功能安全工程设计-SIL课件.ppt

1、功能安全工程设计 :风险分析和安全整体性等级(SIL)选择2课课 程程 内内 容容 1. 安全仪表系统的介绍2. 安全周期3. 风险管理的原则4. 工艺危险性分析5. 保护层分析6. 安全整体性等级选择7. 安全要求规范3第一部分第一部分: 安全仪表系统介绍安全仪表系统介绍4REACTORTT 1Power SupplyCPUInput ModuleOutput ModulePT 2PT 1TT 3TT 2PT 3Power SupplyCPUInput ModuleOutput ModuleIEC 61511 将安全仪表系统 (SIS)定义为： “用于实施一个或多个安全仪表功能的仪表系统。S

2、IS是由传感器、逻辑解算器和最终元件的所有组合)”安全仪表系统的定义安全仪表系统的定义5安全仪表系统功能定义安全仪表系统功能定义REACTORTT 1Power SupplyCPUInput ModuleOutput ModulePT 2PT 1TT 3TT 2PT 3Power SupplyCPUInput ModuleOutput ModuleSISBPCS专业人士更喜欢SIS这一更加功能性的定义:“是指为以下目的而进行设计的传感器、逻辑解算器和最终元件组成的系统:1. 当违反特定条件时，自动将工业过程设置到安全状态;2. 当特定条件容许（容许功能)时，容许过程安全地向前进行3. 采取行动

3、减轻工业危险的后果。”6SIS的存在与管理风险的存在与管理风险增加的风险增加的风险工艺风险可容忍风险残留风险最小风险的降低最佳风险的降低 (ALARP)工艺设计基本工艺控制系统报警泄放SIS7传感器最终元件回路 1回路 2回路 3回路 4LogicSolver安全仪表系统安全仪表系统 12345678回路 58安全仪表功能安全仪表功能 (SIF)回路 116LogicSolver传感器最终元件安全仪表功能是指通过SIS来实施的功能，SIS旨在为有关特定危险事故的工艺获取或维持安全状态。9安全仪表功能安全仪表功能 一套特定的行动和所需的相应设备，用以识别单个危险并动作，将系统带入安全状态。 不同

4、于SIS, SIS可以包括多个功能并且以多种方式动作，防止多个有害结果的发生。 一个SIS可能有多个SIF,而每个SIF都有对应的SIL，因此为整个安全仪表系统来定义SIL是不正确和模糊的。10安全仪表功能举例安全仪表功能举例 通过提供事故冷却剂，降低超高温来防止塔的破裂 通过开阀释放压力来防止罐破裂 直接将溢出的液体引到废水处理系统，防止环境遭受破坏 发出报警、降低损失和可能发生的人员伤害(最后一项因没有实现安全状态故是不完整的SIF。最终的行动必须包括在内)11逻辑解算器传感器最终元件SIF 传感器传感器就像控制系统一样，安全系统也有传感器。在加工工业中，传感器测量工艺参数，它包括压力、温

5、度、流量、液位、气体浓度和其他测量值。在机械业中，传感器还可以测得人是否接近、进入危险区以及其他保护参数。12逻辑解算器传感器最终元件安全系统也有逻辑解算器，它一般是一个控制器，它从传感 器中读取信号，执行预先编好的动作，防止或减轻工艺危险。通过将信号发给最终元件来实现以上功能。SIF逻辑解算器逻辑解算器13SIF 最终元件最终元件FinalElements在SIF中的最终元件是指采取什么动作来进入安全状态，在加工工业中它常为远程驱动，而在机械安全中，它可能是离合器制动器组件。14安全仪表功能安全仪表功能 (SIF)的实施的实施逻辑解算器传感元件C信号整理传感元件信号整理最终控制元件信号整理最

6、终控制元件回路设施，如电源、仪表风等.任何单个安全仪表功能的实施，可能包括多个传感器、信号整理模块、多个最终元件和专门的回路设施。互相连络传感元件15标准标准基于所有工业的国际标准基于所有工业的国际标准(适用于供应商适用于供应商)IEC61511 : 加工工业加工工业(美国使用本质相同的工业标美国使用本质相同的工业标准准 ISA 84.00.01-2004)IEC62061 : 机械工业机械工业IEC61513 :核工业核工业16IEC 61511 标准标准 加工工艺中的目标最终用户和积分仪 包括整个SIS周期 风险分析 基于设计的性能 操作和维修 非规定的性能非规定的性能 最终用户应用 一般

