安全完整性的选择与分配——季瞻
本文由zzabchappy贡献
pdf1。
安全完整性的选择与分配
季瞻 ? 13916027145 ? 北京康吉森自动化设备技术 有限公司
风险降低:通用概念
残余风险 允许风险 EUC风险
必要的风险降低 实际的风险降低
风险增加
被其它技术安全相 关系统覆盖的部分 风险
被E/E/PE安全相 关系统覆盖的部分 风险
被外部风险降低设 施覆盖的部分风险
所有安全系统和外部风险降低设施所获得的风险降低
风险降低:通用概念
EUC风险:由EUC与EUC控制系统相互作用而产生的风险。 ? 是一种与EUC本身有关的风险,但也考虑EUC控制系统带来的风 险降低。 ? 允许风险:应依据许多因素(如伤害的严重程度、暴露在危险中 的人数、一个人/多人暴露在危险中的频率和持续时间)决定。重 要的因素应是暴露在危险中的人的感觉和视觉。对于一个特定应 用允许风险的构成,应考虑下系列因素: ——相关安全法规的要求; ——工业标准与导则; ——与应用有关的不同团体的讨论与协议; ——来自咨询机构的最好的独立工业、专家和科学的建议; ? 残余风险:采取防护措施以后仍存在的风险。
风险降低:通用概念
必要的风险降低:为保证不超过允许风险,有安全相关系 统、其它技术安全相关系统和外部风险设施达到风险的 降低。是降低风险来保证则特定的情况下不超过允许风 险。 安全相关系统的作用:安全相关系统可满足必要的风险降 低,以便符合允许风险的要求。安全相关系统: ——实现所要求的安全功能是EUC达到安全状态或保持 EUC的安全状态,并 ——自身或与其它安全相关系统一道,实现所要求的安全 功能的必需的安全完整性。 一个人可能是完整的安全相关系统的一个部分。如一个人 可通过屏幕显示来获取信息,并根据这一信息完成安全 操作。
风险降低:通用概念
安全完整性:在规定的条件下、规定的时间内,安全相关 系统成功实现所要求的安全功能的概率。安全完整性与 执行安全功能的安全相关系统的性能有关。 安全完整性由下列两个因素造成: ——硬件安全完整性:在危险失效模式中与随机硬件失效 有关的安全相关系统安全完整性的一部分,规定安全相 关硬件安全完整性等级的作用是可在一个合理的水平下 进行精确评估,并将其要求的通用法则在子系统中进行 分配。可能需要使用冗余结构来达到足够的硬件安全完 整性。 ——系统安全完整性:在危险失效模式中与系统失效有关 的安全相关系统安全完整性的一部分。
风险降低:通用概念
E/E/PE安全相关系统、其它技术安全相关系统和外 部风险降低设施所要求的安全完整性必须在相应 等级,以保证: ——安全相关系统的失效频率足够低,以防止危险 事件频率超过要求的允许风险,和/或 ——安全相关系统将失效后果修改至满足允许风险 要求的范围内。
风险和安全完整性概念
正确区分并完全理解风险和安全完整性是非常重要 的。 风险是对一个特定危险事件出现的概率和结果的估 计,可以对不同情况的风险进行评价(如EUC风 险、要求满足的风险、实际风险)。允许风险根 据社会基础和有关社会和政治因素的考虑来确定。 安全完整性只应用于E/E/PE安全相关系统、其它技 术安全相关系统和外部风险降低措施,并作为这 写系统/设施在规定的安全功能方面取得必要的风 险降低的概率计量。
合理可行的低(ALARP)和允许风险概念
可忽略的风险 b. 广泛可接受的区域 (无需为论证ALARP 进行细致工作) (3) 当风险减少时,相对而言,进一步降低风 险以满足ALARP所需的花费越小。三角形 表示了面积减少的概念 需要确保风险维持这一水平
c. ALARP或允许区域(若 要获得利益就要承担风险) (2)
只有当进一步风险降低不可行或成本 与获得的改进非常不相称是不允许
a. 不允许的区域
除非特殊情况下,不能对风险进行判断
合理可行的低(ALARP)和允许风险概念
