爆炸保護(hù)系統(tǒng)的功能安全評(píng)估方法2022-03-09發(fā)布2022-10-01實(shí)施國家標(biāo)準(zhǔn)化管理委員會(huì) I 2規(guī)范性引用文件 3術(shù)語和定義 4功能安全評(píng)估通則 25功能安全評(píng)估程序 36文件記錄 7附錄A(資料性)功能安全評(píng)估示例 8附錄B(資料性)失效識(shí)別方法 參考文獻(xiàn) 圖1爆炸保護(hù)系統(tǒng)功能安全評(píng)估流程 2圖A.1除塵器的爆炸抑制和隔離系統(tǒng) 8圖A.2系統(tǒng)功能框圖 9圖B.1電源的故障樹分析 表A.1HRD滅火器部件失效率的示例 9表A.2HRD滅火器部件失效的后果和危險(xiǎn)程度 表A.3爆炸抑制功能要求時(shí)的平均失效概率(PFDavg) I本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。請(qǐng)注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別專利的責(zé)任。本文件由中國機(jī)械工業(yè)聯(lián)合會(huì)提出。本文件由全國工業(yè)過程測(cè)量和控制標(biāo)準(zhǔn)化技術(shù)委員會(huì)(SAC/TC124)歸口。本文件起草單位：廣州特種機(jī)電設(shè)備檢測(cè)研究院、機(jī)械工業(yè)儀器儀表綜合技術(shù)經(jīng)濟(jì)研究所、東莞匯樂環(huán)保股份有限公司、國家防爆設(shè)備質(zhì)量監(jiān)督檢驗(yàn)中心(廣東)、普瑞泰格(南京)安全設(shè)備有限公司、浙江中控技術(shù)股份有限公司、東北大學(xué)、廣東技術(shù)師范大學(xué)、華南理工大學(xué)、東莞新能源科技有限公司、中國特種設(shè)備檢測(cè)研究院、廣東工業(yè)大學(xué)。Ⅱ?yàn)榱吮ＷC爆炸性環(huán)境用爆炸保護(hù)系統(tǒng)設(shè)計(jì)和制造的功能安全評(píng)估程序和信息的一致性，需要對(duì)其進(jìn)行標(biāo)準(zhǔn)化。功能安全評(píng)估是一種工具，它提供了制造商和用戶之間的基本聯(lián)系。本文件針對(duì)爆炸性環(huán)境用爆炸保護(hù)系統(tǒng)建立了一套實(shí)現(xiàn)功能安全、可靠性和有效性的方法。當(dāng)爆炸的發(fā)生不可避免時(shí)，爆炸保護(hù)系統(tǒng)可立即終止爆炸和/或限制其影響，并將發(fā)生的爆炸風(fēng)險(xiǎn)減小至可接受水平。在設(shè)計(jì)爆炸保護(hù)系統(tǒng)時(shí)，通過對(duì)系統(tǒng)的預(yù)期故障進(jìn)行適當(dāng)分析，可有效地提高和保證爆炸保護(hù)系統(tǒng)的功能安全。因此，有必要對(duì)爆炸保護(hù)系統(tǒng)進(jìn)行功能安全評(píng)估。本文件可以為爆炸保護(hù)系統(tǒng)提供決策建議，并指導(dǎo)特定類型爆炸保護(hù)系統(tǒng)功能安全相關(guān)標(biāo)準(zhǔn)的制定。1爆炸保護(hù)系統(tǒng)的功能安全評(píng)估方法本文件描述了爆炸性環(huán)境用爆炸保護(hù)系統(tǒng)功能安全評(píng)估方法的術(shù)語和定義、評(píng)估通則、評(píng)估程序及文件記錄。本文件適用于爆炸保護(hù)系統(tǒng)在設(shè)計(jì)、制造、使用、維護(hù)及檢測(cè)檢驗(yàn)等環(huán)節(jié)的功能安全評(píng)估。本文件不適用于以下情況：——潛在點(diǎn)燃源的識(shí)別和點(diǎn)燃危險(xiǎn)的風(fēng)險(xiǎn)評(píng)估；——爆炸危險(xiǎn)環(huán)境監(jiān)測(cè)系統(tǒng)的功能安全評(píng)估；——特定類型的爆炸保護(hù)系統(tǒng)的符合性驗(yàn)證。