功能安全技术与应用.ppt

安全安全仪表系统及其功能安全,功能安全技术与应用,中国安全生产科学研究院 多英全,安全仪表系统,1,2,3,功能安全标准,SIL评估技术,安全仪表系统,安全仪表系统 Safety Instrumented System（SIS） 用来完成一个或多个安全仪表功能的仪表系统。安全仪表系统由传感器，控制器和最终元件组合而成。,紧急停车系统（ESD） 火/气保护系统（F&G） 安全联锁系统（SIS） 燃烧炉控制系统（BMS） 高完整性压力保护系统（HIPPS）,安全仪表功能 Safety Instrumented Function（SIF）,逻辑控制器,SIF1,SIF2,SIF3,SIF4,保护层中的位置,保护层中的位置,作用： 风险降低 降低后果发生的概率,特点： 正常状况下是静态的、被动的，不需要人为干预 危险情况出现时由静变动，正确完成其预定功能,要求： 正确的安全功能（安全仪表功能SIF） 良好的可靠性（安全完整性等级SIL）,功能安全标准,IEC61508 Functional Safety of electrical / electronic / programmable electronic safety related systems. GB/T20438 电气电子可编程电子安全相关系统的功能安全 IEC 61511 Functionalsafety: safety instrumented systems forthe process industry sector GB/T21109 过程工业领域安全仪表系统的功能安全,第1部分：一般要求 第2部分：电气/电子/可编程电子安全系统的要求 第3部分：软件要求 第4部分：定义和缩略语 第5部分：确定安全完整性等级的方法示例 第6部分：应用指南（对第2、3部分） 第7部分：技术和测量概述,IEC61508的组成,IEC61511的组成,IEC61511分为3个部分 第1部分：框架、定义、系统、硬件和软件要求 第2部分： IEC61511第1部分的应用指南 第3部分：确定要求的安全完整性等级的指南,两个重要概念,安全完整性等级,Safety Integrity Level（SIL） 在一定时间、一定条件下, 安全系统执行其所规定的安全功能的可能性。 安全完整性等级就是衡量这种能力大小的一种指标。 安全完整性等级SIL是按照一定时间、一定条件下, 安全系统能成功执行其安全功能的概率而划分的；SIL是安全系统执行其安全功能的可靠程度与能力的指标，是安全系统功能失效概率倒数的数量级。,两个重要概念,安全完整性等级,Safety Integrity Level（SIL） 风险概率=危险事件发生概率安全系统要求时失效概率。 SIL反映了安全系统能使过程风险降低的数量级。 通过安全系统的作用，降低风险发生的概率，把系统风险降低到一个可以接受的水平 分为4个等级，SIL4的安全等级最高，其要求时失效概率低，能够使风险发生概率降低的能力强。 过程工业中，安全功能的SIL等级一般为低要求操作模式下的SIL1到SIL3。,两个重要概念,安全生命周期,Safty Life Cycle （SLC） 安全生命周期：安全系统从概念设计到停用的整个过程。包括安全系统的设计、安装、验证、运行、维护、停用。 在整个安全生命周期内，都应采取相关有效措施，使安全系统具备成功、正确执行其安全功能的能力。,SIL评估技术,SIL分级 辨识SIF SIL分级 SIL验证 设备选择 结构约束 检验测试周期,（1）SIL分级,1）SIF辨识 要求：执行一次过程危险分析（PHA） 方法：建议HAZOP 识别危险与危险事件 辨识并评估现有安全功能（保护措施） 进一步降低风险的建议措施 安全仪表功能？,2）SIL分级,所有安全系统和外部风险减轻设施所减少的风险,剩余风险,允许风险,过程风险,必要的风险降低,实际的风险降低,外部风险减轻设施 减少的风险,其他安全系统减少的风险,SIS系统减少的风险,主要技术方法有： 保护层分析法（LOPA）-推荐使用 风险图法 风险矩阵,推荐使用保护层分析法（LOPA） Layer of Protection Analysis,a. 半定量的风险分析技术 b. 过程危险分析（PHA）的延续 c. 用初始事件的频率、后果严重程度和IPLs失效频率数量级大小近似表征危险事件的风险 d. 过程工业用于评估SIL要求的常用方法，用SIS填补风险缺口。,危险事件； 初始事件的频率； 后果的严重性； 识别满足保护功能及风险降低程度的IPL； 风险“缺口”。,蒸馏塔破裂引起火灾(死亡),严重,冷却 水中 断,0.1,0.1,0.01,10-4,10-6,PFD缺口 0.01,SIL2,（2）SIL验证,是否满足SIL要求PFD-安全性 误动率是否满足要求-可用性 检验测试周期确定 进一步优化设计,SIL的计算方法： 故障树分析FTA（Fault Tree Analysis）：对故障发生的基本原因进行推理分析，建立从结果到原因的描述故障的有向逻辑图，采用布尔逻辑图描述系统故障原因的各种可能组合，以计算系统故障概率。 Markov模型：马尔科夫模型将安全相关系统归于不同的若干状态。一个状态会以某种概率转移到其它状态。根据模型得到相应条件下的事故发生概率。 简化公式：故障树和马尔科夫模型都会有计算量随着系统规模增大而指数增长的问题。工程上常采用各种近似来减少计算量。,传感器 逻辑演算器 执行器 35% 15% 50% 系统的失效概率是各组成部件失效概率之和； 系统的SIL是由各组成部件的SIL共同决定的,a.SIS部件或子系统按IEC61508生产制造； b.SIS部件和子系统基于“先验使用”（Prior Use）； c.FVL可编程部件和子系统应符合IEC61508-2/3的相关要求； d.SIL4的SIS部件和子系统应符合IEC61508-2/3的相关要求； e.SIS部件和子系统选型应符合SRS的要求。,设备选择,结构约束-冗余容错 硬件故障裕度/硬件故障容错（HFT）: 硬件功能单元在故障存在的情况下，持续完成所要求功能的能力。 IEC61511逻辑控制器结构约束,IEC61511传感器、最终元件和非PE逻辑控制器,2oo2表决,LT,-,101,V,-,101,LIC,101,LAL,SV,IAS,SV,IAS,LV,-,101,XV,-,101,XV,-,102,产品,分离器,LAL,LT,-,102,LT,-,103,1oo2 表决,2oo3表决,传感器结构安全性 1oo22oo31oo12oo2 传感器结构过