安全仪表系统及其功能安全

安全仪表系统及其功能安全中国石化青岛安全工程研究院储运及安控技术研究室二〇〇九年九月一、安全仪表系统二、功能安全三、国内外进展四、SIL等级确定与评估五、前期工作六、石油化工行业功能安全现状七、下一步计划一、安全仪表系统（一）相关概念安全相关系统（SRS）SafetyRelatedSystem用于安全目的的系统称之为安全相关系统。安全相关系统的作用是监视生产过程的状态，在出现危险条件时采取相应措施，防止危险发生或者减轻危险造成的后果，避免潜在风险对人身、设备、环境造成伤害。安全相关系统在工业生产和日常生活中随处可见，如安全帽、安全阀、紧急停车系统、汽车的安全气囊等等。安全仪表系统（SIS）SafetyInstrumentedSystem--紧急停车系统（ESD）--火/气保护系统（F&G）--安全联锁系统（SIS）--燃烧炉控制系统（BMS）--高压保护系统（HIPPS）--安全仪表系统是静态的、被动的，不需要人为干预。在危险情况出现时必须能够由静变动，正确完成其功能。安全仪表系统设计目标—正确的功能和良好的可靠性。基本过程控制系统（BPCS）BasicProcessControlSystem--基于DCS--基于PLC的监控系统--基于SCADA--基于常规仪表控制系统--基本过程控制系统是活动的、动态的，需要人工频繁的干预。使生产过程的温度、压力、液位、流量等工艺参数维持在规定的范围之内，以保证产品的产量与质量。安全仪表功能SIFSafetyInstrumentedFunction--每个SIF针对特定的风险--每套SIS可以执行多个SIF--安全功能和安全仪表功能--危险出现时，要求SIS正确执行对应的SIF（二）作用监视生产过程的状态，在出现危险的条件时，自动执行其规定的安全仪表功能，防止危险事件发生，或减轻危险事件造成的影响。安全仪表系统在保护层中的位置层次名称说明第一层过程设计过程设计中实现本质安全工厂第二层基本过程控制系统（BPCS）如DCS，以正常运行的监控为目的第三层区别于BPCS的重要报警操作员介入需要有一定的必要余度时。第四层安全仪表系统（SIS）系统自动地使工厂安全停车。第五层物理防护层（一）安全阀泄压、过压保护系统第六层物理防护层（二）将泄漏液体局限在局部区域的防护堤第七层工厂内部紧急应对计划工厂内部的应急计划第八层周边区域防灾计划周边居民、公共设施的应急计划1保护层模型（洋葱模型）社区紧急响应全厂紧急响应物理防护(防护堤)物理防护(释放设备)SIS自动动作关键报警,操作员监控,人工干预基本控制,工艺报警,操作员监控工艺设计LAH1ILOPALayerofprotectionanalysis减轻预防SISBPCS（三）标准定义关键词：安全功能传感器逻辑运算器执行元件ANSI／ISAS84.01—1996Applicationofsafetyinstrumentedsystemsfortheprocessindustries由传感器、逻辑控制器及终端元件组成的系统，其目的是出现故障时，将过程处于安全状态。SH/T3018-2003石油化工安全仪表系统设计规范用仪表实现安全功能的系统。系统包括传感器，逻辑运算器，最终执行元件及相应软件等。IEC61511（GB/T20119）Functionalsafety:safetyinstrumentedsystemsfortheprocessindustrysector用来完成一个或多个安全仪表功能的仪表系统。安全仪表系统由传感器，运算器和最终元件组合而成。