安全仪表系统SIF应用中几个问题的讨论

（优选）安全仪表系统SIF应用中几个问题的讨论目前一页\总数三十七页\编于二十点讨论内容简化公式、事故树和Markov三种验证方法的具体应用和优缺点

共因失效的种类，怎么在验证中考虑共因失效，共因失效系数β和βD怎么确定？是否有推荐的数值可以采用，而不需做具体的分析，直接取这个值做验证计算

针对化工装置，SRS需要哪些内容proveninuse/prioruse都需要做些什么内容，SRS和验证是否需要这个内容FGS安全等级的分析方法和验证方法

目前二页\总数三十七页\编于二十点SIL验证-马尔可夫模型马尔可夫模型是一个决定复杂设备(逻辑处理器)的安全可用度和可靠度之模拟方法它不建议用在整个安全仪表系统或甚至单一的安全仪表功能的计算中马尔可夫模型采用状态转换图形，它是系统可靠度性能的图形化表示针对系统随时间表现出的可靠性行为建模系统被视作一系列状态单元，这些状态单元或者处于故障状态或者处于功能状态系统从整体上，可能存在许多状态如果一个状态单元处于故障或者维修，系统从一个状态“转移到”另一个状态目前三页\总数三十七页\编于二十点简单的马尔可夫模型1系统ok2系统失效失效率λ=0.01修复率μ=0.5目前四页\总数三十七页\编于二十点马尔可夫计算的时间步骤1221121212121210.990.990.990.010.010.010.50.50.50.50.990.010.50.50.97030.00980.004950.004950.004950.000050.00250.0025T=0T=1T=2T=3时间状态1状态201010.990.0120.98510.014930.98270.0173目前五页\总数三十七页\编于二十点马尔可夫矩阵马尔可夫矩阵：Λ==Λ(1,1)=1–outgoingtransitionsofstate1=1–λΛ(1,2)=outgoingtransitionsofstate1=λΛ(2,2)=1-outgoingtransitionsofstate2=1–μΛ(2,1)=outgoingtransitionsofstate2=μ***…..目前六页\总数三十七页\编于二十点1oo2表决的马尔可夫模型系统无故障运行由于故障，系统降级，但仍在运行由于多个故障，系统无法执行其设计功能１２３2λdλd目前七页\总数三十七页\编于二十点2oo3表决的马尔可夫模型系统无故障运行由于故障，系统降级，但仍在运行由于多个故障，系统无法执行其设计功能１２３3λd2λd目前八页\总数三十七页\编于二十点1oo2D表决的马尔可夫模型8Failedtofunction9Spurioustrip1NormallyOperating2Degraded3Degraded4Spurioustrip7Spurioustrip6Failedtofunction5FailedtofunctionλDU,CCμTIλDD+S,CCμMTTR2λDUμTI2λDD+SDμMTTRμMTTR2λSUλDU2μTIλDD+SDμMTTRλDUμTIλDD+S2μMTTR目前九页\总数三十七页\编于二十点对马尔可夫分析的评价马尔可夫分析的优点非常详细在一个模型中对系统完全描述可以模拟维修模拟顺序关连马尔可夫分析的缺点分析过程复杂模型建立困难，特别是由非专家确认检验，不过非专家也可进行该分析模型可能会变得很大(存在大量的状态时)总体上，对于每个系统的变化，需要重新建立整个模型目前十页\总数三十七页\编于二十点故障树分析范例(1)高放热反应潜在的危害是什么?后果是什么?原因是什么?此原因是否是基本事件?有什么保护措施?FICTISHHH目前十一页\总数三十七页\编于二十点故障树分析范例(1)反应器爆炸失控反应破裂盘故障流量控制迴路故障温度联锁故障流量控制器故障流量控制阀故障热电偶及继电器故障紧急关断阀无法关闭3.6x10-4F/YR

1.8x10-2F/YR

0.02probabilityoffailureondemand0.3F/YR

0.060.2F/YR

0.1F/YR

0.05Probabilityoffailureondemand0.01Probabilityoffailureondemand保护层2保护层1E/E/PES(SIS)目前十二页\总数三十七页\编于二十点故障树分析范例(2)目前十三页\总数三十七页\编于二十点SIL验证-简化方程式简化公式方法为工程师提供了依照IEC-61511而设计的安全仪表功能里的典型配置中所需估计的PFDAvg数学值要遵循的步骤。这个程序适用于SIL1和SIL2的安全仪表功能目前十四页\总数三十七页\编于二十点安全仪表功能(SIF)表实例安全仪表功能名称/编号

