功能安全技术讲座第十八讲安全仪表系统中的共因失效
合集下载
安全仪表系统SIF应用中几个问题的讨论讲课文档
SIL 2
第十五页,共37页。
结构约束
TIC-R0107A~D
/TIC-R0110A~D (3oo8)
SIL 3
1oo2
FIRSA-R0101
SIL 4
SIL 2
1oo2
Logic solver
(SIL 3)
2oo2
SIL 1
SIL 1
SIL 1
HV-R0101
PV-E0401
HV-R0102 SIL 1
2.25×10-3= 4.36×10-3 • → SIL 2
第十九页,共37页。
共同原因失效(CCF)
1) 共同原因失效:单一故障源导致一个系统内的多个部件故障。该故障源 可能是系统内的,也可能是系统外的
2) 共同原因失效是由共同的根源导致的(类似)部件失效,而不是因系统中其它部件的 失效连带引发的。根源是指共同的环境尘埃,空气湿度,无线电射频干扰等,还有例 如共享一个电源停电、强烈的电磁或震动干扰、共处高热环境、系统设计不当失效、 维修人为错误、多重通道之间未做隔离等
马尔可夫模型采用状态转换图形,它是系统可靠度性能的图形 化表示
针对系统随时间表现出的可靠性行为建模 系统被视作一系列状态单元,这些状态单元或者处于故障状态
或者处于功能状态 系统从整体上,可能存在许多状态 如果一个状态单元处于故障或者维修,系统从一个状态“转移
到”另一个状态
第三页,共37页。
• SIL 2 ?
第十七页,共37页。
结构约束 -2
TIC-R0107A~D /TIC-R0110A~D
(3oo8)
SIL 3
1oo2
FIRSA-R0101
SIL 4
Logic solver (SIL 3)
仪表维修工题库单选题(答案)题库
仪表维修工题库单选题(答案)题库1、椭圆齿轮流量计的测量部分是由两个相互啮合的椭圆形齿轮轴和壳体构成。
齿轮与壳体之间形(测量室)2、离心泵找正不好,可能会造成(轴承温度上升)。
3、单闭环比值控制系统的从动回路应选用(比例积分)控制规律。
4、本质安全型电气设备的防爆性能是采用(电路本身)措施实现的5、下面是关于负压(真空度)的表达式,其中正确的表达式是(P负=P大-P绝)。
6、专业从事机动车驾驶人员需戴(防冲击)变色镜,保护眼睛7、工人的日常安全教育应以“周安全活动”为主要阵地进行,并对其进行(每月一次)的安全教育考核8、表示粘度的符号是(μ)。
9、下面关于分程控制回路的描述中错误的是(由每一段信号去控制一台控制阀)。
10、当现场总线间的设备距离较长,或需增加网段上的连接设备数时,可采用(中继器)扩展现场总线网络。
11、(表决)指冗余系统中用多数原则将每个支路的数据进行比较和修正,从而最后确定结论的一种机理。
12、均匀调节系统中,对前后两个产生矛盾参数的调节要达到一定目的,不正确的说法是(要保证主要参数不变化)。
13、热膨胀式温度计,按受热介质可分为(玻璃液体双金属片压力计式)。
14、阀门的基本参数不包括(衬里材料)。
15、高压差调节阀使用寿命短的主要原因是(汽蚀)。
16、涡街流量计的测量原理是,在流体流动的方向上放置一个非流线型物体时,在某一雷诺数范围内,当流体流速足够大时,流体因边界层的分离作用,在物体的下游两侧将交替形成非对称的(漩涡列)。
17、CENTUMCS3000R3系统中,一个域是一个逻辑控制网部分。
用户可以用(总线转换器BCV)连接不同域。
18、在(-40~250)温度下应优先选用(聚四氟乙烯)填料。
19、调节阀组的排放阀应安装在(调节阀入口前端)。
20、国际单位制的流量系数用(Kv)表示。
定义为:5~400的水,阀两端压差为100Kpa,全开时每小时流过调节阀的立方米数。
21、作为热电材料,一般要求是(电阻率大,热容量小22、CENTUMCS3000系统中,(Vnet)是实时控制总线,用于连接系统中各站。
《仪表安全技术培训》课件
THANKS
谢谢
安全管理体系建设与完善
安全管理制度
建立和完善仪表安全管理制度,明确各级职责和 工作流程,确保安全管理体系的有效运行。
安全监测与评估
加强仪表安全监测和评估工作,及时发现和解决 安全隐患,确保仪表设备的安全运行。
应急预案与演练
制定和实施仪表安全应急预案,定期进行演练和 培训,提高应对突发事件的能力和水平。
《仪表安全技术培训》ppt课 件
目录
CONTENTS
• 仪表安全概述 • 仪表安全技术基础 • 仪表安全运行管理 • 仪表安全事故案例分析 • 仪表安全培训与教育 • 仪表安全未来发展趋势
01
CHAPTER
仪表安全概述
仪表安全定义
仪表安全是指在工业生产过程中,通过采取一系列措施,确保仪表设备、控制系 统和相关设施在正常操作、异常情况和事故时都能保持安全稳定,从而降低事故 发生的风险。