7、不认证 独立的功能安全评价 三部分 需求 指南 SIL选择17第二部分第二部分: 安全周期安全周期1819规规 范范44%设计和实施设计和实施 15%安装和投料试车安装和投料试车6%操作和维修操作和维修 15%投料试车后的变更投料试车后的变更 21%工业事故原因工业事故原因 - HSE“失控: 控制系统出错和如何防止故障。” 英国 设菲尔德, 健康和安全执行机构, 199520安全周期一览表 概念工艺设计 识别潜在危险 后果分析 保护层分析 制定非SIS保护层 确定SIF的目标SIL 文件要求 开车 操作 维修 定期验证测试 修改 停运分析分析我需要多少安全我需要多少安全？实施实施我如何得到需

8、要的安全我如何得到需要的安全操作操作我如何保持我需要的安我如何保持我需要的安全全? 选择SIS技术 选择SIS结构 确定测试频率 SIS详细设计 SIS 硬件结构 SIS 软件组态 SIS 测试 SIS 安装 SIS 投料试车 SIS 初始确认修改修改 = 改变要求改变要求修改修改 = 改变设计改变设计21“分析分析” 阶段阶段(最终用户最终用户 / 咨询咨询)“实现实现”阶段阶段(厂商厂商/ 承包商承包商 / 最终用户最终用户)概念整体范围定义危险和风险分析安全总体要求安全需求分配安全相关系统 :E/E/PES实现整体安装及试车整体安全确认整体操作及维修停运安全相关系统：其他技术实现外部风险

9、降低实现总体规划安装及投料试车规划确认规划操作和维修计划111095432112131416整体修改和改进15876“操作操作”(最终用户最终用户 / 承包商承包商)IEC 61508 安全周期安全周期22安全周期安全周期 IEC 61511功能安全和功能安全和功能安全评功能安全评估管理估管理第第 5条条安全周安全周期期结构规结构规划划第第 6.2条条将安全功能分配到保护层将安全功能分配到保护层 第第 9条条确认确认第第7 条条和和第第12.7条条AnalysisRealisationOperationSIS安全要求规范安全要求规范第第10和和12条条工艺危险和风险分析工艺危险和风险分析第第8

10、条条SIS设计和工程设计设计和工程设计第第11 和和 12条条SIS安装和投料试车安装和投料试车第第14条条SIS 操作和维修操作和维修第第 16条条SIS 安全确认安全确认第第15条条SIS修改修改第第 17条条SIS 停运停运第第18条条提供提供概念概念SIS验收测试验收测试第第13条条设计及设计及构造构造 测试测试安装安装管理管理确认确认验证测试验证测试/(9)(10)(11)23安全周期分析阶段安全周期分析阶段评估后果评估后果评估非评估非SIS保护层效果保护层效果1. 概念上的工艺设计概念上的工艺设计需要需要SIS?2. 识别潜在危险识别潜在危险工艺安全信息工艺安全信息4. 保护层分析

11、保护层分析潜在危险潜在危险危险频率危险频率3. 后果分析后果分析危险后果危险后果5. 为为SIS和和SIF选择目标选择目标SIL目标目标SIL6. SIS/SIF必要的文件必要的文件事件历史事件历史保护层保护层故障率故障率可容忍风险指南可容忍风险指南危险特性危险特性停止停止NoYes实施安全要求规范安全要求规范-每个安全仪表功能的描述，包括目标SIL，减轻的危险，工艺参数，逻辑，旁路维修要求，响应时间等。 24 目的目的 识别工艺危险，评估其风险并确定该风险是否可容许识别工艺危险，评估其风险并确定该风险是否可容许. 任务任务 危险识别危险识别 (例如例如 HAZOP) 可能性及后果分析可能性及

12、后果分析 非非SIS保护层的考虑保护层的考虑危险危险 / 风险分析风险分析25目的目的基于所有保护层评估可能性.任务任务识别保护层，使用定性或定量方法保护层分析保护层分析26 目的目的 根据SIL,规定必需的风险降低或现有的风险和可容忍风险等级的差别 任务任务 对比工艺风险和可容忍风险 使用决定指南，来选择必需的风险降低 文件选择过程安全整体性等级选择安全整体性等级选择需要需要SIS吗吗?5. 为为SIS和和SIF选择目标选择目标SIL目标目标SIL可容忍风险指南可容忍风险指南停止停止NoYesSafety Integrity LevelSIL 4SIL 3SIL 2SIL 1Risk Red

13、uction Factor100000 to 1000010000 to 10001000 to 100100 to 10ISA84.0127安全要求规范目的目的规定详设及工艺安全信息所需的SIS的所有要求任务任务识别并描述安全仪表功能必需的安全执行等级的文件 (SIL)所采取的文件行动 逻辑, 例如原因和结果图.文件相关参数 如： 计时/维修必要的旁路 28SIS 项目项目 V-模型模型软件组态硬件构置概念性设计安全要求规范安全要求规范硬件详细设计软件详细设计现场验收测试软件内部测试硬件内部测试 工厂验收测试内部整体测试确认确认VVVVVVVVV2910. SIS 安装、投料试车及预开车验收

