /停电机的接点用中间继电器隔离,其励磁电路应为故障安全型
? (4) 作为控制装置“故障安全”意味着当其自身出现故障而不是工艺或设备超过极限工作范围时,至少应该联锁动作,
以便按预定的顺序安全停车(这对工艺和设备而言是安全的),进而应通过硬件和软件的冗余和容错技术,在过程
安全时间( PST-Process Safety Time)内检测到故障,自动执行纠错程序,排除故障
? 以上的说明是通常情况下的故障安全。其实对于故障安全还应具体情况具体分析,要确定最有可能发
生的故障状态,并不是一律“常开接点,正常带电”
46
2、 SIS设计原则
2.7 冗余原则
? 当一个 SIS系统的安全完整性等级要求为 SIL3,实际配置为传感器为
2.2×10-3(SIL 2),逻辑解算器为 1.3×10-4(SIL3)(包括 I/O接口 ),终端执行
器为 2.41×10-3(SIL2),所以整个系统为 SIL2不满足要求
? 如改变传感器的配置结构,选择 1oo2冗余,其中共因失效 =10%,诊断覆
盖率 (DC)=90%,可以算出 1oo2传感器的结构的 PFD=2.3×10-4,达到
SIL3的水平,同理可以配置执行器为 1oo2冗余结构,也可达到 SIL3的要求,
于是最终整体 SIS系统的 SIL可以达到 SIL3的要求
? 这个问题的解决给我们以启示,当装置引进一个 SIS系统时,整体安全完
整性等级不仅取决于逻辑解算器部分,而且传感器、终端执行器部分也非
常关键;配置系统时,除了引进一个 SIL3的逻辑解算器,还要将传感器、
终端执行器一并考虑,算出 SIS整体的 SIL等级,定量的安全仪表系统配置
任务才算完成
47
2、 SIS设计原则
2.7 冗余原则
? 为了提高安全仪表系统的 SIL等级,对系统的各个单元实现冗余是必须的。其基本原则为:
? ( 1)传感器的冗余原则:对于 SIS的 SIL1回路,可采用单一的传感器;对于 SIS的 SIL2回路,宜采用
“ 1oo2D” 或“ 2oo3” 冗余的传感器;对于 SIS的 SIL3的回路,应采用“ 2oo3” 冗余的传感器
? ( 2) SIS逻辑表决算器的冗余原则: SIL1可采用“ 1oo1D” 单逻辑单元; SIL2宜采用“ 1oo2D” 或
“ 2oo3” 冗余逻辑单元; SIL3宜采用“ 2oo3” 或“ 2oo4D” 冗余逻辑单元
? ( 3) SIS控制阀的冗余设置原则: SIL1可采用单电磁阀,单 SIS控制阀; SIL2宜采用冗余电磁阀,单
SIS控制阀; SIL3应采用冗余电磁阀, SIS冗余控制阀
? SIS冗余控制阀为分别带电磁阀的两个 SIS开关阀,也可为带电磁阀的 1个调节阀加 1个 SIS开
关阀;冗余输入的 SIS逻辑应当包括输入信号偏差报警( 2个变送器的信号偏差,报警设定
值为 5%)
48
2、 SIS设计原则
2.8 诊断与在线维护原则
? SIS应具有硬件和软件自诊断及测试功能
? SIS应为每个输入工艺联锁信号设置维护旁路开关,方便进行在线测试和维
护。用于“ 3选 2”表决方案的冗余传感器不需要旁路,手动停车输入也不
需要旁路
? 严禁对 SIS输出信号设立旁路开关。如果 SIL计算表明测试周期小于工艺停车
周期,而对最终执行元件进行在线测试时无法确保不影响工艺或导致误停车;
则 SIS的设计应当根据需要进行修改,通过提高冗余配置以延长测试周期或
采用部分行程测试法,对故障关的阀门增加手动旁通阀,对故障开的阀门增
加手动截止阀等措施,以允许在线测试 SIS阀门
? 对于 SIS联锁旁路应设置“禁止 /允许”开关。 SIS旁路开关的动作应当产生
报警并予以记录;除非旁路解除,报警始终处于活动状态
49
2、 SIS设计原则
2.9 维护旁路开关( MOS)设置
? MOS作用
? 维护旁路开关 (Maintenance Override Switch, MOS)为 SIS的变送器、
检测开关等现场设备的在线检修设置。由于在旁路状态下 SIF的功能及其
安全完整性都是受限的,因此旁路的设计和操作管理,成为 SIS工程中重
要的关注点之一
? 旁路操作本身应有报警,记录和显示;在旁路期间也应始终保持对工艺
过程状态的检测和指示。旁路操作应有明确的操作程序,并纳入到功能
安全评估和现场功能安全审计的范围之内。重要的一点,旁路设计应仅
限于正常的工艺过程操作界限之内,不能代替或用作安全防护层功能
50
2、 SIS设计原则
2.9 维护旁路开关( MOS)设置
? 设置 MOS要遵循以下原则
? 当传感器被旁路时,操作人员有其它手段和措施触发该传感器对应的最终执行
元件,使工艺过程置于安全状态
? 当传感器被旁路时,操作人员有其它手段和措施监测到该传感器对应的过程参
数或状态
