安全仪表专业系统设计与SIL的计算方法.doc

1、安全仪表系统设计与SIL计算办法左 信 朱春丽中华人民共和国石油大学（北京）自动化研究所11月北京自控中心站培训目 录第1章 安全仪表系统设计概述11.1 安全性与可用性11.1.1 安全仪表系统安全性11.1.2 安全仪表系统可用性11.1.3 安全性与可用性之间关系21.2 安全仪表系统设计目的21.3安全仪表系统设计原则21.3.1 基本原则21.3.2 逻辑设计原则31.3.3 回路配备原则41.4 完整安全仪表回路设计41.5 安全仪表系统设计环节5第2章 安全度级别SIL计算办法62.1 系统构造简介72.1.1 1oo1构造72.1.2 1oo2构造72.1.3 2oo2构造82

2、.1.4 2oo3构造82.1.5 1oo2D构造82.2 SIL可靠性框图计算办法92.2.1 1oo1构造可靠性框图92.2.2 1oo2构造可靠性框图102.2.3 2oo2构造可靠性框图102.2.4 2oo3构造可靠性框图112.2.5 1oo2D构造可靠性框图112.2.6术语列表122.3 SIL马尔可夫模型计算办法132.3.1 1oo1构造马尔可夫模型132.3.2 1oo2构造马尔可夫模型142.3.3 2oo2构造马尔可夫模型162.3.4 2oo3构造马尔可夫模型182.3.5 1oo1D构造马尔可夫模型202.3.6 1oo2D构造马尔可夫模型202.3.7 术语列表

3、222.4 SIL故障树分析计算办法242.4.1 1oo1构造PFD故障树242.4.2 1oo2构造PFD故障树242.4.3 2oo2构造PFD故障树252.4.4 2oo3构造PFD故障树252.4.5 2oo4构造PFD故障树262.4.6 1oo1D构造PFD故障树262.4.7 1oo2D构造PFD故障树272.4.8 2oo2D构造PFD故障树272.4.9 2oo4D构造PFD故障树282.4.10术语列表28第3章 计算实例29第1章 安全仪表系统设计概述1.1 安全性与可用性1.1.1 安全仪表系统安全性安全仪表系统安全性是指任何潜在危险发生时，安全仪表系统保证使过程处在

4、安全状态能力。不同安全仪表系统安全性是不同样，安全仪表系统自身故障无法使过程处在安全状态概率越低，则其安全性越高。安全仪表系统自身故障有两种类型。（1）安全故障 当此类故障发生时，不论过程有无危险，系统均使过程处在安全状态。此类故障称为安全故障。对于按故障安全原则(正常时励磁、闭合) 设计系统而言，回路上任何断路故障是安全故障。（2）危险故障 当此类故障存在时，系统即丧失使过程处在安全状态能力。此类故障称为危险故障。对于按故障安全原则设计系统而言，回路上任何可断开触点短路故障均是危险故障。换言之，一种系统内发生危险故障概率越低，则其安全性越高。1.1.2 安全仪表系统可用性安全仪表系统可用性是

5、指系统在冗余配备条件下，当某一种系统发生故障时，冗余系统在保证安全功能条件下，仍能保证生产过程不中断能力。与可用性比较接近一种概念是系统容错能力。一种系统具备高可用性或高容错能力不能以减少安全性作为代价，丧失安全性可用性是没故意义。严格地讲，可用性应满足如下几种条件。（1）系统是冗余;（2）系统产生故障时，不丧失其预先定义功能；（3）系统产生故障时，不影响正常工艺过程。1.1.3 安全性与可用性之间关系从某种意义上说，安全性与可用性是矛盾两个方面。某些办法会提高安全性，但会导致可用性下降，反之亦然。例如，冗余系统采用二取二逻辑，则可用性提高，安全性下降;若采用二取一逻辑，则相反。采用故障安全原

6、则设计系统安全性高，采用非故障安全原则设计系统可用性好。安全性与可用性是衡量一种安全仪表系统重要指标，无论是安全性低、还是可用性低，都会使损失概率提高。因而，在设计安全仪表系统时，要兼顾安全性和可用性。安全性是前提，可用性必要服从安全性;可用性是基本，没有高可用性安全性是不现实。1.2 安全仪表系统设计目的安全仪表系统设计目的，一方面是要满足装置安全度级别规定，衡量原则在于它能否达到规定平均故障概率PFDaverage，即规定下设备失效也许性。为了达到装置安全度级别，系统必要具备高安全性。但是，系统安全性越高，必然使设备停车次数越多，维修时间延长，减少了系统可用性。而在石化等行业现实应用当中，

