安全保护自动控制系统安全保护自动控制系统

左 信13801333823 zuox@cup.edu.cn

中国石油大学（北京）自动化研究所

20102010 年年 33 月月••北京北京

提 纲

一、背景及引言

二、安全、风险及安全技术

三、安全保护自动控制系统

四、功能安全及安全完整性等级

五、安全生命周期管理与安全评估

六、存在的问题及进一步工作

自动化能为安全做些什么？

一、背景及引言

自动化与安全重庆开县井喷 开始思考 自动化能为安全做点什么

从自动化角度对事故案例进行分析

事故原因： 大多伴随着高温高压

自动技术的应用可以避免很多事故的发生

安全监测与控制系统早已有之

自动化技术应用 重视不够，使用和管理不规范

事故原因分布

（根据荷兰的安全研究部门（TNO）对 216起事故归纳）

员工过失和控制系统故障 39.5%

设备故障 26% 随机因素 34.5%

其中，含 ESD 电源掉电、

系统 4% 静电、腐蚀、

短路、维护怠慢、

设计、怠工、

自动化与安全 工业测控系统中仪表阀门控制器： 本质安全 防爆 防辐射等 工业测控系统中其他与安全有关的内容

• 测量信号的报警 故障诊断与报警• 计算机控制系统 集中 / 分散 结构冗余 快稳准• 调节阀的选择 风开 / 风关 阀位限制• 控制系统中的低选 / 高选控制，连锁逻辑控制

安全相关测量控制系统（暂时记为 SrCS) 很早就存在，使用得越来越多 渐渐地形成一个独立的专用的 SrCS 如 : ESD SIS

随着对安全的重视，对 SrCS 要求越来越高

一、背景及引言

自动控制系统的分类（按功能分类方法之一）

生产运行控制系统：生产功能 • 基本过程控制系统 BPCS(Basic Process Control System)

• 过程控制系统 PCS (Process Control System)

• 生产运行控制系统 PCS(Production Control System)

安全保护控制系统：安全功能 • 安全仪表系统 SIS(Safety Instrumented System)

• 安全控制系统 SCS(Safety Control System)

• 安全保护控制系统 SGCS (Safeguard Control System)

• 安全监测与控制系统 SrCS (Safety Related Control Syste

m)

问题：如何命名？ SIS 不够贴切 比较通用

一、背景及引言

SrCS 存在的问题 对安全发挥作用认识和重视程度不够 已经设计和使用的 SIS 系统 合理性 经济性 有效性 新的标准 GB/T 21109, GB/T20438 如何执行

安全相关测量控制系统 有关标准 1994 年，德国标准 DINV19250

1996 年，美国标准 ISA 84.01

1998 年，国际标准 IEC61508-1:1998 … IEC61508-7:2000

2003 年，国际标准 IEC61511-1:2003 … IEC61511-3:2003

2006 年前 中国标准 SH/T 3018:2003 , SY/T 10045:2003 …

2006 年，中国标准 GB/T 20438:2006, 2007 年 1 月 1 日实施

2007 年，中国标准 GB/T 21109:2007, 2007 年 12 月 1 日实施

一、背景及引言

IEC61508 1998 年发布

GB/T20438 2007-01-01 实施

IEC61511 2003 年发布

GB/T21109 2007-12-01 实施

二、安全、风险及安全技术 安全的定义：定义 : 不存在不可接受的风险 GB/T21109-1:p13

绝对安全不存在 不可控，安全与风险并存

风险的定义： 定义：出现伤害的概率与该伤害严重性的组合 GB/T21109-1:p13

风险 = 发生概率 *造成后果允许风险：根据当前社会水准，在给定的环境内能够接受风险 风险标准：装置 车间 分厂 公司 企业 国际过程风险 : 由于过程、 BPCS 系统和相关人员因素而存在的发生 特定危险事件的风险（ GB/T21109-3:p3 ） 残余风险：增加安全保护功能 ( 如 SIS) 后 发生特定危险事件的风险