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本(包括所有的修改單)適用于本文件。GB/T2900.35—2008電工術(shù)語爆炸性環(huán)境用設(shè)備GB/T20438(所有部分)電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全3術(shù)語和定義GB/T20438(所有部分)和GB/T2900.35—2008界定的以及下列術(shù)語和定義適用于本文件。失效failure在任何系統(tǒng)項(xiàng)目、部分項(xiàng)目、任何管理功能任務(wù)或程序中，不執(zhí)行或不按照預(yù)先規(guī)定執(zhí)行的事件，或不可操作的狀態(tài)。用于及時(shí)終止初期爆炸和/或限制爆炸影響范圍的具有獨(dú)立功能的系統(tǒng)。與爆炸保護(hù)系統(tǒng)(包含安全相關(guān)裝置)的預(yù)期用途和完整性有關(guān)的整體安全的一部分。注1:功能安全取決于爆炸保護(hù)系統(tǒng)及其他安全相關(guān)系統(tǒng)的正確施行。注2:本定義與GB/T20438.4—2017中的定義相偏離，體現(xiàn)出爆炸安全術(shù)語上的差異性。注3:爆炸保護(hù)系統(tǒng)的功能安全也屬于爆炸保護(hù)系統(tǒng)性能的一部分。估算或確定爆炸保護(hù)系統(tǒng)安全功能失效發(fā)生概率的活動(dòng)。2確定爆炸保護(hù)系統(tǒng)的功能安全是否滿足預(yù)期可接受標(biāo)準(zhǔn)的程序和活動(dòng)。對(duì)爆炸保護(hù)系統(tǒng)的功能安全進(jìn)行估計(jì)和評(píng)價(jià)的全部活動(dòng)。4功能安全評(píng)估通則4.1功能安全評(píng)估步驟爆炸保護(hù)系統(tǒng)的功能安全評(píng)估應(yīng)按圖1所示步驟逐步開展，確保功能安全評(píng)估人員用一種系統(tǒng)化的方法檢查并核實(shí)爆炸保護(hù)系統(tǒng)的全部或部分功能，使之依據(jù)設(shè)計(jì)時(shí)的經(jīng)濟(jì)技術(shù)要求達(dá)到足夠的功能性和完整性級(jí)別。開始開始用途失效識(shí)別功能性功能安全估計(jì)驗(yàn)收準(zhǔn)則(例如，功能安全評(píng)價(jià)爆炸抑制)否是結(jié)束注：虛線內(nèi)容不屬于功能安全評(píng)估的一部分。符合性確認(rèn)不是功能安全評(píng)估的組成部分。圖1爆炸保護(hù)系統(tǒng)功能安全評(píng)估流程爆炸保護(hù)系統(tǒng)功能安全評(píng)估分為以下4個(gè)步驟：a)第一步：爆炸保護(hù)系統(tǒng)的描述(見5.2);b)第二步：失效/故障的識(shí)別(見5.3);c)第三步：功能安全估計(jì)(見5.4);2)完整性；d)第四步：功能安全評(píng)價(jià)(見5.5)。3上述4個(gè)步驟是決定爆炸保護(hù)系統(tǒng)是否達(dá)到預(yù)期用途中所需預(yù)期功能安全級(jí)別的基礎(chǔ)。功能安全評(píng)估結(jié)果應(yīng)在技術(shù)文件中詳細(xì)說明(見第6章)。如果沒有達(dá)到預(yù)期所要求的功能性和完整性級(jí)別，則有必要改進(jìn)爆炸保護(hù)系統(tǒng)或重新定義更合適的預(yù)期用途。注：選擇適當(dāng)?shù)拇胧└倪M(jìn)爆炸保護(hù)系統(tǒng)不屬于本文件的內(nèi)容。如果功能安全評(píng)估由制造商完成，則在技術(shù)文件中應(yīng)對(duì)功能安全評(píng)估結(jié)果進(jìn)行詳細(xì)說明(見第6章)。功能安全評(píng)估的實(shí)施和執(zhí)行應(yīng)以定性方法為支撐，并在適當(dāng)情況下以定量方法加以補(bǔ)充。