随着自动化技术的不断发展,仪表安全技术将更加智能化和自主化 ,能够实现远程控制和实时监测,提高安全性和可靠性。
物联网技术
物联网技术的应用将促进仪表设备之间的互联互通,实现数据共享 和协同工作,提高工作效率和安全性。
人工智能技术
人工智能技术的应用将使仪表安全系统具备自主学习和决策能力,能 够自动识别和预防潜在的安全隐患,提高安全性和预防性。
培训效果评估与改进
评估方式
考试、问卷调查、实际操 作考核等。
评估内容
学员对仪表安全技术的掌 握程度、对安全操作规程 的遵守情况、对仪表维护 保养的掌握程度等。
改进措施
根据评估结果,对培训内 容、方式等进行调整和优 化,提高培训效果。
06
CHAPTER
仪表安全未来发展趋势
自动化仪表安全讲座培训课件(ppt 37张)
25
山东化工职业学院
典型事故分析
重油 加氢 装置 12FV 200 控制 阀联 锁切 进料
施工处理
联锁停
26
山东化工职业学院
典型事故分析
防 范 措 施
因12FT201在ESD上显示,建议增加 低流量预报警,建议在DCS上增加 12FT201的显示和报警。
把所有高压表注器运行状况列入定期检 查,关注注油系统运行。 加强作业危害辩识的基本功培训、做好 公司一般作业安全管理的宣传贯彻,深 入除陋习查隐患活动,杜绝类似事故再 次发生。
46.凡事不要说"我不会"或"不可能",因为你根本还没有去做! 47.成功不是靠梦想和希望,而是靠努力和实践. 48.只有在天空最暗的时候,才可以看到天上的星星. 49.上帝说:你要什么便取什么,但是要付出相当的代价. 50.现在站在什么地方不重要,重要的是你往什么方向移动。 51.宁可辛苦一阵子,不要苦一辈子. 52.为成功找方法,不为失败找借口. 53.不断反思自己的弱点,是让自己获得更好成功的优良习惯。 54.垃圾桶哲学:别人不要做的事,我拣来做! 55.不一定要做最大的,但要做最好的. 56.死的方式由上帝决定,活的方式由自己决定! 57.成功是动词,不是名词! 28、年轻是我们拼搏的筹码,不是供我们挥霍的资本。 59、世界上最不能等待的事情就是孝敬父母。 60、身体发肤,受之父母,不敢毁伤,孝之始也; 立身行道,扬名於后世,以显父母,孝之终也。——《孝经》 61、不积跬步,无以致千里;不积小流,无以成江海。——荀子《劝学篇》 62、孩子:请高看自己一眼,你是最棒的! 63、路虽远行则将至,事虽难做则必成! 64、活鱼会逆水而上,死鱼才会随波逐流。 65、怕苦的人苦一辈子,不怕苦的人苦一阵子。 66、有价值的人不是看你能摆平多少人,而是看你能帮助多少人。 67、不可能的事是想出来的,可能的事是做出来的。 68、找不到路不是没有路,路在脚下。 69、幸福源自积德,福报来自行善。 70、盲目的恋爱以微笑开始,以泪滴告终。 71、真正值钱的是分文不用的甜甜的微笑。 72、前面是堵墙,用微笑面对,就变成一座桥。 73、自尊,伟大的人格力量;自爱,维护名誉的金盾。 74、今天学习不努力,明天努力找工作。 75、懂得回报爱,是迈向成熟的第一步。 76、读懂责任,读懂使命,读懂感恩方为懂事。 77、不要只会吃奶,要学会吃干粮,尤其是粗茶淡饭。 78、技艺创造价值,本领改变命运。 79、凭本领潇洒就业,靠技艺稳拿高薪。 80、为寻找出路走进校门,为创造生活奔向社会。 81、我不是来龙飞享福的,但,我是为幸福而来龙飞的! 82、校兴我荣,校衰我耻。 83、今天我以学校为荣,明天学校以我为荣。 84、不想当老板的学生不是好学生。 85、志存高远虽励志,脚踏实地才是金。 86、时刻牢记父母的血汗钱来自不易,永远不忘父母的养育之恩需要报答。 87、讲孝道读经典培养好人,传知识授技艺打造能人。 88、知技并重,德行为先。 89、生活的理想,就是为了理想的生活。 —— 张闻天 90、贫不足羞,可羞是贫而无志。 —— 吕坤
安全仪表系统及其功能安全 PPT
安全仪表功能SIF Safety Instrumented Function
--每个SIF针对特定的风险 --每套SIS可以执行多个SIF --安全功能和安全仪表功能 --危险出现时,要求SIS正确执行对应的SIF
(二)作用
监视生产过程的状态,在出现危险的条件时,自动执 行其规定的安全仪表功能,防止危险事件发生,或减轻危 险事件造成的影响。
工厂内部紧急应对计划 周边区域防灾计划
工厂内部的应急计划 周边居民、公共设施的应急计划
保护层模型 (洋葱模型)
1
LOPA
Layer of protection analysis
社区紧急响应 全厂紧急响应 物理防护(防护堤) 物理防护(释放设备) SIS自动动作
