安全儀表系統(tǒng)SIF應(yīng)用中幾個(gè)問(wèn)題的討論

關(guān)于SIF&IEC61511(GBT21109)王世煌討論內(nèi)容簡(jiǎn)化公式、事故樹(shù)和Markov三種驗(yàn)證方法的具體應(yīng)用和優(yōu)缺點(diǎn)

共因失效的種類(lèi)，怎么在驗(yàn)證中考慮共因失效，共因失效系數(shù)β和βD怎么確定？是否有推薦的數(shù)值可以采用，而不需做具體的分析，直接取這個(gè)值做驗(yàn)證計(jì)算

針對(duì)化工裝置，SRS需要哪些內(nèi)容proveninuse/prioruse都需要做些什么內(nèi)容，SRS和驗(yàn)證是否需要這個(gè)內(nèi)容FGS安全等級(jí)的分析方法和驗(yàn)證方法

SIL驗(yàn)證-馬爾可夫模型馬爾可夫模型是一個(gè)決定復(fù)雜設(shè)備(邏輯處理器)的安全可用度和可靠度之模擬方法它不建議用在整個(gè)安全儀表系統(tǒng)或甚至單一的安全儀表功能的計(jì)算中馬爾可夫模型采用狀態(tài)轉(zhuǎn)換圖形，它是系統(tǒng)可靠度性能的圖形化表示針對(duì)系統(tǒng)隨時(shí)間表現(xiàn)出的可靠性行為建模系統(tǒng)被視作一系列狀態(tài)單元，這些狀態(tài)單元或者處于故障狀態(tài)或者處于功能狀態(tài)系統(tǒng)從整體上，可能存在許多狀態(tài)如果一個(gè)狀態(tài)單元處于故障或者維修，系統(tǒng)從一個(gè)狀態(tài)“轉(zhuǎn)移到”另一個(gè)狀態(tài)簡(jiǎn)單的馬爾可夫模型1系統(tǒng)ok2系統(tǒng)失效失效率λ=0.01修復(fù)率μ=0.5馬爾可夫計(jì)算的時(shí)間步驟1221121212121210.990.990.990.010.010.010.50.50.50.50.990.010.50.50.97030.00980.004950.004950.004950.000050.00250.0025T=0T=1T=2T=3時(shí)間狀態(tài)1狀態(tài)201010.990.0120.98510.014930.98270.0173馬爾可夫矩陣馬爾可夫矩陣：Λ==Λ(1,1)=1–outgoingtransitionsofstate1=1–λΛ(1,2)=outgoingtransitionsofstate1=λΛ(2,2)=1-outgoingtransitionsofstate2=1–μΛ(2,1)=outgoingtransitionsofstate2=μ***…..1oo2表決的馬爾可夫模型系統(tǒng)無(wú)故障運(yùn)行由于故障，系統(tǒng)降級(jí)，但仍在運(yùn)行由于多個(gè)故障，系統(tǒng)無(wú)法執(zhí)行其設(shè)計(jì)功能１２３2λdλd2oo3表決的馬爾可夫模型系統(tǒng)無(wú)故障運(yùn)行由于故障，系統(tǒng)降級(jí)，但仍在運(yùn)行由于多個(gè)故障，系統(tǒng)無(wú)法執(zhí)行其設(shè)計(jì)功能１２３3λd2λd1oo2D表決的馬爾可夫模型8Failedtofunction9Spurioustrip1NormallyOperating2Degraded3Degraded4Spurioustrip7Spurioustrip6Failedtofunction5FailedtofunctionλDU,CCμTIλDD+S,CCμMTTR2λDUμTI2λDD+SDμMTTRμMTTR2λSUλDU2μTIλDD+SDμMTTRλDUμTIλDD+S2μMTTR對(duì)馬爾可夫分析的評(píng)價(jià)馬爾可夫分析的優(yōu)點(diǎn)非常詳細(xì)在一個(gè)模型中對(duì)系統(tǒng)完全描述可以模擬維修模擬順序關(guān)連馬爾可夫分析的缺點(diǎn)分析過(guò)程復(fù)雜模型建立困難，特別是由非專(zhuān)家確認(rèn)檢驗(yàn)，不過(guò)非專(zhuān)家也可進(jìn)行該分析模型可能會(huì)變得很大(存在大量的狀態(tài)時(shí))總體上，對(duì)于每個(gè)系統(tǒng)的變化，需要重新建立整個(gè)模型故障樹(shù)分析范例(1)高放熱反應(yīng)潛在的危害是什么?后果是什么?原因是什么?此原因是否是基本事件?有什么保護(hù)措施?FICTISHHH故障樹(shù)分析范例(1)反應(yīng)器爆炸失控反應(yīng)破裂盤(pán)故障流量控制迴路故障溫度聯(lián)鎖故障流量控制器故障流量控制閥故障熱電偶及繼電器故障緊急關(guān)斷閥無(wú)法關(guān)閉3.6x10-4F/YR

