《SIS交流材料》PPT课件.ppt

,第二届煤化工仪表技术交流研讨会SIS交流材料,2017年11月,目录一、SIS相关标准、法规、条文二、SIS评估 1、SIS生命周期 2、保护层 3、SIL定级 4、SIL验证 5、硬件故障裕度（结构约束、冗余容错）6、与现场仪表有关的问题,一、SIS相关标准、法规、条文,GB/T50770 石油化工安全仪表系统设计规范GB/T21109(IEC61511)过程工业领域安全仪表系统的功能安全GB/T20438(IEC61508)电气/电子/可编程电子安全相关系统的功能安全GB/T50493 石油化工可燃气体和有毒气体检测报警设计规范GB16808(IEC61779)可燃气体报警控制器GB/T50116 火灾自动报警系统设计规范HG/T20511 信号报警及联锁系统设计规范石油化工安全仪表系统完整性等级设计规范（正在编审）,中华人民共和国安全生产法AQ3013 危险化学品从业单位安全标准化通用规范AQ/T3054 保护层分析（LOPA）方法应用导则国务院安委办【2008】26号文关于进一步加强危险化学品安全生产工作的指导意见安监总管三【2009】116号关于公布首批重点监管的危险化工工艺目录的通知,一、SIS相关标准、法规、条文,安监总管三【2010】186号关于危险化学品企业贯彻落实国务院关于进一步加强企业安全生产工作的通知的实施意见安监总管三【2013】3号关于公布第二批重点监管的危险化工工艺目录和调整首批重点监管危险化工工艺中部分典型工艺的通知安监总管三【2013】88号关于加强化工过程安全管理的指导意见,一、SIS相关标准、法规、条文,安监总管三【2014】94号关于加强化工企业泄漏管理的指导意见安监总管三【2014】116号关于加强化工安全仪表系统管理的指导意见安监总管三【2015】113号关于印发化工（危险化学品）企业安全检查重点指导目录的通知,一、SIS相关标准、法规、条文,AQ3013第5.5.2.2 条，企业应确保安全设施配备符合国家有关规定和标准，在工艺装置上可能引起火灾、爆炸的部位设置超温、超压等检测仪表、声、光和/或报警安全联锁装置的设施。,一、SIS相关标准、法规、条文,国务院安委办【2008】26号文(14)，改造提升现有企业，逐步提高安全技术水平。技术自动控制水平低的重点企业要制定技术改造计划，加大安全生产投入，完成自动化控制技术改造，通过装备集散控制和紧急停车系统，提高生产装置自动化控制水平。新建的涉及危险工艺的化工装置必须装备自动化控制系统，选用安全可靠的仪表、联锁控制系统，提高装置安全可靠性。,一、SIS相关标准、法规、条文,安监总管三【2010】186号(11)，大力提高工艺自动化控制与安全仪表水平。新建大型和危险程度高的化工装置，在设计阶段要进行仪表系统安全完整性等级评估，选用安全可靠的仪表、联锁控制系统，配备必要的有毒有害、可燃气体泄漏检测报警系统和火灾报警系统，提高装置安全可靠性。工艺技术自动控制水平低的重点危险化学品企业要制定技术改造计划，尽快完成自动化控制技术改造，通过装备基本控制系统和安全仪表系统，提高生产装置本质安全化水平。,一、SIS相关标准、法规、条文,国家安监总局分别在【2009】116号和【2013】3号文件中，分两次明确了危险化工工艺目录和每种工艺对应的安全联锁回路的要求。,一、SIS相关标准、法规、条文,安监总管三【2013】88号(十七)，企业要在风险分析的基础上，确定安全仪表功能（SIF）及其相应的功能安全要求或安全完整性等级（SIL）。企业要按照过程工业领域安全仪表系统的功能安全（GB/T21109）和石油化工安全仪表系统设计规范的要求，设计、安装、管理和维护安全仪表系统。,一、SIS相关标准、法规、条文,安监总管三【2014】94号(八)，完善自动化控制系统。涉及重点监管危险化工工艺和危险化学品的生产装置，要按安全控制要求设置自动化控制系统、安全联锁或紧急停车系统和可燃及有毒气体泄漏检测报警系统。紧急停车系统、安全联锁保护系统要符合功能安全等级要求。,一、SIS相关标准、法规、条文,安监总管三【2014】116号（一），化工安全仪表系统（SIS）包括安全联锁系统、紧急停车系统和有毒有害、可燃气体及火灾检测保护系统等。