SIS的工程應用及管理張建國FSSeniorExp(TUVRheinland)(ID-No.:#122/07)自我介紹張建國?正高級工程師?全國工業(yè)過程測量和控制標準化委員會(SAC/TC124)委員?TUV萊茵功能安全高級專家和培訓師(ID:#122/07)?國家安監(jiān)總局化學品安全協(xié)會安全儀表專家安全儀衰系燈在安全業(yè)務領域有十余年的工作經(jīng)歷2010年岀版《安全儀表系統(tǒng)在過程工業(yè)中的應用》一書2017年譯著《安全儀表系統(tǒng)工程設計與應用》一書岀版2河mm安全儀菱工程設計與2題目口SIS的幾個概念口SIs功能安全標準和功能安全管理口SIS的安全要求規(guī)格書（SRS）口SIS的工程設計與執(zhí)行口有關SIS的可靠性知識，可編程邏輯控制器結構口SIS的SIL驗證口SIS的現(xiàn)場管理口問與答3安全領域的不同學科職業(yè)安全(OccupationalSafety):關注于人員在從事工作或受雇傭時，保護其安全、健康以及福利保障方面不受損害(滑倒、絆倒、墜落、PPE)過程安全(ProcessSafety):是將工程和管理技能融合在一起，專注于在使用或生產(chǎn)化學和石油產(chǎn)品有關的過程中，預防災難性意外事故發(fā)生，特別是爆炸、火災，以及有毒性物質(zhì)的釋放。(AIChE)功能安全(Functionalsafety):〃涉及工藝過程和BPCS整體安全的一部分，依賴于SIS和其它保護層正確地實施其功能〃(IEC61511)有關SIS的法律法規(guī)和標準規(guī)范-中華人民共和國安全生產(chǎn)法-國家安監(jiān)總局安監(jiān)總管三[2013]88號-關于加強化工安全管理的指導意見__-國家安監(jiān)總局安監(jiān)總管三[2014]116號-關于加強化工安全儀表系統(tǒng)管理的指導意見（注:技術要求立足于GB/T21109）-GB/T50770-2013石油化工安全儀表系統(tǒng)設計規(guī)范-GB/T21109-2007/IEC61511-2003過程工業(yè)領域安全儀表系統(tǒng)的功能安全（注：新版（ed2.0）的IEC61511已經(jīng)于2016年正式發(fā)布,GB/T21109正在做升版工作）-GB/T20438-2017/IEC61508-2010電氣/電子/可編程電子安全相關系統(tǒng)的功能安全-正在制定中-石油化工安全儀表系統(tǒng)安全完整性等級設計規(guī)范5火災報警控制器(Firealarmcontrolunits)可燃氣體報警控制器(Combustiblegasalarmcontrolunits)消防聯(lián)動控制系統(tǒng)(AutomaticControlSystemforFireProtection)可燃氣體探測器(Combustiblegasdetectors)(各種探頭)其他關聯(lián)標準：涉及CCCF認證的--GB4717-2005:-GB16808-2008-GB16806-2006-GB15322-20031.0~100%LEL點型可燃氣;2.0~100%LEL獨立式可燃氣—0~100%LEL便攜式可燃氣；4,人工煤氣點型；5,人工煤氣獨立式；6,人工煤氣便攜式?GB50493-2009:石油化工可燃氣體和有毒氣體檢測報警設計規(guī)范(Specificationfordesignofcombustiblegasandtoxicgasdetectionandalarmforpetrochemicalindustry)(注：正在修訂為GB50493-2018)?GB50116-2013:火災自動報警系統(tǒng)設計規(guī)范(Codefordesignofautomaticfirealarmsystem)國家安監(jiān)總局安監(jiān)總管三［2013）88號摘要七、設備完好性（完整性）＞企業(yè)要按照《過程工業(yè)領域安全儀表系統(tǒng)的功能安全》（GB/T21109）和《石油化工安全儀表系統(tǒng)設計規(guī)范》的要求，設計、安裝、管理和維護安全儀表系統(tǒng)。＞開展安全儀表系統(tǒng)安全完整性等級評估。企業(yè)要在風險分析的基礎上，確定安全儀表功能（SIF）及其相應的功能安全要求或安全完整性等級（SIL）0國家安全生產(chǎn)監(jiān)督管理總局酬澀嘛SlateAdministrationofWorkSafety(JDC中華人民共和國國家標準GB/T50770-2013石油化工安全儀表系統(tǒng)設計規(guī)范CodefordesignofsafetyinMrumenledsyaleminprimeengineering加13-。2-。7發(fā)布20130901實ME中華人民共和國住房和城鄉(xiāng)豪餓部UA巖*中華人民共和國國家質(zhì)量監(jiān)督檢哈檢疫忌局厭a友亜6SIS的歷史CCPS:Guidelinesforsafeautomationofchemicalprocess,1993SIS:SafetyInterlockSystem安全要求規(guī)格書（SRS）基于PL/IPL確定SIS要求聯(lián)鎖完整性等級:1.2.3Table2.1SISInterlockDesignStructureforEachIntegrityLevelIntegrityLevelMinimumInterlockDesignStructure1Nonredundant.Bestsinglepathdesign.2Partiallyredundant.Redundantindependentpathsforelementswithloweravailability.3Totallyredundant.Redundant,independentpathsfortotalinterlocksystem.Diversityshouldbeconsideredandusedwhereappropriate.AsinglefaultofaSISsystemcomponentishighlyunlikelytoresultinalossofprocessprotection.ANSI/ISA-84.01-1996:ApplicationofSafetyInstrumentedSystemsfortheProcessIndustries/SIS:SafetyInstrumentedSystems（包括EmergencyShutdownSystem（ESD,ESS）,SafetyShutdownSystem（SSD）,以及SafetyInterlockSystem）/SIL:1、2、3（基于PFDavg）IEC61511:FunctionalSafety-SafetyInstrumentedSystemsfortheProcessIndustrySector/IEC61508體系下的標準，以ISA-84.01-1996為藍本/SIL:1、2、3、4（所有條款只適用于SIL1~3;SIL4:遵循IEC61508）IEC61508:FunctionalSafetyofelectrical/electronic/programmableelectronicsafety-relatedsystems/以DINVDE0801（PrinciplesforComputersinSafetyRelatedApplications;AK1-8）為藍本/面向所有工業(yè)領域的安全監(jiān)控儀表設備的制造商/SIL1、2、3、4/生命周期基于工程應用（另一考慮：在沒有相關行業(yè)標準的領域，可以直接引用）78BPCS與SIS的定義(IEC61511)-基本過程控制系統(tǒng)（BPCS）:-此類系統(tǒng)響應來自工藝流程、相關設備、其他可編程系統(tǒng)的輸入信號，以及操作員的輸入指令，生成輸出信號，使工藝流程及其相關設備的工藝參數(shù)（例如溫度、壓力、流量、液位等）處于期望的設定值，保持工藝裝置的正常操作。-BPCS是提供常規(guī)控制功能（例如PID調(diào)節(jié)）的自動化系統(tǒng)，而非設計用于〃安全保護〃用途。-安全儀表系統(tǒng)（SIS）：-用于執(zhí)行一個或多個SIF（安全儀表功能）的儀表系統(tǒng)。SIS由傳感器、邏輯控制器，以及最終元件的任何組合構成。SIS可以包括軟件，可以包括人員動作作為SIF的一部分。-安全功能（SF）：-由一個或多個保護層（PL）執(zhí)行的功能，針對特定的危險事件，意圖取得或保持工藝過程的安全狀態(tài)。-安全儀表功能（SIF）：-由安全儀表系統(tǒng)（SIS）執(zhí)行的安全功能。SIF應取得所需的SILoSIL由與共同參與降低相同風險的其他保護層的關系確定。,保護層（PL）:-通過控制、防止，或者減輕，降低風險的任何獨立機制。-風險（Risk）:-傷害發(fā)生的概率和該傷害嚴重性的組合。傷害包括：人員的健康、資產(chǎn)或者環(huán)境的損害9BPCS與SIS的定義(IEC61511)IEC61511定義的保護層：-物理屬性>可審核性(Auditability);>>>>>>>>CCPS(CenterforChemicalProcessSafety)定義的保護層：-七個核心屬性：降低風險至少10倍；有四個屬性：專門性(Specificity);獨立性(Independence);可靠性(Dependability);功能性(Functionality);獨立性(Independence);完整性(Integrity);可靠性(Reliability);即：工藝可用性可審核性(Auditability);>>訪問的權限管理(AccessSecurity);變更管理(ManagementOfChange)管理屬性PreventativeControlMeasuresConsequence10BPCS與SIS的定義-原國家安監(jiān)局116號文定義的安全儀表系統(tǒng)（SIS）:-化工安全儀表系統(tǒng)（SIS）包括安全聯(lián)鎖系統(tǒng)、緊急停車系統(tǒng)和有毒有害、可燃氣體及火災檢測保護系統(tǒng)等。-安全儀表系統(tǒng)獨立于過程控制系統(tǒng)（例如分散控制系統(tǒng)等）。-根據(jù)安全儀表功能失效產(chǎn)生的后果及風險，將安全儀表功能劃分為不同的安全完整性等級（SIL1-4，最高為4級）。不同等級安全儀表回路在設計、制造、安裝調(diào)試和操作維護方面技術要求不同。,幾點體會：/SIS的核心是SIF；SIF有SIL等級；SIF是一種保護層；SIF-定是構成〃回路〃；/傳統(tǒng)上SIF是針對工藝過程中的特定危險事件，確保人身安全；由于近年來安全的關注點擴展到保護人員、設備（資產(chǎn)），以及環(huán)境，相應的保護系統(tǒng)也開始歸入到SIS；/SIS/SIF的設計、操作和維護的核心，是遵循CCPS定義的七個屬性；/除SIF以外，在LOPA中認定為PL的儀表措施（DCS中的聯(lián)鎖/報警、獨立的報警），應參照SIF進行管理（SCAI:SafetyControl,Alarm,Interlock）;/IEC61511給出的SIS/SIF定義是基于技術層面并能夠量化；而原國家安監(jiān)局116號文給出的SIS、SIF、SIL之間的關系12SIF：安全儀表功能(SIF)是由SIS執(zhí)行的、具有特定安全完整性等級(SIL)的安全功能，將被控工藝對象置于或保持在安全狀態(tài)請注意SIF與〃聯(lián)鎖(Interlock)”的區(qū)別安全完整性等級（SIL）-PFDavg/PFHPFDavg=SafetyIntegrityLevelProbabilityoffailureondemand,average(LowDemandmodeofoperation)RiskReductionFactorSIL41E-04to1E-0510,000to100,000SIL31E-03to1E-041,000to10,000SIL21E-02to1E-03100to1,000SIL11E-01to1E-0210to1001SafetyIntegrityLevelSILProbabilityofadangerousFailureperHour(HighDemand/Continuousmodeofoperation)SIL4>=10-9to<10-8RRFSIL3>=10-8to<10-7SIL2>=10-7to<10-6SIL1>=10-6to<10-513安全完整性等級（SIL）-PFDavgPFDavg=/（入，TI,MTTR,p,）六個主要的參數(shù)：-失效率（入）；?表決形式（MooN）;-診斷覆蓋率（DC）;?檢驗測試（ProofTest）的時間間隔（TI）;?平均恢復時間（MTTR）;?公共原因失效（6）；計算軟件中還包括：?檢驗測試的有效性（Cp"；?儀表使用年限（MissionTime）;?現(xiàn)場安全指數(shù)（SiteSafetyIndex,SSI）14關于SIS與BPCS共享儀表設備-GB/T50770-2013:石油化工安全儀表系統(tǒng)設計規(guī)范6.2測景儀表的獨立設置6.2.1SIL1級安全儀表功能，測量儀表可與基本過程控制系統(tǒng)共用。6.2.2SIL2級安全儀表功能，測量儀表宜與基本過程控制系統(tǒng)分開.6.2.3SIL3級安全儀表功能，測量儀表應與基本過程控制系統(tǒng)分開。8.2邏輯控制器的獨立設置8.2.1SIL1級安全儀表功能，邏輯控制器宜與基本過程揑制系統(tǒng)分開。8.2.2SIL2級安全儀表功能，邏輯控制器應與基本過程控制系統(tǒng)分開。8.2.3S1L3級安全儀表功能,邏輯控制器應與基本過程控制系統(tǒng)分開。8.3邏輯控制器的冗余設罟8.3.1SIL1級安全儀表功能，可釆用冗余邏輯控制器。8.3.2SIL2級安全儀表功能，宜釆用冗余邏輯控制器。8.3.3SIL3級安全儀表功能,應采用冗余邏輯控制器。7.2控制閥的獨立設置7.2.1SIL1級安全儀表功能.控制何可與基本過程控制系統(tǒng)共用，應確保安全儀表系統(tǒng)的動作優(yōu)先。7.2.2SIL2級安全儀表功能，控制閥宜與基本過程控制系統(tǒng)分開.7.2.3SIL3級安全儀表功能，控制閥應與基本過程控制系統(tǒng)分升.7.3控制閥的冗余設置7.3.1SIL1級安全儀表功能，可采用單一控制閥。7.3.2

