安全儀表系統(tǒng)SIF應用中幾個問題的討論

（優(yōu)選）安全儀表系統(tǒng)SIF應用中幾個問題的討論當前1頁，總共37頁。討論內容簡化公式、事故樹和Markov三種驗證方法的具體應用和優(yōu)缺點

共因失效的種類，怎么在驗證中考慮共因失效，共因失效系數β和βD怎么確定？是否有推薦的數值可以采用，而不需做具體的分析，直接取這個值做驗證計算

針對化工裝置，SRS需要哪些內容proveninuse/prioruse都需要做些什么內容，SRS和驗證是否需要這個內容FGS安全等級的分析方法和驗證方法

當前2頁，總共37頁。SIL驗證-馬爾可夫模型馬爾可夫模型是一個決定復雜設備(邏輯處理器)的安全可用度和可靠度之模擬方法它不建議用在整個安全儀表系統(tǒng)或甚至單一的安全儀表功能的計算中馬爾可夫模型采用狀態(tài)轉換圖形，它是系統(tǒng)可靠度性能的圖形化表示針對系統(tǒng)隨時間表現出的可靠性行為建模系統(tǒng)被視作一系列狀態(tài)單元，這些狀態(tài)單元或者處于故障狀態(tài)或者處于功能狀態(tài)系統(tǒng)從整體上，可能存在許多狀態(tài)如果一個狀態(tài)單元處于故障或者維修，系統(tǒng)從一個狀態(tài)“轉移到”另一個狀態(tài)當前3頁，總共37頁。簡單的馬爾可夫模型1系統(tǒng)ok2系統(tǒng)失效失效率λ=0.01修復率μ=0.5當前4頁，總共37頁。馬爾可夫計算的時間步驟1221121212121210.990.990.990.010.010.010.50.50.50.50.990.010.50.50.97030.00980.004950.004950.004950.000050.00250.0025T=0T=1T=2T=3時間狀態(tài)1狀態(tài)201010.990.0120.98510.014930.98270.0173當前5頁，總共37頁。馬爾可夫矩陣馬爾可夫矩陣：Λ==Λ(1,1)=1–outgoingtransitionsofstate1=1–λΛ(1,2)=outgoingtransitionsofstate1=λΛ(2,2)=1-outgoingtransitionsofstate2=1–μΛ(2,1)=outgoingtransitionsofstate2=μ***…..當前6頁，總共37頁。1oo2表決的馬爾可夫模型系統(tǒng)無故障運行由于故障，系統(tǒng)降級，但仍在運行由于多個故障，系統(tǒng)無法執(zhí)行其設計功能１２３2λdλd當前7頁，總共37頁。2oo3表決的馬爾可夫模型系統(tǒng)無故障運行由于故障，系統(tǒng)降級，但仍在運行由于多個故障，系統(tǒng)無法執(zhí)行其設計功能１２３3λd2λd當前8頁，總共37頁。1oo2D表決的馬爾可夫模型8Failedtofunction9Spurioustrip1NormallyOperating2Degraded3Degraded4Spurioustrip7Spurioustrip6Failedtofunction5FailedtofunctionλDU,CCμTIλDD+S,CCμMTTR2λDUμTI2λDD+SDμMTTRμMTTR2λSUλDU2μTIλDD+SDμMTTRλDUμTIλDD+S2μMTTR當前9頁，總共37頁。對馬爾可夫分析的評價馬爾可夫分析的優(yōu)點非常詳細在一個模型中對系統(tǒng)完全描述可以模擬維修模擬順序關連馬爾可夫分析的缺點分析過程復雜模型建立困難，特別是由非專家確認檢驗，不過非專家也可進行該分析模型可能會變得很大(存在大量的狀態(tài)時)總體上，對于每個系統(tǒng)的變化，需要重新建立整個模型當前10頁，總共37頁。故障樹分析范例(1)高放熱反應潛在的危害是什么?后果是什么?原因是什么?此原因是否是基本事件?有什么保護措施?FICTISHHH當前11頁，總共37頁。故障樹分析范例(1)反應器爆炸失控反應破裂盤故障流量控制迴路故障溫度聯鎖故障流量控制器故障流量控制閥故障熱電偶及繼電器故障緊急關斷閥無法關閉3.6x10-4F/YR

