安全仪表系统设计与SIL的计算方法(左信,朱春丽).doc

1、 安全仪表系统设计与SIL的计算方法 左 信 朱春丽 中国石油大学（北京）自动化研究所 2008年11月•北京•自控中心站培训 目 录 第1章 安全仪表系统设计概述.....................................................................................................1 1.1 安全性与可用性...........................................................................................

2、1 1.1.1 安全仪表系统的安全性.........................................................................................1 1.1.2 安全仪表系统的可用性.........................................................................................1 1.1.3 安全性与可用性之间的关系.......................................

3、2 1.2 安全仪表系统的设计目标................................................................................................2 1.3安全仪表系统的设计原则.................................................................................................2 1.3.1 基本原则..............

4、2 1.3.2 逻辑设计原则.........................................................................................................3 1.3.3 回路配置原则................................................................

5、4 1.4 完整的安全仪表回路设计................................................................................................4 1.5 安全仪表系统的设计步骤................................................................................................5 第2章 安全度等级SIL的计算方法........

6、6 2.1 系统结构介绍....................................................................................................................7 2.1.1 1oo1结构...................................................................

7、7 2.1.2 1oo2结构.................................................................................................................7 2.1.3 2oo2结构.............................................................................................................

8、8 2.1.4 2oo3结构.................................................................................................................8 2.1.5 1oo2D结构...............................................................................................................8 2.2 SIL的可靠性框图计算方法..................

9、9 2.2.1 1oo1结构的可靠性框图.........................................................................................9 2.2.2 1oo2结构的可靠性框图.......................................................................................10

10、 2.2.3 2oo2结构的可靠性框图.......................................................................................10 2.2.4 2oo3结构的可靠性框图.......................................................................................11 2.2.5 1oo2D结构的可靠性框图...........................................................

11、11 2.2.6术语列表................................................................................................................12 2.3 SIL的马尔可夫模型计算方法.........................................................................................13 2.3.1 1oo1结构的马尔可夫模型............

12、13 2.3.2 1oo2结构的马尔可夫模型...................................................................................14 2.3.3 2oo2结构的马尔可夫模型...................................................................................16 2.3.4 2oo3

13、结构的马尔可夫模型...................................................................................18 2.3.5 1oo1D结构的马尔可夫模型.................................................................................20 2.3.6 1oo2D结构的马尔可夫模型.............................................................................

14、20 2.3.7 术语列表...............................................................................................................22 2.4 SIL的故障树分析计算方法.............................................................................................24 2.4.1 1oo1结构的PFD故障树...............................

15、24 2.4.2 1oo2结构的PFD故障树.......................................................................................24 2.4.3 2oo2结构的PFD故障树.......................................................................................25 2.4.4 2oo3结构的PFD故

16、障树.......................................................................................25 2.4.5 2oo4结构的PFD故障树.......................................................................................26 2.4.6 1oo1D结构的PFD故障树...........................................................................

17、26 2.4.7 1oo2D结构的PFD故障树......................................................................................27 2.4.8 2oo2D结构的PFD故障树......................................................................................27 2.4.9 2oo4D结构的PFD故障树..........................................

18、28 2.4.10术语列表..............................................................................................................28 第3章 计算实例......................................................................................................................

19、29 第1章 安全仪表系统设计概述 1.1 安全性与可用性 1.1.1 安全仪表系统的安全性 安全仪表系统的安全性是指任何潜在危险发生时，安全仪表系统保证使过程处于安全状态的能力。不同安全仪表系统的安全性是不一样的，安全仪表系统自身的故障无法使过程处于安全状态的概率越低，则其安全性越高。安全仪表系统自身的故障有两种类型。 （1）安全故障 当此类故障发生时，不管过程有无危险，系统均使过程处于安全状态。此类故障称为安全故障。对于按故障安全原则(正常时励磁、闭合) 设计的系统而言，回路上的任何断路故障是安全故障。 （2）危险故障 当此类故障存在时，系统即丧失

