安全仪表系统SIS培训课件.ppt

1、安全仪表系统SIS一些基本问题一些基本问题一为什么不用DCS执行安全功能？二1oo2和2oo3，哪一个更安全？三能否设计一个100%可靠和不会误跳车的联锁？四SIF什么情况可以删除/增加？五SIF/DCS分开和共享原则是什么？六SIL会不会增加成本？七SIS仪表如何采购，验证和维护？八SIF在天然气/原油长距离输送，和石化项目中，过压保护如何设计？DCSDCSIndicator/ControlleraTI/PCardESD SYSTEMIndividualProcessConnectionsDCSIndicator/AlarmaTSOVSSIS基本概念SIS基本概念基本概念一一安全仪表系统（安

2、全仪表系统（SISSIS）：）：由多个变送器，逻辑处理器和终端元件组成;工艺偏离正常值时，能把系统带回安全状态；SIS基本概念基本概念二二安全仪表功能（安全仪表功能（SIFSIF）是安全仪表系统中，为实现某一功能的单一回路；只针对特定一个隐患，把工艺系统带回安全状态；每一个SIF回路，对应一个SIL等级。SIS基本概念基本概念三三安全仪表系统生命周期安全仪表系统生命周期1.工艺流程 概念设计；2.识别隐患 危险源识别；3.SIL评估 LOPA分析；4.SIL等级 确定SIF冗余、增删和 其他非SIS措施；5.SIF设计 确定因果图和技术参 数；6.采购安装 PFD要求和验证；7.调试 频率和维

3、护。定义工艺流程定义工艺流程隐患识别和隐患识别和分层保护分析分层保护分析确定非确定非SISSIS措施措施是是不是不是设计、采购设计、采购安装、验证、试车安装、验证、试车维护、调试维护、调试确定确定SIF冗余冗余/增删增删其他预防其他预防/减缓措减缓措施施SIL评估评估SIS？结束结束SIS基本概念基本概念四四安全仪表系统故障模式安全仪表系统故障模式1.仪表故障可分为“安全失效S”和“危险失效D”。2.安全失效致误跳车，降低生产连续性；3.危险失效导致事故，降低安全可靠性；故障60%40%安全失效危险失效DSSIS基本概念基本概念四四安全仪表系统故障模式安全仪表系统故障模式安全可探测(SD)60

4、%40%安全失效安全失效危险失效危险失效SD(SU)安全不可探测(DD)危险可探测危险不可探测(DU)1.仪表故障分为可探测的可探测的和不可探测的不可探测的；2.“安全失效”和“危险失效”，均可分为“可探测的”和“不可探测的”；3.可探测的和不可探测的“安全失效”，会导致误跳车，把工艺带回安全状态；4.可探测的“危险失效”，可转换信号为为“安全失效”，把工艺带回安全状态；5.5.不可探测的不可探测的“危险失效危险失效”，不能被系，不能被系统设别，会导致安全事故统设别，会导致安全事故。SIS基本概念基本概念五五SIL定义定义1.Demand是工艺系统里，是非安全仪表系统的失效率失效率；2.PFD

5、=probability of Failure on Demand，是一个SIF回路的失效率失效率；SIL等级等级SIL 4SIL 3SIL 2SIL 1PFD 失效率失效率10-4 到到 10-510-3 到到 10-410-2 到到 10-310-1 到到 10-21.SIL是指一个一个SIF回路回路的可靠性要求，即PFD；2.按PFD所在区间的不同，把SIF回路划分为四个SIL等级。40%安全失效安全失效危险失效危险失效SD(DD)危险可探测危险不可探测(DU)PFDavg=1-e -DU*TI/260%SIS基本概念基本概念五五SIL定义定义1.一个SIF回路的PFD（失效率），是SI

