安全儀表系統(tǒng)（SIS）培訓(xùn)

安全儀表系統(tǒng)（SIS）培訓(xùn)2022.11.181主要內(nèi)容21、SIS概述2、SIS設(shè)計(jì)原則3、SIS應(yīng)用1、SIS概述31、SIS概述41.1

什么是安全儀表系統(tǒng)？安全儀表系統(tǒng)（Safety

instrumented

System，簡(jiǎn)稱SIS），又稱為安全聯(lián)鎖系統(tǒng)（Safety

interlocking

System），主要為工廠控制系統(tǒng)中報(bào)警和聯(lián)鎖部分，對(duì)控制系統(tǒng)中檢測(cè)的結(jié)果實(shí)施報(bào)警動(dòng)作或調(diào)節(jié)或停機(jī)控制，是工廠企業(yè)自動(dòng)控制中的重要組成部分1、SIS概述51.1

什么是安全儀表系統(tǒng)？典型化工裝置的獨(dú)立保護(hù)層呈"洋蔥"形分布，從內(nèi)到外一般設(shè)計(jì)為過程（本質(zhì)安全）設(shè)計(jì)、基本過程控制

系統(tǒng)、警報(bào)與人員干預(yù)、安全儀表系統(tǒng)、減災(zāi)及緩解設(shè)施、釋放后物理防護(hù)、工

廠緊急響應(yīng)以及社區(qū)應(yīng)急響應(yīng)等SIS可以監(jiān)測(cè)生產(chǎn)過程中出現(xiàn)的或者潛伏的危險(xiǎn)，發(fā)出告警信息或直接執(zhí)行預(yù)定程序，立即進(jìn)入操作，防止事故的發(fā)生、降低事故帶來(lái)的危害及其影響1、SIS概述61.1

什么是安全儀表系統(tǒng)？常見的SIS安全聯(lián)鎖系統(tǒng)（Safety

Interlock

System—SIS）安全關(guān)聯(lián)系統(tǒng)（Safety

Related

System—SRS）儀表保護(hù)系統(tǒng)（Instrument

Protective

System—IPS）透平壓縮機(jī)集成控制系統(tǒng)（Integrated

Turbo

&

Compressor

ControlSystem—ITCC）火災(zāi)及氣體檢測(cè)系統(tǒng)（Fire

andgassystems—F&G）緊急停車系統(tǒng)（Emergency

ShutdownDevice—ESD）燃燒管理系統(tǒng)（Burner

Management

System——BMS）列車自動(dòng)防護(hù)系統(tǒng)（ATP）1、SIS概述71.2

哪些企業(yè)需要安裝SIS？國(guó)家安監(jiān)局第116號(hào)文件闡明從2018年1月1日起，所有新建涉及“兩重點(diǎn)一重大”的化工裝置和危險(xiǎn)化學(xué)品儲(chǔ)存設(shè)施要設(shè)計(jì)符合要求的SIS。其他新建化工裝置、危險(xiǎn)化學(xué)品儲(chǔ)存設(shè)施安全儀表系統(tǒng)，從2020年1月1日起，應(yīng)執(zhí)行功能安全相關(guān)標(biāo)準(zhǔn)要求，設(shè)計(jì)符合要求的安全儀表系統(tǒng)涉及“兩重點(diǎn)一重大”在役生產(chǎn)裝置或設(shè)施的化工企業(yè)和危險(xiǎn)化學(xué)品儲(chǔ)存單位，要在全面開展過程危險(xiǎn)分析（如危險(xiǎn)與可操作性分析）基礎(chǔ)上，通過風(fēng)險(xiǎn)分析確定安全儀表功能及其風(fēng)險(xiǎn)降低要求，并盡快評(píng)估現(xiàn)有安全儀表功能是否滿足風(fēng)險(xiǎn)降低要求。企業(yè)應(yīng)在評(píng)估基礎(chǔ)上，制定安全儀表系統(tǒng)管理方案和定期檢驗(yàn)測(cè)試計(jì)劃。對(duì)于不滿足要求的安全儀表功能，要制定相關(guān)維護(hù)方案和整改計(jì)劃，2019年底前完成安全儀表系統(tǒng)評(píng)估和完善工作其他化工裝置、危險(xiǎn)化學(xué)品儲(chǔ)存設(shè)施，要參照本意見要求實(shí)施安監(jiān)總管三〔2017〕121號(hào)文件中提到了：《化工和危險(xiǎn)化學(xué)品生產(chǎn)經(jīng)營(yíng)單位重大生產(chǎn)安全事故隱患判定標(biāo)準(zhǔn)（試行）》1、SIS概述81.2

哪些企業(yè)需要安裝SIS？“兩重點(diǎn)一重大”就是指政府安監(jiān)部門重點(diǎn)監(jiān)管的危險(xiǎn)化工工藝、重點(diǎn)監(jiān)管的危險(xiǎn)化學(xué)品和重大危險(xiǎn)源的監(jiān)管，簡(jiǎn)稱“兩重點(diǎn)一重大”，都要安裝SIS一重點(diǎn)監(jiān)管的危險(xiǎn)化工工藝：《首批重點(diǎn)監(jiān)管的危險(xiǎn)化工工藝目錄》二重點(diǎn)監(jiān)管的危險(xiǎn)化學(xué)品：《首批重點(diǎn)監(jiān)管的危險(xiǎn)化學(xué)品名錄》一重大指重大危險(xiǎn)源：長(zhǎng)期地或臨時(shí)地生產(chǎn)、加工、使用或儲(chǔ)存據(jù)安監(jiān)局116號(hào)文件規(guī)定重大危險(xiǎn)源的化工生產(chǎn)裝置裝備應(yīng)滿足安全生產(chǎn)要求的自動(dòng)化控制系統(tǒng)一級(jí)或者二級(jí)重大危險(xiǎn)源，裝備緊急停車系統(tǒng)，即SIS對(duì)重大危險(xiǎn)源中的毒性氣體、劇毒液體和易燃?xì)怏w等重點(diǎn)設(shè)施，設(shè)置緊急切斷裝置毒性氣體的設(shè)施，設(shè)置泄漏物緊急處置裝置涉及毒性氣體、液化氣體、劇毒液體的一級(jí)或者二級(jí)重大危險(xiǎn)源，配備獨(dú)立的SIS該意見涉及到了生產(chǎn)、設(shè)計(jì)、管理等多個(gè)方面，包括HAZOP分析、SIL等級(jí)評(píng)估、安全系統(tǒng)驗(yàn)證、老裝置安全系統(tǒng)安全等級(jí)評(píng)估、安全系統(tǒng)改造等1、SIS概述91.3

非安全控制系統(tǒng)PLC和SIS的區(qū)別從SIS的發(fā)展過程看，其控制單元部分經(jīng)歷了電氣繼電器（Electrical）、電子固態(tài)電路（Electronic）和可編程電子系統(tǒng)（Programmable

Electronic

System），即E/E/PES三個(gè)階段非安全控制系統(tǒng)PLC不是按故障安全型設(shè)計(jì)的，當(dāng)系統(tǒng)內(nèi)部元件出現(xiàn)短路故障時(shí)，它并不能檢測(cè)到，因此其輸出狀態(tài)不能保證系統(tǒng)回到預(yù)定的安全狀態(tài)，這種PLC只能用于安全度等級(jí)要求低的場(chǎng)合以輸出電路為例1、SIS概述1.3

非安全控制系統(tǒng)PLC和SIS的區(qū)別當(dāng)1、2兩點(diǎn)短路時(shí)，來(lái)自PLC的控制信號(hào)將不起作用(失效)，電磁閥將一直處于帶電(勵(lì)磁)狀態(tài)；當(dāng)需要聯(lián)鎖動(dòng)作(電磁閥釋電停車)時(shí)，由于此故障的存在而拒動(dòng)，其輸出不能保證處于安全停車狀態(tài)。這就是違背了故障安全(Faultto

Safety)的原則當(dāng)1、2兩點(diǎn)開路時(shí)，將導(dǎo)致誤動(dòng)作而停車，同樣會(huì)帶來(lái)?yè)p失可見，這種非安全PLC的DO卡輸出電路的安全性和可用性都是不高的非安全控制系統(tǒng)PLC的DO卡示意圖101、SIS概述1.3

非安全控制系統(tǒng)PLC和SIS的區(qū)別中央處理器不僅向串聯(lián)的場(chǎng)效應(yīng)管(FET)發(fā)出控制信號(hào)，而且還接受來(lái)自場(chǎng)效應(yīng)管的狀態(tài)反饋信號(hào)，以便對(duì)其輸出進(jìn)行全面測(cè)試。當(dāng)測(cè)得某管輸出發(fā)生短路時(shí)，中央處理器即啟動(dòng)糾錯(cuò)動(dòng)作，隔離相關(guān)的故障看門狗(Watch

Dog)是個(gè)多通道的計(jì)時(shí)器電路。它由中央處理器等周期性地觸發(fā)，

如果兩個(gè)觸發(fā)之間的時(shí)間小于某設(shè)定值或

者大于某最大值，則看門狗的輸出將失效。同時(shí)看門狗還能監(jiān)視內(nèi)部工作電壓，使之

在正常的電壓范圍內(nèi)SIS安全單容錯(cuò)DO卡示意圖111、SIS概述121.3

非安全控制系統(tǒng)PLC和SIS的區(qū)別與非安全PLC相比較，SIS至少應(yīng)具備以下幾點(diǎn)：(1)

滿足相關(guān)安全標(biāo)準(zhǔn)規(guī)范要求，且經(jīng)過權(quán)威機(jī)構(gòu)認(rèn)證，取得了相應(yīng)安全等級(jí)證書(2)在硬件和軟件上采用冗余、容錯(cuò)措施，具有完善的測(cè)試手段，當(dāng)檢測(cè)到系統(tǒng)故障，特別是危險(xiǎn)故障時(shí)能使系統(tǒng)回到安全狀態(tài)(3)

能進(jìn)行系統(tǒng)故障報(bào)警，指示故障原因、故障位置，便于在線維護(hù)(4)