7、设备停车也许导致重大经济损失，这就规定系统既具备高安全性，又具备高可用性。安全仪表系统设计并不是安全性越高越好，要谋求是一种最优配备，即在达到安全度级别前提下，合理配备经济实用系统。因而，在设计安全仪表系统时，一方面要进行风险分析，拟定必要风险减少指标;然后拟定SIL级别并进行风险分派，以拟定安全仪表系统应承担风险减少指标;最后，综合考虑系统安全性与可用性，对系统构造进行合理配备。1.3安全仪表系统设计原则1.3.1 基本原则SIL设计基本原则之一，是应依照E/E/PES安全规定规范进行设计。分析拟定SIL办法，拟定SIL 就是E/E/PES设计时规定实现安全完整性目的。SIL设计基本原则之二

8、，是采用一切必要技术与办法保证规定安全完整性。为了实现安全完整性，必要同步满足E/E/PES随机安全完整性规定与系统安全完整性规定，由于随机失效重要是硬件随机失效。因而，分析时，随机安全完整性就简化为硬件安全完整性。故障检测会影响系统行为，因而，它与硬件以及系统安全完整性都有关。1.3.2 逻辑设计原则可靠性原则整个系统可靠性R0 ( t) 是由构成系统各单元可靠性( R1 ( t) ，R2 ( t) ，R3 ( t) 乘积,即R0 ( t) = R1 ( t) R2 ( t) R3 ( t) 任何一种环节可靠性下降都会导致整个系统可靠性下降。人们普通对于逻辑控制系统可靠性十分注重,往往忽视检

9、测元件和执行元件可靠性,使得整套安全仪表系统可靠性低,达不到减少受控设备风险规定。可靠性决定系统安全性。可用性原则可用性不影响系统安全性,但系统可用性低也许会导致装置或工厂无法进行正常生产。可用性惯用下面公式表达。A = M TB F/ ( M TB F + M T TR)式中 A 可用度;MTBF 平均故障间隔时间;MTTR 平均修复时间。而对于安全仪表系统对工艺过程认知过程,还应当注重系统可用性，对的地判断过程事故,尽量减少装置非正常停工,减少开、停工导致经济损失。故障安全原则当安全仪表系统元件、设备、环节或能源发生故障或失效时,系统设计应当使工艺过程可以趋向安全运营或安全状态。这就是系统

10、设计故障安全型原则。能否实现“故障安全”取决于工艺过程及安全仪表系统设立。过程适应原则安全仪表系统设立必要依照工艺过程运营规律,为工艺过程在正常运营和非正常运营时服务。正常时安全仪表系统不能影响过程运营,在工艺过程发生危险状况时安全仪表系统要发挥作用,保证工艺装置安全。这就是系统设计过程适应原则。1.3.3 回路配备原则为保证系统安全性和可靠性，如下2个原则在回路配备时应当加以注意。独立设立原则 用于SIS和BPCS(基本过程控制系统)信号检测应各自采用检测元件。在SIL3级时，BPCS控制阀不能用作SIS仅有最后元件;在SIL1级与2级时可以使用，但要做安全性检查。中间环节至少原则 一种回路

11、中仪表越多可靠性越差，典型状况是本安回路应用。在石化装置中，防爆区域在0区状况很少。因而可尽量采用隔爆型仪表，减少由于安全栅而产生故障源，减少误停车。1.4 完整安全仪表回路设计在系统设计选型时，很容易只规定控制器某些安全性，忽视了现场仪表安全规定，事实上安全仪表系统涉及了传感单元、逻辑控制单元和最后执行单元，其故障失效率计算办法如下：PFDSYS = PFDS + PFDL + PFDFE式中：PFDSYS E/E/PE安全有关系统安全功能在规定期平均失效概率PFDS 传感器子系统规定平均失效概率PFDL 逻辑子系统规定平均失效概率PFDFE 最后元件子系统规定平均失效概率子系统构造图1.5

12、 安全仪表系统设计环节按照安全生命周期内容，一套完整SIS设计重要包括如下环节:（1）过程系统初步设计,涉及系统定义、系统描述和总体目的确认。（2）执行过程系统危险分析和风险评价。（3）论证采用非安全控制保护方案能否防止辨认出危险或减少风险。（4）判断与否需要设计安全控制系统SIS ,如果需要则转第（5）步,否则按常规控制系统设计。（5）根据IEC61508拟定对象安全度级别SIL。（6）拟定安全规定技术规范SRS 。（7） 完毕SIS初步设计并检查与否符合SRS。（8） 完毕SIS详细设计。（9） SIS组装、授权、预开车及可行性实验。（10） 在建立操作和维护规程基本上,完毕预开车安全评价