6、F三个子系统PFD加和。即变送器、逻辑处理器、终端元件的加；2.单个仪表PFD=1-e -DU*TI/2的，约等于D*TI/2（参见IEC61508）；3.D为危险失效率，由仪表商提供；4.TI为仪表调试频率，由业主定义；5.从SIF回路计算的PFD，可验证回路是否能满足SIL等级的要求。40%安全失效安全失效危险失效危险失效SD(DD)危险可探测危险不可探测(DU)PFDavg=1-e -DU*TI/260%变送器变送器子系统子系统逻辑处理器逻辑处理器子系统子系统终端元件终端元件子系统子系统SIS基本概率运算A AB B简单概率运算法则简单概率运算法则P(A)=1 P(A)=1=1/6=1/

7、6 P(B)=3 P(B)=3=1/6=1/6P(A AND B)P(A AND B)=P(A)x P(B)=P(A)x P(B)P(A OR B)P(A OR B)=P(A)+P(B)=P(A)+P(B)SISSIS基本概率运算基本概率运算0.04 0.02A1oo1可能性可能性 跳车率跳车率 危险率危险率(降低生产连续性降低生产连续性)()(降低安全可靠性降低安全可靠性)SISSIS基本概率运算基本概率运算可能性可能性 跳车率跳车率 危险率危险率(降低生产连续性降低生产连续性)()(降低安全可靠性降低安全可靠性)SISSIS基本概率运算基本概率运算BA1oo2 0.08很安全，但跳车相对频

8、繁很安全，但跳车相对频繁0.0004可能性可能性 误跳车率误跳车率 危险率危险率(降低生产连续性降低生产连续性)()(降低安全可靠性降低安全可靠性)SISSIS基本概率运算基本概率运算AB2oo20.0016可避免频繁跳车，但安全性低可避免频繁跳车，但安全性低0.0416SISSIS基本概率运算基本概率运算2oo3ABC可能性可能性 误跳车率误跳车率 危险率危险率(降低生产连续性降低生产连续性)()(降低安全可靠性降低安全可靠性)0.00480.00480.00120.0012可避免频繁跳车，也可确保安全性可避免频繁跳车，也可确保安全性0.040.040.020.020.00480.00482

9、oo30.00120.0012安全性：安全性：1oo2 1oo2 2oo3 1oo1 2oo3 1oo1 2oo22oo2 连续性：连续性：2oo2 2oo2 2oo3 1oo1 2oo3 1oo1 1oo21oo2SISSIS基本概率运算基本概率运算1oo11oo22oo2可能性可能性 误跳车率误跳车率 危险率危险率(降低生产连续性降低生产连续性)()(降低安全可靠性降低安全可靠性)0.080.080.00040.00040.00160.0016 0.04 0.04冗余冗余比较比较一一PFD计算基本公式计算基本公式SISSIS基本概率运算基本概率运算冗余 1oo1 1oo2 2oo2 2oo

10、3 1oo2D MTBFsp 1/S1/(2S)1/(2S2*MTTR)1/(6S2*MTTR)1/(2S2*MTTR)PFD D(MTTR+TI/2)2D2(MTTR+TI/2)22D(MTTR+TI/2)6D2(MTTR+TI/2)22D2(MTTR+TI/2)2其中:MTTR=拆卸到检修完好的时间MDT(Mean Down Time)=(MTTR+TI/2)假设:1/MDT failure rateT I=调试间隔S =安全失效D =危险失效压力变送器1.各为2oo2的两组变送器，分别保证生产连续性；2.2oo2的两组变送器，组成1oo2确保安全可靠性；电磁阀和工艺阀门1.单个阀门两个电

11、磁阀构成2oo2，保证生产连续性；2.两个工艺阀门组成1oo2，保证安全可靠性。如何确保系统可靠性？避免误跳车？如何确保系统可靠性？避免误跳车？1oo22oo22oo2SISSIS基本概率运算基本概率运算工艺系统设计分析工艺系统设计分析工艺系统设计分析流程流程输入输入输出输出工艺流程概念设计工艺流程概念设计隐患识别和后果隐患识别和后果分层保护分析分层保护分析是是不是不是SIFSIF设计设计SILSIL等级等级确定非确定非SIS措施措施SIS？其他措施物料平衡危险源识别隐患的严重性可接受风险工艺流程图保护措施发生的可能性工艺流程图冗余、技术参数22工艺系统设计分析工艺系统设计分析1.确定可接受风

