安全仪表系统及其功能安全课件

安全仪表系统及其功能安全中国石化青岛安全工程研究院储运及安控技术研究室

二〇〇九年九月安全仪表系统及其功能安全中国石化青岛安全工程研究院二〇〇九年

一、安全仪表系统

二、功能安全

三、国内外进展

四、SIL等级确定与评估

五、前期工作

六、石油化工行业功能安全现状

七、下一步计划

一、安全仪表系统

二、功能安全

三、国内外进展

四

一、安全仪表系统（一）相关概念

安全相关系统（SRS）SafetyRelatedSystem用于安全目的的系统称之为安全相关系统。安全相关系统的作用是监视生产过程的状态，在出现危险条件时采取相应措施，防止危险发生或者减轻危险造成的后果，避免潜在风险对人身、设备、环境造成伤害。安全相关系统在工业生产和日常生活中随处可见，如安全帽、安全阀、紧急停车系统、汽车的安全气囊等等。

一、安全仪表系统安全仪表系统（SIS）SafetyInstrumentedSystem--紧急停车系统（ESD）--火/气保护系统（F&G）--安全联锁系统（SIS）--燃烧炉控制系统（BMS）--高压保护系统（HIPPS）--安全仪表系统是静态的、被动的，不需要人为干预。在危险情况出现时必须能够由静变动，正确完成其功能。安全仪表系统设计目标—正确的功能和良好的可靠性。安全仪表系统（SIS）SafetyI

基本过程控制系统（BPCS）BasicProcessControlSystem--基于DCS--基于PLC的监控系统--基于SCADA--基于常规仪表控制系统--基本过程控制系统是活动的、动态的，需要人工频繁的干预。使生产过程的温度、压力、液位、流量等工艺参数维持在规定的范围之内，以保证产品的产量与质量。安全仪表系统及其功能安全课件安全仪表系统及其功能安全课件安全仪表功能SIFSafetyInstrumentedFunction--每个SIF针对特定的风险--每套SIS可以执行多个SIF--安全功能和安全仪表功能--危险出现时，要求SIS正确执行对应的SIF安全仪表功能SIF（二）作用

监视生产过程的状态，在出现危险的条件时，自动执行其规定的安全仪表功能，防止危险事件发生，或减轻危险事件造成的影响。（二）作用

安全仪表系统在保护层中的位置层次名称说明第一层过程设计过程设计中实现本质安全工厂

第二层基本过程控制系统（BPCS）如DCS，以正常运行的监控为目的第三层区别于BPCS的重要报警操作员介入需要有一定的必要余度时。

第四层安全仪表系统（SIS）系统自动地使工厂安全停车。第五层物理防护层（一）安全阀泄压、过压保护系统第六层物理防护层（二）将泄漏液体局限在局部区域的防护堤第七层工厂内部紧急应对计划工厂内部的应急计划第八层周边区域防灾计划周边居民、公共设施的应急计划安全仪表系统在保护层中的位置层次名称说明第一层过1保护层模型（洋葱模型）社区紧急响应全厂紧急响应物理防护(防护堤)物理防护(释放设备)SIS自动动作关键报警,操作员监控,人工干预基本控制,工艺报警,操作员监控工艺设计LAH1ILOPALayerofprotectionanalysis1保护层模型（洋葱模型）社区紧急响应全厂紧急响应物理防护(减轻预防SISBPCS减轻预防SISBPCS

（三）标准定义关键词：安全功能传感器逻辑运算器执行元件

ANSI／ISAS84.01—1996Applicationofsafetyinstrumentedsystemsfortheprocessindustries

由传感器、逻辑控制器及终端元件组成的系统，其目的是出现故障时，将过程处于安全状态。

SH/T3018-2003石油化工安全仪表系统设计规范

用仪表实现安全功能的系统。系统包括传感器，逻辑运算器，最终执行元件及相应软件等。

IEC

61511

（GB/T20119）

Functionalsafety:

safety

instrumented

systems

for

the

process

industry

sector

用来完成一个或多个安全仪表功能的仪表系统。安全仪表系统由传感器，运算器和最终元件组合而成。

二、功能安全（一）典型事故印度—博帕尔(BHOPAL)1984年12月3日剧毒气体泄漏:异氰酸甲酯MethylIsocyanate二、功能安全联碳(印度)有限公司联碳(印度)有限公司泄漏气体：异氰酸甲酯MethylIsocyanate6套安全系统无一起作用>3000人因吸入剧毒气体死亡(41吨)>500,000人受到影响没有逃生计划由于没有察觉和准备、没有接受培训，应急响应失效>20,000人死亡>120,000人仍然遭受疾病困扰化工厂最为严重的事故2005年8月,>+20,000人因此死亡泄漏气体：异氰酸甲酯MethylIsocyanate201994年7月英国Millford炼厂（Shell）安全仪表系统及其功能安全课件20吨可燃气体泄漏（从火炬放空罐）爆炸相当于4吨烈性炸药26人伤亡$7500万重建$320,000罚金和$200,000诉讼费20吨可燃气体泄漏（从火炬放空罐）安全仪表系统及其功能安全课件

2004年7月30日GAStransport（气体输送）-比利时

©HIMA2008气体管线爆炸Gellingen-比利时

2004.07.3024人死亡132人受伤©HIMA2008气体管线爆炸24人死亡安全系统已经发现泄漏，提示停影响后续电厂，当地市区30%电力坚持运转，七人一组寻找漏点一组找到漏点，恰逢燃爆，当场全部死亡仅有安全系统是不够的安全系统已经发现泄漏，提示停

2005年10月10日英国Buncefield储油终端爆炸和火灾事故英国Buncefield储油终端爆炸和火灾事故爆炸和大火从2005年12月11日早6点开始，直至13日的下午才完全扑灭。