二、安全与风险及安全技术

Ëù Óа² È« ϵ ͳ ºÍ Íâ ²¿ ·ç ÏÕ ½µµÍ Éè Ê©Ëù »ñ µÃµÄ·ç ÏÕ ½µµÍ

±» ÆäËû ¼¼Êõ °² È« ϵͳ ¸² ¸Ç µÄ ²¿ ·Ö ·ç ÏÕ

±» E /E /P E °² È« Ïà ¹Ø ÏµÍ³ ¸² ¸Ç µÄ ²¿ ·Ö ·ç ÏÕ

±» Íâ ²¿ ·ç ÏÕ ½µµÍ ÉèÊ©¸² ¸Ç µÄ ²¿ ·Ö ·ç ÏÕ

ʵ¼ÊµÄ·ç ÏÕ ½µµÍ

±ØÒª µÄ·ç ÏÕ ½µµÍ·ç

ÏÕ

Ôö

¼Ó

²Ð Óà ·ç ÏÕ ÔÊÐí ·ç ÏÕÊÜ¿ØÉè ±¸

·ç ÏÕ

GB/T 21109 20438 风险降低：通用概念

二、安全与风险及安全技术

如何降低风险？ 安全保护层

Éç Çø ½ô ¼± Ïì Ó¦

È« ³§ ½ô ¼± Ïì Ó¦

¼õ ÔÖ »ú е¼õ ÔÖϵ ͳ °² È« ÒÇ±í ¿Ø ÖÆϵ ͳ °² È« ÒÇ±í ¼õ ÔÖϵ ͳ

·À »¤ »ú е±£ »¤ ϵ ͳ ¹ý ³Ì ±¨ ¾¯ ²Ù ×÷ Ô± ²Ù ×÷ ¹Ü Àí °² È« ÒÇ±í ¿Ø ÖÆϵ ͳ °² È« ÒÇ±í ·À »¤ ϵ ͳ

»ù ±¾¹ý ³Ì ¿Ø ÖÆϵ ͳ¼à ¿Ø ϵ ͳ £¨ ¹ý ³Ì ²Î Êý ±¨ ¾¯ £© ²Ù ×÷ Ô± ²Ù ×÷ ¹Ü Àí

¹¤ ÒµÁ÷³Ì

°² È« ²ã ´Î

¼õÔÖ£º¼´ »ð ÔÖºÍ ¿É ȼÆøÌå £¨ F & G £©°² È« ϵ ͳ

·À »¤ £º¼´ E S D °² È« ϵ ͳ

二、安全与风险及安全技术

安全保护层 ( 自动化 )ZX ：

Éç Çø ½ô¼±Ïì Ó¦

È« ³§ ½ô¼±Ïì Ó¦ £¨ Ïû ·À µÈ£©

Ïû ·À ×Ô¶¯ ¿ØÖÆϵ ͳ

S G C S £¨ S af eg u ar d in g C o n tr o l S y s tem ) °² È« ±£ »¤ ¿ØÖÆϵ ͳ

BP C S£¨ Bas ic P r o c es s C o n tr o l S y s tem )

»ù ±¾¹ý ³Ì ¿ØÖÆϵ ͳ

¹¤ ÒµÁ÷³Ì

Éè ±¸

二、安全、风险及安全技术风险降低与安全技术

按照专业领域从四个方面做工作 ZX ：

（ 1 ）工艺 原料 / 产品等的毒性 / 爆性；生产工艺的安全性协调性

等

（ 2 ）设备 机械强度，耐压、磨损、腐蚀等

（ 3 ）电控 BPCS 系统的可靠性 / 专门的安全保护自动控制系

统

（ 4 ）管理 法规的制定与执行 人员的培训 等

三、安全保护自动控制系统安全保护控制系统的内容 ZX

安全相关变量的测量显示与报警 生产运行状态的故障诊断与预警执行安全保护功能的自动控制系统 各级应急指挥调度中心自动化相关系统

SGCS 系统 其功能的实现手段 ZX ： （ 1 ） DCS/SCADA/PLC 风险小，可靠性要求低时（ 2 ） SIS/ESD/F&G 风险大，可靠性要求高时（ 3 ）综合使用 DCS/SIS 可降低总成本