4.2功能安全評(píng)估范圍爆炸保護(hù)系統(tǒng)應(yīng)基于4.3規(guī)定的所需信息開展評(píng)估。爆炸保護(hù)系統(tǒng)的功能安全評(píng)估應(yīng)限于其預(yù)期用途和可合理預(yù)期的誤用。注：可合理預(yù)期的誤用指操作者因疏忽或錯(cuò)誤理解而對(duì)爆炸保護(hù)系統(tǒng)的不正確使用和/或操作。誤用不是正常操作的一部分?？深A(yù)期的誤用不包括故意行為。4.3功能安全評(píng)估所需信息爆炸保護(hù)系統(tǒng)功能安全評(píng)估所需信息應(yīng)至少包括：a)預(yù)期用途；b)用于爆炸保護(hù)系統(tǒng)設(shè)計(jì)的安全特性；c)維護(hù)要求；d)實(shí)際和可預(yù)期的周邊區(qū)域環(huán)境；e)相關(guān)設(shè)計(jì)圖紙；f)設(shè)計(jì)計(jì)算及開展檢查的結(jié)果。a)測(cè)試報(bào)告；b)事故案例；c)安全相關(guān)的出版物。如果爆炸保護(hù)系統(tǒng)沒有相關(guān)的事故案例，則應(yīng)使用可獲取的類似爆炸保護(hù)系統(tǒng)的信息。當(dāng)爆炸保護(hù)系統(tǒng)缺少事故案例、僅出現(xiàn)少量事故或輕微事故時(shí)不應(yīng)直接將其評(píng)定為低風(fēng)險(xiǎn)。功能安全評(píng)估所需信息也包括其他可能的預(yù)防措施。上述所需信息需要根據(jù)爆炸保護(hù)系統(tǒng)相關(guān)技術(shù)的發(fā)展而不斷更新。對(duì)于定量評(píng)估，應(yīng)在確定數(shù)據(jù)適用性的前提下使用由數(shù)據(jù)庫、手冊(cè)、實(shí)驗(yàn)室和制造商的規(guī)格書中提供的數(shù)據(jù)。任何與數(shù)據(jù)相關(guān)的不確定性都應(yīng)記錄在第6章規(guī)定的文件中。注：數(shù)據(jù)用于定義可預(yù)期的操作要求，與可靠性、適用性、耐用性、通用性、良性的故障及失效保護(hù)特性和標(biāo)簽、警告、標(biāo)識(shí)、可追溯性要求和指示相關(guān)。相對(duì)于測(cè)試數(shù)據(jù)，基于間接來自經(jīng)驗(yàn)的專家意見的一致性數(shù)據(jù)，宜用于定性評(píng)估。5功能安全評(píng)估程序5.1原則爆炸保護(hù)系統(tǒng)功能安全的評(píng)估，應(yīng)根據(jù)對(duì)爆炸保護(hù)系統(tǒng)的功能和所防護(hù)的爆炸類型的理解，按照4圖1所示的功能安全評(píng)估流程和步驟開展進(jìn)行。功能安全評(píng)估應(yīng)包括爆炸保護(hù)系統(tǒng)的維護(hù)。制造商提供的說明書中應(yīng)包含所必需的維護(hù)要求，以及與預(yù)期用途相關(guān)的系統(tǒng)維護(hù)不到位的情況。爆炸保護(hù)系統(tǒng)功能安全評(píng)估的示例見附錄A。5.2爆炸保護(hù)系統(tǒng)的描述爆炸保護(hù)系統(tǒng)按以下方式分為兩類：b)主動(dòng)系統(tǒng)，如抑制系統(tǒng)等。爆炸保護(hù)系統(tǒng)的預(yù)期用途應(yīng)至少從以下方面進(jìn)行描述：a)爆炸保護(hù)系統(tǒng)的生命周期；c)功能的精確定義；d)制造材料的選擇；f)爆炸類型的描述；g)工藝條件的限制；h)維護(hù)要求。5.3失效的識(shí)別應(yīng)根據(jù)爆炸保護(hù)系統(tǒng)的潛在失效源對(duì)爆炸保護(hù)系統(tǒng)進(jìn)行功能安全評(píng)估，為此，應(yīng)從以下方面分析爆炸保護(hù)系統(tǒng)預(yù)期使用時(shí)的功能和狀態(tài)：a)可能出現(xiàn)的運(yùn)行故障；b)爆炸保護(hù)系統(tǒng)的可靠性；c)可合理預(yù)期的誤用。