安全仪表系统独立于过程控制系统（例如分散控制系统等），根据安全仪表功能失效产生的后果及风险，将安全仪表功能划分为不同的安全完整性等级（SIL1-SIL4，最高为4级）。,一、SIS相关标准、法规、条文,GB50770/IEC61511：SIS定义：用于执行一个或多个SIF的仪表系统，由传感器、逻辑控制器、最终元件构成。SIF是指为防止、减少危险事件发生或保持过程安全状态，用测量仪表、逻辑控制器、最终元件及相关软件等实现的安全保护功能或安全控制功能。GDS与火灾检测保护系统应独立于基本过程控制系统，GDS设备不需要具有SIL认证，除非是在SIF回路中。另外要求可燃报警器要有CCCF认证，可燃气体探测报警系统应独立于火灾探测报警系统。,一、SIS相关标准、法规、条文,安监总管三【2014】116号（四），设计安全仪表系统之前要明确安全仪表系统过程安全要求、设计意图和依据。要通过过程危险分析，充分辨识危险与危险事件，科学确定必要的安全仪表功能，并根据国家法律法规和标准规范对安全风险进行评估，确定必要的风险降低要求。根据所有安全仪表功能的功能性和完整性要求，编制安全仪表系统安全要求技术文件。,一、SIS相关标准、法规、条文,安监总管三【2014】116号（五），规范化工安全仪表系统的设计。严格按照安全仪表系统安全要求技术文件设计与实现安全仪表功能。通过仪表设备合理选择、结构约束（冗余容错）、检验测试周期以及诊断技术等手段，优化安全仪表功能设计，确保实现风险降低要求。要合理确定安全仪表功能（或子系统）检验测试周期，需要在线测试时，必须设计在线测试手段与相关措施。,一、SIS相关标准、法规、条文,安监总管三【2014】116号（十一），严格按照相关标准设计和实施有毒有害和可燃气体检测保护系统，为确保其功能可靠，相关系统应独立于基本过程控制系统。安监总管三【2014】116号（十二），从2016年1月1日起，大型和外商独资合资等具备条件的化工企业新建涉及“两重点一重大”的化工装置和危险化学品储存设施，要按照本指导意见的要求设计符合相关标准规定的安全仪表系统。,一、SIS相关标准、法规、条文,安监总管三【2014】116号（十三）从2018年1月1日起，所有新建涉及“两重点一重大”的化工装置和危险化学品储存设施要设计符合要求的SIS。其他新建化工装置、危险化学品储存设施安全仪表系统，从2020年1月1日起，应执行功能安全相关标准要求，设计符合要求的安全仪表系统。,一、SIS相关标准、法规、条文,安监总管三【2014】116号（十四），涉及“两重点一重大”在役生产装置或设施的化工企业和危险化学品储存单位，要在全面开展过程危险分析（如危险与可操作性分析）基础上，通过风险分析确定安全仪表功能及其风险降低要求，并尽快评估现有安全仪表功能是否满足风险降低要求。安监总管三【2014】116号（十五），企业应在评估基础上，制定安全仪表系统管理方案和定期检验测试计划。对于不满足要求的安全仪表功能，要制定相关维护方案和整改计划，2019年底前完成安全仪表系统评估和完善工作。其他化工装置、危险化学品储存设施，要参照本意见要求实施。,一、SIS相关标准、法规、条文,一、SIS相关标准、法规、条文,安监总管三【2015】113号，共有40条安全检查重点指导目录，其中有4条与仪表专业有关（分别是第19、20、21、22条）,二、SIS评估,1、SIS生命周期 三个阶段：分析阶段（风险分析、SIF辨识、SIL定级）；实施阶段（设计、安装、调试）；操作阶段（操作、维护、修改）。主要介绍一阶段的工作 危险分析：辨识出危险和危险事件（危险是固有的物理或化学特性，具有对人员、财产、环境造成损伤的潜在的可能）；风险评估：对危险分析中辨识出来的危险事件进行风险等级划分（风险是危险事件发生的频率或概率与该事件的严重性或后果的乘机）；,二、SIS评估,SIF辨识：如果评估出来的风险大于工厂可接受的风险，那么这高出来的风险是否可以通过仪表以外的其他措施进行预防或减轻？