安全儀表系統(tǒng)SIF應(yīng)用中幾個問題討論

1、關(guān)于關(guān)于SIF & IEC 61511(GB T21109)王世煌討論內(nèi)容討論內(nèi)容 簡化公式、事故樹和Markov三種驗(yàn)證方法的具體應(yīng)用和優(yōu)缺點(diǎn) 共因失效的種類，怎么在驗(yàn)證中考慮共因失效，共因失效系數(shù)和D怎么確定？是否有推薦的數(shù)值可以采用，而不需做具體的分析，直接取這個值做驗(yàn)證計(jì)算 針對化工裝置，SRS需要哪些內(nèi)容 proven in use/ prior use都需要做些什么內(nèi)容，SRS和驗(yàn)證是否需要這個內(nèi)容 FGS安全等級的分析方法和驗(yàn)證方法 SIL驗(yàn)證驗(yàn)證-馬爾可夫模型馬爾可夫模型n 馬爾可夫模型是一個決定復(fù)雜設(shè)備 (邏輯處理器)的安全可用度和可靠度之模擬方法n 它不建議用在整個安全儀表

2、系統(tǒng)或甚至單一的安全儀表功能的計(jì)算中n 馬爾可夫模型采用狀態(tài)轉(zhuǎn)換圖形，它是系統(tǒng)可靠度性能的圖形化表示n 針對系統(tǒng)隨時間表現(xiàn)出的可靠性行為建模n 系統(tǒng)被視作一系列狀態(tài)單元，這些狀態(tài)單元或者處于故障狀態(tài)或者處于功能狀態(tài)n 系統(tǒng)從整體上，可能存在許多狀態(tài)n 如果一個狀態(tài)單元處于故障或者維修，系統(tǒng)從一個狀態(tài)“轉(zhuǎn)移到”另一個狀態(tài)簡單的馬爾可夫模型簡單的馬爾可夫模型1系統(tǒng)ok2系統(tǒng)失效失效率=0.01修復(fù)率=0.5馬爾可夫計(jì)算的時間步驟馬爾可夫計(jì)算的時間步驟1221121212121210.990.990.990.010.010.010.50.50.50.50.990.010.50.50.97030.00

3、980.004950.004950.004950.000050.00250.0025T=0T=1T=2T=3時間時間狀態(tài)狀態(tài)1狀態(tài)狀態(tài)201010.990.0120.98510.014930.98270.0173馬爾可夫矩陣馬爾可夫矩陣馬爾可夫矩陣： = 15 . 099. 0=(1,1) = 1 outgoing transitions of state 1 = 1 (1,2) = outgoing transitions of state 1 = (2,2) = 1- outgoing transitions of state 2 = 1 (2,1) = outgoing transiti

4、ons of state 2 = 15 . 001. 05 . 099. 05 . 001. 0*5 . 099. 05 . 001. 05 . 099. 05 . 001. 0* .1oo2表決的馬爾可夫模型表決的馬爾可夫模型系統(tǒng)無故障運(yùn)行由于故障，系統(tǒng)降級，但仍在運(yùn)行由于多個故障，系統(tǒng)無法執(zhí)行其設(shè)計(jì)功能2dd2oo3表決的馬爾可夫模型表決的馬爾可夫模型系統(tǒng)無故障運(yùn)行由于故障，系統(tǒng)降級，但仍在運(yùn)行由于多個故障，系統(tǒng)無法執(zhí)行其設(shè)計(jì)功能3d2d1oo2D表決的馬爾可夫模型表決的馬爾可夫模型8Failed to function9Spurious trip1Normally Operating2D

5、egraded3Degraded4Spurious trip7Spurious trip6Failed to function5Failed to functionDU, CC TIDD+S, CC MTTR2DU TI2DD+SD MTTR MTTR2SUDU2 TIDD+SD MTTRDU TIDD+S2 MTTR對馬爾可夫分析的評價對馬爾可夫分析的評價n 馬爾可夫分析的優(yōu)點(diǎn) 非常詳細(xì) 在一個模型中對系統(tǒng)完全描述 可以模擬維修 模擬順序關(guān)連n 馬爾可夫分析的缺點(diǎn) 分析過程復(fù)雜 模型建立困難，特別是由非專家確認(rèn)檢驗(yàn)，不過非專家也可進(jìn)行該分析 模型可能會變得很大(存在大量的狀態(tài)時) 總體上，對

