安全仪表系统SIS(1).ppt

1、安全仪表系统SIS 一些基本问题一些基本问题 一为什么不用DCS执行安全功能？ 二1oo2和2oo3，哪一个更安全？ 三能否设计一个100%可靠和不会误跳车 的联锁？ 四SIF什么情况可以删除/增加？ 五SIF/DCS分开和共享原则是什么？ 六SIL会不会增加成本？ 七SIS仪表如何采购，验证和维护？ 八SIF在天然气/原油长距离输送，和石化 项目中，过压保护如何设计？ DCS DCS Indicator/ Controller aT I/P CardESD SYSTEM Individual Process Connections DCS Indicator/ Alarm aT SOV S

2、DCS DCS Indicator/ Controller aT I/P CardESD SYSTEM Individual Process Connections DCS Indicator/ Alarm aT SOV I-P S SIS基本概念 SIS基本概念基本概念 一一安全仪表系统（安全仪表系统（SISSIS）：）： 由多个变送器，逻辑处理器和终端元 件组成; 工艺偏离正常值时，能把系统带回安 全状态； SIS基本概念基本概念 二二安全仪表功能（安全仪表功能（SIFSIF） 是安全仪表系统中，为实现某 一功能的单一回路； 只针对特定一个隐患，把工艺 系统带回安全状态； 每一个SIF回路

3、，对应一个SIL 等级。 SIS基本概念基本概念 三三安全仪表系统生命周期安全仪表系统生命周期 1. 工艺流程 概念设计； 2. 识别隐患 危险源识别； 3. SIL评估 LOPA分析； 4. SIL等级 确定SIF冗余、增删和 其他非SIS措施； 5. SIF设计 确定因果图和技术参 数； 6. 采购安装 PFD要求和验证； 7. 调试 频率和维护。 定义工艺流程定义工艺流程 隐患识别和隐患识别和 分层保护分析分层保护分析 确定非确定非SISSIS措施措施 是是 不是不是 设计、采购设计、采购 安装、验证、试车安装、验证、试车 维护、调试维护、调试 确定确定SIF冗余冗余/ /增删增删 其他

4、预防其他预防/ /减缓措施减缓措施 SIL评估评估 SIS？ 结束结束 SIS基本概念基本概念 四四安全仪表系统故障模式安全仪表系统故障模式 1. 仪表故障可分为“安全失效S”和 “危险失效D”。 2. 安全失效致误跳车，降低生产连续性； 3. 危险失效导致事故，降低安全可靠性； 故障 60% 40% 安全失效 危险失效 D S SIS基本概念基本概念 四四安全仪表系统故障模式安全仪表系统故障模式 安全可探测 (SD) 60% 40% 安全失效安全失效 危险失效危险失效 S D (SU) 安全不可探测 (DD) 危险可探测 危险不可探测 (DU) 1. 仪表故障分为可探测的可探测的和不可探测的

5、不可探测的； 2. “安全失效” 和“危险失效”，均可 分为“可探测的”和“不可探测的”； 3. 可探测的和不可探测的“安全失效”， 会导致误跳车，把工艺带回安全状态； 4. 可探测的“危险失效”，可转换信号为 为“安全失效”，把工艺带回安全状态； 5.5. 不可探测的“危险失效”，不能被系不可探测的“危险失效”，不能被系 统设别，会导致安全事故统设别，会导致安全事故。 SIS基本概念基本概念 五五SIL定义定义 1. Demand是工艺系统里，是非安全仪表系 统的失效率失效率； 2. PFD=probability of Failure on Demand， 是一个SIF回路的失效率失效率；

6、 SIL等级等级 SIL 4 SIL 3 SIL 2 SIL 1 PFD 失效率失效率 10-4 到到 10-5 10-3 到到 10-4 10-2 到到 10-3 10-1 到到 10-2 1. SIL是指一个一个SIF回路回路的可靠性要求，即 PFD； 2. 按PFD所在区间的不同，把SIF回路划分 为四个SIL等级。 40% 安全失效安全失效 危险失效危险失效 S D (DD) 危险可探测 危险不可探测 (DU) PFDavg = 1 - e - - DU*TI/2 60% SIS基本概念基本概念 五五SIL定义定义 1. 一个SIF回路的PFD（失效率），是 SIF三个子系统PFD加和

