《安全仪表系统设计与SIL的计算方法》由会员分享,可在线阅读,更多相关《安全仪表系统设计与SIL的计算方法(36页珍藏版)》请在金锄头文库上搜索。
1、安全仪表系统设计与SIL的计算方法左 信 朱春丽中国石油大学(北京)自动化研究所2008年11月北京自控中心站培训目录第1 章 安全仪表系统设计概述11.1 安全性与可用性11.1.1 安全仪表系统的安全性11.1.2 安全仪表系统的可用性11.1.3 安全性与可用性之间的关系21.2 安全仪表系统的设计目标21.3 安全仪表系统的设计原则21.3.1 基本原则21.3.2 逻辑设计原则31.3.3 回路配置原则41.4 完整的安全仪表回路设计41.5 安全仪表系统的设计步骤5第2章 安全度等级SIL的计算方法62.1 系统结构介绍72.1.1 1oo1 结构72.1.2 1oo2 结构72.
2、1.3 2oo2 结构82.1.4 2oo3 结构82.1.5 1oo2D 结构82.2 SIL的可靠性框图计算方法92.2.1 lool结构的可靠性框图92.2.2 1oo2结构的可靠性框图102.2.3 2oo2结构的可靠性框图102.2.4 2oo3结构的可靠性框图112.2.5 1oo2D结构的可靠性框图112.2.6术语列表122.3 SIL的马尔可夫模型计算方法132.3.1 1oo1 结构的马尔可夫模型132.3.2 1oo2 结构的马尔可夫模型142.3.3 2oo2 结构的马尔可夫模型162.3.4 2oo3 结构的马尔可夫模型182.3.5 1oo1D 结构的马尔可夫模型2
3、02.3.6 1oo2D 结构的马尔可夫模型202.3.7 术语列表222.4 SIL的故障树分析计算方法242.4.1 lool结构的PFD故障树242.4.2 1oo2结构的PFD故障树242.4.3 2oo2结构的PFD故障树252.4.4 2oo3结构的PFD故障树252.4.5 2oo4结构的PFD故障树262.4.6 loolD结构的PFD故障树262.4.7 1oo2D结构的PFD故障树272.4.8 2oo2D结构的PFD故障树272.4.9 2oo4D结构的PFD故障树282.4.10 术语列表28第3章 计算实例29第 1 章 安全仪表系统设计概述1.1 安全性与可用性1.
4、1.1 安全仪表系统的安全性安全仪表系统的安全性是指任何潜在危险发生时,安全仪表系统保证使过程 处于安全状态的能力。不同安全仪表系统的安全性是不一样的,安全仪表系统自 身的故障无法使过程处于安全状态的概率越低,则其安全性越高。安全仪表系统 自身的故障有两种类型。(1)安全故障当此类故障发生时,不管过程有无危险,系统均使过程处于安全状态。此 类故障称为安全故障。对于按故障安全原则 (正常时励磁、闭合) 设计的系统而 言,回路上的任何断路故障是安全故障。(2)危险故障当此类故障存在时,系统即丧失使过程处于安全状态的能力。此类故障称 为危险故障。对于按故障安全原则设计的系统而言,回路上任何可断开触点
5、的短 路故障均是危险故障。换言之,一个系统内发生危险故障的概率越低,则其安全性越高。1.1.2 安全仪表系统的可用性安全仪表系统的可用性是指系统在冗余配置的条件下,当某一个系统发生故 障时,冗余系统在保证安全功能的条件下,仍能保证生产过程不中断的能力。与可用性比较接近的一个概念是系统的容错能力。一个系统具有高可用性或 高容错能力不能以降低安全性作为代价,丧失安全性的可用性是没有意义的。严 格地讲,可用性应满足以下几个条件。(1)系统是冗余的;(2)系统产生故障时, 不丧失其预先定义的功能; (3)系统产生故障时,不影响正常的工艺过程。1.1.3 安全性与可用性之间的关系从某种意义上说,安全性与