安全仪表功能说明

危害/后果

安全仪表功能设计架构

安全完整性等级

MCR反应器保护/I-01

Causes:FIRSA-R0101低低流量；TIC‑R0107A~D/TIC‑R0110A~D高高温Effects:关断HV-R0101、PV-E0401；开HV-R0102、HV-R0102B(新增)大量补蒸汽

反应器催化剂失去流化，导致死床、闷床，严重时局部过热或飞温造成反应器烧穿，烯烃外泄造成火灾爆炸。

Sensor:Group1:FIRSA-R0101(1oo1)Group2:TIC-R0107A~D/TIC-R0110A~D(3oo8)Groupvoting:1oo2Finalactuator:Group1:HV-R0101、PV-E0401(1oo2)Group2:HV-R0102、HV-R0102B(1oo2)Groupvoting:2oo2SIL2目前十五页\总数三十七页\编于二十点TIC-R0107A~D/TIC-R0110A~D(3oo8)FIRSA-R01011oo2Logicsolver(SIL3)2oo21oo2HV-R0101PV-E0401HV-R0102SIL3SIL1SIL4SIL2SIL1SIL1SIL1结构约束目前十六页\总数三十七页\编于二十点SIL验算(Verification)

Sensorpart:PFDavg,s1=PFDavg,s1,i+PFDavg,s1,ccf=0+1/2βλDUt=0.5×0.05×550×10-9×17520=2.41×10-4PFDavg,s2=1/2λDUt=0.5×3600×10-9×17520=3.15×10-2PFDavg,s=PFDavg,s1×PFDavg,s2=2.41×10-4×3.15×10-2

=7.59×10-6

LogicSolver:PFDavg,L=1/2λDUt=0.5×241×10-9×17520=2.11×10-3

FE:PFDavg,v1=1/3(λDU1

λDU2)t2

=1/3×(3225×10-9×17520)2

=1.06×10-3PFDavg,v2=1/2λDUt=0.5×1925×10-9×17520=1.69×10-2PFDavg,v=PFDavg,v1+PFDavg,v2=1.06×10-3+1.69×10-2

=1.8×10-2PFDavg=PFDavg,s+PFDavg,L+PFDavg,v=7.59×10-6+2.11×10-3+1.8×10-2=2.01×10-2SIL2?

目前十七页\总数三十七页\编于二十点TIC-R0107A~D/TIC-R0110A~D(3oo8)FIRSA-R01011oo2Logicsolver(SIL3)2oo21oo2HV-R0101PV-E0401HV-R0102SIL3SIL1SIL4SIL2SIL2SIL2结构约束

-21oo2HV-R0102BSIL2目前十八页\总数三十七页\编于二十点SIL验算-2PFDavg,v2=1/3((1-β)λDUt)2＋1/2βλDUt

=1/3×(0.95×1925×10-9×17520)2+0.5×0.05×1925×10-9×17520=3.42×10-4+8.43×10-4=1.19×10-3PFDavg,v=PFDavg,v1+PFDavg,v2=1.06×10-3+1.19×10-3

=2.25×10-3PFDavg=PFDavg,s+PFDavg,L+PFDavg,v=7.59×10-6+2.11×10-3+2.25×10-3=4.36×10-3