7、。即变送器、 逻辑处理器、终端元件的加和和； 2. 单个仪表PFD = 1 - e - - DU*TI/2的，约 等于D *TI/2（参见IEC61508）； 3. D为危险失效率，由仪表商提供； 4. TI为仪表调试频率，由业主定义； 5. 从SIF回路计算的PFD，可验证回路 是否能满足SIL等级的要求。 40% 安全失效安全失效 危险失效危险失效 S D (DD) 危险可探测 危险不可探测 (DU) PFDavg = 1 - e - - DU*TI/2 60% 变送器变送器 子系统子系统 逻辑处理器逻辑处理器 子系统子系统 终端元件终端元件 子系统子系统 SIS基本概率运算 A A B

8、B 简单概率运算法则简单概率运算法则 P(A) = 1 P(A) = 1 = 1/6= 1/6 P(B) = 3 P(B) = 3 = 1/6= 1/6 P(A AND B)P(A AND B) = P(A) x P(B)= P(A) x P(B) P(A OR B)P(A OR B) = P(A) + P(B)= P(A) + P(B) SISSIS基本概率运算基本概率运算 0.04 0.02 A 1oo1 可能性可能性 跳车率跳车率 危险率危险率 ( (降低生产连续性降低生产连续性) () (降低安全可靠性降低安全可靠性) ) SISSIS基本概率运算基本概率运算 可能性可能性 跳车率跳车

9、率 危险率危险率 ( (降低生产连续性降低生产连续性) () (降低安全可靠性降低安全可靠性) ) SISSIS基本概率运算基本概率运算 B A 1oo2 0.08 很安全，但跳车相对频繁很安全，但跳车相对频繁 0.0004 可能性可能性 误跳车率误跳车率 危险率危险率 ( (降低生产连续性降低生产连续性) () (降低安全可靠性降低安全可靠性) ) SISSIS基本概率运算基本概率运算 A B 2oo2 0.0016 可避免频繁跳车，但安全性低可避免频繁跳车，但安全性低 0.04 16 SISSIS基本概率运算基本概率运算 2oo3 A B C 可能性可能性 误跳车率误跳车率 危险率危险率

10、( (降低生产连续性降低生产连续性) () (降低安全可靠性降低安全可靠性) ) 0.00480.0048 0.00120.0012 可避免频繁跳车，也可确保安全性可避免频繁跳车，也可确保安全性 0.040.04 0.020.02 0.00480.0048 2oo3 0.00120.0012 安全性：安全性：1oo2 1oo2 2oo3 1oo1 2oo3 1oo1 2oo22oo2 连续性：连续性：2oo2 2oo2 2oo3 1oo1 2oo3 1oo1 1oo21oo2 SISSIS基本概率运算基本概率运算 1oo1 1oo2 2oo2 可能性可能性 误跳车率误跳车率 危险率危险率 (

11、(降低生产连续性降低生产连续性) () (降低安全可靠性降低安全可靠性) ) 0.080.08 0.00040.0004 0.00160.0016 0.040.04 冗余冗余 比较比较 一一PFD计算基本公式计算基本公式 SISSIS基本概率运算基本概率运算 冗余 1oo1 1oo2 2oo2 2oo3 1oo2D MTBFsp 1/S 1/(2S) 1/(2S2 * MTTR ) 1/(6S2 * MTTR ) 1/(2S2 * MTTR ) PFD D (MTTR+TI/2) 2D2 (MTTR+TI/2)2 2D (MTTR+TI/2) 6D2 (MTTR+TI/2)2 2D2 (MTT

12、R+TI/2)2 其中: MTTR = 拆卸到检修完好的时间 MDT (Mean Down Time) = (MTTR + TI/2) 假设: 1/MDT failure rate T I = 调试间隔 S = 安全失效 D = 危险失效 压力变送器 1. 各为2oo2的两组变送器，分别保证生产连 续性； 2. 2oo2的两组变送器，组成1oo2确保安全可 靠性； 电磁阀和工艺阀门 1. 单个阀门两个电磁阀构成2oo2，保证生产连 续性； 2. 两个工艺阀门组成1oo2，保证安全可靠性。 如何确保系统可靠性？避免误跳车？如何确保系统可靠性？避免误跳车？ 1oo2 2oo2 2oo2 SISSI

