5-SIL确定和验证方法论及案例解析

功能安全SIL确定和验证机械工业仪器仪表综合技术经济研究所功能安全中心孟邹清z引言zSIL确定技术与方法zSIL验证技术与方法z应用举例目录目录SILSIL确定确定SILSIL验证验证引言引言z什么地方用SIL?z用几级的SIL?z怎样才能满足SIL?z现有设备是否达到了需要的SIL？SILSIL确定技术与方法确定技术与方法1）确立过程的安全目标（允许风险）；2）执行一次危险和风险分析以评价现有的风险；3）确定所需的安全功能；4）将安全功能分配给保护层；注：各保护层彼此独立。5）确定是否要求一个SIF；6）确定SIF所需的SIL。基本流程基本流程基本流程基本流程保护层（PL）BPCSPAHLTLCV图1具有现有安全系统的压力容器图中：PL附加的减轻用保护层PAH压力高报警LT液位变送器LCV液位控制阀BPCS基本过程控制系统第1步第2步第3步第4步第5步第6步工艺描述：z压力容器内装挥发性易燃液体；zBPCS监视来自液位变送器的信号并控制阀的操作；z独立压力变送器，用于启动高压报警并警告操作员采取适当动作以停止物质流入；z非仪器保护层，在操作员未响应的情况下，用于处理与容器高压相关的危险；z保护层释放的气体用管道引到一个喷射箱中，喷射箱再把气体泄放到一个燃烧系统；z假设燃烧系统恒定有效。基本流程基本流程依据：z国家和国际标准、法规;z公司政策;z有关各方如社团、当地司法部门和有良好的工程实践支持的保险公司的投入;确定目标（假设）:z过程安全目标设定为平均释放率小于每年10-4基本流程基本流程--过程安全目标过程安全目标去总图目的：z确定危险、潜在的过程偏差及起因；z可用的工程化系统；z引发事件以及可能发生的潜在危险事件（意外事故）实现：z安全复审；z检验表；z假设分析；zzHAZOPHAZOP研究；研究；z失效模式和影响分析；z因果分析。基本流程基本流程--危险和风险分析危险和风险分析去总图基本流程基本流程--危险和风险分析危险和风险分析项偏差原因后果安全措施动作容器高液位BPCS失效高压操作员——高压1.高液位2.外部火灾释放到环境中1）报警、操作员、保护层2）消防（deluge）系统评价向环境释放的工况—低/无流量BPCS失效没有关心的后果———反向流—没有关心的后果——表1HAZOP分析结果示意表去总图针对超压，降低向环境释放物质的可能性!-超压发生频率：0.1/年基本流程基本流程--安全功能安全功能去总图基本流程基本流程--保护层保护层频率和后果1、不释放到燃烧系统中2、释放到燃烧系统中，8×10-3/年3、释放到环境中，9×10-4/年4、释放到燃烧系统中，9×10-3/年5、容器失效并释放到环境中，1×10-3/年-释放到环境中频率：1.9×10-3/年去总图10-1/年超压成功0.90.910-10.910-1失效10-1高压报警操作员响应保护层0.910-1基本流程基本流程--保护层保护层10-1/年超压0.90.910-10.910-110-1频率和后果1、不释放到燃烧系统中2、释放到燃烧系统中，8×10-3/年3、释放到燃烧系统中，8×10-3/年4、容器失效并释放到环境中，9×10-5/年5、释放到燃烧系统中，9×10-4/年6、释放到燃烧系统中，9×10-4/年7、容器失效并释放到环境中，1×10-4/年高压报警操作员响应保护层1保护层20.910-1PL2PL1PAHLTLCV0.910-10.910-1-释放到环境中频率：1.9×10-4/年去总图z过程安全目标:平均释放率10-4/年z释放到环境中频率：1.9×10-4/年10-4/年安全目标水平未被满足。要求：在SIS中实现一个仪表安全功能来防止超压和易燃物质的释放基本流程基本流程--SIFSIF去总图基本流程基本流程--SILSIL去总图z新的仪表安全功能：SIL2SIL2z仅确定SIL，不考虑SIF的详细设计如：新的仪表安全功能可在1oo2组态中使用双重的、安全专用的压力传感器，把信号发送给一个逻辑解算器。