二、功能安全（一）典型事故印度—博帕尔(BHOPAL)1984年12月3日剧毒气体泄漏:异氰酸甲酯MethylIsocyanate联碳(印度)有限公司•泄漏气体：异氰酸甲酯MethylIsocyanate•6套安全系统无一起作用•3000人因吸入剧毒气体死亡(41吨)•500,000人受到影响•没有逃生计划•由于没有察觉和准备、没有接受培训，应急响应失效•20,000人死亡•120,000人仍然遭受疾病困扰•化工厂最为严重的事故2005年8月,+20,000人因此死亡1994年7月英国Millford炼厂（Shell）•20吨可燃气体泄漏（从火炬放空罐）•爆炸相当于4吨烈性炸药•26人伤亡•$7500万重建•$320,000罚金和$200,000诉讼费2004年7月30日GAStransport（气体输送）-比利时©HIMA2008气体管线爆炸Gellingen-比利时2004.07.3024人死亡132人受伤•安全系统已经发现泄漏，提示停•影响后续电厂，当地市区30%电力•坚持运转，七人一组寻找漏点•一组找到漏点，恰逢燃爆，当场全部死亡仅有安全系统是不够的2005年10月10日英国Buncefield储油终端爆炸和火灾事故爆炸和大火从2005年12月11日早6点开始，直至13日的下午才完全扑灭。共有8人遇难和43人受到严重伤害。希思罗机场（HeathrowAirport）30％的航空用油由该油库供应。由于其中通讯公司设施的损坏，影响了大范围互联网用户的业务。由于大量泡沫灭火剂的使用，对地下水构成了威胁。由于对公众的伤害，导致了大量的法律诉讼，即使到2009年6月，仍有与该事故有关的诉讼案件在法院开庭。2005年10月10日晚7时，开始向912＃储油罐输入无铅汽油。午夜时分，对储罐的液位进行检查，没有发现异常。11日凌晨3时左右，912＃罐的液位不再变化，但此时仍在以550m3/h的流量泵入汽油。计算表明，在5时20分储罐冒顶并开始溢出，到6时爆炸发生前的40分钟，大约有300吨汽油从罐壁流向地面。在罐的周围有半封闭的围堰，溢流出的汽油拦在了围堰内，但在油面形成了1到2米厚的油气云团，并向四周扩散。没有证据找出准确的点火源，不排除应急发电机和消防泵系统。1988年7月6日PiperAlpha采油平台意外事故（西方石油OccidentalPetroleum）PiperAlpha采油平台投产于1976年，起初只生产石油。到1980年代，增加了天然气开采。通过海管将油气输送Flotta石油终端。在PiperAlpha平台的周围，还有Claymore平台、Tartan平台，以及天然气处理平台MCP-01。PiperAlpha平台日产原油12.5万桶，是北海油田生产量最大的平台，油气产量占北海油田的10％左右。爆炸和火灾意外事故时，共有226人在平台上。PiperAlpha平台被爆炸和大火摧毁，共导致167人丧生，合计保险损失34亿美元。•平台上有2-G-100A和2-G-100B两台LPG凝液泵，在泵的出口各装有一个安全阀，PSV504和PSV505。对A泵进行检修，B泵维持生产。另一张检修工作票－对PSV504安全进行校验。•发生爆炸时，因防火墙当初按照火灾而非爆炸设计，碎片又摧毁了一些凝液管道，引发火灾。•自动灭火系统正处于手动启动状态。•控制室失去功能，广播系统不能发布撤退指令；大火阻止了前往救生艇的通路。•PiperAlpha处于灾难之中时，Claymore和Tartan仍通过海管向其泵入油气。操作规程不允许轻易地停产，停车成本非常高。•从1988年到1990年，通过对事故的调查和研究，给出了106条建议，改进生产的操作规程和安全管理程序。2005年12月13日中国石油吉林石化分公司双苯厂爆炸•相关信息–位置:吉林市–日期:2005年11月13日–因操作工违反操作规程在预热器停止进料后没关闭加热蒸汽阀门、重新进料时又先打开蒸汽阀门而引发的一起爆炸事故。–后果:8死1重伤59轻伤直接经济损失6908万松花江水污染工艺技术规范44.1%安装&开车5.9%操作&维护14.7%基于英国调查的34起事故,HSE更改20.6%设计&工程实施14.7%典型事故表明：几乎所有事故都与安全仪表系统有关，必须重视安全仪表系统的设计，并保证其安全功能的可靠执行。仅有安全仪表系统是不够的，要有正确的理念和管理。