6、可用性是矛盾的两个方面。某些措施会提高安全 性,但会导致可用性的下降,反之亦然。例如,冗余系统采用二取二逻辑,则可 用性提高,安全性下降;若采用二取一逻辑,则相反。采用故障安全原则设计的 系统安全性高,采用非故障安全原则设计的系统可用性好。安全性与可用性是衡量一个安全仪表系统的重要指标,无论是安全性低、还 是可用性低,都会使损失的概率提高。因此,在设计安全仪表系统时,要兼顾安 全性和可用性。安全性是前提,可用性必须服从安全性 ;可用性是基础,没有高 可用性的安全性是不现实的。1.2 安全仪表系统的设计目标安全仪表系统设计的目标,首先是要满足装置的安全度等级要求,衡量标准 在于它能否达到要求平均
7、故障概率PFDaverage,即要求下的设备失效的可能性。 为了达到装置的安全度等级,系统必须具有高的安全性。但是,系统的安全性越 高,必然使设备停车次数越多,维修时间延长,降低了系统的可用性。而在石化 等行业的现实应用当中,设备停车可能造成重大的经济损失,这就要求系统既具 有高安全性,又具有高可用性。安全仪表系统的设计并不是安全性越高越好,要 寻求的是一种最优配置,即在达到安全度等级的前提下,合理配置经济实用的系 统。因此,在设计安全仪表系统时,首先要进行风险分析,确定必要的风险降低 指标;然后确定 SIL 等级并进行风险分配,以确定安全仪表系统应承担的风险降 低指标;最后,综合考虑系统的安
8、全性与可用性,对系统的结构进行合理配置。 1.3安全仪表系统的设计原则1.3.1 基本原则SIL设计的基本原则之一,是应根据E/E/PES安全要求规范进行设计。分析确 定SIL的方法,确定的SIL就是E/E/PES设计时要求实现的安全完整性目标。SIL设计的基本原则之二,是采取一切必要的技术与措施保证要求的安全完 整性。为了实现安全完整性,必须同时满足E/E/PES的随机安全完整性要求与系 统安全完整性要求,因为随机失效主要是硬件的随机失效。因此,分析时,随机 安全完整性就简化为硬件安全完整性。故障检测会影响系统的行为,因此,它与 硬件以及系统的安全完整性都相关。1.3.2 逻辑设计原则 可靠
9、性原则整个系统的可靠性 R0 ( t) 是由组成系统的各单元可靠性( R1 ( t) , R2 ( t) ,R3 ( t)的乘积,即R0 ( t) = R1 ( t) R2 ( t) R3 ( t)任何一个环节可靠性的下降都会导致整个系统可靠性的下降。人们通常对于 逻辑控制系统的可靠性十分重视,往往忽视检测元件和执行元件的可靠性,使得整 套安全仪表系统可靠性低,达不到降低受控设备风险的要求。可靠性决定系统的 安全性。 可用性原则可用性不影响系统的安全性 ,但系统的可用性低可能会导致装置或工厂无法 进行正常的生产。可用性常用下面公式表示。A = M TB F/ ( M TB F + M T TR
10、)式中 A 可用度;MTBF 平均故障间隔时间;MTTR 平均修复时间。而对于安全仪表系统对工艺过程的认知过程,还应当重视系统的可用性,正 确地判断过程事故,尽量减少装置的非正常停工,减少开、停工造成的经济损失。 故障安全原则当安全仪表系统的元件、设备、环节或能源发生故障或失效时 ,系统设计应 当使工艺过程能够趋向安全运行或安全状态。这就是系统设计的故障安全型原 则。能否实现“故障安全”取决于工艺过程及安全仪表系统的设置。 过程适应原则安全仪表系统的设置必须根据工艺过程的运行规律 ,为工艺过程在正常运行 和非正常运行时服务。正常时安全仪表系统不能影响过程运行 ,在工艺过程发生 危险情况时安全仪