关键报警, 操作员监控, 人工干预
基本控制, 工艺报警, 操作员监控
Gellingen-比利时
2004.07.30
24 人死亡 132 人受伤
© HIMA 2008
• 安全系统已经发现泄漏,提示停 • 影响后续电厂,当地市区30%电力 • 坚持运转,七人一组寻找漏点 • 一组找到漏点,恰逢燃爆,当场全部死亡
仅有安全系统是不够的
2005年10月10日
英国Buncefield储油终端爆炸和火灾事故
SH/T 3018-2003石油化工安全仪表系统设计规范 用仪表实现安全功能的系统。系统包括传感器,逻辑运算器,最终 执行元件及相应软件等。
IEC 61511 (GB/T20119) Functionalsafety: safety instrumente d systems for the process industry sector 用来完成一个或多个安全仪表功能的仪表系统。安全仪表系统由传 感器,运算器和最终元件组合而成。
浅谈功能安全技术在安全仪表管理中的应用
浅谈功能安全技术在安全仪表管理中的应用在危险性较大的过程工业领域,如石油/天然气开采储运、石油化工、造纸、发电等,生产事故常常伴随着人身伤害、设备损坏和环境污染等损失。
为了有效控制生产风险,安全相关系统(Safety-Related Systems)被广泛应用于石油、化工、电力等领域的生产过程之中。
然而,由于安全相关系统的硬件、软件等原因,许多安全系统本身就存在着安全性问题。
针对这一问题,1984~2000年,国际电工委员会(IEC)陆续起草和发布了功能安全基础标准IEC61508(电气/电子/可编程电子安全系统(E/E/PES)的功能安全),明确提出了安全相关系统的功能安全(functional safety)概念,用于衡量当生产过程在出现危险状态时,安全相关系统执行其安全功能的能力、执行绩效,回答了功能安全的主要影响因素以及如何提高执行安全功能的能力等问题。
2014年11月13日,国家安监总局发布“安监总管三〔2014〕116号”文件,明确对“两重点一重大”的化工装置和危险化学品储存设施提出“加强安全仪表系统管理”指导要求。
一、功能安全及相关概念1、安全功能:针对特定的危险事件,为达到或保持过程的安全状态,由安全仪表系统、其他技术安全相关系统或外部风险降低设施实现的功能[3]。
2、安全相关系统是指这样的系统:1)能实现要求的安全功能,以达到或保持EUC的安全状态。
2)自身或与其他安全相关系统、外部风险降低措施一起,能够达到要求的安全功能所需的安全完整性。
3、功能安全:与EUC(Equipment Under Control,被控设备)和EUC控制系统有关的、整体安全的一部分,取决于电气、电子、可编程电子安全相关系统,其他技术安全相关系统和外部风险降低措施机制的正确执行[3]。
4、安全完整性:安全仪表系统在规定的时间内、在所规定条件下满足执行要求的仪表安全功能的平均概率。
二、功能安全管理的范围功能安全管理的技术理念贯穿于电气/电子/可编程电子安全系统的设计和开发的生命周期全过程。
安全仪表系统培训讲义
SIS的相关标准及认证机构
Prosafe—RS,是横河电机安全仪表系统,其特点是与 CENTUMCS.3000 R3的技术融合,即实现了与DSC的无 缝集成。非冗余取量即可实现SIL3,通过冗余取量实现更 高的可用性。
QUADLOG,由MOORE公司开发,日本横河电机公司收 购后称prosafe plc,其1oo2D结构安全等级达AK6 (SIL3);
SIS安全仪表系统
按照SIS的定义,下述系统均属于安全仪表系统: 安全联锁系统(Safety Interlock System—SIS) 安全关联系统(Safety Related System—SRS) 仪表保护系统(Instrument Protective System—IPS) 透平压缩机集成控制系统(Integrated Turbo &
② 2006年、2007年等同采用IEC61508、IEC61511的中国 国家标准GB/T20438、GB/T21109相继发布,中国的 功能安全标准开始规范我国的功能安全工作。
SIS的相关标准及认证机构
③ 国际电工委员会1997年制定的IEC 61508/61511标准, 对用机电设备(继电器)、固态电子设备、可编程电 子设备(PLC)构成的安全联锁系统的硬件、软件及 应用作出了明确规定。
安全级别
低、不需认证
高、需认证
SIS和DCS的比较
系统的组成:DCS一般是由人机界面操作站、通信总线及 现场控制站组成;而SIS系统是由传感器、逻辑解算器和 最终元件三部分组成。及DCS不含检测执行部分。