13、S基本概率运算基本概率运算 工艺系统设计分析 工艺系统设计分析工艺系统设计分析 流程流程 输入输入 输出输出 工艺流程概念设计工艺流程概念设计 隐患识别和后果隐患识别和后果 分层保护分析分层保护分析 是是 不是不是 SIFSIF设计设计 SILSIL等级等级 确定非确定非SIS措施措施 SIS？ 其他措施 物料平衡 危险源识别 隐患的严重性 可接受风险 工艺流程图 保护措施 发生的可能性 工艺流程图 冗余、技术参数 22 工艺系统设计分析工艺系统设计分析 1. 确定可接受风险（公司；环境/社区； 地方法规）； 2. 识别潜在隐患、后果、发生可能性； 过高估计后果：投资成本上升； 过低估计后果：

14、措施不足造成危险； 4. 识别非SIS措施：分层和100%胜任原则； 5. 风险比较： 非SIS措施总风险低于可接受风险？ 其他新的控制措施？ 6. 确定是否需要SIF和SIL等级； 7. 确定SIF回路设计和技术参数。 可接受风险 固有风险 风险 分层保护 未采取任何 措施 基于公司、 环境和法规 各层措施分 别降低风险 一一设计分析流程（定量）设计分析流程（定量） 23 工艺系统设计分析工艺系统设计分析 1. 是指事故发生后，其影响范围内造成的人 员伤亡、环境污染、财产损失、公司形象 损害等。 2. 设计意义的后果，是基于一定的估算原则。 例如： 人员伤亡：1个，2个，群是群伤等； 环境污

15、染：车间、厂内、厂外、跨境 等； 财产损失 二二后果后果 二、分层保护二、分层保护 原因后果事故 预防措施 （控制事故发生） 减缓措施 （降低后果的风险） 原因后果事故 预防措施 （控制事故发生） 减缓措施 （降低后果的风险） 2. 事故的发生是可以预防和事故的发生是可以预防和/或减缓的或减缓的 典型的预防措施典型的预防措施 - - 生产操作程序生产操作程序 DCS (DCS (基本工艺控制系统基本工艺控制系统) ) 报警和操作工干预报警和操作工干预 安全仪表系统安全仪表系统( (SIS)SIS) 降低事故发生的可能性，来降低风险降低事故发生的可能性，来降低风险 典型的减缓措施：典型的减缓措施

16、： 控制点火源；控制点火源； 火灾和气体探测系统火灾和气体探测系统 围堰围堰 应急撤退应急撤退 降低后果的严重性，来降低风险降低后果的严重性，来降低风险 一、可接受风险一、可接受风险 1.1.风险很难降低到零；风险很难降低到零； 2.2.风险下降越低，投资将越大；风险下降越低，投资将越大； 3.3.人们的“可接受风险”，与事人们的“可接受风险”，与事 故后果的“严重性”相关。故后果的“严重性”相关。 最低合理可行原则（最低合理可行原则（ALARPALARP） 一、可接受风险一、可接受风险 根据事故后果的严重性，定义“可接受的风险”根据事故后果的严重性，定义“可接受的风险” 轻微轻微 (C(Ca

17、 a) ) 严重严重 ( (C Cb b) ) 极严重极严重 (C(Cc c) ) 灾难性灾难性 (C(Cd d) ) 死亡死亡 0 0 0.10.1 1 1 高于极严重高于极严重 受伤受伤 0.50.5 2 2 1515 高于极严重高于极严重 环境损失环境损失 ($k US)($k US) 100100 10001000 1000010000 高于极严重高于极严重 财产损失财产损失 ($M US)($M US) 5.05.0 50.050.0 500500 高于极严重高于极严重 可接受风可接受风 险险(1/(1/年年) ) 1010- -3 3 1010- -4 4 1010- -5 5 1

18、010- -6 6 化工装置可接受风险化工装置可接受风险 二、分层保护二、分层保护 1.1.每一层措施，都对安全做出贡献；每一层措施，都对安全做出贡献； 2.2.一个成功，事故就不会发生或扩大；一个成功，事故就不会发生或扩大； 3.3.保护层保护层总失效率总失效率，应，应小于小于可接受风可接受风 险险。 PRV LSHH FIC LSH LAH Chemical = A Material = B Pressure = X Temp. = Y Volume = Z PRV LSHH FIC LSH LAH Chemical = A Material = B Pressure = X Temp.