共有8人遇难和43人受到严重伤害。希思罗机场（HeathrowAirport）30％的航空用油由该油库供应。由于其中通讯公司设施的损坏，影响了大范围互联网用户的业务。由于大量泡沫灭火剂的使用，对地下水构成了威胁。由于对公众的伤害，导致了大量的法律诉讼，即使到2009年6月，仍有与该事故有关的诉讼案件在法院开庭。2005年10月10日晚7时，开始向912＃储油罐输入无铅汽油。午夜时分，对储罐的液位进行检查，没有发现异常。11日凌晨3时左右，912＃罐的液位不再变化，但此时仍在以550m3/h的流量泵入汽油。计算表明，在5时20分储罐冒顶并开始溢出，到6时爆炸发生前的40分钟，大约有300吨汽油从罐壁流向地面。在罐的周围有半封闭的围堰，溢流出的汽油拦在了围堰内，但在油面形成了1到2米厚的油气云团，并向四周扩散。没有证据找出准确的点火源，不排除应急发电机和消防泵系统。

安全仪表系统及其功能安全课件安全仪表系统及其功能安全课件

1988年7月6日

PiperAlpha采油平台意外事故

（西方石油OccidentalPetroleum）安全仪表系统及其功能安全课件

PiperAlpha采油平台投产于1976年，起初只生产石油。到1980年代，增加了天然气开采。通过海管将油气输送Flotta石油终端。在PiperAlpha平台的周围，还有Claymore平台、Tartan平台，以及天然气处理平台MCP-01。PiperAlpha平台日产原油12.5万桶，是北海油田生产量最大的平台，油气产量占北海油田的10％左右。爆炸和火灾意外事故时，共有226人在平台上。PiperAlpha平台被爆炸和大火摧毁，共导致167人丧生，合计保险损失34亿美元。PiperAlpha采油平台投产于1976年，平台上有2-G-100A和2-G-100B两台LPG凝液泵，在泵的出口各装有一个安全阀，PSV504和PSV505。对A泵进行检修，B泵维持生产。另一张检修工作票－对PSV504安全进行校验。发生爆炸时，因防火墙当初按照火灾而非爆炸设计，碎片又摧毁了一些凝液管道，引发火灾。自动灭火系统正处于手动启动状态。控制室失去功能，广播系统不能发布撤退指令；大火阻止了前往救生艇的通路。PiperAlpha处于灾难之中时，Claymore和Tartan仍通过海管向其泵入油气。操作规程不允许轻易地停产，停车成本非常高。从1988年到1990年，通过对事故的调查和研究，给出了106条建议，改进生产的操作规程和安全管理程序。平台上有2-G-100A和2-G-100B两台LPG凝液泵，安全仪表系统及其功能安全课件2005年12月13日中国石油吉林石化分公司双苯厂爆炸安全仪表系统及其功能安全课件相关信息位置:吉林市日期:2005年11月13日因操作工违反操作规程在预热器停止进料后没关闭加热蒸汽阀门、重新进料时又先打开蒸汽阀门而引发的一起爆炸事故。

后果:8死1重伤59轻伤直接经济损失6908万松花江水污染相关信息安全仪表系统及其功能安全课件安全仪表系统及其功能安全课件安全仪表系统及其功能安全课件工艺技术规范44.1%安装&开车5.9%操作&维护14.7%基于英国调查的34起事故,HSE更改20.6%设计&工程实施14.7%工艺技术规范44.1%安装&开车5.9%操作&维护14

典型事故表明：几乎所有事故都与安全仪表系统有关，必须重视安全仪表系统的设计，并保证其安全功能的可靠执行。仅有安全仪表系统是不够的，要有正确的理念和管理。技术措施+管理措施

（二）基本概念安全功能：是指针对特定的危险事件，为达到或保持过程的安全状态，由安全仪表系统（SIS）、其他技术安全相关系统或外部风险降低设施实现的功能。功能安全：与过程和基本过程控制系统（BPCS）有关的整体安全的组成部分，它取决于安全仪表系统（SIS）和其他保护层的正确行使职能。

安全仪表系统及其功能安全课件

如果SIS本身的随机、公共原因和系统故障没有使其所执行的安全功能失效，没有造成人员伤亡，未引起外溢污染环境，没有毁坏关键设备，SIS就做到了功能安全。安全功能：正确功能安全：可靠

（三）功能安全标准IEC61508

FunctionalSafetyofelectrical/electronic/programmableelectronicsafetyrelatedsystems.(2000）GB/T20438电气\电子\可编程电子安全相关系统的功能安全（2006）

IEC

61511

Functionalsafety:

safety

instrumented

systems

for

the

process

industry

sector(2003)GB/T21109过程工业领域安全仪表系统的功能安全（2007）

（三）功能安全标准IEC61508和IEC61511的应用范围

IEC61508功能安全的通用标准IEC61511

面向应用的过程工业的功能安全标准IEC61508针对过程工业的补充考虑过程工业的整体安全生命周期制造商和设备供货方IEC61508SIS设计人员集成商和最终用户IEC61511过程工业安全仪表系统(SIS)IEC61508和IEC61511的应用范围

IEC6标准基础：DINV19250(1994)《控制技术，测量和控制设备必须考虑的基本安全》，规定安全相关系统必须满足一定的安全等级（AK1至8级），与其使用对象的风险分析级别对应。世界上第一个工业安全设备分级标准。DINVVDE0801《安全相关系统的计算机原理》，确定了专门的措施用于评估PES，解决设计、编码、执行和综合、确认等问题。功能安全的概念也由此产生。DINVVDE0801提供了一种确定PES满足DINV19250级别的方法。ISAS84.01（1996）《过程工业安全仪表系统的应用》，第一次提出了安全完整性水平（简称SIL）的概念，它是衡量一个系统安全性可靠性和完整性的综合指标。标准基础：TÜV(1984)DINV19250/VDEV0801(德国) –风险分级1989 –安全系统要求不同国家各自的标准ANSI/ISAS84.01(美国)1996 –安全实施程序 –安全生命周期NFPA/UL1998IEC615081998-99– 完整的安全生命周期– 安全计划／安全管理– 安全完整性等级SIL– 安全系统的诊断要求– 安全系统的结构和可靠性TÜV(1984)IEC615081998-99功能安全标准IEC61508IEC61800电子设备IEC61513核电EN50126铁路IEC60601医药IEC62061机械EN50156熔炉IEC61511过程工业功能安全标准IECIEC61800IEC615IEC61508IEC61508安全防护神规范错误设计和实施失效安装和开车错误操作和维护错误更改错误随即硬件失效IEC61508IEC61508安全防护神规范错误设计和