故障安全型設(shè)計(jì)1、SIS概述131.4

相關(guān)的標(biāo)準(zhǔn)由于SIS涉及到人員、設(shè)備、環(huán)境的安全，各國(guó)均制定了相關(guān)的標(biāo)準(zhǔn)、規(guī)范，使得SIS的設(shè)計(jì)、制造和使用均有章可循，并由權(quán)威的認(rèn)證機(jī)構(gòu)對(duì)產(chǎn)品能達(dá)到的安全等級(jí)進(jìn)行確認(rèn)（1）IEC61508《電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全》標(biāo)準(zhǔn)IEC61508標(biāo)準(zhǔn)規(guī)定了常規(guī)系統(tǒng)運(yùn)行和故障預(yù)測(cè)能力兩方面的基本安全要求。這些要求涵蓋了一般安全管理系統(tǒng)、具體產(chǎn)品設(shè)計(jì)和符合安全要求的過程設(shè)計(jì)，其目標(biāo)是既避免系統(tǒng)性設(shè)計(jì)故障，又避免隨機(jī)性硬件失效（2）GB/T-20438-2017：等同于采用IEC61508國(guó)際標(biāo)準(zhǔn)，即《電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全》1、SIS概述1.4

相關(guān)的標(biāo)準(zhǔn)（3）IEC61511《過程工業(yè)領(lǐng)域安全儀表系統(tǒng)的功能安全》標(biāo)準(zhǔn)IEC61511是專門針對(duì)流程工業(yè)領(lǐng)域安全儀表系統(tǒng)的功能安全標(biāo)準(zhǔn)，它是國(guó)際電工委員會(huì)繼功能安全基礎(chǔ)標(biāo)準(zhǔn)IEC61508之后推出的專業(yè)領(lǐng)域標(biāo)準(zhǔn)，解決了安全儀表系統(tǒng)應(yīng)達(dá)到怎樣的安全完整性和性能水平的問題（4）GB/T-21109-2007：等同于采用IEC61511國(guó)際標(biāo)準(zhǔn)《過程工業(yè)領(lǐng)域安全儀表系統(tǒng)的功能安全》（5）GB/T-50770-2013

《石油化工安全儀表系統(tǒng)設(shè)計(jì)規(guī)范》該規(guī)范適用于石油化工工廠或裝置新建、擴(kuò)建及改建項(xiàng)目的安全儀表系統(tǒng)的工程設(shè)計(jì)，目的是為了防止和降低石油化工工廠或裝置的過程風(fēng)險(xiǎn)，保證人身和財(cái)產(chǎn)安全，保護(hù)

環(huán)境（6）行業(yè)標(biāo)準(zhǔn)SHB-Z06-1999《石油化工緊急停車及安全聯(lián)鎖系統(tǒng)設(shè)計(jì)導(dǎo)則》141、SIS概述151.4

相關(guān)的標(biāo)準(zhǔn)（7）美國(guó)儀表學(xué)會(huì)制定的ISA-S84.01

《安全儀表系統(tǒng)在過程工業(yè)中的應(yīng)用》（8）美國(guó)化學(xué)工程學(xué)會(huì)制定的AICHE（ccps）《化學(xué)過程的安全自動(dòng)化導(dǎo)則》（9）英國(guó)健康與安全執(zhí)委會(huì)制定的HSEPES《可編程電子系統(tǒng)在安全領(lǐng)域的應(yīng)用》（10）德國(guó)國(guó)家標(biāo)準(zhǔn)中有安全系統(tǒng)制造廠商標(biāo)準(zhǔn)-DIN

V

VDE

0801、過程操作用戶標(biāo)準(zhǔn)-DIN

V

19250和DINV

19251、燃燒管理系統(tǒng)標(biāo)準(zhǔn)-DIN

VDE

0116等1、SIS概述161.5

基本組成在IEC61508中，SIS被稱為安全相關(guān)系統(tǒng)（Safety

Related

System）,將被控對(duì)象稱為被控設(shè)備（EUC）IEC61511將SIS定義為用于執(zhí)行一個(gè)或多個(gè)安全儀表功能（Safety

Instrumented

Function,

SIF）的儀表系統(tǒng)SIS是由傳感器（如各類開關(guān)、變送器等）、邏輯控制器、以及最終執(zhí)行元件（如電磁閥、電動(dòng)門等）組成，即檢測(cè)單元、控制單元和執(zhí)行單元SIS可以包括軟件，也可以不包括軟件另外，當(dāng)操作人員的手動(dòng)操作被視為SIS的有機(jī)組成部分時(shí)，必須在安全規(guī)格書（Safety

Requirement

Specification,

SRS)中對(duì)人員操作動(dòng)作的有效性和可靠性做出明確規(guī)定，并包括在SIS的效能計(jì)算中1、SIS概述1.5

基本組成如右圖示，反應(yīng)器的SIS系統(tǒng)由一個(gè)壓力/溫度變送器、一個(gè)閥門和一個(gè)邏輯解算器組成壓力/溫度變送器檢測(cè)反應(yīng)器容器內(nèi)壓力/溫度，并將其變換成合適的信號(hào)傳送給邏輯解算器邏輯解算器判斷若壓力/溫度超過了高保護(hù)整定值，則關(guān)斷進(jìn)料閥以降低反應(yīng)器容器內(nèi)壓力/溫度，這被稱為安全系統(tǒng)的一個(gè)安全功能很明顯，例子中SIS只有一個(gè)安全功能如果三個(gè)設(shè)備有一個(gè)或多個(gè)失效，安全功能將失效，即它將不能對(duì)反應(yīng)器容器內(nèi)壓力/溫度進(jìn)行限制SIS的安全功能由傳感器/變送器、邏輯解算器和執(zhí)行器（進(jìn)料閥）三部分功能決定反應(yīng)器的安全儀表系統(tǒng)171、SIS概述181.6

SIS的功能安全與安全功能SIS的功能安全必須在工藝系統(tǒng)出現(xiàn)危險(xiǎn)情況時(shí)正確執(zhí)行其對(duì)應(yīng)的安全功能，安全儀表系統(tǒng)的這種特性被稱為功能安全功能安全實(shí)際上講的是SIS系統(tǒng)自身的安全問題SIS的安全功能實(shí)際上講的是讓SIS執(zhí)行什么樣的安全任務(wù)，如何保護(hù)受控設(shè)備1、SIS概述這是一個(gè)安全儀表功能的完整描述，而所謂的安全儀表系統(tǒng)，則是執(zhí)行

類似一個(gè)或多個(gè)這樣的安全儀表功

能的系統(tǒng)1.6

SIS的功能安全與安全功能右圖是一個(gè)氣液分離容器A液位控制的安全儀表功能回路圖這個(gè)安全儀表功能完整的描述是當(dāng)容器液位開關(guān)達(dá)到安全聯(lián)鎖值時(shí)，邏輯運(yùn)算器使電磁閥Z斷電，則切斷進(jìn)調(diào)節(jié)閥膜頭信號(hào)，使調(diào)節(jié)閥切斷

容器A進(jìn)料，這個(gè)動(dòng)作要在3秒內(nèi)完成，安全等級(jí)必須達(dá)到SIL2L液面超高-L1接點(diǎn)閉合-Z帶電AZ1接點(diǎn)打開，S線圈斷電S電磁閥切斷，往調(diào)節(jié)閥膜頭的控制信號(hào)調(diào)節(jié)閥切斷工藝進(jìn)料，完成聯(lián)鎖保護(hù)作用K起：按鈕開關(guān)，起動(dòng)聯(lián)鎖保護(hù)回路兼有復(fù)位作用K停：起人工強(qiáng)制起動(dòng)聯(lián)鎖保護(hù)作用K旁：旁路聯(lián)鎖保護(hù)作用，用1于9開車或檢修聯(lián)鎖信號(hào)儀表1、SIS概述201.6

SIS的功能安全與安全功能隱故障（Covert

Fault）不對(duì)危險(xiǎn)產(chǎn)生報(bào)警，允許危險(xiǎn)發(fā)展的故障，是隱故障或危險(xiǎn)故障（SHB-Z06-1999）CovertFault：Faultthatcanbeclassifiedashidden，concealed，

undetected，

unrevealed，

latent，

ect.

（ISA-S84.01-1996）顯故障（Overt

Fault）能顯示出故障自身存在的故障，是顯故障或安全故障（SHB-Z06-1999）Overt

Fault：Faultthatcanbe

classified

asannounced，detected，

revealed，ect.（ISA-S84.01-1996）1、SIS概述211.6

SIS的功能安全與安全功能SIS系統(tǒng)拒動(dòng)當(dāng)工藝條件達(dá)到或超過安全極限時(shí)，SIS本應(yīng)引導(dǎo)工藝過程停車，但由于其自身存在隱性故障（危險(xiǎn)故障），譬如輸出開關(guān)被誤連短路，而不能響應(yīng)此要求，即該停車而拒停，降低了安全性危險(xiǎn)故障定義為這樣一些故障，這些故障會(huì)阻止SIS系統(tǒng)對(duì)潛在的危險(xiǎn)工況做出反應(yīng)1、SIS概述1.6

SIS的功能安全與安全功能SIS系統(tǒng)誤動(dòng)如右圖，當(dāng)輸出開關(guān)由于某種原因處于非

激勵(lì)狀態(tài)，即使?jié)撛诘奈ｋU(xiǎn)工況沒有發(fā)生，SIS也會(huì)進(jìn)入一種安全失效狀態(tài)，這種情況經(jīng)常被稱為“誤動(dòng)”誤動(dòng)可能會(huì)以許多不同方式發(fā)生例如，輸入電路可能會(huì)發(fā)生故障，從而使邏

輯解算器誤認(rèn)為是傳感器檢測(cè)到了危險(xiǎn)工況，

而事實(shí)上并沒有這種情況發(fā)生邏輯解算器本身也可能出現(xiàn)運(yùn)算錯(cuò)誤，并導(dǎo)致輸出回路失電，輸出回路可能出現(xiàn)開路SIS的許多元件失效均會(huì)導(dǎo)致系統(tǒng)進(jìn)入安全失效狀態(tài)221、SIS概述1.7