19、= Y Volume = Z 二、分层保护（举例）二、分层保护（举例） 总失效率：总失效率：1010- -3 3 + 9+ 91010- -4 4 = 1.9= 1.91010- -3 3 , , 大于可接受风险大于可接受风险1010- -4 4 不符合安全要求！不符合安全要求！ 二、分层保护（举例）二、分层保护（举例） 总失效率：总失效率：1010- -4 4 + 9+ 91010- -5 5 = 1.9= 1.91010- -4 4 , , 大于可接受风险大于可接受风险1010- -4 4 不符合安全要求！不符合安全要求！ 可接受风险可接受风险1010- -4 4 高压报警高压报警 员工干

20、预员工干预 SIS SIS 后果和频率后果和频率 容器破裂，泄漏到环境容器破裂，泄漏到环境 容器破裂，泄漏到环境容器破裂，泄漏到环境 保护层保护层3 3 二、分层保护（举例）二、分层保护（举例） 总失效率：总失效率：1010- -5 5 + 9+ 91010- -5 5 = 1.9= 1.91010- -5 5 , , 小于可接受风险小于可接受风险1010- -4 4 符合安全要求！符合安全要求！ 二、分层保护二、分层保护 Risk Reduction by Other Means Initial Risk Without reduction measures Risk Reduction b

21、y Inherent Process Stability Risk Reduction by Basic Process Control Risk Reduction by Pre Alarms Risk Reduction by Instrumented Protective Functions Risk Reduction by Mechanical Devices Increasing Risk Total Risk Reduction Layers of Protection Tolerable Risk Defined by corporate risk tolerability c

22、riteria Residual risk 其他风险降低途径其他风险降低途径 通过机械装置降低风险通过机械装置降低风险 通过安全仪表系统降低风险通过安全仪表系统降低风险 通过报警干预降低风险通过报警干预降低风险 通过基本工艺控制系统，降低风险通过基本工艺控制系统，降低风险 通过工艺系统本身的稳定性，降低风险通过工艺系统本身的稳定性，降低风险 无措施时的最初风险无措施时的最初风险 风险风险 保护措施保护措施 残余风险残余风险 可接受的风险可接受的风险 由各公司定义由各公司定义 总 的 风 险 降 低 程 度 总 的 风 险 降 低 程 度 Risk Reduction by Other Mean

23、s Initial Risk Without reduction measures Risk Reduction by Inherent Process Stability Risk Reduction by Basic Process Control Risk Reduction by Pre Alarms Risk Reduction by Instrumented Protective Functions Risk Reduction by Mechanical Devices Increasing Risk Total Risk Reduction Layers of Protecti

24、on Tolerable Risk Defined by corporate risk tolerability criteria Residual risk 其他风险降低途径其他风险降低途径 通过机械装置降低风险通过机械装置降低风险 通过安全仪表系统降低风险通过安全仪表系统降低风险 通过报警干预降低风险通过报警干预降低风险 通过基本工艺控制系统，降低风险通过基本工艺控制系统，降低风险 通过工艺系统本身的稳定性，降低风险通过工艺系统本身的稳定性，降低风险 无措施时的最初风险无措施时的最初风险 风险风险 保护措施保护措施 Risk Reduction by Other Means Initial

25、 Risk Without reduction measures Risk Reduction by Inherent Process Stability Risk Reduction by Basic Process Control Risk Reduction by Pre Alarms Risk Reduction by Instrumented Protective Functions Risk Reduction by Mechanical Devices Increasing Risk Total Risk Reduction Layers of Protection Tolera

26、ble Risk Defined by corporate risk tolerability criteria Residual risk 其他风险降低途径其他风险降低途径 通过机械装置降低风险通过机械装置降低风险 通过安全仪表系统降低风险通过安全仪表系统降低风险 通过报警干预降低风险通过报警干预降低风险 通过基本工艺控制系统，降低风险通过基本工艺控制系统，降低风险 通过工艺系统本身的稳定性，降低风险通过工艺系统本身的稳定性，降低风险 无措施时的最初风险无措施时的最初风险 风险风险 保护措施保护措施 残余风险残余风险 可接受的风险可接受的风险 由各公司定义由各公司定义 总 的 风 险 降 低

27、 程 度 总 的 风 险 降 低 程 度 PRV LSHH FIC LSH LAH Chemical = A Material = B Pressure = X Temp. = Y Volume = Z PRV LSHH FIC LSH LAH Chemical = A Material = B Pressure = X Temp. = Y Volume = Z 保护层必须是：保护层必须是： 1.独立的独立的（Independence）；）； 2.额定荷载的、可靠的额定荷载的、可靠的(Dependability)； 3.针对性的针对性的（Specificity）; 4.可审计的可审计的（Aud

