安全监测与控制系统培训课件

安全监测与控制系统左信

zuox@中国石油大学（北京）自动化系2011年11月•北京燕山

提纲一、背景及引言二、安全、风险及安全技术三、安全监测与控制系统四、功能安全及安全完整性等级五、安全生命周期管理与安全评估六、存在的问题及进一步工作重庆开县井喷事故2003年12月23日22时04分，中石油在四川开县的罗家16Ｈ井，在起钻过程中发生天然气井喷失控，从井内喷出的大量含有高浓度硫化氢的天然气四处弥漫、扩散，导致243人因硫化氢中毒死亡、2142人因硫化氢中毒住院治疗、65000人被紧急疏散安置、直接经济损失达6432.31万元的严重后果。重庆开县井喷事故重庆开县井喷事故由两位院士、五位教授级高级工程师组成的专家组经过5天的紧张工作，得出了事故原因的初步结论国家安全生产监督管理局副局长孙华山指出:有关人员对这口高产出的气井预测不足，对水平井钻井工艺还不够成熟，现场作业人员违章违规，在起钻过程中，泥浆的循环时间严重不足，又不按规定进行灌注，没有及时发现溢流的征兆，采取有效的措施，这些是产生井涌、井喷的直接原因。

孙华山说，有关人员违反有关规定拆除了在钻具中安装的回压阀，也就是防井喷的装置，导致了井喷的严重失控。井喷失控以后，没有及时对放喷管线实施点火，以致大量含有高浓度硫化氢的有害气体喷出，造成了这次事故的扩大和恶化。

事故原因公开报道当时井内的压力高达40兆帕，即正常大气压的400倍。地层压力大于井内液柱压力时，地层中的液体就像摇晃的香槟酒冲开瓶塞一样，把泥浆顶出来。其过程为泥浆溢流──井涌──井喷。即使井喷了，也是可以控制的防喷器防喷器自动封住井口，同样也可以控制井喷防喷装置一般有3种，一种是手动的，一种是油压的，还有是气压的。从发现溢流1.1立方到关井需要6分钟，但是有专家问:“关闭防喷器6分钟时间还不够吗？”发生事故的川东钻井公司无论技术还是设备，都是一流的。为什么罗家16号井在6分钟内没有封井。多位专家提示，这里是调查井喷失控的核心问题。一点火星或许就能挽救200多条性命为什么不在井喷后立即点燃？吉林石化双苯厂爆炸事故吉林石化双苯厂爆炸事故2005年11月13日深夜，吉林石化公司召开了新闻发布会称，吉林石化公司双苯厂爆炸原因初步查明，是由于该厂苯胺装置硝化单元发生着火爆炸，Ｔ－102塔发生堵塞，循环不畅，因处理不当造成。吉林省安全生产监督管理局牵头的事故调查组经分析一致认为：该事故直接原因是由于当班操作工停车时，疏忽大意，未将应关闭的阀门及时关闭，误操作导致进料系统温度超高，长时间后引起爆裂，随后引发爆炸。

质疑：报警？自动关闭系统？印度博帕尔(Bhopal)剧毒气体泄漏1984年12月3日凌晨，美国联合碳化物有限公司印度博帕尔农药厂，装有液态剧毒气体异氰酸甲酯的储罐内温度上升，压力过大，导致储罐泄漏，中和毒气的净化器失灵，自动点火装置失效，浓雾状毒气游移于博帕尔市内外，直至45吨剧毒气体泄漏殆尽。事故导致2万5千多人死亡，５万多人失明，２万多人受到严重毒害，近８万人终身残疾，５0多万人接受治疗，多达１５０余万受影响，约占博帕尔市总人口的一半。是有史以来最残酷的工业污染事故，是一起震惊世界的惨案。自动化与安全工业测控系统中仪表阀门控制器：本质安全防爆防辐射等工业测控系统中其他与安全有关的内容测量信号的报警故障诊断与报警计算机控制系统集中/分散结构冗余快稳准调节阀的选择风开/风关阀位限制控制系统中的低选/高选控制，连锁逻辑控制安全相关测量控制系统（暂时记为SrCS)很早就存在，使用得越来越多渐渐地形成一个独立的专用的SrCS如:ESDSIS随着对安全的重视，对SrCS要求越来越高