实现功能:DCS用于过程连续测量、常规控制(连续、顺 序、间歇等)操作控制管理使生产过程在正常情况下运行 至最佳工况;而SIS是超越极限安全即将工艺、设备转至 安全状态。
安全仪表系统优质课件专业知识讲座
事故总损失 请联系本人或网站删除。
单位:10亿美元
1.6 1.4 1.2
1 0.8 0.6 0.4 0.2
0 1959-63
1964-68
1969-73
1974-78
1979-83
1984-88
摘自美国 《石油和天然气》杂志 1990年8月27日刊
6
本文档所提供的信息仅供参考之用,不能作为科学依据,请勿模仿。文档如有不当之处,
本文档所提供的信息仅供参考之用,不能作为科学依据,请勿模仿。文档如有不当之处, 请联系本人或网站删除。
什么是FSC系统
FSC-即故障安全控制系统 (Fail Safe Control) 在过程工业中起联锁保护作用,是在传统PLC基础
上发展起来的。
SMS - Safety Management System 安全管理系统机构
请联系本人或网站删除。
微处理器系统
模块化结构 微处理器/软件执行逻辑 通过软件重新编程
优点
灵活性 模块化结构 安装密度最高 测试与自诊断功能 串行通信 有报告文档
不足
基于软件(可靠性/保密性) 同原因故障 与其它设备的通信 费用
注:此处的不足是对一般的 微处理器系统而言。
12
本文档所提供的信息仅供参考之用,不能作为科学依据,请勿模仿。文档如有不当之处, 请联系本人或网站删除。
工作机理
传感器
输入模块
数字 输入
模拟 输 入
数字 输入
模拟 输入
数字 输入
逻辑模块
与门
计时
输出模块
输出
输出
或门
输出
13
本文档所提供的信息仅供参考之用,不能作为科学依据,请勿模仿。文档如有不当之处,
单位:10亿美元
1.6 1.4 1.2
1 0.8 0.6 0.4 0.2
0 1959-63
1964-68
1969-73
1974-78
1979-83
1984-88
摘自美国 《石油和天然气》杂志 1990年8月27日刊
6
本文档所提供的信息仅供参考之用,不能作为科学依据,请勿模仿。文档如有不当之处,
本文档所提供的信息仅供参考之用,不能作为科学依据,请勿模仿。文档如有不当之处, 请联系本人或网站删除。
什么是FSC系统
FSC-即故障安全控制系统 (Fail Safe Control) 在过程工业中起联锁保护作用,是在传统PLC基础
上发展起来的。
SMS - Safety Management System 安全管理系统机构
请联系本人或网站删除。
微处理器系统
模块化结构 微处理器/软件执行逻辑 通过软件重新编程
优点
灵活性 模块化结构 安装密度最高 测试与自诊断功能 串行通信 有报告文档
不足
基于软件(可靠性/保密性) 同原因故障 与其它设备的通信 费用
注:此处的不足是对一般的 微处理器系统而言。
12
本文档所提供的信息仅供参考之用,不能作为科学依据,请勿模仿。文档如有不当之处, 请联系本人或网站删除。
工作机理
传感器
输入模块
数字 输入
模拟 输 入
数字 输入
模拟 输入
数字 输入
逻辑模块
与门
计时
输出模块
输出
输出
或门
输出
13
本文档所提供的信息仅供参考之用,不能作为科学依据,请勿模仿。文档如有不当之处,
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
安全控制技术
[编者按] 本刊在2007~2008的两年间,在“安全控制技术”栏目共安排了12讲功能安全技术讲座,系统介 绍了功能安全的基本概念、方法与技术,并针对读者关心的一些问题进行了分析,得到广大读者的广泛关 注与积极回应。2009年,该讲座还将继续进行,主题将集中在安全相关子系统的功能安全评估与认证技术 上。本讲主讲人是刘瑶工程师。
例四,检修人员打开控制机柜门检查工作状 态,此时,对讲机传来另一处需要紧急检修的信息, 他回应“马上到”。由于机柜中容错系统的两个处理 器安装在同一机架中,这时它们受到同样的电磁干扰 因而发生故障。这两个处理器是安全仪表系统的一部 分,这就导致一个主要的过程单元立刻停止工作。究 其产生原因就是机柜门打开、对讲机传来的无线电信 息产生电磁干扰。
当共因失效不是严格地在同一时间内发生时, 可以借助多通道之间的比较方法采取预防措施。采用 这种比较方法可以在失效成为所有通道共有失效之前 检测出来。
一般情况下,实际分析过程中,共因失效分析 可分以下四个步骤进行:
1 )建立系统逻辑模型 要求对系统有一个基本的认识。需要考虑故障 模式、边界条件和逻辑模型等。 2 )识别共因事件组
自的印刷电路板上?