? 当传感器被旁路时,操作人员有其它手段和措施,并有足够的响应时间取代该
传感器相关的 SIF,将工艺过程置于安全状态
? MOS不能用于屏蔽手动紧急停车按钮信号等
? MOS的启动状态应有适当的显示
? 旁路状态的时间不宜太长,如果对该时间有严格的限定,可设计“时间到”报
警,但是不能自动解除旁路状态
51
2、 SIS设计原则
2.9 维护旁路开关( MOS)设置
? 对于 MooN表决机制的变送器信号, MOS逻辑设计要考虑降级
模式对安全性和可用性的影响
? 例如,从安全性角度, 2oo3旁路后应降级 1oo2;而对于停车将造成重
大经济损失的回路, 2oo3旁路设计可能采用降级为 2oo2
52
2、 SIS设计原则
2.10 联锁与复位设置
? SIS的设计应保证一旦工艺过程进入安全状态,在进行手动复位
前应保持工艺过程在安全状态
? 最终执行元件在所有的联锁初始条件恢复到正常状态前不得复位。
带多个传感器和最终执行元件的复杂联锁回路需要在逻辑中设置
一个总联锁复位信号(按钮),当联锁初始条件恢复到正常状态
之后,能用该复位信号(按钮)对整个联锁回路进行复位。对火
焰加热炉,气化炉,反应器等高危险设备的最终执行元件,需配
备一个独立的,就地手动复位装置。总联锁复位必须在就地手动
复位前先复位,就地手动复位装置的信号必须输入 SIS逻辑
53
2、 SIS设计原则
2.11 SIS的应用软件组态
? 在 SIS 中,应用软件编程组态遵循的最重要原则,是如何保证满
足安全完整性要求
? SIS的整体性能表现,在很大程度上受制于软件的质量。我们知
道,安全完整性包括硬件安全完整性和系统性安全完整性。其中
软件错误或缺陷是影响系统性安全完整性的重要因素之一
? 不幸的是,我们很难对软件失效建立数学模型并对失效率进行准
确预测
54
2、 SIS设计原则
2.11 SIS的应用软件组态
? 应用软件设计和组态应遵循模块化、低复杂性的指导原则
? 按照工艺过程特点和防护逻辑,划分为相对独立、简单的单元或
层次,这将给功能测试和修改带来极大的便利,有利于增强软件
的安全完整性
? 不论设计文件采用哪种格式,包括因果图( Cause-Effect)、功
能逻辑图、流程图、文字叙述等形式,都要足够详细,确保对停
车逻辑、设定值、报警、诊断以及时序等的正确组态
? 基于“经验使用”原则,尽可能采用标准功能或功能块。如果需
要采用“嵌套”逻辑,应尽可能地降低嵌套层
55
2、 SIS设计原则
2.12 SIS的其它设计原则
? 鉴于某些特殊原因,需要由 SIS执行的非安全功能应在因果图上
明确标明(如“非安全功能”,“ NSF” , SIL=“N/A” 或其它
标识)并在其他 SIS设计文件中指明
? 非安全功能的动作,如果由 SIS执行则不得干扰或危及 SIS的任何
安全功能
56
2、 SIS设计原则
2.13 结构约束
? 在 IEC61508/IEC 61511中,结构约束条款用最小的“硬件故障
裕度” (Hardware Fault Tolerance, HFT)表征,代表了设备或子
系统在构成 SIL回路时,从硬件结构上对安全完整性等级的限制
? 结构约束是除 PFDavg之外,在某个特定应用中使用某个设备的
附加约束
57
2、 SIS设计原则
2.13 结构约束
? 为了便于区分, IEC 61508将各种组成安全仪表功能的元件分成两
种 A型和 B型
? A型指那些所有故障模式都被定义过,所有故障行为都被定义过,
而且有充足的故障数据的元件,例如普通传感器,阀门等
? B型则相反,指那些故障类型没有被完整的定义,也没有足够的故
障数据的元件,一般指的是含有处理器的元件,例如智能传感器,
逻辑运算器等
58
2、 SIS设计原则
2.13 结构约束
? IEC 61508提供了一张表,分别为设备类型 A和 B的子系统定义了结构
约束
? 表中可以看出,确定安全仪表回路各个元件的 SIL等级,取决于 2个参
数:一是安全失效分数 SFF,二是硬件故障裕度 HFT
Safe Failure
Fraction
(SFF)
Type A Type B
Hardware Fault
Tolerance(HFT)
Hardware Fault
Tolerance(HFT)
0 1 2 0 1 2
<> SIL1 SIL2 SIL3 N.A. SIL1 SIL2
60%<> SIL2 SIL3 SIL4 SIL1 SIL2 SIL3
90%<> SIL3 SIL4 SIL4 SIL2 SIL3 SIL4
>99% SIL3 SIL4 SIL4 SIL3 SIL4 SIL459
2、 SIS设计原则
2.13 结构约束
? 在 IEC 61508中,根据设备类型及其 SFF(安全失效分数,也有称
