SIS的SIL等级验证评估

1 安全仪表系统(SIS) SIL等级验证评估技术 中国石油和化学工业联合会培训中心 西安，July16, 16 张建国 1 FS Expert TV Rheinland, # 122/07, SIS 2 ? 总体介绍 ? SIS的基础知识 ? SIS的SIL评估 ? 可靠性评估技术 ? SIS的应用-FGS ? SIS的应用-BMS ? 练习 ? 问与答 2 3 相关的法规和标准 国家安监总局安监总管三201388号 关于加强化工安全管理的指导意见 国家安监总局安监总管三2014116号 关于加强化工安全仪表系统管理的指导意见 GB/T 50770-2013 石油化工安全仪表系统设计规范 GB/T 21109 -2007/IEC61511-2003 过程工业领域安全仪表系统的功能安全 （注：新版（ed2.0）的IEC61511已经发布FDIS版，预计2016年正式发布，GB/T 21109也会随之升版） GB/T20438-2006/IEC61508 电气/电子/可编程电子安全相关系统的功能安全 （注：IEC61508 ed2.0已于2010年发布，国标委TC124正在做GB/T 20438的升版工作） ISA-TR84.00.03-2012 Mechanical Integrity of Safety Instrumented Systems (SIS) ISA-TR84.00.07-2010 Guidance on the Evaluation of Fire, Combustible Gas and Toxic Gas System Effectiveness 正在制定中 石油化工安全仪表系统安全完整性等级设计规范 GB/T 32203-2015 油气管道安全仪表系统的功能安全验收规范 GB/T 32202-2015 油气管道安全仪表系统的功能安全评估规范 4 关于加强化工过程安全管理的指导意见 安监总管三201388号 七、设备完好性（完整性） （十七）设备安全运行管理。 开展安全仪表系统安全完整性等级评估。企业要在风险分析的基础上，确定安全仪表功能（SIF）及其相应的功能安全要求或 安全完整性等级（SIL）。企业要按照过程工业领域安全仪表系统的功能安全（GB/T21109）和石油化工安全仪表系 统设计规范的要求，设计、安装、管理和维护安全仪表系统。 关于加强化工安全仪表系统管理的指导意见 - 安监总管三2014116号 一、充分认识加强化工安全仪表系统管理工作的重要性 （一）化工安全仪表系统（SIS）包括安全联锁系统、紧急停车系统和有毒有害、可燃气体及火灾检测保护系统等。 五、从源头加快规范新建项目安全仪表系统管理工作 （十二）从2016年1月1日起，大型和外商独资合资等具备条件的化工企业新建涉及“两重点一重大”的化工装置和危险化学 品储存设施，要按照本指导意见的要求设计符合相关标准规定的安全仪表系统。 （十三）从2018年1月1日起，所有新建涉及“两重点一重大”的化工装置和危险化学品储存设施要设计符合要求的安全仪表 系统。其他新建化工装置、危险化学品储存设施安全仪表系统，从2020年1月1日起，应执行功能安全相关标准要求，设计符 合要求的安全仪表系统。 六、积极推进在役安全仪表系统评估工作 （十四）涉及“两重点一重大”在役生产装置或设施的化工企业和危险化学品储存单位，要在全面开展过程危险分析（如危 险与可操作性分析）基础上，通过风险分析确定安全仪表功能及其风险降低要求，并尽快评估现有安全仪表功能是否满足风 险降低要求。 （十五）企业应在评估基础上，制定安全仪表系统管理方案和定期检验测试计划。对于不满足要求的安全仪表功能，要制定 相关维护方案和整改计划，2019年底前完成安全仪表系统评估和完善工作。其他化工装置、危险化学品储存设施，要参照本 意见要求实施。 小知识： “两重点一重大”： 重点监管的危险化工工艺、 重点监管的危险化学品； 重大危险源。 3 5 Overall Safety 整体安全 Occupational Safety 职业安全 Process Safety 过程安全 Functional Safety 功能安全 关于加强化工过程安全管理的指导 意见 - 安监总管三201388号 关于加强化工安全仪表系统管理的 指导意见 安监总管三2014116号 功能安全是过程安全的组成部 分，SIS的设计依据过程安全 的需要； 同样，SIS的现场安装、投运、 操作和维护，以及变更管理 要依据国家过程安全管理的 法律和法规等监管要求。 过程安全与功能安全 GB/T21109（IEC61511）的特征 ?基于风险降低 ?用风险（危险事件发生的概率*后果）量化安全； ?不同组织有不同的风险降低要求，既使同一组织在不同的 时期也有不同的可接受风险标准； ?动态地控制风险 ?采用安全生命周期架构 ?基于“绩效”而非“硬性”规定； ?系统性的方法论和行动指南； ?技术体系和功能安全管理体系； ?推荐了5个节点的功能安全评估 ?关注于SIS的设计和交付 ?从安全要求规格书（SRS）到现场 确认（Validation）； ?“两头在外”：SIL定级方法和现场 的运行管理模式取决于企业的过程 安全管理（PSM）策略； 6 Zhang Jianguo - Intellectual Property 4 需要的安全水平？ (SIL 定级 ) SIS设计如何才能 达到安全要求？ (SIL 实现 ) 如何保持安全？ (SIL 维持 ) 分析 工程执行 操作 SIS安全完整性水平的传递 SIS的安全完整性水平是 从定级、设计、集成，交付， 再到保持的过程，任何环节的 错误，都将导致整个价值链的 受损。 