逻辑解算器的输出可控制一个附加的停机阀超压10-1/年0.90.910-11、不释放到燃烧系统中，8×10-2/年2、不释放到燃烧系统中，9×10-3/年3、释放到燃烧系统中，8×10-5/年4、容器失效并释放到环境中，9×10-6/年5、不释放到燃烧系统中，1×10-2/年6、释放到燃烧系统中，9×10-5/年7、容器失效并释放到环境中，1×10-5/年高压报警操作员响应安全功能保护层0.9910-23个保护层LCV0.9910-20.910-1SV0.910-110-1PAHLT逻辑解算器PS1PS2频率和后果基本流程基本流程--SILSIL去总图基本流程基本流程小结SILSIL确定确定技术与方法技术与方法z危险与可操作性分析（HAZOP）——定性分析定性分析z风险图法——定性方法定性方法z校正的风险图法——半定性方法半定性方法z安全层矩阵法——半定量方法半定量方法z保护层分析——定量方法定量方法危险与可操作性分析（危险与可操作性分析（HAZOPHAZOP））z什么是HAZOPHAZOP（HAZardandOPerabilitystudy）是“危险与可操作性分析”的简称，是一种结构化和系统化的检查被定义系统的技术。它的目标是：l-识别系统中潜在的危险-识别系统中潜在的操作性问题危险与可操作性分析（危险与可操作性分析（HAZOPHAZOP））过程描述与设计目标的偏差是怎么产生的?会对安全和操作性造成影响吗?要采取什么必要的措施?危险与可操作性分析（危险与可操作性分析（HAZOPHAZOP））zHAZOP的目的1.针对过程的安全性和可操作性，辨识出所有可能存在的隐患及其可能的成因；2.辨析当前的设计是否充分考虑到了a中辨识出的所有隐患及成因，并可以有效的将后果控制在可接受的水平；3.如果没有，则给出修改建议；4.通过降低过程风险和提高操作效率，将公司的设备价值发挥到最大化；5.依据公司目标，给出符合成本效益的风险缓解建议措施；6.给出符合成本效益的措施建议，以提高操作运行的盈利能力；危险与可操作性分析（危险与可操作性分析（HAZOPHAZOP））zHAZOP工作组至少包括如下人员：至少包括如下人员：·HAZOP主席·HAZOP秘书·工艺系统工程师·仪表工程师·安全工程师·操作／开车人员代表·业主代表危险与可操作性分析（危险与可操作性分析（HAZOPHAZOP））zHAZOP所需资料在在HAZOPHAZOP分析前必须收集的资料包括：分析前必须收集的资料包括：·工艺流程图（PFD）·管道和仪表流程图（P&ID）·设计基础·工艺控制说明·仪表控制逻辑图或因果图·总平面布置图………危险与可操作性分析（危险与可操作性分析（HAZOPHAZOP））节点1节点1参数1参数1参数2参数2参数n参数n引导词2引导词2引导词1引导词1引导词n引导词n偏差1偏差1偏差2偏差2偏差n偏差n..............节点n节点n如:压缩机制冷压力容器输气管线…如:压力温度流量密度…如:过高过低相反…如:压力过高温度过低反向流动…原因；后果；措施；建议；HAZOPHAZOP分析流程分析流程危险与可操作性分析（危险与可操作性分析（HAZOPHAZOP））节点偏差类型图纸设计条件设备位号参数引导词偏差原因后果现有措施建议措施响应方状态11.11.22表2HAZOP分析工作表危险与可操作性分析（危险与可操作性分析（HAZOPHAZOP））zHAZOP标准IEC61882:2001Hazardandoperabilitystudies(HAZOPstudies)–Applicationguide危险与可操作性分析（危险与可操作性分析（HAZOPHAZOP））zHAZOP工程具有优势竞争力的机构具有优势竞争力的机构--ITEIITEI功能安全中心功能安全中心11、强大的专家团队、强大的专家团队22、有力的合作伙伴、有力的合作伙伴33、深厚的技术基础、深厚的技术基础44、资深的国际地位、资深的国际地位55、优良的服务理念、优良的服务理念…………小结危险与可操作性分析（危险与可操作性分析（HAZOPHAZOP））风险图法风险图法--概述概述z一种定性方法z需要与过程和基本过程控制系统相关的风险因素的知识z使用了许多参数，这些参数共同描述了当安全仪表系统失效或不可用时危险情况的种类。