1安全仪表系统(SIS)SIL等级验证评估技术中国石油和化学工业联合会培训中心西安,July16,16张建国1FSExpertTÜVRheinland,#122/07,SIS2�总体介绍�SIS的基础知识�SIS的SIL评估�可靠性评估技术�SIS的应用-FGS�SIS的应用-BMS�练习�问与答23相关的法规和标准•国家安监总局安监总管三[2013]88号–关于加强化工安全管理的指导意见•国家安监总局安监总管三[2014]116号–关于加强化工安全仪表系统管理的指导意见•GB/T50770-2013石油化工安全仪表系统设计规范•GB/T21109-2007/IEC61511-2003过程工业领域安全仪表系统的功能安全(注:新版(ed2.0)的IEC61511已经发布FDIS版,预计2016年正式发布,GB/T21109也会随之升版)•GB/T20438-2006/IEC61508电气/电子/可编程电子安全相关系统的功能安全(注:IEC61508ed2.0已于2010年发布,国标委TC124正在做GB/T20438的升版工作)•ISA-TR84.00.03-2012MechanicalIntegrityofSafetyInstrumentedSystems(SIS)•ISA-TR84.00.07-2010GuidanceontheEvaluationofFire,CombustibleGasandToxicGasSystemEffectiveness•正在制定中–石油化工安全仪表系统安全完整性等级设计规范•GB/T32203-2015油气管道安全仪表系统的功能安全验收规范•GB/T32202-2015油气管道安全仪表系统的功能安全评估规范•…4•关于加强化工过程安全管理的指导意见–安监总管三〔2013〕88号七、设备完好性(完整性)(十七)设备安全运行管理。开展安全仪表系统安全完整性等级评估。企业要在风险分析的基础上,确定安全仪表功能(SIF)及其相应的功能安全要求或安全完整性等级(SIL)。企业要按照《过程工业领域安全仪表系统的功能安全》(GB/T21109)和《石油化工安全仪表系统设计规范》的要求,设计、安装、管理和维护安全仪表系统。•关于加强化工安全仪表系统管理的指导意见-安监总管三〔2014〕116号一、充分认识加强化工安全仪表系统管理工作的重要性(一)化工安全仪表系统(SIS)包括安全联锁系统、紧急停车系统和有毒有害、可燃气体及火灾检测保护系统等。。五、从源头加快规范新建项目安全仪表系统管理工作(十二)从2016年1月1日起,大型和外商独资合资等具备条件的化工企业新建涉及“两重点一重大”的化工装置和危险化学品储存设施,要按照本指导意见的要求设计符合相关标准规定的安全仪表系统。(十三)从2018年1月1日起,所有新建涉及“两重点一重大”的化工装置和危险化学品储存设施要设计符合要求的安全仪表系统。其他新建化工装置、危险化学品储存设施安全仪表系统,从2020年1月1日起,应执行功能安全相关标准要求,设计符合要求的安全仪表系统。六、积极推进在役安全仪表系统评估工作(十四)涉及“两重点一重大”在役生产装置或设施的化工企业和危险化学品储存单位,要在全面开展过程危险分析(如危险与可操作性分析)基础上,通过风险分析确定安全仪表功能及其风险降低要求,并尽快评估现有安全仪表功能是否满足风险降低要求。(十五)企业应在评估基础上,制定安全仪表系统管理方案和定期检验测试计划。对于不满足要求的安全仪表功能,要制定相关维护方案和整改计划,2019年底前完成安全仪表系统评估和完善工作。其他化工装置、危险化学品储存设施,要参照本意见要求实施。小知识:“两重点一重大”:重点监管的危险化工工艺、重点监管的危险化学品;重大危险源。35OverallSafety整体安全OccupationalSafety职业安全ProcessSafety过程安全FunctionalSafety功能安全关于加强化工过程安全管理的指导意见-安监总管三〔2013〕88号关于加强化工安全仪表系统管理的指导意见–安监总管三〔2014〕116号•功能安全是过程安全的组成部分,SIS的设计依据过程安全的需要;•同样,SIS的现场安装、投运、操作和维护,以及变更管理要依据国家过程安全管理的法律和法规等监管要求。过程安全与功能安全GB/T21109(IEC61511)的特征�基于风险降低�用风险(危险事件发生的概率*后果)量化安全;�不同组织有不同的风险降低要求,既使同一组织在不同的时期也有不同的可接受风险标准;�动态地控制风险�采用安全生命周期架构�基于“绩效”而非“硬性”规定;�系统性的方法论和行动指南;�技术体系和功能安全管理体系;�推荐了5个节点的功能安全评估�关注于SIS的设计和交付�从安全要求规格书(SRS)到现场确认(Validation);�“两头在外”:SIL定级方法和现场的运行管理模式取决于企业的过程安全管理(PSM)策略;6ZhangJianguo-IntellectualProperty4需要的安全水平?(SIL定级)SIS设计如何才能达到安全要求?(SIL实现)如何保持安全?(SIL维持)分析工程执行操作SIS安全完整性水平的传递SIS的安全完整性水平是从定级、设计、集成,交付,再到保持的过程,任何环节的错误,都将导致整个价值链的受损。7ZhangJianguo-IntellectualProperty资料来源:TechnicalReportISA-TR84.00.04-2005Part2:ExampleImplementationofANSI/ISA-84.00.01-2004(IEC61511Mod)Approved1December2005SIS生命周期分析阶段详细活动8510.SIS安装、调试,以及开车前验收测试安全要求规格书-7.SIS概念设计7a.选择技术7b.选择结构冗余:1oo1,1oo2,2oo3,1oo2D7c.