20、使过程处于安全状态的能力。此类故障称为危险故障。对于按故障安全原则设计的系统而言，回路上任何可断开触点的短路故障均是危险故障。 换言之，一个系统内发生危险故障的概率越低，则其安全性越高。 1.1.2 安全仪表系统的可用性 安全仪表系统的可用性是指系统在冗余配置的条件下，当某一个系统发生故障时，冗余系统在保证安全功能的条件下，仍能保证生产过程不中断的能力。 与可用性比较接近的一个概念是系统的容错能力。一个系统具有高可用性或高容错能力不能以降低安全性作为代价，丧失安全性的可用性是没有意义的。严格地讲，可用性应满足以下几个条件。（1）系统是冗余的;（2）系统产生故障时，不丧失其预先定

21、义的功能; （3）系统产生故障时，不影响正常的工艺过程。 1.1.3 安全性与可用性之间的关系 从某种意义上说，安全性与可用性是矛盾的两个方面。某些措施会提高安全性，但会导致可用性的下降，反之亦然。例如，冗余系统采用二取二逻辑，则可用性提高，安全性下降;若采用二取一逻辑，则相反。采用故障安全原则设计的系统安全性高，采用非故障安全原则设计的系统可用性好。 安全性与可用性是衡量一个安全仪表系统的重要指标，无论是安全性低、还是可用性低，都会使损失的概率提高。因此，在设计安全仪表系统时，要兼顾安全性和可用性。安全性是前提，可用性必须服从安全性;可用性是基础，没有高可用性的安全性是不现实的。

22、 1.2 安全仪表系统的设计目标 安全仪表系统设计的目标，首先是要满足装置的安全度等级要求，衡量标准在于它能否达到要求平均故障概率PFDaverage，即要求下的设备失效的可能性。为了达到装置的安全度等级，系统必须具有高的安全性。但是，系统的安全性越高，必然使设备停车次数越多，维修时间延长，降低了系统的可用性。而在石化等行业的现实应用当中，设备停车可能造成重大的经济损失，这就要求系统既具有高安全性，又具有高可用性。安全仪表系统的设计并不是安全性越高越好，要寻求的是一种最优配置，即在达到安全度等级的前提下，合理配置经济实用的系统。 因此，在设计安全仪表系统时，首先要进行风险分析，确定

23、必要的风险降低指标;然后确定SIL等级并进行风险分配，以确定安全仪表系统应承担的风险降低指标;最后，综合考虑系统的安全性与可用性，对系统的结构进行合理配置。 1.3安全仪表系统的设计原则 1.3.1 基本原则 SIL设计的基本原则之一，是应根据E/E/PES安全要求规范进行设计。分析确定SIL的方法，确定的SIL 就是E/E/PES设计时要求实现的安全完整性目标。 SIL设计的基本原则之二，是采取一切必要的技术与措施保证要求的安全完整性。为了实现安全完整性，必须同时满足E/E/PES的随机安全完整性要求与系统安全完整性要求，因为随机失效主要是硬件的随机失效。因此，分析时，随机安

24、全完整性就简化为硬件安全完整性。故障检测会影响系统的行为，因此，它与硬件以及系统的安全完整性都相关。 1.3.2 逻辑设计原则 ①可靠性原则 整个系统的可靠性R0 ( t) 是由组成系统的各单元可靠性( R1 ( t) , R2 ( t) , R3 ( t)K) 的乘积,即 R0 ( t) = R1 ( t) R2 ( t) R3 ( t) 任何一个环节可靠性的下降都会导致整个系统可靠性的下降。人们通常对于逻辑控制系统的可靠性十分重视,往往忽视检测元件和执行元件的可靠性,使得整套安全仪表系统可靠性低,达不到降低受控设备风险的要求。可靠性决定系统的安全性。 ②可用性原则

25、 可用性不影响系统的安全性,但系统的可用性低可能会导致装置或工厂无法进行正常的生产。可用性常用下面公式表示。 A = M TB F/ ( M TB F + M T TR) 式中 A ———可用度; MTBF ———平均故障间隔时间; MTTR ———平均修复时间。 而对于安全仪表系统对工艺过程的认知过程,还应当重视系统的可用性，正确地判断过程事故,尽量减少装置的非正常停工,减少开、停工造成的经济损失。 ③故障安全原则 当安全仪表系统的元件、设备、环节或能源发生故障或失效时,系统设计应当使工艺过程能够趋向安全运行或安全状态。这就是系统设计的故障安全型原则。能否实现“