之为安全故障)和设备所在子系统的 HFT(硬件故障裕度,也有称
之为硬件容错能力)来确定设备子系统能够用于哪级 SIL水平的安
全仪表系统
60
2、 SIS设计原则
2.13 结构约束
? 对 SIS来说, 安全失效分数 的定义为该 SIS产品的平均安全失效率
加检测到的平均危险失效率与系统总平均失效率之比
? 安全失效分数 SFF=(λsd+λsu+λdd) / (λsd+λsu+λdd+λdu)
? λsd:显性安全故障
? λsu:隐性安全故障
? λdd:显性危险故障
? λdu:隐性危险故障
61
2、 SIS设计原则
2.13 结构约束
? 提高安全失效分数,就是提高产品的故障安全能力,也就是说,
当产品出现故障时,具有的使系统以安全的方式失效的能力
? 提高安全失效分数的办法有很多,最重要的就是提高诊断覆盖率,
也就是用各种内部诊断的方式将可能导致危险失效检测出来提高
诊断测试到的危险失效概率在危险失效总概率中的比例
62
2、 SIS设计原则
2.13 结构约束
? 硬件故障裕度 HFT和系统的结构有关
? 常见的系统设计结构有 1oo1,2oo2,1oo2,2oo3,1oo3,2oo4,这种 MooN结构
指的是需要总共 N个通道中的 M个独立通道来实现安全功能
? 硬件故障裕度 (Hardware fault tolerance, HFT)表征硬件容错能力,是指在能
够正常行使安全功能的情况下,系统结构配置能够容忍的危险失效数目; HFT
的定义是,假如硬件容错能力是 X,那么当出现 X+1个危险故障时,将会导致
安全功能的丧失。所以很明显,我们可以得出在 MooN结构中,硬件容错能力
的计算 HFT=N-M,如表
? 硬件故障裕度有时与冗余配置容易混淆。硬件故障裕度和冗余不是一回事。例
如, 1oo3,2oo3,3oo3的设备冗余数都是 3,而它们的硬件故障裕度却分别是 2,
1, 0。有时候,冗余的设备是为了提高过程的可用性,而不是为了提高安全性
结构 1oo1 2oo2 1oo2 2oo3 1oo3 2oo4
HFT 0 0 1 1 2 2
63
2、 SIS设计原则
2.13 结构约束
? 如果某个 B类设备具有 92%的安全失效分数,硬件故障裕度为 0,根据结构约束表可得到它
满足 SIL2的要求
? 但一般在实际工程中,结构约束是以另一种方式使用的。已知的是目标 SIL水平,设备类型
及其安全失效分数,要确定的是硬件故障裕度。例如,某 A类设备的 SFF为 50%,安全仪表
功能的目标 SIL水平为 2,那么根据 HFT计算表,硬件裕度为 1,所以该设备的子系统需要为
1oo2或 2oo3之类的冗余配置
64
Safe Failure
Fraction
(SFF)
Type A Type B
Hardware Fault
Tolerance(HFT)
Hardware Fault
Tolerance(HFT)
0 1 2 0 1 2
<> SIL1 SIL2 SIL3 N.A. SIL1 SIL2
60%<> SIL2 SIL3 SIL4 SIL1 SIL2 SIL3
90%<> SIL3 SIL4 SIL4 SIL2 SIL3 SIL4
>99% SIL3 SIL4 SIL4 SIL3 SIL4 SIL4
2、 SIS设计原则
2.13 结构约束
? IEC 61511中要求硬件故障裕度的最低水平应该
是 SIL水平的函数。这就是说以达到功能安全为
目的的冗余必须与安全仪表功能的目标 SIL水平
相联系。对于现场仪器仪表和非可编程逻辑控制
器,其结构约束如右表所示
? 为了达到 SIL2的安全水平必须使用两个变送器,
并且这两个变送器只需其中一个动作就能够执行
安全功能。同样,对于 SIL3的安全水平,必须使
用三个变送器
SIL 最小硬件故
障裕度
1 0
2 1
3 2
4 有特殊要求
(参见 IEC
61508
IEC 61511中为现场设备
规定的最小硬件故障裕度
65
2、 SIS设计原则
2.13 结构约束
? IEC 61511中使用另一张表对可编程电子逻辑控制器的结构提出
要求,如表所示
? 使用此表时也需要计算安全失效分数 SFF。它的使用方法和 IEC
61508中的结构约束是一样的
IEC 61511中为逻辑控制器规定的最小硬件故障裕度
SIL 最小硬件故障裕度
SFF<> SFF 为 60%至 90% SFF>90%
1 1 0 0
2 2 1 0
3 3 2 1
4 有特殊要求(参见 IEC 61508)
66
2、 SIS设计原则
2.14 SIL的最终评估
? 当按照安全要求规格书的要求,完成 SIS设备的选型和结构设计,
自然地要回答这一问题,最终的 SIF是否达到了预期的 SIL要求?