技术措施+管理措施（二）基本概念安全功能：是指针对特定的危险事件，为达到或保持过程的安全状态，由安全仪表系统（SIS）、其他技术安全相关系统或外部风险降低设施实现的功能。功能安全：与过程和基本过程控制系统（BPCS）有关的整体安全的组成部分，它取决于安全仪表系统（SIS）和其他保护层的正确行使职能。如果SIS本身的随机、公共原因和系统故障没有使其所执行的安全功能失效，没有造成人员伤亡，未引起外溢污染环境，没有毁坏关键设备，SIS就做到了功能安全。安全功能：正确功能安全：可靠（三）功能安全标准IEC61508FunctionalSafetyofelectrical/electronic/programmableelectronicsafetyrelatedsystems.(2000）GB/T20438电气\电子\可编程电子安全相关系统的功能安全（2006）IEC61511Functionalsafety:safetyinstrumentedsystemsfortheprocessindustrysector(2003)GB/T21109过程工业领域安全仪表系统的功能安全（2007）IEC61508和IEC61511的应用范围•IEC61508•功能安全的通用标准•IEC61511•面向应用的过程工业的功能安全标准•IEC61508针对过程工业的补充•考虑过程工业的整体安全生命周期制造商和设备供货方IEC61508SIS设计人员集成商和最终用户IEC61511过程工业安全仪表系统(SIS)标准基础：DINV19250(1994)《控制技术，测量和控制设备必须考虑的基本安全》，规定安全相关系统必须满足一定的安全等级（AK1至8级），与其使用对象的风险分析级别对应。世界上第一个工业安全设备分级标准。DINVVDE0801《安全相关系统的计算机原理》，确定了专门的措施用于评估PES，解决设计、编码、执行和综合、确认等问题。功能安全的概念也由此产生。DINVVDE0801提供了一种确定PES满足DINV19250级别的方法。ISAS84.01（1996）《过程工业安全仪表系统的应用》，第一次提出了安全完整性水平（简称SIL）的概念，它是衡量一个系统安全性可靠性和完整性的综合指标。•TÜV(1984)•DINV19250/VDEV0801(德国)–风险分级1989–安全系统要求•不同国家各自的标准•ANSI/ISAS84.01(美国)1996–安全实施程序–安全生命周期•NFPA/UL1998IEC615081998-99–完整的安全生命周期–安全计划／安全管理–安全完整性等级SIL–安全系统的诊断要求–安全系统的结构和可靠性功能安全标准IEC61508IEC61800电子设备IEC61513核电EN50126铁路IEC60601医药IEC62061机械EN50156熔炉IEC61511过程工业IEC61508IEC61508安全防护神规范错误设计和实施失效安装和开车错误操作和维护错误更改错误随即硬件失效（四）特点--功能安全是以基于风险的方法，用安全系统功能的可靠执行来保证安全。--功能安全技术标准研究的对象是安全系统。--功能安全是通过合适的技术与管理措施，把安全系统的整体风险控制在要求的目标之内。--功能安全是安全科学与工程、控制科学与工程的交叉学科。IEC61508标准，解决了困扰多年的对复杂安全系统功能安全保障的理论与实践问题，实现了安全技术和管理理论的一大突破。IEC61508/61511标准最鲜明的思路是：--采用基于危险和风险分析的方法，确定电气、电子、可编程电子安全系统的“安全功能”和“功能安全”的要求和量化指标。--采用安全生命周期的架构，使各组织机构、部门、人员以及各阶段的工作纳入完整的、无缝衔接的统一体系。--它把功能安全管理纳入安全生命周期，最大限度地避免系统性失效造成的整体安全性降低。（五）两个重要概念--安全完整性等级SIL（SafetyIntegrityLevel）：在规定