12、险（公司；环境/社区；地方法规）；2.识别潜在隐患、后果、发生可能性；过高估计后果：投资成本上升；过低估计后果：措施不足造成危险；4.识别非SIS措施：分层和100%胜任原则；5.风险比较：非SIS措施总风险低于可接受风险？其他新的控制措施？6.确定是否需要SIF和SIL等级；7.确定SIF回路设计和技术参数。可接受风险固有风险风险分层保护未采取任何措施基于公司、环境和法规各层措施分别降低风险一一设计分析流程（定量）设计分析流程（定量）23工艺系统设计分析工艺系统设计分析1.是指事故发生后，其影响范围内造成的人员伤亡、环境污染、财产损失、公司形象损害等。2.设计意义的后果，是基于一定的估算原则

13、。例如：人员伤亡：1个，2个，群是群伤等；环境污染：车间、厂内、厂外、跨境等；财产损失二二后果后果二、分层保护二、分层保护2.事故的发生是可以预防和事故的发生是可以预防和/或减缓的或减缓的n典型的预防措施典型的预防措施-生产操作程序生产操作程序DCS(DCS(基本工艺控制系统基本工艺控制系统)报警和操作工干预报警和操作工干预安全仪表系统安全仪表系统(SIS)SIS)n降低事故发生的可能性，来降低风险降低事故发生的可能性，来降低风险n典型的减缓措施：典型的减缓措施：控制点火源；控制点火源；火灾和气体探测系统火灾和气体探测系统围堰围堰应急撤退应急撤退n降低后果的严重性，来降低风险降低后果的严重性，

14、来降低风险一、可接受风险一、可接受风险1.1.风险很难降低到零；风险很难降低到零；2.2.风险下降越低，投资将越大；风险下降越低，投资将越大；3.3.人们的人们的“可接受风险可接受风险”，与事，与事故后果的故后果的“严重性严重性”相关。相关。最低合理可行原则（最低合理可行原则（ALARPALARP）一、可接受风险一、可接受风险根据事故后果的严重性，定义根据事故后果的严重性，定义“可接受的风险可接受的风险”轻微轻微(C(Ca a)严重严重(C Cb b)极严重极严重(C(Cc c)灾难性灾难性(C(Cd d)死亡死亡 0 0 0.10.1 1 1高于极严重高于极严重受伤受伤 0.50.5 2 2

15、 1515高于极严重高于极严重环境损失环境损失 ($k US)($k US)100100 10001000 1000010000高于极严重高于极严重财产损失财产损失 ($M US)($M US)5.05.0 50.050.0 500500高于极严重高于极严重可接受风可接受风险险(1/(1/年年)1010-3-3 1010-4-4 1010-5-5 1010-6-6化工装置可接受风险化工装置可接受风险二、分层保护二、分层保护1.1.每一层措施，都对安全做出贡献；每一层措施，都对安全做出贡献；2.2.一个成功，事故就不会发生或扩大；一个成功，事故就不会发生或扩大；3.3.保护层保护层总失效率总失效

16、率，应，应小于小于可接受风可接受风险险。二、分层保护（举例）二、分层保护（举例）总失效率：总失效率：1010-3-3+9+91010-4-4=1.9=1.91010-3-3,大于可接受风险大于可接受风险1010-4-4不符合安全要求！不符合安全要求！二、分层保护（举例）二、分层保护（举例）总失效率：总失效率：1010-4-4+9+91010-5-5=1.9=1.91010-4-4,大于可接受风险大于可接受风险1010-4-4不符合安全要求！不符合安全要求！可接受风险可接受风险1010-4-4高压报警高压报警 员工干预员工干预SISSIS后果和频率后果和频率容器破裂，泄漏到环境容器破裂，泄漏到环

17、境容器破裂，泄漏到环境容器破裂，泄漏到环境保护层保护层3 3二、分层保护（举例）二、分层保护（举例）总失效率：总失效率：1010-5-5+9+91010-5-5=1.9=1.91010-5-5,小于可接受风险小于可接受风险1010-4-4符合安全要求！符合安全要求！二、分层保护二、分层保护保护层必须是：保护层必须是：1.独立的独立的（Independence）；）；2.额定荷载的、可靠的额定荷载的、可靠的(Dependability)；3.针对性的针对性的（Specificity）;4.可审计的可审计的（Auditability）。三、独立保护层三、独立保护层独立保护层独立保护层，是能防止是能