三、安全保护自动控制系统

安全保护自动控制系统的特点 ZX

（ 1 ）目的是减少危险，而不是保证生产运行产品合格；

（ 2 ）对测量环节要求更多功能、更智能、更实时，长期不停运行状态；

（ 3 ）对控制器和执行单元要求更快、执行单元长期处在备用状态 ；

（ 5 ）对控制器，更多的是逻辑控制，也有连续控制（少），理论性少；

（ 4 ）对测量、控制、执行及辅助系统 ( 通讯、供电等 ) 可靠性要求更

高。

SGCS 和 BPCS 的区别 ZX ：

（ 1 ）目的功能不同 生产功能 / 安全功能

（ 2 ）运行状态不同 实时运行 / 功能长期备用 ( 部分实时运

行 )

（ 3 ）可靠性要求不同 SrCS 要求更高的可靠性

（ 4 ）控制方法不同 连续控制为主 / 逻辑控制为主

（ 5 ）使用和维护方法不同 SrCS更严格

安全保护控制系统 的重要性 ： （ 1 ）和其他安全措施技术相比的重要性（ 2 ）在自动化专业领域中的重要性

三、安全保护自动控制系统

安全功能 Safety Function

针对特点的危险事件，为达到和保持过程的安全状态，由

SIS 、其他技术安全相关系统或外部设施实现的功能 (21109-1:p13)

功能安全 Functional Safety

SrCS 本身的安全性（如仪表的本质安全，无辐射等）

SrCS 的安全功能是完整的、可靠的（功能是安全的） (21109-1:p8)

安全仪表系统 SIS(Safety Instrumented System)

用于实现一个或多个安全功能的仪表及仪表系统 包括：传感器、逻辑解算器和最终单元。 SIS 广义 / 狭义安全仪表功能 SIF((Safety Instrumented Function)

SIS 系统 所实现的 安全功能。 21109译为“仪表安全功能”

ZX: 存在“ [非 ] 安全仪表的 [非 ] 安全功能” 多种组合

四、功能安全及安全度等级

安全完整性 Safety Integrity 在规定的时间内、在所有规定的条件下 , 成功

实现所要求的安全功能的平均概率 (21109-1:p14)

安全完整性等级： SIL(Safety Integrity Level) 简称：安全度等级定义：一种离散的等级，用于规定分配给 SIS 的安全仪表功能的

完整性要求 (21109-4:p14)

作为衡量安全功能重要因素，是安全系统的核心 . ZX: 可理解为整体可靠性

代表着使过程风险降低的数量级SIS 的操作模式： 要求模式 / 连续模式 要求操作模式 / 连续操作模式

要求时平均失效概率： PFDavg (average Probability of Failure on Deman

d)

注意： Fault/ Failure 故障 /失效 用失效更好 , 故障了可能还可以用连续时危险失效概率： PDFperhour(Probability of Dangerous Failure)

四、功能安全及安全度等级

SIL 等级与 PFD 、 PDF 的关系：

四、功能安全及安全度等级

SIL PFD average PDF perhour

4 ≧10-5 ~﹤10-4 ≧10-9 ~﹤10-8

3 ≧10-4 ~﹤10-3 ≧10-8 ~﹤10-7

2 ≧10-3~﹤10-2 ≧10-7 ~﹤10-6

1 ≧10-2 ~﹤10-1 ≧10-6 ~﹤10-5

安全生命周期 Safety Life Cycle

安全仪表功能实现过程中所发生的所有的必要活动 (21190:1p1

5)