SIL2級安全儀表功能，宜釆用冗余控制閥。7.3.3SIL3級安全儀表功能,應采用冗余控制閥。7.3.4控制閥冗余方式可釆用一個調(diào)節(jié)閥和一個切斷閥，也可采用兩個切斷閥。注意：冗余配置不僅是安全需要，也是可用性需要。邏輯控制器即使單一配置能滿足SIL要求，對于連續(xù)生產(chǎn)的工藝裝置，也應采用冗余配置。15IEC61511:2016關于SIS與BPCS共享儀表設備11.2.9ThedesignoftheSISshalltakeintoconsiderationallaspectsofindependenceand\dependencybetweentheSISandBPCS,andtheSISandotherprotectionlayers.11.2.10AdeviceusedbytheBPCSshallnotbeusedbytheSISwhereafailureofthatdevicemayresultinbothademandontheSIFandadangerousfailureoftheSIF,unlessananalysishasbeencarriedouttoconfirmthattheoverallriskisacceptable.NOTEWhenapartoftheSISisalsousedforcontrolpurposesandadangerousfailureofthecommonequipmentwouldcauseademandonthefunctionperformedbytheSIS,thenanewriskisintroduced.Theadditionalriskisdependentonthedangerousfailurerateoftheshareddevicebecauseiftheshareddevicefails,ademandwillbecreatedimmediatelytowhichtheSISmaynotbecapableofresponding.Forthatreason,additionalanalysiscanbenecessaryinthesecasesto*nsurethatthedanaerousfailureratesofth白shareddauicaaSensorsandvalvesareexampleswheresharingofequipmentwiththeBPCSisoftenconsidered.A.11.2.10IEC61511-1:2016providescautionaryguidelinesonusingacommondeviceforboththeBPCSandtheSIS."Sufficientlylow"inthenoteto11.2.10inIEC61511-1:2016meansthedanaerousfailurerateofthesharedenuiementcombinedwiththevrobabilitvoffailuresofotherprotectionlayers(otherthantheSIF)meetscorporateriskcriteria.I6從AK到SIL,安全標準的發(fā)展…MoreA0.00001-0.999991000000.000000001PFDavg=AverageprobabilityoffailureondemandPFH=Probabilityoffailureperhour61508inrelationto19250+0801:AK+FunctionalSafetyManagement+ReliabilityCalculationsZSILISAS84inrelationto61508SILS84+TechnicalRequirements+FunctionalSafetyManagementZSIL61508為TUVRheinlandGroupFigure1ComparingSILlevelswithAKlevelsI7IAK11925008016150861511S84.01PFDavgSafetyAvailabilityRiskReductionFactorPFHAK7.8SIL4SIL4uopnpalxsiEca)lud5ba>aoJBSA=qco=￡關于安防（Security）-IEC615118.2.4應進行安防風險評估，辨識SIS的安防脆弱性（securityvulnerabilities）。應達到下列目標:a）該風險評估涵蓋的設備描述（即：SIS、BPCS，或者連接到USIS的任何其他設備）；b）辨識出的可能利用脆弱性的威脅描述，以及導致的安防事件（包括對硬件、應用程序和相關軟件的故意攻擊，以及由于人為錯誤導致的非故意事件）；c）安防事件導致的潛在后果以及發(fā)生可能性的描述；d）各階段，諸如設計、工程執(zhí)行、調(diào)試、操作，以及維護等的相關考慮；e）附加風險減少措施要求的決定；f）減少或移除威脅所采取措施或者參考信息等的描述。注1:與SIS安防有關的指南,參見ISATR84.00.09,ISO/IEC27001:2001,以及IEC62443:2010。注2:用于安防風險評估的信息和邊界狀態(tài)控制，通常與生產(chǎn)設施的業(yè)主/運營公司相關聯(lián)，而非供應商。因此，遵循8.2.4的責任在業(yè)主/運營公司。注3:SIS的安防風險評估可包括在整個過程自動化安防風險評估中。注4:SIS安防風險評估的范圍可從單個SIF到公司內(nèi)的所有SIS。18題目口SIS的幾個概念口SIS功能安全標準和功能安全管理口SIS的安全要求規(guī)格書（SRS）口SIS的工程設計與執(zhí)行口有關SIS的可靠性知識，可編程邏輯控制器結構口SIS的SIL驗證口SIS的現(xiàn)場管理口問與答19IEC61508(GB/T20438)概述GB/T20438《電氣/電子/W編程電子安全相關系統(tǒng)的功能安全》分為七個部分：——第I部分：一般要求；—第2部分：電氣/電子/可編程電子安全相關系統(tǒng)的要求；—第3部分：軟件要求；——第1部分；定義和縮略語；—第5部分：確定安全完整性等級的方法示例；第6部分:GB/T20438.2和GB/T20438.3的應用指南;—第7部分；技術和措施概述。20IEC61508(GB/T20438)概述GB/T20438(IEC61508)一"安全傘〃21IEC61511(GB/T21109)概述QB中華人民共和血國家標花CB/T

