风险分析和安全整体性等级选择.pptx-得力文库

资源描述

《风险分析和安全整体性等级选择.pptx》由会员分享，可在线阅读，更多相关《风险分析和安全整体性等级选择.pptx（173页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、,功能安全工程设计 :风险分析和安全整体性等级(SIL)选择,课程内容,安全仪表系统的介绍安全周期风险管理的原则工艺危险性分析保护层分析安全整体性等级选择安全要求规范,2,第一部分: 安全仪表系统介绍,3,IEC 61511 将安全仪表系统 (SIS)定义为： “用于实施一个或多个安全仪表功能的仪表系统。SIS是由传感器、逻辑解算器和最终元件的所有组合)”,安全仪表系统的定义,4,安全仪表系统功能定义,专业人士更喜欢SIS这一更加功能性的定义: “是指为以下目的而进行设计的传感器、逻辑解算器和最终元件组成的系统: 1. 当违反特定条件时，自动将工业过程设置到安全状态; 2. 当特定

2、条件容许（容许功能)时，容许过程安全地向前进行 3. 采取行动减轻工业危险的后果。”,5,SIS的存在与管理风险,增加的风险,工艺风险,可容忍风险,残留风险,最小风险的降低,最佳风险的降低 (ALARP),工艺,设计,基本工艺控制系统,报警,泄放,SIS,6,传感器,最终元件,回路 1,回路 2,回路 3,回路 4,Logic Solver,安全仪表系统,1,2,3,4,5,6,7,8,回路 5,7,安全仪表功能 (SIF),回路 1,1,6,Logic Solver,安全仪表功能是指通过SIS来实施的功能，SIS旨在为有关特定危险事故的工艺获取或维持安全状态。,8,安全仪表功能,一套特定的

3、行动和所需的相应设备，用以识别单个危险并动作，将系统带入安全状态。不同于SIS, SIS可以包括多个功能并且以多种方式动作，防止多个有害结果的发生。一个SIS可能有多个SIF,而每个SIF都有对应的SIL，因此为整个安全仪表系统来定义SIL是不正确和模糊的。,9,安全仪表功能举例,通过提供事故冷却剂，降低超高温来防止塔的破裂通过开阀释放压力来防止罐破裂直接将溢出的液体引到废水处理系统，防止环境遭受破坏发出报警、降低损失和可能发生的人员伤害 (最后一项因没有实现安全状态故是不完整的SIF。最终的行动必须包括在内),10,逻辑解算器,传感器,最终元件,SIF 传感器,就像控制系统一样，安

4、全系统也有传感器。在加工工业中，传感器测量工艺参数，它包括压力、温度、流量、液位、气体浓度和其他测量值。在机械业中，传感器还可以测得人是否接近、进入危险区以及其他保护参数。,11,逻辑解算器,传感器,最终元件,安全系统也有逻辑解算器，它一般是一个控制器，它从传感器中读取信号，执行预先编好的动作，防止或减轻工艺危险。通过将信号发给最终元件来实现以上功能。,SIF逻辑解算器,12,SIF 最终元件,在SIF中的最终元件是指采取什么动作来进入安全状态，在加工工业中它常为远程驱动，而在机械安全中，它可能是离合器制动器组件。,13,安全仪表功能 (SIF)的实施,逻辑解算器,传感元件,C信号整理,传感

5、元件,信号整理,最终控制元件,信号整理,最终控制元件,回路设施，如电源、仪表风等.,任何单个安全仪表功能的实施，可能包括多个传感器、信号整理模块、多个最终元件和专门的回路设施。,互相连络,传感元件,14,标准,基于所有工业的国际标准 (适用于供应商),IEC61511 : 加工工业(美国使用本质相同的工业标准 ISA 84.00.01-2004),IEC62061 : 机械工业,IEC61513 : 核工业,15,IEC 61511 标准,加工工艺中的目标最终用户和积分仪包括整个SIS周期风险分析基于设计的性能操作和维修非规定的性能最终用户应用一般不认证独立的功能安全评价三