1.8x10-2F/YR

0.02probabilityoffailureondemand0.3F/YR

0.060.2F/YR

0.1F/YR

0.05Probabilityoffailureondemand0.01Probabilityoffailureondemand保護(hù)層2保護(hù)層1E/E/PES(SIS)故障樹(shù)分析范例(2)SIL驗(yàn)證-簡(jiǎn)化方程式簡(jiǎn)化公式方法為工程師提供了依照IEC-61511而設(shè)計(jì)的安全儀表功能里的典型配置中所需估計(jì)的PFDAvg數(shù)學(xué)值要遵循的步驟。這個(gè)程序適用于SIL1和SIL2的安全儀表功能安全儀表功能(SIF)表實(shí)例安全儀表功能名稱(chēng)/編號(hào)

安全儀表功能說(shuō)明

危害/后果

安全儀表功能設(shè)計(jì)架構(gòu)

安全完整性等級(jí)

MCR反應(yīng)器保護(hù)/I-01

Causes:FIRSA-R0101低低流量；TIC?R0107A~D/TIC?R0110A~D高高溫Effects:關(guān)斷HV-R0101、PV-E0401；開(kāi)HV-R0102、HV-R0102B(新增)大量補(bǔ)蒸汽

反應(yīng)器催化劑失去流化，導(dǎo)致死床、悶床，嚴(yán)重時(shí)局部過(guò)熱或飛溫造成反應(yīng)器燒穿，烯烴外泄造成火災(zāi)爆炸。

Sensor:Group1:FIRSA-R0101(1oo1)Group2:TIC-R0107A~D/TIC-R0110A~D(3oo8)Groupvoting:1oo2Finalactuator:Group1:HV-R0101、PV-E0401(1oo2)Group2:HV-R0102、HV-R0102B(1oo2)Groupvoting:2oo2SIL2TIC-R0107A~D/TIC-R0110A~D(3oo8)FIRSA-R01011oo2Logicsolver(SIL3)2oo21oo2HV-R0101PV-E0401HV-R0102SIL3SIL1SIL4SIL2SIL1SIL1SIL1結(jié)構(gòu)約束SIL驗(yàn)算(Verification)

ISATR84.00.02Sensorpart:PFDavg,s1=PFDavg,s1,i+PFDavg,s1,ccf=0+1/2βλDUt=0.5×0.05×550×10-9×17520=2.41×10-4PFDavg,s2=1/2λDUt=0.5×3600×10-9×17520=3.15×10-2PFDavg,s=PFDavg,s1×PFDavg,s2=2.41×10-4×3.15×10-2

=7.59×10-6

LogicSolver:PFDavg,L=1/2λDUt=0.5×241×10-9×17520=2.11×10-3

FE:PFDavg,v1=1/3(λDU1

λDU2)t2

=1/3×(3225×10-9×17520)2

=1.06×10-3PFDavg,v2=1/2λDUt=0.5×1925×10-9×17520=1.69×10-2PFDavg,v=PFDavg,v1+PFDavg,v2=1.06×10-3+1.69×10-2

=1.8×10-2PFDavg=PFDavg,s+PFDavg,L+PFDavg,v=7.59×10-6+2.11×10-3+1.8×10-2=2.01×10-2SIL2?