（四）特点--功能安全是以基于风险的方法，用安全系统功能的可靠执行来保证安全。--功能安全技术标准研究的对象是安全系统。--功能安全是通过合适的技术与管理措施，把安全系统的整体风险控制在要求的目标之内。--功能安全是安全科学与工程、控制科学与工程的交叉学科。IEC61508标准，解决了困扰多年的对复杂安全系统功能安全保障的理论与实践问题，实现了安全技术和管理理论的一大突破。（四）特点IEC61508/61511标准最鲜明的思路是：--采用基于危险和风险分析的方法，确定电气、电子、可编程电子安全系统的“安全功能”和“功能安全”的要求和量化指标。--采用安全生命周期的架构，使各组织机构、部门、人员以及各阶段的工作纳入完整的、无缝衔接的统一体系。--它把功能安全管理纳入安全生命周期，最大限度地避免系统性失效造成的整体安全性降低。

IEC61508/61511标准最鲜明的思路是：

（五）两个重要概念--安全完整性等级SIL（SafetyIntegrityLevel）：在规定的条件下，规定的时间内安全相关系统成功完成所要求的安全功能的可能性。也就是在要求安全系统动作时其功能失效概率的倒数。

安全完整性等级（SIL）低要求操作模式在要求时执行其设计功能要求的平均失效概率（PFD）安全有效性(safetyavailability)目标风险降低RRF4≥10-5且＜10-499.99—99.99910000-1000003≥10-4且＜10-399.9—99.991000-100002≥10-3且＜10-299—99.9100-10001≥10-2且＜10-190—9910-100（五）两个重要概念安全完整性低要求操作模式安全有效性目标风险PFD=ProbabilityofFailureonDemand安全功能动作的频率低于每年一次的称为低要求操作模式;对安全功能的要求动作频率高于每年一次称为高要求(连续)操作模式。低要求操作模式是化工工业中最普遍的模式;高要求操作模式在制造加工业和航空工业中比较普遍。SIL代表着安全仪表系统使过程风险降低的数量级

风险概率=危险事件发生概率×安全系统要求其动作时功能失效概率。可见风险概率是低于危险事件发生概率的，因此说要求其动作时功能失效概率可以反映安全系统带来的整体风险概率的降低。风险是风险概率和后果严重程度的组合，所以风险概率下降程度就是风险下降的程度。因此，安全完整性等级反映了整体风险水平的降低。SIL是安全系统的核心,安全系统的设计、安装、检验评估、维护都是围绕着SIL来进行的。SIL成为领域内合同的必备条款PFD=ProbabilityofFailureon

安全要求包括：安全功能（安全仪表功能）SIF

安全完整性等级SIL

功能安全技术标准：在整个安全生命周期内，通过一系列的技术措施和管理措施保证达到所要求的安全完整性水平（SIL）。安全要求包括：安全功能（安全仪表功能）SIF

--安全生命周期SLC（SaftyLifeCycle）

安全系统整体的安全生命周期是指从其概念提出开始经历若干中间阶段一直到安全系统停用，包括了为达到安全完整性水平SIL而进行的一切活动。安全生命周期是IEC61508的重要基础，用系统的方式建立的一个框架,用以指导安全系统的设计和评价。整体安全生命周期包括了系统的分析、设计、安装、确认、操作、维护、停用等等诸多方面，关于每一方面标准都要求建立相应的文档以及安全规范。系统还可以根据实际中应用的效果来进行修改，甚至是从头开始重来。

--安全生命周期SLC（SaftyLifeSIL要求SIL设计SIL保持SIL要求SIL设计SIL保持分析阶段（SIL要求）--风险分析--SIF确认--SIL选择实现阶段（SIL实现）--设计--安装--调试

运行阶段（SIL保持）--运行--维护--修改

分析阶段（SIL要求）--风险分析整体安全生命周期是功能安全管理中的一个重要框架,为功能安全管理提供一个系统的方法。安全完整性水平贯穿于安全系统开发的始终。安全完整性水平不仅是安全系统安全性能的度量标准,而且是安全系统生命周期中的主线。整体安全生命周期是功能安全管理中的一个重要框架,为功能安全管三、SIL等级确定与评估残余风险允许风险原始风险风险增加必要的风险降低实际的风险降低被安全仪表系统覆盖的部分风险被其他技术安全相关系统覆盖的部分风险被外部风险降低设施覆盖的部分风险所有安全系统和外部风险降低设施所获得的风险降低三、SIL等级确定与评估残余风险允许风险原始风险风险增加必要风险和安全完整性概念危险事件的后果危险事件的频率EUC风险外部风险降低设施E/E/PE安全相关系统其他技术安全相关系统EUC和EUC控制系统必要的风险降低外部风险降低设施安全完整性和与必要的风险降低匹配的安全相关系统允许风险目标风险和安全完整性概念危险事件的后果危险事件的频率EUC外部安全仪表系统及其功能安全课件安全仪表功能的SIL等级确定方法保护层分析法（LOPA）

保护层分析法（LOPA）利用危险和可操作性分析（HAZOP）辨识的数据，量化原因和后果的等级，通过风险图计算危险。这样就能确定风险降低的总量以及是否需要进一步降低所分析的风险。如需附加的风险降低以一个安全仪表功能（SIF）的形式提供这种降低，LOPA可以确定所需的安全完整性等级（SIL）。风险矩阵法风险矩阵是基于分类的方法。首先应该为风险的后果和可能性制定分类。如后果可分为“较轻”、“严重”和“重大”,可能性分为“低”、“中等”和“高”。后果和可能性分别构成矩阵的一个坐标(行、列),同时每一个矩阵元素为一个安全完整性水平。风险图