13、。（11） SIS正式投用,操作、维护及定期进行功能测试。（12）当原工艺流程被改造或在生产实践中发现安全控制系统不完善时,判断安全控制系统与否停用或改进。（13）如果需要改进,则转至第(2)步进入新过程安全生命周期设计。完整SIS设计环节第2章 安全度级别SIL计算办法SIS系统设计完毕之后，其可靠性和安全性评价原则就是规定期失效概率PFD。其SIL级别应当通过计算PFDavg来拟定。2.1 系统构造简介2.1.1 1oo1构造这种构造涉及一种单通道。在这种构造中当产生一次规定期，任何危险失效就会导致一种安全功能失效。1oo1物理构造图2.1.2 1oo2构造此构造由两个并联通道构成，无论哪

14、一种通道都能解决安全功能。因而如果两个通道都存在危险失效，则在规定期某个安全功能失效。假设任何诊断测试仅报告发现故障，但并不变化任何输出状态或输出表决。1oo2物理构造图2.1.3 2oo2构造此构造由并联两个通道构成，因而，在发生安全功能之前两个通道都规定功能。假设任何诊断测试仅报告发现故障，并不变化任何输出状态或输出表决。2oo2物理构造图2.1.4 2oo3构造此构造由3个并联通道构成，其输出信号具备多数表决安排，这样，如果仅其中一种通道输出与其她两个通道输出状态不同步，输出状态不会因而而变化。假设任何诊断测试只报告发现故障，不变化任何输出状态或者输出表决。2oo3物理构造图2.1.5

15、1oo2D构造此构造中由并联两个通道构成，正常工作期间，在发生安全功能前，两个通道都规定安全功能。此外，如果任一通道中诊断测试检测到一种故障，则将采用输出表决，因而整个输出状态则按照另一通道给出输出状态。如果诊断测试在两个通道中同步检测到故障，或者检测到两个通道间存在差别时，输出则转为安全状态。为了检测两个通道间差别，通过一种与另一通道无关办法，无论其中哪个通道都能拟定另一通道状态。1oo2D物理构造图SIS系统设计完毕之后，其可靠性和安全性评价原则就是规定期失效概率PFD。其SIL级别应当通过计算PFDavg来拟定。2.2 SIL可靠性框图计算办法2.2.1 1oo1构造可靠性框图1oo1可

16、靠性框图通道等效平均停止工作时间表达如下：已被检测和未被检测到危险失效率如下：此构造在规定期平均失效概率为：2.2.2 1oo2构造可靠性框图1oo2可靠性框图系统等效停止工作时间表达如下：此构造在规定期平均失效概率为：2.2.3 2oo2构造可靠性框图2oo2可靠性框图此构造在规定期平均失效概率为：2.2.4 2oo3构造可靠性框图2oo3可靠性框图此构造在规定期平均失效概率为：2.2.5 1oo2D构造可靠性框图每个通道中被检测安全失效率如下：1oo2D可靠性框图此构造在规定期平均失效概率为：2.2.6术语列表缩略语及符号术语（单 位）检查测试时间间隔（h）规定之间时间间隔MTTR平均恢复

17、时间（h）DC诊断覆盖率（在公式中以一种分数或者比例表达）具备共同因素、没有被检测到失效分数（在公式中用一种分数或者比例表达）具备共同因素、已被诊断测试检测到失效分数（在公式中用一种分数或者比例表达）（假设）子系统中一种通道失效率（每小时）子系统中通道危险失效率（每小时），等于0.5（假设50%危险失效和50%安全失效）检测到子系统中通道每小时危险失效率（它是在子系统通道中所有检测到危险失效率总和）未检测到子系统中通道每小时危险失效率（它是在子系统通道中所有未检测到危险失效率总和）子系统中被检测到通道每小时安全失效率（它是在子系统通道中所有检测到安全失效率总和）1oo1、1oo2、2oo2、1

18、oo2D、2oo3构造中通道等效平均停止工作时间（h）（它是子系统通道中所有部件组合关闭时间）1oo2、2oo3构造中表决组等效平均停止工作时间（h）（它是表决组中所有部件组合关闭时间）1oo2D构造中通道等效平均停止工作时间（h）（它是子系统通道中所有部件组合关闭时间）1oo2D构造中表决组等效平均停止工作时间（h）（它是表决组中所有部件组合关闭时间）表决通道组在规定期平均失效概率（如果传感器、逻辑或最后元件子系统仅由一种表决组构成，则分别等于、或）2.3 SIL马尔可夫模型计算办法2.3.1 1oo1构造马尔可夫模型 在1oo1马尔可夫模型中，状态0表达没有失效。从这个状态，控制器可达其她