28、itability）。 三、独立保护层三、独立保护层 独立保护层独立保护层，是能防止是能防止工艺系统工艺系统隐患发生的装置、系统或行动隐患发生的装置、系统或行动。 1.1.主动独立保护层主动独立保护层 基本工艺控制系统基本工艺控制系统 报警人工干预报警人工干预 安全泄放阀门安全泄放阀门 安全仪表系统安全仪表系统 2.2.被动独立保护层被动独立保护层 围堰围堰/ /围堤围堤 全开的排气筒全开的排气筒 抗爆墙抗爆墙 阻火器阻火器 四、四、SILSIL概念概念 Risk Reduction by Other Means Initial Risk Without reduction measures

29、Risk Reduction by Inherent Process Stability Risk Reduction by Basic Process Control Risk Reduction by Pre Alarms Risk Reduction by Instrumented Protective Functions Risk Reduction by Mechanical Devices Increasing Risk Total Risk Reduction Layers of Protection Tolerable Risk Defined by corporate ris

30、k tolerability criteria Residual risk 其他风险降低途径其他风险降低途径 通过机械装置降低风险通过机械装置降低风险 通过安全仪表系统降低风险通过安全仪表系统降低风险 通过报警干预降低风险通过报警干预降低风险 通过基本工艺控制系统，降低风险通过基本工艺控制系统，降低风险 通过工艺系统本身的稳定性，降低风险通过工艺系统本身的稳定性，降低风险 无措施时的最初风险无措施时的最初风险 风险风险 保护措施保护措施 残余风险残余风险 可接受的风险可接受的风险 由各公司定义由各公司定义 总 的 风 险 降 低 程 度 总 的 风 险 降 低 程 度 Risk Reducti

31、on by Other Means Initial Risk Without reduction measures Risk Reduction by Inherent Process Stability Risk Reduction by Basic Process Control Risk Reduction by Pre Alarms Risk Reduction by Instrumented Protective Functions Risk Reduction by Mechanical Devices Increasing Risk Total Risk Reduction La

32、yers of Protection Tolerable Risk Defined by corporate risk tolerability criteria Residual risk 其他风险降低途径其他风险降低途径 通过机械装置降低风险通过机械装置降低风险 通过安全仪表系统降低风险通过安全仪表系统降低风险 通过报警干预降低风险通过报警干预降低风险 通过基本工艺控制系统，降低风险通过基本工艺控制系统，降低风险 通过工艺系统本身的稳定性，降低风险通过工艺系统本身的稳定性，降低风险 无措施时的最初风险无措施时的最初风险 风险风险 保护措施保护措施 Risk Reduction by Oth

33、er Means Initial Risk Without reduction measures Risk Reduction by Inherent Process Stability Risk Reduction by Basic Process Control Risk Reduction by Pre Alarms Risk Reduction by Instrumented Protective Functions Risk Reduction by Mechanical Devices Increasing Risk Total Risk Reduction Layers of P

34、rotection Tolerable Risk Defined by corporate risk tolerability criteria Residual risk 其他风险降低途径其他风险降低途径 通过机械装置降低风险通过机械装置降低风险 通过安全仪表系统降低风险通过安全仪表系统降低风险 通过报警干预降低风险通过报警干预降低风险 通过基本工艺控制系统，降低风险通过基本工艺控制系统，降低风险 通过工艺系统本身的稳定性，降低风险通过工艺系统本身的稳定性，降低风险 无措施时的最初风险无措施时的最初风险 风险风险 保护措施保护措施 残余风险残余风险 可接受的风险可接受的风险 由各公司定义由各

35、公司定义 总 的 风 险 降 低 程 度 总 的 风 险 降 低 程 度 1. 保护层总失效率保护层总失效率 可接受风险；可接受风险； 2. 保护层总失效率保护层总失效率 = SIS保护层保护层 + 非非SIS保护层失效率；保护层失效率； SIS失效率失效率 = 可接受风险可接受风险 非非SIS保护层保护层 失效率失效率 四、四、SILSIL概念概念 SIL级别级别 SIL 4 SIL 3 SIL 2 SIL 1 失效率（失效率（PFD） 10-4 to 10-5 10-3 to 10-4 10-2 to 10-3 10-1 to 10-2 3.一个一个SIF对应一个对应一个SIL级别；级别；

