安全仪表系统2课件.pptx

1.概述 1-1 安全仪表系统（SIS）的定义 1-2 安全仪表系统（SIS）的分类 1-3 安全仪表系统（SIS）的组成 1-4 SIS与DCS的区别 1-5 SIS系统的配置 1-6 安全生命周期 1-7 工艺过程的风险评估及SIS的SIL等级的评定（实例分析）2.危险与操作性分析（HAZOP）2-1 方法概述 2-2 HAZOP分析步骤 2-3 HAZOP分析方法举例 2-4 风险管理的ALARP原则第1页/共103页 安全仪表系统(SIS)用于监视生产装置 独立单元的操作,当发现生产过程出现异常,超出安全操作范围,可以使其进入安全状态,从而 使危险降低到可以接受的最低程度,以保证人员、设备、生产和环境的安全。安全仪表系统(SIS:Safety Instrumented System)的作用如图1所示。1.概述1-1 安全仪表系统(SIS)的定义第2页/共103页 图1 安全仪表系统的作用 第3页/共103页 采用SIS系统的重要性生产装置的规模向大型化、超大型化、智能化方向发展,一旦出现事故,就会造成装置的全线停车,其损失是巨大的,有时甚至是灾难性的。随着过程工业的发展,由于过程的复杂性、原料变化、最终产品的质量要求、装置规模以及设备、人身、环境的保护等因素,安全系统的设置显得十分必要。SIS安全仪表系统是适用于高温、高压、易燃、易爆等连续性生产装置的安全保护系统。第4页/共103页 对SIS仪表安全系统的要求 随着石油化工生产装置规模趋大型化,设计操作指标离安全临界点越来越近,即所谓的卡边操作,在实现APC先进控制时,这点尤为重要。此外机械设备故障、系统本身故障或能源中断时等,造成危险的可能性也在增加,人们对仪表安全系统的认识也在提高,这就对安全仪表系统提出了新的要求:第5页/共103页 系统必须比继电器控制或是固体逻辑控制更安全可靠。1.早期的保护采用继电器控制或固体逻辑控制,它有以下缺陷:使用继电器多,一旦某个继电器发生故障,很容易导致误报警和误停车;响应速度慢,对于要求高的地方不能满足要求;修改逻辑困难,因为要增加硬件设备;非冗余,任何故障都可能导致停车。2.必须减少系统误动作或误停车的次数和频率;3.系统必须易于维护和查找故障并具有自诊断功能;4.系统必须易于组成并具有在线修改组成的功能;5.系统必须可与DCS及其他计算机系统通信;6.系统必须有硬件和软件的权限人保护;7.必须有提供第一次事故记录(SOE)的功能;8.系统必须独立于其他控制系统。第6页/共103页 安全仪表系统(SIS)是指能实现一个或多个安全功能的系统。在石油、石油化工诸多领域中已有较多产品,譬如ITCC(压缩机透平集成控制系统)、FG(火焰与气体监控系统)、ESD(紧急停车系统)。常见的取得TV认证的产品有:FSC(Fail Safe Control)由荷兰PF(PepperlFuchs)公司开发,1994年被Honeywell公司收购.安全等级可达AK6。Regent Trusted 美国ICS利用宇航技术开发的安全系统.安全等级AK4AK6。Triconex、Trident 美国Triconex公司开发,用于压缩机综合控制(ITCC)和紧急停车系统。安全等级为AK6。Fanuc90-70 美国GE公司开发.其中GMR(模块式冗余容错系统)的安全等级为 Class5(2oo3)、Class4(1oo2)和Class5(2oo2)。QUADLOG 由Moore公司开发。日本横河公司收购后称 Prosafe PLC,其1oo2D结构安全等级达AK6。SIMATIC S7-400F/FH 德国SIEMENS公司产品。400F和400F分别为1个CPU和2个CPU运行fail-safe(F)用户程序,均取得TUV认证,安全等级为AK1AK6。SC300E AUGUST System公司开发,1997年为ABB集团成员之一。安全等级为 Class5和Class6。PES(Cprogrammable Electronic SY Stem)可编程电子系统,它是德国著名的安全制造商HIMA生产的产品。第7页/共103页安全仪表系统(SIS)的变迁:20世纪60年代,在PLC和DCS出现之前,仪表安全系统(SIS)由气动、继电器系统组成。随着时间的推移,气动、继电器仪表安全系统暴露的问题越来越多,很难达到实时、安全可靠的要求。到了20世纪70年代本质故障安全技术诞生,增加了安全性、整体性的需要。