6、于每個系統(tǒng)的變化，需要重新建立整個模型故障樹分析范例故障樹分析范例(1)(1)n 高放熱反應(yīng)高放熱反應(yīng)n 潛在的危害是什么潛在的危害是什么? ?n 后果是什么后果是什么? ?n 原因是什么原因是什么? ?n 此原因是否是基本事件此原因是否是基本事件? ?n 有什么保護(hù)措施有什么保護(hù)措施? ?FICTISHHH故障樹分析范例故障樹分析范例(1)(1)反應(yīng)器爆炸失控反應(yīng)破裂盤故障流量控制迴路故障溫度聯(lián)鎖故障流量控制器故障流量控制閥故障熱電偶及繼電器故障緊急關(guān)斷閥無法關(guān)閉3.6 x 10-4 F/YR 1.8 x 10-2 F/YR 0.02 probability of failure on de

7、mand0.3 F/YR 0.060.2 F/YR 0.1 F/YR 0.05 Probability of failure on demand0.01 Probability of failure on demand保護(hù)層2保護(hù)層1E/E/PES(SIS)故障樹分析范例故障樹分析范例(2)(2)SIL驗(yàn)證驗(yàn)證-簡化方程式簡化方程式n簡化公式方法為工程師提供了依照IEC-61511而設(shè)計(jì)的安全儀表功能里的典型配置中所需估計(jì)的PFDAvg數(shù)學(xué)值要遵循的步驟。這個程序適用于SIL 1和SIL 2的安全儀表功能安全儀表功能安全儀表功能(SIF)表實(shí)例表實(shí)例安全儀表功能安全儀表功能名稱名稱/ /編號編

8、號 安全儀表功能說安全儀表功能說明明 危害危害/ /后果后果 安全儀表功能設(shè)計(jì)架構(gòu)安全儀表功能設(shè)計(jì)架構(gòu) 安全安全完整完整性等性等級級 MCR反應(yīng)器保護(hù)/I-01 Causes:FIRSA-R0101低低流量；TIC R0107AD/TIC R0110AD高高溫Effects:關(guān)斷HV-R0101、PV-E0401；開HV-R0102、HV-R0102B(新增)大量補(bǔ)蒸汽 反應(yīng)器催化劑失去流化，導(dǎo)致死床、悶床，嚴(yán)重時局部過熱或飛溫造成反應(yīng)器燒穿，烯烴外泄造成火災(zāi)爆炸。 Sensor:Group 1:FIRSA-R0101 (1oo1)Group 2:TIC-R0107AD/TIC-R0110AD

9、 (3oo8)Group voting: 1oo2Final actuator:Group 1:HV-R0101、PV-E0401 (1oo2)Group 2:HV-R0102、HV-R0102B (1oo2)Group voting: 2oo2 SIL 2TIC-R0107AD/TIC-R0110AD(3oo8)FIRSA-R01011oo2 Logic solver(SIL 3)2oo2 1oo2 HV-R0101PV-E0401HV-R0102SIL 3SIL 1SIL 4SIL 2SIL 1SIL 1SIL 1SIL 驗(yàn)算驗(yàn)算(Verification)ISA TR84.00.02Se

10、nsor part:PFDavg,s1 = PFDavg,s1,i + PFDavg,s1,ccf = 0 + 1/2 DU t =0.50.0555010-917520 = 2.4110-4PFDavg,s2 = 1/2 DU t = 0.5360010-917520 = 3.1510-2PFDavg,s = PFDavg,s1 PFDavg,s2 = 2.4110-4 3.1510-2 = 7.5910-6 Logic Solver:PFDavg,L = 1/2 DU t = 0.524110-917520 = 2.1110-3 FE:PFDavg,v1 = 1/3 (DU1 DU2)t2

11、 = 1/3(322510-917520)2 = 1.0610-3PFDavg,v2 = 1/2 DU t = 0.5192510-917520 = 1.6910-2PFDavg,v = PFDavg,v1 + PFDavg,v2 = 1.0610-3 + 1.6910-2 = 1.810-2PFDavg = PFDavg,s + PFDavg,L + PFDavg,v = 7.5910-6 + 2.11 10-3 + 1.810-2 = 2.0110-2SIL 2 ? TIC-R0107AD/TIC-R0110AD(3oo8)FIRSA-R01011oo2 Logic solver(SIL

