收藏
下载资源 加入VIP免费专享

安全仪表系统设计与SIL的计算方法.docx

上传人:罗晋 文档编号:6198499 上传时间:2020-09-22 格式:DOCX 页数:35 大小:1.33MB
返回 下载 相关 举报
安全仪表系统设计与SIL的计算方法.docx_第1页
第1页 / 共35页
安全仪表系统设计与SIL的计算方法.docx_第2页
第2页 / 共35页
安全仪表系统设计与SIL的计算方法.docx_第3页
第3页 / 共35页
安全仪表系统设计与SIL的计算方法.docx_第4页
第4页 / 共35页
安全仪表系统设计与SIL的计算方法.docx_第5页
第5页 / 共35页
点击查看更多>>
资源描述

《安全仪表系统设计与SIL的计算方法.docx》由会员分享,可在线阅读,更多相关《安全仪表系统设计与SIL的计算方法.docx(35页珍藏版)》请在三一文库上搜索。

1、.安全仪表系统设计与SIL 的计算方法左信朱春丽中国石油大学(北京)自动化研究所2008 年 11 月 ?北京 ?自控中心站培训.目录第 1 章 安全仪表系统设计概述 .11.1安全性与可用性 .11.1.1安全仪表系统的安全性 .11.1.2安全仪表系统的可用性 .11.1.3安全性与可用性之间的关系 .21.2安全仪表系统的设计目标 .21.3安全仪表系统的设计原则 .21.3.1基本原则 .21.3.2逻辑设计原则 .31.3.3回路配置原则 .41.4完整的安全仪表回路设计 .41.5安全仪表系统的设计步骤 .5第 2 章安全度等级 SIL 的计算方法 .62.1系统结构介绍 .72.

2、1.11oo1 结构 .72.1.21oo2 结构 .72.1.32oo2 结构 .82.1.42oo3 结构 .82.1.51oo2D 结构 .82.2SIL 的可靠性框图计算方法 .92.2.11oo1 结构的可靠性框图 .92.2.21oo2 结构的可靠性框图 .102.2.32oo2 结构的可靠性框图 .102.2.42oo3 结构的可靠性框图 .112.2.51oo2D 结构的可靠性框图 .112.2.6 术语列表 .122.3SIL 的马尔可夫模型计算方法 .132.3.11oo1 结构的马尔可夫模型 .13.2.3.2 1oo2 结构的马尔可夫模型142.3.3 2oo2 结构的

3、马尔可夫模型162.3.4 2oo3 结构的马尔可夫模型182.3.5 1oo1D 结构的马尔可夫模型202.3.6 1oo2D 结构的马尔可夫模型202.3.7 术语列表222.4 SIL 的故障树分析计算方法242.4.1 1oo1 结构的 PFD 故障树242.4.2 1oo2 结构的 PFD 故障树242.4.3 2oo2 结构的 PFD 故障树252.4.4 2oo3 结构的 PFD 故障树252.4.5 2oo4 结构的 PFD 故障树262.4.6 1oo1D 结构的 PFD 故障树262.4.7 1oo2D 结构的 PFD 故障树272.4.8 2oo2D 结构的 PFD 故障

4、树272.4.9 2oo4D 结构的 PFD 故障树282.4.10 术语列表28第 3 章 计算实例29.第 1 章 安全仪表系统设计概述1.1 安全性与可用性1.1.1 安全仪表系统的安全性安全仪表系统的安全性是指任何潜在危险发生时, 安全仪表系统保证使过程处于安全状态的能力。 不同安全仪表系统的安全性是不一样的, 安全仪表系统自身的故障无法使过程处于安全状态的概率越低, 则其安全性越高。 安全仪表系统自身的故障有两种类型。(1)安全故障当此类故障发生时,不管过程有无危险,系统均使过程处于安全状态。此类故障称为安全故障。对于按故障安全原则 (正常时励磁、闭合 ) 设计的系统而言,回路上的任