如果传感器/最终元件拥有专用的控制电子电路,那么每个通道的电子电路是否分别位于室
内各自的控制台内?
多样性与冗余
各通道是否使用不同的电子技术?例如使用一个电子电路、可编程电子及其他继电器。
7.0
各通道是否使用不同的电子技术?例如使用一个电子电路或其他可编程电子。
5.0
各传感器件是否使用不同的物理原理?例如压力、温度叶片式风速计及多普勒变换器等。
影响。主要包括敏感性分析和备选后续措施的选择等。 4 共因失效的量化方法。
λDD—检测到单一通道的失效概率,即在诊断测 试范围内单一通道的失效概率;此时,如果诊断测试
在GB 20438(IEC 61508)中介绍了一种在E/E/ 的重复率高,则有一部分失效将被揭露出来,从而导
PE系统中量化共因失效的方法。在两个或多个系统 并行操作时,采用一个共因失效因子β根据其中一个 系统的随即硬件失效估算共因失效率。此方法的应用 范围局限于硬件的共因失效。方法如下:
内部影响也是共因失效的一个主要原因,例如 相同部件以及它们的接口的设计缺陷,或者部分部件 的老化。
事实上,很多共因失效都是内外部因素共同作 用的结果。以下是几个共因失效的示例:
例一,某个冗余系统中,为保证可靠性使用了 两个元件使它们同时起作用,但系统所处环境忽然发
生地震,结果两元件都失效了。导致此次共因失效的 客观原因就是环境因素——地震,内部原因则是元件 本身的抗震性能不够。
λDUβ+λDDβD 式中:
利用经验数据选择所要使用的共因失效模型、 最小割集和参数估计等。
λDU—单一通道中未检测到的失效概率,即诊断 测试覆盖范围之外的失效概率。
4 )系统量化和结果的进一步解释
β—不可能检测到的危险故障的共因失效系数,
确定系统失效的可能性和共因失效对最终结果的 它等于在没有诊断测试时应用的总β系数。
例二,某输油站场中,出站处高压报警、高压 泄压、压力高高连锁保护停泵等保护措施共用一个压 力变送器。一旦压力变送器发生故障,上述三层保护 会同时失效,这就产生了共因失效,如果此时管内石 油压力过高则是相当危险的。其根本原因就是保护层 之间不独立,取压点未分开单独设立。
例三,为确保阀门关断时能切断管内流质,在 管道中串联安装了两个阀门。设计时这两个阀门均为 带电跳闸。若此设备附近发生火灾,则安全监控系统 一旦检测到这一情况后即给两个阀门上电,但是由于 两个阀门的电缆都铺设在同样的电缆槽上,而这个电 缆槽恰恰就在火灾区域,其后果是电缆被毁坏,两个 阀门都不能关闭。造成此次共因失效的根本原因是冗 余电缆的物理位置相同,外部因素是火灾,内部因素 则是设计缺陷。
16 仪器仪表标准化与计量 2009 . 6
安全控制技术
对 所 有 可 能 发 生 共 因 失 效 的 系 统 单 元 进 行 检 是在诊断测试覆盖范围之内的(总可以被检测到的)。
查。考察外部因素与内部影响,进一步确定共因失效
则危险共因失效引起的总失效概率为:
建模的先后次序。 3 )共因建模和数据分析
上面的几则示例分别从环境因素、设计缺陷、 电磁干扰等方面说明了共因失效的产生原因。 3 共因失效的分析方法
根据GB20438(IEC 61508),共因失效的分析 方法是:通用的质量控制;设计复审;由一个独立小 组进行的验证和测试;根据类似系统反馈的经验分析 实际的意外事故。然而此分析范围超出了硬件范围。 即使在一个冗余系统的各通道中使用软件多样化,还 是有可能在软件方法中存在一些共性,他们将引起共 因失效,例如共用的规范中的错误。
X、Y的确定方法如下:
λDβ。其中λD为各通道随机硬件危险失效的概率,β 为无诊断测试时的β系数,也就是影响所有通道的单 一通道的失效分数。
假设共因失效影响所有通道,并且与连续共因 失效的时间间隔相比,第一个通道被影响到所有通道
用户需确定系统中为避免共因失效应使用哪些 措施,然后根据表1分别求出每个逻辑子系统的XLS之 和、YLS之和,以及传感器和最终元件的XSF 之和、 YSF之和,求出它们的总和就可分别得出X、Y。
Z的值由表2、表3获得。
被影响之间的时间间隔较小。
5 如何降低共因失效概率
假设每一个通道中均执行诊断测试来检测和揭露
降低共因失效的方法主要有以下三类:
一部分失效,则可将所有失效分为两大类:一类是在诊
a)减少随机硬件失效和系统失效的总数(即减
断测试覆盖范围之外的(不可能被检测到的),另一类 少图1中两圆重合的部分)。
Chapter 18: The Common Cause Failure in the Safety Instrumented System 刘瑶
(机械工业仪器仪表综合技术经济研究所,北京市 100055) Liu Yao
(Instrumentation Technology & Economy Institute, P.R.China, Beijing 100055)
设备是否使用不同的电原理/设计方案?例如数字或模拟、不同的制造商(不重复标记)或
不同的技术