應(yīng)通過功能和系統(tǒng)分析對(duì)潛在失效進(jìn)行評(píng)估，并在整個(gè)生命周期中分別給予考慮。注：失效識(shí)別方法的示例見附錄B。5.3.2失效識(shí)別的開展應(yīng)從以下方面識(shí)別爆炸保護(hù)系統(tǒng)在設(shè)計(jì)與制造過程中存在的潛在失效：a)按照預(yù)期用途，判斷以下方面是否存在潛在失效：1)阻火器是否具有足夠的熱傳導(dǎo)率；2)泄放裝置是否具有有效壓力釋放能力；3)抑制系統(tǒng)是否具有足夠的抑制效能；b)爆炸保護(hù)系統(tǒng)機(jī)械結(jié)構(gòu)的尺寸，判斷是否存在以下的潛在失效：1)抗壓性不足；2)耐溫性不足；3)抗振動(dòng)與抗沖擊能力不足；54)防老化或防腐蝕能力不足；c)根據(jù)爆炸的性質(zhì)，判斷安裝場(chǎng)所、安裝位置或安裝方法是否合適；d)與工藝相關(guān)的模式、環(huán)境溫度、環(huán)境壓力以及運(yùn)行閾值或靈敏度是否正確；e)軟件和控制設(shè)備(硬件)是否兼容，軟件是否具備合理的安全診斷報(bào)警能力；f)硬件是否具有抗電磁干擾的能力；g)是否具備額外的故障安全措施，如合理的安全冗余；h)在電源失效的情況下，是否應(yīng)具有措施保障系統(tǒng)的預(yù)期用途。應(yīng)從以下方面識(shí)別爆炸保護(hù)系統(tǒng)安裝過程中存在的潛在失效：a)破空閥、泄壓裝置前面的危險(xiǎn)區(qū)域、反沖力、人員受傷風(fēng)險(xiǎn)等對(duì)預(yù)期功能的影響；b)密封不充分；c)電氣條件不滿足(如短路、開路、過載和接地故障等);d)控制和指示設(shè)備的能量供應(yīng)和/或后備電源不足。應(yīng)識(shí)別爆炸保護(hù)系統(tǒng)在使用和維護(hù)過程中的潛在系統(tǒng)失效場(chǎng)景及防止失效措施，在使用和維護(hù)過程中的潛在失效如下：a)泄漏污染；b)人為干預(yù)不正確或不充分(錯(cuò)誤操作、錯(cuò)誤安裝、錯(cuò)誤維護(hù)、意外干預(yù));c)故障顯示信息以及缺少緊急停機(jī)程序。應(yīng)在使用說明中對(duì)這些缺失或不足的情況以及潛在失效加以詳細(xì)說明。對(duì)爆炸保護(hù)系統(tǒng)進(jìn)行任何與安全有關(guān)的修改后，應(yīng)將其視為新的系統(tǒng)重新進(jìn)行功能安全評(píng)估。5.4功能安全估計(jì)對(duì)于爆炸保護(hù)系統(tǒng)，應(yīng)通過失效識(shí)別結(jié)合風(fēng)險(xiǎn)可接受標(biāo)準(zhǔn)要求，確定爆炸保護(hù)系統(tǒng)的功能安全要求。失效識(shí)別后，應(yīng)通過確定失效概率估計(jì)爆炸保護(hù)系統(tǒng)的功能安全。應(yīng)根據(jù)爆炸保護(hù)系統(tǒng)在降低失效概率和/或系統(tǒng)與安全相關(guān)的設(shè)備的復(fù)雜性方面的設(shè)計(jì)安全要求，開展定性地、半定量地或定量地功能安全估計(jì)。爆炸保護(hù)系統(tǒng)的功能安全估計(jì)應(yīng)從以下兩方面進(jìn)行：a)功能性，即完成系統(tǒng)預(yù)期用途所需功能的能力(例如，阻止初期爆炸、減少爆炸壓力);b)完整性，即按要求或按時(shí)執(zhí)行這些功能的可靠性。完成所需功能的能力可通過可靠性數(shù)據(jù)和/或?qū)ο到y(tǒng)結(jié)構(gòu)的容錯(cuò)性表述來部分量化。對(duì)于可能導(dǎo)致系統(tǒng)保護(hù)功能失效的每一個(gè)參數(shù)，如針對(duì)功能和完整性要求相關(guān)的，應(yīng)對(duì)其進(jìn)行可靠性估計(jì)和評(píng)價(jià)。依據(jù)失效發(fā)生概率，功能安全估計(jì)的功能性應(yīng)包括技術(shù)故障和運(yùn)行故障，如在不同運(yùn)行模式和維護(hù)6活動(dòng)過程中以及事件本身期間，根據(jù)故障，可合理預(yù)期的使用和誤用中預(yù)測(cè)其行為。