1.8x10-2F/YR

0.02probabilityoffailureondemand0.3F/YR

0.060.2F/YR

0.1F/YR

0.05Probabilityoffailureondemand0.01Probabilityoffailureondemand保護層2保護層1E/E/PES(SIS)當前12頁，總共37頁。故障樹分析范例(2)當前13頁，總共37頁。SIL驗證-簡化方程式簡化公式方法為工程師提供了依照IEC-61511而設計的安全儀表功能里的典型配置中所需估計的PFDAvg數學值要遵循的步驟。這個程序適用于SIL1和SIL2的安全儀表功能當前14頁，總共37頁。安全儀表功能(SIF)表實例安全儀表功能名稱/編號

安全儀表功能說明

危害/后果

安全儀表功能設計架構

安全完整性等級

MCR反應器保護/I-01

Causes:FIRSA-R0101低低流量；TIC?R0107A~D/TIC?R0110A~D高高溫Effects:關斷HV-R0101、PV-E0401；開HV-R0102、HV-R0102B(新增)大量補蒸汽

反應器催化劑失去流化，導致死床、悶床，嚴重時局部過熱或飛溫造成反應器燒穿，烯烴外泄造成火災爆炸。

Sensor:Group1:FIRSA-R0101(1oo1)Group2:TIC-R0107A~D/TIC-R0110A~D(3oo8)Groupvoting:1oo2Finalactuator:Group1:HV-R0101、PV-E0401(1oo2)Group2:HV-R0102、HV-R0102B(1oo2)Groupvoting:2oo2SIL2當前15頁，總共37頁。TIC-R0107A~D/TIC-R0110A~D(3oo8)FIRSA-R01011oo2Logicsolver(SIL3)2oo21oo2HV-R0101PV-E0401HV-R0102SIL3SIL1SIL4SIL2SIL1SIL1SIL1結構約束當前16頁，總共37頁。SIL驗算(Verification)

Sensorpart:PFDavg,s1=PFDavg,s1,i+PFDavg,s1,ccf=0+1/2βλDUt=0.5×0.05×550×10-9×17520=2.41×10-4PFDavg,s2=1/2λDUt=0.5×3600×10-9×17520=3.15×10-2PFDavg,s=PFDavg,s1×PFDavg,s2=2.41×10-4×3.15×10-2

=7.59×10-6

LogicSolver:PFDavg,L=1/2λDUt=0.5×241×10-9×17520=2.11×10-3

FE:PFDavg,v1=1/3(λDU1

λDU2)t2

=1/3×(3225×10-9×17520)2

=1.06×10-3PFDavg,v2=1/2λDUt=0.5×1925×10-9×17520=1.69×10-2PFDavg,v=PFDavg,v1+PFDavg,v2=1.06×10-3+1.69×10-2

=1.8×10-2PFDavg=PFDavg,s+PFDavg,L+PFDavg,v=7.59×10-6+2.11×10-3+1.8×10-2=2.01×10-2SIL2?

當前17頁，總共37頁。TIC-R0107A~D/TIC-R0110A~D(3oo8)FIRSA-R01011oo2Logicsolver(SIL3)2oo21oo2HV-R0101PV-E0401HV-R0102SIL3SIL1SIL4SIL2SIL2SIL2結構約束

-21oo2HV-R0102BSIL2當前18頁，總共37頁。SIL驗算-2PFDavg,v2=1/3((1-β)λDUt)2＋1/2βλDUt

=1/3×(0.95×1925×10-9×17520)2+0.5×0.05×1925×10-9×17520=3.42×10-4+8.43×10-4=1.19×10-3PFDavg,v=PFDavg,v1+PFDavg,v2=1.06×10-3+1.19×10-3

=2.25×10-3PFDavg=PFDavg,s+PFDavg,L+PFDavg,v=7.59×10-6+2.11×10-3+2.25×10-3=4.36×10-3

