工艺安全管理工艺安全SIL

safetychen@重庆MDI一体化项目西气东输榆林枢纽工艺改造项目神华宁夏煤制烯烃项目一些基本问题为什么不用DCS执行安全功能？1oo2和2oo3，哪一个更安全？能否设计一个100%可靠和不会误跳车的联锁？SIF什么情况可以删除/增加？SIF/DCS分开和共享原则是什么？SIL会不会增加成本？SIS仪表如何采购，验证和维护？SIF在天然气/原油长距离输送，和石化项目中，过压保护如何设计？课程目录安全仪表系统(SIS)基本概念；基本概率运算；工艺系统设计流程；SIL评估第一部分–SIS基本概念SIS基本概念安全仪表系统（SIS）：由多个变送器，逻辑处理器和终端元件组成;工艺偏离正常值时，能把系统带回安全状态；SIS基本概念安全仪表功能（SIF）是安全仪表系统中，为实现某一功能的单一回路；只针对特定一个隐患，把工艺系统带回安全状态；每一个SIF回路，对应一个SIL等级。SIS基本概念安全仪表系统生命周期工艺流程–概念设计；识别隐患–危险源识别；SIL评估–LOPA分析；SIL等级–确定SIF冗余、增删和

其他非SIS措施；SIF设计–确定因果图和技术参

数；采购安装–PFD要求和验证；调试–频率和维护。定义工艺流程隐患识别和分层保护分析确定非SIS措施是不是设计、采购安装、验证、试车维护、调试确定SIF冗余/增删其他预防/减缓措施SIL评估SIS？结束SIS基本概念安全仪表系统故障模式仪表故障可分为“安全失效S”和“危险失效D”。安全失效致误跳车，降低生产连续性；危险失效导致事故，降低安全可靠性；故障60%40%安全失效危险失效DSSIS基本概概念安全仪仪表系系统故故障模模式安全可探测(SD)60%40%安全失效危险失效SD(SU)安全不可探测(DD)危险可探测危险不可探测(DU)仪表故故障分分为可探测测的和不可探探测的的；“安全全失效效”和和““危险险失效效”，，均可可分为为“可可探测测的””和““不可可探测测的””；可探测测的和和不可可探测测的““安全全失效效”，，会导导致误误跳车车，把把工艺艺带回回安全全状态态；可探测测的““危险险失效效”，，可转转换信信号为为为““安全全失效效”，，把工工艺带带回安安全状状态；；不可探探测的的“危危险失失效””，不不能被被系统统设别别，会会导致致安全全事故故。SIS基本概概念SIL定义Demand是工艺艺系统统里，，是非非安全全仪表表系统统的失效率率；PFD=probabilityofFailureonDemand，是一个个SIF回路的失效率率；SIL等级SIL4SIL3SIL2SIL1PFD失效率10-4

到10-510-3

到10-410-2

到10-310-1

到10-2SIL是指一个SIF回路的可靠靠性要要求，，即PFD；按PFD所在区区间的的不同同，把把SIF回路划划分为为四个个SIL等级级。。40%安全失效危险失效SD(DD)危险可探测危险不可探测(DU)PFDavg=1-e

-DU*TI/260%SIS基本本概概念念SIL定义义一个个SIF回路路的的PFD（失失效效率率）），，是是SIF三个个子子系系统统PFD加和和。。即即变变送送器器、、逻逻辑辑处处理理器器、、终终端端元元件件的的加加和；单个个仪仪表表PFD=1-e-DU*TI/2的，，约约等等于于D*TI/2（参参见见IEC61508）；；D为危危险险失失效效率率，，由由仪仪表表商商提提供供；；TI为仪仪表表调调试试频频率率，，由由业业主主定定义义；；从SIF回路路计计算算的的PFD，可可验验证证回回路路是是否否能能满满足足SIL等级级的的要要求求。。40%安全失效危险失效SD(DD)危险可探测危险不可探测(DU)PFDavg=1-e