20世纪90年代双重化诊断系统,TMR(三重模块冗余PLC)技术在生产过程中得到了应用,同时,由于TV AK6安全等级的认证,使得SIS技术在欧美石化生产过程中得的广泛应用,到目前为止SIS技术正在世界范围内应用。从SIS发展历史来看,安全仪表系统(SIS)经历了继电器系统、固态电路系统和可编程电子系统3 个阶段。第8页/共103页1-2 安全仪表系统(SIS)的分类:(1)继电器系统 采用单元化结构,由继电器执行逻辑,通过重新接线来重新编程。可靠性高,具有故障安全特性,电压适用范围宽,一次性投资较低,可分散于工厂各处,抗干扰能力强。系统庞大而复杂,灵活性差,进行功能修改或扩展不方便,无串行通信功能,无报告和文档功能。易造成误停车,无自诊断能力。用户维修周期长,费用高。第9页/共103页(2)固态电路系统采用模块结构,采用独立固态器件,通过硬接线来构成系统,实现逻辑功能。结构紧凑,可进行在线测试,易于识别故障，易于更换和维护,可进行串行通信,可配置成冗余系统。灵活性不够,逻辑修改或扩展必须改变系统硬连线,大系统操作费用较高,可靠性不如继电器系统。第10页/共103页安全仪表系统(SIS)的特点SIS能够检测潜在的危险故障,具有高安全性,覆盖范围宽的自诊断功能。采用自诊断技术可以保证SIS运行的可靠性,例如作为Honeywell TPS的紧急停车FSC系统,每个过程安全时间(Process Safe Time,PST)中有1s或2s用于测试I/O、内部数据总线、处理器,诊断结果送给PC机用于系统维护。SIS需符合国际安全标准规定的仪表安全标准,从系统开发阶段开始,要接受第三方认证机构(TV等)的审查,取得认证资格,系统方可投入实际运行。在国际安全标准中推荐诸如经TV第三方认证机构的版现场测试及相关程序审查通过的“用户认可的安全仪表”。SIS自诊断覆盖率大,维修时检查的点数非常少。诊断覆盖率是指可在线诊断出的故障系统全部故障的百分数。SIS由采取冗余逻辑表决方式的输入单元,逻辑结构单元,输出单元三部分组成系统,逻辑表决的应用程序修改容易,特别是可编程SIS,根据其工程实际要求,修改软件即可。SIS由局域网、DCS I/F(人机接口)及开放时网络等组成多种系统。SIS设计特别重视从传感器到最终执行机构所组成的回路整体的安全性保证,具有I/O断线、短路等的监测功能。第11页/共103页1-3 安全仪表系统(SIS)的组成 安全仪表系统(SIS)由三部分组成:传感器单元 逻辑运算单元 最终执行器单元 如图2所示。第12页/共103页 传感器单元:传感器单元多采用多台仪表或系统传感器配置原则,控制功能与安全联锁功能隔离做到安全仪表系统与过程控制系统的实体分离第13页/共103页 逻辑运算单元(逻辑解算单元)或称逻辑表决单元。逻辑运算单元由输入模块、控制模块、诊断回路、输出模块4部分组成。逻辑运算单元自动进行周期性故障诊断,基于自诊断测试的安全仪表系统,系统具有特殊的硬件设计,借助于安全诊断测试技术保证安全性。SIS故障有两种:显性故障(安全故障)和隐性故障(危险性故障)。第14页/共103页显性故障(如系统断路等),由于故障出现使数据产生变化,通过比较可立即检测出,系统自动产生矫正作用,进入安全状态。显性故障不影响系统安全性,仅影响系统可用性,又称为无损害故障(Fail to Nuisance,FTN)。隐性故障(如I/O短路等),开始不影响到数据,仅能通过自动测试程序方可检测出,它不会使正常得电的元件失电,又称为危险故障(Fail Danger,FTD),系统不能产生动作进入安全状态。隐性故障影响系统的安全性,隐性故障的检测和处理是SIS系统的重要内容。第15页/共103页 最终执行器单元最终执行器(切断阀、电磁阀)是安全仪表系统中危险性最高的设备。在正常工况时SIS是静态的、被动的,系统输出不变,最终执行器一直保持在原有状态,很难确定最终执行器是否有危险故障。过程控制系统是动态的、主动的,控制阀动作随控制信号的变化而变化,不会长期停留在某一位置。要选择符合安全度等级要求的控制阀及配套的电磁阀作为安全仪表系统的最终执行器。例如:当安全度等级为3级时,可采用一台控制阀和一台切断阀串联连接作为安全仪表系统的最终执行器。