风险图方法也是定量和基于分类的。风险的允许水平蕴含在风险图的结构中风险图分析使用4个参数来确定安全完整性水平：后果C、处于危险区域的时间F、避开危险的概率P和要求率W。安全仪表功能的SIL等级确定方法安全仪表系统及其功能安全课件安全完整性等级SIL评估技术-概率计算法利用工业产品可靠性数据库获得设备、仪器仪表的失效概率，依据联锁回路中的设备和仪表，对系统发生失效的概率进行计算，从而获得SIF的安全完整性等级SIL。-事故树分析法采用自上而下的方法识别系统故障，借助概率计算法可获得系统的失效概率。-马尔科夫过程分析利用马尔科夫过程分析安全仪表系统安全性随时间的发展关系，判断安全仪表系统的可靠性及寿命。安全完整性等级SIL评估技术安全仪表系统及其功能安全课件

安全仪表系统（SIS）是装置最重要的保护层，一旦失效，会造成不可估量的损失。设计的目标既要保证安全仪表系统执行正确的功能（SIF），又要具有良好的可靠性（SIL）。安全完整性等级是安全仪表系统可靠性能的衡量标准，是整个安全仪表系统生命周期的主线，其选择应该恰到好处，过高造成成本损失，过低会使风险不可接受。

四、国内外进展（一）国外（1）1994年,DINV19250/DINVVDE0801（2）1996年，ANSI/ISA-84.01-1996（3）1998年，IEC61508，于1998年发布其第1、3、4和第5部分，2000年发布其第2、6和第7部分（4）2003年，IEC61511（5）2004年，ENIEC61511（CENELEC）（CENELEC）欧洲电气技术标准化委员会将IEC61511接纳为欧洲标准ANSI/ISA-84.00.01-2004（IEC61511Modified）ISA-SP84将其命名为ANSI/ISA-84.00.01-2004（IEC61511Modified），完全取代了ANSI／ISA-84.01-1996四、国内外进展

世界著名的公司，如壳牌石油，道化学，美孚石油，新加坡石化公司等都通过应用该标准，取得了良好的社会、经济效果。2001年，Shell（英壳牌石油公司）GSI（ShellGlobalSolutionsInternationalB.V.）就发布了企业内部应用规范“仪表保护功能的分类与实施”、“仪表保护功能的管理”，及“仪表保护系统技术规范”。CNOOC-SHELL项目以及其他SHELL的国内项目都在不折不扣的执行其标准规范。

世界著名的公司，如壳牌石油，道化学，美孚石安全仪表系统及其功能安全课件

马来西亚国家石油公司PETRONAS案例--2000年对新建项目开始应用IEC61508/IEC61511；--2000年以后逐步开始对在役装置评估，收效极为明显。--经过内部培训，联合国家石油公司科学研究院对公司所有装置开展IPF研究。新建装置/项目/重大改造：1、开展HAZOP研究；2、辨识SIS要求，确保对辨识危险进行防护；3、SIS必须满足IEC61508/61511。现役装置：对照IEC61508/61511标准，审查是否符合。

安全仪表系统及其功能安全课件如何保证SIS符合IEC61508/61511？实施SIF或IPF研究。1、对每一个SIF确定要求的SIL；2、确保整个系统满足SIL要求；3、确定每个SIF的检验周期；4、文档化整个生命周期所有安全仪表管理方案。如何保证SIS符合IEC61508/61511？某装置XSIF/IPF研究工厂可靠性改善某装置XSIF/IPF研究工厂可靠性改善装置YSIF/IPF研究工厂可靠性改善装置YSIF/IPF研究工厂可靠性改善

（二）国内（1）1999年，SHB-Z06-1999《石油化工紧急停车及安全联锁系统设计导则》，采用了IEC标准中的一些理念。（2）2003年，SY/T10045-2003《工业过程中安全仪表系统的应用》国家经济贸易委员会发布，作为石油天然气行业标准。等同采用ISA84.01-1996（3）2004年7月1日，SH/T3012-2003《石油化工安全仪表系统设计规范》，国家发改委颁布实施了石油化工行业标准。（4）2004年，国家科技部组织机械工业仪器仪表综合技术经济研究所、清华大学成立国家软科学计划项目课题组，项目编号:2004DGS1B010《利用功能安全技术标准保障我国经济安全的政策措施研究》，课题组建议，在我国实施功能安全标准战略是当务之急。国家应从组织管理、技术体系两大支柱，法律法规、政策策略、标准体系、中介服务体系、产业与创新、国际合作等六个支撑要素共八个方面，分步建立我国功能安全保障体系。（二）国内（5）GB/T20438.1-2006《电气/电子/可编程电子安全相关系统功能安全》，IEC61508完整转换，于2006年7月发布，2007年1月1日实施。（6）GB/T21109.1-2007《过程工业领域安全仪表系统的功能安全》由IEC61511完整转换，于2007年10月11日发布，2007年12月1日实施。（7）国家标准《石油化工安全仪表系统设计规范》初稿已经完成，8月审核，正在征求意见。预计2010年底发布。标准引入安全生命周期概念。国内还处于起步阶段，需要业界的不懈努力。（5）GB/T20438.1-2006《电气

五、前期工作

（1）2007年下半年，开始调研国内外安全仪表系统现状与进展。（2）2008年5月，4人取得了TÜV认证功能安全工程师资格（TÜVFSEng）。（3）2008年4月开始—12月，结合《上海石化PTA装置安稳运行技术研究》课题，对PTA装置安全仪表系统探索性地进行了SIL等级评估工作。（4）编制中国石化安全仪表系统功能安全评估实施指南。（5）研究国外著名石化企业仪表保护系统/仪表保护功能相关规范。

五、前期工作

PTA装置安全仪表系统SIL等级评定主要内容：（1）PTA装置HAZOP分析，危险识别和保护措施识别（2）PTA装置LOPA保护层分析，确定每一个安全仪表功能的目标SIL值（3）收集安全仪表系统组成元件失效数据，计算实际能够达到的SIL（4）目标SIL与实际SIL比较，提出改进建议（5）确定安全仪表系统组成部分的检验周期（6）估算安全仪表系统误停车率（未开展）