對(duì)于已確定的爆炸特征，通常應(yīng)基于最壞的情況開展功能安全估計(jì)，即爆炸保護(hù)系統(tǒng)的安全功能缺失。當(dāng)不適用時(shí)，應(yīng)在只影響爆炸保護(hù)系統(tǒng)部分性能的情況下開展功能安全估計(jì)，如可部分減少爆炸帶來的危害，即在一定程度上降低爆炸超壓。對(duì)于識(shí)別出的每種類型的失效(見5.3),應(yīng)評(píng)估它們能降低性能和相關(guān)概率的程度。在這種情況下，考慮并評(píng)價(jià)影響系統(tǒng)行為的各種參數(shù)的臨界性，例如：b)所需的響應(yīng)和反應(yīng)時(shí)間(傳感器到執(zhí)行器的響應(yīng)時(shí)間和預(yù)防措施的反應(yīng)時(shí)間);d)故障安全功能，安全狀態(tài)；e)危險(xiǎn)失效和相關(guān)行動(dòng)的監(jiān)測(cè)和探測(cè)能力；f)考慮到安全特性的爆炸保護(hù)系統(tǒng)靈敏度；g)設(shè)計(jì)與控制參數(shù)；i)接口、系統(tǒng)元件的影響、安全相關(guān)控制元件以及安全裝置；j)檢測(cè)/測(cè)試方法；k)其他系統(tǒng)對(duì)正常功能的依賴性/獨(dú)立性；1)系統(tǒng)性的/與測(cè)試無關(guān)的失效。對(duì)于安全相關(guān)設(shè)備，應(yīng)根據(jù)功能安全完整性要求進(jìn)行定義和評(píng)估，屬于爆炸保護(hù)系統(tǒng)性能的一部分。對(duì)于簡(jiǎn)單的預(yù)防系統(tǒng)，可經(jīng)過經(jīng)驗(yàn)驗(yàn)證或評(píng)估后符合要求的功能，在此基礎(chǔ)上進(jìn)行評(píng)估(即在使用中證明)。對(duì)于每一個(gè)安全功能，導(dǎo)致安全功能無法實(shí)現(xiàn)的事件概率(即失效概率或要求時(shí)的失效概率),應(yīng)根據(jù)下述因素并進(jìn)行估算：a)運(yùn)行模式(高要求模式/連續(xù)模式、低要求模式);b)假定要求率；c)體系結(jié)構(gòu)/體系結(jié)構(gòu)的約束；d)系統(tǒng)性失效；e)共因失效；f)平均維修時(shí)間；g)檢測(cè)/測(cè)試間隔；h)診斷覆蓋率和安全失效分?jǐn)?shù)。完整性評(píng)估的結(jié)果應(yīng)采用可靠性數(shù)據(jù)的形式，根據(jù)情況采用要求時(shí)平均失效概率或每小時(shí)危險(xiǎn)失效的概率(即失效率),既可單獨(dú)用于不同的功能，也可作為整體用于爆炸保護(hù)系統(tǒng)功能。這些結(jié)果將用于功能安全評(píng)估，并供用戶驗(yàn)證爆炸保護(hù)系統(tǒng)如何在爆炸風(fēng)險(xiǎn)綜合評(píng)估中起作用和降低爆炸總風(fēng)險(xiǎn)的前提條件。這些結(jié)果應(yīng)成為文件記錄的一部分。5.5功能安全評(píng)價(jià)應(yīng)對(duì)功能安全估計(jì)的可接受性開展功能安全評(píng)價(jià)。因此，應(yīng)根據(jù)預(yù)期用途預(yù)先確定驗(yàn)收標(biāo)準(zhǔn)。驗(yàn)7收標(biāo)準(zhǔn)可以是定性的、半定量的或定量的。對(duì)于概率估計(jì)，可接受標(biāo)準(zhǔn)可以是定性的、半定量的或定量的。將確定的爆炸保護(hù)系統(tǒng)要求時(shí)的失效概率和定義的可接受標(biāo)準(zhǔn)進(jìn)行比較，可說明是否有必要采取風(fēng)險(xiǎn)降低措施。為了確定降低風(fēng)險(xiǎn)的措施，首先應(yīng)分析爆炸保護(hù)系統(tǒng)的構(gòu)成或?qū)傩?，這些是總體風(fēng)險(xiǎn)的決定因素。