? SIF的最终评估,通常有两个必要条件:
? 一是 SIS系统的 PFDavg满足要求
? 二是评定 SIS系统是否满足了“结构约束” (Architectural Consraintts)
要求
? SIS应用部分举例
67
3、 SIS应用
68
3、 SIS应用
3.1 工艺过程风险的评估及安全度等级的评定
? 不同的工艺过程 (生产规模、原料和产品的种类、工艺和设备的复杂程
度等 )对安全的要求是不同的
? 一个具体的工艺过程,是否需要配置 SIS、配置何种等级的 SIS的步骤
? ( 1)对此具体的工艺过程进行风险评估,要进行危险及可操作性分析
(HAZOP),必要时补充保护层分析 (Layer of protection analysis,简称 LOPA)
? ( 2)辨识出与此分析相应的安全仪表功能 (SIF),找到一个安全仪表联锁回路
? ( 3)根据风险出现的频率和其产生的严重后果,找到一个与此 SIF相应的 SIL值
? ( 4)在确定了某个安全仪表功能的完整性等级 (SIL)之后,再配置与之相适应
的 SIS
69
3、 SIS应用
3.1 工艺过程风险的评估及安全度等级的评定
? ( 1)危险及可操作性分析 (HAZOP)
? 危险和可操作性研究分析( Hazard and Operability Study,简称
HAZOP)是以系统工程为基础的一种可用于定性分析或定量评价的危险
性评价方法,用于探明生产装置和工艺过程中的危险及其原因,寻求必
要对策
? HAZOP一词是 20世纪 70年代早期提出的,二十余年前由英国帝国化学
公司首先开发应用。经过不断改进与完善,在欧美国家,现已广泛应用
于各类工艺过程和项目的风险评估工作中。有些国家,如英国,已通过
立法手段强制其在工程建设项目中推广应用,而在我国 HAZOP分析技术
正处于起步阶段。 HAZOP是高度专业化的作业程序,是一种对项目做定
性的风险分析和风险管理技术
70
3、 SIS应用
3.1 工艺过程风险的评估及安全度等级的评定
? ( 1)危险及可操作性分析 (HAZOP)
? HAZOP是一种结构化的风险分析工具,能全面、系统的识别流程中的危险和
改善操作,减少管理的盲点,有效提升工作流程的效率和生产力。 HAZOP集
中分析异常的操作情况和以前从未发生过的事,是对设计的重要补充。有文献
数据显示,进行 HAZOP分析并采纳相关建议后,运行时出现的问题至少减少
一个数量级。
? 在通常情况下, HAZOP的研究目标应该是与液体或气体产品有关的承受高压
的设备、设施或系统。上述设备、设施或系统一般是带压后或投入使用后才能
成为 HAZOP研究方法的研究对象,所以 HAZOP的定义应该是:研究目标上的
具体研究对象在试运或运行期间可能发生的与其本身内在危险性和本身操作有
关的问题。上述定义已经考虑了 HAZOP应用范围不断扩大的趋势
71
3、 SIS应用
3.1 工艺过程风险的评估及安全度等级的评定
? ( 1)危险及可操作性分析 (HAZOP)
? HAZOP技术常用的形式有 3种,即引导词方式( Guide Word
Approach)、经验式( Knowledge Based HAZOP)和检查表式
( Checklist)
? 引导词方式主要用于对新的项目作系统的工艺和操作危害研究,并提出
存在的安全隐患问题
? 经验式则主要依托原有经验对复用项目的相关及改变部分做 HAZOP研究
? 检查表式则主要用于项目的前期工作阶段,根据所用物料的危害性质,
确定在设计中要重视的潜在危害
72
3、 SIS应用
3.1 工艺过程风险的评估及安全度等级的评定
? ( 1)危险及可操作性分析 (HAZOP)
? HAZOP的主要方法是:分析偏差,找出原因、分析后果、提出对策及措施。
在分析进行前,工艺流程图应达到相当完善的程度;分析开始时,工艺工程师
对整个装置设计作详细介绍,并讲解每一段细节的设计目的和作用,讲解内容
由秘书记录下来。简单的说, HAZOP研究主要是应用系统的分析方法,将所
有相关的关键词结合在一起,对工厂进行查询,努力发现任何潜在的问题,其
结果用列表的方式记录下来
? 须提供给 HAZOP小组的文件主要有 PFD(工艺原则流程图)、 P&ID图(工艺
管道和仪表流程图)、 U&ID图(公用工程管道和仪表流程图)、设备平面布
置图、材料规格书和选材表、设备规格表和设备单线图。引导词是代表偏离设
计意图和正常操作范围的失常问题,引导词实际上是运行参数或运行条件的高
度概括,包括流量、压力、温度、组分、液位、物相、操作等
73
3、 SIS应用
3.1 工艺过程风险的评估及安全度等级的评定
? ( 1)危险及可操作性分析 (HAZOP)
? HAZOP一般包括以下 5个步骤:
? 1)定义危险和可操作性分析所要分析的系统或活动
? 2)定义分析所关注的问题
? 3)分解被分析的系统并建立偏差
? 4)进行 HAZOP工作
? 5)用 HAZOP分析的结果决策
74
3、 SIS应用
3.1 工艺过程风险的评估及安全度等级的评定
? ( 1)危险及可操作性分析 (HAZOP)
? 关于某个研究节点的某个引导词提出来以后,按照以下顺序进行讨论:
? 1)原因:就是找出研究节点发生该引导词所代表的失常问题的原因