安全仪表系统及其功能安全课件

六、石油化工行业功能安全现状

虽然石油化工绝大多数装置大都采用安全仪表系统（SIS），但在设计、集成、施工及维护管理诸环节却存在很大的问题，具体体现在：--危险辨识和风险评估?（经验、抄袭）--既没有SIL的确定，也没有SIL验证?--安全仪表系统及其功能安全概念模糊?--从业人员缺乏功能安全理念?资质？--重控制器，轻传感器和执行机构以及其他设备，缺乏安全完整性概念?--集成和施工没有相关资质要求，没有相应的规范。因此无法保证所提供产品和服务达到相关SIL要求。近期一些主要集成商开始重视规范的学习与实践以及人员认证。

六、石油化工行业功能安全现状

--从业人员不清楚联锁回路目标SIL，更不清楚实际的SIL？--安全仪表检验周期不明，混同一般仪表处理？--没有专门的检维修规程？--停用与投用有些随意？--

总之，功能安全理念不清，从设计到维护各个环节都缺乏科学有效的技术方法和管理。安全仪表系统目标、设计依据、实际状况、如何维护都不掌握。致使安全仪表系统不能保证全生命周期的安全完整性等级，达不到可接受风险水平。反而因安全仪表系统非计划停车明显增多，造成巨大的经济损失，产生一系列的安全问题。

七、下一步计划

应该说：安全仪表系统是石化装置降低风险最为有效的保护措施，是装置运行最为重要的保护层。但如何保证其正确、有效，任重道远。

（1）宣传培训按照标准的要求，安全仪表系统从业人员必须接受相关知识的培训，明确功能安全的相关概念和理念。这既是规范的要求，是企业的迫切需要，也是摆在我们面前一项重要工作。计划：研讨班+培训班(分层次)，中国石化范围。（2）基础研究和示范消化吸收国际上功能安全的最新标准与先进技术，建立功能安全基础技术研究平台，开展功能安全核心技术研究，完善功能安全应用手段。

七、下一步计划

借助课题，首先进行SIL等级评定工作，熟练掌握标准的技术要求。其后逐步渗入到其他方面。借鉴国外公司的实践，内外结合，提高熟练应用标准、为中国石化企业咨询服务的能力。根据石化装置的特点，制定中国石化安全仪表系统功能安全评估应用指南和评估软件。

（3）推广应用结合功能安全评估应用指南，按照生产装置类别、危险性状况，组织中国石化相关人员开展安全全仪表系统的功能安全评估工作。

（4）管理体系制定符合中国石化的安全仪表系统功能安全标准、规范和管理制度，推行功能安全管理体系。安全仪表系统及其功能安全课件

期望经过大家的努力，使石化装置安全仪表系统功能安全管理尽快与世界著名石油公司接轨。一方面可以使装置风险控制在可以接受水平内，另外可以大大降低装置的非计划停车，意义特别重大！相信这些新的科学的方法一定会对我国的安全生产起到极大的促进作用。

安全仪表系统及其功能安全课件

谢谢

安全仪表系统及其功能安全中国石化青岛安全工程研究院储运及安控技术研究室

二〇〇九年九月安全仪表系统及其功能安全中国石化青岛安全工程研究院二〇〇九年

一、安全仪表系统

二、功能安全

三、国内外进展

四、SIL等级确定与评估

五、前期工作

六、石油化工行业功能安全现状

七、下一步计划

一、安全仪表系统

二、功能安全

三、国内外进展

四

一、安全仪表系统（一）相关概念

安全相关系统（SRS）SafetyRelatedSystem用于安全目的的系统称之为安全相关系统。安全相关系统的作用是监视生产过程的状态，在出现危险条件时采取相应措施，防止危险发生或者减轻危险造成的后果，避免潜在风险对人身、设备、环境造成伤害。安全相关系统在工业生产和日常生活中随处可见，如安全帽、安全阀、紧急停车系统、汽车的安全气囊等等。

一、安全仪表系统安全仪表系统（SIS）SafetyInstrumentedSystem--紧急停车系统（ESD）--火/气保护系统（F&G）--安全联锁系统（SIS）--燃烧炉控制系统（BMS）--高压保护系统（HIPPS）--安全仪表系统是静态的、被动的，不需要人为干预。在危险情况出现时必须能够由静变动，正确完成其功能。安全仪表系统设计目标—正确的功能和良好的可靠性。安全仪表系统（SIS）SafetyI

基本过程控制系统（BPCS）BasicProcessControlSystem--基于DCS--基于PLC的监控系统--基于SCADA--基于常规仪表控制系统--基本过程控制系统是活动的、动态的，需要人工频繁的干预。使生产过程的温度、压力、液位、流量等工艺参数维持在规定的范围之内，以保证产品的产量与质量。安全仪表系统及其功能安全课件安全仪表系统及其功能安全课件安全仪表功能SIFSafetyInstrumentedFunction--每个SIF针对特定的风险--每套SIS可以执行多个SIF--安全功能和安全仪表功能--危险出现时，要求SIS正确执行对应的SIF安全仪表功能SIF（二）作用

监视生产过程的状态，在出现危险的条件时，自动执行其规定的安全仪表功能，防止危险事件发生，或减轻危险事件造成的影响。（二）作用

安全仪表系统在保护层中的位置层次名称说明第一层过程设计过程设计中实现本质安全工厂

第二层基本过程控制系统（BPCS）如DCS，以正常运行的监控为目的第三层区别于BPCS的重要报警操作员介入需要有一定的必要余度时。

第四层安全仪表系统（SIS）系统自动地使工厂安全停车。第五层物理防护层（一）安全阀泄压、过压保护系统第六层物理防护层（二）将泄漏液体局限在局部区域的防护堤第七层工厂内部紧急应对计划工厂内部的应急计划第八层周边区域防灾计划周边居民、公共设施的应急计划安全仪表系统在保护层中的位置层次名称说明第一层过1保护层模型（洋葱模型）社区紧急响应全厂紧急响应物理防护(防护堤)物理防护(释放设备)SIS自动动作关键报警,操作员监控,人工干预基本控制,工艺报警,操作员监控工艺设计LAH1ILOPALayerofprotectionanalysis1保护层模型（洋葱模型）社区紧急响应全厂紧急响应物理防护(减轻预防SISBPCS减轻预防SISBPCS