第16页/共103页安全仪表系统的逻辑单元选择见表1表1 安全仪表系统的逻辑单元结构选择表逻辑单元结构IEC61508 SILTV AKDIN V192501oo11AK2,AK31,21oo1D2AK43,41oo22AK43,41oo2D3AK5,65,620033AK5,65,62oo4D3AK5,65,6第17页/共103页 1-4 SIS 与DCS的区别 安全仪表系统(SIS)与分散控制系统(DCS)在石油、石化生产过程中分别起着不同的作用,如图3所示.图3 生产装置的安全层次第18页/共103页生产装置从安全角度来分三个层次:生产过程层、过程控制层及安全仪表停车保护层。第一道防线:生产装置最初的工程设计、设备选型及安装阶段,都对过程和设备安全性进行考虑。第二道防线:过程控制系统保证,DCS对过程进行动态控制,使装置可稳定运行,使装置风险又降低了一个等级。最后一道防线是SIS系统起作用,最大限度降低风险,保护人、设备、环境的安全。第19页/共103页SISY与DCS在功能上的区别见表2表2 DCS与SIS的区别DCSSISDCS用于过程连续测量、常规控制(连续、顺序、间歇等)、操作控制管理,保证生产装置平稳运行DCS是“动态”系统,它始终对过程变量连续进行检测、运算和控制,对生产过程动态控制,确保产品质量和产量DCS可进行故障自动显示DCS对维修时间的长短的要求不算苛刻DCS可进行自动、手动切换DCS系统只做一般联锁、泵的开停、顺序等控制,安全级别要求不像SIS那么高SIS用于监视生产装置的运行状况,对出现异常工况迅速进行处理,使故障发生的可能性降到最低,使人和装置处于安全状态SIS是静态系统,在正常工况下,它始终监视装置的运行,系统输出不变,对生产过程不产生影响,在异常工况下,它将按着预先设计的策略进行逻辑运算,使生产装置安全停车SIS必须测试潜在故障SIS维修时间非常关键,弄不好造成装置全线停车永远不允许离线运行,否则生产装置将失去安全保护屏障SIS与DCS相比,在可靠性、可用性上要求更严格,IEC61508,ISA.S84.01强烈推荐SIS与DCS硬件独立设置第20页/共103页 1-5 SIS系统的配置方案(1)a型 控制系统和联锁系统全部由DCS控制站完成。过程控制信息由通信网络传给操作站显示报警,操作员的操作指令由操作站通过通信网络传给控制站执行,这就是控制、联锁一体化形式。第21页/共103页(2)b型 控制系统信号由一组控制站完成,报警联锁信号由另一组控制站完成。两站信息由通信网络送到操作站,操作员指令由操作站经通信网络送达各个控制站执行,就是控制、联锁站站分开型。第22页/共103页(3)c型 控制信号由DCS独立执行。联锁信号由PLC独立执行,PLC由独立的编程器进行软件编写,重要的信息送操作台硬灯显示或操作台发出硬开关动指令。PLC联锁报警的非重要信号由通信接口送到通信网络并传到操作站进行显示,部分非重要指令由操作站发出,送PLC执行,就是DCS+PLC型。第23页/共103页(4)d型 控制报警信号由DCS系统执行,重要的联锁信号由继电器系统完成。由硬开关及硬灯组成的操作台进行显示和操作,就是DCS+PLC型。第24页/共103页e型 控制信号由DCS独立完成,联锁报警信号由三重冗余的紧急联锁控制器ESD完成。软件编程器独立设置,重要动作及操作指令由独立操作台显示和发出,非重要信号和指令由通信接口经通信网络送操作站显示和发出,就是DCS+ESD型。第25页/共103页SIS设置的具体要求:SIS原则上应单独设置,独立于DCS和其他系统,并与DCS进行通信;SIS应具有完善的诊断测试功能,其中包括硬件(CPU、I/O通信电源等)和软件(操作系统、用户编程逻辑等),SIS应采用经TV安全认证的PLC系统;SIS关联的检测元件,执行机构原则上应单独设置;SIS应采用冗余或容错结构,如CPU、通信、电源等单元;SIS应设计成故障安全型,I/O模件应带电磁隔离或光隔离,每通道应相互隔离,可带电插拔;来自现场的三取二信号应分别接到三个不同的输入卡,当模拟量输入信号同时用于SIS、DCS时,应先接到SIS的AI卡,采用SIS系统对变送器进行供电。第26页/共103页2 SIS的相关标准及认证机构 鉴于SIS涉及到人员、设备、环境的安全,因此各国均制定了相关的标准、规范,使得SIS的设计、制造、使用均有章可循。并有权威的认证机构对产品能达到的安全等级进行确认。这些标准、规范及认证机构主要有:我国石化集团制定的行业标准SHB-Z06-1999石油化工紧急停车及安全联锁系统设计导则。