→SIL2

目前十九页\总数三十七页\编于二十点共同原因失效(CCF)共同原因失效：单一故障源导致一个系统内的多个部件故障。该故障源可能是系统内的，也可能是系统外的共同原因失效是由共同的根源导致的（类似）部件失效，而不是因系统中其它部件的失效连带引发的。根源是指共同的环境尘埃，空气湿度，无线电射频干扰等，还有例如共享一个电源停电、强烈的电磁或震动干扰、共处高热环境、系统设计不当失效、维修人为错误、多重通道之间未做隔离等例如：如果冷却风扇故障(单一点失效)，一个多信道PE系统的所有信道都可能故障，导致共同原因失效。然而，并不是说所有信道以相同的速度变热，或有相同的临界温度。因此，不同的通道会在不同的时间失效（多样的：使用不同的技术，设备或设计方法来实现共同的功能，其用意是将共同原因故障减至最少）目前二十页\总数三十七页\编于二十点共因失效与随机失效及系统性失效之关系共同原因失效的解读一般仅限于硬件失效－即与硬件制造商有最大关系的领域试图对系统性失效进行建模分析是不可行的(例如软件错误)目前二十一页\总数三十七页\编于二十点危险共因失效率：λDUβ+λDDβD防止共因失效的措施包括设计对策及人为管理对策等。将IEC61508-6,AnnexD,TableD.1中对于已实行对策项目，进行积分的加总。共同原因失效因子(CCFFactor)(IEC61508-6,AnnexD,TableD.1)Failure

channel2CommonCauseFailureCCFFailure

channel1目前二十二页\总数三十七页\编于二十点共同原因失效因子(CCFFactor)(IEC61508-6,AnnexD,TableD.1)β=不可能检测到的危险失效的共因失效因子β值可由IEC61508-6,AnnexD,TableD.4查得S值决定S=X+Y(X值与Y值可由IEC61508-6,AnnexD,TableD.1决定)βD=可能检测到的危险失效的共因失效因子βD值可由IEC61508-6,AnnexD,TableD.4查得SD值决定SD=X(Z+1)+Y(Z值可由IEC61508-6,AnnexD,TableD.2&D.3决定)目前二十三页\总数三十七页\编于二十点规程/人机界面能力/培训/安全素养环境的控制环境测试分离/隔开多样性与冗余复杂性/设计/应用/老化/经验评估/分析及数据反馈防止共因失效的措施的评分项目共计8大类：决定共同原因失效因子(IEC61508-6,AnnexD,TableD.1)目前二十四页\总数三十七页\编于二十点决定共同原因失效因子(IEC61508-6,AnnexD,TableD.2&3)目前二十五页\总数三十七页\编于二十点决定共同原因失效因子(IEC61508-6,AnnexD,TableD.4)目前二十六页\总数三十七页\编于二十点IEC61511/GB-T21109SIS安全生命周期管理功能安全管理、评估及稽核安全生命周期架构及规画危害及风险评估第8章分配安全功能至各保护层第9章操作及维护第16章第6.2章系统除役第18章系统修改第17章分析阶段运转阶段第5章拟定安全仪表系统之安全需求规范第10及12章安装、试俥及确认第14及15章其它风险降低方法之设计及开发第9章安全仪表系统之设计及工程第11及12章第7、12.4及12.7章验证(强制评估点)实现阶段目前二十七页\总数三十七页\编于二十点加氢饱和装置

HAZOP工艺偏离可能原因危害/后果既有防护措施严重性可能性风险等级改善建议高流量(氢气)高流量(低压蒸汽)低/无流量(C4)

1.FT/FIC/FV-1017故障开度过大或全开2.FT/FIC-1008故障高讯号3.AT/AIC-1001H2calculator失效1.TT/TIC-1019故障讯号偏低，造成FIC-1019开度过大2.FT/FIC/FV-1019故障开度过大或全开3.LT/LIC-1014故障低讯号FT/FIC/FV-1008故障开度过小1.氢气高流量造成过度氢化反应，使副反应(丁烷)增加2.过度氢化反应导致R-103高温，严重时造成温度失控，高温烧破反应器导致泄漏，可能造成火灾爆炸。氢化反应器烯烃聚合，导致催化剂结焦，严重时会造成热斑或温度失控，同R-103温度过高。1.使副反应(丁烷)增加2.烯烃在R-103中偏流导致局部过热，严重时造成失控反应。R-103设有TT-1037～1048A/B/C(2oo3)高温报警及高高温报警并联锁关断UV-1026A、UV-1026BR-103设有TT-1037～1048A/B/C(2oo3)高温报警及高高温报警并联锁关断UV-1029FALL-1013A/B/C联锁关断氢气进料UV-1026A/B、低压蒸汽UV-1029、E-106进料TV-1015A、旁路E-106(开1015B)5552323431.TIC-1019增设高温报警2.建议将FV-1019纳入IS-1001终端关断器，修改为1oo2Voting可同时关断控制阀FV-1019与UV-1029目前二十八页\总数三十七页\编于二十点HAZOP结合保护层分析(LOPA)123456789101112影响事件描述严重性等级引发原因引发可能性一般过程设计基本过程控制系统报警附加减轻，限制进入独立保护层中间的事件可能性安全仪表功能完整性等级已减轻事件的可能性过度氢化反应导致R-103高温，严重时造成温度失控，高温烧破反应器导致泄漏，可能造成火灾爆炸。