（三）标准定义关键词：安全功能传感器逻辑运算器执行元件

ANSI／ISAS84.01—1996Applicationofsafetyinstrumentedsystemsfortheprocessindustries

由传感器、逻辑控制器及终端元件组成的系统，其目的是出现故障时，将过程处于安全状态。

SH/T3018-2003石油化工安全仪表系统设计规范

用仪表实现安全功能的系统。系统包括传感器，逻辑运算器，最终执行元件及相应软件等。

IEC

61511

（GB/T20119）

Functionalsafety:

safety

instrumented

systems

for

the

process

industry

sector

用来完成一个或多个安全仪表功能的仪表系统。安全仪表系统由传感器，运算器和最终元件组合而成。

二、功能安全（一）典型事故印度—博帕尔(BHOPAL)1984年12月3日剧毒气体泄漏:异氰酸甲酯MethylIsocyanate二、功能安全联碳(印度)有限公司联碳(印度)有限公司泄漏气体：异氰酸甲酯MethylIsocyanate6套安全系统无一起作用>3000人因吸入剧毒气体死亡(41吨)>500,000人受到影响没有逃生计划由于没有察觉和准备、没有接受培训，应急响应失效>20,000人死亡>120,000人仍然遭受疾病困扰化工厂最为严重的事故2005年8月,>+20,000人因此死亡泄漏气体：异氰酸甲酯MethylIsocyanate201994年7月英国Millford炼厂（Shell）安全仪表系统及其功能安全课件20吨可燃气体泄漏（从火炬放空罐）爆炸相当于4吨烈性炸药26人伤亡$7500万重建$320,000罚金和$200,000诉讼费20吨可燃气体泄漏（从火炬放空罐）安全仪表系统及其功能安全课件

2004年7月30日GAStransport（气体输送）-比利时

©HIMA2008气体管线爆炸Gellingen-比利时

2004.07.3024人死亡132人受伤©HIMA2008气体管线爆炸24人死亡安全系统已经发现泄漏，提示停影响后续电厂，当地市区30%电力坚持运转，七人一组寻找漏点一组找到漏点，恰逢燃爆，当场全部死亡仅有安全系统是不够的安全系统已经发现泄漏，提示停

2005年10月10日英国Buncefield储油终端爆炸和火灾事故英国Buncefield储油终端爆炸和火灾事故爆炸和大火从2005年12月11日早6点开始，直至13日的下午才完全扑灭。

共有8人遇难和43人受到严重伤害。希思罗机场（HeathrowAirport）30％的航空用油由该油库供应。由于其中通讯公司设施的损坏，影响了大范围互联网用户的业务。由于大量泡沫灭火剂的使用，对地下水构成了威胁。由于对公众的伤害，导致了大量的法律诉讼，即使到2009年6月，仍有与该事故有关的诉讼案件在法院开庭。2005年10月10日晚7时，开始向912＃储油罐输入无铅汽油。午夜时分，对储罐的液位进行检查，没有发现异常。11日凌晨3时左右，912＃罐的液位不再变化，但此时仍在以550m3/h的流量泵入汽油。计算表明，在5时20分储罐冒顶并开始溢出，到6时爆炸发生前的40分钟，大约有300吨汽油从罐壁流向地面。在罐的周围有半封闭的围堰，溢流出的汽油拦在了围堰内，但在油面形成了1到2米厚的油气云团，并向四周扩散。没有证据找出准确的点火源，不排除应急发电机和消防泵系统。

安全仪表系统及其功能安全课件安全仪表系统及其功能安全课件

1988年7月6日

PiperAlpha采油平台意外事故

（西方石油OccidentalPetroleum）安全仪表系统及其功能安全课件

PiperAlpha采油平台投产于1976年，起初只生产石油。到1980年代，增加了天然气开采。通过海管将油气输送Flotta石油终端。在PiperAlpha平台的周围，还有Claymore平台、Tartan平台，以及天然气处理平台MCP-01。PiperAlpha平台日产原油12.5万桶，是北海油田生产量最大的平台，油气产量占北海油田的10％左右。爆炸和火灾意外事故时，共有226人在平台上。PiperAlpha平台被爆炸和大火摧毁，共导致167人丧生，合计保险损失34亿美元。PiperAlpha采油平台投产于1976年，平台上有2-G-100A和2-G-100B两台LPG凝液泵，在泵的出口各装有一个安全阀，PSV504和PSV505。对A泵进行检修，B泵维持生产。另一张检修工作票－对PSV504安全进行校验。发生爆炸时，因防火墙当初按照火灾而非爆炸设计，碎片又摧毁了一些凝液管道，引发火灾。自动灭火系统正处于手动启动状态。控制室失去功能，广播系统不能发布撤退指令；大火阻止了前往救生艇的通路。PiperAlpha处于灾难之中时，Claymore和Tartan仍通过海管向其泵入油气。操作规程不允许轻易地停产，停车成本非常高。从1988年到1990年，通过对事故的调查和研究，给出了106条建议，改进生产的操作规程和安全管理程序。平台上有2-G-100A和2-G-100B两台LPG凝液泵，安全仪表系统及其功能安全课件2005年12月13日中国石油吉林石化分公司双苯厂爆炸安全仪表系统及其功能安全课件相关信息位置:吉林市日期:2005年11月13日因操作工违反操作规程在预热器停止进料后没关闭加热蒸汽阀门、重新进料时又先打开蒸汽阀门而引发的一起爆炸事故。

后果:8死1重伤59轻伤直接经济损失6908万松花江水污染相关信息安全仪表系统及其功能安全课件安全仪表系统及其功能安全课件安全仪表系统及其功能安全课件工艺技术规范44.1%安装&开车5.9%操作&维护14.7%基于英国调查的34起事故,HSE更改20.6%设计&工程实施14.7%工艺技术规范44.1%安装&开车5.9%操作&维护14

典型事故表明：几乎所有事故都与安全仪表系统有关，必须重视安全仪表系统的设计，并保证其安全功能的可靠执行。仅有安全仪表系统是不够的，要有正确的理念和管理。技术措施+管理措施

