安全仪表系统SIS精选课件.ppt

二、分层保护 保护层必须是： 独立的（Independence）； 额定荷载的、可靠的(Dependability)； 针对性的（Specificity）; 可审计的（Auditability）。 三、独立保护层 独立保护层，是能防止工艺系统隐患发生的装置、系统或行动。 主动独立保护层 基本工艺控制系统 报警人工干预 安全泄放阀门 安全仪表系统 被动独立保护层 围堰/围堤 全开的排气筒 抗爆墙 阻火器 四、SIL概念 保护层总失效率 ≤ 可接受风险； 保护层总失效率 = SIS保护层 + 非SIS保护层失效率； SIS失效率 = 可接受风险 – 非SIS保护层失效率 四、SIL概念 SIL级别 SIL 4 SIL 3 SIL 2 SIL 1 失效率（PFD） 10-4 to 10-5 10-3 to 10-4 10-2 to 10-3 10-1 to 10-2 一个SIF对应一个SIL级别； 一个SIS可能有很多SIL级别。 现有技术，SIS失效率最低只能降到SIL4； 化工系统最多SIL3，不推荐SIL4，除非…… 五、SIL在SIS设计的应用 根据SIL审查的意见，考虑增加或删除安全仪表功能； 例： 根据SIL评估结果，确定输油管是否需要紧急切断系统（SIS） ？ 海洋 五、SIL在SIS设计的应用 调整安全仪表功能的冗余设计：变送器，逻辑处理器，和终端元件； 变IEC61511-1 表5 送器，终端元件，和非PE逻辑处理器 调整冗余 根据：IEC61511-1的第11.4 “硬件容错要求”； 五、SIL在SIS设计的应用 SIL 最低冗余要求 （参阅11.4.3和11.4.4） 最低冗余要求 （如满足11.4.4） 1 0 0 2 1 0 3 2 1 4 参照IEC 61508 参照IEC 61508 IEC 61511-1 表6 变送器，终端元件，和非PE逻辑处理器 不建议SIL4：避免过度冗余、生产、维护等问题； 考虑“非SIS”措施，降低SIL等级 调整冗余 SIS SIS 五、SIL在SIS设计的应用 冗余调整： SIL1 安全仪表系统SIS 坚持 一些基本问题 为什么不用DCS执行安全功能？ 1oo2和2oo3，哪一个更安全？ 能否设计一个100%可靠和不会误跳车的联锁？ SIF什么情况可以删除/增加？ SIF/DCS分开和共享原则是什么？ SIL会不会增加成本？ SIS仪表如何采购，验证和维护？ SIF在天然气/原油长距离输送，和石化项目中，过压保护如何设计？ SIS基本概念 SIS基本概念 安全仪表系统（SIS）： 由多个变送器，逻辑处理器和终端元件组成; 工艺偏离正常值时，能把系统带回安全状态； SIS基本概念 安全仪表功能（SIF） 是安全仪表系统中，为实现某一功能的单一回路； 只针对特定一个隐患，把工艺系统带回安全状态； 每一个SIF回路，对应一个SIL等级。 SIS基本概念 安全仪表系统生命周期 工艺流程 – 概念设计； 识别隐患 – 危险源识别； SIL评估 – LOPA分析； SIL等级 – 确定SIF冗余、增删和 其他非SIS措施； SIF设计 – 确定因果图和技术参 数； 采购安装 – PFD要求和验证； 调试 – 频率和维护。 定义工艺流程 隐患识别和 分层保护分析 确定非SIS措施 是 不是 设计、采购 安装、验证、试车 维护、调试 确定SIF冗余/增删 其他预防/减缓措施 SIL评估 SIS？ 结束 SIS基本概念 安全仪表系统故障模式 仪表故障可分为“安全失效?S”和“危险失效?D”。 安全失效致误跳车，降低生产连续性； 危险失效导致事故，降低安全可靠性； 故障 60% 40% 安全失效 危险失效 ?D ?S ? SIS基本概念 安全仪表系统故障模式 安全可探测 (?SD) 60% 40% 安全失效 危险失效 ?S ?D (?SU) 安全不可探测 (?DD) 危险可探测 危险不可探测 (?DU) 仪表故障分为可探测的和不可探测的； “安全失效” 和“危险失效”，均可分为“可探测的”和“不可探测的”； 可探测的和不可探测的“安全失效”，会导致误跳车，把工艺带回安全状态； 可探测的“危险失效”，可转换信号为为“安全失效”，把工艺带回安全状态； 不可探测的“危险失效”，不能被系统设别，会导致安全事故。 SIS基本概念 SIL定义 Demand是工艺系统里，是非安全仪表系统的失效率； PFD=probability of Failure on Demand，是一个SIF回路的失效率； SIL等级 SIL 4 SIL 3 SIL 2 SIL 1 PFD 失效率 10-4 到 10-5 10-3 到 10-4 10-2 到 10-3