→SIL2

當前19頁，總共37頁。共同原因失效(CCF)共同原因失效：單一故障源導致一個系統(tǒng)內的多個部件故障。該故障源可能是系統(tǒng)內的，也可能是系統(tǒng)外的共同原因失效是由共同的根源導致的（類似）部件失效，而不是因系統(tǒng)中其它部件的失效連帶引發(fā)的。根源是指共同的環(huán)境塵埃，空氣濕度，無線電射頻干擾等，還有例如共享一個電源停電、強烈的電磁或震動干擾、共處高熱環(huán)境、系統(tǒng)設計不當失效、維修人為錯誤、多重通道之間未做隔離等例如：如果冷卻風扇故障(單一點失效)，一個多信道PE系統(tǒng)的所有信道都可能故障，導致共同原因失效。然而，并不是說所有信道以相同的速度變熱，或有相同的臨界溫度。因此，不同的通道會在不同的時間失效（多樣的：使用不同的技術，設備或設計方法來實現共同的功能，其用意是將共同原因故障減至最少）當前20頁，總共37頁。共因失效與隨機失效及系統(tǒng)性失效之關系共同原因失效的解讀一般僅限于硬件失效－即與硬件制造商有最大關系的領域試圖對系統(tǒng)性失效進行建模分析是不可行的(例如軟件錯誤)當前21頁，總共37頁。危險共因失效率：λDUβ+λDDβD防止共因失效的措施包括設計對策及人為管理對策等。將IEC61508-6,AnnexD,TableD.1中對于已實行對策項目，進行積分的加總。共同原因失效因子(CCFFactor)(IEC61508-6,AnnexD,TableD.1)Failure

channel2CommonCauseFailureCCFFailure

channel1當前22頁，總共37頁。共同原因失效因子(CCFFactor)(IEC61508-6,AnnexD,TableD.1)β=不可能檢測到的危險失效的共因失效因子β值可由IEC61508-6,AnnexD,TableD.4查得S值決定S=X+Y(X值與Y值可由IEC61508-6,AnnexD,TableD.1決定)βD=可能檢測到的危險失效的共因失效因子βD值可由IEC61508-6,AnnexD,TableD.4查得SD值決定SD=X(Z+1)+Y(Z值可由IEC61508-6,AnnexD,TableD.2&D.3決定)當前23頁，總共37頁。規(guī)程/人機界面能力/培訓/安全素養(yǎng)環(huán)境的控制環(huán)境測試分離/隔開多樣性與冗余復雜性/設計/應用/老化/經驗評估/分析及數據反饋防止共因失效的措施的評分項目共計8大類：決定共同原因失效因子(IEC61508-6,AnnexD,TableD.1)當前24頁，總共37頁。決定共同原因失效因子(IEC61508-6,AnnexD,TableD.2&3)當前25頁，總共37頁。決定共同原因失效因子(IEC61508-6,AnnexD,TableD.4)當前26頁，總共37頁。IEC61511/GB-T21109SIS安全生命周期管理功能安全管理、評估及稽核安全生命周期架構及規(guī)畫危害及風險評估第8章分配安全功能至各保護層第9章操作及維護第16章第6.2章系統(tǒng)除役第18章系統(tǒng)修改第17章分析階段運轉階段第5章擬定安全儀表系統(tǒng)之安全需求規(guī)范第10及12章安裝、試俥及確認第14及15章其它風險降低方法之設計及開發(fā)第9章安全儀表系統(tǒng)之設計及工程第11及12章第7、12.4及12.7章驗證(強制評估點)實現階段當前27頁，總共37頁。加氫飽和裝置

HAZOP工藝偏離可能原因危害/后果既有防護措施嚴重性可能性風險等級改善建議高流量(氫氣)高流量(低壓蒸汽)低/無流量(C4)

1.FT/FIC/FV-1017故障開度過大或全開2.FT/FIC-1008故障高訊號3.AT/AIC-1001H2calculator失效1.TT/TIC-1019故障訊號偏低，造成FIC-1019開度過大2.FT/FIC/FV-1019故障開度過大或全開3.LT/LIC-1014故障低訊號FT/FIC/FV-1008故障開度過小1.氫氣高流量造成過度氫化反應，使副反應(丁烷)增加2.過度氫化反應導致R-103高溫，嚴重時造成溫度失控，高溫燒破反應器導致泄漏，可能造成火災爆炸。氫化反應器烯烴聚合，導致催化劑結焦，嚴重時會造成熱斑或溫度失控，同R-103溫度過高。1.使副反應(丁烷)增加2.烯烴在R-103中偏流導致局部過熱，嚴重時造成失控反應。R-103設有TT-1037～1048A/B/C(2oo3)高溫報警及高高溫報警并聯鎖關斷UV-1026A、UV-1026BR-103設有TT-1037～1048A/B/C(2oo3)高溫報警及高高溫報警并聯鎖關斷UV-1029FALL-1013A/B/C聯鎖關斷氫氣進料UV-1026A/B、低壓蒸汽UV-1029、E-106進料TV-1015A、旁路E-106(開1015B)5552323431.TIC-1019增設高溫報警2.建議將FV-1019納入IS-1001終端關斷器，修改為1oo2Voting可同時關斷控制閥FV-1019與UV-1029當前28頁，總共37頁。HAZOP結合保護層分析(LOPA)123456789101112影響事件描述嚴重性等級引發(fā)原因引發(fā)可能性一般過程設計基本過程控制系統(tǒng)報警附加減輕，限制進入獨立保護層中間的事件可能性安全儀表功能完整性等級已減輕事件的可能性過度氫化反應導致R-103高溫，嚴重時造成溫度失控，高溫燒破反應器導致泄漏，可能造成火災爆炸。