ZQ07/IECGW1,1,I0tn過程工業(yè)領域安全儀裏系統(tǒng)的功能安全第1部分;框架、定義，系統(tǒng)，硬件和軟件要求r?n<hiMiMftiji—U'l—lulF，i—r?<MapraraailunhratvMrfMflwar*<i￡C?mMiNoi?urr>21C7?1N1,MW:|;理時滯啷"B/T21109<過程工業(yè)領域安全儀表系統(tǒng)的功能安全》分為三個部分:—第1部分:框架、定義、系統(tǒng)、硬件和軟件要求；一第2部分:GB/T21109.1的應用指南；第3部分：確定要求的安全完整性等級的指南。2223IEC61511安全生命周期總結24IEC61508與IEC61511的關系PROCESSSECTORSAFETYINSTRUMENTEDSYSTEMSSTANDARD過程行業(yè)SIS標準DevelopingUsingNewPriorUseHardwareHardwareDevicesDevices開發(fā)新的頗符合早先使硬件設備用規(guī)則的硬件1EC61508IEC61511UsingHardwareDevelopingEmbeddedDevelopedAndAssessed(System)SoftwareToIEC61508物贈

IEC61508開麹孵糖（殮）軟件IEC61511IEC61508DevelopingDevelopingApplicationApplicationProgramProgramUsingFullUsingLimitedVariabilityVariabilityLanguageOrFixedPrograms采用采MW。冋變或全可斐語云開固程序開發(fā)窗應IEC61508IEC61511PriorUse-早先使用ApplicationProgram—應用程序FullVariabilityLanguage(FVL)-全可變語言LimitedVariabilityLanguage(LVL)-有限可變語言FixedProgramLanguage(FPL)-固定程序語言26「aluating/y示例-基于IEC61508的認證證書DeviceSTT850TemperatureTransnvtter912%27Certificate/CertificatZertifikat/合格証HON1306004C001txidoherebyconfirmsthatthe:STT850SmartLineTemperatureTransmitterwithHART?HoneywellInternationalInc.HoneywellFieldProductsFortWashington.PA19034?USAHasbeenassessedpertherelevantrequirementsotIEC61508:2010Parts1-7andmeetsrequirementsprovidingalevelofintegrityto:SystematicCapability:SC3(SIL3Capable)RandomCapability:TypeBElementSIL2@HFT=0;SIL3@HFT=1;Route1HPFDavoandArchitectureConstraintsmustbeverifiedforeachapplicationCertificate/Certificat/Zertifikat/合格証,FiT-1failure/lO^noufiSafetyFunction:TheSTT850SmartLinelemperatureTransmitterwith4-20mA2-wireinterfacewillmeasuretemperaturewithinthestatedsafetyaccuracy.ApplicationRestnctions:"TheunitmustbeproperlydesignedintoaSafetyInstrumentedFuncbcrpertheSafetyManualrequirements.HON1306004C001SystematicCapability:SC3(SIL3Capable)RandomCapability:TypeBElementSIL2@HFT=0;SIL3@HFT=1;Route1HPFDavoandArchitectureConstraintsmustbeverifiedforeachapplicationSystematicCapably:The沖g2$metmargxureroesignproceurequremeraorsafetymiegrtylevel($il)3Thesearentendedtoachieveintegn^agaifg：systemancerrors&ytnenanu*acturer.AS3f?yinstrurrentedFunaon(S?F)ggredwiththsproductmustnotbeusedataSLlevelhghertMrsatedRandomCapabiity:The5iLiwitrrpoeeooymeArcrmecsCorwanttmu?臨eacAelementIEC61508FailureRatesinFIT*S4Lvemcatjon：TheSafe寺miegr^Leve(SiL)ofanenureSafetyinttomentwFscson(SiF)fnustoe(erTfledvtaacaaiaDonorPFDzconsioerngredunaant3rch:ecnjre&,prooftestmiervai.proofteste*Tec:ver?essaryaircna:-:aagrosccs.averagerepairareandmespeciefdiureraoesofaiproductsinducedm:hesif.Each機jtwyKenmustoect?