26、故障安全”取决于工艺过程及安全仪表系统的设置。 ④过程适应原则 安全仪表系统的设置必须根据工艺过程的运行规律,为工艺过程在正常运行和非正常运行时服务。正常时安全仪表系统不能影响过程运行,在工艺过程发生危险情况时安全仪表系统要发挥作用,保证工艺装置的安全。这就是系统设计的过程适应原则。 1.3.3 回路配置原则 为保证系统的安全性和可靠性，以下2个原则在回路配置时应当加以注意。 ①独立设置原则 用于SIS和BPCS(基本过程控制系统)的信号检测应各自采用检测元件。在SIL3级时，BPCS的控制阀不能用作SIS仅有的最终元件;在SIL1级与2级时可以使用，但要做安全性检查。

27、 ②中间环节最少原则 一个回路中仪表越多可靠性越差，典型情况是本安回路的应用。在石化装置中，防爆区域在0区的情况很少。因此可尽量采用隔爆型仪表，减少由于安全栅而产生的故障源，减少误停车。 1.4 完整的安全仪表回路设计 在系统设计选型时，很容易只要求控制器部分的安全性，忽略了现场仪表的安全要求，实际上安全仪表系统包括了传感单元、逻辑控制单元和最终执行单元，其故障失效率的计算方法如下： PFDSYS = PFDS + PFDL + PFDFE 式中：PFDSYS — E/E/PE安全相关系统的安全功能在要求时的平均失效概率 PFDS — 传感器子系统要求的平均失效概率

28、 PFDL — 逻辑子系统要求的平均失效概率 PFDFE — 最终元件子系统要求的平均失效概率 子系统结构图 1.5 安全仪表系统的设计步骤 按照安全生命周期的内容，一套完整的SIS的设计主要包含以下步骤: （1）过程系统初步设计,包括系统定义、系统描述和总体目标确认。 （2）执行过程系统危险分析和风险评价。 （3）论证采用非安全控制保护方案能否防止识别出的危险或降低风险。 （4）判断是否需要设计安全控制系统SIS ,如果需要则转第（5）步,否则按常规控制系统设计。 （5）依据IEC61508确定对象的安全度等级SIL。 （6）确定安全要求技术规

29、范SRS 。 （7） 完成SIS初步设计并检验是否符合SRS。 （8） 完成SIS详细设计。 （9） SIS组装、授权、预开车及可行性试验。 （10） 在建立操作和维护规程的基础上,完成预开车安全评价。 （11） SIS正式投用,操作、维护及定期进行功能测试。 （12）当原工艺流程被改造或在生产实践中发现安全控制系统不完善时,判断安全控制系统是否停用或改进。 （13）如果需要改进,则转至第(2)步进入新的过程安全生命周期设计。 完整的SIS设计的步骤 第2章 安全度等级SIL的计算方法 SIS系统设计完成之后，其可靠性和安全性的评价标准就是要求时失效

30、概率PFD。其SIL等级应该通过计算PFDavg来确定。 2.1 系统结构介绍 2.1.1 1oo1结构 这种结构包括一个单通道。在这种结构中当产生一次要求时，任何危险失效就会导致一个安全功能失效。 1oo1物理结构图 2.1.2 1oo2结构 此结构由两个并联的通道组成，无论哪一个通道都能处理安全功能。因此如果两个通道都存在危险失效，则在要求时某个安全功能失效。假设任何诊断测试仅报告发现故障，但并不改变任何输出状态或输出表决。 1oo2物理结构图 2.1.3 2oo2结构 此结构由并联的两个通道构成，因此，在发生安全功能之前两个通道都要求功能。假设

31、任何诊断测试仅报告发现故障，并不改变任何输出状态或输出表决。 2oo2物理结构图 2.1.4 2oo3结构 此结构由3个并联通道构成，其输出信号具有多数表决安排，这样，如果仅其中一个通道的输出与其他两个通道的输出状态不同时，输出状态不会因此而改变。假设任何诊断测试只报告发现故障，不改变任何输出状态或者输出表决。 2oo3物理结构图 2.1.5 1oo2D结构 此结构中由并联的两个通道构成，正常工作期间，在发生安全功能前，两个通道都要求安全功能。此外，如果任一通道中诊断测试检测到一个故障，则将采用输出表决，因此整个输出状态则按照另一通道给出的输出状态。如果诊断测试