5、何断路故障是安全故障。(2)危险故障当此类故障存在时,系统即丧失使过程处于安全状态的能力。此类故障称为危险故障。对于按故障安全原则设计的系统而言, 回路上任何可断开触点的短路故障均是危险故障。换言之,一个系统内发生危险故障的概率越低,则其安全性越高。1.1.2 安全仪表系统的可用性安全仪表系统的可用性是指系统在冗余配置的条件下,当某一个系统发生故障时,冗余系统在保证安全功能的条件下,仍能保证生产过程不中断的能力。与可用性比较接近的一个概念是系统的容错能力。一个系统具有高可用性或高容错能力不能以降低安全性作为代价,丧失安全性的可用性是没有意义的。严格地讲,可用性应满足以下几个条件。 (1)系统是

6、冗余的 ;(2)系统产生故障时,不丧失其预先定义的功能; (3)系统产生故障时,不影响正常的工艺过程。.1.1.3 安全性与可用性之间的关系从某种意义上说, 安全性与可用性是矛盾的两个方面。某些措施会提高安全性,但会导致可用性的下降,反之亦然。例如,冗余系统采用二取二逻辑,则可用性提高,安全性下降;若采用二取一逻辑,则相反。采用故障安全原则设计的系统安全性高,采用非故障安全原则设计的系统可用性好。安全性与可用性是衡量一个安全仪表系统的重要指标,无论是安全性低、 还是可用性低,都会使损失的概率提高。因此,在设计安全仪表系统时,要兼顾安全性和可用性。安全性是前提,可用性必须服从安全性;可用性是基础

7、,没有高可用性的安全性是不现实的。1.2 安全仪表系统的设计目标安全仪表系统设计的目标, 首先是要满足装置的安全度等级要求, 衡量标准在于它能否达到要求平均故障概率 PFDaverage,即要求下的设备失效的可能性。为了达到装置的安全度等级, 系统必须具有高的安全性。 但是,系统的安全性越高,必然使设备停车次数越多,维修时间延长,降低了系统的可用性。而在石化等行业的现实应用当中, 设备停车可能造成重大的经济损失, 这就要求系统既具有高安全性, 又具有高可用性。 安全仪表系统的设计并不是安全性越高越好, 要寻求的是一种最优配置, 即在达到安全度等级的前提下, 合理配置经济实用的系统。因此,在设计

8、安全仪表系统时, 首先要进行风险分析, 确定必要的风险降低指标 ;然后确定 SIL 等级并进行风险分配,以确定安全仪表系统应承担的风险降低指标 ;最后,综合考虑系统的安全性与可用性,对系统的结构进行合理配置。1.3 安全仪表系统的设计原则1.3.1 基本原则SIL设计的基本原则之一, 是应根据 E/E/PES安全要求规范进行设计。 分析确定 SIL的方法,确定的 SIL 就是 E/E/PES设计时要求实现的安全完整性目标。.SIL设计的基本原则之二,是采取一切必要的技术与措施保证要求的安全完整性。为了实现安全完整性,必须同时满足E/E/PES的随机安全完整性要求与系统安全完整性要求,因为随机失

9、效主要是硬件的随机失效。因此,分析时,随机安全完整性就简化为硬件安全完整性。故障检测会影响系统的行为,因此,它与硬件以及系统的安全完整性都相关。1.3.2 逻辑设计原则可靠性原则整个系统的可靠性R0 ( t)是由组成系统的各单元可靠性( R1 ( t) , R2 ( t) ,R3 ( t) 的乘积 ,即R0 ( t) = R1 ( t) R2 ( t) R3 ( t)任何一个环节可靠性的下降都会导致整个系统可靠性的下降。人们通常对于逻辑控制系统的可靠性十分重视,往往忽视检测元件和执行元件的可靠性,使得整套安全仪表系统可靠性低,达不到降低受控设备风险的要求。可靠性决定系统的安全性。可用性原则可用