国际电工委员会1997年制订的IEC 61508/61511标准,对用机电设备(继电器)、固态电子设备、可编程电子设备(PLC)构成的安全联锁系统的硬件、软件及应用作出了明确规定。美国仪表协会制定的ISA-S84.01-1996安全仪表系统在过程工业中的应用。美国化学工程学会制定的AICHE(ccps)-1993，化学过程的安全自动化导则。英国健康与安全执行委员会制定的HSE PES-1987,可编程电子系统在安全领域的应用。德国国家标准中有安全系统制造厂商标准-DIN V VDE0801、过程操作标准-DIN V 19250和DIN V 19251、燃烧管理系统标准-DIN VDE 0116等。德国技术监督协会(TV)S 一个独立的、权威的认证机构,它按照德国国家标准(DIN),将SIS所达到的安全等级分为AK1AK8,AK8安全级别最高。其中AK4、AK5、AK6为适用于石油和化学工业应用要求的等级。第27页/共103页1-6 安全生命周期 安全生命周期安全生命周期SLC(Safety Life Cycle)：是是美国国家标准美国国家标准ANSI/ISA S84.01(1996)ANSI/ISA S84.01(1996)提出的要提出的要求。该标准将安全设计、安全评估、安全控制和安全求。该标准将安全设计、安全评估、安全控制和安全管理贯穿工厂设计、施工、运行、操作、管理、维护管理贯穿工厂设计、施工、运行、操作、管理、维护直到停工（报废）全部生命周期，强调安全是一项长直到停工（报废）全部生命周期，强调安全是一项长期的不能松懈的任务。安全生命周期的实施步骤包括：期的不能松懈的任务。安全生命周期的实施步骤包括：初步设计阶段需进行过程危险分析和风险评估；论证初步设计阶段需进行过程危险分析和风险评估；论证是否需要设计安全控制系统；依据国际标准是否需要设计安全控制系统；依据国际标准IEC61508IEC61508确定过程的安全整体性要求级别（确定过程的安全整体性要求级别（SILSIL）；）；制定安全技术规范；完成安全控制系统设计及可行性制定安全技术规范；完成安全控制系统设计及可行性试验；建立工厂操作和维护规程；进行预开车安全评试验；建立工厂操作和维护规程；进行预开车安全评估；安全控制系统投用、操作、维护、定期功能测试；估；安全控制系统投用、操作、维护、定期功能测试；如果过程进行了工艺改造或在生产实践中发现安全措如果过程进行了工艺改造或在生产实践中发现安全措施不完善时，返回第一步重复以上所有工作。施不完善时，返回第一步重复以上所有工作。第28页/共103页 安全生命周期是用系统的方式建立的一个框架,用以指导过程风险分析、安全系统的设计和评价。整体安全生命周期(图4)包括了系统的分析、设计、安装、确认、操作、维护、停用等方面,关于每一方面IEC61508都要求建立相应的文档以及安全规范。系统可以根据实际中应用的效果进行修改,甚至重头来。第29页/共103页 安全生命周期的概念有以下几个特点 1 包括了安全系统从无到有,直到停用的各个阶段,为安全系统的开发应用建立了一个框架。2 整体安全生命周期清楚地说明了其各个阶段在时间和结构上的关系。3 能够按照不同阶段更加明确地为安全系统的开发应用建立文档、规范,为整个安全需要提供结构化的分析。4 与传统非安全系统开发周期类似,已有的开发、管理的经验和手段都能够被利用。5 从系统的角度出发进行安全系统的开发,涉及面广,同时蕴含了一种循环的理念,使得安全系统在分析、设计、应用和改进中不断完善,保证更好的安全性能和投入成本比。第30页/共103页 安全生命周期的基本活动 1 整体系统分析对过程系统组成、范围、无安全系统的风险水平(原始风险)和可接受的风险水平等各方面因素进行认真、细致的分析。其关键是确定系统必须的总体安全完整性水平,再将总的安全完整性水平分配到E/E/PES安全系统,其它技术安全系统和外部风险降低设施,以使过程存在的风险降低到允许的范围。第31页/共103页 在图5中可看到各个风险水平和风险降低设施的关系。虽然整体风险降低由E/E/PES安全系统、其他技术安全系统和外部风险降低设施三部分组成,但实际上风险降低并不必须包括这三个部分。例如,当其它技术安全系统和外部风险降低设施所带来的风险降低已经满足了允许的风险范围,则不需要再为系统增加E/E/PES安全系统。第32页/共103页 (2)E/E/PES安全系统设计和SIL等级确认.