通道是否使用具有增强冗余的MooN结构?其中N>M+2
2.0 0.5
是否使用低多样性方法?例如使用同样的技术进行硬件诊断测试。
2.0 1.0
是否使用中等多样性方法?例如使用不同的技术进行硬件诊断测试。
3.0 1.5
共因失效产生的原因可能是环境因素,如火、 水、地震、电磁干扰、撞击等。同时,系统也可能受 与操作和维护有关的意外事故的影响,如运行期间的 组态错误或错误指令、人为的误开/关行为,维护期 间的升级错误和安装错误、维修程序错误、校准错误 以及更换设备错误等,它们都可能对冗余系统内的多 个部件造成影响。通常,冗余系统的所有部分都使用 同一个程序,这就存在发生共因失效的潜在可能性。 对此最根本的解决办法是,为操作和维护编写严格合 理的规程并使相关人员得到良好的培训。
致β即βD减小。 βD—可检测到危险故障的共因失效系数。当诊
断测试的重复率提高时,βD的值越来越小,并下降到 β之下。
考虑在多通道系统中的每一个通道中执行诊断 测试时,共因失效对该系统的效应。
在应用β系数模型时,危险的共因失效的概率为
β、βD均可从表4中获得:β计算公式为S =X +Y ; βD计算公式为 SD=X(Z+1)+Y。
表1 可编程电子或传感器和最终元件的评分[1]
项目
逻辑子系统
分离/隔开
XLS
YLS
在所有位பைடு நூலகம்,各通道的全部信号电缆布线是否都已分隔开?
1.5 1.5
逻辑子系统的所有通道的印刷电路板是否是单独的?
3.0 1.0
逻辑子系统通道是否在各自的框架中?
2.5 0.5
如果传感器/最终元件拥有专用的控制电子电路,那么每个通道的电子电路是否分别位于各
在设计活动中设计者在设计通道时相互间是否不进行交流?
1.0 1.0
在试运行期间,每个通道是否使用不同人员和不同测试方法?
1.0 0.5
在不同时间,由不同人员对每个通道是否进行维护?
2.5
传感器和
最终元件
XSF
YSF
1.0 2.0
2.5 1.5 2.5 0.5
安全仪表系统(SIS)是指用来实现一个或几个 仪表安全功能的仪表系统,它包括从传感器到最终 元件的所有部件和子系统。目前SIS正广泛应用于石 油、化工、电力等过程工业领域,用以监测生产过程
中的安全参量,以便在出现危险时及时采取有效措施 从而防止人身伤害、经济损失及环境影响。根据GB 21109(IEC 61511),SIS的其中一项设计要求就是 识别和考虑共因失效。在给保护层分配安全功能时,
主讲人简介: 刘瑶,女,工学学士,机械工业仪器仪表综合技术经济研究所功能
安全技术研发中心工程师,参与功能安全标准I E C 61508(G B/T 20438) 及I E C 61511(G B/T 21109)技术与应用研究、宣传和推广,功能安全 HAZOP+SIL工程项目技术辅助与支持。
第十八讲 安全仪表系统中的共因失效
仪器仪表标准化与计量 15 2009 . 6
Control Tech of Safety & Security
共因失效、共同模式失效和相关失效也是需要考虑的 内容。下面将详细介绍共因失效。 1 共因失效的定义
共同原因失效(common cause failure)是指由一 个或多个事件引起一个多通道系统中的两个或多个分 离通道失效,从而导致系统失效的一种失效。它是一 种相关失效。相对应的,在GB 21109(IEC 61511) 中,还有一个词即共同模式失效(common mode failure)与它相似但不完全相同,共同模式失效是指 两个或多个通道以同样的方式引起相同的误差结果的 失效。在此特别提请注意的是,共因失效是指多个通 道失效的原因(即引发事件)相同,但它们造成的误 差结果未必相同;而共模失效是说多个通道失效的方 式相同,而且引起的结果亦相同。
[编者按] 本刊在2007~2008的两年间,在“安全控制技术”栏目共安排了12讲功能安全技术讲座,系统介 绍了功能安全的基本概念、方法与技术,并针对读者关心的一些问题进行了分析,得到广大读者的广泛关 注与积极回应。2009年,该讲座还将继续进行,主题将集中在安全相关子系统的功能安全评估与认证技术 上。本讲主讲人是刘瑶工程师。
例四,检修人员打开控制机柜门检查工作状 态,此时,对讲机传来另一处需要紧急检修的信息, 他回应“马上到”。由于机柜中容错系统的两个处理 器安装在同一机架中,这时它们受到同样的电磁干扰 因而发生故障。这两个处理器是安全仪表系统的一部 分,这就导致一个主要的过程单元立刻停止工作。究 其产生原因就是机柜门打开、对讲机传来的无线电信 息产生电磁干扰。
当共因失效不是严格地在同一时间内发生时, 可以借助多通道之间的比较方法采取预防措施。采用 这种比较方法可以在失效成为所有通道共有失效之前 检测出来。
一般情况下,实际分析过程中,共因失效分析 可分以下四个步骤进行:
1 )建立系统逻辑模型 要求对系统有一个基本的认识。需要考虑故障 模式、边界条件和逻辑模型等。 2 )识别共因事件组
自的印刷电路板上?