11、表系统要发挥作用,保证工艺装置的安全。这就是系统设计的 过程适应原则。1.3.3 回路配置原则为保证系统的安全性和可靠性,以下 2 个原则在回路配置时应当加以注意。 独立设置原则用于SIS和BPCS(基本过程控制系统)的信号检测应各自采用检测元件。在 SIL3级时,BPCS的控制阀不能用作SIS仅有的最终元件;在SIL1级与2级时可 以使用,但要做安全性检查。中间环节最少原则 一个回路中仪表越多可靠性越差,典型情况是本安回路的应用。在石化装置 中,防爆区域在 0 区的情况很少。因此可尽量采用隔爆型仪表,减少由于安全栅 而产生的故障源,减少误停车。1.4 完整的安全仪表回路设计在系统设计选型时,
12、很容易只要求控制器部分的安全性,忽略了现场仪表的 安全要求,实际上安全仪表系统包括了传感单元、逻辑控制单元和最终执行单元, 其故障失效率的计算方法如下:PFDSYS = PFDS + PFDL + PFDFE式中:PFDSYs E/E/PE安全相关系统的安全功能在要求时的平均失效概率PFDS 传感器子系统要求的平均失效概率PFDL 逻辑子系统要求的平均失效概率PFDFE 最终元件子系统要求的平均失效概率子系统结构图1.5 安全仪表系统的设计步骤按照安全生命周期的内容,一套完整的 SIS 的设计主要包含以下步骤:1) 过程系统初步设计,包括系统定义、系统描述和总体目标确认。2) 执行过程系统危险
13、分析和风险评价。3) 论证采用非安全控制保护方案能否防止识别出的危险或降低风险。(4) 判断是否需要设计安全控制系统SIS,如果需要则转第(5)步,否则按常规控制系统设计。(5) 依据IEC61508确定对象的安全度等级SIL。6)确定安全要求技术规范 SRS 。(7)完成SIS初步设计并检验是否符合SRS。8) 完成 SIS 详细设计。9) SIS 组装、授权、预开车及可行性试验。10) 在建立操作和维护规程的基础上,完成预开车安全评价。(11) SIS正式投用,操作、维护及定期进行功能测试。12) 当原工艺流程被改造或在生产实践中发现安全控制系统不完善时 ,判断安 全控制系统是否停用或改进
14、。13) 如果需要改进,则转至第(2)步进入新的过程安全生命周期设计。完整的SIS设计的步骤第2章安全度等级SIL的计算方法SIS系统设计完成之后,其可靠性和安全性的评价标准就是要求时失效概率PFD。其SIL等级应该通过计算PFDavg来确定。2.1 系统结构介绍2.1.1 1oo1 结构这种结构包括一个单通道。在这种结构中当产生一次要求时,任何危险失效 就会导致一个安全功能失效。ChannelDiagnostics :1!EC 324/20501oo1 物理结构图2.1.2 1oo2 结构此结构由两个并联的通道组成,无论哪一个通道都能处理安全功能。因此如 果两个通道都存在危险失效,则在要求时
15、某个安全功能失效。假设任何诊断测试 仅报告发现故障,但并不改变任何输出状态或输出表决。1oo2 物理结构图2.1.3 2oo2 结构此结构由并联的两个通道构成,因此,在发生安全功能之前两个通道都要求 功能。假设任何诊断测试仅报告发现故障,并不改变任何输出状态或输出表决。2oo2/EC 328/200DDiagnosticsChannelChannel2oo2 物理结构图2.1.4 2oo3 结构此结构由3 个并联通道构成,其输出信号具有多数表决安排,这样,如果仅 其中一个通道的输出与其他两个通道的输出状态不同时,输出状态不会因此而改 变。假设任何诊断测试只报告发现故障,不改变任何输出状态或者输出表决。2oo3 物理结构图2.1.5 1oo2D 结构此结构中由并联的两个通道构成,正常工作期间,在发生安全功能前,两个通道都要求安全功能。此外,如果任一通道中诊断测试检测到一个故障,则将采用输出表决,因此整个输出状态则按照另一通道给出的输