14、测试-安全要求规范安全要求规范-对每一个安全仪表功能进行描述，如目标SIL、减轻风险、工艺参数、逻辑、 旁路、维修要求、响应时间等7. SIS 概念性设计7a选择技术7b. 选择结构冗余: 1oo1,1oo2, 2oo3, 1oo2D7c. 确定测试原理 7d. 可靠性安全评定 获得SILSIL达到？NoYes8. SIS 详细设计 故障数据库 制造商安全说明 9. 安装及投料试车规划SILver工具工具制造商安全手册 详细设计文件详细设计文件-回路图、接线图、逻辑图、仪表盘布置、PLC编程、安装要求、投料试车要求等文文 件件 模模 板板制造商安全手册选择传感器、逻辑解算器和最终元件技术安全周

15、期安全周期“实现实现”阶段阶段30 目的目的 为此目的选择正确的设备，用于工艺控制的旧标准仍然适用为此目的选择正确的设备，用于工艺控制的旧标准仍然适用. 任务任务 选择设备选择设备 获得该设备的可靠性和安全数据获得该设备的可靠性和安全数据 获得所有安全认证设备的安全手册获得所有安全认证设备的安全手册选择技术选择技术31 目的目的 如果需要，选择冗余类型。如果需要，选择冗余类型。 任务任务 选择结构选择结构 获得该结构的可靠性和安全数获得该结构的可靠性和安全数据。据。选择结构选择结构1oo11oo22oo22oo31oo2DDiagDiag32建立验证测试频率建立验证测试频率测试通常可能包括:

16、自动测试 工艺操作中手动进行的离线测试。 工艺操作中手动进行的在线测试 33安全要求规范安全要求规范 安全功能要求，包括目标SIL获得PFDavg, RRF，MTTFS, SIL制造商故障数据 SIF 确认的任务确认的任务故障数据库 7d. 可靠性和安全评定34获得PFDavg, RRFMTTFS, SILSIF设计选项设计选项7d. 可靠性和安全评定 如果SIF确认表明，所提议的设计没有获得SIL等级，那么设计者有许多选择：1.通过增加其他保护层等措施，重新评定SIL要求。2.缩短验证测试间隔时间这与在线测试规定有关。3.选择安全等级较高、危险故障率较低或诊断性较好的设备。4.通过增加更多冗

17、余来改变结构。安全要求规范安全要求规范 安全功能要求，包括目标SIL3512. 确定预开车安全审查修改停运14. SIS开车、操作、维修、定期功能测试15. 修改或是停运?16. SIS停运确认所有有关危险、设计、安装测试、维修程序、变更管理、紧急规划等资料。13. 操作和维修计划11. 确认规划安全周期安全周期“操作操作”阶段阶段36 目的 确认SIS功能符合设计要求。 任务 确认现场仪表操作 确认逻辑和操作 确认所安装设备的SIL 制作所需文件 如果需要，制作产品认证证书确认确认12. 确认：预开车安全审查安装安装工厂验收测试工厂验收测试SAT / SIT投料试车投料试车功能安全评估功能安

18、全评估开车开车确确认认37 目的目的 确认根据设计要求SIS能连续工作，并检测其他隐藏的故障。 任务任务 确认现场仪表的操作 确认逻辑和操作 所有定期测试的文件结果定期验证测试定期验证测试14. SIS开车、操作、维修、定期功能测试38 目的 定期审查危险，如果需要，采取整改措施 任务 定期审查危险 审查事故 审查设施变更通知或变更（MOC) 管理的文件 根据需要，按照合适的安全周期步骤对SIS进行更新变更及停运变更及停运39安全周期一览表 概念工艺设计 识别潜在危险 后果分析 保护层分析 制定非SIS保护层 确定SIF的目标SIL 文件要求 开车 操作 维修 定期验证测试 修改 停运分析分析

19、我需要多少安全我需要多少安全？实施实施我如何得到需要的安全我如何得到需要的安全操作操作我如何保持我需要的安我如何保持我需要的安全全? 选择SIS技术 选择SIS结构 确定测试频率 SIS详细设计 SIS 硬件结构 SIS 软件组态 SIS 测试 SIS 安装 SIS 投料试车 SIS 初始确认修改修改 = 改变要求改变要求修改修改 = 改变设计改变设计40安全周期目标安全周期目标1. 建立更安全的系统，此系统不会出现以前系统中的那么多问题。2. 建立成本高效的系统，并与设计风险相匹配。3. 消除成本高而又没有多少用处的“薄弱环节”设计。4. 为实现一致性设计，提供全球的设计框架。41第三部分第