SIS系統(tǒng)結(jié)構(gòu)1oo1D1oo2，1oo2D2oo3將三路隔離、并行的控制系統(tǒng)（每路稱為一個(gè)分電路）和廣泛的診斷集成在一個(gè)系統(tǒng)中，用三取二表決提供高度完善、無(wú)差錯(cuò)，不會(huì)中斷的控制2oo4D本質(zhì)是雙重化1oo2D，其容錯(cuò)功能使系統(tǒng)中任何一個(gè)部件發(fā)生故障，均不影響系統(tǒng)的正常運(yùn)行單塊CPU采用1oo2D的結(jié)構(gòu)，避免了因?yàn)槠渲幸粔KCPU出現(xiàn)故障后系統(tǒng)停機(jī)，單塊CPU可以滿足SIL3的要求單個(gè)IO卡件內(nèi)部采用1oo1D機(jī)制，診斷功能把檢測(cè)到的一個(gè)危險(xiǎn)失效轉(zhuǎn)變成了一個(gè)安全失效，當(dāng)系統(tǒng)檢測(cè)出失效時(shí)，它會(huì)強(qiáng)制系統(tǒng)處于斷開狀態(tài)231、SIS概述241.8

特點(diǎn)以IEC61508作為基礎(chǔ)標(biāo)準(zhǔn)，符合國(guó)際安全協(xié)會(huì)規(guī)定的儀表的安全標(biāo)準(zhǔn)規(guī)定具有覆蓋面廣、安全性高、有自診斷功能，能夠檢測(cè)并預(yù)防潛在的危險(xiǎn)容錯(cuò)性的多重冗余系統(tǒng)，SIS一般采用多重冗余結(jié)構(gòu)以提高系統(tǒng)的硬件故障裕度，單一故障不會(huì)導(dǎo)致SIS安全功能喪失應(yīng)用程序容易修改，可根據(jù)實(shí)際需要對(duì)軟件進(jìn)行修改響應(yīng)速度快，從輸入變化到輸出變化的響應(yīng)時(shí)間一般在10~50ms左右，一些小型SIS的響應(yīng)時(shí)間更短自診斷覆蓋率大，工人維修時(shí)需要檢查的點(diǎn)數(shù)比較少可實(shí)現(xiàn)從傳感器到執(zhí)行元件所組成的整個(gè)回路的安全性設(shè)計(jì)，具有I/O短路、斷線等監(jiān)測(cè)功能1、SIS概述251.9

SIL認(rèn)證SIL認(rèn)證是基于GB/T-20438、GB/T-21109、IEC61508、IEC61511、IEC61513、IEC13849-1、IEC62061、IEC61800-

5-2等標(biāo)準(zhǔn)，對(duì)安全設(shè)備的安全完整性等級(jí)（SIL或者性能等級(jí)（PL））進(jìn)行評(píng)估和確認(rèn)的第三方評(píng)估、驗(yàn)證和認(rèn)證SIL等級(jí)認(rèn)證主要涉及針對(duì)安全設(shè)備開發(fā)流程的文檔管理（FSM）評(píng)估，硬件可靠性計(jì)算和評(píng)估、軟件評(píng)估、環(huán)境試驗(yàn)、EMC電磁兼容性測(cè)試等內(nèi)容SIL認(rèn)證包括對(duì)產(chǎn)品和系統(tǒng)兩個(gè)層面國(guó)內(nèi)外有一些專業(yè)機(jī)構(gòu)開展SIL認(rèn)證1、SIS概述261.10

小結(jié)大多石油和化工生產(chǎn)過程具有高溫、高壓、易燃、易爆、有毒等

危險(xiǎn)。當(dāng)某些工藝參數(shù)超出安全極限，未及時(shí)處理或處理不當(dāng)時(shí)，便有可能造成人員傷亡、設(shè)備損壞、周邊環(huán)境污染等惡性事故。

這就是說，從安全的角度出發(fā)，石油和化工生產(chǎn)過程自身存在著

固有的風(fēng)險(xiǎn)SIS是一種滿足功能安全標(biāo)準(zhǔn)，經(jīng)專門機(jī)構(gòu)認(rèn)證，具有一定安全完整性水平，用于降低生產(chǎn)過程風(fēng)險(xiǎn)的儀表安全保護(hù)系統(tǒng)。它不僅能響應(yīng)生產(chǎn)過程因超過安全極限而帶來(lái)的風(fēng)險(xiǎn)，而且能檢測(cè)和處理自身的故障，從而按預(yù)定條件或程序使生產(chǎn)過程處于安全狀態(tài)，以確保人員、設(shè)備及工廠周邊環(huán)境的安全2、SIS設(shè)計(jì)原則272、SIS設(shè)計(jì)原則282.1

SIS設(shè)計(jì)應(yīng)遵循的原則(1)

可靠性原則（安全性原則）(2)

可用性原則(3)

獨(dú)立性原則(4)

標(biāo)準(zhǔn)認(rèn)證原則(5)

故障安全原則(6)

冗余原則(7)

診斷與在線維護(hù)原則(8)

維護(hù)旁路開關(guān)（MOS）設(shè)置(9)

聯(lián)鎖與復(fù)位設(shè)置(10)

SIS的應(yīng)用軟件組態(tài)(11)

SIS的其它設(shè)計(jì)原則(12)

結(jié)構(gòu)約束(13)

SIL的最終評(píng)估2、SIS設(shè)計(jì)原則292.2

可靠性原則（安全性原則）不同的工業(yè)過程（如生產(chǎn)規(guī)模、原料和產(chǎn)品的種類、工藝和設(shè)備的復(fù)雜程度等）對(duì)安全的要求是不同的，國(guó)際標(biāo)準(zhǔn)將其劃分為若干安全完整性等級(jí)（SIL：Safety

Integrity

Level）為了保證工藝裝置的生產(chǎn)安全，安全儀表系統(tǒng)必須具備與工藝過程相適應(yīng)的安全完整性等級(jí)SIL（Safety

Integrity

Level）的可靠度IEC

61508進(jìn)行了詳細(xì)的技術(shù)規(guī)定，對(duì)于安全儀表系統(tǒng)，可靠性有兩個(gè)含義一個(gè)是安全儀表系統(tǒng)本身的工作可靠性另一個(gè)是安全儀表系統(tǒng)對(duì)工藝過程認(rèn)知和聯(lián)鎖保護(hù)的可靠性，還應(yīng)有對(duì)工藝過程測(cè)量，判斷和聯(lián)鎖執(zhí)行的高可靠性2、SIS設(shè)計(jì)原則302.2

可靠性原則（安全性原則）評(píng)估安全完整性等級(jí)SIL的主要參數(shù)就是：平均危險(xiǎn)故障率PFDavg(probability

of

failure

ondemand)它是SIS系統(tǒng)按要求執(zhí)行指定功能的故障概率，是度量SIS系統(tǒng)按要求模式工作故障率的目標(biāo)值（SHB-Z06-1999）這是一個(gè)衡量安全性的指標(biāo)，或稱拒動(dòng)率。它意味著系統(tǒng)是危險(xiǎn)的，不會(huì)在要求demand（潛在的緊急條件）發(fā)生時(shí)產(chǎn)生響應(yīng)PFS（安全故障概率）正常激勵(lì)的SIS系統(tǒng)在它的輸出非激勵(lì)時(shí)，就會(huì)處于故障狀態(tài)，這有一個(gè)概率，稱為安全故障概率（PFS），或稱誤動(dòng)率2、SIS設(shè)計(jì)原則2.2可靠性原則（安全性原則）31安全完整性等級(jí)Safety

Integrity

Level（SIL）是一種離散的等級(jí)，

用來(lái)規(guī)定分配給安全相關(guān)系統(tǒng)安全功能的安全完整性要求安全完整性等級(jí)SIL（Safety

Integrity

Level）是指在規(guī)定的條件下、規(guī)定的時(shí)間內(nèi)安全相關(guān)系統(tǒng)成功完成所要求的安全功能的可能性，也就是在要求安全系統(tǒng)動(dòng)作時(shí)其功能失效概率的倒數(shù)安全完整性等級(jí)可分為4個(gè)等級(jí)，按其從高到低依次分為1~4級(jí)，SIL4是安全完整性最高的等級(jí)（平均概率最高），SIL1是最低等級(jí)安全完整性等級(jí)越高，應(yīng)執(zhí)行所要求的安全功能的概率也越高，在工業(yè)行業(yè)中一般涉及到的只有1，2，3級(jí)，因?yàn)镾IL4級(jí)投資大，系統(tǒng)復(fù)雜，一般只用于核電行業(yè)2、SIS設(shè)計(jì)原則2.2可靠性原則（安全性原則）32根據(jù)安全相關(guān)系統(tǒng)使用方式，IEC

61508

對(duì)安全儀表功能所屬的過程工藝定義了兩種模式：

低要求(Low

demand)模式和高要求(High

demand)模式，IEC

61511則稱之為要求模式和連續(xù)模式低要求模式和高要求模式定義上的區(qū)別在于：低要求模式下，安全儀表功能每年被執(zhí)行的次數(shù)少于1次（<=1次/年

），并且每個(gè)驗(yàn)證測(cè)試周期中不超過2次，而高要求模式每年安全儀表功能被執(zhí)行的次數(shù)超過1次（>1次/年），每個(gè)驗(yàn)證測(cè)試周期中執(zhí)行次數(shù)超過2次通常來(lái)講，石化化工等行業(yè)所采用的EDS，F(xiàn)GS，BMS等系統(tǒng)，均屬于低要求模式。因?yàn)檎Ｇ闆r下，每年安全功能被執(zhí)行的次數(shù)是不會(huì)超過1次的。當(dāng)然，實(shí)際的應(yīng)用過程中，有可能有些工廠的SIS系統(tǒng)每年動(dòng)作多次，那并不意味著它的工藝就是高要求模式，可能是由于不合理的工藝設(shè)計(jì)，操作習(xí)慣等因素的影響采用不同的操作模式結(jié)構(gòu)有可能使用幾個(gè)安全完整性等級(jí)較低的系統(tǒng)來(lái)滿足一個(gè)較高安全完整性等級(jí)功能的需要例如：使用一個(gè)SIL2和一個(gè)SIL1的系統(tǒng)共同來(lái)滿足一個(gè)SIL3功能的需要2、SIS設(shè)計(jì)原則2.2