根据前一步确定的E/E/PES安全系统的应达到安全完整性水平进行E/E/PES安全系统的设计和确认,包括安全要求规范、E/E/PES设计开发与集成、E/E/PES操作和维护规程、E/E/PES的SIL确认等。第33页/共103页 (3)安装运行。按照安装计划执行安装活动,建立相应的活动文档、失效和不兼容问题的解决方案。(4)安全确认。安全确认的目的E/E/PES安全系统在考虑了按整体系统分析拟定的E/E/PES安全系统的安全要求规范后,满足基于整体安全功能要求和整体安全完整性要求的整体安全要求范围。如果整体安全完整性水平达不到允许范围之内,必须对安全系统进行修改或者重新设计。第34页/共103页 (5)操作维护。操作、维护安全系统保证其能够保持要求的功能安全,使整体满足要求的安全完整性水平,也是安全系统能够发挥其最佳安全性能的必要条件。可以看出,安全完整性水平贯穿于安全系统开发的始终。安全完整性水平不仅是安全系统安全性能的度量标准,而且是安全系统生命周期中的主线,将生命周期的各个阶段联系起来。安全完整性水平使得整体安全生命周期大框架下的所有活动具有良好的一致性。第35页/共103页国际安全规范与标准 过程安全生命周期的概念将安全评价、设计、控制和管理工作贯穿于工厂设计、建设、运行和停工全过程。强调安全是一项长期的时刻不能松懈的任务，也就是说对设计者而言，安全控制系统（SIS）设计不能一劳永逸，必须不断改进。对工厂而言必须长期维护并定期功能评价、测试以防万一。第36页/共103页国际安全规范与标准第37页/共103页 1-7 工艺过程的风险评估及SIS的SIL等级的评定 （实例分析）安全性与可靠性:安全仪表系统(SIS)监测到生产装置有危险,则其担当将生产装置安全停车的任务,一旦装置有危险发生SIS一定要起作用,这个准确度越高越好。以此来衡量安全仪表系统的安全性。另一方面SIS系统发生故障,不管生产装置运行与否,应极力避免装置停车,这一点用SIS的故障率(可靠性)来评估。通常接触到的很多设备，如果可靠性高那么安全性也高，一般情况下可以认为可靠性等于安全性。然而由于安全仪表系统通常监测生产装置异常情况处于待机状况，其自身发生故障并不意味着立刻产生影响，这一点与一般设备不同，即不能认为可靠性等于安全性。第38页/共103页作为安全仪表系统（SIS）安全性的尺度，定义了PFD（Probability of Failure on Demand），其含义是需求失败的概率：即意味着在发生需求时，对需求失败的概率（即不能正常完成保护功能）。也称安全功能故障率或需求模式下故障可能性。用PFD概率的微小程度来表示安全仪表系统的安全性。例如：PFD=0.10.01，则意味着每10个到100个需求，会有可能发生一次失败。第39页/共103页SIL及SIL分级：-SIL：是Safety Integrity Level的简称。中文的意思在SHB（中石化标准SHB-206-1999）里称安全度等级；在IEC61508标准中使用，称安全完整性水平或安全整体性水平，叫法不一，待有关国家标准公布后再决定其称呼。-美国仪表学会（ISA）在S84.01标准中对过程工业中安全仪表系统所作的分级，SIS分为1.2.3三级。-在EN954中使用类（Categority）。-在DIN V19250和DIN V VDE.0801中使用“需求等级（Reguirement Class,RC/AK）”第40页/共103页表注：AK1：无特殊安全要求A K8：E/E/PES已满足不了要求（1E/E/PES IS NOT SUFFICIENT）E/E/PES（Electrcal/Electronic/Programm-able Electronic Systen:电气/电子/可编程电子系统）。ISA-S84.01IEC 61508DIN V 19520(TV)PFD说明SIL.1 SIL.1AK110-110-2仅对少量的财产和简单的生产和产品进行保护AK2AK3SIL.2 SIL.2AK410-210-3对大量的财产和复杂的生产和产品进行保护，也对生产操作人员进行保护SIL.3SIL.3 AK5 10-310-4对工厂的财产、全体员工的生命和整个社区的安全进行保护AK6SIL.4AK710-410-5避免灾难性（例如核事故）会对整个社区形成巨大冲击的事故AK8表3第41页/共103页C-风险损害程度的分类；F-风险的频率和出现风险的的时间；P-避免风险发生的可能性；W-不希望出现风险的概率；1，2，8-必须采取的最小的抑制风险级；-没有安全要求；a-没有特殊安全要求第42页/共103页美国仪表学会（ISA）：在S84.01标准中对过程工业中安全仪表系统所作的分类等级，SIL分为1、2、3三级：SIL1级每年故障危险的平均概率为0.100.01之间;SIL2级每年故障危险的平均概率为0.010.001之间;SIL23级每年故障危险的平均概率为0.0010.0001之间。