确定测试策略7d.可靠性、安全性评估SILs达到要求SIL达到了吗?NoYes8.SIS详细设计工业数据库数据制造商的安装说明9.安装和调试计划制造商失效率数据详细设计文件–回路图、接线图、盘柜排布图、逻辑组态、安装要求、调试要求,等等制造商的安全手册选择传感器、逻辑处理器,以及最终元件的技术工程执行阶段-SIS/SIF设计、集成、安装,以及调试SIS生命周期在工程执行阶段的详细活动每个安全仪表功能的功能描述,目标SIL,与预防或减轻的风险,工艺参数,逻辑,旁路与维护要求,响应时间,等等9SIS的现场阶段主要工作:•SIS的安装与调试•SIS的安全确认(Validation)•SIS的操作和维护•SIS的检验测试和检查•SIS的修改•SIS的停用•功能安全评估•功能安全审核(每3~5年)106什么是SIS?11什么是SIS?•IEC61511(GB/T21109):-用于执行一个或多个安全仪表功能(SIF-SafetyInstrumentedFunction)的仪表系统。SIS是由传感器、逻辑控制器,以及最终元件组合而成的。-SIS可以包括、也可以不包括软件。-当操作人员的手动操作被视为SIS的有机组成部分时,必须在安全要求规格书(SRS-SafetyRequirementSpecification)中对人员操作动作的有效性和可靠性做出明确规定。127什么是SIF?-由SIS执行的、具有特定安全完整性等级(SIL-SafetyIntegrityLevel)的安全功能,用于应对特定的危险事件,达到或保持工艺过程的安全状态。-安全仪表功能可以是安全仪表保护功能,也可以是安全仪表控制功能。-SIF在物理结构上由传感器、逻辑控制器,以及最终元件构成。-请注意SIF与“联锁(Interlock)”的区别!13什么是SIL?-安全完整性(SafetyIntegrity):在规定的状态和时间周期内,SIS圆满完成所需SIF的能力。此处的能力包括功能响应(例如,在特定的时间内关闭某个特定的阀门),以及SIS完成所需动作的可能性。-安全完整性包括硬件安全完整性(HardwareSafetyIntegrity),和系统安全完整性(SystematicSafetyIntegrity)。148什么是SIL?-在功能安全标准中,用PFDavg/PFH表征SIL。不过,它衡量的是硬件安全完整性。-ANSI/ISA-84.01-1996:SIL1、SIL2、SIL3;-IEC61508:SIL1、SIL2、SIL3、SIL4;-IEC61511:SIL1、SIL2、SIL3、SIL4。不过,其所有的条款规定都是着眼于最高SIL3。在要求达到SIL4的应用场合,遵循IEC61508。-当过程危险和风险分析确认需要SIL3以上的安全完整性时,一般是提升应对同一危险事件的其它技术安全系统或外部风险降低的安全绩效,或增加这些非SIS安全措施,从而将对SIF的SIL要求降低到SIL3或以下。-IEC61508/IEC61511依据不同的操作模式,用不同的技术指标划分SIL等级。15操作模式–IEC61508-低要求模式(LowDemandModeofOperation):操作的要求频率不大于一次每年;也就是说,“要求”的时间间隔一年以上。用PFDavg表征。-高要求模式(HighDemandModeofOperation):操作的要求频率大于一次每年;也就是说,“要求”比较频繁,例如一年多次。用PFH表征。-连续模式(ContinuousModeofOperation):指“要求”不间断的工况,或者说,要求的时间间隔非常非常短。用PFH表征。16安全完整性等级安全完整性等级安全完整性等级安全完整性等级::::目标失效量目标失效量目标失效量目标失效量安全完整性等级安全完整性等级安全完整性等级安全完整性等级((((SIL))))低要求操作模式低要求操作模式低要求操作模式低要求操作模式((((在要求时完成其设计在要求时完成其设计在要求时完成其设计在要求时完成其设计功能的平均失效概率功能的平均失效概率功能的平均失效概率功能的平均失效概率PFDavg))))高要求或连续操作模式高要求或连续操作模式高要求或连续操作模式高要求或连续操作模式((((每小时危险失效率每小时危险失效率每小时危险失效率每小时危险失效率))))4≥10-5到到到到10-4≥10-9到到到到10-83≥10-4到到到到10-3≥10-8到到到到10-72≥10-3到到到到10-2≥10-7到到到到10-61≥10-2到到到到10-1≥10-6到到到到10-59操作模式–IEC61511-要求模式:安全仪表功能为响应工艺状态或其它要求发出特定的动作(例如,关闭阀门)。当安全仪表功能出现危险失效时,只有工艺过程出现异常或BPCS处于失效状态时,才可能发生潜在的危险。-连续模式:当安全仪表功能出现危险失效时,潜在的危险将立即发生,除非有预设的保护措施存在。连续模式涵盖安全仪表功能执行连续安全控制,保持功能安全的场合。连续模式在过程工业领域很罕见。1718SIS与SILSIS的不同类型和名称:•仪表保护系统•安全联锁系统•安全相关系统•紧急停车系统(ESD)•燃烧器管理系统(BMS)•火气系统(FGS)•高完整性压力保护系统(HIPPS)…几个关键概念:•安全仪表功能(SIF):由SIS执行的安全功能,并有特定的SIL等级。•安全仪表系统(SIS):用于执行一个或多个SIF的仪表系统。•安全手册:定义SIS设备、子系统,或者系统能够被安全应用的技术文件,可以包括来自制造商和最终用户的输入信息。•系统能力(SC):仪表设备满足特定SIL,其系统安全完整性的量度,表达为SC1~SC4。该仪表设备的使用,要符合其安全手册的要求。(系统能力主要是衡量软件)1019•三个重要的SIL特性:�应用于整个安全仪表功能/回路�SIL越高,要求越严格�既有技术要求,也有非技术要求(例如:功能安全管理)•评估(子