應(yīng)對(duì)每一項(xiàng)確定的降低風(fēng)險(xiǎn)措施進(jìn)行分析，審查與各項(xiàng)相關(guān)的安全效益和實(shí)用性?？山邮艿谋ūＷo(hù)系統(tǒng)應(yīng)包含以下要求：a)系統(tǒng)能在初期階段阻止爆炸，或者將爆炸影響減少到可接受的程度；b)在a)的系統(tǒng)發(fā)生故障、失效和/或干擾時(shí)，通過使用例如故障安全技術(shù)或冗余等方法可保證該功能仍然有效。6文件記錄6.1制造商文檔功能安全評(píng)估文件應(yīng)說明已遵循的程序和已取得的結(jié)果，應(yīng)包括但不限于：a)已開展功能安全評(píng)估的爆炸保護(hù)系統(tǒng)(如規(guī)格、限制、預(yù)期用途、操作描述)(見4.2和5.2);b)已做出的任何相關(guān)假設(shè)(如載荷、強(qiáng)度、安全系數(shù));c)基于4.3a)～d)的使用說明；d)開展功能安全評(píng)估所需的更多信息(見4.3);e)所使用的數(shù)據(jù)和參考資料(例如，數(shù)據(jù)庫、事故案例、廣泛應(yīng)用于類似爆炸保護(hù)系統(tǒng)功能安全方面的經(jīng)驗(yàn)；應(yīng)評(píng)估與所用數(shù)據(jù)相關(guān)聯(lián)的不確定度及其對(duì)功能安全評(píng)估的影響);f)失效識(shí)別(見5.3);g)功能安全評(píng)價(jià)的最終結(jié)果(見5.5);h)為消除失效或增加功能安全而實(shí)施的安全措施(如標(biāo)準(zhǔn)或其他規(guī)范)。6.2用戶文檔8(資料性)功能安全評(píng)估示例A.1概述以下為使用失效模式、影響和危害程度分析(FMECA)進(jìn)行功能安全評(píng)估時(shí)一種可能形式的結(jié)果示例。圖A.1給出安裝在除塵器上的爆炸抑制和隔離系統(tǒng)最重要的組件。系統(tǒng)按如下流程操作。a)如果除塵器內(nèi)發(fā)生爆炸，壓力開始增大。由壓力傳感器記錄壓力-時(shí)間曲線，并由分析裝置進(jìn)行連續(xù)分析。當(dāng)壓力達(dá)到報(bào)警值水平時(shí)(壓力上升速率達(dá)到一定值),分析單元將向控制單元發(fā)送信號(hào)。b)控制單元啟動(dòng)(觸發(fā)/激活)安裝在除塵器上的兩個(gè)HRD滅火器，對(duì)爆炸進(jìn)行抑制。c)同時(shí)，啟動(dòng)將除塵器與上游生產(chǎn)裝置隔離的HRD滅火器，以防止爆炸回火到相連的設(shè)備中。當(dāng)除塵器發(fā)生爆炸時(shí)，也可解除除塵器出口處的鎖氣卸灰裝置，但是在本示例中未考慮這一措施。因此，當(dāng)檢測(cè)到壓力上升速率過高時(shí)，在除塵器內(nèi)部啟動(dòng)該功能，表明發(fā)生爆炸，并在HRD滅火器的觸發(fā)過程中停止。當(dāng)電源出現(xiàn)故障時(shí)，將由防爆系統(tǒng)的電池進(jìn)行供電。電池可供電4h,4h之后的安全功能喪失不予考慮。在短路、開路等情況下，系統(tǒng)將強(qiáng)制程序進(jìn)入安全狀態(tài)。在本例分析中，沒有考慮關(guān)閉系統(tǒng)過程中的爆炸殘留風(fēng)險(xiǎn)。標(biāo)引序號(hào)說明：1——與分析單元連接的壓力傳感器；2——壓力傳感器分析裝置；3——抑制除塵器爆炸的高釋放率(HRD)滅火器；4——將除塵器與上游生產(chǎn)裝置隔離的HRD滅火器；5——粉塵濃度監(jiān)測(cè)設(shè)備；6——控制和指示設(shè)備(CIE);7——鎖氣卸灰裝置；8——風(fēng)機(jī)。注：本例是假設(shè)性示例，并不完整，僅作為示例來理解，本例的標(biāo)引序號(hào)也是表A.3中的組件序號(hào)。圖A.1除塵器的爆炸抑制和隔離系統(tǒng)9對(duì)系統(tǒng)安全功能進(jìn)行分解，得到的系統(tǒng)功能框圖如圖A.2所示。