一、背景及引言自动控制系统的分类（按功能分类方法之一）生产运行控制系统：生产功能

基本过程控制系统BPCS(BasicProcessControlSystem)过程控制系统PCS(ProcessControlSystem)生产控制系统ProductionControlSystem安全保护控制系统：安全功能

安全仪表系统

SIS(SafetyInstrumentedSystem)安全控制系统SCS(SafetyControlSystem)安全保护控制系统SGCS(SafeguardControlSystem)

安全监测与控制系统SrCS(SafetyRelatedControlSystem)

目前：命名不统一不规范，SIS不够贴切比较通用

一、背景及引言仪表控制与安全的关系生产运行控制系统：BPCSPCS提高可靠性，减少事故隐患安全保护测控系统：SrCSSIS

安全监测故障诊断与报警安全控制（人工/自动）应急调度指挥中心问题：

如何合理设置SrCS?一、背景及引言IEC615081998年发布GB/T204382007-01-01实施IEC615112003年发布GB/T211092007-12-01实施二、安全、风险及安全技术

安全的定义：定义:不存在不可接受的风险

GB/T21109-1:p13

绝对安全不存在不可控，安全与风险并存风险的定义：

定义：出现伤害的概率与该伤害严重性的组合

GB/T21109-1:p13

风险=发生概率*造成后果允许风险：根据当前社会水准，在给定的环境内能够接受风险

风险标准：装置车间分厂公司企业国际过程风险:由于过程、BPCS系统和相关人员因素而存在的发生

特定危险事件的风险（GB/T21109-3:p3）

残余风险：增加安全保护功能(如SIS)后发生特定危险事件的风险二、安全与风险及安全技术GB/T2110920438风险降低：通用概念

二、安全与风险及安全技术安全保护层(自动化)ZX

：第一级第一级：本质安全设计第二级：可靠控制系统第三级：多重隔离措施第五级：安全管理体系第四级：监测处理手段第六级：沟通联动机制第二级第三级第四级第五级第六级中国化工集团公司六级安全管理防护体系二、安全、风险及安全技术风险降低与安全技术按照专业领域从四个方面做工作ZX：（1）工艺原料/产品等的毒性/爆性；生产工艺的安全性协调性等（2）设备机械强度，耐压、磨损、腐蚀等（3）电控

BPCS系统的可靠性/专门的安全保护自动控制系统

（4）管理法规的制定与执行人员的培训等三、安全监测与控制系统安全监测与控制系统的内容ZX安全相关变量的测量显示与报警生产运行状态的故障诊断与预警监测的含义执行安全保护功能的自动控制系统各级应急指挥调度中心自动化相关系统SrCS系统其功能的实现手段ZX

：

（1）DCS/SCADA/PLC风险小，可靠性要求低时（2）SIS/ESD/F&G风险大，可靠性要求高时（3）综合使用DCS/SIS可降低总成本三、安全监测与控制系统安全监测与控制系统的特点ZX（1）目的是减少危险，而不是保证生产运行产品合格；（2）对测量环节要求更多功能、更智能、更实时，长期不停运行状态；（3）对控制器和执行单元要求更快、执行单元长期处在备用状态；（5）对控制器，更多的是逻辑控制，也有连续控制（少），理论性少；（4）对测量、控制、执行及辅助系统(通讯、供电等)可靠性要求更高。安全功能SafetyFunction

针对特点的危险事件，为达到和保持过程的安全状态，由

SIS、其他技术安全相关系统或外部设施实现的功能(21109-1:p13)功能安全FunctionalSafety

SrCS本身的安全性（如仪表的本质安全，无辐射等）

SrCS的安全功能是完整的、可靠的（功能是安全的）(21109-1:p8)安全仪表系统SIS(SafetyInstrumentedSystem)

用于实现一个或多个安全功能的仪表及仪表系统包括：传感器、逻辑解算器和最终单元。SIS广义/狭义安全仪表功能SIF((SafetyInstrumentedFunction)SIS系统所实现的安全功能。21109译为“仪表安全功能”

ZX:

存在“[非]安全仪表的[非]安全功能”