<*edtoauurecompiianoewUinurtmimhg*refauttolerance(HFT)requremems.Therog#ngdocumertsareamandatocypartcfcertfflwoon:Page2oT2AweummRgtHON13-06-001R0C2VIR1S3fecyManualDoc*34-TT-25-05.Marcn20uSTT850SmartLineTemperatureTransmitterwithHART4-20mA2-wireinterfaceVaiduntilMay1.2015Revm1.0AfviZ2014HoneywellInternationalInc.HoneyweVFieldProductsFortWashington,PAUSAANSI功能安全管理-取得功能安全的策略*安全生命周期分析&SRS設計&工程執(zhí)行安裝&調(diào)試操作&維護,-調(diào)試后修改*簡化的SLC28功能安全管理29_____-功能安全管理應包括下列內(nèi)容：__-SIS儀表設備的準入與評審(安監(jiān)局116號文)；-硬件配置/軟件組態(tài)管理(ConfigurationManagement)；-文檔管理；-變更管理；-人員技能培訓；-SIS功能安全管理有別于企業(yè)常規(guī)的職業(yè)健康和安全管理-SIS功能安全管理要明確責任人(部門、人員)、工作內(nèi)容，以及人員的能力?要建立相應的規(guī)程，開展下列活動：__-危險和風險分析、確定SIL等級要求；-功能安全評估；-驗證(Verification)活動；-確認(Validation)活動;-周期性功能安全審核活動；-SIS操作與維護活動；-意外事故報告和分析；-SIS安全性能的跟蹤和定期評估。功能安全管理-幾個術語驗證verification（保證用正確的方法、步驟做了正確的工作）在相關安全生命周期的每個階段，通過分析和/或測試，證明對于特定的輸入，輸出應在各方面都能滿足為該特定階段所設置的目標和要求的活動。驗證活動的例子包括：-為確保符合某階段的目標和要求，考慮該階段的特定輸入，對其輸出（來自安全生命周期所有階段的文檔）進行復審；?設計復審，__-對設計的產(chǎn)品進行復審，以確保它們按規(guī)范工作；?在系統(tǒng)各個部分分步組裝到一起后進行集成測試，并進行環(huán)境性能試驗以確保所有部分能按規(guī)定方式一起工作。確認validation（確認獲得了正確的最終階段成果）

用以證明被考慮的儀表安全功能和安全儀表系統(tǒng)在安裝之后，在各方面都能滿足安全要求規(guī)格書的活動。IEC61508規(guī)定了三個確認節(jié)點：

/總體安全確認/E/E/PES確認/軟件確認-確認需要得到"客戶〃的見證認可30功能安全管理-幾個術語-IEC61511推薦了五個功能安全評估節(jié)點（瀕5）hL湛WILEYDProcessSate，節(jié)點3辛-功能安全評估：基于證據(jù)的調(diào)查，以判定由一個或多個保護層所實現(xiàn)的功能安全。-功能安全審核：對于按計劃安排的功能安全要求是否有效地執(zhí)行，并滿意地達到規(guī)定目的進行系統(tǒng)地、獨立的檢查。操作和維護（旳16）項能安全管理以及功能安全ms和宙核節(jié)點2安全功襯費保脾|SIS的設計和工程（敘1L12,IW3）一停用引（蛔8）其他風險降低措施設計建立安全生命周期架構以及制定實施計劃安裝.調(diào)試，以及確認—-（賊14和1S）修改71（績17）-節(jié)點1:在制定安全要求規(guī)格書之后；-對SIS設計基礎的總體審查?節(jié)點2:在SIS設計完成之后；-對SIS實物交付的總體審查確認-節(jié)點3:在完成SIS安裝、預調(diào)試和最終確認，以及制定好操作和維護規(guī)程之后；-開車前的安全審查（PSSR）-節(jié)點4:在取得操作和維護經(jīng)驗之后；-對SIS設計的合理性和現(xiàn)場作業(yè)的適宜性的總體審查-節(jié)點5:在對SIS進修改之后和停用之前。-遵循變更管理程序（MOC）,危險和風險評估b.?一…竺…一S】S的安全要求規(guī)格書（綠1。）節(jié)點］ProcessSafetyManagementSystemsCC131IEC61511關于SIS的信息和文檔要求分析文檔修改操作和維護-在生命周期各階段，技術活動和功能安全管理活動，都要形成文檔3232設計硬件設計件集成H驗證、危險辨識/風險評估:定義設計目標文檔評估設計:安全完整性以及過程可用性的可靠性分析—?文檔、SIS的信息和文檔要求進一步,文檔應該滿足下面的要求：準確;容易理解；適合它所預定的目的;以一種可訪問和可維護的形式提供；文檔應有惟一的標記，易于引用不同的部分;文檔應有名稱以表示信息類型；文檔應可追溯到IEC61511關于功能和安全完整性要求的相關條款規(guī)定；文檔應有一個版本索引（版本號）使之能夠辨認不同的版本信息。文檔結構應使之能搜索有關信息。應能辨識一個文檔的最新修訂版本。文檔結構應易于被修訂、補充、復審和批準，處于一個合適的信息控制模式之下。-當前的文檔應保持下述相關信息：-危險和風險評估的結果及相關假設；-用于儀表安全功能的設備連同對它們的安全要求；-對SIS功能安全負有責任的組織及其職責所在；-為達到并保持SIS功能安全所必需的管理規(guī)程；-因受變更修改影響到的全部文檔，必需的內(nèi)容更新；-邏輯控制器的安全手冊以及與SIS有關的儀表設備的安全手冊（必要時）；-設計、工程實施、測試和確認等階段的文檔或信息。33題目口SIS的幾個概念口SIS功能安全標準和功能安全管理口SIS的安全要求規(guī)格書(SRS)口SIS的工程設計與執(zhí)行口有關SIS的可靠性知識，可編程邏輯控制器結構口SIS的SIL驗證口SIS的現(xiàn)場管理口問與答34安全要求規(guī)格書（SRS）分析.工藝安全信息A潛在危險評估后果A危險后果評估可能性危險頻率保護層及其PFD需要SIF嗎確定SIF的SIL目標要求工程實施35HAZOP同類裝置曾發(fā)生過的事件將SIF/SIL要求形成文檔可容許的風險標準安全要求規(guī)格T書（SRS）工藝瞄設計辨識潛在危險后果分析保護層分析LOPA危險特性LJ安全要求規(guī)格書（SRS）3.2.72safetyrequirementsspecificationSRSspecificationcontainingthefunctionalrequirementsfortheSIFsandtheirassociatedsafetyintegritylevels[SOURCE:IEC61508-4:2010,3.5.11,modified-AlignedwithIEC61511terminology]-SRS是SIS設計最基礎的文件?在編制SRS時，應該考慮下面的輸入信息:-過程和危險信息（PHA報告）___-影響SIS設計的法規(guī)和標準規(guī)范要求-所需SIF的列表，包括-應對的危險事件-發(fā)生頻率-后果-SIL等級要求?SRS包括兩類要求：-功能要求■描述每個SIF的功能（它用來干什么?）