a)风险非常大,完全不能接受。 b)将产生或已产生的风险非常小,可以认为无关紧要。低 于允许区域,但需要提高警惕以确保风险维持在这一水 平上。 c)介于a和b,考虑接受风险带来的利益金额任何进一步减 少风险所需的成本,风险已被降低到可行的最低水平。 根据C,ALARP原理要求任何风险必须降低到可行的合理 水平或可行的合理水平一样低。如果风险介于两个极值 之间,并应用ALARP原理,这样产生的风险即这种特定 应用的允许风险。
确定安全完整性等级——一种定性方法: 风险图
W3 W2 W1 S1 A1 S2 A2 G2 S3 S4 A1 A2 G2 G1 1 G1 2 3 4 5 6 7 8 _ 1 2 3 4 5 6 7 _ _ 1 2 3 4 5 6 Necessary Minimum risk Reduction 1 2,3 4 5, 6 7 8 IEC-61508 Safety Integrity Level
No Safety Requirements No Special Safety Requirements SIL 1 SIL 2 SIL 3 SIL 4 A single PES is not sufficient
Degree of consequence 最终导致的结果
S1 : Light injury & light damages for environment 人员轻伤,设备损害 S2 : Death of 1 person 一人死亡 S3 : Death of more than 1 person 一人以上的死亡 S4 : Catastrophic result 灾难性后果
Presence in hazardous area 人处于危险区的机率
A1 : Rarely to frequently 几乎很少 A2 : Frequently to continuously 经常性
Possibility of failure prevention 排除故障可能性
G1 : Limited possibility 有限 G2 : Hardly possible 几乎不可能
Probability of hazard occurrence 危险发生的概率
W1 : Very low 很低 W2 : Low 低 W3 : Relatively high 相对较高
安全完整性等级(SIL)
安全完整性是指安全仪表系统在规定的状态和规定的 时间周期内,成功完成安全仪表功能的平均概率。安 全完整性应包括两部分: 系统安全完整性:指在危险失效模式下与系统失效有 关的安全完整性; 硬件安全完整性:指在危险失效模式中与硬件随机性 失效相关的安全完整性。 ? 安全完整性等级(SIL)用于确定安全仪表系统中安全 仪表功能(SIF)的安全完整性要求。SIL等级分为SIL 1、SIL 2、SIL 3、SIL 4四级。SIL等级越高,SIF失 效的概率越低。
安全完整性等级(SIL)
确定SIL等级时应考虑应用模式。在要求模式下 工作时,SIF的安全完整性用要求时的目标平均 失效概率衡量,应根据表4.1.3-1规定;在连续 模式下工作时,SIF的安全完整性用执行安全仪 表功能的目标危险失效频率(每小时)衡量, 应根据下表中的规定。
安全完整性等级:低要求时的失效概率
(表一)
安全完整性等级:SIF的危险失效频率
(表二)
安全分配的目的
为指定的SIS保护层、其它技术安全相关系统和 外部风险设施分配安全功能(包括安全功能要 求和安全完整性要求);考虑需要什么样的其 它保护层以及其它所提供的保护功能有多大。 ? 在考虑了其它保护层之后,应对SIS保护层的需 要作出判断,确定要求的安全仪表功能。 ? 对每个安全功能分配安全完整性等级。如果需 要一个SIS保护层,则应对该SIS安全仪表功能 的SIL。
安全保护层模型
社会应急响应 工厂应急响应 紧急广播 撤离规程
SIL?