10、性不影响系统的安全性,但系统的可用性低可能会导致装置或工厂无法进行正常的生产。可用性常用下面公式表示。A = M TB F/ ( M TB F + M T TR)式中A 可用度 ;MTBF 平均故障间隔时间;MTTR 平均修复时间。而对于安全仪表系统对工艺过程的认知过程,还应当重视系统的可用性,正确地判断过程事故 ,尽量减少装置的非正常停工,减少开、停工造成的经济损失。故障安全原则当安全仪表系统的元件、设备、环节或能源发生故障或失效时,系统设计应当使工艺过程能够趋向安全运行或安全状态。这就是系统设计的故障安全型原则。能否实现“故障安全”取决于工艺过程及安全仪表系统的设置。过程适应原则.安全仪表

11、系统的设置必须根据工艺过程的运行规律,为工艺过程在正常运行和非正常运行时服务。正常时安全仪表系统不能影响过程运行,在工艺过程发生危险情况时安全仪表系统要发挥作用,保证工艺装置的安全。这就是系统设计的过程适应原则。1.3.3 回路配置原则为保证系统的安全性和可靠性,以下2 个原则在回路配置时应当加以注意。独立设置原则用于 SIS 和 BPCS(基本过程控制系统 )的信号检测应各自采用检测元件。在 SIL3 级时, BPCS 的控制阀不能用作 SIS 仅有的最终元件 ;在 SIL1 级与 2 级时可以使用,但要做安全性检查。中间环节最少原则一个回路中仪表越多可靠性越差,典型情况是本安回路的应用。在

12、石化装置中,防爆区域在 0 区的情况很少。 因此可尽量采用隔爆型仪表,减少由于安全栅而产生的故障源,减少误停车。1.4 完整的安全仪表回路设计在系统设计选型时, 很容易只要求控制器部分的安全性,忽略了现场仪表的安全要求,实际上安全仪表系统包括了传感单元、逻辑控制单元和最终执行单元,其故障失效率的计算方法如下:PFDSYS = PFDS + PFDL + PFDFE式中: PFDSYS E/E/PE 安全相关系统的安全功能在要求时的平均失效概率PFDS 传感器子系统要求的平均失效概率PFDL 逻辑子系统要求的平均失效概率PFDFE 最终元件子系统要求的平均失效概率传感器子系统逻辑子系统最终元件子

13、系统(传感器及输入接口)(输出接口及最终元件)子系统结构图.1.5 安全仪表系统的设计步骤按照安全生命周期的内容,一套完整的SIS 的设计主要包含以下步骤:( 1)过程系统初步设计 ,包括系统定义、系统描述和总体目标确认。( 2)执行过程系统危险分析和风险评价。( 3)论证采用非安全控制保护方案能否防止识别出的危险或降低风险。( 4)判断是否需要设计安全控制系统 SIS ,如果需要则转第( 5)步 ,否则按常规控制系统设计。( 5)依据 IEC61508 确定对象的安全度等级 SIL 。( 6)确定安全要求技术规范 SRS 。( 7) 完成 SIS 初步设计并检验是否符合 SRS。( 8) 完

14、成 SIS 详细设计。( 9) SIS 组装、授权、预开车及可行性试验。( 10) 在建立操作和维护规程的基础上 ,完成预开车安全评价。( 11) SIS 正式投用 ,操作、维护及定期进行功能测试。( 12)当原工艺流程被改造或在生产实践中发现安全控制系统不完善时,判断安全控制系统是否停用或改进。( 13)如果需要改进 ,则转至第 (2)步进入新的过程安全生命周期设计。.完整的 SIS 设计的步骤第 2 章 安全度等级SIL 的计算方法SIS 系统设计完成之后,其可靠性和安全性的评价标准就是要求时失效概率PFD。其 SIL 等级应该通过计算PFDavg 来确定。.2.1 系统结构介绍2.1.1

15、 1oo1 结构这种结构包括一个单通道。 在这种结构中当产生一次要求时,任何危险失效就会导致一个安全功能失效。1oo1 物理结构图2.1.2 1oo2 结构此结构由两个并联的通道组成, 无论哪一个通道都能处理安全功能。 因此如果两个通道都存在危险失效, 则在要求时某个安全功能失效。 假设任何诊断测试仅报告发现故障,但并不改变任何输出状态或输出表决。1oo2 物理结构图.2.1.3 2oo2 结构此结构由并联的两个通道构成,因此,在发生安全功能之前两个通道都要求功能。假设任何诊断测试仅报告发现故障,并不改变任何输出状态或输出表决。2oo2 物理结构图2.1.4 2oo3 结构此结构由 3 个并联