7 Zhang Jianguo - Intellectual Property 资料来源 : Technical Report ISA-TR84.00.04-2005 Part 2: Example Implementation of ANSI/ISA-84.00.01-2004 (IEC 61511 Mod) Approved 1 December 2005 SIS生命周期分析阶段详细活动 8 5 10. SIS 安装、 调试，以及开车 前验收测试 安全要求规格书- 7. SIS 概念设计 7a. 选择技术 7b. 选择结构 冗余：1oo1,1oo2, 2oo3, 1oo2D 7c. 确定测试策略 7d. 可靠性、 安全性评估 SILs达到要求 SIL 达到了吗? No Yes 8. SIS 详细设计 工业数据库数据 制造商的安装说明 9. 安装和调试计划 制造商失效率数据 详细设计文件 回路图、接线图、盘柜排布图、逻辑组态、 安装要求、调试要求，等等 制造商的安全手册 选择传感器、逻辑处理器，以 及最终元件的技术 工程执行阶段- SIS/SIF 设计、集成 、安装，以及调试 SIS生命周期在工程执行阶段的详细活动 每个安全仪表功能的功能描述，目标SIL， 与预防或减轻的风险，工艺参数，逻辑， 旁路与维护要求，响应时间，等等 9 SIS的现场阶段 主要工作： SIS的安装与调试 SIS的安全确认（Validation） SIS的操作和维护 SIS的检验测试和检查 SIS的修改 SIS的停用 功能安全评估 功能安全审核（每35年） 10 6 什么是SIS？ 11 什么是SIS？ IEC61511 （GB/T21109）： -用于执行一个或多个安全仪表功能（SIF - Safety Instrumented Function） 的仪表系统。SIS是由传感器、逻辑控制器，以及最终元件组合而成的。 -SIS可以包括、也可以不包括软件。 -当操作人员的手动操作被视为SIS的有机组成部分时，必须在安全要求规格书 （SRS - Safety Requirement Specification）中对人员操作动作的有效性和 可靠性做出明确规定。 12 7 什么是SIF？ -由SIS执行的、具有特定安全完整性等级（SIL - Safety Integrity Level）的安 全功能，用于应对特定的危险事件，达到或保持工艺过程的安全状态。 -安全仪表功能可以是安全仪表保护功能，也可以是安全仪表控制功能。 -SIF在物理结构上由传感器、逻辑控制器，以及最终元件构成。 -请注意SIF与“联锁（Interlock）”的区别！ 13 什么是SIL？ -安全完整性（Safety Integrity）：在规定的状态和时间周期内，SIS圆满完成 所需SIF的能力。此处的能力包括功能响应（例如，在特定的时间内关闭某个 特定的阀门），以及SIS完成所需动作的可能性。 -安全完整性包括硬件安全完整性（Hardware Safety Integrity），和系统安 全完整性（Systematic Safety Integrity）。 14 8 什么是SIL？ -在功能安全标准中，用PFDavg/PFH表征SIL。不过，它衡量的是硬件安全完 整性。 -ANSI/ISA-84.01-1996：SIL1、SIL2、SIL3 ； -IEC61508：SIL1、SIL2、SIL3、SIL4； -IEC61511：SIL1、SIL2、SIL3、SIL4。不过，其所有的条款规定都是着眼于 最高SIL3。在要求达到SIL4的应用场合，遵循IEC61508。 -当过程危险和风险分析确认需要SIL3以上的安全完整性时，一般是提升应对 同一危险事件的其它技术安全系统或外部风险降低的安全绩效，或增加这些 非SIS安全措施，从而将对SIF的SIL要求降低到SIL3或以下。 -IEC61508/IEC61511依据不同的操作模式，用不同的技术指标划分SIL等级。 15 操作模式 IEC61508 -低要求模式（Low Demand Mode of Operation）：操作的要求频率不大于 一次每年；也就是说，“要求”的时间间隔一年以上。用PFDavg表征。 -高要求模式（High Demand Mode of Operation）：操作的要求频率大于 一次每年；也就是说，“要求”比较频繁，例如一年多次。用PFH表征。 -连续模式（Continuous Mode of Operation）：指“要求”不间断的工况 ，或者说，要求的时间间隔非常非常短。用PFH表征。 16 安全完整性等级安全完整性等级安全完整性等级安全完整性等级：目标失效量目标失效量目标失效量目标失效量 安全完整性等级安全完整性等级安全完整性等级安全完整性等级 （SIL） 低要求操作模式低要求操作模式低要求操作模式低要求操作模式 （在要求时完成其设计在要求时完成其设计在要求时完成其设计在要求时完成其设计 功能的平均失效概率功能的平均失效概率功能的平均失效概率功能的平均失效概率 PFDavg） 高要求或连续操作模式高要求或连续操作模式高要求或连续操作模式高要求或连续操作模式 （每小时危险失效率每小时危险失效率每小时危险失效率每小时危险失效率） 410-5到到到到<10-410-9到到到到<10-8 310-4到到到到<10-310-8到到到到<10-7 210-3到到到到<10-210-7到到到到<10-6 110-2到到到到<10-110-6到到到到<10-5 9 操作模式 IEC61511 -要求模式：安全仪表功能为响应工艺状态或其它要求发出特定的动作（例如 ，关闭阀门）。当安全仪表功能出现危险失效时，只有工艺过程出现异常或 BPCS处于失效状态时，才可能发生潜在的危险。 -连续模式：当安全仪表功能出现危险失效时，潜在的危险将立即发生，除非 有预设的保护措施存在。连续模式涵盖安全仪表功能执行连续安全控制，保 持功能安全的场合。 连续模式在过程工业领域很罕见。 17 18 SIS 与 SIL SIS 的不同类型和名称： 仪表保护系统 安