安全仪表系统SIF应用中几个问题讨论

1、关于关于SIF & IEC 61511(GB T21109)王世煌讨论内容讨论内容 简化公式、事故树和Markov三种验证方法的具体应用和优缺点 共因失效的种类，怎么在验证中考虑共因失效，共因失效系数和D怎么确定？是否有推荐的数值可以采用，而不需做具体的分析，直接取这个值做验证计算 针对化工装置，SRS需要哪些内容 proven in use/ prior use都需要做些什么内容，SRS和验证是否需要这个内容 FGS安全等级的分析方法和验证方法 SIL验证验证-马尔可夫模型马尔可夫模型n 马尔可夫模型是一个决定复杂设备 (逻辑处理器)的安全可用度和可靠度之模拟方法n 它不建议用在整个安全仪表

2、系统或甚至单一的安全仪表功能的计算中n 马尔可夫模型采用状态转换图形，它是系统可靠度性能的图形化表示n 针对系统随时间表现出的可靠性行为建模n 系统被视作一系列状态单元，这些状态单元或者处于故障状态或者处于功能状态n 系统从整体上，可能存在许多状态n 如果一个状态单元处于故障或者维修，系统从一个状态“转移到”另一个状态简单的马尔可夫模型简单的马尔可夫模型1系统ok2系统失效失效率=0.01修复率=0.5马尔可夫计算的时间步骤马尔可夫计算的时间步骤1221121212121210.990.990.990.010.010.010.50.50.50.50.990.010.50.50.97030.00

3、980.004950.004950.004950.000050.00250.0025T=0T=1T=2T=3时间时间状态状态1状态状态201010.990.0120.98510.014930.98270.0173马尔可夫矩阵马尔可夫矩阵马尔可夫矩阵： = 15 . 099. 0=(1,1) = 1 outgoing transitions of state 1 = 1 (1,2) = outgoing transitions of state 1 = (2,2) = 1- outgoing transitions of state 2 = 1 (2,1) = outgoing transiti

4、ons of state 2 = 15 . 001. 05 . 099. 05 . 001. 0*5 . 099. 05 . 001. 05 . 099. 05 . 001. 0* .1oo2表决的马尔可夫模型表决的马尔可夫模型系统无故障运行由于故障，系统降级，但仍在运行由于多个故障，系统无法执行其设计功能2dd2oo3表决的马尔可夫模型表决的马尔可夫模型系统无故障运行由于故障，系统降级，但仍在运行由于多个故障，系统无法执行其设计功能3d2d1oo2D表决的马尔可夫模型表决的马尔可夫模型8Failed to function9Spurious trip1Normally Operating2D

5、egraded3Degraded4Spurious trip7Spurious trip6Failed to function5Failed to functionDU, CC TIDD+S, CC MTTR2DU TI2DD+SD MTTR MTTR2SUDU2 TIDD+SD MTTRDU TIDD+S2 MTTR对马尔可夫分析的评价对马尔可夫分析的评价n 马尔可夫分析的优点 非常详细 在一个模型中对系统完全描述 可以模拟维修 模拟顺序关连n 马尔可夫分析的缺点 分析过程复杂 模型建立困难，特别是由非专家确认检验，不过非专家也可进行该分析 模型可能会变得很大(存在大量的状态时) 总体上，对

6、于每个系统的变化，需要重新建立整个模型故障树分析范例故障树分析范例(1)(1)n 高放热反应高放热反应n 潜在的危害是什么潜在的危害是什么? ?n 后果是什么后果是什么? ?n 原因是什么原因是什么? ?n 此原因是否是基本事件此原因是否是基本事件? ?n 有什么保护措施有什么保护措施? ?FICTISHHH故障树分析范例故障树分析范例(1)(1)反应器爆炸失控反应破裂盘故障流量控制迴路故障温度联锁故障流量控制器故障流量控制阀故障热电偶及继电器故障紧急关断阀无法关闭3.6 x 10-4 F/YR 1.8 x 10-2 F/YR 0.02 probability of failure on de

7、mand0.3 F/YR 0.060.2 F/YR 0.1 F/YR 0.05 Probability of failure on demand0.01 Probability of failure on demand保护层2保护层1E/E/PES(SIS)故障树分析范例故障树分析范例(2)(2)SIL验证验证-简化方程式简化方程式n简化公式方法为工程师提供了依照IEC-61511而设计的安全仪表功能里的典型配置中所需估计的PFDAvg数学值要遵循的步骤。这个程序适用于SIL 1和SIL 2的安全仪表功能安全仪表功能安全仪表功能(SIF)表实例表实例安全仪表功能安全仪表功能名称名称/ /编号编