可靠性原則（安全性原則）根據(jù)IEC

61508標(biāo)準(zhǔn)，在不同的操作模式下，安全完整性的目標(biāo)失效概率和目標(biāo)風(fēng)險(xiǎn)降低，如右表所示低要求模式下，SIL等級(jí)的定義是按平均每次動(dòng)作發(fā)生故障的幾率（PFD）來(lái)表示。常見的SIL3級(jí)別，代表著每次執(zhí)行安全功能，發(fā)生故障的幾率是10-3

到10-4在高要求模式下，SIL等級(jí)則以每小時(shí)發(fā)生故障的幾率（PFH）來(lái)表示。SIL3級(jí)別意味著每小時(shí)發(fā)生故障的幾率是10-8

到10-7IEC

61511的要求模式和連續(xù)模式下，SIL等級(jí)也是分別用PFD和PFH來(lái)表示，各個(gè)級(jí)別的故障幾率與IEC

61508的規(guī)定相同332、SIS設(shè)計(jì)原則342.2

可靠性原則（安全性原則）提高安全儀表系統(tǒng)的SIL等級(jí)，對(duì)安全儀表系統(tǒng)回路內(nèi)的各個(gè)部分實(shí)行冗余是主要的手段冗余(Redundant)：具有指定的獨(dú)立的N:1重元件，并且可以自動(dòng)地檢測(cè)故障，切換到后備設(shè)備上(SHB

–Z06–

1999)冗余系統(tǒng)(Redundant

System)：并行地使用多個(gè)系統(tǒng)部件，以提供錯(cuò)誤檢測(cè)和錯(cuò)誤校正能力的系統(tǒng)(SHB

–Z06–

1999)2、SIS設(shè)計(jì)原則352.2

可靠性原則（安全性原則）容錯(cuò)(FaultTolerant)：具有內(nèi)部冗余的并行元件和集成邏輯，當(dāng)硬件或軟件部分故障時(shí)，能夠識(shí)別故障并使故障旁路，進(jìn)而繼續(xù)執(zhí)行指定

的功能；或在硬件和軟件發(fā)生故障的情況下，系統(tǒng)仍具有繼續(xù)運(yùn)行的

能力。它往往包括三方面的功能：第一是約束故障，即限制過程或進(jìn)程的動(dòng)作，以防止在錯(cuò)誤被檢測(cè)出來(lái)之前繼續(xù)擴(kuò)大；第二是檢測(cè)故障，即對(duì)信息和過程或進(jìn)程的動(dòng)作進(jìn)行動(dòng)態(tài)檢測(cè)；第三是故障恢復(fù)即更換

或修正失效的部件(SHB

–

Z06

–

1999)容錯(cuò)系統(tǒng)(FaultTolerant

System)：具有容錯(cuò)結(jié)構(gòu)的硬件與軟件系統(tǒng)(SHB

–Z06–1999)2、SIS設(shè)計(jì)原則性原則）2.2

可靠性原則（安全通過冗余和故障屏蔽的結(jié)合來(lái)實(shí)現(xiàn)容錯(cuò)。容錯(cuò)系統(tǒng)一定是冗余系統(tǒng)，冗余系統(tǒng)不一定是容錯(cuò)系統(tǒng)容錯(cuò)系統(tǒng)的冗余形式有雙重、三重、四重等CPU冗余(雙機(jī)熱備)三重模塊冗余容錯(cuò)系統(tǒng)362、SIS設(shè)計(jì)原則372.3

可用性原則工藝條件并未達(dá)到安全極限值，SIS不應(yīng)引導(dǎo)工藝過程停車，但由于其自身存在顯故障（安全故障）而導(dǎo)致工藝過程停車，即不該停車而誤停，降低了可用性對(duì)于安全儀表系統(tǒng)的設(shè)計(jì)而言，不能一味的追求系統(tǒng)的高可靠性，

系統(tǒng)的可用性也需要考慮。正確的判斷過程事故，可以減少裝置

的非正常停車，減少開、停車造成的經(jīng)濟(jì)損失2、SIS設(shè)計(jì)原則2.3

可用性原則可用性（也稱可用度）是指安全儀表系統(tǒng)在一個(gè)給定的時(shí)間點(diǎn)能夠正確執(zhí)行功能的概率，常用百分?jǐn)?shù)計(jì)算：MTBF：平均故障間隔時(shí)間（Mean

TimeBetween

Failures）MDT：平均停車時(shí)間（Mean

Downtime）382、SIS設(shè)計(jì)原則392.3

可用性原則如何提高SIS的可用性？要使系統(tǒng)可用度增加，就要增加平均故障間隔時(shí)間（MTBF），或減少平均停車時(shí)間（MDT）為了提高系統(tǒng)的可用性安全儀表系統(tǒng)應(yīng)具有硬件和軟件自診斷和測(cè)試功能安全儀表系統(tǒng)應(yīng)為每個(gè)輸入工藝聯(lián)鎖信號(hào)設(shè)置維護(hù)旁路開關(guān)，方便進(jìn)行在線測(cè)試和維護(hù)；同時(shí)減少因安全儀表系統(tǒng)系統(tǒng)維護(hù)造成的停車；需要注意的是用于三選二表決方案的冗

余檢測(cè)元件不需要旁路，手動(dòng)停車輸入也不需要旁路；同時(shí)嚴(yán)禁對(duì)安全儀表系統(tǒng)輸出信

號(hào)設(shè)立旁路開關(guān)，以防止誤操作而導(dǎo)致事故發(fā)生如果SIL計(jì)算表明測(cè)試周期小于工藝停車周期，而對(duì)執(zhí)行機(jī)構(gòu)進(jìn)行在線測(cè)試時(shí)無(wú)法確保不影響工藝而導(dǎo)致誤停車，則安全儀表系統(tǒng)的設(shè)計(jì)應(yīng)當(dāng)根據(jù)需要進(jìn)行修改，通過提高冗

余配置以延長(zhǎng)測(cè)試周期或采用部分行程測(cè)試法，對(duì)事故狀態(tài)關(guān)閉的閥門增加手動(dòng)旁通閥，對(duì)事故狀態(tài)開啟的閥門增加手動(dòng)截止閥等措施，以允許在線測(cè)試安全儀表系統(tǒng)閥門這些手段對(duì)于提供安全儀表系統(tǒng)的可用性都是很有幫助的2、SIS設(shè)計(jì)原則402.3

可用性原則MTTF、MTTR、MTBF與SIL的關(guān)系MTBF：平均故障間隔時(shí)間（Mean

Time

Between

Failures）MTTR：平均恢復(fù)時(shí)間（Mean

Time

to

Repair）MTTF：平均無(wú)故障時(shí)間（Mean

Time

to

Failure）MTTF=MTTR+MTBFPFD=MTTR/(MTBF+

MTTR)已知MTTR=24h，MTBF=2000hPFD=24/(24+2000)=0.0119硬件安全完整性等級(jí)為SIL

12、SIS設(shè)計(jì)原則412.3

可用性原則冗余表決方法及其安全性、可用性的關(guān)系可用性(A：Availability)是指系統(tǒng)可使用工作時(shí)間(連續(xù)運(yùn)行時(shí)間)的概率，用百分?jǐn)?shù)計(jì)算，A

=

MTBF/(MTBF+MTTR)，

A值越大可用性越好可靠性（安全性）PFD=MTTR

/(MTBF+MTTR)，PFD越小則安全性越好冗余邏輯表決方法及安全性-可用性的關(guān)系例子如下表所示2、SIS設(shè)計(jì)原則2.3

可用性原則隱故障(危險(xiǎn)故障)使SIS該動(dòng)而拒動(dòng)，隱故障概率越高，

安全性越差顯故障(安全故障)使SIS不該動(dòng)而誤動(dòng)，顯故障概率越高，可用性越差1oo2(二選一)安全性最好，但可用性最差2oo2(二選二)可用性最好，但安全性最差2oo3(三選二)可兼顧冗余邏輯的表決方法及其與安全性、可用性的關(guān)系422、SIS設(shè)計(jì)原則432.4

獨(dú)立性原則安全儀表系統(tǒng)應(yīng)獨(dú)立于基本過程控制系統(tǒng)（BPCS，如DCS，F(xiàn)CS，CCS，

PLC等），獨(dú)立完成安全保護(hù)功能安全儀表系統(tǒng)的檢測(cè)元件，控制單元和執(zhí)行機(jī)構(gòu)應(yīng)單獨(dú)設(shè)置。如果工藝要求同時(shí)進(jìn)行聯(lián)鎖和控制的情況下，安全儀表系統(tǒng)和BPCS應(yīng)各自設(shè)置獨(dú)立的檢測(cè)元件和取源點(diǎn)（個(gè)別特殊情況除外，如配置三取二檢測(cè)元件，進(jìn)DCS信號(hào)三取中，進(jìn)安全儀表系統(tǒng)三取二，經(jīng)過信號(hào)分配器公用檢測(cè)元件）如需要，安全儀表系統(tǒng)應(yīng)能通過數(shù)據(jù)通信連接以只讀方式與BPCS通信，但禁止BPCS通過該通信連接向安全儀表系統(tǒng)寫信息。安全儀表系統(tǒng)應(yīng)配置獨(dú)立的通信網(wǎng)絡(luò)，包括獨(dú)

立的網(wǎng)絡(luò)交換機(jī)，服務(wù)器，工程師站等安全儀表系統(tǒng)應(yīng)采用冗余電源，由獨(dú)立的雙路配電回路供電應(yīng)避免安全儀表系統(tǒng)和BPCS的信號(hào)接線出現(xiàn)同一接線箱、中間接線柜和控制柜內(nèi)2、SIS設(shè)計(jì)原則442.5

標(biāo)準(zhǔn)認(rèn)證原則隨著安全標(biāo)準(zhǔn)的推出以及對(duì)安全系統(tǒng)重視度的不斷提高，安全儀表系統(tǒng)的認(rèn)證也變得越來(lái)越重要，系統(tǒng)的設(shè)計(jì)思想，系統(tǒng)結(jié)構(gòu)都須嚴(yán)格遵守相應(yīng)國(guó)際標(biāo)準(zhǔn)并取得權(quán)威機(jī)構(gòu)的認(rèn)證安全儀表系統(tǒng)必須獲得IEC

