【PPT】过程工业领域安全仪表系统的功能安全GBT 21109介绍和应用课程预览:
【PPT】过程工业领域安全仪表系统的功能安全GBT 21109介绍和应用课程内容介绍:
该文档围绕过程工业领域安全仪表系统(SIS)的功能安全展开,以 GB/T 21109 系列标准为核心,系统介绍了相关标准体系、关键术语、管理要求、生命周期、设计规范及验证方法等内容,为过程工业 SIS 的设计、安装、运行、维护提供全面指导。
一、功能安全相关标准和参考资料
(一)核心标准体系
GB/T 21109 系列:作为过程工业专用标准,是 IEC 61511 的转化版本,分为 3 个部分。其中 GB/T 21109.1—2022 规定框架、定义、系统及软硬件要求;GB/T 21109.2—2023 为应用指南;GB/T 21109.3—2007 指导确定安全完整性等级(SIL),强调结合过程整体安全生命周期,是 IEC 61508(对应 GB/T 20438 系列)在过程领域的补充。
GB/T 20438 系列:作为电气 / 电子 / 可编程电子安全相关系统的功能安全通用标准,涵盖 7 个部分,包括一般要求、软硬件要求、软件要求、定义缩略语、SIL 确定方法示例等,为各行业安全相关系统提供通用技术依据。
(二)其他相关标准与资料
国内标准:包括 GB/Z 29638—2013(功能安全概念及 GB/T 20438 概况)、GB/T 50770—2013(石油化工 SIS 设计规范)、GB/T 32857—2016(保护层分析 LOPA 应用指南)等,涉及 SIS 设计、风险评估、验收等环节;还有安监总管三〔2014〕116 号等政策文件,规范化工 SIS 管理。
行业规范与书籍:如中国石化相关风险评估指导意见、SY/T 系列油气行业规范,以及《安全仪表系统的功能安全》《保护层分析:使能条件与修正因子导则》等专业书籍,同时提及 IEC 61511、IEC 61508 等国际标准作为参考。
二、术语和定义
功能安全:是整体安全中与过程及基本过程控制系统(BPCS)相关的部分,依赖 SIS 和其他保护层正确执行功能,不同标准(如 GB/T 21109、GB/T 20438)定义略有差异,以适配过程工业术语习惯,其核心是通过自动保护系统应对人为错误、系统错误、硬件故障及环境压力,实现可预测的安全响应。
关键术语关联
SIS(安全仪表系统):由测量仪表、逻辑控制器、最终执行机构等组成,用于实现一个或多个 SIF,可包含通信、辅助设备及软件,部分情况下可执行非 SIF 功能,但需明确区分安全关键设备与非关键设备。
SIF(安全仪表功能):为防止或减少危险事件、维持过程安全状态,由 SIS 实现且具备特定 SIL(1-4 级)的安全功能,是 SIS 的核心执行单元。
SIL(安全完整性等级):衡量 SIF 风险降低能力的等级,分为 1-4 级,通过要求时危险失效平均概率(PFDavg)或每小时危险失效频率(PFH)量化,不同等级对应不同的硬件冗余、诊断措施及验证要求。
EUC(受控设备):涵盖制造业、流程工业等领域的设备 / 装置,其风险(EUC 风险)需通过 E/E/PE 安全相关系统及其他风险降低措施控制,是功能安全分析的基础对象。
三、安全仪表管理
(一)管理框架
依据 AQ/T 3034-2022《化工过程安全管理导则》,安全仪表管理是化工过程安全管理的 20 个要素之一,需与安全领导力、风险管理、设备完好性管理等协同,明确企业需指定专人负责,建立管理制度、考核指标及人员能力保障机制。
(二)具体管理要求
SIS 管理:企业需通过风险评估确定 SIF 及风险降低需求,编制安全要求技术文件;按文件设计 SIS,采用设备选型、冗余容错、合理测试周期等手段满足 SIL 要求;制定安装调试与联合确认计划,投运前审查确认;运行中定期维护、测试,建立设备失效数据库,规范变更管理与定期评估。