这些参数：—允许对风险进行分级评估，和—表示关键的风险评估因素。z从每4个一组中选择一个参数，然后把选择的这些参数组合起来，从而决定分配给仪表安全功能的安全完整性等级。z适用于其他需要确定风险降低需求的地方，如：严重的环境破坏或资产损失风险图法风险图法--概述概述z该方法在DINV19250(1994，控制技术：测量和控制装置应考虑的基本安全方面)和VDI/VDE2180中做了描述z在这里重点关注在过程工业和机械领域中的应用z该方法已使用多年并已被德国过程工业和机械部门所接受。z该方法已被TUV（德国鉴定测试实验室）和负责工业部分的德国管理当局接受。风险图法风险图法--综合综合法法z风险图基于风险与危险事件的后果及频率成正比的原理。z假设不存在安全仪表系统。(但BPCS和监视系统等典型的非安全仪表系统已安装到位）。z后果考虑：对健康或者安全的伤害，或，来自环境破坏的伤害。z频率则是下列各项的组合：—出现在危险区域的频率和潜在的暴露时间；—避免危险事件的可能性；以及—在安全仪表系统不到位（但所有的其他外部风险降低设施是在工作的）的情况下发生危险事件的概率——它被称为不期望发生的概率。风险图法风险图法--综合法综合法z这就产生了以下4个风险参数：—危险事件的后果（C）；—出现在危险区域的频率与暴露时间的乘积（F）；—避免危险事件后果的可能性（P）；—不期望发生的概率（W）。z当使用风险图确定在连续模式下起作用的一个安全功能的安全完整性等级时，需考虑改变风险图中所使用的那些参数。这些参数应代表与所涉及的应用特点最密切相关的那些风险因素。风险图法风险图法--综合法综合法z当为了保证把风险降低到允许水平而需要作某些调整时，则需考虑安全完整性等级与参数判定结果的映射。例如：参数W被重新定义成系统处于运行状态下的寿命的百分数。在危险并不一直存在并且一年中一次失效导致危险的时段很短的情况下，应选择W1。注：在此例中，对于所涉及的判定准则和被复审的完整性等级结果来说，要保证允许风险还需考虑其他参数。风险图法风险图法--实现实现图E1DINV19250风险图一人员保护风险图法风险图法--实现实现表E1与风险图有关的数据风险参数分级备注C1对人员轻微的伤害C2对一人或多人严重的永久性伤害；一人死亡C3几人死亡C4灾难性影响，很多人死亡F1很少到经常暴露在危险区域中F2经常到永久长时间暴露在危险区域中2、见上述的备注1出现在危险区域中的频率与暴露时间的乘积（F）1、已拟定了用于处理人员伤亡的等级系统。还需拟定用于环境或资产损害的其他分级模式。后果（C）风险图法风险图法--概述概述风险参数等级备注P1在一定条件下有可能P2几乎不可能W1出现不期望发生的事故的概率很小，并且这种事故很可能没有几次W2出现不期望发生的事故的概率不大，并且这种事故很可能只有几次W3出现不期望发生的事故的概率比较大，并且很可能经常发生4、W因素的用途是估计在没有附加任何安全仪表系统（E/E/PE或其他技术）但包含任何外部风险降低设施的情况下不期望发生的事故的频率。不期望发生的概率（W）3、此参数应考虑：—一个过程的运行（被监控（即由熟练的或不熟练的人员操作）或不被监控—危险事件发展的速率（例如突然地、快速地或缓慢地）；—识别危险的难易程度（例如直接就可发现，用技术手段才能检测到或者不用技术手段就能检测到）；—危险事件的避免（例如可能、不可能或在一定条件下可能的逃生通道）；—实际安全经验（这种经验可以通过相同过程或者类似过程获得，也可能不存在这种经验）。避免危险事件后果的可能性（P）表E1与风险图有关的数据（续）风险图法风险图法--实