功能安全技术与应用

安全安全仪表系统及其功能安全功能安全技术与应用中国安全生产科学研究院多英全

安全仪表系统123功能安全标准SIL评估技术安全仪表系统安全仪表系统SafetyInstrumentedSystem（SIS）

用来完成一个或多个安全仪表功能的仪表系统。安全仪表系统由传感器，控制器和最终元件组合而成。紧急停车系统（ESD）火/气保护系统（F&G）安全联锁系统（SIS）燃烧炉控制系统（BMS）高完整性压力保护系统（HIPPS）

安全仪表功能SafetyInstrumented

Function（SIF）液位开关逻辑控制器电磁阀泵电磁阀SIF1SIF2SIF3SIF4保护层中的位置层次名称说明第一层过程设计过程设计中实现本质安全第二层基本过程控制系统（BPCS）如DCS，以正常运行的监控为目的第三层区别于BPCS的重要报警操作员介入需要有一定的必要余度时第四层安全仪表系统（SIS）系统自动地使工厂安全停车。第五层物理防护层（一）安全阀泄压、过压保护系统第六层物理防护层（二）将泄漏液体局限在局部区域的防护堤第七层工厂内部紧急应对计划工厂内部的应急计划第八层周边区域防灾计划周边居民、公共设施的应急计划保护层中的位置作用：风险降低降低后果发生的概率特点：正常状况下是静态的、被动的，不需要人为干预危险情况出现时由静变动，正确完成其预定功能要求：正确的安全功能（安全仪表功能SIF）良好的可靠性（安全完整性等级SIL）功能安全标准两个重要标准IEC61508

FunctionalSafetyofelectrical/electronic/programmableelectronicsafetyrelatedsystems.GB/T20438电气\电子\可编程电子安全相关系统的功能安全

IEC

61511

Functionalsafety:

safety

instrumented

systems

forthe

process

industry

sectorGB/T21109过程工业领域安全仪表系统的功能安全第1部分：一般要求第2部分：电气/电子/可编程电子安全系统的要求第3部分：软件要求第4部分：定义和缩略语第5部分：确定安全完整性等级的方法示例第6部分：应用指南（对第2、3部分）第7部分：技术和测量概述IEC61508的组成IEC61511的组成IEC61511分为3个部分第1部分：框架、定义、系统、硬件和软件要求第2部分：IEC61511第1部分的应用指南第3部分：确定要求的安全完整性等级的指南IEC61508IEC61511过程工业IEC61800-5-2电力驱动IEC62061机械IEC61513核工业IEC50156加热炉IEC60601医疗设备EN50128铁路ISO26262汽车

两个重要概念

安全完整性等级

SafetyIntegrityLevel（SIL）在一定时间、一定条件下,安全系统执行其所规定的安全功能的可能性。安全完整性等级就是衡量这种能力大小的一种指标。安全完整性等级SIL是按照一定时间、一定条件下,安全系统能成功执行其安全功能的概率而划分的；SIL是安全系统执行其安全功能的可靠程度与能力的指标，是安全系统功能失效概率倒数的数量级。

两个重要概念

安全完整性等级

SafetyIntegrityLevel（SIL）风险概率=危险事件发生概率×安全系统要求时失效概率。SIL反映了安全系统能使过程风险降低的数量级。通过安全系统的作用，降低风险发生的概率，把系统风险降低到一个可以接受的水平

分为4个等级，SIL4的安全等级最高，其要求时失效概率低，能够使风险发生概率降低的能力强。过程工业中，安全功能的SIL等级一般为低要求操作模式下的SIL1到SIL3。安全完整性等级（SIL）低要求操作模式平均失效概率（PFD）安全有效性目标风险降低因子RRF4≥10-5且＜10-499.99—99.99910000-1000003≥10-4且＜10-399.9—99.991000-100002≥10-3且＜10-299—99.9100-10001≥10-2且＜10-190—9910-100

两个重要概念

安全生命周期

SaftyLifeCycle（SLC）安全生命周期：安全系统从概念设计到停用的整个过程。包括安全系统的设计、安装、验证、运行、维护、停用。在整个安全生命周期内，都应采取相关有效措施，使安全系统具备成功、正确执行其安全功能的能力。SIL评估技术SIL分级辨识SIFSIL分级SIL验证设备选择结构约束检验测试周期（1）SIL分级1）SIF辨识要求：执行一次过程危险分析（PHA）方法：建议HAZOP识别危险与危险事件辨识并评估现有安全功能（保护措施）进一步降低风险的建议措施安全仪表功能？

2）SIL分级所有安全系统和外部风险减轻设施所减少的风险剩余风险允许风险过程风险必要的风险降低实际的风险降低外部风险减轻设施减少的风险其他安全系统减少的风险SIS系统减少的风险主要技术方法有：保护层分析法（LOPA）-推荐使用风险图法风险矩阵推荐使用保护层分析法（LOPA）LayerofProtectionAnalysis

a.半定量的风险分析技术

b.过程危险分析（PHA）的延续c.用初始事件的频率、后果严重程度和IPLs失效频率数量级大小近似表征危险事件的风险

d.过程工业用于评估SIL要求的常用方法，用SIS填补风险缺口。危险事件；初始事件的频率；后果的严重性；识别满足保护功能及风险降低程度的IPL；风险“缺口”。蒸馏塔破裂引起火灾(死亡)严重冷却水中断0.10.10.0110-410-6PFD缺口0.01SIL2（2）SIL验证是否满足SIL要求PFD-安全性误动率是否满足要求-可用性检验测试周期确定进一步优化设计SIL的计算方法：故障树分析FTA（FaultTreeAnalysis）：对故障发生的基本原因进行推理分析，建立从结果到原因的描述故障的有向逻辑图，采用布尔逻辑图描述系统故障原因的各种可能组合，以计算系统故障概率。Markov模型：马尔科夫模型将安全相关系统归于不同的若干状态。一个状态会以某种概率转移到其它状态。根据模型得到相应条件下的事故发生概率。简化公式：故障树和马尔科夫模型都会有计算量随着系统规模增大而指数增长的问题。工程上常采用各种近似来减少计算量。传感器逻辑演算器执行器

35%15%50%系统的失效概率是各组成部件失效概率之和；系统的SIL是由各组成部件的SIL共同决定的a.SIS部件或子系统按IEC61508生产制造；b.SIS部件和子系统基于“先验使用”（PriorUse）；c.FVL可编程部件和子系统应符合IEC61508-2/3的相关要求；d.SIL4的SIS部件和子系统应符合IEC61508-2/3的相关要求；e.SIS部件和子系统选型应符合SRS的要求。设备选择结构约束-冗余容错

硬件故障裕度/硬件故障容错（HFT）:硬件功能单元在故障存在的情况下，持续完成所要求功能的能力。IEC61511逻辑控制器结构约束

SIL最低硬件故障裕度(HFT)SFF<60%SFF60%to90%SFF>90%1100221033214特殊要求应用-见IEC61508SIL最低硬件故障裕度（HFT）1021324特殊应用要求-见IEC61508

IEC61511传感器、最终元件和非PE逻辑控制器LT-101V-101LIC101LT-102SVIASLV-101XV-101产品分离器2oo2表决LT-101V-101LIC101LALSVIASSVIASLV-101XV-101XV-102产品分离器LALLT-102LT-1031oo2表决2oo3表决传感