12、3)2oo2 1oo2 HV-R0101PV-E0401HV-R0102SIL 3SIL 1SIL 4SIL 2SIL 2SIL 21oo2 HV-R0102BSIL 2SIL驗(yàn)算驗(yàn)算-2PFDavg,v2 = 1/3 (1-)DU t)2 1/2 DU t = 1/3(0.95192510-9 17520)2 + 0.50.05192510-917520= 3.4210-4 + 8.4310-4 = 1.1910-3PFDavg,v = PFDavg,v1 + PFDavg,v2 = 1.0610-3 + 1.1910-3 = 2.2510-3PFDavg = PFDavg,s + PFDa

13、vg,L + PFDavg,v = 7.5910-6 + 2.11 10-3 + 2.2510-3= 4.3610-3 SIL 2 共同原因失效共同原因失效(CCF)共同原因失效：單一故障源導(dǎo)致一個系統(tǒng)內(nèi)的多個部件故障。該故障源可能是系統(tǒng)內(nèi)的，也可能是系統(tǒng)外的共同原因失效是由共同的根源導(dǎo)致的（類似）部件失效，而不是因系統(tǒng)中其它部件的失效連帶引發(fā)的。根源是指共同的環(huán)境塵埃，空氣濕度，無線電射頻干擾等，還有例如共享一個電源停電、強(qiáng)烈的電磁或震動干擾、共處高熱環(huán)境、系統(tǒng)設(shè)計(jì)不當(dāng)失效、維修人為錯誤、多重通道之間未做隔離等例如：如果冷卻風(fēng)扇故障(單一點(diǎn)失效)，一個多信道PE系統(tǒng)的所有信道都可能故障，導(dǎo)致

14、共同原因失效。然而，并不是說所有信道以相同的速度變熱，或有相同的臨界溫度。因此，不同的通道會在不同的時間失效（多樣的：使用不同的技術(shù)，設(shè)備或設(shè)計(jì)方法來實(shí)現(xiàn)共同的功能，其用意是將共同原因故障減至最少）共因失效與隨機(jī)失效及系統(tǒng)性失效之關(guān)系共因失效與隨機(jī)失效及系統(tǒng)性失效之關(guān)系n 共同原因失效的解讀一般僅限于硬件失效即與硬件制造商有最大關(guān)系的領(lǐng)域n 試圖對系統(tǒng)性失效進(jìn)行建模分析是不可行的(例如軟件錯誤)n 危險共因失效率：危險共因失效率： DU + DDDn 防止共因失效的措施包括設(shè)計(jì)對策及人為管理對策等。將防止共因失效的措施包括設(shè)計(jì)對策及人為管理對策等。將 IEC 61508-6, Annex D,

15、 Table D.1 中對于已實(shí)行對策項(xiàng)目，進(jìn)行積分的加總。中對于已實(shí)行對策項(xiàng)目，進(jìn)行積分的加總。共同原因失效因子共同原因失效因子 (CCF Factor) (IEC 61508-6, Annex D, Table D.1)Failure channel 2Common Cause FailureCCFFailure channel 1共同原因失效因子共同原因失效因子(CCF Factor) (IEC 61508-6, Annex D, Table D.1)n = 不可能檢測到的危險不可能檢測到的危險失效失效的共因失效因子的共因失效因子值可由值可由 IEC 61508-6, Annex D,

16、Table D.4 查得查得 S值決定值決定 S = X + Y (X值與值與Y值可由值可由 IEC 61508-6, Annex D, Table D.1決定決定)n D=可能檢測到的危險可能檢測到的危險失效失效的共因失效因子的共因失效因子D值可由值可由 IEC 61508-6, Annex D, Table D.4 查得查得SD值決定值決定 SD= X (Z + 1) + Y (Z值可由值可由 IEC 61508-6, Annex D, Table D.2 & D.3 決定決定)規(guī)程 / 人機(jī)界面能力 / 培訓(xùn) / 安全素養(yǎng)環(huán)境的控制環(huán)境測試分離 / 隔開多樣性與冗余復(fù)雜性 / 設(shè)計(jì) /

17、應(yīng)用 / 老化 / 經(jīng)驗(yàn)評估 / 分析及數(shù)據(jù)反饋防止共因失效的措施的評分項(xiàng)目共計(jì)8大類：決定共同原因失效因子決定共同原因失效因子(IEC 61508-6, Annex D, Table D.1 )決定共同原因失效因子決定共同原因失效因子(IEC 61508-6, Annex D, Table D.2 & 3 )決定共同原因失效因子決定共同原因失效因子(IEC 61508-6, Annex D, Table D.4 )IEC 61511/GB-T 21109 SIS安全生命周期管理安全生命周期管理功能安全管理、評估及稽核安全生命周期架構(gòu)及規(guī)畫危害及風(fēng)險評估第8章分配安全功能至各保護(hù)層第9章操作及