? 2)结果:就是讨论发生上述失常问题时可能产生的后果
? 3)已到位的安全措施:就是检查是否已经采取了相应的保护措施
? 4)后续行动:就是讨论应补充或应改进的措施,并作为会后后续行动记
录下来
? 5)行动执行单位:就是建议由哪个单位负责完成相应的会后后续行动
? 6)优先等级:就是明确表明需要落实的会后后续行动的缓急程度
75
3、 SIS应用
3.1 工艺过程风险的评估及安全度等级的评定
? ( 1)危险及可操作性分析 (HAZOP)
? 通常的做法是成立一个多学科的研究小组,该组人
员以“有组织的自由讨论”形式一起工作
? 在评审过程中,首先将被研究的系统或设施分解成
HAZOP的最小研究单位 ——研究节点,并把每个
研究节点的设计意图向研究小组成员进行解释
? 然后对 P&ID图上表示的设计内容进行系统分析,
并以此来识别危险,具体方法:用引导词来系统的
识别因不符合设计意图而可能出现的潜在的危险性
或可操作性问题
? 最后把这种偏差问题或失常问题的可能原因和与其
有关的后果、现有的保护措施以及该研究小组的有
关建议等,一起列在工作表上
76
3、 SIS应用
3.1 工艺过程风险的评估及安全度等级的评定
? ( 1)危险及可操作性分析 (HAZOP)
? HAZOP具有如下特点:
? 1)由第三方人员直接负责组织当前的直接设计人员和将来的直接运行人员共同讨论在设计中的细节问
题(这与专家评审方法不同)
? 2)只考虑可引起各种事故的细节性失常问题的内在原因。不考虑与失常问题有关的外部原因(这与
HSE方面的危险识别方法不同)
? 3)是一种用于识别危险性和可操作性问题的形式化和系统化的识别方法,不能被用来解决这些问题或
量化这些问题(这与技术咨询方法不同)
? 4)结论是建议性的,不是强制性的,只要求限期回答有关问题,只要能够解释通,可以不执行有关的
结论(这与事故的调查方法不同)
? 5)目的只是评审在评审用 P&ID图上表示出来的并与操作程序有关的资料。将不会涉及到评审用 P&ID
图上没有标出的资料(例如:平面布置的细节)或在评审用程序文件中没有包括的操作方式(局限性 1)
? 6)只考虑由于一种可信的常规故障或至多两种可信的常规故障引起的危险,所以不会覆盖所有低频率
的灾难性事件或多重故障引起的危险性事件(局限性 2)
77
3、 SIS应用
3.1 工艺过程风险的评估及安全度等级的评定
? ( 1)危险及可操作性分析 (HAZOP)
? HAZOP 的局限性
? HAZOP技术简单易学,可激发创造性,开拓思路,但其也有一定的局限性
? HAZOP技术的局限主要是其审查的结果依赖于所审图纸及数据的准确度,并要求
组成一个专家小组,小组成员应具备较好的专业知识和经验
? HAZOP只考虑可引起各种事故的细节性失常问题的内在原因,不考虑与失常问题
有关的外部原因
? HAZOP是一种用于识别危险性和可操作性问题的形式化和系统化的识别方法,不
能被用来解决这些问题或量化这些问题
78
3、 SIS应用
3.1 工艺过程风险的评估及安全度等级的评定
? ( 1)危险及可操作性分析 (HAZOP)
? HAZOP分析技术被公认为是防止损失的最广泛采用的方法,是适于化工工艺过程危害辨识
的分析技术,近年来已经得到了广泛的应用,以上介绍了 HAZOP分析的具体方法,分析了
其优缺点,并指出了 HAZOP技术的应用范围,但应用 HAZOP分析时应注意以下几点:
? 1) HAZOP分析对团队成员要求较高,要求有经验的人员参与,都应是本专业领域内有丰富经验的专
家,组成多元化的团队。
? 2)由于 HAZOP技术的全面性、系统性和细致性,要给专家团队充裕的分析时间,同时每天的工作时
间不宜过长
? 3)要准确的划定 HAZOP分析的目标和范围。 HAZOP所要分析的是一个系统在正常运行中各种可能的
偏差,因此清楚的定义一个系统的设计功能或正常运行是分析工作中非常重要的一步
? 4)在会前应做好充分的准备工作,要保证提供给 HAZOP的图纸及其他参考信息的准确性和真实性。
待审查的设计文件的深度决定了 HAZOP审查的深度
? 5) HAZOP分析是一项动态工作,与设计阶段同步进行,直至施工安装完毕。项目或系统分析完毕后
应进行适当的跟踪
79
3、 SIS应用
3.1 工艺过程风险的评估及安全度等级的评定
? ( 1)危险及可操作性分析 (HAZOP)
? LOPA分析
? 针对 HAOP分析风险时,无法确定现有措施是否充分、保护层的消减能力、剩余风险
能否接受等问题,应用 LOPA分析技术在 HAZOP定性分析的基础上,进一步对已有措
施和建议措施的消減能力进行半定量的评估,可以解决 HAZOP分析的不足
? 保护层分析 (Layer of protection analysis,简称 LOPA)是在定性危害分析 (如 HAZOP)
的基础上,进一步评估降低不期望事件频率或后果严重性的独立保护层的有效性,并
进行风险决策的系统方法
? 其主要目的是确定是否有足够的保护层使过程风险满足企业的风险可接受标准。 LOPA
是一种半定量的风险评估技术,通常使用初始事件频率、后果严重程度和独立保护层
(IPL)失效频率的数量级大小来近似表征场景的风险
80
3、 SIS应用
3.1 工艺过程风险的评估及安全度等级的评定