安全度等级的确定1级：装置可能很少发生事故。如发生事故，对装置和产品有轻微的影响，不会立即造成环境污染和人员伤亡，经济损失不大。用于本级装置的安全仪表系统，需取得SIL1级和TV2-3级认证，对装置和产品起一般的保护。2级：装置可能偶尔发生事故。如发生事故，对装置和产品有较大的影响，并有可能造成环境污染和人员伤亡，经济损失较大。用于本级装置的安全仪表系统，需取得SIL2级和TV4级认证，对装置和产品提供保护。3级：装置可能经常发生事故。如发生事故，对装置和产品将造成严重的影响，并造成严重的环境污染和人员伤亡，经济损失严重。用于本级装置的安全仪表系统，需取得SIL3级和TV5-6级认证，对装置和产品提供保护。第43页/共103页 IEC61508标准：IEC61508标准是国际电工委员会（IEC）对与安全相关的控制系统制定的性能安全标准，与ISA的SIL相比，除了覆盖SIA中的SIL13级以外，增加了第4级标准，IEC SIL4级标准每年故障危险的平均概率为0.00010.000 01之间。第44页/共103页 TV标准：TV是德国技术监督协会的缩写。DIN V 19250是TV证书中评定产品的标准。TV标准是德国莱茵认证对工业过程安全控制系统所作的分类等级。TV共分为8级（AK1AK8），AK2/3对应于SIL1级，AK4对应于SIL2，AK5/6对应于SIL3，AK7对应于SIL4，AK8是目前最高级别的安全标准，故障概率大于十万分之一，目前没有与E/E/PES安全相关的系统能满足要求，ISA和IEC尚未制定相应于AK8的标准。第45页/共103页工艺过程的风险评估 工艺控制过程如图7所示工艺过程为装载易发挥易燃液体的压力容器系统过程控制系统由液位控制进料量压力设高限报警如果操作员没有对报警做出反应，放空阀放空，通过泄压来降压，避免风险以安全为目的系统包括一个过压报警、一位操作员和一个减压阀第46页/共103页 工艺过程风险评估 工艺过程故障分析 表 4项目参数变化原因压力容器液位超高限过程控制系统故障压力超高限液位超高限外部事故（如火灾）低流量或无流量过程控制系统故障区分故障类型，找出工艺过程潜在的工艺参数变化以及造成的原因，根据工艺参数的变化发现潜在的恶性事故，制定相应的安全措施，分析情况如表4所示。压力容器故障树的建立如图所示第47页/共103页根据故障树模型得出超压情况的可能性。图8 压力容器超压的故障树第48页/共103页 在对此工艺过程进行风险评估之前，需要进行某些假使：目标安全水平：假设考虑了国际和国家标准，工程实际经验、社会道德和环境等因素，后确定一年内压力容器泄压放空发生率10-4，（容器内蒸汽释放到大气中概率小于10-4次/年）；，超压情况的可能性：一年内10-1；压力高限报警故障率:10-2；操作人员对压力高限报警处理失效率（无动作概率）10-1；放空阀故障率：）10-1（放空阀失效概率）；第49页/共103页从图9中可以看到:由于超压引起的各种潜在的泄压放空,以及情况的概率和后 果.只有满足所设计工艺过程的目标安全水平,其他四中情况都无法满足目标安全水平。增加安全措施来降低工艺过程的风险.在现有的安全保护系统下,增加一台放空阀(其压力设定值比原来那台高)。高压报警操作员处理放空阀可能性后果第50页/共103页 增加一台放空阀是否能使工艺过程满足其目标安全水平?从图10中可以看到第种情况仍然达不到目标安全水平。为了使工艺过程满足其目标安全水平,必须增加一套安全仪表系统SIS,来避免容器超压而引起可燃有毒物质的放空 高压报警 操作员处理安全功能放空阀可能性及后果第51页/共103页工艺过程的风险是以恶性事故机率及造成的后果来衡量的。同样,目标安全水平是以可接受的恶性事故机率及其造成的后果来确定的。通常在装置中,工艺过程的目标安全水平由国家标准、条例、政策法规和环保来要求,或者根据国际标准来确定。就我们讨论的每一种恶性事故过程,引入SIS只能降低恶性事故发生频率而不能改变其造成的后果。