-DU*TI/260%变送器子系统逻辑处理器子系统终端元件子系统第二二部部分分-SIS基本本概概率率运运算算AB简单单概概率率运运算算法法则则P(A)=1=1/6P(B)=3=1/6P(AANDB)=P(A)xP(B)P(AORB)=P(A)+P(B)SIS基本本概概率率运运算算0.040.02A1oo1可能能性性跳车车率率危危险险率率(降低低生生产产连连续续性性)(降低低安安全全可可靠靠性性)SIS基本本概概率率运运算算可能能性性跳车车率率危危险险率率(降低低生生产产连连续续性性)(降低低安安全全可可靠靠性性)SIS基本本概概率率运运算算BA1oo20.08很安安全全，，但但跳跳车车相相对对频频繁繁0.0004可能能性性误跳跳车车率率危危险险率率(降低低生生产产连连续续性性)(降低低安安全全可可靠靠性性)SIS基本本概概率率运运算算AB2oo20.0016可避避免免频频繁繁跳跳车车，，但但安安全全性性低低0.0418SIS基本本概概率率运运算算2oo3ABC可能能性性误跳跳车车率率危危险险率率(降低低生生产产连连续续性性)(降低低安安全全可可靠靠性性)0.00480.0012可避避免免频频繁繁跳跳车车，，也也可可确确保保安安全全性性0.040.020.00482oo30.0012安全全性性：：1oo2>2oo3>1oo1>2oo2连续续性性：：2oo2>2oo3>1oo1>1oo2SIS基本本概概率率运运算算1oo11oo22oo2可能能性性误跳跳车车率率危危险险率率(降低低生生产产连连续续性性)(降低安全全可靠性性)0.080.00040.00160.04冗余比较PFD计算基本本公式SIS基本概率率运算冗余

1oo11oo22oo22oo31oo2DMTBFsp1/S1/(2S)1/(2S2*MTTR)1/(6S2*MTTR)1/(2S2*MTTR)PFDD(MTTR+TI/2)2D2(MTTR+TI/2)22D(MTTR+TI/2)6D2(MTTR+TI/2)22D2(MTTR+TI/2)2其中:

MTTR=拆卸到检修完好的时间

MDT(MeanDownTime)=(MTTR+TI/2)假设:1/MDT>>failurerateTI=调试间隔S=安全失效D=危险失效压力变送送器各为2oo2的两组变变送器，，分别保保证生产产连续性性；2oo2的两组变变送器，，组成1oo2确保安全全可靠性性；电磁阀和和工艺阀阀门单个阀门门两个电电磁阀构构成2oo2，保证生生产连续续性；两个工艺艺阀门组组成1oo2，保证安安全可靠靠性。如何确保保系统可可靠性？？避免误误跳车？？1oo22oo22oo2SIS基本概率率运算第三部分分–工艺系统统设计分分析工艺系统统设计分分析流程输入输出工艺流程概念设计隐患识别和后果分层保护分析是不是SIF设计SIL等级确定非SIS措施SIS？其他措施物料平衡危险源识别隐患的严重性可接受风险工艺流程图保护措施发生的可能性工艺流程图冗余、技术参数24工艺系统统设计分分析确定可接接受风险险（公司司；环境境/社区；地地方法规规）；识别潜在在隐患、、后果、、发生可可能性；；过高估计计后果：：投资成成本上升升；过低估计计后果：：措施不不足造成成危险；；识别非SIS措施：分分层和100%胜任原则则；风险比较较：非SIS措施总风风险低于于可接受受风险？？其他新的的控制措措施？确定是否否需要SIF和SIL等级；确定SIF回路设计计和技术术参数。。可接受风险固有风险风险分层保护未采取任何措施基于公司、环境和法规各层措施分别降低风险设计分析析流程（（定量））25工艺系统统设计分分析是指事故故发生后后，其影影响范围围内造成成的人员员伤亡、、环境污污染、财财产损失失、公司司形象损损害等。。设计意义义的后果果，是基基于一定定的估算算原则。。例如：：人员伤亡亡：1个，2个，群是是群伤等等；环境污染染：车间间、厂内内、厂外外、跨境境等；财产损失失后果二、分层层保护2.事故的发生是可以预防和/或减缓的典型的预预防措施施-生产操作作程序DCS(基本工艺艺控制系系统)报警和操操作工干干预安全仪表表系统(SIS)降低事故故发生的的可能性性，来降降低风险险典型的减减缓措施施：控制点火火源；火灾和气气体探测测系统围堰应急撤退退降低后果果的严重重性，来来降低风风险一、可接接受风险险风险很难难降低到到零；风险下降降越低，，投资将将越大；；人们的““可接受受风险””，与事事故后果果的“严严重性””相关。。最低合理理可行原原则（ALARP）一、可接接受风险险根据事故故后果的的严重性性，定义义“可接接受的风风险”轻微(Ca)严重(Cb)极严重(Cc)灾难性(Cd)死亡≤0≤0.1≤1高于极严重受伤≤0.5≤2≤15高于极严重环境损失($kUS)≤100≤1000≤10000高于极严重财产损失($MUS)≤5.0≤50.0≤500高于极严重可接受风险(1/年)≤10-3≤10-4≤10-5≤10-6化工装置置可接受受风险二、分层层保护每一层措措施，都都对安全全做出贡贡献；一个成功功，事故故就不会会发生或或扩大；；保护层总失效率率，应小于可接受风风险。二、分层层保护（（举例））总失效率率：10-3+9××10-4=1.9×10-3,大于可接接受风险险10-4不符合安安全要求求！二、分层层保护（（举例））总失效率率：10-4+9××10-5=1.9×10-4,大于可接接受风险险10-4不符合安安全要求求！可接受风险<10-4高压报警警员工干预预SIS后果和频频率容器破裂裂，泄漏漏到环境境容器破裂裂，泄漏漏到环境境保护层3二、分层层保护（（举例））总失效率率：10-5+9××10-5=1.9×10-5,小于可接接受风险险10-4符合安全全要求！！二、分层层保护保护层必须须是：独立的（Independence）；额定荷载的的、可靠的的(Dependability)；针对性的（Specificity）;可审计的（Auditability）。三、独立保保护层独立保护层层，是能防止工艺系统隐患发生的的装置、系系统或行动动。主动独立保保护层基本工艺控控制系统报警人工干干预安全泄放阀阀门安全仪表系系统被动独立保保护层围堰/围堤全开的排气气筒抗爆墙阻火器四、SIL概念保护层总失失效率≤可接受风险险；保护层总失失效率=SIS保护层+非SIS保护层失效效率；SIS失效率=可接受风险险–非SIS保护层失效效率四、SIL概念SIL级别SIL4SIL3SIL2SIL1失效率（PFD）10-4to10-510-3to10-410-2to10-310-1to10-2一个SIF对应一个SIL级别；一个SIS可能有很多多SIL级别。现有技术，，SIS失效率最低低只能降到到SIL4；化工系统最最多SIL3，不推荐SIL4，除非……五、SIL在SIS设计的应用用根据SIL审查的意见见，考虑增加或删除除安全仪表功功能；例：根据据SIL评估结果，，确定输油油管是否需需要紧急切切断系统（（SIS）？海洋五、SIL在SIS设计的应用用调整安全仪仪表功能的的冗余设计计：变送器器，逻辑处处理器，和和终端元件件；变IEC61511-1表5送器，终端端元件，和和非PE逻辑处理器器调整冗余根据：IEC61511-1的第11.4““硬件容错要要求”；五、SIL在SIS设计的应用用SIL最低冗余要求（参阅11.4.3和11.4.4）最低冗余要求（如满足11.4.4）1002103214参照IEC61508参照IEC61508IEC61511-1表6变送器，终终端元件，，和非PE逻辑处理器器不建议SIL4：避免过度度冗余、生生产、维护护等问题；；考虑“非SIS”措施，降降低SIL等级调整冗余SISSIS五、SIL在SIS设计的应用用冗余调整：SIL1五、SIL在SIS设计的应用用冗余调整：SIL2五、SIL在SIS设计的应用用冗余调整：SIL3五、SIL和SIS设计考虑SIS和DCS分开或共用设计变送器/阀门共用：：DCS的失效，不不影响SIS的SIL等级；变送器/阀门分开：：避免两则者者同时失效效；避免不经意意的变更，，影响SIS安全功能；；逻辑处理器器共用(成套设备)：提高整个逻逻辑处理器器可靠性；；整个系统的的运行、变变更、维护护、调试，，按照SIS看待；系统组态和和编程设置置权限。