安全生命周期图 GB/T20438 ：包括了系统的概念、范围定义、风险分析、安全分配要求、计划编制、设计与实现、安装试运行、操作维护修改、停用等。

安全生命周期图 GB/T21109 ：过程危险与风险分析、安全功能分配、安全要求规格确定、工程设计、安装调试确认、运行维护、修改和停用等。

安全生命周期是用系统的方式建立的一个框架，用以指导安全仪表系统的需求分析、设计和评价等所有活动。

五、安全生命周期管理及安全评估

GB/T20438-1:p6 安全生命周期框图

概念1

整体范围定义2

危险和风险分析3

整体安全要求4

安全分配要求5

整体操作和维护计划编制

6 整体安全确认计划编制

7 整体安装和试运行计划编制

8

整体计划编制

安全系统

E/E/PES

9 安全系统其他技术

10 外部风险降低设施

11

实现 实现 实现

整体安装和试运行12

整体安全确认13

整体操作维护和修理14

停用和处理16

整体修改和改型15

返回适当的整体安全安全生命周期

五、安全生命周期管理及安全评估

GB/T21109-1:p20 安全生命周期框图

五、安全生命周期管理及安全评估

GB/T21109-1:p20 安全生命周期框图

五、安全生命周期管理及安全评估

安全生命周期各阶段及工作内容：1. 过程危险与风险评估（按 GB/T21109 的要求至少进行一次）

组织或参与进行 PHA/HAZOP 分析确定生产过程及 BPCS 基本控制系统的危险事件及相关联的风险确定达到必要风险降低所需要的安全功能确定每个安全功能是否需要安全仪表功能

2. 安全功能保护层分析与功能分配进行 LOPA 保护层分析给保护层分配安全功能确定所需要的安全仪表功能 (SIF)

确定每个安全仪表功能所要求的安全度等级

五、安全生命周期管理及安全评估

安全生命周期各阶段及工作内容：3. 确定 SIS 设计安全要求规格

规定 SIS 设计应达到的安全要求及技术规格描述每个安全仪表功能及安全要求确定 SIS 运行模式、启用条件、停机复位、检验测试间隔等要求规格分析和识别失效模式、共因失效及相关要求

4. SIS 系统的设计及安全度等级验算SIS 系统的工程设计SIS 系统的设计及安全度等级验算

5. SIS 系统的安装运行和确认 6. SIS 系统的操作和维护 7. SIS 系统的修改或停用

五、安全生命周期管理及安全评估

整体安全生命周期也可以分为三个大阶段 ZX ：

需求分析阶段 21109 规定的阶段 1

设计实现阶段 21109 规定的阶段 2+3

运行维护阶段 21109 规定的阶段 4+5

安全生命周期各阶段的风险分析与评估 按 GB/T21109 要求 至少进行一次

安全生命周期各阶段的 SIS 功能安全评估 越早越好

功能安全评估可能存在于安全生命周期的各阶段

可以考虑 5 个阶段执行 5次功能安全评估

GB/T 21109 要求系统投用前至少进行 1次

评估组织机构 具有独立性

五、安全生命周期管理及安全评估

HAZOP 分析 分析小组 组长 记录员 工艺 设备 仪表 安全 偏差 引导词 原因 后果 措施 辅助软件 很多 如 ISOgraph

SIL需求分析

LOPA分析 SIF 确定 SIL定性分析 定量计算

SIS 规格书确定 SIF SIL TI Ts SIL 评估计算

SIF 回路构成 系统结构 (1oo1 1oo2 1oo2D 2oo3 …)

定量计算方法及公司 GB20438/21109 仅是推荐

辅助软件 Excel 专用 自己开发的

五、安全生命周期管理及安全评估

与安全仪表系统相关的事故统计图

五、安全生命周期管理及安全评估

,设计规范44. 10%

,开车后整改20. 60%

,操作与维护14. 70%

,设计及实施14. 70%

,安装及开车5. 90%

自动化技术在安全工程中的作用及重要性

国内外标准 GBT20438/21109 IEC61508/61511 的执行

行业实施细则的制定与执行

BPCS 的危险与可靠性分析

待建 SIS 系统： 需求分析 设计 安全评估 定性 / 定量

在用 SIS 系统： 运行 维护 修改 安全评估

SIS 安全相关仪表系统的认证问题

安全仪表相关人员的培训

六、存在的问题及进一步工作

安全监测与控制GB/T21109 GB/T20438 等早一点更好一点执行

合理、经济、有效地使用自动化技术

能为石油石化安全生产作出更大的应有的贡献

任 重 道 远