6、部分需求指南 SIL选择,16,第二部分: 安全周期,17,18,规范,44%,设计和实施,15%,安装和投料试车,6%,操作和维修,15%,投料试车后的变更,21%,有关控制系统的事故原因的HSE研究:,工业事故原因 - HSE,“失控: 控制系统出错和如何防止故障。” 英国设菲尔德, 健康和安全执行机构, 1995,19,安全周期一览表,概念工艺设计识别潜在危险后果分析保护层分析制定非SIS保护层确定SIF的目标SIL 文件要求,开车操作维修定期验证测试修改停运,分析我需要多少安全？,实施我如何得到需要的安全,操作我如何保持我需要的安全?,选择SIS技术

7、选择SIS结构确定测试频率 SIS详细设计 SIS 硬件结构 SIS 软件组态 SIS 测试 SIS 安装 SIS 投料试车 SIS 初始确认,修改 = 改变要求,修改 = 改变设计,20,“分析” 阶段 (最终用户 / 咨询),“实现” 阶段 (厂商/ 承包商 / 最终用户),概念,整体范围定义,危险和风险分析,安全总体要求,安全需求分配,安全相关系统 :E/E/PES,实现,整体安装及试车,整体安全确认,整体操作及维修,停运,安全相关系统：其他技术,实现,外部风险降低,实现,总体规划,安装及投料试车规划,确认规划,操作和维修计划,11,10,9,5,4,3,2,1,12,13,14

8、,16,整体修改和改进,15,8,7,6,“操作” (最终用户 / 承包商),IEC 61508 安全周期,21,安全周期 IEC 61511,功能安全和功能安全评估管理第 5条,安全周期结构规划第 6.2条,将安全功能分配到保护层第 9条,确认第7 条和第12.7条,Analysis,Realisation,Operation,SIS安全要求规范第10和12条,工艺危险和风险分析第8条,SIS设计和工程设计第11 和 12条,SIS安装和投料试车第14条,SIS 操作和维修第 16条,SIS 安全确认第15条,SIS修改第 17条,SIS 停运第18条,提供,概念

9、,SIS验收测试第13条,设计及构造,测试,安装,管理,确认,验证测试,/,(9),(10),(11),22,安全周期分析阶段,评估后果,评估非SIS保护层效果,1. 概念上的工艺设计,需要SIS?,2. 识别潜在危险,工艺安全信息,4. 保护层分析,潜在危险,危险频率,3. 后果分析,危险后果,5. 为SIS和SIF选择目标SIL,目标SIL,6. SIS/SIF必要的文件,事件历史,保护层,故障率,可容忍风险指南,危险特性,停止,No,Yes,实施,安全要求规范,-,每个安全仪表功能的描述，包括目标SIL，减轻的危险，工艺参数，逻辑，旁路维修要求，响应时间等。,23,目的识别工艺危险

10、，评估其风险并确定该风险是否可容许. 任务危险识别 (例如 HAZOP) 可能性及后果分析非SIS保护层的考虑,危险 / 风险分析,24,目的基于所有保护层评估可能性. 任务识别保护层，使用定性或定量方法,保护层分析,25,目的根据SIL,规定必需的风险降低或现有的风险和可容忍风险等级的差别任务对比工艺风险和可容忍风险使用决定指南，来选择必需的风险降低文件选择过程,安全整体性等级选择,需要SIS吗?,5. 为SIS和SIF选择目标SIL,目标SIL,可容忍风险指南,停止,No,Yes,26,安全要求规范,目的规定详设及工艺安全信息所需的SIS的所有要求任务识别并描述

11、安全仪表功能必需的安全执行等级的文件 (SIL) 所采取的文件行动逻辑, 例如原因和结果图. 文件相关参数如：计时/维修必要的旁路,27,SIS 项目 V-模型,软件组态,硬件构置,概念性设计,安全要求规范,硬件详细设计,软件详细设计,现场验收测试,软件内部测试,硬件内部测试,工厂验收测试,内部整体测试,确认,V,V,V,V,V,V,V,V,V,28,10. SIS 安装、投料试车及预开车验收测试,-,安全要求规范,-,对每一个安全仪表功能进行描述，如目标SIL、减轻风险、工艺参数、逻辑、旁路、维修要求、响应时间等,7. SIS 概念性设计,7a选择技术,7b. 选择结构,冗余:

12、 1oo1,1oo2, 2oo3, 1oo2D,7c. 确定测试原理,7d. 可靠性安全评定,获得SIL,SIL达到？,No,Yes,8. SIS 详细设计,故障数据库,制造商安全说明,9. 安装及投料试车规划,SILver工具,制造商安全手册,详细设计文件,-,回路图、接线图、逻辑图、仪表盘布置、PLC编程、安装要求、投料试车要求等,文件模板,制造商安全手册,选择传感器、逻辑解算器和最终元件技术,安全周期“实现”阶段,29,目的为此目的选择正确的设备，用于工艺控制的旧标准仍然适用. 任务选择设备获得该设备的可靠性和安全数据获得所有安全认证设备的安全手册,选择技术,30,目的

13、如果需要，选择冗余类型。任务选择结构获得该结构的可靠性和安全数据。,选择结构,1oo1,1oo2,2oo2,2oo3,1oo2D,Diag,Diag,31,建立验证测试频率,测试通常可能包括: 自动测试工艺操作中手动进行的离线测试。工艺操作中手动进行的在线测试,32,安全要求规范安全功能要求，包括目标SIL,获得PFDavg, RRF， MTTFS, SIL,制造商故障数据,SIF 确认的任务,故障数据库,7d. 可靠性和安全评定,33,获得PFDavg, RRF MTTFS, SIL,SIF设计选项,7d. 可靠性和安全评定,如果SIF确认表明，所提议的设计没有获得SIL等级，

14、那么设计者有许多选择：通过增加其他保护层等措施，重新评定SIL要求。缩短验证测试间隔时间这与在线测试规定有关。选择安全等级较高、危险故障率较低或诊断性较好的设备。通过增加更多冗余来改变结构。,安全要求规范安全功能要求，包括目标SIL,34,12. 确定预开车安全审查,修改,停运,14. SIS开车、操作、维修、定期功能测试,15. 修改或是停运?,16. SIS停运,确认所有有关危险、设计、安装测试、维修程序、变更管理、紧急规划等资料。,13. 操作和维修计划,11. 确认规划,安全周期“操作”阶段,35,目的确认SIS功能符合设计要求。任务确认现场仪表操作确认逻辑和操

15、作确认所安装设备的SIL 制作所需文件如果需要，制作产品认证证书,确认,12. 确认：预开车安全审查,安装,工厂验收测试,SAT / SIT,投料试车,功能安全评估,开车,确认,36,目的确认根据设计要求SIS能连续工作，并检测其他隐藏的故障。任务确认现场仪表的操作确认逻辑和操作所有定期测试的文件结果,定期验证测试,14. SIS开车、操作、维修、定期功能测试,37,目的定期审查危险，如果需要，采取整改措施任务定期审查危险审查事故审查设施变更通知或变更（MOC) 管理的文件根据需要，按照合适的安全周期步骤对SIS进行更新,变更及停运,38,安全周期一览表,概念工艺设

16、计识别潜在危险后果分析保护层分析制定非SIS保护层确定SIF的目标SIL 文件要求,开车操作维修定期验证测试修改停运,分析我需要多少安全？,实施我如何得到需要的安全,操作我如何保持我需要的安全?,选择SIS技术选择SIS结构确定测试频率 SIS详细设计 SIS 硬件结构 SIS 软件组态 SIS 测试 SIS 安装 SIS 投料试车 SIS 初始确认,修改 = 改变要求,修改 = 改变设计,39,安全周期目标,建立更安全的系统，此系统不会出现以前系统中的那么多问题。建立成本高效的系统，并与设计风险相匹配。消除成本高而又没有多少用处的“薄弱环节”设计。为实现一

17、致性设计，提供全球的设计框架。,40,第三部分: 风险管理的原理,41,什么是风险？,风险是对不利影响的可能性和后果的测量， (如, 发生的频率和后果的影响?),风险受害方: 人员环境财产：设备财产损失业务受损业务负债公司形象市场份额的丢失,42,公司为何要控制风险？,公司负有法律、道德及财政义务来限制因其操作而产生的风险。了解公司所采取的方式，帮助制定与此方式相符的安全方针,Moral,Legal,Financial,不管成本如何，装置应尽可能地安全,不管成本或实际的风险等级，公司应遵从成文的规章制度,建造最低成本的装置，使其操作预算尽可能少,43,风险可容忍度基础,因