19、3个状态，状态1表达安全失效状态，控制器发生失效，其输出非使能（失电或开路）。状态2表达检测到危险失效状态，输出使能而发生失效，但是失效被自诊断检测出可及时进行修复。状态3表达发生了危险失效，但失效没能被自诊断发现。1oo1构造马尔可夫模型 1oo1构造状态转移矩阵P为计算MTTFS马尔可夫状态转移图如下图所示.1oo1构造马尔可夫模型MTTFS相应Q矩阵为由于N=I-Q-1 ，故由于MTTFS是给定起始状态矩阵N行元素和，故2.3.2 1oo2构造马尔可夫模型 系统存在3个可以执行安全功能状态。在状态0。两个通道都正常运营。在状态1和2，一种通道发生危险使得输出短路（使能）。系统可以继续正常

20、运营是由于另一种通道依然可以使输出开路（非使能）。由于状态1危险失效被检测到，因此可以进行在线修复，状态1会以修复率返回到状态0。状态3，4，和5是系统失效状态。在状态3，系统发生安全失效。在状态4，系统发生检测到危险失效。在状态5，系统发生未检测到危险失效。共因失效会导致系统由状态0直接到达状态4或状态5。 假设维修过程会检查并修复系统所有失效，状态4通过维修会回到状态0。否则，状态4必要拆分为两个状态：一种是两个通道都发生检测到危险失效，另一种是一种通道发生检测到危险失效、一种通道发生未检测到危险失效。前者通过维修回到状态0，后者通过维修回到状态2。1oo2构造马尔可夫模型1oo2构造状态

21、转移矩阵P为其中表达矩阵元素所在行除该元素外其她元素之和。相应Q矩阵为其中 1oo2构造马尔可夫模型MTTFS2.3.3 2oo2构造马尔可夫模型 在状态0、1和2系统可以成功运营。状态3，系统发色和可以了安全失效，输出开路。状态4和5，系统发生检测到和未检测到危险失效。这个马尔可夫模型与1oo2构造马尔可夫模型比较可以看出在安全与危险失效上两者具备某些对称性。2oo2构造马尔可夫模型2oo2构造状态转移矩阵P为其中表达矩阵元素所在行除该元素外其她元素之和。相应Q矩阵为其中 2oo2构造马尔可夫模型MTTFS2.3.4 2oo3构造马尔可夫模型 系统初始状态时所有3个通道运营状态均为正常状态。

22、3个通道4种模式失效会导致系统离开初始状态。此外，共因失效也需要考虑。对于两个通道存在3种组合方式：AB、AC和BC，表达3组共因失效。在状态1，一种通道浮现检测到安全失效。在状态2，一种通道浮现未检测到安全失效。在状态1和状态2，系统降级为1oo2构造。在状态3，表白一种通道浮现检测到危险失效。在状态4，一种通道浮现未检测到危险失效。在状态3和状态4，系统降级为2oo2构造。在1、2、3、4各状态，系统尚未失效。在状态1和2系统仍处在运营状态，正常通道再次浮现安全失效将使系统安全失效，而正常通道浮现危险失效将使系统又降一级。在状态3和4，系统运营在2oo2配备。当浮现正常通道危险失效，系统将

23、会危险失效，而正常通道浮现安全失效也将使系统又降一级。假设系统修理时所有故障单元会被修复，因而，所有修复将使系统回到状态0。2oo3构造马尔可夫模型2oo2构造状态转移矩阵P为其中表达矩阵元素所在行除该元素外其她元素之和。2.3.5 1oo1D构造马尔可夫模型 状态0代表无效状况。从状态0系统可以到达其她两个状态。状态1代表安全失效，状态2代表未检测到危险失效。1oo1D马尔可夫模型与1oo1相似，不同是检测到危险失效将使系统浮现安全失效，导致受控过程误停车。1oo1D构造马尔可夫模型1oo1D构造状态转移矩阵P为 求解1oo1D构造系统MTTFS与1oo1相似，这是由于1oo1D体系构造仅仅

24、将检测到危险失效转换为安全失效，它自身并没有容错能力，即2.3.6 1oo2D构造马尔可夫模型 1oo2D构造马尔可夫模型共有4个系统成功运营状态。状态1代表发生了一种检测到安全失效或检测到危险失效。当一种危险失效被检测出时，诊断开关断开，输出非使能，因而，两种失效成果是相似。另一种系统成功状态2代表某一控制器浮现了未检测到危险失效。系统依然继续正常运营是由于另一种单元仍可以检测到该失效，使得系统停车。在第三个降级系统成功状态3，系统某一单元浮现未检测到安全失效后，系统输出仍可由另一正常单元控制。 在状态1，系统降级到1oo1D构造。后续安全失效或检测到危险失效会导致系统发生安全失效；后续未检