其他安全仪表管理:过程报警需参照 SIF 管理,保障 BPCS 自动控制投用率;有毒有害 / 可燃气体检测报警系统(GDS)需独立设置(不受 BPCS 故障影响),符合 GB 16808 等标准,参与消防联动时需采用专用报警控制器,作为 SIS 输入时探测器宜独立配置。
四、SIS 安全生命周期
(一)定义与阶段划分
SIS 安全生命周期指从项目概念阶段到所有 SIF 停用的全流程,按 IEC 61511-1:2016 分为三大阶段:
分析阶段:开展危险与风险评估(如 PHA、LOPA),辨识风险并分配保护层安全功能,制定安全生命周期结构与计划,输出 SIS 安全要求规格书(SRS)。
实现阶段:进行 SIS 设计与工程(含硬件配置、逻辑设计)、其他风险降低措施开发,完成安装、调试与确认(如 FAT/SAT 测试),确保 SIS 符合设计要求。
操作阶段:执行 SIS 操作与维护(含周期性检验测试),管理系统变更,最终完成 SIS 停用及验证评估,全阶段需同步开展功能安全管理与评估审计。
(二)核心工作流程
从工艺概念设计开始,依次经过过程危险分析、SIL 定级、SRS 编制、基础 / 详细工程设计、SIL 验证、集成调试、验收投运、运行维护、变更管理至停用,每个环节需输出对应文档(如 LOPA 报告、SIL 定级 / 验证报告、操作维护规程),确保全流程可追溯。
五、安全要求规格书(SRS)
(一)意义与编制依据
SRS 是包含所有 SIF 及对应 SIL 要求的规范性文件,是 SIS 安全生命周期的关键环节,承上启下连接风险评估与 SIS 设计。编制依据包括企业风险标准、LOPA 等危险分析结果,同时需满足安监总管三〔2014〕116 号、AQ/T 3034-2022 等政策标准对 “安全要求技术文件” 的要求。
(二)核心内容与结构
主要内容:涵盖 SIF 描述(因果图、逻辑叙述)、输入输出设备清单、共因失效防控要求、过程安全状态定义、SIF 触发源与响应时间、检验测试要求、SIL 等级与运行模式、联锁值与动作准则、手动停车 / 复位要求、系统接口、旁路管理、环境适应性要求等 29 项核心要素,同时需明确应用程序安全要求(如 CPU 容量、故障处理、通信接口)。
文件结构:参考 T/CIS 71001—2021,典型结构包括概述(项目背景、适用标准)、术语缩略语、SIS 通用要求(设计、接口、电源等)、SIF 通用要求(SIF 说明、输入输出清单)、应用程序安全要求、特定要求、SIF 清单及数据表(含传感器、逻辑控制器、最终元件参数)、因果图等附录。
六、BPCS 和 SIS 是否可以共用
(一)基本原则
优先独立设置:SIS 与 BPCS 宜物理分离(含传感器、控制器、最终元件),以减少共因 / 共模 / 系统性失效,保障 SIS 安全完整性,符合保护层独立原则,同时便于各自维护、变更管理及 SIF 识别验证。
共用前提条件:仅当分析确认整体风险可接受时可共用设备,需满足:共用设备(如传感器、阀门)的危险失效率足够低,具备高诊断能力;SIS 动作需超驰 BPCS 动作;明确补偿措施(如设备故障 / 维护时的风险管控);SIL 等级较低(如 SIL1),SIL2 及以上通常需独立冗余设备。
(二)具体规范要求
标准依据:GB/T 21109.1-2022 规定,BPCS 声明风险降低≤10 时可作为 IPL,若>10 需按 IEC 61511 设计;GB/T 50770-2013 要求 SIL1 级测量仪表 / 控制阀 “宜” 与 BPCS 分开,SIL2-3 级 “应” 分开,且不同 SIL 对应不同冗余逻辑(如 SIL2 宜冗余、SIL3 应冗余)。