20、三部分: 风险管理的原理风险管理的原理42什么是风险？什么是风险？风险是对不利影响的 可能性可能性 和后果后果 的测量， (如, 发生的频率和后果的影响?)风险受害方风险受害方:人员环境财产：设备财产损失业务受损业务负债公司形象市场份额的丢失43公司为何要控制风险？公司为何要控制风险？ 公司负有法律、道德及财政义务来限制因其操作而产生的风险。 了解公司所采取的方式，帮助制定与此方式相符的安全方针MoralLegalFinancial不管成本如何，装置应尽可能地安全不管成本或实际的风险等级，公司应遵从成文的规章制度建造最低成本的装置，使其操作预算尽可能少44风险可容忍度基础风险可容忍度基础 因风

21、险活动可以获得收益，因风险活动可以获得收益，所以要容忍所以要容忍 了解风险及收益有助于了解何了解风险及收益有助于了解何种风险可以容忍种风险可以容忍 世上没有零风险的事世上没有零风险的事45测量风险和收益测量风险和收益必须对风险及收益进行测量，用以明智地决定在实际情况中该如何做风险测量必须说明可能性和后果后果通常有几种损害形式可以将损害有效地定义为收益的损失并且可以将此收益直接加入等式中。要正确地测量风险，必须考虑到所有较大的损害形式。46后果表述后果表述 风险测量取决于两个因素: 谁处于风险中? 个人个人 社会社会 环境环境 风险的本质是什么? 死亡或受伤死亡或受伤 永久或临时损害永久或临时损

22、害 财产损失财产损失47个人风险个人风险个人风险: 频率分布显示，因某种危险发生，个人可能受到一定程度的损害（通常是死亡）英国HSE委员会风险容忍度框架将风险定义为:可容忍区域的低风险限度为1 x 10-5 年可容忍区域的高风险限度为 1 x 10-3 年ALARP (合理条件下尽可能低)区域通常在以上两个区域之间48个人风险和个人风险和 ALARP可忽略风险可忽略风险高风险高风险10-3/年年 (工人工人)10-4/年年 (公众公众)10-6/年年不能容忍区域不能容忍区域ALARP 或可容忍区域或可容忍区域广泛地可接受的区域决不决不如果值得如果值得无人在意无人在意49确定可容忍风险确定可容忍

23、风险 既要严格又要灵活 要考虑所有相关的损害形式 要符合公司及社会惯例50可容忍风险等级举例可容忍风险等级举例 所在潜在危害必须低于： 每人每年0.0005死亡率 每人每年0.005伤害率 每个工厂每年0.01 重大环境污染事故率 每个工厂每年损失50万美元，等等51可容忍风险等级举例可容忍风险等级举例带说明的矩阵表:所有极度风险都要降低 所有中度风险都要根据实际情况降低中度的中度的可接受的可接受的1 100,000 年中度的中度的可接受的可接受的1 10,000 年极度的极度的中度的中度的可接受的1 1000 年极度的极度的极度的极度的中度的可接受的1 100 年多人死亡永久伤害死亡损工时伤

24、害有记录的伤害52从固有的工艺风险开始从固有的工艺风险开始 风险风险: 损害发生可能性与严重程度的组合 (IEC/ISO 指南 51:1990)有害影响的可能性及后果的测量（如发生频次及如果这样做产生的可能后果？）固有风险固有风险: 因已完成的工艺设计产生的风险，此设计包含在指定工艺参数和一定数量的材料（如：温度、压力等）。53 Increasing Risk 后后 果果 可可能能性性增加风险增加风险 可容忍风险区域可容忍风险区域ALARP 风险区域风险区域 不可接受的不可接受的风险区域风险区域 风险削减风险削减54通过控制固有风险来降低风险通过控制固有风险来降低风险固有风险是测量后果的基本量

25、。固有风险是测量后果的基本量。通过减少有毒、易燃或爆炸品库存来控制固有风险，良好的工艺工程设计支持是至关重要的。55通过控制地理位置风险的方法来降低风险通过控制地理位置风险的方法来降低风险地理位置风险地理位置风险 测量在某一特定地理位置发生事件的概率。P-101 P-102 P-103D-101D-102V-101V-10210-310-510-4通过控制人员所在的位置如控制室、工作区域和路线来控制人员风险56非非SIS风险削减风险削减 增加风险增加风险后后 果果 可可能能性性 可接收风险区域可接收风险区域 ALARP 风险区域风险区域 不可接受的不可接受的风险区域风险区域 降低风险后果，如：