? ( 1)危险及可操作性分析 (HAZOP)
? LOPA分析
? 一个典型的化工过程包含各种保护层,呈 “ 洋
葱 ” 形分布,如本质安全设计、基本过程控制
系统 (BPCS)、报警与人员干预、安全仪表功
能 (SIF)、物理保护 (安全阀等 )、释放后保护设
施、工厂应急响应和社区应急响应等,这些保
护层能够有效的降低事故发生的频率
? 在开展化工过程工艺危害分析时,保护层是否
足够,能否有效防止事故的发生是分析人员最
为关注的一个问题
81
3、 SIS应用
3.1 工艺过程风险的评估及安全度等级的评定
? ( 1)危险及可操作性分析 (HAZOP)
? LOPA分析
? LOPA基本程序如图所示,包括
? a)场景识别与筛选。 LOPA通常评估先前危害分析研究中识别的场景。分析人员可采用定
性或定量的方法对这些场景后果的严重性进行评估,并根据后果严重性评估结果对场景进
行筛选
? b)初始事件( IE)确认。首先,选择一个事故场景, LOPA一次只能选择一个场景;然后
确定场景 IE。 IE包括外部事件、设备故障和人员行为失效
? c)独立保护层( IPL)评估。评估现有的防护措施是否满足 IPL的要求是 LOPA的核心内容
? d)场景频率计算。将后果、 IE频率和 IPL的 PFD等相关数据进行计算,确定场景风险
? e)评估风险,作出决策。根据风险评估结果,确定是否采取相应措施降低风险。然后,重
复步骤 b)~ e)直到所有的场景分析完毕
? f)后续跟踪和审查。 LOPA分析完成后,对提出降低风险措施的落实情况应进行跟踪。应
对 LOPA的程序和分析结果进行审查
82
3、 SIS应用
3.1 工艺过程风险的评估及安全度等级的评定
? ( 1)危险及可操作性分析 (HAZOP)
? LOPA分析
? LOPA与 HAZOP的联系
83
3、 SIS应用
3.1 工艺过程风险的评估及安全度等级的评定
? ( 1)危险及可操作性分析 (HAZOP)
? LOPA分析
? 场景风险计算
84
3、 SIS应用
3.1 工艺过程风险的评估及安全度等级的评定
? ( 2)辨识出与此分析相应的安
全仪表功能 (SIF),找到一个安
全仪表联锁回路
? 右图是一个气液分离容器 A液位控
制的安全仪表功能回路图
? 这个回路的安全仪表功能完整的
描述是:当容器液位开关达到安
全联锁值时,逻辑运算器使电磁
阀 Z断电,则切断进调节阀膜头信
号,使调节阀切断容器 A进料,这
个动作要在 3秒内完成,安全等级
必须达到 SIL2
L液面超高 -L1接点闭合 -Z带电
Z1常闭接点打开, S线圈断电
S电磁阀切断,往调节阀膜头的控制信号调节阀切断工艺进
料,完成联锁保护作用
K起:按钮开关 , 起动联锁保护回路兼有复位作用
K停:起人工强制起动联锁保护作用
K旁:旁路联锁保护作用,用于开车或检修联锁信号仪表
A
85
3、 SIS应用
3.1 工艺过程风险的评估及安全度等级的评定
? ( 3)根据风险出现的频率和其产生的严重后果,找到一个与此
SIF相应的 SIL值
? 应该注意的是不同安全级别的 SIS,只能确保要求失效率 (PFD)在一定的
范围内,安全级别越高的 SIS,其 PFD越小,即发生事故的可能性越小,
但它不能改变事故造成的后果。因此,工艺过程安全完整性等级的评定
是一项十分重要的工作
? 但目前我国尚无如何评定安全完整性等级的标准和规范。国际、国外标
准中提供了某些评定方法。下面介绍的风险矩阵 (RISK MATRIX)评估方
法可供参考
? 这种方法以工艺过程事故出现的频率 (可能性 )及其危害程度 (严重性 )为风
险评估的指标,并对频率和危害程度人为量化为若干级,作出矩阵表,
以此确定工艺过程的安全完整性等级
86
3、 SIS应用
3.1 工艺过程风险的评估及安全度等级的评定
? 风险矩阵表中,频率分级的年
限 (多少年出现一次 )考虑了采
用控制系统(如 DCS)进行监
视、控制以及正常操作规程等
对于降低事故出现频率的贡献,
但不考虑 SIS的存在
? 危害程度的量化表中,危害程
度从经济损失、人身伤害和环
境危害三个方面予以量化
风
险
矩
阵
危
害
程
度
的
量
化
87
3、 SIS应用
3.1 工艺过程风险的评估及安全度等级的评定
? ( 4)在确定了某个安全仪表功
能的完整性等级 (SIL)之后,再配
置与之相适应的 SIS
? 右表中可以看出,若某工艺过程的
所需 SIF经评定后为 SIL 2,则配置
达到 SIL 2的 SIS即可,其要求失效
率 (PFD)为百分之一至千分之一之
间
88
3、 SIS应用
3.2 SIL验算
89
? 对于装置进行了 HAOZP和
LOPA之后,得到了对应 SIF需
达到需要降低多少风险
? 通过验算,确认经过设计、安
装之后所构成的 SIF是不是达到
了当初所要求的风险降低能力
? 验算步骤如右图
3、 SIS应用
3.2 SIL验算
90
? DCd:危险失效诊断覆盖率。 DCd=λdd/λd
? DCs:安全失效诊断覆盖率。: DCs=λsd/λs
? β:共因失效。单一故障源导致一个系统内的多个部件失效。该故障源可能是系统内的,也许是系统外
的
? λsd:显性安全故障、 λsu:隐性安全故障、 λdd:显性危险故障、 λdu:隐性危险故障