如果传感器/最终元件拥有专用的控制电子电路,那么每个通道的电子电路是否分别位于室
内各自的控制台内?
多样性与冗余
各通道是否使用不同的电子技术?例如使用一个电子电路、可编程电子及其他继电器。
7.0
各通道是否使用不同的电子技术?例如使用一个电子电路或其他可编程电子。
5.0
各传感器件是否使用不同的物理原理?例如压力、温度叶片式风速计及多普勒变换器等。
影响。主要包括敏感性分析和备选后续措施的选择等。 4 共因失效的量化方法。
λDD—检测到单一通道的失效概率,即在诊断测 试范围内单一通道的失效概率;此时,如果诊断测试
在GB 20438(IEC 61508)中介绍了一种在E/E/ 的重复率高,则有一部分失效将被揭露出来,从而导
PE系统中量化共因失效的方法。在两个或多个系统 并行操作时,采用一个共因失效因子β根据其中一个 系统的随即硬件失效估算共因失效率。此方法的应用 范围局限于硬件的共因失效。方法如下:
内部影响也是共因失效的一个主要原因,例如 相同部件以及它们的接口的设计缺陷,或者部分部件 的老化。
事实上,很多共因失效都是内外部因素共同作 用的结果。以下是几个共因失效的示例:
例一,某个冗余系统中,为保证可靠性使用了 两个元件使它们同时起作用,但系统所处环境忽然发
生地震,结果两元件都失效了。导致此次共因失效的 客观原因就是环境因素——地震,内部原因则是元件 本身的抗震性能不够。
λDUβ+λDDβD 式中:
利用经验数据选择所要使用的共因失效模型、 最小割集和参数估计等。
λDU—单一通道中未检测到的失效概率,即诊断 测试覆盖范围之外的失效概率。
4 )系统量化和结果的进一步解释
β—不可能检测到的危险故障的共因失效系数,
确定系统失效的可能性和共因失效对最终结果的 它等于在没有诊断测试时应用的总β系数。
例二,某输油站场中,出站处高压报警、高压 泄压、压力高高连锁保护停泵等保护措施共用一个压 力变送器。一旦压力变送器发生故障,上述三层保护 会同时失效,这就产生了共因失效,如果此时管内石 油压力过高则是相当危险的。其根本原因就是保护层 之间不独立,取压点未分开单独设立。
例三,为确保阀门关断时能切断管内流质,在 管道中串联安装了两个阀门。设计时这两个阀门均为 带电跳闸。若此设备附近发生火灾,则安全监控系统 一旦检测到这一情况后即给两个阀门上电,但是由于 两个阀门的电缆都铺设在同样的电缆槽上,而这个电 缆槽恰恰就在火灾区域,其后果是电缆被毁坏,两个 阀门都不能关闭。造成此次共因失效的根本原因是冗 余电缆的物理位置相同,外部因素是火灾,内部因素 则是设计缺陷。
16 仪器仪表标准化与计量 2009 . 6
安全控制技术
对 所 有 可 能 发 生 共 因 失 效 的 系 统 单 元 进 行 检 是在诊断测试覆盖范围之内的(总可以被检测到的)。
查。考察外部因素与内部影响,进一步确定共因失效
则危险共因失效引起的总失效概率为:
建模的先后次序。 3 )共因建模和数据分析
上面的几则示例分别从环境因素、设计缺陷、 电磁干扰等方面说明了共因失效的产生原因。 3 共因失效的分析方法
根据GB20438(IEC 61508),共因失效的分析 方法是:通用的质量控制;设计复审;由一个独立小 组进行的验证和测试;根据类似系统反馈的经验分析 实际的意外事故。然而此分析范围超出了硬件范围。 即使在一个冗余系统的各通道中使用软件多样化,还 是有可能在软件方法中存在一些共性,他们将引起共 因失效,例如共用的规范中的错误。
X、Y的确定方法如下:
λDβ。其中λD为各通道随机硬件危险失效的概率,β 为无诊断测试时的β系数,也就是影响所有通道的单 一通道的失效分数。
假设共因失效影响所有通道,并且与连续共因 失效的时间间隔相比,第一个通道被影响到所有通道