18、防止工艺系统工艺系统隐患发生的装置、系统或行动隐患发生的装置、系统或行动。1.1.主动独立保护层主动独立保护层基本工艺控制系统基本工艺控制系统报警人工干预报警人工干预安全泄放阀门安全泄放阀门安全仪表系统安全仪表系统2.2.被动独立保护层被动独立保护层围堰围堰/围堤围堤全开的排气筒全开的排气筒抗爆墙抗爆墙阻火器阻火器四、四、SILSIL概念概念1.保护层总失效率保护层总失效率 可接受风险；可接受风险；2.保护层总失效率保护层总失效率=SIS保护层保护层 +非非SIS保护层失效率；保护层失效率；SIS失效率失效率=可接受风险可接受风险 非非SIS保护层保护层失效率失效率四、四、SILSIL概念概念

19、SIL级别级别SIL 4SIL 3SIL 2SIL 1失效率（失效率（PFD）10-4 to 10-510-3 to 10-410-2 to 10-310-1 to 10-23.一个一个SIF对应一个对应一个SIL级别；级别；4.一个一个SIS可能有很多可能有很多SIL级别。级别。1.现有技术，现有技术，SIS失效率最低只能失效率最低只能降到降到SIL4；2.化工系统最多化工系统最多SIL3，不推荐，不推荐SIL4，除非除非五、五、SILSIL在在SISSIS设计的应用设计的应用1.1.根据根据SILSIL审查的意见，考虑审查的意见，考虑增加或删除增加或删除安全仪表功能；安全仪表功能；例：例：

20、根据根据SILSIL评估结果，确定输油管是否需要紧急切断系统（评估结果，确定输油管是否需要紧急切断系统（SISSIS）？海洋海洋五、五、SILSIL在在SISSIS设计的应用设计的应用1)1)调整安全仪表功能的冗余设计：变调整安全仪表功能的冗余设计：变送器，逻辑处理器，和终端元件；送器，逻辑处理器，和终端元件；变变IEC61511-1 表表5 送器，终端元件，和非送器，终端元件，和非PE逻辑处理器逻辑处理器2.2.调整调整冗余冗余2)2)根据：根据：IEC61511-1IEC61511-1的第的第11.4“11.4“硬件硬件容错要求容错要求”；五、五、SILSIL在在SISSIS设计的应用设计

21、的应用SILSIL最低冗余要求最低冗余要求（参阅（参阅11.4.311.4.3和和11.4.411.4.4）最低冗余要求最低冗余要求（如满足（如满足11.4.411.4.4）1 10 00 02 21 10 03 32 21 14 4参照参照IEC 61508IEC 61508参照参照IEC 61508IEC 61508IEC 61511-1 IEC 61511-1 表表6 6变送器，终端元件，和非变送器，终端元件，和非PE逻辑处理器逻辑处理器3)3)不建议不建议SIL4SIL4：避免过度冗余、生产：避免过度冗余、生产、维护等问题；、维护等问题；4)4)考虑考虑“非非SISSIS”措施，降低措

22、施，降低SILSIL等级等级2.2.调整调整冗余冗余DCSDCSIndicator/ControlleraTI/PCardESD SYSTEMIndividualProcessConnectionsDCSIndicator/AlarmaTSOVI-PSSISDCSDCSIndicator/ControlleraTI/PCardESD SYSTEMIndividualProcessConnectionsDCSIndicator/AlarmaTSOVSSIS五、五、SILSIL在在SISSIS设计的应用设计的应用2.2.冗余冗余调整：调整：SIL1SIL1DCSDCSIndicator/Contr