18、风险活动可以获得收益，所以要容忍了解风险及收益有助于了解何种风险可以容忍世上没有零风险的事,44,测量风险和收益,必须对风险及收益进行测量，用以明智地决定在实际情况中该如何做风险测量必须说明可能性和后果后果通常有几种损害形式可以将损害有效地定义为收益的损失并且可以将此收益直接加入等式中。要正确地测量风险，必须考虑到所有较大的损害形式。,45,后果表述,风险测量取决于两个因素: 谁处于风险中? 个人社会环境风险的本质是什么? 死亡或受伤永久或临时损害财产损失,46,个人风险,个人风险: 频率分布显示，因某种危险发生，个人可能受到一定程度的损害（通常是死亡）,英国HSE委员会

19、风险容忍度框架将风险定义为: 可容忍区域的低风险限度为 1 x 10-5 年可容忍区域的高风险限度为 1 x 10-3 年 ALARP (合理条件下尽可能低)区域通常在以上两个区域之间,47,个人风险和 ALARP,ALARP,可忽略风险,高风险,10-3/年 (工人),10-4/年 (公众),10-6/年,不能容忍区域,决不,如果值得,无人在意,48,确定可容忍风险,既要严格又要灵活要考虑所有相关的损害形式要符合公司及社会惯例,49,可容忍风险等级举例,所在潜在危害必须低于：每人每年0.0005死亡率每人每年0.005伤害率每个工厂每年0.01 重大环境污染事故率每个工厂每年损

20、失50万美元，等等,50,可容忍风险等级举例,带说明的矩阵表:所有极度风险都要降低所有中度风险都要根据实际情况降低,中度的,中度的,可接受的,可接受的,1 100,000 年,中度的,中度的,可接受的,可接受的,1 10,000 年,极度的,中度的,中度的,可接受的,1 1000 年,极度的,极度的,中度的,可接受的,1 100 年,多人死亡,永久伤害死亡,损工时伤害,有记录的伤害,51,从固有的工艺风险开始,风险: 损害发生可能性与严重程度的组合 (IEC/ISO 指南 51:1990) 有害影响的可能性及后果的测量（如发生频次及如果这样做产生的可能后果？）固有风险: 因已完成的工艺设计

21、产生的风险，此设计包含在指定工艺参数和一定数量的材料（如：温度、压力等）。,52,Increasing Risk,后果,可能性,增加风险,可容忍风险区域,ALARP 风险区域,不可接受的风险区域,风险削减,53,通过控制固有风险来降低风险,固有风险是测量后果的基本量。,通过减少有毒、易燃或爆炸品库存来控制固有风险，良好的工艺工程设计支持是至关重要的。,54,通过控制地理位置风险的方法来降低风险,地理位置风险测量在某一特定地理位置发生事件的概率。,通过控制人员所在的位置如控制室、工作区域和路线来控制人员风险,55,非SIS风险削减,增加风险,后果,可能性,可接收风险区域,ALAR

22、P,风险区域,不可接受的风险区域,降低风险后果，如：减少材料、建围堤、机械保护等,工艺固有风险,降低非SIS风险，如使用安全阀,56,SIS风险降低,增加风险,Consequence,可接收风险区域,ALARP,风险区域,不可接受风险区域,降低风险后果，如：减少材料、建围堤、机械保护等,工艺固有风险,非SIS风险降低，如压力泄放阀,SIS风险降低,SIL 1,SIL 2,SIL 3,此方面降低会出现什么？,57,风险管理标准,AS/NZ 4360,ISO 14001,40 CFR 68,IEC 61508,29 CFR 1910,IEC 60300,IEC 61508 电气风险降低及安全系

23、统的国际标准 IEC 60300-3-9 技术系统的风险分析技术指南的国际标准 ISO 14001 指导环境风险管理的国际标准 29 CFR 1910 指导工艺安全管理的美国 OSHA 法规 AS/NZ 4360 一般风险控制管理的澳大利亚 / 新西兰标准,58,风险管理方法,建立内容,监控及审核,识别风险,分析风险 (可能性和后果),评估风险可容忍度,接受或控制风险确定控制选项评估控制选项选择控制选项制订控制计划实施控制计划,沟通及咨询,59,安全周期目标,分析,设计,确认,文件,危险分析/风险评估：确定设计目标,进行软硬件设计,OK,修改,评估设计: 安全完整性和有效性的可靠性