8、号 安全仪表功能说安全仪表功能说明明 危害危害/ /后果后果 安全仪表功能设计架构安全仪表功能设计架构 安全安全完整完整性等性等级级 MCR反应器保护/I-01 Causes:FIRSA-R0101低低流量；TIC R0107AD/TIC R0110AD高高温Effects:关断HV-R0101、PV-E0401；开HV-R0102、HV-R0102B(新增)大量补蒸汽 反应器催化剂失去流化，导致死床、闷床，严重时局部过热或飞温造成反应器烧穿，烯烃外泄造成火灾爆炸。 Sensor:Group 1:FIRSA-R0101 (1oo1)Group 2:TIC-R0107AD/TIC-R0110AD

9、 (3oo8)Group voting: 1oo2Final actuator:Group 1:HV-R0101、PV-E0401 (1oo2)Group 2:HV-R0102、HV-R0102B (1oo2)Group voting: 2oo2 SIL 2TIC-R0107AD/TIC-R0110AD(3oo8)FIRSA-R01011oo2 Logic solver(SIL 3)2oo2 1oo2 HV-R0101PV-E0401HV-R0102SIL 3SIL 1SIL 4SIL 2SIL 1SIL 1SIL 1SIL 验算验算(Verification)ISA TR84.00.02Se

10、nsor part:PFDavg,s1 = PFDavg,s1,i + PFDavg,s1,ccf = 0 + 1/2 DU t =0.50.0555010-917520 = 2.4110-4PFDavg,s2 = 1/2 DU t = 0.5360010-917520 = 3.1510-2PFDavg,s = PFDavg,s1 PFDavg,s2 = 2.4110-4 3.1510-2 = 7.5910-6 Logic Solver:PFDavg,L = 1/2 DU t = 0.524110-917520 = 2.1110-3 FE:PFDavg,v1 = 1/3 (DU1 DU2)t2

11、 = 1/3(322510-917520)2 = 1.0610-3PFDavg,v2 = 1/2 DU t = 0.5192510-917520 = 1.6910-2PFDavg,v = PFDavg,v1 + PFDavg,v2 = 1.0610-3 + 1.6910-2 = 1.810-2PFDavg = PFDavg,s + PFDavg,L + PFDavg,v = 7.5910-6 + 2.11 10-3 + 1.810-2 = 2.0110-2SIL 2 ? TIC-R0107AD/TIC-R0110AD(3oo8)FIRSA-R01011oo2 Logic solver(SIL

12、3)2oo2 1oo2 HV-R0101PV-E0401HV-R0102SIL 3SIL 1SIL 4SIL 2SIL 2SIL 21oo2 HV-R0102BSIL 2SIL验算验算-2PFDavg,v2 = 1/3 (1-)DU t)2 1/2 DU t = 1/3(0.95192510-9 17520)2 + 0.50.05192510-917520= 3.4210-4 + 8.4310-4 = 1.1910-3PFDavg,v = PFDavg,v1 + PFDavg,v2 = 1.0610-3 + 1.1910-3 = 2.2510-3PFDavg = PFDavg,s + PFDa

13、vg,L + PFDavg,v = 7.5910-6 + 2.11 10-3 + 2.2510-3= 4.3610-3 SIL 2 共同原因失效共同原因失效(CCF)共同原因失效：单一故障源导致一个系统内的多个部件故障。该故障源可能是系统内的，也可能是系统外的共同原因失效是由共同的根源导致的（类似）部件失效，而不是因系统中其它部件的失效连带引发的。根源是指共同的环境尘埃，空气湿度，无线电射频干扰等，还有例如共享一个电源停电、强烈的电磁或震动干扰、共处高热环境、系统设计不当失效、维修人为错误、多重通道之间未做隔离等例如：如果冷却风扇故障(单一点失效)，一个多信道PE系统的所有信道都可能故障，导致