32、在两个通道中同时检测到故障，或者检测到两个通道间存在的差异时，输出则转为安全状态。为了检测两个通道间的差异，通过一种与另一通道无关的方法，无论其中哪个通道都能确定另一通道的状态。 1oo2D物理结构图 SIS系统设计完成之后，其可靠性和安全性的评价标准就是要求时失效概率PFD。其SIL等级应该通过计算PFDavg来确定。 2.2 SIL的可靠性框图计算方法 2.2.1 1oo1结构的可靠性框图 1oo1可靠性框图 通道的等效平均停止工作时间表示如下： 已被检测和未被检测到的危险失效率如下： 此结构在要求时的平均失效概率为： 2.2.2 1

33、oo2结构的可靠性框图 1oo2可靠性框图 系统等效停止工作时间表示如下： 此结构在要求时的平均失效概率为： 2.2.3 2oo2结构的可靠性框图 2oo2可靠性框图 此结构在要求时的平均失效概率为： 2.2.4 2oo3结构的可靠性框图 2oo3可靠性框图 此结构在要求时的平均失效概率为： 2.2.5 1oo2D结构的可靠性框图 每个通道中被检测的安全失效率如下： 1oo2D可靠性框图 此结构在要求时的平均失效概率为： 2.2.6术语列表 缩略语及符号 术语（单 位） 检验

34、测试时间间隔（h） 要求之间的时间间隔 MTTR 平均恢复时间（h） DC 诊断覆盖率（在公式中以一个分数或者百分比表示） 具有共同原因的、没有被检测到的失效分数（在公式中用一个分数或者百分比表示） 具有共同原因的、已被诊断测试检测到的失效分数（在公式中用一个分数或者百分比表示）（假设 ） 子系统中一个通道的失效率（每小时） 子系统中通道的危险失效率（每小时），等于0.5 （假设50%的危险失效和50%的安全失效） 检测到的子系统中通道每小时的危险失效率（它是在子系统通道中所有检测到的危险失效率的总和） 未检测到的子系统中

35、通道每小时的危险失效率（它是在子系统通道中所有未检测到的危险失效率的总和） 子系统中被检测到的通道每小时的安全失效率（它是在子系统通道中所有检测到的安全失效率的总和） 1oo1、1oo2、2oo2、1oo2D、2oo3结构中通道的等效平均停止工作时间（h）（它是子系统通道中所有部件的组合关闭时间） 1oo2、2oo3结构中表决组的等效平均停止工作时间（h）（它是表决组中所有部件的组合关闭时间） 1oo2D结构中通道的等效平均停止工作时间（h）（它是子系统通道中所有部件的组合关闭时间） 1oo2D结构中表决组的等效平均停止工作时间（h）（它是表决组中所有部

36、件的组合关闭时间） 表决通道组在要求时的平均失效概率（如果传感器、逻辑或最终元件子系统仅由一个表决组构成，则分别等于、或） 2.3 SIL的马尔可夫模型计算方法 2.3.1 1oo1结构的马尔可夫模型 在1oo1的马尔可夫模型中，状态0表示没有失效。从这个状态，控制器可达其他3个状态，状态1表示安全失效状态，控制器发生失效，其输出非使能（失电或开路）。状态2表示检测到的危险失效状态，输出使能而发生失效，但是失效被自诊断检测出可立即进行修复。状态3表示发生了危险失效，但失效没能被自诊断发现。 1oo1结构马尔可夫模型 1oo1结构的状态转移矩阵P为 计算M

37、TTFS的马尔可夫状态转移图如下图所示. 1oo1结构马尔可夫模型——MTTFS 相应的Q’矩阵为 因为N=[I-Q’]-1 ，故 因为MTTFS是给定起始状态矩阵N行元素的和，故 2.3.2 1oo2结构的马尔可夫模型 系统存在3个能够执行安全功能的状态。在状态0。两个通道都正常运行。在状态1和2，一个通道发生危险使得输出短路（使能）。系统能够继续正常运行是因为另一个通道仍然能够使输出开路（非使能）。因为状态1的危险失效被检测到，所以能够进行在线修复，状态1会以修复率 返回到状态0。状态3，4，和5是系统的失效状态。在状态3，系统发生安全失效。在状态4