23、olleraTI/PCardESD SYSTEMIndividualProcessConnectionsDCSIndicator/AlarmaTSOVSSOVSDCSDCSIndicator/ControlleraTI/PCardESD SYSTEMIndividualProcessConnectionsDCSIndicator/AlarmaTSOVI-PSSOVSDCSDCSIndicator/ControlleraTI/PCardESD SYSTEMIndividualProcessConnectionsDCSIndicator/AlarmaTELECTRICAL MCCDedicated

24、 ESD Relay InMCC.(440V or 11kV)五、五、SILSIL在在SISSIS设计的应用设计的应用2.2.冗余调整冗余调整：SIL2SIL2DCSDCSIndicator/ControlleraTI/PCardESD SYSTEMIndividualProcessConnectionsDCSIndicator/AlarmaTSOVI-PSSOVSI/PCardaTI/PCardaTDCSDCSIndicator/ControlleraTI/PCardESD SYSTEMIndividualProcessConnectionsDCSIndicator/AlarmaTI-PSO

25、VSI/PCardaTI/PCardaTSOVSDCSDCSIndicator/ControlleraTI/PCardESD SYSTEMIndividualProcessConnectionsDCSIndicator/AlarmaTI/PCardaTI/PCardaTELECTRICAL MCCRelay 1Relay 2Relays voted 1oo2 withinswitchgear to tripequipment五、五、SILSIL在在SISSIS设计的应用设计的应用2.2.冗余调整冗余调整：SIL3SIL3五、五、SILSIL和和SISSIS设计设计3.3.考虑考虑SISSIS和

26、和DCSDCS分开分开或或共用共用设计设计1)1)变送器变送器/阀门共用：阀门共用：DCSDCS的失效，不影响的失效，不影响SISSIS的的SILSIL等级；等级；2)2)变送器变送器/阀门分开：阀门分开：避免两则者同时失效；避免两则者同时失效；避免不经意的变更，影响避免不经意的变更，影响SISSIS安全功能；安全功能；3)3)逻辑处理器共用逻辑处理器共用(成套设备成套设备)：提高整个逻辑处理器可靠性；提高整个逻辑处理器可靠性；整个系统的运行、变更、维护、整个系统的运行、变更、维护、调试，按照调试，按照SISSIS看待；看待；系统组态和编程设置权限。系统组态和编程设置权限。原则：原则：SIS/

27、DCSSIS/DCS分开设计，但分开设计，但DCSDCS失效不影响失效不影响SISSIS可靠性可靠性时，可共用时，可共用五、五、SILSIL和和SISSIS设计设计3.3.考虑考虑SISSIS和和DCSDCS分开分开或或共用共用设计设计DCSDCSIndicator/ControlleraTI/PCardESD SYSTEMIndividualProcessConnectionsDCSIndicator/AlarmaTSOVI-PSSOVS1)三个变送器中间值做控制用途，三个变送器中间值做控制用途，2oo3做做SIS联锁用途联锁用途2)仅用于仅用于SIF SIL 1。1)可用于可用于 SIL

28、1；2)两位阀失效率满足两位阀失效率满足SIL2时，时，SIL23)调节阀失效非调节阀失效非SIF动作原因时，动作原因时，SIL3高压氮气氮气缓冲罐去气化炉吹扫中间值2oo3联锁五、五、SILSIL和和SISSIS设计设计4.4.考虑考虑SISSIS仪表仪表冗余多样性冗余多样性：减少：减少“共同原因失效共同原因失效”4.14.1 采用不同采用不同“厂家厂家”，“原理原理”产品，产品，“型号型号”产品；产品；FO FC FC FO FC FC FT XV+XV+XV XV+XV+FV RO RO FIC FYFTFTFEUSUS US氧气氮气FT气化炉通大气SISDCS气化炉气化炉高压氧气高压氧

29、气高压氮气高压氮气通大气通大气4.2SIL3：应应考虑与考虑与DCS分开和仪表冗余多分开和仪表冗余多样性；样性；五、五、SILSIL和和SISSIS设计设计4.4.考虑考虑SISSIS仪表仪表冗余多样性冗余多样性：减少：减少“共同原因失效共同原因失效”4.3 SIL4：必须必须考虑与考虑与DCS分开，必须采用仪表冗余多样性；分开，必须采用仪表冗余多样性；4.4 SIL只考虑安全可靠性，只考虑安全可靠性，SIS设计还应考虑生产连续性。设计还应考虑生产连续性。锅炉或氨罐过压保护联锁锅炉或氨罐过压保护联锁a.a.压力和温度信号组成压力和温度信号组成1oo21oo2；b.b.温度设定值，为对应起跳压力