-完整性要求■風險降低和可靠性要求（安全性能水平多高?）乙信息辨識岀危險危險發(fā)生的頻率危險發(fā)生的后果SIL定級>安全要求規(guī)格書36安全要求規(guī)格書（SRS）乙'37__-SIS的SRS應該清晰、準確地描述有關SIS設計的全部要求,包括應用程序以及SIS結構等各方面。-IEC61511列出了29條SRS應詳細表達的內(nèi)容;關于應用程序安全要求規(guī)格書，也羅列了14條要求。安全狀態(tài)的定義。例如，需要閥門打開還是關閉；液位等）類型、量程范圍及其關斷設定值（例如：HH、LL__1.安全功能要求___安全功能的表達，至少包括下面的內(nèi)容：?對于每個辨識出的危險事件，工?測量參數(shù)（即溫度、壓力、流量、設定值）；?邏輯控制器的輸出及其動作（例如：關停機泵、打開放空閥、關閉關斷閥等）；?輸入輸出之間的功能關系，包括邏輯、數(shù)學函數(shù)、時序控制，以及任何所需的〃許可〃操作）；?失電（De-energized）關停還是得電（Energized）關停的選擇；?手動停車的考慮；__?當SIS系統(tǒng)的電源或氣源斷掉時應有的響應動作；?將工藝對象置于安全狀態(tài)的響應時間要求；?對通過自動診斷檢測出的失效所需的響應動作；?人機界面的要求；?旁路操作要求；?復位功能要求。___2.安全完整性要求___安全完整性的表達，至少包括下面的內(nèi)容：每個安全儀表功能所需的SIL；為達到所需的SIL，對自動診斷的要求；__為達到并保持所需的SIL，對維護以及測試的要求；__如果誤關斷可能導致危險的后果，對相應可靠性的要求。安全要求規(guī)格書（SRS）SRS格式1.介紹(Introduction)?系統(tǒng)概述(Overviewofsystem)?工藝和SIS操作描述(Descriptionofoperation)-其他2.—般要求(GeneralRequirements)-所有SIF的通用要求(RequirementscommontoallSIF)3.SIF要求(SIFRequirements)?功能要求(FunctionalRequirements)?安全完整性要求(IntegrityRequirements)38安全要求規(guī)格書(SRS)-示例DocumentstructureTheSafetyRequirementSpecification(SRS)issplitintotwosections:1)ThegeneralrequirementsfortheSIS;2)TherequirementsofeachindividualSIF.SRSfortheSISLogicSolverSISDetailsOperatorInterfacesThereisanoperatortouchscreenforeachofthe2trains.SISBPCSInterfacesSISsendssignaltoBPCSPLC(hard-wiredfromRedtrainDOmodule)toshutdownHV,andwithadelayof1second.SISalsosendsthe"PSSOK"statussignaltoBPCSPLC(hard-wiredfromRedtrainDOmodule)toinformoperatorsinLocalcontrolroomaboutSISstatus.ThereisnocommunicationfromBPCStoSIS.ProcessDetailsNormalPlantOperationThenormaloperatingmodesinwhichtheSISwillbeexpectedtooperateare:?HVON?Access?SearchAbnormalPlantOperationTheabnormaloperatingmodesinwhichtheSISwillbeexpectedtooperateare:?AlarmSILDataSISSILTargetSIL2SISTargetProofTestInterval(Months)24SISMeanRepairTime(Hours)8TripActionsSpecificRequirementsRelatedToSISStartUp/RestartAfterrestart/start-upSISshallalwaysbeinAccessModeandrestartshallbeconfirmedbyacknowledgingfromoperatortouchscreen.39安全要求規(guī)格書（SRS）-示例_ApplicationProgramLimitationsandconstraintsofNone.thehardwareandembeddedSiemensproven-in-usedevicesandsafetylibrarywillbeused.AnysoftwareconstraintsandlimitationslistedinSiemensSafety-PLCsafetymanualshallbeobserved.RpaItima

oprfnrmanrpDpI^vnf11。?ihijtdn\A/nofHVtoAllowRPCSwhufricwry1wccnrlsequencingandtimedelaysDiagnostics,Self-MonitoringandBuilt-indiagnosticsbySiemensPLC.MonitoringofotherdevicesFunctionstoenablePeriodicPeriodicTestingshallbeconductedwhensystemisnotusedduringnormalTestingoperation.RequirementsforprocessAddressedinVerificationandValidationProceduredocument[6]variablevalidationandhandlingofbadprocessvariablesRequirementsforNospecialrequirementsoncommunicationinterfaces.communicationinterfacesAdditionalLogicFunctionsNoneidentified.ApplicationProgramTobeprovidedatalaterstageanddocumentedinthePSSOSoftwareDocumentationPlanningDocument[7]SecurityRequirementsSecurityRequirementsfortheSecurityanalysiswillnotbeconductedforPSSO,butsecuritymeasureswillSIS,includingcountermeasuresbetakenintoaccount.tobeimplementedintheLogicPSSOwillbestand-alone,andcanonlybeaccessedlocallyfromaPSSSolverandApplicationProgramlaptop.EnvironmentalConditionsDesignrequirementsWillbeaddressedinPSSOHardwareDesignRequirementsSpecifications[S].40安全要求規(guī)格書(SRS)-示例SRSfortheSIFs4.2.1.SIF01一PSSOEmergencyStopSIFDetailsSIFTagSIFO1DrawingNumberN/AHazardousEventThiswasnotdesignedforsafety,ratheritisforemergencysituationssuchasfireorexplosionwithinPSSOcontrolledarea,toprotectequipmentfromdamage.SIFDescriptionUpondetectingemergencyshutdownpushbuttonbeingpressed,shutdownHVbyremovingitspowersupply(loo2relayandcontactor)viaSafetyPLC(loo2,blueandredtrains).SourcesofDemandEmergencysituationswithHumaninterventionDemandRateonSIF<1peryear,estimatedTripPointsEmergencyshutdownpushbuttonbeingpressedSuccessCriteriaHVisOFFduetopowersupplybeingisolatedFunctionalRelationship(BetweenInputandOutput)HVOFFuponpressingtheemergencyshutdownpushbutton—CommonCauseFailuresElectricalPowerLossSystemissafeasHVwillbeoffuponpowerloss.CompressedAirLossN/AHydraulicPressureLossN/AProcessDetailsSafeStateDefinitionHVispoweredoff.HazardsfromConcurrentSafeStatesNoneidentified.ProcessSafetyTimeN/ARequirementtoSurviveaMajorAccidentNoneidentified.Lossofpowerduetomajoraccidentswillputsysteminsafestate.SILDataModeofOperationLowDemandSILTargetN/AAchievedN/APFD/PFHTargetN/AAchievedN/ASpuriousTripRate(/hr)TargetNoavailabilityrequirementforPSSOAchievedN/ATargetProofTestInterval(Months)SensorSubsystemFinalElementSubsystem41安全要求規(guī)格書（SRS）-示例Emergencyshutdownpushbutton24Contactorandrelay24Contactorandrelay24MeanRepairTime(hours)SensorSubsystemFinalElementSubsystemEmergencyshutdownpushbutton8Contactorandrelay8Contactorandrelay8SIFResponseTimeAchievedN/ATripActionsManualShutdownRequirementsTheprocesscanbeshutdownviaBPCS.Energise/De-EnergiseToTripDe-energisetotripRequirementsforResettingafterShutdownTheHVpowersupplyneedstobemanuallyresetfollowingashutdown.Overrides/Inhibits/Bypasses(includingcontrolmeasuresforwhenthesearein,1Therearenooverrides/inhibits/bypassesforthisSIF.DesiredResponsestoSIFFailureModesPropertiesSensorFailuresFailtodetectpushbuttonbeingpressedLogicSolverFailuresFailtoinitiateactionFinalElementFailuresFailtoopenrelay/contactorMaintenanceIssuesMaintenanceConsiderationsMaintenanceshallbeconductedasperdevicemanualsandprojectoperationandmaintenanceprocedures.42安全要求規(guī)格書（SRS）?SRS格式-SIF功能要求(因果圖(Cause&EffectDiagram))Tag#Description—1U)InstrumentRangeTripPointCDCZ)CLOSEVALVEXV-03ACLOSEVALVEXV-03BOPENSVALVEXV-03CBS-01BurnerLossofFlame1PSIGXXXPSL-01FuelGasPressureLow7PSIGXXX43安全要求規(guī)格書(SRS)?SRS格式-SIF功能要求(功能邏輯圖(LogicDrawing))44安全要求規(guī)格書（SRS）-SRS編寫中的常見問題:-危險和風險分析以及SIL定級做得不好，不能給寫規(guī)格書提供準確全面的輸入資料-SRS沒有很好地維護，沒有及時更新-SRS版本控制不好-SRS中不完整，或遺漏了重要的功能和完整性要求■IEC61508,Part2,TableB.1—RecommendationstoavoidmistakesduringspecificationofE/E/PESrequirements(seealsoclause7.2)Technique/MeasureSeeIEC61508-7Section:ProjectManagementB.1.1DocumentationB.1.2SeparationofE/E/PEsafety-relatedsystemsfromnonsafety-relatedsystemsB.1.3StructuredSpecificationB.2.1InspectionoftheSpecificationB.2.6Semi-formalmethodsB.2.3seealsoTableB.7ofIEC61508-3ChecklistsB.2.5*PartialCopyofTable45題目口SIS的幾個概念口SIS功能安全標準和功能安全管理口SIS的安全要求規(guī)格書（SRS）口SIS的工程設計與執(zhí)行口有關SIS的可靠性知識，可編程邏輯控制器結構口SIS的SIL驗證口SIS的現(xiàn)場管理口問與答46SIS的總體設計原則?