原则：SIS/DCS分开设计，，但DCS失效不影响响SIS可靠性时，可共用用五、SIL和SIS设计考虑SIS和DCS分开或共用设计三个变送器器中间值做做控制用途途，2oo3做SIS联锁用途仅用于SIF≤SIL1。可用于≤SIL1；两位阀失效效率满足SIL2时，≤SIL2调节阀失效效非SIF动作原因时时，≤SIL3五、SIL和SIS设计考虑SIS仪表冗余多样性性：减少“共共同原因失失效”4.1采用不同““厂家”，，“原理””产品，““型号”产产品；气化炉高压氧气高压氮气通大气4.2SIL3：应考虑与DCS分开和仪表表冗余多样样性；五、SIL和SIS设计考虑SIS仪表冗余多样性性：减少“共共同原因失失效”4.3SIL4：必须考虑与DCS分开，必须须采用仪表表冗余多样样性；4.4SIL只考虑安全全可靠性，，SIS设计还应考考虑生产连连续性。锅炉或氨罐罐过压保护护联锁压力和温度度信号组成成1oo2；温度设定值值，为对应应起跳压力力的饱和蒸蒸气压两个不同检检测原理信信号，消除除“相同原原因失效””五、SIL和SIS设计HIPS设计（应用用于火炬系系统设计））5.1工厂火炬系系统备注：通过SIS切断再沸器器蒸汽，安安全阀将不不会起跳，，关键是SIS可靠性………五、SIL和SIS设计HIPS设计（应用用于火炬系系统设计））5.2天然气、原原油长距离离输送系统统备注：任何一个接接力压缩机机站跳车，，上游将全全线超压………PT五、SIL和SIS设计HIPS设计(火炬系统设设计）SIS失效总负荷火炬背压MPag火炬头马赫数ESD失效概率SIL1SIL2SIL31个200.90.29610-210-310-42个351.310.51910-310-510-73个42--0.68310-410-710-104个48----10-510-9设计前提：：火炬头马赫赫数不能超超过0.5；各安全阀出出口背压，，不高于起起跳压力10%(弹簧),或50%(先导或波纹纹管)；火炬总管超超压150~200%概率，≤10-5；确定失效SIS数量，作为为火炬系统统设计负荷荷。五、SIL和SIS设计破管保护高压氧气管管线；天然气长距距离管线；；五、SIL和SIS设计破管保护原油长距离离输；海洋石油生生产和输送送；罐区管线等等等。SIL评估确定保保护在SIS或DCS实现SIS的安全要求求规范SafetyRequirementSpecification安全要求规规范假设SIS的设计已经经满足下列列要求：SIL等级的可靠靠性要求；；与DCS分开设计的的要求；冗余要求；；多样性要求求。但SIS在事故发生生前，却不不一定动作作。原因之一，，可能是安全要求设计错误。。问题：安全要求规规范假设SIS的设计已经经满足下列列要求：SIL等级的可靠靠性要求；；与DCS分开设计的的要求；冗余要求；；多样性要求求。案例分析：：2oo3去联锁1个变送器去去控制NMP贫液含乙炔合成气NMP富液合成气去压缩机脱乙炔塔去火炬9、静夜四无无邻，荒居居旧业贫。。。12月-2212月-22Thursday,December29,202210、雨雨中中黄黄叶叶树树，，灯灯下下白白头头人人。。。。13:07:5013:07:5013:0712/29/20221:07:50PM11、以我独独沈久，，愧君相相见频。。。12月-2213:07:5013:07Dec-2229-Dec-2212、故人江海海别，几度度隔山川。。。13:07:5013:07:5013:07Thursday,December29,202213、乍乍见见翻翻疑疑梦梦，，相相悲悲各各问问年年。。。。12月月-2212月月-2213:07:5013:07:50December29,202214、他乡生白发发，旧国见青青山。。29十二月月20221:07:50下午13:07:5012月-2215、比不了得得就不比，，得不到的的就不要。。。。十二月221:07下下午12月-2213:07December29,202216、行行动动出出成成果果，，工工作作出出财财富富。。。。2022/12/2913:07:5013:07:5029December202217、做前，能能够环视四四周；做时时，你只能能或者最好好沿着以脚脚为起点的的射线向前前。。1:07:50下下午1:07下下午13:07:5012月-229、没有有失败败，只只有暂暂时停停止成成功！！。12月月-2212月月-22Thursday,December29,202210、很多多事情情努力力了未未必有有结果果，但但是不不努力力却什什么改改变也也没有有。。。13:07:5013:07:5013:0712/29/20221:07:50PM11、成功就就是日复复一日那那一点点点小小努努力的积积累。。。12月-2213:07:5013:07Dec-2229-Dec-2212、世间间成事事，不不求其其绝对对圆满满，留留一份份不足足，可可得无无限完完美。。。13:07:5013:07:5013:07Thursday,December29,202213、不知香积寺寺，数里入云云峰。。12月-2212月-2213:07:5013:07:50December29,202214、意志坚坚强的人人能把世世界放在在手中像像泥块一一样任意意揉捏。。29十十二月20221:07:50下午午13:07:5012月-2215、楚塞三湘湘接，