14、共同原因失效。然而，并不是说所有信道以相同的速度变热，或有相同的临界温度。因此，不同的通道会在不同的时间失效（多样的：使用不同的技术，设备或设计方法来实现共同的功能，其用意是将共同原因故障减至最少）共因失效与随机失效及系统性失效之关系共因失效与随机失效及系统性失效之关系n 共同原因失效的解读一般仅限于硬件失效即与硬件制造商有最大关系的领域n 试图对系统性失效进行建模分析是不可行的(例如软件错误)n 危险共因失效率：危险共因失效率： DU + DDDn 防止共因失效的措施包括设计对策及人为管理对策等。将防止共因失效的措施包括设计对策及人为管理对策等。将 IEC 61508-6, Annex D,

15、 Table D.1 中对于已实行对策项目，进行积分的加总。中对于已实行对策项目，进行积分的加总。共同原因失效因子共同原因失效因子 (CCF Factor) (IEC 61508-6, Annex D, Table D.1)Failure channel 2Common Cause FailureCCFFailure channel 1共同原因失效因子共同原因失效因子(CCF Factor) (IEC 61508-6, Annex D, Table D.1)n = 不可能检测到的危险不可能检测到的危险失效失效的共因失效因子的共因失效因子值可由值可由 IEC 61508-6, Annex D,

16、Table D.4 查得查得 S值决定值决定 S = X + Y (X值与值与Y值可由值可由 IEC 61508-6, Annex D, Table D.1决定决定)n D=可能检测到的危险可能检测到的危险失效失效的共因失效因子的共因失效因子D值可由值可由 IEC 61508-6, Annex D, Table D.4 查得查得SD值决定值决定 SD= X (Z + 1) + Y (Z值可由值可由 IEC 61508-6, Annex D, Table D.2 & D.3 决定决定)规程 / 人机界面能力 / 培训 / 安全素养环境的控制环境测试分离 / 隔开多样性与冗余复杂性 / 设计 /

17、应用 / 老化 / 经验评估 / 分析及数据反馈防止共因失效的措施的评分项目共计8大类：决定共同原因失效因子决定共同原因失效因子(IEC 61508-6, Annex D, Table D.1 )决定共同原因失效因子决定共同原因失效因子(IEC 61508-6, Annex D, Table D.2 & 3 )决定共同原因失效因子决定共同原因失效因子(IEC 61508-6, Annex D, Table D.4 )IEC 61511/GB-T 21109 SIS安全生命周期管理安全生命周期管理功能安全管理、评估及稽核安全生命周期架构及规画危害及风险评估第8章分配安全功能至各保护层第9章操作及

18、维护第16章第6.2章系统除役第18章系统修改第17章分析阶段运转阶段第5章拟定安全仪表系统之安全需求规范第10及12章安装、试俥及确认第14及15章其它风险降低方法之设计及开发第9章安全仪表系统之设计及工程第11及12章第7、12.4及12.7章验证(强制评估点)实现阶段加氢饱和装置加氢饱和装置 HAZOP工艺偏离可能原因危害/后果既有防护措施严重性可能性风险等级改善建议高流量(氢气)高流量(低压蒸汽)低/无流量(C4) 1.FT/FIC/FV-1017故障开度过大或全开2.FT/FIC-1008故障高讯号3.AT/AIC-1001 H2 calculator失效1.TT/TIC-1019故

19、障讯号偏低，造成FIC-1019开度过大2.FT/FIC/FV-1019故障开度过大或全开3.LT/LIC-1014故障低讯号FT/FIC/FV-1008故障开度过小1.氢气高流量造成过度氢化反应，使副反应(丁烷)增加2.过度氢化反应导致R-103高温，严重时造成温度失控，高温烧破反应器导致泄漏，可能造成火灾爆炸。 氢化反应器烯烃聚合，导致催化剂结焦，严重时会造成热斑或温度失控，同R-103温度过高。 1.使副反应(丁烷)增加2.烯烃在R-103中偏流导致局部过热，严重时造成失控反应。R-103设有TT-10371048A/B/C(2oo3)高温报警及高高温报警并联锁关断UV-1026A、UV

20、-1026BR-103设有TT-10371048A/B/C(2oo3)高温报警及高高温报警并联锁关断UV-1029FALL-1013A/B/C联锁关断氢气进料UV-1026A/B、低压蒸汽UV-1029、E-106进料TV-1015A、旁路E-106 (开1015B)5552323431.TIC-1019增设高温报警2.建议将FV-1019纳入IS-1001终端关断器，修改为1oo2 Voting 可同时关断控制阀FV-1019与UV-1029 HAZOP结合保护层分析结合保护层分析(LOPA)123456789101112影响事件描述严重性等级引发原因引发可能性一般过程设计基本过程控制系统报