16、通道构成, 其输出信号具有多数表决安排,这样,如果仅其中一个通道的输出与其他两个通道的输出状态不同时,输出状态不会因此而改变。假设任何诊断测试只报告发现故障,不改变任何输出状态或者输出表决。2oo3 物理结构图2.1.5 1oo2D 结构此结构中由并联的两个通道构成,正常工作期间, 在发生安全功能前, 两个通道都要求安全功能。 此外,如果任一通道中诊断测试检测到一个故障,则将采.用输出表决,因此整个输出状态则按照另一通道给出的输出状态。如果诊断测试在两个通道中同时检测到故障,或者检测到两个通道间存在的差异时,输出则转为安全状态。 为了检测两个通道间的差异,通过一种与另一通道无关的方法,无论其中

17、哪个通道都能确定另一通道的状态。1oo2D 物理结构图SIS 系统设计完成之后,其可靠性和安全性的评价标准就是要求时失效概率PFD。其 SIL 等级应该通过计算PFDavg 来确定。2.2 SIL 的可靠性框图计算方法2.2.1 1oo1 结构的可靠性框图1oo1 可靠性框图通道的等效平均停止工作时间表示如下:t CEDUT1MTTRDD MTTRD2D已被检测和未被检测到的危险失效率如下:DU1DC;DDDC22此结构在要求时的平均失效概率为:PFD GDUDDt CE.2.2.2 1oo2 结构的可靠性框图1oo2 可靠性框图系统等效停止工作时间表示如下:t GEDUT1MTTRDU MT

18、TRD3D此结构在要求时的平均失效概率为:PFD G 2 1DU 1DU1DDDSD t CE t GED DD MTTRDUT1MTTR22.2.3 2oo2 结构的可靠性框图2oo2 可靠性框图此结构在要求时的平均失效概率为:PFD G2 D t CE.2.2.4 2oo3 结构的可靠性框图2oo3 可靠性框图此结构在要求时的平均失效概率为:PFD G6 1DDD1DU2 t CE t GEDDD MTTRDUT1 / 2MTTR2.2.5 1oo2D 结构的可靠性框图每个通道中被检测的安全失效率如下:SD/ 2DCt CEDU / T1 / 2MTTRDDSDMTTR/DUDDSDtGE

19、DU / T1 / 3MTTRDDSDMTTR/DUDDSD1oo2D 可靠性框图此结构在要求时的平均失效概率为:PFD G2 1DU1DU1DDDSDt CE t GE DDD MTTRDUT1 / 2MTTR.2.2.6 术语列表缩略语及符号T1T2MTTRDCDDDDDUSDt CEt GEt CEt GE术语(单位)检验测试时间间隔(h)要求之间的时间间隔平均恢复时间(h)诊断覆盖率(在公式中以一个分数或者百分比表示)具有共同原因的、没有被检测到的失效分数(在公式中用一个分数或者百分比表示)具有共同原因的、已被诊断测试检测到的失效分数(在公式中用一个分数或者百分比表示) (假设2D )

20、子系统中一个通道的失效率(每小时)子系统中通道的危险失效率(每小时),等于 0.5(假设 50%的危险失效和 50%的安全失效)检测到的子系统中通道每小时的危险失效率(它是在子系统通道中所有检测到的危险失效率的总和)未检测到的子系统中通道每小时的危险失效率(它是在子系统通道中所有未检测到的危险失效率的总和)子系统中被检测到的通道每小时的安全失效率(它是在子系统通道中所有检测到的安全失效率的总和)1oo1 、 1oo2、 2oo2、 1oo2D 、 2oo3 结构中通道的等效平均停止工作时间( h)(它是子系统通道中所有部件的组合关闭时间)1oo2 、2oo3 结构中表决组的等效平均停止工作时间