26、减少材料、建围堤、机械保护等工艺固有风险降低非SIS风险，如使用安全阀57SIS风险降低风险降低增加风险增加风险Consequence 可接收风险区域可接收风险区域 ALARP 风险区域风险区域 不可接受不可接受风险区域风险区域 降低风险后果，如：减少材料、建围堤、机械保护等工艺固有风险非SIS风险降低，如压力泄放阀SIS风险降低SIL 1SIL 2SIL 3此方面降低会出现什么？58风险管理标准风险管理标准AS/NZ 4360ISO 1400140 CFR 68IEC 6150829 CFR 1910IEC 60300IEC 61508 电气风险降低及安全系统的国际标准 IEC 60300-

27、3-9 技术系统的风险分析技术指南的国际标准ISO 14001 指导环境风险管理的国际标准29 CFR 1910 指导工艺安全管理的美国 OSHA 法规AS/NZ 4360 一般风险控制管理的澳大利亚 / 新西兰标准59风险管理方法风险管理方法建立内容建立内容监控及审核监控及审核识别风险识别风险分析风险分析风险(可能性和后果)评估风险可容忍度评估风险可容忍度接受或控制风险接受或控制风险 确定控制选项 评估控制选项 选择控制选项 制订控制计划 实施控制计划沟通及咨询沟通及咨询60安全周期目标安全周期目标 分析分析设计设计确认确认文件文件危险分析危险分析/风险评估：风险评估：确定设计目标确定设计目

28、标进行软硬件设进行软硬件设计计OK修改修改评估设计评估设计:安全完整性和有效性的可靠安全完整性和有效性的可靠性分析性分析文件文件文件文件操作和维修操作和维修文件文件将风险降至可接将风险降至可接受的程度受的程度61第四部分第四部分: 工艺危险分析工艺危险分析62危险定义危险定义 潜在危害源 IEC 61508-4, Sub clause 3.1.2 具有可能对人员、财产或环境造成损害的潜在危险的化学或物理条件（例如装有500吨氨的压力储罐） CCPS, CPQRA指南63术语术语: 初始事件初始事件初始事件初始事件: 事件顺序中的第一个事件（如应力腐蚀导致氨罐的连接管线出现泄漏破裂 ）。64术语

29、术语: 中间事件中间事件中间事件中间事件: 事件顺序中初始事件已扩散或缓和的事件（例如，操作人员采取了错误的动作，没有阻止氨最初的泄漏，并导致中间事件扩散成一个事故，在这种情况下，中间事件的结果就是有毒物料释放）65术语术语: 事故事故事故事故: 物料或能源容器的损坏（例如，氨罐的连接管线泄漏了10磅的氨，造成了有毒蒸汽云）并非所有的事件都会扩散成事故。66术语：事故结果术语：事故结果事故结果事故结果: 事故的物理表现形式；如果是有毒物料，事故的结果就是有毒物料释放，如果是易燃物料，事故的结果可能就是沸腾的液体扩散为蒸汽云爆炸 (BLEVE)、 闪火、非封闭式蒸汽云爆炸、有毒物料释放等。（例如

30、，如果泄漏了10磅的氨，事故的结果就是有毒物料释放）67术语：后果术语：后果后果后果: 对事故结果情况的预期效果的度量（例如，在D级天气条件下，10磅的氨泄漏，以1.4mph的速度随风向北行进，将对50个人造成伤害）受伤死亡商业运行中断财产损失环境破坏其他无形影响第三方责任68从潜在到事实从潜在到事实初始事件 通常都会随之发生中间事件 可能再形成另一个中间事件 可能会导致一个事故结果 根据具体情况，此事故结果会导致后果假设存在一个潜在伤害的危险, 事故 所产生的结果称之为 69SLC“分析分析” 阶段危险识别阶段危险识别评估后果评估后果评估非评估非SIS保护层效果保护层效果1. 概念上的工艺设

31、计概念上的工艺设计需要需要SIS?2. 识别潜在危险识别潜在危险工艺安全信息工艺安全信息4. 保护层分析保护层分析潜在危险潜在危险危险频率危险频率3. 后果分析后果分析危险后果危险后果5. 为为SIS和和SIF选择目标选择目标SIL目标目标SIL6. SIS/SIF必要的文件必要的文件事件历史事件历史保护层保护层故障率故障率可容忍风险指南可容忍风险指南危险特性危险特性停止停止NoYes实施安全要求规范安全要求规范-每个安全仪表功能的描述，包括目标SIL，减轻的危险，工艺参数，逻辑，旁路维修要求，响应时间等。 70什么是工艺危险性分析什么是工艺危险性分析IEC61508-1 规定了三种功能:1.