61508

SIL相應(yīng)SIL等級(jí)的認(rèn)證。安全儀表系統(tǒng)系統(tǒng)中使用的硬件，軟件和儀表必須遵守正式版本并已商業(yè)化，同時(shí)必須獲得國(guó)家有關(guān)防爆、計(jì)量、壓力容器等強(qiáng)制認(rèn)證。嚴(yán)禁使用任何試驗(yàn)產(chǎn)品2、SIS設(shè)計(jì)原則452.6

故障安全原則組成SIS的各環(huán)節(jié)自身出現(xiàn)故障的概率不可能為零，且供電、供氣中斷亦可能發(fā)生當(dāng)安全儀表系統(tǒng)的元件、設(shè)備、環(huán)節(jié)或能源發(fā)生故障或者失效時(shí)，系統(tǒng)設(shè)計(jì)應(yīng)當(dāng)使工藝過程按預(yù)定的順序能夠趨向安全運(yùn)行或者安

全狀態(tài)（Fault

to

Safety），這就是系統(tǒng)設(shè)計(jì)的故障安全性原則能否實(shí)現(xiàn)“故障安全“取決于工藝過程及安全儀表系統(tǒng)的設(shè)計(jì)2、SIS設(shè)計(jì)原則462.6

故障安全原則整個(gè)SIS，包括現(xiàn)場(chǎng)儀表和執(zhí)行器，都應(yīng)設(shè)計(jì)成以下絕對(duì)安全形式，即：(1)現(xiàn)場(chǎng)觸點(diǎn)應(yīng)開路報(bào)警，正常操作條件下閉合現(xiàn)場(chǎng)開關(guān)儀表選用常開接點(diǎn)，工藝正常時(shí)觸點(diǎn)閉合，達(dá)到安全極限時(shí)觸點(diǎn)斷開，觸發(fā)聯(lián)鎖動(dòng)作，必要時(shí)采用“二選一”、或“三選二”等配置(2)現(xiàn)場(chǎng)執(zhí)行器聯(lián)鎖時(shí)不帶電，正常操作條件下帶電電磁閥采用正常勵(lì)磁，聯(lián)鎖未動(dòng)作時(shí)，電磁閥線圈帶電，聯(lián)鎖動(dòng)作時(shí)斷電對(duì)于執(zhí)行器，如切斷閥，一般情況下SIS應(yīng)設(shè)計(jì)成安全聯(lián)鎖動(dòng)作時(shí)，切斷閥在安全的即失氣的狀態(tài)。當(dāng)有多個(gè)不同的工藝回路對(duì)該切斷閥有不同動(dòng)作要求時(shí)；如同一個(gè)FC（失氣時(shí)關(guān)）切斷閥，A安全聯(lián)鎖動(dòng)作時(shí)要求該閥門全開；另一個(gè)B安全聯(lián)鎖動(dòng)作時(shí)要求該閥門全關(guān)。此時(shí)就要求SIS在A安全聯(lián)鎖中輸出“1“使電磁閥帶電閥門全開，在B安全聯(lián)鎖中輸出”0“使電磁閥失電閥門全關(guān)(3)

送往電氣配電室用以開/停電機(jī)的接點(diǎn)用中間繼電器隔離，其勵(lì)磁電路應(yīng)為故障安全型(4)

作為控制裝置“故障安全”意味著當(dāng)其自身出現(xiàn)故障而不是工藝或設(shè)備超過極限工作范圍時(shí)，至少應(yīng)該聯(lián)鎖動(dòng)作，以便按預(yù)定的順序安全停車（這對(duì)工藝和設(shè)備而言是安全的），進(jìn)而應(yīng)通過硬件和軟件的冗余和容錯(cuò)技術(shù)，在過程安全時(shí)間（PST-Process

Safety

Time）內(nèi)檢測(cè)到故障，自動(dòng)執(zhí)行糾錯(cuò)程序，排除故障以上的說明是通常情況下的故障安全。其實(shí)對(duì)于故障安全還應(yīng)具體情況具體分析，要確定最有可能發(fā)生的故障狀態(tài)，并不是一律“常開接點(diǎn)，正常帶電”2、SIS設(shè)計(jì)原則472.7

冗余原則當(dāng)一個(gè)SIS系統(tǒng)的安全完整性等級(jí)要求為SIL3，實(shí)際配置為傳感器為2.2×10-3(SIL

2)，邏輯解算器為1.3×10-4(SIL3)(包括I/O接口)，終端執(zhí)行器為2.41×10-3(SIL2)，所以整個(gè)系統(tǒng)為SIL2不滿足要求如改變傳感器的配置結(jié)構(gòu)，選擇1oo2冗余，其中共因失效=10%，診斷覆蓋率(DC)=90%，可以算出1oo2傳感器的結(jié)構(gòu)的PFD=2.3×10-4，達(dá)到SIL3的水平，同理可以配置執(zhí)行器為1oo2冗余結(jié)構(gòu)，也可達(dá)到SIL3的要求，于是最終整體SIS系統(tǒng)的SIL可以達(dá)到SIL3的要求這個(gè)問題的解決給我們以啟示，當(dāng)裝置引進(jìn)一個(gè)SIS系統(tǒng)時(shí)，整體安全完整性等級(jí)不僅取決于邏輯解算器部分，而且傳感器、終端執(zhí)行器部分也非常關(guān)鍵；配置系統(tǒng)時(shí)，除了引進(jìn)一個(gè)SIL3的邏輯解算器，還要將傳感器、終端執(zhí)行器一并考慮，算出SIS整體的SIL等級(jí)，定量的安全儀表系統(tǒng)配置任務(wù)才算完成2、SIS設(shè)計(jì)原則482.7

冗余原則為了提高安全儀表系統(tǒng)的SIL等級(jí)，對(duì)系統(tǒng)的各個(gè)單元實(shí)現(xiàn)冗余是必須的。其基本原則為：（1）傳感器的冗余原則：對(duì)于SIS的SIL1回路，可采用單一的傳感器；對(duì)于SIS的SIL2回路，宜采用“1oo2D”

或“2oo3”冗余的傳感器；對(duì)于SIS的SIL3的回路，應(yīng)采用“2oo3”冗余的傳感器（2）SIS邏輯表決算器的冗余原則：SIL1可采用“1oo1D”單邏輯單元；SIL2宜采用“1oo2D”或“2oo3”

冗余邏輯單元；SIL3宜采用“2oo3”

或“2oo4D”

冗余邏輯單元（3）SIS控制閥的冗余設(shè)置原則：SIL1可采用單電磁閥，單SIS控制閥；SIL2宜采用冗余電磁閥，單SIS控制閥；SIL3應(yīng)采用冗余電磁閥，SIS冗余控制閥SIS冗余控制閥為分別帶電磁閥的兩個(gè)SIS開關(guān)閥，也可為帶電磁閥的1個(gè)調(diào)節(jié)閥加1個(gè)SIS開關(guān)閥；冗余輸入的SIS邏輯應(yīng)當(dāng)包括輸入信號(hào)偏差報(bào)警（2個(gè)變送器的信號(hào)偏差，報(bào)警設(shè)定值為5%）2、SIS設(shè)計(jì)原則492.8

診斷與在線維護(hù)原則SIS應(yīng)具有硬件和軟件自診斷及測(cè)試功能SIS應(yīng)為每個(gè)輸入工藝聯(lián)鎖信號(hào)設(shè)置維護(hù)旁路開關(guān)，方便進(jìn)行在線測(cè)試和維護(hù)。用于“3選2”表決方案的冗余傳感器不需要旁路，手動(dòng)停車輸入也不需要旁路嚴(yán)禁對(duì)SIS輸出信號(hào)設(shè)立旁路開關(guān)。如果SIL計(jì)算表明測(cè)試周期小于工藝停車周期，而對(duì)最終執(zhí)行元件進(jìn)行在線測(cè)試時(shí)無(wú)法確保不影響工藝或?qū)е抡`停車；則SIS的設(shè)計(jì)應(yīng)當(dāng)根據(jù)需要進(jìn)行修改，通過提高冗余配置以延長(zhǎng)測(cè)試周期或采用部分行程測(cè)試法，對(duì)故障關(guān)的閥門增加手動(dòng)旁通閥，對(duì)故障開的閥門增加手動(dòng)截止閥等措施，以允許在線測(cè)試SIS閥門對(duì)于SIS聯(lián)鎖旁路應(yīng)設(shè)置“禁止/允許”開關(guān)。SIS旁路開關(guān)的動(dòng)作應(yīng)當(dāng)產(chǎn)生報(bào)警并予以記錄；除非旁路解除，報(bào)警始終處于活動(dòng)狀態(tài)2、SIS設(shè)計(jì)原則502.9

維護(hù)旁路開關(guān)（MOS）設(shè)置MOS作用維護(hù)旁路開關(guān)(Maintenance

Override

Switch,

MOS)為SIS的變送器、檢測(cè)開關(guān)等現(xiàn)場(chǎng)設(shè)備的在線檢修設(shè)置。由于在旁路狀態(tài)下SIF的功能及其安全完整性都是受限的，因此旁路的設(shè)計(jì)和操作管理，成為SIS工程中重要的關(guān)注點(diǎn)之一旁路操作本身應(yīng)有報(bào)警，記錄和顯示；在旁路期間也應(yīng)始終保持對(duì)工藝過程狀態(tài)的檢測(cè)和指示。旁路操作應(yīng)有明確的操作程序，并納入到功能安全評(píng)估和現(xiàn)場(chǎng)功能安全審計(jì)的范圍之內(nèi)。重要的一點(diǎn)，旁路設(shè)計(jì)應(yīng)僅限于正常的工藝過程操作界限之內(nèi)，不能代替或用作安全防護(hù)層功能2、SIS設(shè)計(jì)原則512.9