21、(h)(它是表决组中所有部件的组合关闭时间)1oo2D 结构中通道的等效平均停止工作时间(h)(它是子系统通道中所有部件的组合关闭时间)1oo2D 结构中表决组的等效平均停止工作时间(h)(它是表决组中所有部件的组合关闭时间).PFD G表决通道组在要求时的平均失效概率(如果传感器、逻辑或最终元件子系统仅由一个表决组构成,则PFD G 分别等于 PFD S 、 PFD L 或PFD FE )2.3 SIL 的马尔可夫模型计算方法2.3.1 1oo1 结构的马尔可夫模型在 1oo1 的马尔可夫模型中, 状态 0 表示没有失效。 从这个状态, 控制器可达其他 3 个状态,状态 1 表示安全失效状态

22、, 控制器发生失效,其输出非使能(失电或开路)。状态 2 表示检测到的危险失效状态,输出使能而发生失效,但是失效被自诊断检测出可立即进行修复。 状态 3 表示发生了危险失效, 但失效没能被自诊断发现。SDSUFS1SDDDOKFDD02ODUFDU31oo1 结构马尔可夫模型1oo1 结构的状态转移矩阵P 为1SDSDSUDDDUPSD1SD00010OO0001计算 MTTFS 的马尔可夫状态转移图如下图所示.SDSUOKFS01SD1oo1 结构马尔可夫模型MTTFS相应的 Q矩阵为SDSUQ1-1因为 N=I-Q ,故1NSDSU因为 MTTFS 是给定起始状态矩阵N 行元素的和,故1M

23、TTFSSUSD2.3.2 1oo2 结构的马尔可夫模型系统存在 3 个能够执行安全功能的状态。在状态 0。两个通道都正常运行。在状态 1 和 2,一个通道发生危险使得输出短路(使能) 。系统能够继续正常运行是因为另一个通道仍然能够使输出开路(非使能) 。因为状态 1 的危险失效被检测到,所以能够进行在线修复,状态1 会以修复率o 返回到状态 0。状态 3,4,和 5 是系统的失效状态。在状态 3,系统发生安全失效。在状态 4,系统发生检测到的危险失效。在状态 5,系统发生未检测到的危险失效。共因失效会导致系统由状态 0 直接到达状态 4 或状态 5。假设维修过程会检查并修复系统的所有失效,状

24、态 4 通过维修会回到状态0。否则,状态 4 必须拆分为两个状态:一个是两个通道都发生检测到的危险失效,另一个是一个通道发生检测到的危险失效、一个通道发生未检测到的危险失效。前者通过维修回到状态0,后者通过维修回到状态2。.SDCSUC2 SDN 2 SUNSDSystemSFS3Degraded-1FailDetected2DDN1DOOK0S2DUNDDSystemFDD4Degraded-1FailundetectedO2DUDDCDUCSystemFDU51oo2 结构马尔可夫模型1oo2 结构的状态转移矩阵P 为12DDN2DUNSC2SNDDCDUCDO10S0001SDDDUP0

25、0100SDSDO0001 O0000001其中表示矩阵元素所在行除该元素外其他元素之和。相应的 Q矩阵为1Q SDCSUC其中 A 12SA 2A 3A 12 DDN2 DUND1A 20OD01A3SDN2SUN.SDCSUC2 SDN 2 SUNSDSSystemFS3Degraded-1FailDetected2 DDN1ODOKS02DUNDDDUDegraded-1Failundetected21oo2 结构马尔可夫模型MTTFS2.3.3 2oo2 结构的马尔可夫模型在状态 0、1 和 2 系统能够成功运行。 状态 3,系统发色和能够了安全失效,输出开路。状态 4 和 5,系统发生检测到和未检测到的危险失效。这个马尔可夫模型与 1oo2 结构的马尔可夫模型比较可以看出在安全与危险失效上两者具有部分对称性。.SDCSUCSDSDegraded-1Fail2SDNDetected1DOOK

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 科普知识


经营许可证编号:宁ICP备18001539号-1