18、維護(hù)第16章第6.2章系統(tǒng)除役第18章系統(tǒng)修改第17章分析階段運(yùn)轉(zhuǎn)階段第5章擬定安全儀表系統(tǒng)之安全需求規(guī)范第10及12章安裝、試俥及確認(rèn)第14及15章其它風(fēng)險降低方法之設(shè)計(jì)及開發(fā)第9章安全儀表系統(tǒng)之設(shè)計(jì)及工程第11及12章第7、12.4及12.7章驗(yàn)證(強(qiáng)制評估點(diǎn))實(shí)現(xiàn)階段加氫飽和裝置加氫飽和裝置 HAZOP工藝偏離可能原因危害/后果既有防護(hù)措施嚴(yán)重性可能性風(fēng)險等級改善建議高流量(氫氣)高流量(低壓蒸汽)低/無流量(C4) 1.FT/FIC/FV-1017故障開度過大或全開2.FT/FIC-1008故障高訊號3.AT/AIC-1001 H2 calculator失效1.TT/TIC-1019故

19、障訊號偏低，造成FIC-1019開度過大2.FT/FIC/FV-1019故障開度過大或全開3.LT/LIC-1014故障低訊號FT/FIC/FV-1008故障開度過小1.氫氣高流量造成過度氫化反應(yīng)，使副反應(yīng)(丁烷)增加2.過度氫化反應(yīng)導(dǎo)致R-103高溫，嚴(yán)重時造成溫度失控，高溫?zé)品磻?yīng)器導(dǎo)致泄漏，可能造成火災(zāi)爆炸。 氫化反應(yīng)器烯烴聚合，導(dǎo)致催化劑結(jié)焦，嚴(yán)重時會造成熱斑或溫度失控，同R-103溫度過高。 1.使副反應(yīng)(丁烷)增加2.烯烴在R-103中偏流導(dǎo)致局部過熱，嚴(yán)重時造成失控反應(yīng)。R-103設(shè)有TT-10371048A/B/C(2oo3)高溫報(bào)警及高高溫報(bào)警并聯(lián)鎖關(guān)斷UV-1026A、UV

20、-1026BR-103設(shè)有TT-10371048A/B/C(2oo3)高溫報(bào)警及高高溫報(bào)警并聯(lián)鎖關(guān)斷UV-1029FALL-1013A/B/C聯(lián)鎖關(guān)斷氫氣進(jìn)料UV-1026A/B、低壓蒸汽UV-1029、E-106進(jìn)料TV-1015A、旁路E-106 (開1015B)5552323431.TIC-1019增設(shè)高溫報(bào)警2.建議將FV-1019納入IS-1001終端關(guān)斷器，修改為1oo2 Voting 可同時關(guān)斷控制閥FV-1019與UV-1029 HAZOP結(jié)合保護(hù)層分析結(jié)合保護(hù)層分析(LOPA)123456789101112影響事件描述嚴(yán)重性等級引發(fā)原因引發(fā)可能性一般過程設(shè)計(jì)基本過程控制系統(tǒng)報(bào)

21、警附加減輕，限制進(jìn)入獨(dú)立保護(hù)層中間的事件可能性安全儀表功能完整性等級已減輕事件的可能性過度氫化反應(yīng)導(dǎo)致R-103高溫，嚴(yán)重時造成溫度失控，高溫?zé)品磻?yīng)器導(dǎo)致泄漏，可能造成火災(zāi)爆炸。 5FT/FV-1017故障全開FT/FV-1019故障全開FT/FV-1008故障開度過小DCS故障 0.15/ year0.05/ year11110.110.10.1111.5E-3/ year5E-3/ year6.5E-3/ year 1.6E-3(SIL 2)1E-5/ year安全需求規(guī)範(fàn)安全需求規(guī)範(fàn)(SRS)-1SIF名稱名稱 IEC61511-1條文條文 ：10.3.1 a 選擇性氫化第一級反應(yīng)器R