24、分析,文件,文件,操作和维修,文件,将风险降至可接受的程度,60,第四部分: 工艺危险分析,61,危险定义,潜在危害源 IEC 61508-4, Sub clause 3.1.2 具有可能对人员、财产或环境造成损害的潜在危险的化学或物理条件（例如装有500吨氨的压力储罐） CCPS, CPQRA指南,62,术语: 初始事件,初始事件: 事件顺序中的第一个事件（如应力腐蚀导致氨罐的连接管线出现泄漏破裂）。,63,术语: 中间事件,中间事件: 事件顺序中初始事件已扩散或缓和的事件（例如，操作人员采取了错误的动作，没有阻止氨最初的泄漏，并导致中间事件扩散成一个事故，在这种情况下，中间事件的结果就是

25、有毒物料释放）,64,术语: 事故,事故: 物料或能源容器的损坏（例如，氨罐的连接管线泄漏了10磅的氨，造成了有毒蒸汽云）并非所有的事件都会扩散成事故。,65,术语：事故结果,事故结果: 事故的物理表现形式；如果是有毒物料，事故的结果就是有毒物料释放，如果是易燃物料，事故的结果可能就是沸腾的液体扩散为蒸汽云爆炸 (BLEVE)、闪火、非封闭式蒸汽云爆炸、有毒物料释放等。（例如，如果泄漏了10磅的氨，事故的结果就是有毒物料释放）,66,术语：后果,后果: 对事故结果情况的预期效果的度量（例如，在D级天气条件下，10磅的氨泄漏，以1.4mph的速度随风向北行进，将对50个人造成伤害）,受伤,死亡

26、,商业运行中断,财产损失,环境破坏,其他无形影响,第三方责任,67,从潜在到事实,初始事件通常都会随之发生,中间事件可能再形成另一个,中间事件可能会导致一个,事故结果根据具体情况，此事故结果会导致后果,ACCIDENT,假设存在一个潜在伤害的危险, ,HARM,事故所产生的结果称之为,68,SLC“分析” 阶段危险识别,69,什么是工艺危险性分析,IEC61508-1 规定了三种功能: 确定在所有可合理预见的条件下（包括故障条件和误操作），受控设备（EUC)和EUC控制系统的危险和危险事件（在所有操作模式下），。确定以上所确定危险事件的事件顺序。确定与以上所确定危险事件相关的EU

27、C风险。,70,什么是工艺危险性分析（PHA)?,识别危险通常在 PHA中识别危险评估后果评估可能性 (频率),71,常见的PHA方法,检查表 What if? What if? / 检查表 HAZOP (危险和可操作性研究) FMEA (故障模式和效果分析) 故障树分析适当的等同方法,72,选择不同于”正常”情况的偏差,转到下一个偏差,No,选择项目,确定安全功能 - SIS 和/或者机械安全(MS) 和/或者外部风险削减,会产生危险吗? (有预防其发生的有效操作吗?),Yes,控制系统是否会及时对偏差进行调整?,控制系统故障, 误动作, 操作工误操作,描述可能的危险后果,考虑其他

28、偏差原因,可能会偏差吗? 可能的原因?,Yes,一般HAZOP 程序,No,No,Yes,Yes,Yes,73,从PHA报告中识别SIF需要哪些信息?,先前的研究中有关安全仪表功能的描述已消除的危险及其后果导致后果的初始事件防止后果发生的安全措施 (SIS和非SIS),74,PHA - HAZOP,脱水剂再生,脱水,深冷分离,再压缩,XV,32,A/S,TT,31,TT,32,乙烷,丙烷,入口气体,天然气液体,I-3,I-1,I-2,I-4,XV,31,A/S,XY,31,XY,32,闪蒸分离,316 SS,CS,防止现场碳钢管线脆裂的功能,75,PHA -HAZOP 识别SIF,

29、偏差,后果,太低,安全措施,原因,物流间流量不平衡,存在下游管线脆裂和着火的潜在危险,建议,行动,J. Jones,PLC低温切断,极端天气,同上，确定极度天气的可能性,J. Jones,流量报警和工艺切断,太高,物流间流量不平衡,Potential compressor damage,确定压缩机是否会损坏,S. Smith,存在下游管线脆裂和着火的潜在危险,报警、工艺切断、独立的PLC低温切断,独立的PLC低温切断是否为SIS?,节点: 热端深冷换热器参数:温度,76,SIF描述,“建议”栏中建议的SIF “安全措施”栏中提供的SIF,建议的安全措施,Action,J. Jones,J