維護(hù)旁路開關(guān)（MOS）設(shè)置設(shè)置

MOS要遵循以下原則當(dāng)傳感器被旁路時(shí)，操作人員有其它手段和措施觸發(fā)該傳感器對(duì)應(yīng)的最終執(zhí)行元件，使工藝過程置于安全狀態(tài)當(dāng)傳感器被旁路時(shí)，操作人員有其它手段和措施監(jiān)測(cè)到該傳感器對(duì)應(yīng)的過程參數(shù)或狀態(tài)當(dāng)傳感器被旁路時(shí)，操作人員有其它手段和措施，并有足夠的響應(yīng)時(shí)間取代該傳感器相關(guān)的SIF，將工藝過程置于安全狀態(tài)MOS不能用于屏蔽手動(dòng)緊急停車按鈕信號(hào)等MOS的啟動(dòng)狀態(tài)應(yīng)有適當(dāng)?shù)娘@示旁路狀態(tài)的時(shí)間不宜太長(zhǎng)，如果對(duì)該時(shí)間有嚴(yán)格的限定，可設(shè)計(jì)“時(shí)間到”報(bào)警，但是不能自動(dòng)解除旁路狀態(tài)2、SIS設(shè)計(jì)原則522.9

維護(hù)旁路開關(guān)（MOS）設(shè)置對(duì)于MooN表決機(jī)制的變送器信號(hào)，MOS邏輯設(shè)計(jì)要考慮降級(jí)模式對(duì)安全性和可用性的影響例如，從安全性角度，2oo3旁路后應(yīng)降級(jí)1oo2；而對(duì)于停車將造成重大經(jīng)濟(jì)損失的回路，2oo3旁路設(shè)計(jì)可能采用降級(jí)為2oo22、SIS設(shè)計(jì)原則532.10

聯(lián)鎖與復(fù)位設(shè)置SIS的設(shè)計(jì)應(yīng)保證一旦工藝過程進(jìn)入安全狀態(tài)，在進(jìn)行手動(dòng)復(fù)位前應(yīng)保持工藝過程在安全狀態(tài)最終執(zhí)行元件在所有的聯(lián)鎖初始條件恢復(fù)到正常狀態(tài)前不得復(fù)位。帶多個(gè)傳感器和最終執(zhí)行元件的復(fù)雜聯(lián)鎖回路需要在邏輯中設(shè)置

一個(gè)總聯(lián)鎖復(fù)位信號(hào)（按鈕），當(dāng)聯(lián)鎖初始條件恢復(fù)到正常狀態(tài)

之后，能用該復(fù)位信號(hào)（按鈕）對(duì)整個(gè)聯(lián)鎖回路進(jìn)行復(fù)位。對(duì)火

焰加熱爐，氣化爐，反應(yīng)器等高危險(xiǎn)設(shè)備的最終執(zhí)行元件，需配

備一個(gè)獨(dú)立的，就地手動(dòng)復(fù)位裝置?？偮?lián)鎖復(fù)位必須在就地手動(dòng)

復(fù)位前先復(fù)位，就地手動(dòng)復(fù)位裝置的信號(hào)必須輸入SIS邏輯2、SIS設(shè)計(jì)原則542.11

SIS的應(yīng)用軟件組態(tài)在SIS

中，應(yīng)用軟件編程組態(tài)遵循的最重要原則，是如何保證滿足安全完整性要求SIS的整體性能表現(xiàn)，在很大程度上受制于軟件的質(zhì)量。我們知道，安全完整性包括硬件安全完整性和系統(tǒng)性安全完整性。其中軟件錯(cuò)誤或缺陷是影響系統(tǒng)性安全完整性的重要因素之一不幸的是，我們很難對(duì)軟件失效建立數(shù)學(xué)模型并對(duì)失效率進(jìn)行準(zhǔn)確預(yù)測(cè)2、SIS設(shè)計(jì)原則552.11

SIS的應(yīng)用軟件組態(tài)應(yīng)用軟件設(shè)計(jì)和組態(tài)應(yīng)遵循模塊化、低復(fù)雜性的指導(dǎo)原則按照工藝過程特點(diǎn)和防護(hù)邏輯，劃分為相對(duì)獨(dú)立、簡(jiǎn)單的單元或?qū)哟?，這將給功能測(cè)試和修改帶來(lái)極大的便利，有利于增強(qiáng)軟件的安全完整性不論設(shè)計(jì)文件采用哪種格式，包括因果圖（Cause-Effect）、功能邏輯圖、流程圖、文字?jǐn)⑹龅刃问剑家銐蛟敿?xì)，確保對(duì)停車邏輯、設(shè)定值、報(bào)警、診斷以及時(shí)序等的正確組態(tài)基于“經(jīng)驗(yàn)使用”原則，盡可能采用標(biāo)準(zhǔn)功能或功能塊。如果需要采用“嵌套”邏輯，應(yīng)盡可能地降低嵌套層2、SIS設(shè)計(jì)原則562.12

SIS的其它設(shè)計(jì)原則鑒于某些特殊原因，需要由SIS執(zhí)行的非安全功能應(yīng)在因果圖上明確標(biāo)明（如“非安全功能”，“NSF”，SIL=“N/A”

或其它標(biāo)識(shí)）并在其他SIS設(shè)計(jì)文件中指明非安全功能的動(dòng)作，如果由SIS執(zhí)行則不得干擾或危及SIS的任何安全功能2、SIS設(shè)計(jì)原則572.13

結(jié)構(gòu)約束在IEC61508/IEC61511中，結(jié)構(gòu)約束條款用最小的“硬件故障裕度”(Hardware

Fault

Tolerance,HFT)表征，代表了設(shè)備或子系統(tǒng)在構(gòu)成SIL回路時(shí)，從硬件結(jié)構(gòu)上對(duì)安全完整性等級(jí)的限制結(jié)構(gòu)約束是除PFDavg之外，在某個(gè)特定應(yīng)用中使用某個(gè)設(shè)備的附加約束2、SIS設(shè)計(jì)原則582.13

結(jié)構(gòu)約束為了便于區(qū)分，IEC

61508將各種組成安全儀表功能的元件分成兩種A型和B型A型指那些所有故障模式都被定義過，所有故障行為都被定義過，而且有充足的故障數(shù)據(jù)的元件，例如普通傳感器，閥門等B型則相反，指那些故障類型沒有被完整的定義，也沒有足夠的故障數(shù)據(jù)的元件，一般指的是含有處理器的元件，例如智能傳感器，

邏輯運(yùn)算器等2、SIS設(shè)計(jì)原則2.13

結(jié)構(gòu)約束IEC

61508提供了一張表，分別為設(shè)備類型A和B的子系統(tǒng)定義了結(jié)構(gòu)約束表中可以看出，確定安全儀表回路各個(gè)元件的SIL等級(jí)，取決于2個(gè)參數(shù)：一是安全失效分?jǐn)?shù)SFF，二是硬件故障裕度HFTSafe

FailureFraction(SFF)Type AType BHardware FaultTolerance(HFT)Hardware FaultTolerance(HFT)012012<>SIL1SIL2SIL3N.A.SIL1SIL260%<>SIL2SIL3SIL4SIL1SIL2SIL390%<>SIL3SIL4SIL4SIL2SIL3SIL4>99%SIL3SIL4SIL4SIL3S5I9L4SIL42、SIS設(shè)計(jì)原則602.13

結(jié)構(gòu)約束在IEC

61508中，根據(jù)設(shè)備類型及其SFF（安全失效分?jǐn)?shù)，也有稱之為安全故障）和設(shè)備所在子系統(tǒng)的HFT(硬件故障裕度，也有稱之為硬件容錯(cuò)能力）來(lái)確定設(shè)備子系統(tǒng)能夠用于哪級(jí)SIL水平的安全儀表系統(tǒng)2、SIS設(shè)計(jì)原則612.13

結(jié)構(gòu)約束對(duì)SIS來(lái)說，安全失效分?jǐn)?shù)的定義為該SIS產(chǎn)品的平均安全失效率加檢測(cè)到的平均危險(xiǎn)失效率與系統(tǒng)總平均失效率之比安全失效分?jǐn)?shù)SFF=(λsd+λsu+λdd)

/

(λsd+λsu+λdd+λdu)λsd：顯性安全故障λsu：隱性安全故障λdd：顯性危險(xiǎn)故障λdu：隱性危險(xiǎn)故障2、SIS設(shè)計(jì)原則622.13

結(jié)構(gòu)約束提高安全失效分?jǐn)?shù)，就是提高產(chǎn)品的故障安全能力，也就是說，

當(dāng)產(chǎn)品出現(xiàn)故障時(shí)，具有的使系統(tǒng)以安全的方式失效的能力提高安全失效分?jǐn)?shù)的辦法有很多，最重要的就是提高診斷覆蓋率，也就是用各種內(nèi)部診斷的方式將可能導(dǎo)致危險(xiǎn)失效檢測(cè)出來(lái)提高

診斷測(cè)試到的危險(xiǎn)失效概率在危險(xiǎn)失效總概率中的比例2、SIS設(shè)計(jì)原則632.13

結(jié)構(gòu)約束硬件故障裕度HFT和系統(tǒng)的結(jié)構(gòu)有關(guān)常見的系統(tǒng)設(shè)計(jì)結(jié)構(gòu)有1oo1,2oo2,1oo2,2oo3,1oo3,2oo4，這種MooN結(jié)構(gòu)指的是需要總共N個(gè)通道中的M個(gè)獨(dú)立通道來(lái)實(shí)現(xiàn)安全功能硬件故障裕度(Hardware

faulttolerance,

HFT)表征硬件容錯(cuò)能力，是指在能夠正常行使安全功能的情況下，系統(tǒng)結(jié)構(gòu)配置能夠容忍的危險(xiǎn)失效數(shù)目；HFT

的定義是，假如硬件容錯(cuò)能力是X，那么當(dāng)出現(xiàn)X+1個(gè)危險(xiǎn)故障時(shí)，將會(huì)導(dǎo)致安全功能的喪失。所以很明顯，我們可以得出在MooN結(jié)構(gòu)中，硬件容錯(cuò)能力的計(jì)算HFT=N-M，如表硬件故障裕度有時(shí)與冗余配置容易混淆。硬件故障裕度和冗余不是一回事。例

如，1oo3,2oo3,3oo3的設(shè)備冗余數(shù)都是3，而它們的硬件故障裕度卻分別是2，

1，0。有時(shí)候，冗余的設(shè)備是為了提高過程的可用性，而不是為了提高安全性結(jié)構(gòu)1oo12oo21oo22oo31oo32oo4HFT0011222、SIS設(shè)計(jì)原則2.13