? HFT:硬件故障裕度( Hardware Fault Tolerance)对硬件危险故障的容忍度, HFT=N-M。 MooN:
“ N” 个独立通道构成的安全仪表系统或其部分,它被连接成其中“ M” 个通道足以执行仪表安全功能
? MTTR:平均恢复时间 Mean Time To Restore。传统上, MTTR指平均维修( Repair)时间
? SFF:安全失效分数、 SIF:安全仪表功能、 SIS:安全仪表系统、 SIL:安全完整性等级
? TI:检验测试(功能测试)的时间间隔
? PFDSIS=∑PFDSi+∑PFDAi+∑PFDLi+∑PFDPsi
? PFDSIS: SIS中特定 SIF的 PFDavg
? PFDS:特定 SIF传感器的 PFDavg
? PFDA:特定 SIF最终元件的 PFDavg
? PFDL:逻辑控制器的 PFDavg
? PFDPS:电源的 PFDavg
3、 SIS应用
3.2 SIS验算
? 如图所示, HIPPS(高完整性压力保护
系统)中,压力传感器 2oo3,阀门
1oo2
? 数据如下
91
3、 SIS应用
3.2 SIS验算
? 结构约束
? 压力变送器为 2oo3, HFT=1, SFF=90.3%, B类,满足 SIL3
? 阀门为 1oo2, HFT=1, SFF=61.6%, A类,满足 SIL3
? 根据下图(来自 GB/T20438.2-2017)
92
3、 SIS应用
3.2 SIS验算
? 计算此 SIF回路的 PFDavg, PFDSIF=PFDS+PFDA+PFDL
? 带入数据得: PFDS=8.89E-06
? 带入数据得: PFDL=6.32E-05
? PFDSIF=PFDS+PFDA+PFDL=( 8.89E-06) +( 2.55E-05) +( 6.32E-
05) =9.76E-05
? 风险降低能力 RRF=1/PFDSIF=10244.81
? 满足 SIL3能力
93
3、 SIS应用
3.3 应用案例
? 重要生产过程的紧急停车、安全控制,在这种应用方面又称为
ESD系统( Emergency Shun-down System)
? 为精炼厂、石化 /化工厂,以及其他工业过程中需要高安全级别的地方提
供连续的保护。例如,在反应器和压缩机单元,对厂级的跳闸信号 ——
压力、产品进料、膨胀机压力平衡和温度等进行监视,并在预设的条件
出现后产生跳闸动作
? 传统的跳闸系统执行时多采用机械或电子继电器,但是这往往造成危险
的误跳闸
? SIS提高了系统的安全性,提供自动检测和确认现场传感器的完整性,完
全的跳闸和控制功能,与管理数据高速公路直接连接,以达到安全回路
功能的连续监控
94
3、 SIS应用
3.3 应用案例
? 锅炉管理系统 BMS( Burner Manager System)
? 在大多数的精炼厂中,过程蒸汽锅炉起一个循环回路部件的功能。为了
保护锅炉,正常启动和停机的安全联锁系统以及锅炉火焰安全系统由 SIS
系统整合为一体
? 传统应用中,这些功能由独立的,非整合的部件提供,但是在容错的失
效 -安全的控制器中,锅炉操作员可以在更有效地使用循环资源的同时保
证锅炉的安全性在(或高于)一个机电保护系统级别
95
3、 SIS应用
3.3 应用案例
? 透平和压缩机控制( ITCC)和保护
? 对于燃气 /蒸汽轮机的控制和保护需要高度的完整性和安全性
? SIS的容错控制器的连续运行可以在保证汽轮机最高安全性的同时提供最
高的工作性能。速度控制,和启动及停机一样,由一个单独的系统执行。
热备模件的使用,减少了意料之外的损耗。如果模件发生了错误,系统
自动更换为备用模件,并不对操作过程造成中断
96
3、 SIS应用
3.3 应用案例
? 火灾和气体检测以及紧急关断 FGS (Fire & Gas System)
? 海上平台的火 /气保护需要连续的可靠性及稳定性
? SIS通过在线更换错误模件的功能提供了该功能。模件错误,现场接线或
传感器故障均自动地由内置诊断功能管理。模拟量的火 /气传感器直接接
至 SIS系统,操作员界面监视火 /气系统,诊断 SIS控制器和传感器。传统
的火 /气仪表均可用一个集成的控制系统来替换,可节约宝贵的空间,并
保持高安全性及可靠性
97
3、 SIS应用
3.4 SIS产品
? 目前国内外主流安全仪表系统 SIS厂家
? 国内:和利时 HiaGuard、康吉森 TSxplus及浙大中控 TCS-900
? 国外:黑马( HIMA) H41Q/H51Q、 Triconex的 Tricon、 Rockwell( ICS)
Triplex及 YOKOGAWA的 ProSafe-RS
? 除了以上国内外主流的安全仪表系统 SIS外,还有霍尼韦尔、艾默生、 ABB、西
门子等产品,但是这些厂家都是主推 PLC和 DCS系统
? 安全仪表系统 SIS的架构
? 有 1oo2、 2oo3和 2oo4等几种架构。鉴于安全性和可用性的兼顾,国内外主流
产品基本都是采用 (2oo3)三重化架构
? 其中,国内和利时、康吉森、浙大中控、 Tricon以及 Rockwell( ICS)都是采
用 2oo3架构,而黑马( HIMA)采用 QMR架构四重化( 2oo4D)