（二）基本概念安全功能：是指针对特定的危险事件，为达到或保持过程的安全状态，由安全仪表系统（SIS）、其他技术安全相关系统或外部风险降低设施实现的功能。功能安全：与过程和基本过程控制系统（BPCS）有关的整体安全的组成部分，它取决于安全仪表系统（SIS）和其他保护层的正确行使职能。

安全仪表系统及其功能安全课件

如果SIS本身的随机、公共原因和系统故障没有使其所执行的安全功能失效，没有造成人员伤亡，未引起外溢污染环境，没有毁坏关键设备，SIS就做到了功能安全。安全功能：正确功能安全：可靠

（三）功能安全标准IEC61508

FunctionalSafetyofelectrical/electronic/programmableelectronicsafetyrelatedsystems.(2000）GB/T20438电气\电子\可编程电子安全相关系统的功能安全（2006）

IEC

61511

Functionalsafety:

safety

instrumented

systems

for

the

process

industry

sector(2003)GB/T21109过程工业领域安全仪表系统的功能安全（2007）

（三）功能安全标准IEC61508和IEC61511的应用范围

IEC61508功能安全的通用标准IEC61511

面向应用的过程工业的功能安全标准IEC61508针对过程工业的补充考虑过程工业的整体安全生命周期制造商和设备供货方IEC61508SIS设计人员集成商和最终用户IEC61511过程工业安全仪表系统(SIS)IEC61508和IEC61511的应用范围

IEC6标准基础：DINV19250(1994)《控制技术，测量和控制设备必须考虑的基本安全》，规定安全相关系统必须满足一定的安全等级（AK1至8级），与其使用对象的风险分析级别对应。世界上第一个工业安全设备分级标准。DINVVDE0801《安全相关系统的计算机原理》，确定了专门的措施用于评估PES，解决设计、编码、执行和综合、确认等问题。功能安全的概念也由此产生。DINVVDE0801提供了一种确定PES满足DINV19250级别的方法。ISAS84.01（1996）《过程工业安全仪表系统的应用》，第一次提出了安全完整性水平（简称SIL）的概念，它是衡量一个系统安全性可靠性和完整性的综合指标。标准基础：TÜV(1984)DINV19250/VDEV0801(德国) –风险分级1989 –安全系统要求不同国家各自的标准ANSI/ISAS84.01(美国)1996 –安全实施程序 –安全生命周期NFPA/UL1998IEC615081998-99– 完整的安全生命周期– 安全计划／安全管理– 安全完整性等级SIL– 安全系统的诊断要求– 安全系统的结构和可靠性TÜV(1984)IEC615081998-99功能安全标准IEC61508IEC61800电子设备IEC61513核电EN50126铁路IEC60601医药IEC62061机械EN50156熔炉IEC61511过程工业功能安全标准IECIEC61800IEC615IEC61508IEC61508安全防护神规范错误设计和实施失效安装和开车错误操作和维护错误更改错误随即硬件失效IEC61508IEC61508安全防护神规范错误设计和

（四）特点--功能安全是以基于风险的方法，用安全系统功能的可靠执行来保证安全。--功能安全技术标准研究的对象是安全系统。--功能安全是通过合适的技术与管理措施，把安全系统的整体风险控制在要求的目标之内。--功能安全是安全科学与工程、控制科学与工程的交叉学科。IEC61508标准，解决了困扰多年的对复杂安全系统功能安全保障的理论与实践问题，实现了安全技术和管理理论的一大突破。（四）特点IEC61508/61511标准最鲜明的思路是：--采用基于危险和风险分析的方法，确定电气、电子、可编程电子安全系统的“安全功能”和“功能安全”的要求和量化指标。--采用安全生命周期的架构，使各组织机构、部门、人员以及各阶段的工作纳入完整的、无缝衔接的统一体系。--它把功能安全管理纳入安全生命周期，最大限度地避免系统性失效造成的整体安全性降低。

IEC61508/61511标准最鲜明的思路是：

（五）两个重要概念--安全完整性等级SIL（SafetyIntegrityLevel）：在规定的条件下，规定的时间内安全相关系统成功完成所要求的安全功能的可能性。也就是在要求安全系统动作时其功能失效概率的倒数。

安全完整性等级（SIL）低要求操作模式在要求时执行其设计功能要求的平均失效概率（PFD）安全有效性(safetyavailability)目标风险降低RRF4≥10-5且＜10-499.99—99.99910000-1000003≥10-4且＜10-399.9—99.991000-100002≥10-3且＜10-299—99.9100-10001≥10-2且＜10-190—9910-100（五）两个重要概念安全完整性低要求操作模式安全有效性目标风险PFD=ProbabilityofFailureonDemand安全功能动作的频率低于每年一次的称为低要求操作模式;对安全功能的要求动作频率高于每年一次称为高要求(连续)操作模式。低要求操作模式是化工工业中最普遍的模式;高要求操作模式在制造加工业和航空工业中比较普遍。SIL代表着安全仪表系统使过程风险降低的数量级

风险概率=危险事件发生概率×安全系统要求其动作时功能失效概率。可见风险概率是低于危险事件发生概率的，因此说要求其动作时功能失效概率可以反映安全系统带来的整体风险概率的降低。风险是风险概率和后果严重程度的组合，所以风险概率下降程度就是风险下降的程度。因此，安全完整性等级反映了整体风险水平的降低。SIL是安全系统的核心,安全系统的设计、安装、检验评估、维护都是围绕着SIL来进行的。SIL成为领域内合同的必备条款PFD=ProbabilityofFailureon

安全要求包括：安全功能（安全仪表功能）SIF

安全完整性等级SIL

功能安全技术标准：在整个安全生命周期内，通过一系列的技术措施和管理措施保证达到所要求的安全完整性水平（SIL）。安全要求包括：安全功能（安全仪表功能）SIF

--安全生命周期SLC（SaftyLifeCycle）

安全系统整体的安全生命周期是指从其概念提出开始经历若干中间阶段一直到安全系统停用，包括了为达到安全完整性水平SIL而进行的一切活动。安全生命周期是IEC61508的重要基础，用系统的方式建立的一个框架,用以指导安全系统的设计和评价。整体安全生命周期包括了系统的分析、设计、安装、确认、操作、维护、停用等等诸多方面，关于每一方面标准都要求建立相应的文档以及安全规范。系统还可以根据实际中应用的效果来进行修改，甚至是从头开始重来。