36、 4.一个一个SIS可能有很多可能有很多SIL级别。级别。 1.现有技术，现有技术，SIS失效率最低只能失效率最低只能 降到降到SIL4； 2.化工系统最多化工系统最多SIL3，不推荐，不推荐 SIL4，除非除非 五、五、SILSIL在在SISSIS设计的应用设计的应用 1.1. 根据根据SILSIL审查的意见，考虑审查的意见，考虑增加或删除增加或删除安全仪表功能；安全仪表功能； 例：例： 根据根据SILSIL评估结果，确定输油管是否需要紧急切断系统（评估结果，确定输油管是否需要紧急切断系统（SISSIS） ？ 海 洋 海 洋 五、五、SILSIL在在SISSIS设计的应用设计的应用 1)1)

37、 调整安全仪表功能的冗余设计：变调整安全仪表功能的冗余设计：变 送器，逻辑处理器，和终端元件；送器，逻辑处理器，和终端元件； 变变IEC61511-1 表表5 送器，终端元件，和非送器，终端元件，和非PE逻辑处理器逻辑处理器 2.2. 调整调整冗余冗余 2)2) 根据：根据：IEC61511IEC61511- -1 1的第的第11.4 “11.4 “硬件硬件 容错要求”；容错要求”； 五、五、SILSIL在在SISSIS设计的应用设计的应用 SILSIL 最低冗余要求最低冗余要求 （参阅（参阅11.4.311.4.3和和11.4.411.4.4） 最低冗余要求最低冗余要求 （如满足（如满足11

38、.4.411.4.4） 1 1 0 0 0 0 2 2 1 1 0 0 3 3 2 2 1 1 4 4 参照参照IEC 61508IEC 61508 参照参照IEC 61508IEC 61508 IEC 61511IEC 61511- -1 1 表表6 6 变送器，终端元件，和非变送器，终端元件，和非PE逻辑处理器逻辑处理器 3)3) 不建议不建议SIL4SIL4：避免过度冗余、生产：避免过度冗余、生产 、维护等问题；、维护等问题； 4)4) 考虑“非考虑“非SISSIS”措施，降低”措施，降低SILSIL等级等级 2.2. 调整调整冗余冗余 DCS DCS Indicator/ Contro

39、ller aT I/P CardESD SYSTEM Individual Process Connections DCS Indicator/ Alarm aT SOV I-P S SIS DCS DCS Indicator/ Controller aT I/P CardESD SYSTEM Individual Process Connections DCS Indicator/ Alarm aT SOV SSIS 五、五、SILSIL在在SISSIS设计的应用设计的应用 2.2. 冗余冗余调整：调整： SIL1SIL1 DCS DCS Indicator/ Controller aT I

40、/P CardESD SYSTEM Individual Process Connections DCS Indicator/ Alarm aT SOV S SOV S DCS DCS Indicator/ Controller aT I/P CardESD SYSTEM Individual Process Connections DCS Indicator/ Alarm aT SOV I-P S SOV S DCS DCS Indicator/ Controller aT I/P CardESD SYSTEM Individual Process Connections DCS Indic

41、ator/ Alarm aT ELECTRICAL MCC Dedicated ESD Relay In MCC. (440V or 11kV) 五、五、SILSIL在在SISSIS设计的应用设计的应用 2.2. 冗余调整冗余调整： SIL2SIL2 DCS DCS Indicator/ Controller aT I/P CardESD SYSTEM Individual Process Connections DCS Indicator/ Alarm aT SOV I-P S SOV S I/P Card aT I/P Card aT DCS DCS Indicator/ Controll

42、er aT I/P CardESD SYSTEM Individual Process Connections DCS Indicator/ Alarm aT I-P SOV S I/P Card aT I/P Card aT SOV S DCS DCS Indicator/ Controller aT I/P CardESD SYSTEM Individual Process Connections DCS Indicator/ Alarm aT I/P Card aT I/P Card aT ELECTRICAL MCC Relay 1 Relay 2 Relays voted 1oo2