結(jié)構(gòu)約束如果某個(gè)B類設(shè)備具有92%的安全失效分?jǐn)?shù)，硬件故障裕度為0，根據(jù)結(jié)構(gòu)約束表可得到它滿足SIL2的要求但一般在實(shí)際工程中，結(jié)構(gòu)約束是以另一種方式使用的。已知的是目標(biāo)SIL水平，設(shè)備類型及其安全失效分?jǐn)?shù)，要確定的是硬件故障裕度。例如，某A類設(shè)備的SFF為50%，安全儀表功能的目標(biāo)SIL水平為2，那么根據(jù)HFT計(jì)算表，硬件裕度為1，所以該設(shè)備的子系統(tǒng)需要為1oo2或2oo3之類的冗余配置64Safe

FailureFraction(SFF)Type AType BHardware FaultTolerance(HFT)Hardware FaultTolerance(HFT)012012<>SIL1SIL2SIL3N.A.SIL1SIL260%<>SIL2SIL3SIL4SIL1SIL2SIL390%<>SIL3SIL4SIL4SIL2SIL3SIL4>99%SIL3SIL4SIL4SIL3SIL4SIL42、SIS設(shè)計(jì)原則652.13

結(jié)構(gòu)約束IEC

61511中要求硬件故障裕度的最低水平應(yīng)該是SIL水平的函數(shù)。這就是說以達(dá)到功能安全為目的的冗余必須與安全儀表功能的目標(biāo)SIL水平相聯(lián)系。對(duì)于現(xiàn)場(chǎng)儀器儀表和非可編程邏輯控制器，其結(jié)構(gòu)約束如右表所示為了達(dá)到SIL2的安全水平必須使用兩個(gè)變送器，

并且這兩個(gè)變送器只需其中一個(gè)動(dòng)作就能夠執(zhí)行安全功能。同樣，對(duì)于SIL3的安全水平，必須使用三個(gè)變送器SIL最小硬件故障裕度1021324有特殊要求（參見IEC61508IEC

61511中為現(xiàn)場(chǎng)設(shè)備規(guī)定的最小硬件故障裕度2、SIS設(shè)計(jì)原則662.13

結(jié)構(gòu)約束IEC61511中使用另一張表對(duì)可編程電子邏輯控制器的結(jié)構(gòu)提出要求，如表所示使用此表時(shí)也需要計(jì)算安全失效分?jǐn)?shù)SFF。它的使用方法和IEC61508中的結(jié)構(gòu)約束是一樣的IEC

61511中為邏輯控制器規(guī)定的最小硬件故障裕度SIL最小硬件故障裕度SFF<>SFF 為60%至90%SFF>90%1100221033214有特殊要求（參見IEC

61508）2、SIS設(shè)計(jì)原則672.14

SIL的最終評(píng)估當(dāng)按照安全要求規(guī)格書的要求，完成SIS設(shè)備的選型和結(jié)構(gòu)設(shè)計(jì)，

自然地要回答這一問題，最終的SIF是否達(dá)到了預(yù)期的SIL要求？SIF的最終評(píng)估，通常有兩個(gè)必要條件：一是SIS系統(tǒng)的PFDavg滿足要求二是評(píng)定SIS系統(tǒng)是否滿足了“結(jié)構(gòu)約束”(ArchitecturalConsraintts)

要求SIS應(yīng)用部分舉例3、SIS應(yīng)用683、SIS應(yīng)用693.1工藝過程風(fēng)險(xiǎn)的評(píng)估及安全度等級(jí)的評(píng)定不同的工藝過程(生產(chǎn)規(guī)模、原料和產(chǎn)品的種類、工藝和設(shè)備的復(fù)雜程度等)對(duì)安全的要求是不同的一個(gè)具體的工藝過程，是否需要配置SIS、配置何種等級(jí)的SIS的步驟（1）對(duì)此具體的工藝過程進(jìn)行風(fēng)險(xiǎn)評(píng)估，要進(jìn)行危險(xiǎn)及可操作性分析(HAZOP)，必要時(shí)補(bǔ)充保護(hù)層分析(Layer

of

protection

analysis，簡(jiǎn)稱LOPA)（2）辨識(shí)出與此分析相應(yīng)的安全儀表功能(SIF)，找到一個(gè)安全儀表聯(lián)鎖回路（3）根據(jù)風(fēng)險(xiǎn)出現(xiàn)的頻率和其產(chǎn)生的嚴(yán)重后果，找到一個(gè)與此SIF相應(yīng)的SIL值（4）在確定了某個(gè)安全儀表功能的完整性等級(jí)(SIL)之后，再配置與之相適應(yīng)的SIS3、SIS應(yīng)用703.1工藝過程風(fēng)險(xiǎn)的評(píng)估及安全度等級(jí)的評(píng)定（1）危險(xiǎn)及可操作性分析(HAZOP)危險(xiǎn)和可操作性研究分析（Hazard

andOperability

Study，簡(jiǎn)稱HAZOP）是以系統(tǒng)工程為基礎(chǔ)的一種可用于定性分析或定量評(píng)價(jià)的危險(xiǎn)性評(píng)價(jià)方法，用于探明生產(chǎn)裝置和工藝過程中的危險(xiǎn)及其原因，尋求必要對(duì)策

HAZOP一詞是20世紀(jì)70年代早期提出的，二十余年前由英國(guó)帝國(guó)化學(xué)公司首先開發(fā)應(yīng)用。經(jīng)過不斷改進(jìn)與完善，在歐美國(guó)家，現(xiàn)已廣泛應(yīng)用于各類工藝過程和項(xiàng)目的風(fēng)險(xiǎn)評(píng)估工作中。有些國(guó)家，如英國(guó)，已通過立法手段強(qiáng)制其在工程建設(shè)項(xiàng)目中推廣應(yīng)用，而在我國(guó)HAZOP分析技術(shù)正處于起步階段。HAZOP是高度專業(yè)化的作業(yè)程序，是一種對(duì)項(xiàng)目做定性的風(fēng)險(xiǎn)分析和風(fēng)險(xiǎn)管理技術(shù)3、SIS應(yīng)用713.1工藝過程風(fēng)險(xiǎn)的評(píng)估及安全度等級(jí)的評(píng)定（1）危險(xiǎn)及可操作性分析(HAZOP)

HAZOP是一種結(jié)構(gòu)化的風(fēng)險(xiǎn)分析工具，能全面、系統(tǒng)的識(shí)別流程中的危險(xiǎn)和改善操作，減少管理的盲點(diǎn)，有效提升工作流程的效率和生產(chǎn)力。HAZOP集中分析異常的操作情況和以前從未發(fā)生過的事，是對(duì)設(shè)計(jì)的重要補(bǔ)充。有文獻(xiàn)數(shù)據(jù)顯示，進(jìn)行HAZOP分析并采納相關(guān)建議后，運(yùn)行時(shí)出現(xiàn)的問題至少減少一個(gè)數(shù)量級(jí)。在通常情況下，HAZOP的研究目標(biāo)應(yīng)該是與液體或氣體產(chǎn)品有關(guān)的承受高壓的設(shè)備、設(shè)施或系統(tǒng)。上述設(shè)備、設(shè)施或系統(tǒng)一般是帶壓后或投入使用后才能成為HAZOP研究方法的研究對(duì)象，所以HAZOP的定義應(yīng)該是：研究目標(biāo)上的具體研究對(duì)象在試運(yùn)或運(yùn)行期間可能發(fā)生的與其本身內(nèi)在危險(xiǎn)性和本身操作有關(guān)的問題。上述定義已經(jīng)考慮了HAZOP應(yīng)用范圍不斷擴(kuò)大的趨勢(shì)3、SIS應(yīng)用723.1工藝過程風(fēng)險(xiǎn)的評(píng)估及安全度等級(jí)的評(píng)定（1）危險(xiǎn)及可操作性分析(HAZOP)HAZOP技術(shù)常用的形式有3種，即引導(dǎo)詞方式（GuideWord

Approach）、經(jīng)驗(yàn)式（Knowledge

Based

HAZOP）和檢查表式（Checklist）引導(dǎo)詞方式主要用于對(duì)新的項(xiàng)目作系統(tǒng)的工藝和操作危害研究，并提出存在的安全隱患問題經(jīng)驗(yàn)式則主要依托原有經(jīng)驗(yàn)對(duì)復(fù)用項(xiàng)目的相關(guān)及改變部分做HAZOP研究檢查表式則主要用于項(xiàng)目的前期工作階段，根據(jù)所用物料的危害性質(zhì)，確定在設(shè)計(jì)中要重視的潛在危害3、SIS應(yīng)用733.1工藝過程風(fēng)險(xiǎn)的評(píng)估及安全度等級(jí)的評(píng)定（1）危險(xiǎn)及可操作性分析(HAZOP)HAZOP的主要方法是：分析偏差，找出原因、分析后果、提出對(duì)策及措施。在分析進(jìn)行前，工藝流程圖應(yīng)達(dá)到相當(dāng)完善的程度；分析開始時(shí)，工藝工程師對(duì)整個(gè)裝置設(shè)計(jì)作詳細(xì)介紹，并講解每一段細(xì)節(jié)的設(shè)計(jì)目的和作用，講解內(nèi)容由秘書記錄下來(lái)。簡(jiǎn)單的說，HAZOP研究主要是應(yīng)用系統(tǒng)的分析方法，將所有相關(guān)的關(guān)鍵詞結(jié)合在一起，對(duì)工廠進(jìn)行查詢，努力發(fā)現(xiàn)任何潛在的問題，其結(jié)果用列表的方式記錄下來(lái)須提供給HAZOP小組的文件主要有PFD（工藝原則流程圖）、P&ID圖（工藝管道和儀表流程圖）、U&ID圖（公用工程管道和儀表流程圖）、設(shè)備平面布置圖、材料規(guī)格書和選材表、設(shè)備規(guī)格表和設(shè)備單線圖。引導(dǎo)詞是代表偏離設(shè)計(jì)意圖和正常操作范圍的失常問題，引導(dǎo)詞實(shí)際上是運(yùn)行參數(shù)或運(yùn)行條件的高度概括，包括流量、壓力、溫度、組分、液位、物相、操作等3、SIS應(yīng)用743.1