减轻 机械减轻系统 仪表安全控制系统 安全仪表减轻系统 预防 机械保护系统 安全仪表控制/预防系统
操作员监督 过程控制系统
Process equipment 过程设备
安全分配的要求
确定将使用的安全层和分配安全仪表功能的性能指标。 给专门用来预防、控制或减轻来自过程及其相关装置 危险的保护层分配安全功能;并给安全仪表功能分配 风险降低目标。在许多情况下,只有在使用固有的安 全设计或其它技术安全相关系统存在问题的场合,才 将安全功能分配给安全仪表系统。例如:反应炉是使 用安全仪表系统还是安全阀。需要有足够的理由来支 持。 ? 可用SIS或外部风险降低设施和其它技术安全相关系 统达到系统必要的风险降低,推导出该功能要求的安 全完整性等级。
安全分配的要求
在给SIS、外部风险降低设施和其它技术安全相关系 统分配安全功能时,应考虑整体安全生命周期的所有 阶段中可能利用的技能和资源(其中可用的操作、维 护技能和资源以及操作中环境对实际操作所要求的功 能安全是关键性的)。 ? 把建立的每个安全功能及其相应的安全完整性要求, 分配给指定的SIS或安全相关系统,并考虑其它技术 安全相关系统和外部风险降低设施所产生的风险降 低,以达到安全功能必要的风险降低。这种分配应重 复进行,如发现不能达到风险降低重新分配。要求的 风险降低越大,该功能就月可能分配更多的安全相关 系统。
安全分配的要求
把功能安全分配给安全仪表功能时,需要考虑操作模 式是高(连续)还是低。 ? 表一中的SIL是通过平均失效概率PFDavg来定义的, 而目标PFDavg是通过要求的风险降低来确定的,要 求的风险降低可以通过对没有SIS时的过程风险同允 许风险进行比较来确定,它能通过上述过程风险评估 中的定量或定性原则来确定。 ? 表二中用来执行安全仪表功能的危险失效目标频率来 定义SIL,可通过SIS的允许失效率并考虑特定应用中 失效后果来确定SIL。
安全分配的要求
对每个安全功能的安全完整性要求应进行鉴定。 ? 进行分配时还应考虑共同原因失效的概率。如SIS、 外部风险降低设施和其它技术安全相关系统对于分配 而言被看作是独立的,则他们: A 实现功能的途径是多种多样的; B 可以不同种类型的设备,不同技术达到相同的结果; C 不能用因其失效而引起所有系统产生危险失效模式的 公用部件,如电源; D 不能使用公用的操作、维护或测试规程; E 应在物理上分开,是可预见的失效不会影响冗余安全 相关系统和外部风险降低设施。
安全分配的要求
如果不能满足上述各条款的所有要求,除非进行一次 并显示这些系统是充分独立的,否则对于安全完整性 分配来说,SIS、外部风险降低设施和其它技术安全 相关系统都不能视为独立系统。 ? 当分配完成后,分配给SIS的每个安全功能的安全完 整性要求,应按表一和表二中的安全完整性等级进行 规定,并指出目标安全完整性参数的操作模式。 ? 对用于实现不同安全完整性等级的SIS,除非显示这 些安全功能的实现之间是充分独立的。否则应把硬件 和软件的那些部分作为最高安全完整性等级的安全功 能来对待。
谢 谢!
- 确定安全完整性等级(SIL)需求的方法
- 确定安全完整性等级(SIL)需求的方法
- 在役装置安全仪表系统安全完整性等级SIL评估PPT(53张)
- 在役装置安全仪表系统安全完整性等级SIL评估PPT课件(PPT53页)
- 燕山石化安全仪表系统安全完整性等级评估管理规定
- 安全仪表系统安全完整性等级的评估技术
- 安全完整性等级认证(SIL)
- 中国石化安全仪表系统安全完整性等级评估管理规定(试行)259-2013
- 安全仪表系统安全完整性等级的评估技术
- 中石化安[2013]259号《中国石化安全仪表系统安全完整性等级评估管理规定(试行)》
- 确定安全完整性等级(SIL)需求的方法
- 安全完整性等级认证(SIL)
- SIS的SIL等级验证评估(114)
- 安全完整性等级认证(SIL)
- 安全仪表系统安全完整性等级(SIL)评估步骤
- 关于印发《中国石化安全仪表系统安全完整性等级评估管理规定(试行)》的通知
- 007燕山石化安全仪表系统安全完整性等级评估管理规定
- 007燕山石化安全仪表系统安全完整性等级评估管理规定
- 安全完整性等级认证
- SIS的SIL等级验证评估