21、警附加减轻，限制进入独立保护层中间的事件可能性安全仪表功能完整性等级已减轻事件的可能性过度氢化反应导致R-103高温，严重时造成温度失控，高温烧破反应器导致泄漏，可能造成火灾爆炸。 5FT/FV-1017故障全开FT/FV-1019故障全开FT/FV-1008故障开度过小DCS故障 0.15/ year0.05/ year11110.110.10.1111.5E-3/ year5E-3/ year6.5E-3/ year 1.6E-3(SIL 2)1E-5/ year安全需求規範安全需求規範(SRS)-1SIF名称名称 IEC61511-1条文条文 ：10.3.1 a 选择性氢化第一级反应器R

22、-103保护回路 危害事件说明危害事件说明IEC61511-1条文条文 ：10.3.1 d C4进料FT/FIC-1008故障高讯号、R-103进料管在线AT/AIC-1001及H2 calculator失效、FT/FIC/FV-1017故障开度过大或全开等导致氢气补充气进料过高；或R-103入口TT/TIC-1019故障讯号偏低，造成FIC-1009开度过大、R-103预热器E-101冷凝罐D-107液位LT/LIC-1014故障低讯号、FT/FIC/FV-1019故障开度过大或全开等导致低压蒸汽热源供应过高，过度氢化反应造成R-103烯烃聚合，甚至催化剂结焦，严重时会造成温度失控。C4进料

23、FT/FIC/FV-1008故障开度过小，烯烃在R-103中偏流导致局部过热，严重时亦会造成温度失控。高温烧破反应器导致泄漏，可能造成火灾爆炸。安全需求規範安全需求規範(SRS)-2安全状态安全状态 IEC61511-1条文条文 ：10.3.1 c停进料/关出料/装置停车/排火炬起始事件起始事件 IEC61511-1条文条文 ：- FT/FIC/FV-1017故障全开；FT/FIC/FV-1019故障全开；FT/FIC/FV-1008故障开度过小操作模式操作模式 IEC61511-1条文条文 ：10.3.1 h低需求(Low Demand)SIF需求率需求率IEC61511-1条文条文 ：10

24、.3.1 e0.2/year 安全需求規範安全需求規範(SRS)-3SIL等级需求等级需求 IEC61511-1条文条文 ：10.3.1 hSIL 2 检验测试周期检验测试周期 IEC61511-1条文条文 ： 10.3.1 f 3 yearsSIF应答时间应答时间 IEC61511-1条文条文 ：10.3.1 g510sec工艺应答时间工艺应答时间 IEC61511-1条文条文 ：10.3.1 g5min保护方式保护方式 IEC61511-1条文条文 ：10.3.1 m失能(De-energize)安全需求規範安全需求規範(SRS)-4手动停车手动停车 IEC61511-1条文条文 ： 10

25、.3.1 l有 停机后复位停机后复位 IEC61511-1条文条文 ：10.3.1 n手动与基本过程控制系统与基本过程控制系统(BPCS)及其它系统关系及其它系统关系IEC61511-1条文条文 ：10.3.1 rDCS按钮(HS-1004B、HS-1011)，阀位状态(ZLO/ZLC-1026A、ZLO/ZLC-1026B、ZLO/ZLC-1029)讯号送至DCS显示高温报警(TAH-1037TAH-1048)及高高温报警(TAHH-1037A/B/CTAHH-1048A/B/C)、低低流量报警(FALL-1013A/B/C)讯号送至DCS显示工艺凌驾工艺凌驾POSIEC61511-1条文条

26、文 ：10.3.1 u开车期间以HS-1004B Bypass低低流量关断UV-1026A/B功能安全需求規範安全需求規範(SRS)-5传感器次系统传感器次系统 表决：1oo2 传感器群组1：TT-1037 A/B/C1048A/B/C 表决：1oo12传感器群组1.1：TT-1037 A/B/C表决：2oo3 联锁动作：高高温输出讯号至逻辑处理器(Safety PLC) IEC61511-1条文：条文：10.3.1 i 作动设定：108 IEC61511-1条文：条文：10.3.1 i共因失效来源：相同的组件、共同动力源、共同的接线线路、人为因素、类似的技术 IEC61511-1条文：条文：10.3.1 b Beta 共因失效因子：5% 检验测试覆盖率/测试条件：95% 类型：3-Wire RTD 传感器群组2 ：FT-1013A/B/C 表决：2oo3联