32、 确定在所有可合理预见的条件下（包括故障条件和误操作），受控设备（EUC)和EUC控制系统的危险和危险事件（在所有操作模式下），。2. 确定以上所确定危险事件的事件顺序。3. 确定与以上所确定危险事件相关的EUC风险。71什么是工艺危险性分析（什么是工艺危险性分析（PHA)? 识别危险 通常在 PHA中识别危险 评估后果 评估可能性 (频率)72常见的常见的PHA方法方法 检查表 What if? What if? / 检查表 HAZOP (危险和可操作性研究危险和可操作性研究) FMEA (故障模式和效果分析) 故障树分析 适当的等同方法73选择不同于选择不同于”正常正常”情况的偏差情况的偏

33、差转到下一个偏转到下一个偏差差No选择项目选择项目 确定安全功能确定安全功能 - SIS 和和/或者机械安全或者机械安全(MS) 和和/或者或者 外部风险削减外部风险削减 确定传感器和安全阀的位置确定传感器和安全阀的位置 (安全行动安全行动) 会产生危险吗会产生危险吗? (有预防其发生的有效操作吗有预防其发生的有效操作吗?)Yes 控制系统是否会及时对偏差进行调整控制系统是否会及时对偏差进行调整? 控制系统故障控制系统故障, 误动作误动作, 操作工误操作操作工误操作描述可能的危险后果描述可能的危险后果考虑其他偏差原考虑其他偏差原因因 可能会偏差吗可能会偏差吗? 可能的原因可能的原因?Yes一般

34、一般HAZOP 程序程序NoNoYesYesYes74从从PHA报告中识别报告中识别SIF需要哪些信息需要哪些信息? 先前的研究中有关安全仪表功能的描述 已消除的危险及其后果 导致后果的初始事件 防止后果发生的安全措施 (SIS和非SIS)75PHA - HAZOP脱水剂再生脱水深冷分离再 压 缩XV32A/STT31TT32乙烷丙烷入口气体天然气液体I-3I-1I-2I-4XV31A/SXY31XY32闪蒸分离316 SSCS防止现场碳钢管线防止现场碳钢管线脆裂的功能脆裂的功能76PHA -HAZOP 识别识别SIF偏差偏差后果后果太低安全措施安全措施原因原因物流间流量不平衡存在下游管线脆裂

35、和着火的潜在危险建议建议行动行动J. JonesPLC低温切断极端天气同上，确定极度天气的可能性J. Jones流量报警和工艺切断太高物流间流量不平衡Potential compressor damage确定压缩机是否会损坏S. Smith存在下游管线脆裂和着火的潜在危险报警、工艺切断、独立的PLC低温切断独立的PLC低温切断是否为SIS?节点: 热端深冷换热器参数:温度77SIF描述描述 “建议”栏中建议的SIF “安全措施”栏中提供的SIF建议的安全措施建议的安全措施ActionJ. JonesJ. JonesS. Smith偏差偏差后果后果太低安全措施安全措施原因原因物流间流量不平衡存在

36、下游管线脆裂和着火的潜在危险建议建议PLC低温切断极端天气同上，确定极度天气的可能性流量报警和工艺切断太高物流间流量不平衡Potential compressor damage确定压缩机是否会损坏存在下游管线脆裂和着火的潜在危险报警、工艺切断、独立的PLC低温切断独立的PLC低温切断是否为SIS?78危险和后果危险和后果已经避免的危险及其后果可在“后果”一栏中的说明中查找ActionJ. JonesJ. JonesS. Smith偏差偏差后果后果太低安全措施安全措施原因原因物流间流量不平衡存在下游管线脆裂和着火的潜在危险建议建议PLC低温切断极端天气同上，确定极度天气的可能性流量报警和工艺切断

37、太高物流间流量不平衡Potential compressor damage确定压缩机是否会损坏存在下游管线脆裂和着火的潜在危险报警、工艺切断、独立的PLC低温切断独立的PLC低温切断是否为SIS?79初始事件初始事件 在HAZOP中，初始事件在“原因”一栏 “如果怎样”和检查表问题 每个危险的多个潜在的初始事件两个初始事件造成同一后果ActionJ. JonesJ. JonesS. Smith偏差偏差结果结果太低安全措施安全措施原因原因物流间流量不平衡存在下游管线脆裂和着火的潜在危险建议建议PLC低温切断极端天气同上，确定极度天气的可能性流量报警和工艺切断太高物流间流量不平衡Potential

38、 compressor damage确定压缩机是否会损坏存在下游管线脆裂和着火的潜在危险报警、工艺切断、独立的PLC低温切断独立的PLC低温切断是否为SIS?80安全措施安全措施 查找已有的SIS和非SIS的安全措施，它不同于我们要研究的SIS 安全措施将运用于初始事件、可能存在的每个初始事件的多重安全措施中。ActionJ. JonesJ. JonesS. Smith偏差偏差结果结果太低安全措施安全措施原因原因物流间流量不平衡存在下游管线脆裂和着火的潜在危险建议建议PLC低温切断极端天气同上，确定极度天气的可能性流量报警和工艺切断太高物流间流量不平衡Potential compressor