多种组合四、功能安全及安全度等级安全完整性SafetyIntegrity

在规定的时间内、在所有规定的条件下,成功

实现所要求的安全功能的平均概率(21109-1:p14)安全完整性等级：SIL(SafetyIntegrityLevel)

简称：安全度等级定义：一种离散的等级，用于规定分配给SIS的安全仪表功能的

完整性要求(21109-4:p14)作为衡量安全功能重要因素，是安全系统的核心.ZX:可理解为整体可靠性代表着使过程风险降低的数量级SIS的操作模式：要求模式/连续模式要求操作模式/连续操作模式要求时平均失效概率：PFDavg(averageProbabilityofFailureonDemand)

注意：Fault/Failure故障/失效用失效更好,故障了可能还可以用连续时危险失效概率：PDFperhour(ProbabilityofDangerousFailure)四、功能安全及安全度等级SIL等级与PFD、PDF的关系：

四、功能安全及安全度等级SILPFDaveragePDFperhour4≧10-5~﹤10-4≧10-9~﹤10-83≧10-4~﹤10-3≧10-8~﹤10-72≧10-3~﹤10-2≧10-7~﹤10-61≧10-2~﹤10-1≧10-6~﹤10-5安全生命周期SafetyLifeCycle

安全仪表功能实现过程中所发生的所有的必要活动

(21190:1p15)

安全生命周期图GB/T20438

：包括了系统的概念、范围定义、风险分析、安全分配要求、计划编制、设计与实现、安装试运行、操作维护修改、停用等。安全生命周期图GB/T21109：过程危险与风险分析、安全功能分配、安全要求规格确定、工程设计、安装调试确认、运行维护、修改和停用等。安全生命周期是用系统的方式建立的一个框架，用以指导安全仪表系统的需求分析、设计和评价等所有活动。五、安全生命周期管理及安全评估GB/T20438-1:p6安全生命周期框图

五、安全生命周期管理及安全评估GB/T21109-1:p20安全生命周期框图

五、安全生命周期管理及安全评估功能安全管理、功能安全评估和审核第5章安全生命周期结构和计划编制6.2

危险和风险评估（第8章）1

给保护层分配安全功能（第9章）2SIS安全要求规格书（第10章和第12章）3SIS设计和工程（第11章和第12章）4其他风险降低方法的设计和开发（第9章）SIS安装、调试运行和确认（第14章和第15章）5SIS操作和维护（第16章）6SIS修改（第17章）7SIS停用（第18章）8SIS验证第7章、12.4和12.79

阶段1

阶段2

阶段3

阶段4

阶段5安全生命周期各阶段及工作内容：1.过程危险与风险评估（按GB/T21109的要求至少进行一次）组织或参与进行PHA/HAZOP分析确定生产过程及BPCS基本控制系统的危险事件及相关联的风险确定达到必要风险降低所需要的安全功能确定每个安全功能是否需要安全仪表功能2.安全功能保护层分析与功能分配进行LOPA保护层分析,给保护层分配安全功能确定所需要的安全仪表功能(SIF)确定每个安全仪表功能所要求的安全度等级(SIL定级）SIL定级方法：风险图、风险矩阵、LOPA分析等；定性/定量方法五、安全生命周期管理及安全评估安全生命周期各阶段及工作内容：3.确定SIS设计安全要求规格规定SIS设计应达到的安全要求及技术规格描述每个安全仪表功能及安全要求确定SIS运行模式、启用条件、停机复位、检验测试间隔等要求规格分析和识别失效模式、共因失效及相关要求

4.SIS系统的设计及安全度等级核算SIS系统的工程设计仪表选型等SIS系统每一个SIF的安全度等级核算（SIL核算）

5.SIS系统的安装运行和确认

6.SIS系统的操作和维护

7.SIS系统的修改或停用五、安全生命周期管理及安全评估整体安全生命周期也可以分为三个大阶段ZX：需求分析阶段21109规定的阶段1设计实现阶段21109规定的阶段2+3运行维护阶段21109规定的阶段4+5风险分析与评估按GB/T21109要求至少进行一次SIS功能安全评估

越早越好功能安全评估可能存在于安全生命周期的各阶段可以考虑各个阶段执行多次功能