目标安全水平与恶性事故机率之间的差值就是安全功能的SIL等级,即SIS系统中采用SIL等级的安全功能来使恶性事故机率低于目标安全水平。第52页/共103页危险降低总量最初危险系统内在稳定性带来的危险降低基础过程控制带来的危险降低预报警带来的危险降低机械设备带来的危险降低其他手段带来的危险降低剩余危险可接受范围内的危险危险由图11所示很多环节都可以降低风险,如SIL评级所指的仪表保护是针对IPF(Instrumented Protective Functien)仪表保护功能带来的危险降低而言,即安全仪表系统SIS的作用带来的风险降低。如果在没有考虑IPF带来的危险降低时,危险已经降低到了可以接受的范围,相应的IPF就不需要了。反之,SIS/IPF是需要的,用来将危险降低到可以接受的范围内,并需要相应的SIL评级。图11 不同保护措施带来的危险降低第53页/共103页 图12第54页/共103页 SIL评级的程序:SIL评级前应先进行HAZOP(Hazard and operability study)工厂危害和可操作性研究。对工艺流进行全面的评估并提出需要报警和仪表安全联锁的部分,作为SIL评级的设计输入。所有的报警和联锁都要进行相应的SIL评级。经过SIL评级后,某些报警可能需要提高等级到安全联锁,某些安全联锁也有可能降低到报警,某些报警也有可能被取消。第55页/共103页 SIS评级的思想:是先假设没有SIS功能,分析危险发生的概率并结合危险发生后的危 害程度,得出需要由SIS将危险降低多大的程度,对应于一定的SIL等级。SIS评级有三种技术方法来确定:定性风险评估法:风险矩阵法;风险图法;后果法;改进HAZOP法(在传统HAZOP方法中增加对SIL的 选择)。半定量风险评级技术。定量风险评估技术:定量选择安全完整性水平是更加严格的方法,它要求对安全功能要求的动作频率和后果都通过定量的方式给出,同时允许风险也已是定量的,如最多伤亡5人。将系统风险首先定量地计算出来,然后同定量的允许风险相比较得到风险降低,再计算出平均“要求时失效”概率从而得到安全完整性水平。定量的完整性选择方法主要是定量风险分析法。第56页/共103页 SIS的定性风险评估方法:图13 风险评估的定性技术破坏程度 S1:轻微的人身伤害及环境破坏S2:一人或多人严重的人身伤害,一人死亡,暂时的环境破坏S3:多人死亡,环境严重破坏S4:灾难性后果暴露在事故现场的频率A1:很少到经常A2:永久性暴露避免在事故现场G1:在特定条件下可能G2:几乎不可能事故的频率W1:非常低W2:低W3:相当高第57页/共103页 根据图13所示这种IEC 61508的风险评估定性技术,分析图13所示的由于超压引起事故如何确定安全功能的SIL等级按下列步骤进行确定超压引起事故的破坏程度,从图表分析,我们假定为S2;确定人员暴露在事故现场的频率,由于压力容器没有封闭隔离,人员出现在事故现场是永久性的,所以为A2;确定是否有什么办法避免人员出现在事故现场,在此假定为G2;确定事故发生的频率,在此假定为W2。第58页/共103页 这样根据S2,A2,G2,和W2,可以看到为避免超压引起事 故,满足工艺过程的目标安全水平。我们需要一个SIL2的安全功能(安全功能故障率10-310-2,见表5)。整体安全水平(SIL)安全功能故障率SIL4=10-5=10-4=10-3=10-220 a 注:a:annual(每年)大部分的工艺过程危险发生概率定义在L这一档即为每420 a发生一次。即每420 a会对SIS功能有一次需求。SIL1/2/3分别意味着在发生需求时,对需求失败的概率(即不能正常完成安全保护功能)分别为0.10.01/0.010.001/0.0010.0001。可以看出SIL1意味着每10个到100个需求会有可能发生一次失败。第70页/共103页 例题:某个工艺危险发生概率为L(次/4-20 a)。危险发生后危害程度为M(较大危害)。对应了SIL等级为M(相当于SIL1:意味着4 a到20 a有可能发生一次真正的危险释放。引入SIS功能后,由于选用SIL1的SIS的需求失败概率为0.10.01,即有10个到100个的需求,有可能发生一次失败。这样整个系统意味着引入SIS功能后,每40 a(4 a10)到2000 a(20 a100)有可能发生一次真正的危险释放.使得危害程度为M(较大危害),由于SIS功能的引入危险被降低到了可接受的范围内,在此例中40 a释放一次M级的危害是相对可以接受的。