39、damage确定压缩机是否会损坏存在下游管线脆裂和着火的潜在危险报警、工艺切断、独立的PLC低温切断独立的PLC低温切断是否为SIS?81从从 P&ID图中识别图中识别SIF PHA研究并非100%有效 进行设计时应考虑专利商和详细设计承包商的以往经验 设计包中的SIF与其他控制回路没有明显差异 根据P&ID图来识别SIF要求具备控制工程设计方面的专业知识。 与SIF相关的危险、后果、安全措施需要用到工艺和风险评估方面的专业技术82PHA步骤后果分析步骤后果分析评估后果评估后果评估非评估非SIS保护层效果保护层效果1. 概念上的工艺设计概念上的工艺设计需要需要SIS?2. 识别潜在危险识别潜在

40、危险工艺安全信息工艺安全信息4. 保护层分析保护层分析潜在危险潜在危险危险频率危险频率3. 后果分析后果分析危险后果危险后果5. 为为SIS和和SIF选择目标选择目标SIL目标目标SIL6. SIS/SIF必要的文件必要的文件事件历史事件历史保护层保护层故障率故障率可容忍风险指南可容忍风险指南危险特性危险特性停止停止NoYes实施安全要求规范安全要求规范-每个安全仪表功能的描述，包括目标SIL，减轻的危险，工艺参数，逻辑，旁路维修要求，响应时间等。 83后果分析中应包括什么内容？后果分析中应包括什么内容？ 应该考虑到: 死亡和受伤事件 财产损失 商业中断 环境破坏 第三方责任 公司形象84毒性

41、危险毒性危险 毒性区域应考虑到: 释放量 释放时间 几何资料 标高方位 初始化学密度 气象条件 周围地形 限定深度85后果分析方法后果分析方法 评估及分类 统计 后果模拟86后果分类后果分类严重性等级严重性等级I影响影响初次的影响限于事件的局部区域，如果不采取防止行动，有进一步扩大后果的潜在危险。比严重事故造成的影响恶劣5倍或5倍以上。轻微轻微严重严重非常严重非常严重根据化学工艺安全自动化指南提供的资料会导致现场或界外的严重受伤或致命事故，或者现场财产损失达到$1 MM 或界个损失到到 $5 MM。87统计后果分析统计后果分析使用事故统计学来计算平均后果。优点: 数字定义清楚缺点:1. 数据的

42、适用性,是否与新情况足够类似?2. 统计的数据是否足够?88统计后果分析统计后果分析使用事故统计数据来计算平均后果。例: 5年内，发生了235起工业锅炉爆炸，爆炸的结果是17个人死亡，84人受伤。 PLL（死亡概率） = 17 / 235 = 0.073 每起事故PI （受伤概率）= 84 / 235 = 0.358 每起事故89后果模拟后果模拟 计算“影响区域”和“影响距离” 通常使用数字模拟有毒化学品释放的典型后果模拟结果有毒化学品释放的典型后果模拟结果受伤区域致命区域87 米112 米23 米9 米可能死亡人数: 0.27可能受伤人数: 2.5690后果模拟后果模拟 后果取决于影响区域，

43、占用率和受伤程度这些因素 占用率指的是影响区域内的平均人数（或者其他受体）偶尔和经常占用的建筑物 受伤害程度是指假设一个人在影响区域内出现致命事故（或其他伤害程度）的概率后果后果 = 占用率占用率 * 受伤程度受伤程度91术语：影响区域术语：影响区域影响区域影响区域: 对于一个有毒物质释放的事故来说，它指的是有毒蒸汽在空气中的浓度超过 相关级别（例如，氨的 IDLH 是 500 ppm (v), 10磅氨泄漏的影响区域是4.6平方英哩）。 热效应影响区域和超压爆炸采用相同的方式来描述受伤区域致死区域87 米112 米23 米9 米(IDLH 直接危及到生命或健康)Immediately dan

44、gerous to life or health92后果模拟工具后果模拟工具模型模型公共公共/专利成本专利成本模型能力模型能力强项强项局限性局限性ARCHIE公共软件; 由EPA, FEMA, 和DOT开发免费软件 气体或液体 轻的或浓密的气体模拟 混合物 爆炸 公开提供 采用某些被动缓和方法(如堤岸等) 提供的有毒物质的结果非常保守 有限浮动 没有化学品数据库 DOS 用户界面DEGADIS公共; 由DOT, EPA, 和DOE共同投资可变的 气体或液体 浓密气体模拟 Windows - 易于使用 可以预装化学品 部分模型可加入到ALOHA 需要专家支持 可补充的化学品数据库非常有限PHAS