TIC-R0107A~D/TIC-R0110A~D(3oo8)FIRSA-R01011oo2Logicsolver(SIL3)2oo21oo2HV-R0101PV-E0401HV-R0102SIL3SIL1SIL4SIL2SIL2SIL2結(jié)構(gòu)約束

-21oo2HV-R0102BSIL2SIL驗(yàn)算-2PFDavg,v2=1/3((1-β)λDUt)2＋1/2βλDUt

=1/3×(0.95×1925×10-9×17520)2+0.5×0.05×1925×10-9×17520=3.42×10-4+8.43×10-4=1.19×10-3PFDavg,v=PFDavg,v1+PFDavg,v2=1.06×10-3+1.19×10-3

=2.25×10-3PFDavg=PFDavg,s+PFDavg,L+PFDavg,v=7.59×10-6+2.11×10-3+2.25×10-3=4.36×10-3

→SIL2

共同原因失效(CCF)共同原因失效：?jiǎn)我还收显磳?dǎo)致一個(gè)系統(tǒng)內(nèi)的多個(gè)部件故障。該故障源可能是系統(tǒng)內(nèi)的，也可能是系統(tǒng)外的共同原因失效是由共同的根源導(dǎo)致的（類(lèi)似）部件失效，而不是因系統(tǒng)中其它部件的失效連帶引發(fā)的。根源是指共同的環(huán)境塵埃，空氣濕度，無(wú)線電射頻干擾等，還有例如共享一個(gè)電源停電、強(qiáng)烈的電磁或震動(dòng)干擾、共處高熱環(huán)境、系統(tǒng)設(shè)計(jì)不當(dāng)失效、維修人為錯(cuò)誤、多重通道之間未做隔離等例如：如果冷卻風(fēng)扇故障(單一點(diǎn)失效)，一個(gè)多信道PE系統(tǒng)的所有信道都可能故障，導(dǎo)致共同原因失效。然而，并不是說(shuō)所有信道以相同的速度變熱，或有相同的臨界溫度。因此，不同的通道會(huì)在不同的時(shí)間失效（多樣的：使用不同的技術(shù)，設(shè)備或設(shè)計(jì)方法來(lái)實(shí)現(xiàn)共同的功能，其用意是將共同原因故障減至最少）共因失效與隨機(jī)失效及系統(tǒng)性失效之關(guān)系共同原因失效的解讀一般僅限于硬件失效－即與硬件制造商有最大關(guān)系的領(lǐng)域試圖對(duì)系統(tǒng)性失效進(jìn)行建模分析是不可行的(例如軟件錯(cuò)誤)危險(xiǎn)共因失效率：λDUβ+λDDβD防止共因失效的措施包括設(shè)計(jì)對(duì)策及人為管理對(duì)策等。將IEC61508-6,AnnexD,TableD.1中對(duì)于已實(shí)行對(duì)策項(xiàng)目，進(jìn)行積分的加總。共同原因失效因子(CCFFactor)(IEC61508-6,AnnexD,TableD.1)Failure

channel2CommonCauseFailureCCFFailure

channel1共同原因失效因子(CCFFactor)(IEC61508-6,AnnexD,TableD.1)β=不可能檢測(cè)到的危險(xiǎn)失效的共因失效因子β值可由IEC61508-6,AnnexD,TableD.4查得S值決定S=X+Y(X值與Y值可由IEC61508-6,AnnexD,TableD.1決定)βD=可能檢測(cè)到的危險(xiǎn)失效的共因失效因子βD值可由IEC61508-6,AnnexD,TableD.4查得SD值決定SD=X(Z+1)+Y(Z值可由IEC61508-6,AnnexD,TableD.2&D.3決定)規(guī)程/人機(jī)界面能力/培訓(xùn)/安全素養(yǎng)環(huán)境的控制環(huán)境測(cè)試分離/隔開(kāi)多樣性與冗余復(fù)雜性/設(shè)計(jì)/應(yīng)用/老化/經(jīng)驗(yàn)評(píng)估/分析及數(shù)據(jù)反饋防止共因失效的措施的評(píng)分項(xiàng)目共計(jì)8大類(lèi)：決定共同原因失效因子(IEC61508-6,AnnexD,TableD.1)決定共同原因失效因子(IEC61508-6,AnnexD,TableD.2&3)決定共同原因失效因子(IEC61508-6,AnnexD,TableD.4)IEC61511/GB-T21109SIS安全生命周期管理功能安全管理、評(píng)估及稽核安全生命周期架構(gòu)及規(guī)畫(huà)危害及風(fēng)險(xiǎn)評(píng)估第8章分配安全功能至各保護(hù)層第9章操作及維護(hù)第16章第6.2章系統(tǒng)除役第18章系統(tǒng)修改第17章分析階段運(yùn)轉(zhuǎn)階段第5章擬定安全儀表系統(tǒng)之安全需求規(guī)范第10及12章安裝、試俥及確認(rèn)第14及15章其它風(fēng)險(xiǎn)降低方法之設(shè)計(jì)及開(kāi)發(fā)第9章安全儀表系統(tǒng)之設(shè)計(jì)及工程第11及12章第7、12.4及12.7章驗(yàn)證(強(qiáng)制評(píng)估點(diǎn))實(shí)現(xiàn)階段加氫飽和裝置