工藝過程風(fēng)險(xiǎn)的評(píng)估及安全度等級(jí)的評(píng)定（1）危險(xiǎn)及可操作性分析(HAZOP)HAZOP一般包括以下5個(gè)步驟：1）定義危險(xiǎn)和可操作性分析所要分析的系統(tǒng)或活動(dòng)2）定義分析所關(guān)注的問題3）分解被分析的系統(tǒng)并建立偏差4）進(jìn)行HAZOP工作5）用HAZOP分析的結(jié)果決策3、SIS應(yīng)用753.1工藝過程風(fēng)險(xiǎn)的評(píng)估及安全度等級(jí)的評(píng)定（1）危險(xiǎn)及可操作性分析(HAZOP)關(guān)于某個(gè)研究節(jié)點(diǎn)的某個(gè)引導(dǎo)詞提出來(lái)以后，按照以下順序進(jìn)行討論：1）原因：就是找出研究節(jié)點(diǎn)發(fā)生該引導(dǎo)詞所代表的失常問題的原因2）結(jié)果：就是討論發(fā)生上述失常問題時(shí)可能產(chǎn)生的后果3）已到位的安全措施：就是檢查是否已經(jīng)采取了相應(yīng)的保護(hù)措施4）后續(xù)行動(dòng)：就是討論應(yīng)補(bǔ)充或應(yīng)改進(jìn)的措施，并作為會(huì)后后續(xù)行動(dòng)記錄下來(lái)5）行動(dòng)執(zhí)行單位：就是建議由哪個(gè)單位負(fù)責(zé)完成相應(yīng)的會(huì)后后續(xù)行動(dòng)6）優(yōu)先等級(jí)：就是明確表明需要落實(shí)的會(huì)后后續(xù)行動(dòng)的緩急程度3、SIS應(yīng)用3.1

工藝過程風(fēng)險(xiǎn)的評(píng)估及安全度等級(jí)的評(píng)定（1）危險(xiǎn)及可操作性分析(HAZOP)通常的做法是成立一個(gè)多學(xué)科的研究小組，該組人員以“有組織的自由討論”形式一起工作在評(píng)審過程中，首先將被研究的系統(tǒng)或設(shè)施分解成HAZOP的最小研究單位——研究節(jié)點(diǎn)，并把每個(gè)研究節(jié)點(diǎn)的設(shè)計(jì)意圖向研究小組成員進(jìn)行解釋然后對(duì)P&ID圖上表示的設(shè)計(jì)內(nèi)容進(jìn)行系統(tǒng)分析，

并以此來(lái)識(shí)別危險(xiǎn)，具體方法：用引導(dǎo)詞來(lái)系統(tǒng)的識(shí)別因不符合設(shè)計(jì)意圖而可能出現(xiàn)的潛在的危險(xiǎn)性或可操作性問題最后把這種偏差問題或失常問題的可能原因和與其有關(guān)的后果、現(xiàn)有的保護(hù)措施以及該研究小組的有關(guān)建議等，一起列在工作表上763、SIS應(yīng)用773.1工藝過程風(fēng)險(xiǎn)的評(píng)估及安全度等級(jí)的評(píng)定（1）危險(xiǎn)及可操作性分析(HAZOP)HAZOP具有如下特點(diǎn)：1）由第三方人員直接負(fù)責(zé)組織當(dāng)前的直接設(shè)計(jì)人員和將來(lái)的直接運(yùn)行人員共同討論在設(shè)計(jì)中的細(xì)節(jié)問題（這與專家評(píng)審方法不同）2）只考慮可引起各種事故的細(xì)節(jié)性失常問題的內(nèi)在原因。不考慮與失常問題有關(guān)的外部原因（這與HSE方面的危險(xiǎn)識(shí)別方法不同）3）是一種用于識(shí)別危險(xiǎn)性和可操作性問題的形式化和系統(tǒng)化的識(shí)別方法，不能被用來(lái)解決這些問題或量化這些問題（這與技術(shù)咨詢方法不同）4）結(jié)論是建議性的，不是強(qiáng)制性的，只要求限期回答有關(guān)問題，只要能夠解釋通，可以不執(zhí)行有關(guān)的結(jié)論（這與事故的調(diào)查方法不同）5）目的只是評(píng)審在評(píng)審用P&ID圖上表示出來(lái)的并與操作程序有關(guān)的資料。將不會(huì)涉及到評(píng)審用P&ID

圖上沒有標(biāo)出的資料（例如：平面布置的細(xì)節(jié)）或在評(píng)審用程序文件中沒有包括的操作方式（局限性1）6）只考慮由于一種可信的常規(guī)故障或至多兩種可信的常規(guī)故障引起的危險(xiǎn)，所以不會(huì)覆蓋所有低頻率的災(zāi)難性事件或多重故障引起的危險(xiǎn)性事件（局限性2）3、SIS應(yīng)用783.1工藝過程風(fēng)險(xiǎn)的評(píng)估及安全度等級(jí)的評(píng)定（1）危險(xiǎn)及可操作性分析(HAZOP)HAZOP

的局限性HAZOP技術(shù)簡(jiǎn)單易學(xué)，可激發(fā)創(chuàng)造性，開拓思路，但其也有一定的局限性HAZOP技術(shù)的局限主要是其審查的結(jié)果依賴于所審圖紙及數(shù)據(jù)的準(zhǔn)確度，并要求組成一個(gè)專家小組，小組成員應(yīng)具備較好的專業(yè)知識(shí)和經(jīng)驗(yàn)HAZOP只考慮可引起各種事故的細(xì)節(jié)性失常問題的內(nèi)在原因，不考慮與失常問題有關(guān)的外部原因HAZOP是一種用于識(shí)別危險(xiǎn)性和可操作性問題的形式化和系統(tǒng)化的識(shí)別方法，不能被用來(lái)解決這些問題或量化這些問題3、SIS應(yīng)用793.1工藝過程風(fēng)險(xiǎn)的評(píng)估及安全度等級(jí)的評(píng)定（1）危險(xiǎn)及可操作性分析(HAZOP)HAZOP分析技術(shù)被公認(rèn)為是防止損失的最廣泛采用的方法，是適于化工工藝過程危害辨識(shí)的分析技術(shù)，近年來(lái)已經(jīng)得到了廣泛的應(yīng)用，以上介紹了HAZOP分析的具體方法，分析了其優(yōu)缺點(diǎn)，并指出了HAZOP技術(shù)的應(yīng)用范圍，但應(yīng)用HAZOP分析時(shí)應(yīng)注意以下幾點(diǎn)：1）HAZOP分析對(duì)團(tuán)隊(duì)成員要求較高，要求有經(jīng)驗(yàn)的人員參與，都應(yīng)是本專業(yè)領(lǐng)域內(nèi)有豐富經(jīng)驗(yàn)的專家，組成多元化的團(tuán)隊(duì)。2）由于HAZOP技術(shù)的全面性、系統(tǒng)性和細(xì)致性，要給專家團(tuán)隊(duì)充裕的分析時(shí)間，同時(shí)每天的工作時(shí)間不宜過長(zhǎng)3）要準(zhǔn)確的劃定HAZOP分析的目標(biāo)和范圍。HAZOP所要分析的是一個(gè)系統(tǒng)在正常運(yùn)行中各種可能的偏差，因此清楚的定義一個(gè)系統(tǒng)的設(shè)計(jì)功能或正常運(yùn)行是分析工作中非常重要的一步4）在會(huì)前應(yīng)做好充分的準(zhǔn)備工作，要保證提供給HAZOP的圖紙及其他參考信息的準(zhǔn)確性和真實(shí)性。待審查的設(shè)計(jì)文件的深度決定了HAZOP審查的深度5）HAZOP分析是一項(xiàng)動(dòng)態(tài)工作，與設(shè)計(jì)階段同步進(jìn)行，直至施工安裝完畢。項(xiàng)目或系統(tǒng)分析完畢后應(yīng)進(jìn)行適當(dāng)?shù)母?、SIS應(yīng)用803.1工藝過程風(fēng)險(xiǎn)的評(píng)估及安全度等級(jí)的評(píng)定（1）危險(xiǎn)及可操作性分析(HAZOP)LOPA分析針對(duì)HAOP分析風(fēng)險(xiǎn)時(shí)，無(wú)法確定現(xiàn)有措施是否充分、保護(hù)層的消減能力、剩余風(fēng)險(xiǎn)能否接受等問題，應(yīng)用LOPA分析技術(shù)在

HAZOP定性分析的基礎(chǔ)上，進(jìn)一步對(duì)已有措施和建議措施的消減能力進(jìn)行半定量的評(píng)估，可以解決HAZOP分析的不足保護(hù)層分析(Layer

of

protection

analysis，簡(jiǎn)稱LOPA)是在定性危害分析(如HAZOP)

的基礎(chǔ)上，進(jìn)一步評(píng)估降低不期望事件頻率或后果嚴(yán)重性的獨(dú)立保護(hù)層的有效性，并進(jìn)行風(fēng)險(xiǎn)決策的系統(tǒng)方法其主要目的是確定是否有足夠的保護(hù)層使過程風(fēng)險(xiǎn)滿足企業(yè)的風(fēng)險(xiǎn)可接受標(biāo)準(zhǔn)。LOPA是一種半定量的風(fēng)險(xiǎn)評(píng)估技術(shù)，通常使用初始事件頻率、后果嚴(yán)重程度和獨(dú)立保護(hù)層(IPL)失效頻率的數(shù)量級(jí)大小來(lái)近似表征場(chǎng)景的風(fēng)險(xiǎn)3、SIS應(yīng)用3.1

工藝過程風(fēng)險(xiǎn)的評(píng)估及安全度等級(jí)的評(píng)定（1）危險(xiǎn)及可操作性分析(HAZOP)LOPA分析一個(gè)典型的化工過程包含各種保護(hù)層，呈“洋蔥”形分布，如本質(zhì)安全設(shè)計(jì)、基本過程控制系統(tǒng)(BPCS)、報(bào)警與人員干預(yù)、安全儀表功能(SIF)、物理保護(hù)(安全閥等)、釋放后保護(hù)設(shè)施、工廠應(yīng)急響應(yīng)和社區(qū)應(yīng)急響應(yīng)等，這些保護(hù)層能夠有效的降低事故發(fā)生的頻