22、-103保護(hù)回路 危害事件說明危害事件說明IEC61511-1條文條文 ：10.3.1 d C4進(jìn)料FT/FIC-1008故障高訊號、R-103進(jìn)料管在線AT/AIC-1001及H2 calculator失效、FT/FIC/FV-1017故障開度過大或全開等導(dǎo)致氫氣補(bǔ)充氣進(jìn)料過高；或R-103入口TT/TIC-1019故障訊號偏低，造成FIC-1009開度過大、R-103預(yù)熱器E-101冷凝罐D(zhuǎn)-107液位LT/LIC-1014故障低訊號、FT/FIC/FV-1019故障開度過大或全開等導(dǎo)致低壓蒸汽熱源供應(yīng)過高，過度氫化反應(yīng)造成R-103烯烴聚合，甚至催化劑結(jié)焦，嚴(yán)重時會造成溫度失控。C4進(jìn)料

23、FT/FIC/FV-1008故障開度過小，烯烴在R-103中偏流導(dǎo)致局部過熱，嚴(yán)重時亦會造成溫度失控。高溫?zé)品磻?yīng)器導(dǎo)致泄漏，可能造成火災(zāi)爆炸。安全需求規(guī)範(fàn)安全需求規(guī)範(fàn)(SRS)-2安全狀態(tài)安全狀態(tài) IEC61511-1條文條文 ：10.3.1 c停進(jìn)料/關(guān)出料/裝置停車/排火炬起始事件起始事件 IEC61511-1條文條文 ：- FT/FIC/FV-1017故障全開；FT/FIC/FV-1019故障全開；FT/FIC/FV-1008故障開度過小操作模式操作模式 IEC61511-1條文條文 ：10.3.1 h低需求(Low Demand)SIF需求率需求率IEC61511-1條文條文 ：10

24、.3.1 e0.2/year 安全需求規(guī)範(fàn)安全需求規(guī)範(fàn)(SRS)-3SIL等級需求等級需求 IEC61511-1條文條文 ：10.3.1 hSIL 2 檢驗(yàn)測試周期檢驗(yàn)測試周期 IEC61511-1條文條文 ： 10.3.1 f 3 yearsSIF應(yīng)答時間應(yīng)答時間 IEC61511-1條文條文 ：10.3.1 g510sec工藝應(yīng)答時間工藝應(yīng)答時間 IEC61511-1條文條文 ：10.3.1 g5min保護(hù)方式保護(hù)方式 IEC61511-1條文條文 ：10.3.1 m失能(De-energize)安全需求規(guī)範(fàn)安全需求規(guī)範(fàn)(SRS)-4手動停車手動停車 IEC61511-1條文條文 ： 10

25、.3.1 l有 停機(jī)后復(fù)位停機(jī)后復(fù)位 IEC61511-1條文條文 ：10.3.1 n手動與基本過程控制系統(tǒng)與基本過程控制系統(tǒng)(BPCS)及其它系統(tǒng)關(guān)系及其它系統(tǒng)關(guān)系IEC61511-1條文條文 ：10.3.1 rDCS按鈕(HS-1004B、HS-1011)，閥位狀態(tài)(ZLO/ZLC-1026A、ZLO/ZLC-1026B、ZLO/ZLC-1029)訊號送至DCS顯示高溫報(bào)警(TAH-1037TAH-1048)及高高溫報(bào)警(TAHH-1037A/B/CTAHH-1048A/B/C)、低低流量報(bào)警(FALL-1013A/B/C)訊號送至DCS顯示工藝凌駕工藝凌駕POSIEC61511-1條文條

26、文 ：10.3.1 u開車期間以HS-1004B Bypass低低流量關(guān)斷UV-1026A/B功能安全需求規(guī)範(fàn)安全需求規(guī)範(fàn)(SRS)-5傳感器次系統(tǒng)傳感器次系統(tǒng) 表決：1oo2 傳感器群組1：TT-1037 A/B/C1048A/B/C 表決：1oo12傳感器群組1.1：TT-1037 A/B/C表決：2oo3 聯(lián)鎖動作：高高溫輸出訊號至邏輯處理器(Safety PLC) IEC61511-1條文：條文：10.3.1 i 作動設(shè)定：108 IEC61511-1條文：條文：10.3.1 i共因失效來源：相同的組件、共同動力源、共同的接線線路、人為因素、類似的技術(shù) IEC61511-1條文：條文：10.3.1 b Beta 共因失效因子：5% 檢驗(yàn)測試覆蓋率/測試條件：95% 類型：3-Wire RTD 傳感器群組2 ：FT-1013A/B/C 表決：2oo3聯(lián)