30、的饱温度设定值，为对应起跳压力的饱和蒸气压和蒸气压c.c.两个不同检测原理信号，消除两个不同检测原理信号，消除“相相同原因失效同原因失效”五、五、SILSIL和和SISSIS设计设计5.5.HIPSHIPS设计（应用于火炬系统设计）设计（应用于火炬系统设计）5.15.1 工厂火炬系统工厂火炬系统去 火 炬精馏塔 12oo3蒸 汽联 锁精馏塔 2精馏塔 3精馏塔 42oo3蒸 汽联 锁2oo3蒸 汽联 锁2oo3蒸 汽联 锁备注：备注：通过通过SISSIS切断再沸器蒸汽，安全阀将不会起跳，关键是切断再沸器蒸汽，安全阀将不会起跳，关键是SISSIS可靠性可靠性五、五、SILSIL和和SISSIS设

31、计设计5.5.HIPSHIPS设计（应用于火炬系统设计）设计（应用于火炬系统设计）5.25.2 天然气、原油长距离输送系统天然气、原油长距离输送系统备注：备注：任何一个接力压缩机站跳车，上游将全线超压任何一个接力压缩机站跳车，上游将全线超压PT五、五、SILSIL和和SISSIS设计设计5.5.HIPSHIPS设计设计(火炬系统设计火炬系统设计 ）SISSIS失效失效总总负荷负荷火炬火炬背压背压MPagMPag火炬头火炬头马赫数马赫数ESDESD失效概率失效概率SIL1SIL1SIL2SIL2SIL3SIL31 1个个20200 0.9.90.2960.2961010-2-21010-3-31

32、010-4-42 2个个35351.311.310.5190.5191010-3-31010-5-51010-7-73 3个个4242-0.6830.6831010-4-41010-7-71010-10-104 4个个4848-1010-5-51010-9-9设计前提：设计前提：1.1.火炬头马赫数不能超过火炬头马赫数不能超过0.50.5；2.2.各安全阀出口背压，不高于起跳压力各安全阀出口背压，不高于起跳压力10%(10%(弹簧弹簧),),或或50%(50%(先导或波纹管先导或波纹管)；3.3.火炬总管超压火炬总管超压150200%150200%概率，概率，10 10-5-5；4.4.确定失

33、效确定失效SISSIS数量，作为火炬系统设计数量，作为火炬系统设计负荷。负荷。五、五、SILSIL和和SISSIS设计设计6.6.破管保护破管保护 高压氧气管线；天然气长距离管线；五、五、SILSIL和和SISSIS设计设计6.6.破管保护破管保护 原油长距离输；海洋石油生产和输送；罐区管线等等。SILSIL评估确定保护在评估确定保护在SISSIS或或DCSDCS实现实现安全要求规范安全要求规范假设假设SIS的设计已经满足下列要求：的设计已经满足下列要求：SIL等级的可靠性要求；等级的可靠性要求；与与DCS分开设计的要求；分开设计的要求；冗余要求；冗余要求；多样性要求。多样性要求。但但SIS在事故发生前，却不一定动作。在事故发生前，却不一定动作。原因之一，可能是原因之一，可能是安全要求安全要求设计错误。设计错误。问题：问题：安全要求规范安全要求规范假设假设SIS的设计已经满足下列要求：的设计已经满足下列要求：SIL等级的可靠性要求；等级的可靠性要求；与与DCS分开设计的要求；分开设计的要求；冗余要求；冗余要求；多样性要求。多样性要求。案例分析：案例分析：2oo3去联锁去联锁1个变送器去控制个变送器去控制NMP贫液含乙炔合成气含乙炔合成气NMP富液合成气去压缩机合成气去压缩机脱乙炔塔去火炬去火炬Thanks