98
3、 SIS应用
3.4 SIS产品
? 和利时
? HiaGuard系统是和利时面向工业自动化安全应用自主开发的一套安全仪
表系统( SIS),该系统通过 TüV Rheinland的 SIL3认证,符合
IEC61508/61511/50156-1标准要求, HiaGuard系统可应用于要求完
全完整性等级为 SIL3及以下的安全相关应用
? HiaGuard系统采用带诊断的三取二架构( 2oo3D),适用于包括紧急
停车系统( Emergency Shutdown System,简称 ESD)、火气检测系
统( Fire&Gas System,简称 FGS)、燃烧炉管理系统( Burner
Management System,简称 BMS)、紧急跳闸系统( Emergency Trip
System,简称 ETS)、过程停车系统( Process Shutdown System,简
称 PSD)以及关键过程控制( Process Control)等应用
99
3、 SIS应用
3.4 SIS产品
? 和利时 HiaGuard SIS系统特点
? 适用于低操作模式,要求时的平均危险失效概率( PFDavg)可低至整个安全
回路的 10%以下,便于安全回路其他部件的选择
? 通讯模块支持冗余配置,可以提高系统可用性;同时通讯模块可以阻止外部网
络风暴和病毒对安全回路的影响。通讯模块失效,安全回路的安全性不受影响
? 控制器采用 TMR架构,三系控制器在物理上相互独立,最大限度减少共因失效;
单 I/O模块可达到 SIL3,为了实现更高的可用性, I/O模块允许冗余配置;机笼
供电采用 1+1冗余方式,冗余在每个模块内部实现,减少了共因环节,提高了
安全性与可用性
? 安全回路可用率可达到 99.999%;控制站内及控制站间的 SOE精度可达到 1ms;
单控制站最大规模支持 1184数字量点或 592模拟量点
? 组态软件符合 IEC61508-2010中对 T3工具要求,组态语言支持 FBD和 LD;可
以与 HollySys基本过程控制系统以太网层面实现无缝集成,共用 基本过程控制
系统以太网层面实现无缝集成,共用 HMI界面;支持通过 Modbus 与第三方的
基本过程控制系统实现集成
? 和利时 HiaGuard SIS系统容量
? 最大机笼数: 4个, 1个主机笼 3个扩展机笼
? 最大 I/O模块数量: 37对
? 最大开关量点数: 1184点,系统内全部为开关量模块
? 最大模拟量点数: 592点,系统内全部为模拟量模块
100
3、 SIS应用
3.4 SIS产品
? 浙江中控
? 安全仪表系统 TCS-900是面向工业自动化安全领域设计开发的高可用性
大型安全仪表系统( SIS)。该系统由获得 TüV Rheinland SIL3 认证且
符合 IEC61508 标准的特别设计的安全模块组成,因此可以使得应用简
单快速的符合 IEC61511标准
? 安全仪表系统 TCS-900系统可应用于有安全完整性等级 (SIL3及以下 )要求
的关键过程安全控制场合,包括紧急停车系统( ESD)、火灾及气体检
测系统( FGS)、燃烧管理系统( BMS)、大型透平压缩机控制( CCS)
等
101
3、 SIS应用
3.4 SIS产品
? 浙江中控 TCS-900系统特点
? 全冗余的三重化 (TMR)硬件容错表决( HIFT)结构模块,支持 3-3-2-0降级模式
? 采用五级 2oo3D表决架构,设置多级故障限制区
? 机架采用单模光纤扩展,最长扩展距离可达 10km
? 系统诊断功能覆盖到 99.9%
? 控制器、 I/O模块、 I/O端子板均经过 IEC61508 SIL3认证,组态软件 SafeContrix是通过 IEC
61508 SC3认证的 T3工具
? 支持在线热更换,支持双工作模式,实现卡件无扰动零时间切换
? 10mA电流信号、 1~ 5V DC/0~ 5V DC电压信号采用双路冗余电源供电,支持热插拔并具有丰
富的诊断功能
? 浙江中控 TCS-900系统结构
? 基本的 TCS-900系统硬件由工程师站和安全控制站构成
? 控制站由控制器模块、安全输入模块及其端子板、安全输出模块及其端子板、网络通信模块组
成
? 系统的控制器模块、网络通信模块和 I/O模块都安装在机架中, TCS-900系统的机架分为主机架
和扩展 /远程机架,主机架与扩展机架通过扩展通信模块和光纤电缆实现连接
? 现场仪表 I/O信号通过 I/O端子板和 DB电缆接入到 I/O模块的三组通道中
102
3、 SIS应用
3.5 SIS新发展
? 存在的问题
? 系统复杂,使用维护成本高、难度大
? 集中式安装,体积大, I/O扩展性受限
? 信息安全设计薄弱,不支持工业互联网应用
? 为满足对功能安全产品小型化、多样性的要求 ——分布式功能安全系统
? 集处理功能、 I/O功能、通讯功能、安全诊断功能、冗余容错等功能于一体,免维护
? 分布式,高速,可灵活扩展,体积小便于安装,环境适应强
? 按不同场景需要组合成不同 SIL等级的产品,易于使用,成本低
? 强大的通讯能力, OPC-UA满足信息安全,工业互联网应用
103
结束
? 谢谢聆听!
104
|
|