HAZOP工藝偏離可能原因危害/后果既有防護(hù)措施嚴(yán)重性可能性風(fēng)險(xiǎn)等級(jí)改善建議高流量(氫氣)高流量(低壓蒸汽)低/無(wú)流量(C4)

1.FT/FIC/FV-1017故障開(kāi)度過(guò)大或全開(kāi)2.FT/FIC-1008故障高訊號(hào)3.AT/AIC-1001H2calculator失效1.TT/TIC-1019故障訊號(hào)偏低，造成FIC-1019開(kāi)度過(guò)大2.FT/FIC/FV-1019故障開(kāi)度過(guò)大或全開(kāi)3.LT/LIC-1014故障低訊號(hào)FT/FIC/FV-1008故障開(kāi)度過(guò)小1.氫氣高流量造成過(guò)度氫化反應(yīng)，使副反應(yīng)(丁烷)增加2.過(guò)度氫化反應(yīng)導(dǎo)致R-103高溫，嚴(yán)重時(shí)造成溫度失控，高溫?zé)品磻?yīng)器導(dǎo)致泄漏，可能造成火災(zāi)爆炸。氫化反應(yīng)器烯烴聚合，導(dǎo)致催化劑結(jié)焦，嚴(yán)重時(shí)會(huì)造成熱斑或溫度失控，同R-103溫度過(guò)高。1.使副反應(yīng)(丁烷)增加2.烯烴在R-103中偏流導(dǎo)致局部過(guò)熱，嚴(yán)重時(shí)造成失控反應(yīng)。R-103設(shè)有TT-1037～1048A/B/C(2oo3)高溫報(bào)警及高高溫報(bào)警并聯(lián)鎖關(guān)斷UV-1026A、UV-1026BR-103設(shè)有TT-1037～1048A/B/C(2oo3)高溫報(bào)警及高高溫報(bào)警并聯(lián)鎖關(guān)斷UV-1029FALL-1013A/B/C聯(lián)鎖關(guān)斷氫氣進(jìn)料UV-1026A/B、低壓蒸汽UV-1029、E-106進(jìn)料TV-1015A、旁路E-106(開(kāi)1015B)5552323431.TIC-1019增設(shè)高溫報(bào)警2.建議將FV-1019納入IS-1001終端關(guān)斷器，修改為1oo2Voting可同時(shí)關(guān)斷控制閥FV-1019與UV-1029HAZOP結(jié)合保護(hù)層分析(LOPA)123456789101112影響事件描述嚴(yán)重性等級(jí)引發(fā)原因引發(fā)可能性一般過(guò)程設(shè)計(jì)基本過(guò)程控制系統(tǒng)報(bào)警附加減輕，限制進(jìn)入獨(dú)立保護(hù)層中間的事件可能性安全儀表功能完整性等級(jí)已減輕事件的可能性過(guò)度氫化反應(yīng)導(dǎo)致R-103高溫，嚴(yán)重時(shí)造成溫度失控，高溫?zé)品磻?yīng)器導(dǎo)致泄漏，可能造成火災(zāi)爆炸。

5FT/FV-1017故障全開(kāi)FT/FV-1019故障全開(kāi)FT/FV-1008故障開(kāi)度過(guò)小DCS故障

0.15/year0.05/year11110.110.10.1111.5E-3/year5E-3/year6.5E-3/year1.6E-3(SIL2)1E-5/year安全需求規(guī)範(fàn)(SRS)-1SIF名稱(chēng)IEC61511-1條文：10.3.1a