5FT/FV-1017故障全开FT/FV-1019故障全开FT/FV-1008故障开度过小DCS故障

0.15/year0.05/year11110.110.10.1111.5E-3/year5E-3/year6.5E-3/year1.6E-3(SIL2)1E-5/year目前二十九页\总数三十七页\编于二十点安全需求規範(SRS)-1SIF名称IEC61511-1条文：10.3.1a

选择性氢化第一级反应器R-103保护回路

危害事件说明IEC61511-1条文：10.3.1d

C4进料FT/FIC-1008故障高讯号、R-103进料管在线AT/AIC-1001及H2calculator失效、FT/FIC/FV-1017故障开度过大或全开等导致氢气补充气进料过高；或R-103入口TT/TIC-1019故障讯号偏低，造成FIC-1009开度过大、R-103预热器E-101冷凝罐D-107液位LT/LIC-1014故障低讯号、FT/FIC/FV-1019故障开度过大或全开等导致低压蒸汽热源供应过高，过度氢化反应造成R-103烯烃聚合，甚至催化剂结焦，严重时会造成温度失控。C4进料FT/FIC/FV-1008故障开度过小，烯烃在R-103中偏流导致局部过热，严重时亦会造成温度失控。高温烧破反应器导致泄漏，可能造成火灾爆炸。目前三十页\总数三十七页\编于二十点安全需求規範(SRS)-2安全状态

IEC61511-1条文：10.3.1c停进料/关出料/装置停车/排火炬起始事件

IEC61511-1条文：--

FT/FIC/FV-1017故障全开；FT/FIC/FV-1019故障全开；FT/FIC/FV-1008故障开度过小操作模式

IEC61511-1条文：10.3.1h低需求(LowDemand)SIF需求率IEC61511-1条文：10.3.1e0.2/year

目前三十一页\总数三十七页\编于二十点安全需求規範(SRS)-3SIL等级需求

IEC61511-1条文：10.3.1hSIL2检验测试周期

IEC61511-1条文：10.3.1f

3yearsSIF应答时间

IEC61511-1条文：10.3.1g5～10sec工艺应答时间

IEC61511-1条文：10.3.1g＞5min保护方式

IEC61511-1条文：10.3.1m失能(De-energize)目前三十二页\总数三十七页\编于二十点安全需求規範(SRS)-4手动停车

IEC61511-1条文：10.3.1l有

停机后复位

IEC61511-1条文：10.3.1n手动与基本过程控制系统(BPCS)及其它系统关系IEC61511-1条文：10.3.1rDCS按钮(HS-1004B、HS-1011)，阀位状态(ZLO/ZLC-1026A、ZLO/ZLC-1026B、ZLO/ZLC-1029)讯号送至DCS显示高温报警(TAH-1037～TAH-1048)及高高温报警(TAHH-1037A/B/C～TAHH-1048A/B/C)、低低流量报警(FALL-1013A/B/C)讯号送至DCS显示工艺凌驾POSIEC61511-1条文：10.3.1u开车期间以HS-1004BBypass低低流量关断UV-1026A/B功能目前三十三页\总数三十七页\编于二十点安全需求規範(SRS)-5传感器次系统

表决：1oo2传感器群组1：TT-1037A/B/C～1048A/B/C表决：1oo12传感器群组1.1：TT-1037A/B/C表决：2oo3联锁动作：高高温输出讯号至逻辑处理器(SafetyPLC)IEC61511-1条文：10.3.1i

作动设定：108℃IEC61511-1条文：10.3.1i共因失效来源：相同的组件、共同动力源、共同的接线线路、人为因素、类似的技术

IEC61511-1条文：10.3.1b

Beta共因失效因子：5%检验测试覆盖率/测试条件：95%类型：3-WireRTD传感器群组2：FT-1013A/B/C表决：2oo3联锁动作：低低流量输出讯号至逻辑处理器(S