风险影响:共用设备会改变 LOPA 分析中的风险削减取值,可能导致 SIL 等级升级(如从 SIL1 升至 SIL2),需重新开展风险评估与 SIL 验证,确保满足 PFDavg/PFH、HFT(硬件容错)、SC(系统能力)要求,且符合全生命周期管理规范。
七、SILa 的概念和工程实施
(一)概念定义
SILa 指要求时危险失效平均概率介于 10⁻¹-1 之间、未达到 SIL1 级但需风险降低的联锁保护功能,通常不进行 SIL 验证,其风险降低能力(RRF)为 1-10,可由 BPCS 或 SIS 实现,需结合 ALARP(尽可能合理降低)原则分析风险可接受性。
(二)工程实施要点
应用场景:适用于风险较低、后果较轻的场景,如非重大危险源的一般工艺保护,需确认 BPCS 作为 IPL 时符合 GB/T 32857 要求(如 BPCS 不得作为超过 2 个 IPL,最低 PFD 不低于 0.01)。
风险控制:需验证 BPCS 作为初始事件或 IPL 的独立性,避免多次依赖 BPCS 导致风险叠加;风险位于 ALARP 区域时需开展经济可行性分析,确保风险降低措施在合理成本范围内。
八、SIL 验证
(一)验证定位与时机
SIL 验证是 SIS 安全生命周期 “实现阶段” 的核心活动,基础设计阶段可开展预验证,详细设计阶段必须完成正式验证,目的是通过计算 PFDavg/PFH、验证结构约束(HFT)及系统性安全完整性(SC),证明 SIF 满足既定 SIL 要求。
(二)验证核心要素
PFDavg/PFH 计算:低要求模式下用 PFDavg(SIL1:10⁻²-10⁻¹,SIL2:10⁻³-10⁻²,依此类推),连续 / 高要求模式下用 PFH(SIL1:10⁻⁶-10⁻⁵ 次 / 小时),需结合设备失效率、测试周期、诊断覆盖率等参数,采用可靠数据(如制造商安全手册)计算。
HFT(硬件容错):根据 SIL 等级确定最小 HFT,如 SIL1(任何模式)、SIL2(低要求模式)HFT≥0;SIL2(高要求 / 连续模式)、SIL3(任何模式)HFT≥1;SIL4 HFT≥2,需结合设备分类(Type A/B)及安全失效分数(SFF)确定最大允许 SIL。
SC(系统能力):通过技术措施(如程序监视、冗余测试、代码保护)控制系统性失效,不同 SIL 对应不同措施等级(如 SIL3 需 “极力推荐” 或 “强制” 措施),需符合 GB/T 20438.2/7 的措施有效性要求(低 / 中 / 高)。
(三)验证不通过的改进措施
包括选择高可靠性设备、提高冗余配置(如三取二逻辑)、缩短测试间隔(TI)、提升测试覆盖率、减少共因失效、增加部分行程测试(PST)功能,或重新开展风险评估(增加 IPL 降低 SIL 要求)。
九、BPCS 作为多个 IPL 的评估方法
(一)评估方法分类(依据 GB/T 32857-2016)
方法 A(保守型):假设共享同一逻辑解算器的 BPCS 回路存在关联性,单个回路失效则所有回路失效,同一 BPCS 仅允许作为 1 个 IPL,适用于数据不足或经验有限的场景。
方法 B(灵活型):假设 BPCS 回路失效多源于传感器 / 最终元件,逻辑解算器 PFD 比其他部件低至少 2 个数量级,允许同一 BPCS 作为多个 IPL,但需满足逻辑解算器高可靠性、回路独立性(如独立 I/O 模块、应用程序)及定量风险分析要求。
(二)规范约束与独立性要求
数量限制:GB/T 21109.1-2022 规定,BPCS 作为触发源时,同一危险事件的 BPCS 保护层不超过 1 个;非触发源时不超过 2 个,且需独立分离(如独立 CPU、网络、工程工具),热备控制器不视为独立。
风险降低上限:BPCS 单个保护层风险降低≤10,多个保护层叠加需通过定量分析(含共因失效评估),确保整体风险降低符合可容忍水平,且需文档化记录设计、维护、测试规程。