30、. Jones,S. Smith,偏差,后果,太低,安全措施,原因,物流间流量不平衡,存在下游管线脆裂和着火的潜在危险,建议,PLC低温切断,极端天气,同上，确定极度天气的可能性,流量报警和工艺切断,太高,物流间流量不平衡,Potential compressor damage,确定压缩机是否会损坏,存在下游管线脆裂和着火的潜在危险,报警、工艺切断、独立的PLC低温切断,独立的PLC低温切断是否为SIS?,77,危险和后果,已经避免的危险及其后果可在“后果”一栏中的说明中查找,Action,J. Jones,J. Jones,S. Smith,偏差,后果,太低,安全措施,原因,物流间流量

31、不平衡,存在下游管线脆裂和着火的潜在危险,建议,PLC低温切断,极端天气,同上，确定极度天气的可能性,流量报警和工艺切断,太高,物流间流量不平衡,Potential compressor damage,确定压缩机是否会损坏,存在下游管线脆裂和着火的潜在危险,报警、工艺切断、独立的PLC低温切断,独立的PLC低温切断是否为SIS?,78,初始事件,在HAZOP中，初始事件在“原因”一栏 “如果怎样”和检查表问题每个危险的多个潜在的初始事件,两个初始事件造成同一后果,Action,J. Jones,J. Jones,S. Smith,偏差,结果,太低,安全措施,原因,物流间流量不平衡,存在下

32、游管线脆裂和着火的潜在危险,建议,PLC低温切断,极端天气,同上，确定极度天气的可能性,流量报警和工艺切断,太高,物流间流量不平衡,Potential compressor damage,确定压缩机是否会损坏,存在下游管线脆裂和着火的潜在危险,报警、工艺切断、独立的PLC低温切断,独立的PLC低温切断是否为SIS?,79,安全措施,查找已有的SIS和非SIS的安全措施，它不同于我们要研究的SIS 安全措施将运用于初始事件、可能存在的每个初始事件的多重安全措施中。,Action,J. Jones,J. Jones,S. Smith,偏差,结果,太低,安全措施,原因,物流间流量不平衡,存在下游

33、管线脆裂和着火的潜在危险,建议,PLC低温切断,极端天气,同上，确定极度天气的可能性,流量报警和工艺切断,太高,物流间流量不平衡,Potential compressor damage,确定压缩机是否会损坏,存在下游管线脆裂和着火的潜在危险,报警、工艺切断、独立的PLC低温切断,独立的PLC低温切断是否为SIS?,80,从 Pd) 该方法不适用于SIL4,基于 IEC 61511-3 Annex C,121,危险矩阵图的后果部分,严重程度,影响,对设备损坏较小，工艺不需要停车，对人员、环境造成短时伤害。,损坏设备、工艺短时停车，对人员和环境造成严重伤害,设备损坏严重，工艺长时间停车，对人员和

34、环境造成灾难性后果。,轻微,严重,极度,基于 IEC 61511-3 Annex C,122,危险矩阵图后果的考虑事项,明确分类依据可以包括以下考虑事项: 伤害死亡财产损失生产损失环境排放,后果分类的分配情况需要判断,123,危险矩阵的可能性部分,事件类型,频率 /年,等级,可能性,例如不同仪表或阀的多种故障、无应力操作环境下的多种人为失误、或工艺压力容器的内部故障等事件,例如双仪表、阀故障或装卸料站的主要释放等事件,例如工艺泄漏、单个仪表、阀故障或人为失误而导致危险物料的小量泄放，该故障应在装置预期操作周期内，被合理地预计到,f 10-4,10-4 f 10-2,10-2 f,低,