壓力傳感器控制單元壓力傳感器控制單元分析工具圖A.2系統(tǒng)功能框圖A.3系統(tǒng)要求當(dāng)傳感器/分析儀給出信號(hào)時(shí)，該功能為打開每個(gè)滅火器的活瓣。爆炸抑制和隔離系統(tǒng)的關(guān)鍵部件是傳感器、控制單元和HRD滅火器，因此在本示例中僅對(duì)這些部件進(jìn)行分析。假定其中一個(gè)HRD滅火器沒有打開，此時(shí)系統(tǒng)的安全功能失效(系統(tǒng)的抑制能力仍可用于較弱的爆炸；如果除塵器中的點(diǎn)火位置遠(yuǎn)離管道與除塵器的連接處，則很可能不需要進(jìn)行隔離)。假定系統(tǒng)的要求頻率為每年一次，粉塵爆炸是由靜電放電或進(jìn)入除塵器的高溫顆粒物引起。A.4HRD滅火器A.4.1概述爆炸抑制和隔離系統(tǒng)一個(gè)非常重要的部件是HRD滅火器。本示例中的滅火器使用機(jī)電式觸發(fā)的活瓣，電容放電驅(qū)動(dòng)力矩電機(jī)松開活瓣的鎖止機(jī)構(gòu)。儲(chǔ)存抑制劑的容器與閥門連接，容器內(nèi)用氮?dú)忸A(yù)壓至6MPa,鎖止機(jī)構(gòu)松開時(shí)氮?dú)馔苿?dòng)活瓣開啟，通過噴嘴將抑制劑釋放到要保護(hù)的結(jié)構(gòu)中?？紤]到系統(tǒng)冗余，在抑制器中安裝兩套力矩電機(jī)和電子釋放裝置，且兩套力矩電機(jī)和釋放電子裝置均可正常運(yùn)轉(zhuǎn)。A.4.2HRD滅火器部件失效率表A.1為針對(duì)HRD滅火器進(jìn)行的FMECA分析示例，表中提供了HRD滅火器17個(gè)部件的部件失效率，為每運(yùn)行百萬小時(shí)的失效數(shù)。作為示例，這些數(shù)據(jù)均為虛構(gòu)數(shù)據(jù)。表A.1HRD滅火器部件失效率的示例序號(hào)部件描述部件數(shù)量部件失效率總失效率1管道過濾器10.3000.3002外殼10.0400.0403活瓣10.0400.0404樞軸10.1000.1005鎖銷10.1500.1506平墊片10.1400.1407圓柱頭螺釘80.0080.0648密封墊圈20.1400.2809測(cè)壓開關(guān)1A.4.3故障的后果和危險(xiǎn)性對(duì)于每個(gè)故障都估計(jì)了其潛在后果，通常將故障的危險(xiǎn)程度分成以下4個(gè)等級(jí)?！?:輕微故障。不影響系統(tǒng)功能。——2:不太嚴(yán)重的故障。對(duì)系統(tǒng)功能只有輕微的影響。——3:嚴(yán)重故障。系統(tǒng)未直接失效?！?:極其嚴(yán)重的故障。整個(gè)系統(tǒng)失效。在FMECA分析的文檔中根據(jù)上述分級(jí)的后果和危險(xiǎn)程度進(jìn)行說明(見表A.2)。表A.2HRD滅火器部件失效的后果和危險(xiǎn)程度序號(hào)部件功能辨識(shí)失效形式失效率失效影響危險(xiǎn)程度等級(jí)備注管道過濾器填充過程中過濾氮?dú)舛氯麩o法填充1受監(jiān)控2外殼容納所有功能部件裂紋，斷裂壓力損失3受監(jiān)控3活瓣關(guān)閉壓力容器裂紋，斷裂壓力損失3受監(jiān)控4樞軸活瓣的旋轉(zhuǎn)軸斷裂壓力損失3受監(jiān)控卡死無法按照要求開啟閥門4待機(jī)失效，通過選擇材料組合和表面處理以防止5鎖銷手動(dòng)鎖定開啟機(jī)構(gòu)卡死—活瓣不能鎖定或解鎖2鎖定或解鎖時(shí)會(huì)注意到斷裂活瓣不能鎖定或解鎖2鎖定或解鎖時(shí)會(huì)注意到忘記解鎖無法按照要求開啟閥門3受電氣監(jiān)控6平墊片閥門外殼和驅(qū)動(dòng)機(jī)構(gòu)之間的墊圈泄漏無17圓柱頭螺釘固定電子元件外殼松動(dòng)，斷裂無18密封墊圈螺栓密封泄漏無19測(cè)壓開關(guān)監(jiān)測(cè)系統(tǒng)壓力無法開啟無法監(jiān)測(cè)壓力損失3待機(jī)失效，在首次檢查中優(yōu)先得到監(jiān)控?zé)o法關(guān)閉報(bào)警2受監(jiān)控泄漏壓力損失3受監(jiān)控對(duì)HRD滅火器的FMECA分析中，僅考慮危險(xiǎn)程度1的輕微故障時(shí)可估計(jì)HRD滅火器總的要求時(shí)的失效概率。