38、系统发生检测到的危险失效。在状态5，系统发生未检测到的危险失效。共因失效会导致系统由状态0直接到达状态4或状态5。 假设维修过程会检查并修复系统的所有失效，状态4通过维修会回到状态0。否则，状态4必须拆分为两个状态：一个是两个通道都发生检测到的危险失效，另一个是一个通道发生检测到的危险失效、一个通道发生未检测到的危险失效。前者通过维修回到状态0，后者通过维修回到状态2。 1oo2结构马尔可夫模型 1oo2结构的状态转移矩阵P为 其中∑表示矩阵元素所在行除该元素外其他元素之和。 相应的Q’矩阵为 其中 1oo2结构马尔可夫模型——MTTFS 2.

39、3.3 2oo2结构的马尔可夫模型 在状态0、1和2系统能够成功运行。状态3，系统发色和能够了安全失效，输出开路。状态4和5，系统发生检测到和未检测到的危险失效。这个马尔可夫模型与1oo2结构的马尔可夫模型比较可以看出在安全与危险失效上两者具有部分对称性。 2oo2结构马尔可夫模型 2oo2结构的状态转移矩阵P为 其中∑表示矩阵元素所在行除该元素外其他元素之和。 相应的Q’矩阵为 其中 2oo2结构马尔可夫模型——MTTFS 2.3.4 2oo3结构的马尔可夫模型 系统初始状态时全部3个通道的运行状态均为正常状态。3个通道的4种模式的失效会导

40、致系统离开初始状态。另外，共因失效也需要考虑。对于两个通道存在3种组合方式：AB、AC和BC，表示3组共因失效。在状态1，一个通道出现检测到的安全失效。在状态2，一个通道出现未检测到的安全失效。在状态1和状态2，系统降级为1oo2结构。在状态3，表明一个通道出现检测到的危险失效。在状态4，一个通道出现未检测到的危险失效。在状态3和状态4，系统降级为2oo2结构。在1、2、3、4各状态，系统尚未失效。 在状态1和2系统仍处于运行状态，正常通道再次出现安全失效将使系统安全失效，而正常通道出现危险失效将使系统又降一级。在状态3和4，系统运行在2oo2配置。当出现正常通道的危险失效，系统将会危险失

41、效，而正常通道出现安全失效也将使系统又降一级。假设系统修理时所有的故障单元会被修复，因此，所有的修复将使系统回到状态0。 2oo3结构马尔可夫模型 2oo2结构的状态转移矩阵P为 其中∑表示矩阵元素所在行除该元素外其他元素之和。 2.3.5 1oo1D结构的马尔可夫模型 状态0代表无效的情况。从状态0系统可以到达其他两个状态。状态1代表安全失效，状态2代表未检测到的危险失效。1oo1D的马尔可夫模型与1oo1相似，不同的是检测到的危险失效将使系统出现安全失效，造成受控过程的误停车。 1oo1D结构马尔可夫模型 1oo1D结构的状态转移矩阵P为 求解1oo

42、1D结构系统的MTTFS与1oo1的相似，这是因为1oo1D体系结构仅仅将检测到的危险失效转换为安全失效，它本身并没有容错能力，即 2.3.6 1oo2D结构的马尔可夫模型 1oo2D结构的马尔可夫模型共有4个系统成功运行的状态。状态1代表发生了一个检测到的安全失效或检测到的危险失效。当一个危险失效被检测出时，诊断开关断开，输出非使能，因此，两种失效的结果是相同的。另一个系统成功状态2代表某一控制器出现了未检测到的危险失效。系统仍然继续正常运行是因为另一个单元仍能够检测到该失效，使得系统停车。在第三个降级的系统成功状态3，系统某一单元出现未检测到的安全失效后，系统输出仍可由另一正常

43、单元控制。 在状态1，系统降级到1oo1D结构。后续的安全失效或检测到的危险失效会导致系统发生安全失效；后续的未检测到的危险失效将使系统发生危险失效。系统在失效状态5时，一个单元发生检测到的失效，另一个单元发生未检测到的失效。在检测到的失效发出维修请求后，所有的单元都要进行检验测试，因此从状态5到状态0存在一个维修的状态转移。 在状态2，一个单元发生在未检测到的危险失效 。由于系统仍能正确响应过程危险，因此仍能正常运行。在这个状态下，任何部件的失效都会导致系统发生危险失效。例如，一个单元发生未检测到的危险失效，另一个单元发生了检测到的安全失效。这时第二个单元因为故障也不能对第一个单元的