當在SIS內(nèi)既執(zhí)行SIF也執(zhí)行非SIF時，與非SIF有關的硬件和應用程序（AP）應按照可能影響到的具有最高SIL的SIF進行管理。?對于具有不同SIL的SIF在SIS內(nèi)共享硬件和AP時，這些公共部分應該按照具有的最高SIL進行管理。另外，應設置適當?shù)臉俗R以區(qū)分不同的SIF和SL?對于SIS的可操作性、可維護性、診斷、檢驗以及可測試性等要求，應該得到滿足，以便減少危險失效的可能性。-對于指定由操作和維護人員完成的任務，應該考慮人力的能力、限制和適宜性。操作員接口的設計應遵循良好的人因實踐，便于輸入數(shù)據(jù)等操作，并適宜于對操作人員進行培訓。?SIF的設計，一般是在關斷動作后，工藝過程應該鎖定在安全狀態(tài)直至人工復位，避免工藝狀態(tài)恢復后SIF自動投用可能引發(fā)工藝危險。操作員要先確認各項工藝條件得到滿足，然后再人工復位后重新啟動。?SIS的設計應該充分考慮SIS與BPCS、SIS與其他保護層之間的獨立性和從屬性。?按照〃非故障安全〃設計的系統(tǒng)，例如最典型的火氣系統(tǒng)，應該對公用支持系統(tǒng)和SIS電路完整性進行實時監(jiān)測和報警（例如，回路的線路監(jiān)控、氣源和液壓源的壓力監(jiān)控）并采取必要的動作。?對于最終元件采用得電關停設計的場合，由于電源或氣源喪失時它不能自主地置于安全狀態(tài)，應該考慮是否設置就地手動措施，確保必要時手動置于安全狀態(tài)。47SIS的總體設計原則在SIS的設計和工程實施中，IEC61511特別強調(diào)了這幾方面的要求：-在檢測到故障時的系統(tǒng)行為要求（條款11.3）。?硬件故障裕度（HFT，HardwareFaultTolerance）要求（條款11.4）。-儀表設備選型要求（條款11.5）。>基于IEC61508認證；>或者符合〃早先使用（PriorUse）〃的原則?接口要求（條款11.7）。>包括操作員接口、維護/工程接口，以及通信接口。?維護或測試設計要求（條款11.8）。?隨機失效的量化要求（條款11.9）。>概括了進行PFDavg/PFH計算時需考慮的各種因素；>IEC61511并未給出具體的計算方法；>從現(xiàn)場收集可靠性數(shù)據(jù)的要求；?應用程序（AP）設計、組態(tài)、安全確認（審查和測試），以及采用的方法和工具等要求（條款12）。?主要針對可編程邏輯控制器的工廠驗收測試（FAT,FactoryAcceptanceTest）的要求（條款13）048SIS的工程設計與執(zhí)行安全要求規(guī)格書(SRS)每個安全儀表功能的功能描述,目標SIL,與預防或減輕的風險,工藝參數(shù),邏輯,旁路與維護要求，響應時間，等等工程執(zhí)行階段-SIS/SIF設計、集成、安裝調(diào)試，以及確認49儀表選型-IEC6151111.5.2GeneralrequirementsDevicesselectedforuseaspartofaSISwithaspecifiedSILshallbeinaccordancewithIEC61508-2:2010andIEC61508-3:2010and/or11.5.3through11.5.6,asappropriate.11.5.3Requirementsfortheselectionofdevicesbasedonprioruse11.5.4RequirementsforselectionofFPLprogrammabledevices(e.g.,fielddevices)basedonprioruse11.5.5RequirementsforselectionofLVLprogrammabledevicesbasedonprioruse11.5.6RequirementsforselectionofFVLprogrammabledevicesWhentheapplicationsareprogrammedusinga

FVL,thePEdeviceshallbeinaccordancewithIEC61508-2:2010andIEC61508-3:2010.-儀表設備具有IEC61508認證-儀表設備依據(jù)〃早先使用(PriorUse)〃選型-可編程邏輯控制器選型應該依據(jù)認證50儀表選型-IEC61508認證-IEC61508合規(guī)設備完全符合IEC61508的設備，需要在下面這些方面滿足:/功能安全管理/硬件要求/軟件要求/基本電氣安全、EMC、環(huán)境/安全手冊-證書應該陳述:-制造商-認證的所有部件或產(chǎn)品-采用的主要標準-取得的SIL等級?證書所附的報告（這一文件很重要）—解釋認證是如何做的-列出使用時的限制?作為最終用戶或系統(tǒng)集成商-不需對設備作詳細的安全性能分析-只需決定使用：/認證的設備；/基于經(jīng)驗使用或者早先使用原則的設備/有效的可靠性數(shù)據(jù)源/只需明白如何應用上述選項1ABS①LISTEDCertificate/CertificatZertifikat/合格証HON1306004C001exiliaherebyconfirmsttuSTT850SmartLineTenTransmitterwithHHoneywelllnt?rnotioHoneywellFieldPreFortWashington,PA19Hasbeenassessedp?rtb?relevantrequiiIEC61508:2010Paandmeesr?quirennentsprovidingaleveJ、

SystematicCapability:SC3(RandomCapability：TypeSIL2

@HFT=O：SIL3@HFTPFDivaandArchitectureComu&tbeverifiedforeachapSafWyFunaiw:TheSTT850SnunLineTernp