第71页/共103页 风险矩阵(RISK MATRIX)评估办法 以工艺过程事故出现的频率(可能性)及其危害程度(严重性)为风险评估的指标,并对频率和危害程度人为量化为若干级,作出矩阵表(见表10),以此确定工艺过程安全度等级。表10 频率危害程度很低(20年以上)低(420年)中(0.54年)高(00.5年)轻微DCS报警DCS联锁DCS联锁轻DCS报警DCS联锁SIL1SIL2中DCS联锁SIL1SIL2SIL3大SIL1SIL2SIL3SIL4重大SIL2SIL3SIL4SIL4 表10中频率分级的年限(多少年出现一次)考虑了采用DCS进行监视、控制以及正常操作规程等对于降低事故出现频率的贡献,但不考虑ESD的存在。表10中危害程度从经济损失、人身伤害和环境三个方面予以量化。如表11所示。第72页/共103页表11危害程度经济损失(美元)人身伤害环境危害轻微150万造成多人伤残、死亡波及周边第73页/共103页 不同的工艺过程(生产规模、原料和产品的种类、工艺和设备的复杂测程度等)对安全的要求是不同的。一个具体的工艺过程,是否需要配置ESD、配置何种等级的ESD,其前提应该是对此具体的工艺过程进行风险的评估及安全度等级(SIL)的评定。在确定了某个具体工艺过程的安全等级(SIL)之后,再配置与之相适应的ESD。表1可以看出,若某一工艺过程经评定为SIL2,则配置达到AK4的ESD即可,其响应失效率(PFD)为百分之一至千分之一之间。应该注意的是不同安全级别的ESD,只能确保响应失效率(PFD)在一定范围内,安全级别越高的ESD,其PFD越小,即发生事故的可能性越小,但它不能改变事故造成的后果。因此,工艺过程安全度等级的评定是一项十分重要的工作。第74页/共103页2危险与可操作性分析(HAZOP)2-1 方法概述危险与可操作性分析(Hazard and Operability Analysis,HAZOP)是英国帝国化学工业公司(ICI)于1974年开发的系统安全分析方法,是以系统工程为基础,主要针对化工装置而开发的一种定性的危险性评估方法。它是以关键词为引导,分析讨论生产过程中工艺参数可能出现的偏差、偏差出现的原因、后果以及这些偏差对整个系统的影响,并针对地提出必要的对策措施。HAZOP法的特点是由中间状态参数的偏差开始,分别找出原因,判明后果,是属于从中间向两头分析的办法。其本质就是通过一系列的分析会议对工艺图纸和操作规程进行分析。HAZOP分析对工艺或操作的特殊点进行分析,这些特殊点称为“分析节点”,或工艺单元、操作步骤.通过分析每个“节点”,识别出那些具有潜在危险的偏差,这些偏差通过引导词(或关键词)引出。一套完整的引导词用于每个可认识的偏差而不被遗漏。表12列出了HAZOP分析中经常遇到的术语及定义；表13列出了HAZOP分析常用的引导词。第75页/共103页表12 常用HAZOP分析术语项目定义及说明工艺单元具有确定边界的设备(如两容器之间的管线)单元,对单元内工艺参数的偏差进行分析,对位于PID图上的工艺参数进行偏差分析操作步骤 间歇过程的不连续动作,或者是由HAZOP分析的操作步骤;可能是手动、自动或计算机自动控制的操作,间歇过程每一步使用的偏差可能与连续过程不同工艺指标确定装置如何按照希望的操作而不发生偏差,即工艺过程的正常操作条件;采用一系列的表格或图表进行说明,如工艺说明、流程图、管道图、PID等引导词用于定性或定量设计工艺指标的简单词语,引导识别工艺过程的危险工艺参数与过程有关的物理和化学特性,包括概念性的项目如反应、混合、浓度、PH值及具体项目如温度、压力、相数及流量偏差 分析组使用引导词系统地对每个分析节点的工艺参数(如流量、压力)进行分析发现的一系列偏差工艺指标的情况(如无流量、压力高等);偏差的形式通常是“引导词+工艺参数”原因偏差的原因;一旦找到发生偏差的原因就意味着找到了对付偏差的方法和手段,这些原因可能是设备故障、认为失误、不可预见的工艺状态(如组成改变),来自外部的破坏(如电源故障),等后果偏差所造成的后果(如释放出有毒物质);分析组常常假定发生偏差时,已有安全保护系统失效;不考虑那些细小的与安全无关的后果安全保护 指设计的工程系统或调节控制系统(如报警、联锁、操作规程等),用以避免或减轻偏差发生时所造成的后果措施或建议 修改设计、操作规程或者进一步分析研究(如增加压力报警、改变操作顺序)的建议第76页/共103页 表13