選擇性氫化第一級(jí)反應(yīng)器R-103保護(hù)回路

危害事件說(shuō)明IEC61511-1條文：10.3.1d

C4進(jìn)料FT/FIC-1008故障高訊號(hào)、R-103進(jìn)料管在線AT/AIC-1001及H2calculator失效、FT/FIC/FV-1017故障開(kāi)度過(guò)大或全開(kāi)等導(dǎo)致氫氣補(bǔ)充氣進(jìn)料過(guò)高；或R-103入口TT/TIC-1019故障訊號(hào)偏低，造成FIC-1009開(kāi)度過(guò)大、R-103預(yù)熱器E-101冷凝罐D(zhuǎn)-107液位LT/LIC-1014故障低訊號(hào)、FT/FIC/FV-1019故障開(kāi)度過(guò)大或全開(kāi)等導(dǎo)致低壓蒸汽熱源供應(yīng)過(guò)高，過(guò)度氫化反應(yīng)造成R-103烯烴聚合，甚至催化劑結(jié)焦，嚴(yán)重時(shí)會(huì)造成溫度失控。C4進(jìn)料FT/FIC/FV-1008故障開(kāi)度過(guò)小，烯烴在R-103中偏流導(dǎo)致局部過(guò)熱，嚴(yán)重時(shí)亦會(huì)造成溫度失控。高溫?zé)品磻?yīng)器導(dǎo)致泄漏，可能造成火災(zāi)爆炸。安全需求規(guī)範(fàn)(SRS)-2安全狀態(tài)

IEC61511-1條文：10.3.1c停進(jìn)料/關(guān)出料/裝置停車(chē)/排火炬起始事件

IEC61511-1條文：--

FT/FIC/FV-1017故障全開(kāi)；FT/FIC/FV-1019故障全開(kāi)；FT/FIC/FV-1008故障開(kāi)度過(guò)小操作模式

IEC61511-1條文：10.3.1h低需求(LowDemand)SIF需求率IEC61511-1條文：10.3.1e0.2/year

安全需求規(guī)範(fàn)(SRS)-3SIL等級(jí)需求

IEC61511-1條文：10.3.1hSIL2檢驗(yàn)測(cè)試周期

IEC61511-1條文：10.3.1f

3yearsSIF應(yīng)答時(shí)間

IEC61511-1條文：10.3.1g5～10sec工藝應(yīng)答時(shí)間

IEC61511-1條文：10.3.1g＞5min保護(hù)方式

IEC61511-1條文：10.3.1m失能(De-energize)安全需求規(guī)範(fàn)(SRS)-4手動(dòng)停車(chē)

IEC61511-1條文：10.3.1l有

停機(jī)后復(fù)位

IEC61511-1條文：10.3.1n手動(dòng)與基本過(guò)程控制系統(tǒng)(BPCS)及其它系統(tǒng)關(guān)系IEC61511-1條文：10.3.1rDCS按鈕(HS-1004B、HS-1011)，閥位狀態(tài)(ZLO/ZLC-1026A、ZLO/ZLC-1026B、ZLO/ZLC-1029)訊號(hào)送至DCS顯示高溫報(bào)警(TAH-1037～TAH-1048)及高高溫報(bào)警(TAHH-1037A/B/C～TAHH-1048A/B/C)、低低流量報(bào)警(FALL-1013A/B/C)訊號(hào)送至DCS顯示工藝凌駕POSIEC61511-1條文：10.3.1u開(kāi)車(chē)期間以HS-1004BBypass低低流量關(guān)斷UV-1026A/B功能安全需求規(guī)範(fàn)(SRS)-5傳感器次系統(tǒng)

表決：1oo2傳感器群組1：TT-1037A/B/C～1048A/B/C表決：1oo12傳感器群組1.1：TT-1037A/B/C表決：2oo3聯(lián)鎖動(dòng)作：高高溫輸出訊號(hào)至邏輯處理器(SafetyPLC)IEC61511-1條文：10.3.1i

作動(dòng)設(shè)定：108℃IEC61511-1條文：10.3.1i共因失效來(lái)源：相同的組件、共同動(dòng)力源、共同的接線線路、人為因素、類(lèi)似的技術(shù)

IEC61511-1條文：10.3.1b

Beta共因失效因子：5%檢驗(yàn)測(cè)試覆蓋率/測(cè)試條件：95%類(lèi)型：3-WireRTD傳感器群組2：FT-1013A/B/C表決：2oo3聯(lián)鎖動(dòng)作：低低流量輸出訊號(hào)至邏輯處理器(SafetyPLC)

作動(dòng)設(shè)定：72.3M3/