35、中,高,基于化学工艺安全自动化指南中给出的资料, AIChE and IEC 61511-3 Annex C,124,用危险矩阵来指定SIL,基于 IEC 61511-3 Annex C,使用所选择的可能性和后果类别来确定必需的SIL,3a,3b,3b,2,1,Note c,1,3b,2,轻微,严重,极度,危险事件严重程度,危险事件可能性,低,中,高,125,危险矩阵举例,例1 在HAZOP研究期间识别SIF HAZOP小组要确定: 后果是严重的高的可能性选择什么SIL?,a) 一个等级3的安全仪表功能在此等级上不能提供足够的风险降低，为了降低风险，需要额外的修改措施。 b) 一个等级3的

36、安全仪表功能不能在该风险等级上提供足够的风险降低，需要另外审查（见注d)。c) 可能不需要SIS独立保护层;d) 该方法不适用于SIL4,3a,3b,3b,2,1,Note c,1,3b,2,轻微,严重,极度,危险事件严重程度,危险事件可能性,低,中,高,126,危险矩阵图方法 2,所有的极度风险都要降低，所有的中度风险要根据实际情况来降低,从可容忍风险矩阵列表开始,中度的,可接受的,可接受的,1 100,000 年,中度的,中度的,可接受的,可接受的,1 10,000 年,极度的,中度的,可接受的,1 1000 年,极度的,极度的,中度的,可接受的,1 100 年,多人死亡,永久伤害死亡,

37、损工时伤害,有记录的伤害,可接受的,可接受的,127,危险矩阵图方法 2,要降低所有极度风险，根据实际情况降低中度风险,识别有保护层但没有建议的SIF的后果和可能性,中度的,可接受的,可接受的,1 100,000 年,中度的,中度的,可接受的,可接受的,1 10,000 年,极度的,中度的,可接受的,1 1000 年,极度的,极度的,中度的,可接受的,1 100 年,多人死亡,永久伤害死亡,损工时伤害,有记录的伤害,可接受的,可接受的,128,危险矩阵图步骤 2,要降低所有极度风险，根据实际情况降低中度风险,根据事故频率的降低情况选择SIL，以满足可容忍风险的要求注意有基于实际情况的选项,

38、中度的,可接受的,可接受的,1 100,000 年,中度的,中度的,可接受的,可接受的,1 10,000 年,极度的,中度的,可接受的,1 1000 年,极度的,极度的,中度的,可接受的,1 100 年,多人死亡,永久伤害死亡,损工时伤害,有记录的伤害,可接受的,可接受的,SIL 3 (RRF1000),SIL 2 (RRF100),SIL 1 (RRF10),129,风险图,选择风险图参数类别包括一个后果参数: 后果三个可能性参数: 占用率避免危险的可能性需求率或频率,130,风险图步骤,选择风险图参数类别后果占用率避免危险的可能性需求率或频率遵循由所选参数确定的路线来确定所

39、需要的SIL,131,风险图参数,参数,依据 IEC 61511-3, Section D,内容,可能由危险引起的死亡平均数；确定当泄漏发生时暴露区域被占用的平均数；考虑到危险事件的易损性,暴露区域被占用的概率，通过计算区域被占用时间的百分率来确定。,如果保护系统在需要时发生故障，被暴露人员能够避免危险的可能性。这取决于是否有能提醒暴露人员有危险的这种独立方法，以及防止出现危险的手动方法或逃逸方法。,C,后果,占用率,避免危险的概率,F,P,如果没有装SIS，每年可能发生危险事故的次数。这可以通过考虑可导致一种危险出现的所有故障并估算总体的发生率来确定。,需求率,W,132,危险图的后果

40、部分,参数,类别,该分类体系已做了改进，以处理对人员的伤害死亡对于CA、CB、CC、CD的解释，应考虑事故后果和正常的恢复情况,轻微伤害,CA,后果,死亡平均数当暴露的危险区域占用时，通过计算存在的人员平均数并乘以所确定危险的易损性来计算。易损性可由所防护危险的性质来确定。可利用下述因数： V=0.01 易燃或有毒物质的少量泄放 V = 0.1 易燃或有毒介质的大量泄放 V = 0.5 同上，但具有很高的毒性或易燃性 V = 1 破裂或爆炸,依据 IEC 61511-3, Section D,备注,可能致命范围从0.01到0.1,CB,可能致命范围从 0.1 到1,CC,可能致命范围 1