如果可以（如报警、安全阀、围沿等措施），就不需要SIF；如果不可以，需要仪表采取措施来降低风险，就辨识出了SIF；SIL定级：指定由仪表承担的所有安全功能（即安全仪表功能SIF），需要确定所需要的性能水平，相关标准把他定义为安全完整性等级（SIL）。,2、保护层,二、SIS评估,保护层：预防保护层、减轻保护层。预防保护层：工艺装置设计、过程控制系统、报警系统、操作规程、SIS、物理保护措施；减轻保护层：封闭系统、洗涤设备和火炬、火气系统、应急疏散程序。,二、SIS评估,二、SIS评估,3、SIL定级,安全完整性等级和低要求模式系统所需的安全性能化水平,二、SIS评估,SIL定级假如在其他防护层已经没法降低事故风险时，这个空缺就需要SIF 来弥补，在SIF 弥补时，不但要考虑这个SIF 的功能性，还需要这个SIF 的保护效果(PFD)，确定一个SIF的PFD，然后根据PFD，确定SIL等级。定级时间在项目初步设计结束后（依据PFD、PID）。,二、SIS评估,定级原则：合理尽可能低的原则（ALARP）;定级方法：风险矩阵、风险图、保护层分析（LOPA）。风险矩阵和风险图法都是定性的确认SIL等级的方法，LOPA是半定量确定SIL的方法。,二、SIS评估,下面重点介绍LOPA法LOPA法：每个保护层都对应了一个安全性能水平或称风险降低能力，如果知道了整体安全目标（可容忍的风险水平）、初始风险水平、有多少保护层用于防止或减轻该危险事件的风险、以及每个保护层的安全性能水平，就可以计算或确定是否达到了风险事件的整体目标要求。,二、SIS评估,二、SIS评估,二、SIS评估,LOPA举例一个储罐用于存储易燃性物料己烷。液位控制由液位控制器操作阀门开度实现，如果储罐过量充装导致溢出，己烷将通过液相排放管释放到储罐周边，并拦截在围堰内。危险分析表明，液位控制器可能失效、己烷可能释放到围堰之外、可能存在点火源会将己烷点燃、并可能导致人员死亡。,二、SIS评估,二、SIS评估,企业建立了以年计的可容忍风险限度，其中火灾为1*10-4次/年，单人死亡为1*10-5次/年。本场景的触发事件为控制系统失效，估计发生频率为1*10-1次/年。仅有的保护层是围堰，估计其PFD值为1*10-2次/年。分析者采取了保守的观点，认为一旦物料溢出到围堰外，100%会遇到火源。不过这一区域并不是总有人值守，在危险事件发生时，有人出现在该区域的频率估计为50%。火灾发生时，在场人员丧生的概率估计为50%。,二、SIS评估,下图展示了这一场景的事件树。,二、SIS评估,场景发生的频率计算公式：,依据公式，可以计算出发生火灾的概率是1*10-3（0.1*0.01*1.0）；造成人员死亡的概率是2.5*10-4（0.1*0.01*1.0*0.5*0.5）。与企业的火灾风险目标值对比，不能满足目标要求，有10倍的差距（1*10-3/1*10-4）；与企业死亡风险目标值相比，也不能满足要求，有25倍的差距（2.5*10-4/1*10-5）。,二、SIS评估,解决方案增加一套单独的高液位停车功能，这样的功能需要至少减少风险25倍，才能满足企业整体目标要求。对照表“安全完整性等级和低要求模式系统所需的安全性能化水平”，风险降低因数25落在SIL1范围内。,二、SIS评估,二、SIS评估,4、SIL验证验证目的确定SIF回路是否达到SIL定级时的安全完整性要求的级别。验证时间在设计院进行SIF设计结束后，仪表采购前，进行SIL等级验证，验证结束后，才能进行采购。,二、SIS评估,失效模式：系统有两种失效模式，分别是安全失效（误停车）、危险失效（拒动作）。,SIL验证步骤查找SIF回路中包含的传感器、逻辑控制器、最终元件等器件相关的型号、规格，根据国际上可信的数据库确定各器件检测到的危险失效率（DD）、未检测到的危险失效率（DU）、检测到的安全失效率（SD）以及未检测到的安全失效率（SU）；,二、SIS评估,几种典型回路中未被检出的危险失效概率和误动作率的简易计算见下表：,二、SIS评估,表中的T是人工检验测试时间间隔，从表中PFDAVG计算公式可以看出，T对未被检测出来的危险失效概率影响非常大，系统的检验测试时间间隔越短（检验测试越频繁），系统未被检出的危险失效概率越低，安全可靠性越高。