43、within switchgear to trip equipment 五、五、SILSIL在在SISSIS设计的应用设计的应用 2.2. 冗余调整冗余调整： SIL3SIL3 五、五、SILSIL和和SISSIS设计设计 3.3. 考虑考虑SISSIS和和DCSDCS分开分开或或共用共用设计设计 1)1) 变送器变送器/ /阀门共用：阀门共用： DCSDCS的失效，不影响的失效，不影响SISSIS的的SILSIL 等级；等级； 2)2) 变送器变送器/ /阀门分开：阀门分开： 避免两则者同时失效；避免两则者同时失效； 避免不经意的变更，影响避免不经意的变更，影响SISSIS 安全功能；安全功

44、能； 3)3) 逻辑处理器共用逻辑处理器共用( (成套设备成套设备) )： 提高整个逻辑处理器可靠性；提高整个逻辑处理器可靠性； 整个系统的运行、变更、维护、整个系统的运行、变更、维护、 调试，按照调试，按照SISSIS看待；看待； 系统组态和编程设置权限。系统组态和编程设置权限。 原则：原则： SIS/DCSSIS/DCS分开设计，但分开设计，但DCSDCS失效不影响失效不影响SISSIS可靠性可靠性时，可共用时，可共用 五、五、SILSIL和和SISSIS设计设计 3.3. 考虑考虑SISSIS和和DCSDCS分开分开或或共用共用设计设计 DCS DCS Indicator/ Contro

45、ller aT I/P CardESD SYSTEM Individual Process Connections DCS Indicator/ Alarm aT SOV I-P S SOV S 1)三个变送器中间值做控制用途，三个变送器中间值做控制用途，2oo3 做做SIS联锁用途联锁用途 2)仅用于仅用于SIF SIL 1。 1)可用于可用于 SIL 1； 2)两位阀失效率满足两位阀失效率满足SIL2时，时，SIL2 3)调节阀失效非调节阀失效非SIF动作原因时，动作原因时，SIL3 高压氮气 氮 气 缓 冲 罐 去气化炉吹扫 中间值 2oo3 联锁 五、五、SILSIL和和SISSIS设

46、计设计 4.4. 考虑考虑SISSIS仪表仪表冗余多样性冗余多样性：减少“共同原因失效”：减少“共同原因失效” 4.14.1采用不同“厂家”，“原理”产品，采用不同“厂家”，“原理”产品， “型号”产品；“型号”产品； FO FC FC FO FC FC FT XV + XV + XV XV + XV + FV RO RO FIC FY FTFT FE USUS US 氧气 氮气 FT 气化炉 通大气 SIS DCS 气化炉气化炉 高压氧气高压氧气 高压氮气高压氮气 通大气通大气 4.2 SIL3：应应考虑与考虑与DCS分开和仪表冗余多分开和仪表冗余多 样性；样性； 五、五、SILSIL和和S

47、ISSIS设计设计 4.4. 考虑考虑SISSIS仪表仪表冗余多样性冗余多样性：减少“共同原因失效”：减少“共同原因失效” 4.3 SIL4：必须必须考虑与考虑与DCS分开，必须采用仪表冗余多样性；分开，必须采用仪表冗余多样性； 4.4 SIL只考虑安全可靠性，只考虑安全可靠性，SIS设计还应考虑生产连续性。设计还应考虑生产连续性。 锅炉或氨罐过压保护联锁锅炉或氨罐过压保护联锁 a.a. 压力和温度信号组成压力和温度信号组成1oo21oo2； b.b. 温度设定值，为对应起跳压力的饱温度设定值，为对应起跳压力的饱 和蒸气压和蒸气压 c.c. 两个不同检测原理信号，消除“相两个不同检测原理信号，

48、消除“相 同原因失效”同原因失效” 五、五、SILSIL和和SISSIS设计设计 5.5. HIPSHIPS设计（应用于火炬系统设计）设计（应用于火炬系统设计） 5.15.1 工厂火炬系统工厂火炬系统 去火炬 精 馏 塔 1 2oo3 蒸汽 联锁 精 馏 塔 2 精 馏 塔 3 精 馏 塔 4 2oo3 蒸汽 联锁 2oo3 蒸汽 联锁 2oo3 蒸汽 联锁 备注：备注： 通过通过SISSIS切断再沸器蒸汽，安全阀将不会起跳，关键是切断再沸器蒸汽，安全阀将不会起跳，关键是SISSIS可靠性可靠性 五、五、SILSIL和和SISSIS设计设计 5.5. HIPSHIPS设计（应用于火炬系统设计）设计（应用于火炬系统设计） 5.25.2