已經(jīng)對(duì)控制單元和傳感器進(jìn)行了類似的分析，在此不再詳述。A.4.4計(jì)算結(jié)果基于為HRD滅火器、控制單元和與分析單元相連接的壓力傳感器準(zhǔn)備的FMECA和/或失效模式和影響分析(FMEA)分析結(jié)果，估計(jì)爆炸抑制和隔離系統(tǒng)的爆炸抑制功能失效概率見表A.3。表A.3爆炸抑制功能要求時(shí)的平均失效概率(PFDavg)組件組件序號(hào)平均失效概率(PFDavg)與分析單元連接的壓力傳感器18.8×10-4控制單元63總功能從表A.3可以看出，根據(jù)GB/T20438(所有部分),該功能符合SIL2的要求。(資料性)失效識(shí)別方法B.1概述有許多方法可以識(shí)別失效、估計(jì)概率并評(píng)估這些失效的影響，由于每種方法都是針對(duì)特定應(yīng)用場(chǎng)景而開發(fā)的，因此在功能安全評(píng)估的不同應(yīng)用中，有必要對(duì)一些細(xì)節(jié)進(jìn)行修改。本文件參考了GB/T27921—2011中的兩種風(fēng)險(xiǎn)評(píng)估方法，并對(duì)這兩種風(fēng)險(xiǎn)評(píng)估方法進(jìn)行了簡(jiǎn)要的介紹和描述，可為風(fēng)險(xiǎn)評(píng)估方法在爆炸保護(hù)系統(tǒng)功能安全評(píng)估中的應(yīng)用提供指導(dǎo)。B.2失效模式和影響分析(FMEA)及失效模式、影響和危害程度分析(FMECA)方法、平均維修時(shí)間和對(duì)安全相關(guān)系統(tǒng)中安全功能關(guān)鍵組件的測(cè)試間隔。在分析系統(tǒng)前需要將系統(tǒng)分解成組件，找到適合此系統(tǒng)故障的級(jí)別，該級(jí)別取決于FMEA或FMECA的分析目標(biāo)和有效的技術(shù)文檔。在很多情況下，F(xiàn)MEA或FMECA分析都是作為故障樹分析的前期準(zhǔn)備或作為功能安全評(píng)估的基礎(chǔ)。FMEA或FMECA由相關(guān)工程領(lǐng)域的團(tuán)隊(duì)以及具有豐富系統(tǒng)產(chǎn)品經(jīng)驗(yàn)的人員執(zhí)行。有標(biāo)準(zhǔn)的表格(附錄A給出了FMEA或FMECA表格的示例)記錄系統(tǒng)中每個(gè)組件的信息，可包括以下內(nèi)容：a)組件的名稱和類型；b)功能；c)失效模式；d)失效原因；e)局部故障影響；f)全局故障影響；g)故障檢測(cè)：h)補(bǔ)償/保護(hù)冗余；i)意見、建議和后續(xù)行動(dòng)跟蹤。在FMEA或FMECA分析表格中，也可用一列記錄失效的概率及其后果。失效的概率和后果經(jīng)排序可分類，如低、中、高或風(fēng)險(xiǎn)矩陣等。每個(gè)類別的含義和重要性在文本中進(jìn)行定義，并根據(jù)人員、經(jīng)濟(jì)和環(huán)境對(duì)失效后果進(jìn)行分類。在功能安全評(píng)估中，通常需要用到定量或半定量的概率估算，該數(shù)據(jù)由制造商給出，或者從通用數(shù)據(jù)中獲得。B.3故障樹分析(FTA)故障樹是一種風(fēng)險(xiǎn)分析方法，通過故障樹分析可根據(jù)子系統(tǒng)(組件)的失效模式和操作人員的行為來找出不希望出現(xiàn)的系統(tǒng)失效模式，故障樹能列出所有可能發(fā)生失效事故的邏輯關(guān)系，這些由故障樹邏故障樹圖包含兩個(gè)基本元素：“邏輯門”和“事件”,邏輯門是故障邏輯在故障樹中的通路，并顯示故障事件和由該事件導(dǎo)致的更高層級(jí)事件之間示當(dāng)輸入的所有事件同時(shí)發(fā)生輸出事件才發(fā)生，“或”門表示當(dāng)輸入事件至少有一