--安全生命周期SLC（SaftyLifeSIL要求SIL设计SIL保持SIL要求SIL设计SIL保持分析阶段（SIL要求）--风险分析--SIF确认--SIL选择实现阶段（SIL实现）--设计--安装--调试

运行阶段（SIL保持）--运行--维护--修改

分析阶段（SIL要求）--风险分析整体安全生命周期是功能安全管理中的一个重要框架,为功能安全管理提供一个系统的方法。安全完整性水平贯穿于安全系统开发的始终。安全完整性水平不仅是安全系统安全性能的度量标准,而且是安全系统生命周期中的主线。整体安全生命周期是功能安全管理中的一个重要框架,为功能安全管三、SIL等级确定与评估残余风险允许风险原始风险风险增加必要的风险降低实际的风险降低被安全仪表系统覆盖的部分风险被其他技术安全相关系统覆盖的部分风险被外部风险降低设施覆盖的部分风险所有安全系统和外部风险降低设施所获得的风险降低三、SIL等级确定与评估残余风险允许风险原始风险风险增加必要风险和安全完整性概念危险事件的后果危险事件的频率EUC风险外部风险降低设施E/E/PE安全相关系统其他技术安全相关系统EUC和EUC控制系统必要的风险降低外部风险降低设施安全完整性和与必要的风险降低匹配的安全相关系统允许风险目标风险和安全完整性概念危险事件的后果危险事件的频率EUC外部安全仪表系统及其功能安全课件安全仪表功能的SIL等级确定方法保护层分析法（LOPA）

保护层分析法（LOPA）利用危险和可操作性分析（HAZOP）辨识的数据，量化原因和后果的等级，通过风险图计算危险。这样就能确定风险降低的总量以及是否需要进一步降低所分析的风险。如需附加的风险降低以一个安全仪表功能（SIF）的形式提供这种降低，LOPA可以确定所需的安全完整性等级（SIL）。风险矩阵法风险矩阵是基于分类的方法。首先应该为风险的后果和可能性制定分类。如后果可分为“较轻”、“严重”和“重大”,可能性分为“低”、“中等”和“高”。后果和可能性分别构成矩阵的一个坐标(行、列),同时每一个矩阵元素为一个安全完整性水平。风险图

风险图方法也是定量和基于分类的。风险的允许水平蕴含在风险图的结构中风险图分析使用4个参数来确定安全完整性水平：后果C、处于危险区域的时间F、避开危险的概率P和要求率W。安全仪表功能的SIL等级确定方法安全仪表系统及其功能安全课件安全完整性等级SIL评估技术-概率计算法利用工业产品可靠性数据库获得设备、仪器仪表的失效概率，依据联锁回路中的设备和仪表，对系统发生失效的概率进行计算，从而获得SIF的安全完整性等级SIL。-事故树分析法采用自上而下的方法识别系统故障，借助概率计算法可获得系统的失效概率。-马尔科夫过程分析利用马尔科夫过程分析安全仪表系统安全性随时间的发展关系，判断安全仪表系统的可靠性及寿命。安全完整性等级SIL评估技术安全仪表系统及其功能安全课件

安全仪表系统（SIS）是装置最重要的保护层，一旦失效，会造成不可估量的损失。设计的目标既要保证安全仪表系统执行正确的功能（SIF），又要具有良好的可靠性（SIL）。安全完整性等级是安全仪表系统可靠性能的衡量标准，是整个安全仪表系统生命周期的主线，其选择应该恰到好处，过高造成成本损失，过低会使风险不可接受。

四、国内外进展（一）国外（1）1994年,DINV19250/DINVVDE0801（2）1996年，ANSI/ISA-84.01-1996（3）1998年，IEC61508，于1998年发布其第1、3、4和第5部分，2000年发布其第2、6和第7部分（4）2003年，IEC61511（5）2004年，ENIEC61511（CENELEC）（CENELEC）欧洲电气技术标准化委员会将IEC61511接纳为欧洲标准ANSI/ISA-84.00.01-2004（IEC61511Modified）ISA-SP84将其命名为ANSI/ISA-84.00.01-2004（IEC61511Modified），完全取代了ANSI／ISA-84.01-1996四、国内外进展

世界著名的公司，如壳牌石油，道化学，美孚石油，新加坡石化公司等都通过应用该标准，取得了良好的社会、经济效果。2001年，Shell（英壳牌石油公司）GSI（ShellGlobalSolutionsInternationalB.V.）就发布了企业内部应用规范“仪表保护功能的分类与实施”、“仪表保护功能的管理”，及“仪表保护系统技术规范”。CNOOC-SHELL项目以及其他SHELL的国内项目都在不折不扣的执行其标准规范。

世界著名的公司，如壳牌石油，道化学，美孚石安全仪表系统及其功能安全课件

马来西亚国家石油公司PETRONAS案例--2000年对新建项目开始应用IEC61508/IEC61511；--2000年以后逐步开始对在役装置评估，收效极为明显。--经过内部培训，联合国家石油公司科学研究院对公司所有装置开展IPF研究。新建装置/项目/重大改造：1、开展HAZOP研究；2、辨识SIS要求，确保对辨识危险进行防护；3、SIS必须满足IEC61508/61511。现役装置：对照IEC61508/61511标准，审查是否符合。

安全仪表系统及其功能安全课件如何保证SIS符合IEC61508/61511？实施SIF或IPF研究。1、对每一个SIF确定要求的SIL；2、确保整个系统满足SIL要求；3、确定每个SIF的检验周期；4、文档化整个生命周期所有安全仪表管理方案。如何保证SIS符合IEC61508/61511？某装置XSIF/IPF研究工厂可靠性改善某装置XSIF/IPF研究工厂可靠性改善装置YSIF/IPF研究工厂可靠性改善装置YSIF/IPF研究工厂可