45、T所有权;由 DetNorske Veritas开发高成本 气体或液体 轻质或浓密气体模拟 化学品数据库 混合物 爆炸 DIPPR 化学品数据库 可以是悬浮颗粒 早期释放模拟已在业内广为接受 良好的图形表现能力 扩散量可能超过EPA OCA 需要专家支持93PHA步骤可能性分析步骤可能性分析评估后果评估后果评估非评估非SIS保护层效果保护层效果1. 概念上的工艺设计概念上的工艺设计需要需要SIS?2. 识别潜在危险识别潜在危险工艺安全信息工艺安全信息4. 保护层分析保护层分析潜在危险潜在危险危险频率危险频率3. 后果分析后果分析危险后果危险后果5. 为为SIS和和SIF选择目标选择目标SIL目

46、标目标SIL6. SIS/SIF必要的文件必要的文件事件历史事件历史保护层保护层故障率故障率可容忍风险指南可容忍风险指南危险特性危险特性停止停止NoYes实施安全要求规范安全要求规范-每个安全仪表功能的描述，包括目标SIL，减轻的危险，工艺参数，逻辑，旁路维修要求，响应时间等。 94可能性可能性 /频率频率 危险的可能性参照IEC 61511第 3部分 指的是频率例如每年或每百万小时发生事件的数量 注意它与日常英语中的“概率”的定义是不同的95可能性分析方法可能性分析方法 评估和分类 统计 可能性模型96可能性分类可能性分类事件类型事件类型频率频率 /年年质量等级质量等级Likelihood在

47、装置预期使用寿命内发生一个或一系列故障的概率非常低在装置预期使用寿命内发生一个或一系列故障的概率较低在装置预期使用寿命内发生合理的预期的故障f 10-410-4 f 10-210-2 =10-5 to =10-4 to =10-3 to =10-2 to 10-1100000 to 1000010000 to 10001000 to 100100 to 10118安全仪表功能安全仪表功能 明确的“单个”措施和所需的相应设备，用以识别“单个”紧急情况并把系统带入到安全状态。 依据所需的风险降低要求，为每个依据所需的风险降低要求，为每个SIF分配分配SIL。 不同于SIS， SIS可以包含多个功能

48、，以多种方式，防止出现多个有害结果。 SIS可以包含具备不同的单个可以包含具备不同的单个SIL的多个的多个SIF，因此，因此为整个仪表系统确定为整个仪表系统确定SIL是不正确和模糊的。是不正确和模糊的。119如何分配如何分配SIL 确定需要有多少风险降低，以达到给定的确定需要有多少风险降低，以达到给定的可容忍风险可容忍风险 定量分析方法给出了风险的具体数字目标 定性分析方法将数字目标分组到更多的风险降低类型中 必须使用一致的方法120危险矩阵危险矩阵方法方法1 后果分类 可能性分类 根据确定的后果和可能性，从矩阵图中选择SIL 3 X 3, 4 X 4, 5 X 5, 3a3b3b21Note

49、 c13b2轻微严重极度危险事件严重程度危险事件可能性低中高a) 一个等级3的安全仪表功能在此等级上不能提供足够的风险降低，为了降低风险，需要额外的修改措施。b) 一个等级3的安全仪表功能不能在该风险等级上提供足够的风险降低，需要另外审查（见注d)。c) 可能不需要SIS独立保护层;d) 该方法不适用于SIL4基于 IEC 61511-3 Annex C121危险矩阵图的后果部分危险矩阵图的后果部分严重程度严重程度影响影响对设备损坏较小，工艺不需要停车，对人员、环境造成短时伤害。损坏设备、工艺短时停车，对人员和环境造成严重伤害设备损坏严重，工艺长时间停车，对人员和环境造成灾难性后果。轻微轻微严

50、重严重极度极度基于 IEC 61511-3 Annex C122危险矩阵图危险矩阵图后果的考虑事项后果的考虑事项 明确分类依据 可以包括以下考虑事项: 伤害 死亡 财产损失 生产损失 环境排放后果分类的分配后果分类的分配情况需要判断情况需要判断123危险矩阵的可能性部分危险矩阵的可能性部分事件类型事件类型频率频率 /年年等级等级可能性可能性例如不同仪表或阀的多种故障、无应力操作环境下的多种人为失误、或工艺压力容器的内部故障等事件例如双仪表、阀故障或装卸料站的主要释放等事件例如工艺泄漏、单个仪表、阀故障或人为失误而导致危险物料的小量泄放，该故障应在装置预期操作周期内，被合理地预计到f 10-41