,二、SIS评估,SIF回路的PFD计算 把SIF 回路上各元器件的PFD 相加，得出整个回路的PFD，然后与SIL 等级的PFD 进行对比，假如小于要求的PFD，则PFD 合格。PFDAVG=PFDSE+PFDLS+PFDFE,二、SIS评估,综合确定SIF回路的SIL等级 只有以下三个要求都满足的时候，才能保证在设计阶段，SIF 回路的SIL等级满足评估阶段SIL定级的要求：1.SIF回路的总PFD小于SIL 定级的PFD值；2.逻辑计算器满足结构约束的冗余要求；3.传感器与执行部件满足结构约束的冗余要求。,二、SIS评估,5、硬件故障裕度（结构约束、冗余容错）根据IEC61511（GB/T21109），安全系统的传统设计方法是保证任何单一的故障不会造成预定功能丧失，所以要求安全系统的传感器、逻辑解算器和最终元件应具有最低的硬件故障裕度。为减轻SIF设计中的潜在缺陷，定义了最低硬件故障裕度,见下表。,二、SIS评估,二、SIS评估,安全失效分数（SFF）用于描述设备中存在的未被检测出危险失效量值大小的一种方式。SFF=(SD+SU+DD)/总 总=SD+SU+DD+DU(失效诊断：提高安全系统的诊断能力即诊断覆盖率，可以有效地改进系统的安全性能。换句话说，就是可以降低PFD，或者说提高RRF。）,二、SIS评估,二、SIS评估,举例说明冗余对系统失效概率的影响(以继电器触点搭接的逻辑回路为例)安全失效继电器触点自主打开使系统输出失电，引发误停车，假设这种模式下的失效概率是0.04；危险失效继电器触点粘连，需要动作时打不开，假设这种失效模式下的失效概率是0.02。,二、SIS评估,冗余的影响,二、SIS评估,结论：1oo2系统是很安全的（危险失效概率最低），但是与1oo1系统相比有两倍的误关停概率（安全失效率较高）；2oo2系统能够很好地防止误停车（安全失效概率最低），但是与1oo1系统相比有两倍的拒动作概率（危险失效率提高了一倍，安全性能降低了一半）；2oo3系统比2oo2系统有较高的误停车率（安全失效概率较高），比1oo2系统有较高的危险失效概率（拒动作概率较高）；2oo3系统达到了安全失效和危险失效较好的平衡。,二、SIS评估,6、与现场仪表有关的问题独立设置原则SIL1：测量仪表可与基本过程控制系统共用，控制阀可与基本过程控制系统共用，应确保SIS的动作优先；SIL2：测量仪表宜与基本过程控制系统分开，控制阀宜与基本过程控制系统分开；SIL3：测量仪表应与基本过程控制系统分开，控制阀应与基本过程控制系统分开；,二、SIS评估,冗余原则SIL1：可采用单一测量仪表、单一控制阀；SIL2：宜采用冗余测量仪表、冗余控制阀；SIL3：应采用冗余测量仪表、冗余控制阀；,二、SIS评估,选型建议技术多样性，避免共因失效（通过采用冗余架构，不能防止共因失效的发生，而利用多样性冗余，可以有效地减少共因失效）；安全仪表，提高仪表的诊断能力；满足相应的安全完整性要求(取得相应的SIL等级认证或经“先验使用”确认)。,二、SIS评估,现场仪表对系统性能的影响以一个简单的1oo1联锁回路为例，该联锁回路由压力传感器、继电器逻辑单元、电磁阀以及关断阀组成，拟用于SIL1的应用场合。检验测试时间间隔为每年一次。对回路中每一个非冗余部件进行PFDavg计算PFDavg=d*T1/2其中，d部件的危险失效率 T1部件的检验测试时间间隔=1/MTTF(平均无失效时间),二、SIS评估,检验测试时间间隔T1对SIL的影响检验测试能有效的降低未被检测出的失效发生的概率，缩短T1，意味着降低了PFDavg，即增大了SIL。另外，改进仪表设备的诊断能力，可以有效地降低对周期性维护和人工测试的需求。因为仪表设备的诊断能力提高了，相当于降低了未被检测出的失效率。,二、SIS评估,二、SIS评估,二、SIS评估,依据上表，系统的整体风险降低因数（RRF，即1/PFD）是16，现场仪表对整个回路安全性能的影响是92%。一般情况，现场仪表的失效通常占系统失效的大约90%，逻辑控制器对整个系统安全性能的影响很小。在整个系统的组成单元里，最终元件一般具有最高的失效率，因为他们是直接接触严酷的工艺流程的机械设备。,谢 谢！,