44、开关进行控制，所以系统被认为发生危险失效，不会响应过程请求。如果第二个单元发生检测到的安全失效，则系统转到状态5。 在状态3，一个单元发生未检测到的安全失效，系统降级到1oo1D结构。后续的检测到的安全失效或危险失效都将使系统发生安全失效。而后续的未检测到的危险失效则会使系统发生危险故障—使系统转到状态6，也就是说两个单元出现未检测到的失效。处于该状态的失效只有在进行周期性功能测试时才会被发现。 1oo1D结构马尔可夫模型 1oo2D结构的状态转移矩阵P为 其中表示矩阵元素所在行除该元素外其他元素之和。 2.3.7 术语列表 缩略语及符号 术语（单 位） T

45、I 检验测试时间间隔（h） TSD 系统启动时间（h） 系统启动率 =1/ TSD（h-1） MTTR 平均恢复时间（h） 维修率 =1/ MTTR（h-1） 功能测试覆盖率，取值0~1 具有共同原因的、没有被检测到的失效分数（在公式中用一个分数或者百分比表示） 具有共同原因的、已被诊断测试检测到的失效分数（在公式中用一个分数或者百分比表示）（假设 ） 危险失效率（h-1） 安全失效率（h-1） 检测到的危险失效率（h-1） 未检测到的危险失效率（h-1） 检测到的安全失效率（h-1）

46、未检测到的安全失效率（h-1） 正常检测出安全失效率（h-1） 正常未检测出安全失效率（h-1） 正常检测出危险失效率（h-1） 正常未检测出危险失效率（h-1） 共因检测出安全失效率（h-1） 共因未检测出安全失效率（h-1） 共因检测出危险失效率（h-1） 共因未检测出危险失效率（h-1） 2.4 SIL的故障树分析计算方法 2.4.1 1oo1结构的PFD故障树 1oo1结构的PFD故障树 2.4.2 1oo2结构的PFD故障树 1oo2结构的PFD故障树 2.4.3 2oo2

47、结构的PFD故障树 2oo2结构的PFD故障树 2.4.4 2oo3结构的PFD故障树 2oo3结构的PFD故障树 2.4.5 2oo4结构的PFD故障树 2oo4结构的PFD故障树 2.4.6 1oo1D结构的PFD故障树 1oo1D结构的PFD故障树 2.4.7 1oo2D结构的PFD故障树 1oo2D结构的PFD故障树 2.4.8 2oo2D结构的PFD故障树 2oo2D结构的PFD故障树 2.4.9 2oo4D结构的PFD故障树 2oo4D结构的PFD故障树

48、 2.4.10术语列表 缩略语及符号 术语（单 位） TI 检验测试时间间隔（h） RT 平均维修时间（h） 具有共同原因的、没有被检测到的失效分数（在公式中用一个分数或者百分比表示） 危险失效率（h-1） 安全失效率（h-1） 检测到的危险失效率（h-1） 未检测到的危险失效率（h-1） 检测到的安全失效率（h-1） 未检测到的安全失效率（h-1） 正常检测出安全失效率（h-1） 正常未检测出安全失效率（h-1） 正常检测出危险失效率（h-1） 正常未检测出危险失效率（h

49、1） 共因检测出安全失效率（h-1） 共因未检测出安全失效率（h-1） 共因检测出危险失效率（h-1） 共因未检测出危险失效率（h-1） 第3章 计算实例 考虑需要一个SIL2系统的安全功能。假设对系统结构的初始评估是，针对1组3个模拟压力传感器结构为表决2oo3。逻辑子系统配置为冗余1oo2D，用于驱动一个停机阀和1个通风阀。为了达到安全功能，需要操作通风阀和停机阀。 检验测试时间间隔为1年，MTTR为8h 对于传感子系统 对于逻辑子系统 对于最终元件子系统 因此，对于安全仪表系统 为了改进系统使其更好地适应安全度等级2，需要以下改进工作： a) 将检验测试的时间间隔改为6个月： b) 1oo1停机阀（其输出设备的可靠性较低）改为1oo2（假设 值为10%， 值为5%）