25、测到危险失效将使系统发生危险失效。系统在失效状态5时，一种单元发生检测到失效，另一种单元发生未检测到失效。在检测到失效发出维修祈求后，所有单元都要进行检查测试，因而从状态5到状态0存在一种维修状态转移。 在状态2，一种单元发生在未检测到危险失效 。由于系统仍能对的响应过程危险，因而仍能正常运营。在这个状态下，任何部件失效都会导致系统发生危险失效。例如，一种单元发生未检测到危险失效，另一种单元发生了检测到安全失效。这时第二个单元由于故障也不能对第一种单元开关进行控制，因此系统被以为发生危险失效，不会响应过程祈求。如果第二个单元发生检测到安全失效，则系统转到状态5。 在状态3，一种单元发生未检测到

26、安全失效，系统降级到1oo1D构造。后续检测到安全失效或危险失效都将使系统发生安全失效。而后续未检测到危险失效则会使系统发生危险故障使系统转到状态6，也就是说两个单元浮现未检测到失效。处在该状态失效只有在进行周期性功能测试时才会被发现。1oo2D构造马尔可夫模型1oo2D构造状态转移矩阵P为其中表达矩阵元素所在行除该元素外其她元素之和。2.3.7 术语列表缩略语及符号术语（单 位）TI检查测试时间间隔（h）TSD系统启动时间（h）系统启动率=1/ TSD（h-1）MTTR平均恢复时间（h）维修率 =1/ MTTR（h-1）功能测试覆盖率，取值01具备共同因素、没有被检测到失效分数（在公式中用一

27、种分数或者比例表达）具备共同因素、已被诊断测试检测到失效分数（在公式中用一种分数或者比例表达）（假设）危险失效率（h-1）安全失效率（h-1）检测到危险失效率（h-1）未检测到危险失效率（h-1）检测到安全失效率（h-1）未检测到安全失效率（h-1）正常检测出安全失效率（h-1）正常未检测出安全失效率（h-1）正常检测出危险失效率（h-1）正常未检测出危险失效率（h-1）共因检测出安全失效率（h-1）共因未检测出安全失效率（h-1）共因检测出危险失效率（h-1）共因未检测出危险失效率（h-1）2.4 SIL故障树分析计算办法2.4.1 1oo1构造PFD故障树1oo1构造PFD故障树2.4.2

28、 1oo2构造PFD故障树1oo2构造PFD故障树2.4.3 2oo2构造PFD故障树2oo2构造PFD故障树2.4.4 2oo3构造PFD故障树2oo3构造PFD故障树2.4.5 2oo4构造PFD故障树2oo4构造PFD故障树2.4.6 1oo1D构造PFD故障树1oo1D构造PFD故障树2.4.7 1oo2D构造PFD故障树1oo2D构造PFD故障树2.4.8 2oo2D构造PFD故障树2oo2D构造PFD故障树2.4.9 2oo4D构造PFD故障树2oo4D构造PFD故障树2.4.10术语列表缩略语及符号术语（单 位）TI检查测试时间间隔（h）RT平均维修时间（h）具备共同因素、没有被

29、检测到失效分数（在公式中用一种分数或者比例表达）危险失效率（h-1）安全失效率（h-1）检测到危险失效率（h-1）未检测到危险失效率（h-1）检测到安全失效率（h-1）未检测到安全失效率（h-1）正常检测出安全失效率（h-1）正常未检测出安全失效率（h-1）正常检测出危险失效率（h-1）正常未检测出危险失效率（h-1）共因检测出安全失效率（h-1）共因未检测出安全失效率（h-1）共因检测出危险失效率（h-1）共因未检测出危险失效率（h-1）第3章 计算实例考虑需要一种SIL2系统安全功能。假设对系统构造初始评估是，针对1组3个模仿压力传感器构造为表决2oo3。逻辑子系统配备为冗余1oo2D，用于驱动一种停机阀和1个通风阀。为了达到安全功能，需要操作通风阀和停机阀。检查测试时间间隔为1年，MTTR为8h 对于传感子系统 对于逻辑子系统 对于最后元件子系统 因而，对于安全仪表系统 为了改进系统使其更好地适应安全度级别2，需要如下改进工作：a) 将检查测试时间间隔改为6个月： b) 1oo1停机阀（其输出设备可靠性较低）改为1oo2（假设值为10%，值为5%）