41、,CD,133,风险图的占用率部分,参数,分类,同上一个备注。,很少经常暴露于危险区域，占用率小于 0.1.,FA,占用率 (F),这可通过确定正常工作期间暴露于危险区域中占用的时间长度来确定。注如果危险区域的时间因倒班操作而有所不同的话，应选择最长时间。注在可表明需求率是随机的且占用率不可能高于正常值的情况下，适用FA；后者通常是设备开工时出现需求的情况。,基于 IEC 61511-3, Section D,备注,频繁地持续暴露于危险区域,FB,占用率基于暴露可能性进行的人员可能性度量,134,避免的概率,参数,分类,如果同时满足下列条件则采用PA ：应提供可提醒操作人员SIS有故

42、障的设施提供可停止作业的独立设施，这样可避免危险或可供所有人员逃到安全区域从提醒操作员到发生危险事故之间的时间超过小时。,如果条件满足则采用,PA,如果保护系统故障，避免危险事件的概率 (P),基于 IEC 61511-3, Section D,备注,如果所有条件不满足则采用,PB,避免性基于人员逃逸概率进行的可能性度量。,135,需求率（可能性）,参数,分类,W因数的目的是估算在没有增加SIS时发生危险的频率。如果需求率非常高（例如每年次)，SIL必须由另外的方法来确定或将风险图重新标定，那么操作模式则为高需求或连续模式 (IEC61511-1, 条目 3.1.48.2).,需求率小

43、于 0.03 年,W1,没有保护系统的需求率 (W)：为了确定需求率，有必要考虑可导致出现一种危险事故的所有故障源。在确定需求率时，要考虑到控制系统执行和干预的的可靠性，如果控制系统没有根据IEC 61511来设计和维护，那么所要求的性能可能低于与SIL有关的性能范围。,备注,0.03/年需求率0.3年,W2,W3,对于每年高于的需求率，应需要更高的SIL等级,0.3/年需求率3年,基于 IEC 61511-3, Section D,136,需求率 (可能性) 定性分析,参数,分类,W因数的目的是估算在没有增加SIS时发生危险的频率。,可能性非常低,W1,没有保护系统的需求率 (W),备注,

44、可能性小,W2,W3,可能性高,基于 IEC61508, part 5,137,用风险图配置SIL,a,1,2,3,4,b,W3,-,a,1,2,3,4,W2,-,-,a,1,2,3,W1,- = 无安全需求 A = 无特殊的安全需求 B = 单个的 E/E/PS 是不足够的 1,2,3,4 = 安全完整性等级（SIL),X1,X2,X3,X4,X5,X6,CA,PA,PB,PB,PB,PB,PA,PA,PA,FB,FA,CD,FB,FA,CC,FB,FA,CB,风险降低估算的起点,基于 IECd61511-3, D部分,C = 后果参数 F = 暴露时间参数 P = 未能避免危险的概率 W

45、= 假定没有保护层的需求率,138,风险图举例,HAZOP研究期间确定SIF HAZOP小组同时要确定: PLL = 0.9 区域通常是占用的不能避免危险的概率需求率是 0.05 年 SIL是多少?,- = 无安全需求 A = 无特殊的安全需求 B = 单个的 E/E/PS 是不足够的 1,2,3,4 = 安全完整性等级（SIL),139,风险图范例解决办法,HAZOP研究期间确定SIF HAZOP小组同时要确定: PLL = 0.9 区域通常是占用的不能避免危险需求率是 0.05 年 SIL是多少?,140,使用以频率为基础的目标确定SIL,根据后果（后果常数）选择频率目标计算所要

46、求的风险降低根据所要求的风险降低情况配置SIL,141,使用以频率为基础的目标确定SIL,允许的危险事故的频率取决于后果,目标频率,1.0 x 10-3,1.0 x 10-4,1.0 x 10-6,每年,严重程度,影响,设备小的损坏、工艺不停工、对人员有临时性伤害、对环境有影响,设备损坏、工艺短时停工、人员和环境有严重损害,设备大规模损坏、工艺长时间停工，对人员和环境造成灾难性后果。,轻微,严重,极度,Based on IEC 61511-3 Annex C,142,基于目标频率，计算风险削减,所要求的风险降低因数是未减轻事故频率和频率目标的函数,RRFSIF =,FTarget,FUnmitigated event,143,以频率为基础的目标,根据所要求的RRF，选择SIL 根据 ISA S84 和 IEC 61

展开阅读全文