5FT/FV-1017故障全開FT/FV-1019故障全開FT/FV-1008故障開度過小DCS故障

0.15/year0.05/year11110.110.10.1111.5E-3/year5E-3/year6.5E-3/year1.6E-3(SIL2)1E-5/year當前29頁，總共37頁。安全需求規(guī)範(SRS)-1SIF名稱IEC61511-1條文：10.3.1a

選擇性氫化第一級反應器R-103保護回路

危害事件說明IEC61511-1條文：10.3.1d

C4進料FT/FIC-1008故障高訊號、R-103進料管在線AT/AIC-1001及H2calculator失效、FT/FIC/FV-1017故障開度過大或全開等導致氫氣補充氣進料過高；或R-103入口TT/TIC-1019故障訊號偏低，造成FIC-1009開度過大、R-103預熱器E-101冷凝罐D-107液位LT/LIC-1014故障低訊號、FT/FIC/FV-1019故障開度過大或全開等導致低壓蒸汽熱源供應過高，過度氫化反應造成R-103烯烴聚合，甚至催化劑結焦，嚴重時會造成溫度失控。C4進料FT/FIC/FV-1008故障開度過小，烯烴在R-103中偏流導致局部過熱，嚴重時亦會造成溫度失控。高溫燒破反應器導致泄漏，可能造成火災爆炸。當前30頁，總共37頁。安全需求規(guī)範(SRS)-2安全狀態(tài)

IEC61511-1條文：10.3.1c停進料/關出料/裝置停車/排火炬起始事件

IEC61511-1條文：--

FT/FIC/FV-1017故障全開；FT/FIC/FV-1019故障全開；FT/FIC/FV-1008故障開度過小操作模式

IEC61511-1條文：10.3.1h低需求(LowDemand)SIF需求率IEC61511-1條文：10.3.1e0.2/year

當前31頁，總共37頁。安全需求規(guī)範(SRS)-3SIL等級需求

IEC61511-1條文：10.3.1hSIL2檢驗測試周期

IEC61511-1條文：10.3.1f

3yearsSIF應答時間

IEC61511-1條文：10.3.1g5～10sec工藝應答時間

IEC61511-1條文：10.3.1g＞5min保護方式

IEC61511-1條文：10.3.1m失能(De-energize)當前32頁，總共37頁。安全需求規(guī)範(SRS)-4手動停車

IEC61511-1條文：10.3.1l有

停機后復位

IEC61511-1條文：10.3.1n手動與基本過程控制系統(tǒng)(BPCS)及其它系統(tǒng)關系IEC61511-1條文：10.3.1rDCS按鈕(HS-1004B、HS-1011)，閥位狀態(tài)(ZLO/ZLC-1026A、ZLO/ZLC-1026B、ZLO/ZLC-1029)訊號送至DCS顯示高溫報警(TAH-1037～TAH-1048)及高高溫報警(TAHH-1037A/B/C～TAHH-1048A/B/C)、低低流量報警(FALL-1013A/B/C)訊號送至DCS顯示工藝凌駕POSIEC61511-1條文：10.3.1u開車期間以HS-1004BBypass低低流量關斷UV-1026A/B功能當前33頁，總共37頁。安全需求規(guī)範(SRS)-5傳感器次系統(tǒng)

表決：1oo2傳感器群組1：TT-1037A/B/C～1048A/B/C表決：1oo12傳感器群組1.1：TT-1037A/B/C表決：2oo3聯鎖動作：高高溫輸出訊號至邏輯處理器(SafetyPLC)IEC61511-1條文：10.3.1i

作動設定：108℃IEC61511-1條文：10.3.1i共因失效來源：相同的組件、共同動力源、共同的接線線路、人為因素、類似的技術

IEC61511-1條文：10.3.1b

Beta共因失效因子：5%檢驗測試覆蓋率/測試條件：95%類型：3-WireRTD傳感器群組2：FT-1013A/B/C表決：2oo3聯鎖動作：低低流量輸出訊號至邏輯處理