用户需确定系统中为避免共因失效应使用哪些 措施,然后根据表1分别求出每个逻辑子系统的XLS之 和、YLS之和,以及传感器和最终元件的XSF 之和、 YSF之和,求出它们的总和就可分别得出X、Y。
Z的值由表2、表3获得。
被影响之间的时间间隔较小。
5 如何降低共因失效概率
假设每一个通道中均执行诊断测试来检测和揭露
降低共因失效的方法主要有以下三类:
一部分失效,则可将所有失效分为两大类:一类是在诊
a)减少随机硬件失效和系统失效的总数(即减
断测试覆盖范围之外的(不可能被检测到的),另一类 少图1中两圆重合的部分)。
Chapter 18: The Common Cause Failure in the Safety Instrumented System 刘瑶
(机械工业仪器仪表综合技术经济研究所,北京市 100055) Liu Yao
(Instrumentation Technology & Economy Institute, P.R.China, Beijing 100055)
设备是否使用不同的电原理/设计方案?例如数字或模拟、不同的制造商(不重复标记)或
不同的技术
通道是否使用具有增强冗余的MooN结构?其中N>M+2
2.0 0.5
是否使用低多样性方法?例如使用同样的技术进行硬件诊断测试。
2.0 1.0
是否使用中等多样性方法?例如使用不同的技术进行硬件诊断测试。
3.0 1.5
共因失效产生的原因可能是环境因素,如火、 水、地震、电磁干扰、撞击等。同时,系统也可能受 与操作和维护有关的意外事故的影响,如运行期间的 组态错误或错误指令、人为的误开/关行为,维护期 间的升级错误和安装错误、维修程序错误、校准错误 以及更换设备错误等,它们都可能对冗余系统内的多 个部件造成影响。通常,冗余系统的所有部分都使用 同一个程序,这就存在发生共因失效的潜在可能性。 对此最根本的解决办法是,为操作和维护编写严格合 理的规程并使相关人员得到良好的培训。
致β即βD减小。 βD—可检测到危险故障的共因失效系数。当诊
断测试的重复率提高时,βD的值越来越小,并下降到 β之下。
考虑在多通道系统中的每一个通道中执行诊断 测试时,共因失效对该系统的效应。
在应用β系数模型时,危险的共因失效的概率为
β、βD均可从表4中获得:β计算公式为S =X +Y ; βD计算公式为 SD=X(Z+1)+Y。
表1 可编程电子或传感器和最终元件的评分[1]
项目
逻辑子系统
分离/隔开
XLS
YLS
在所有位பைடு நூலகம்,各通道的全部信号电缆布线是否都已分隔开?
1.5 1.5
逻辑子系统的所有通道的印刷电路板是否是单独的?
3.0 1.0
逻辑子系统通道是否在各自的框架中?
2.5 0.5
如果传感器/最终元件拥有专用的控制电子电路,那么每个通道的电子电路是否分别位于各
在设计活动中设计者在设计通道时相互间是否不进行交流?
1.0 1.0
在试运行期间,每个通道是否使用不同人员和不同测试方法?
1.0 0.5
在不同时间,由不同人员对每个通道是否进行维护?
2.5
传感器和
最终元件
XSF
YSF
1.0 2.0
2.5 1.5 2.5 0.5
安全仪表系统(SIS)是指用来实现一个或几个 仪表安全功能的仪表系统,它包括从传感器到最终 元件的所有部件和子系统。目前SIS正广泛应用于石 油、化工、电力等过程工业领域,用以监测生产过程
中的安全参量,以便在出现危险时及时采取有效措施 从而防止人身伤害、经济损失及环境影响。根据GB 21109(IEC 61511),SIS的其中一项设计要求就是 识别和考虑共因失效。在给保护层分配安全功能时,
主讲人简介: 刘瑶,女,工学学士,机械工业仪器仪表综合技术经济研究所功能
安全技术研发中心工程师,参与功能安全标准I E C 61508(G B/T 20438) 及I E C 61511(G B/T 21109)技术与应用研究、宣传和推广,功能安全 HAZOP+SIL工程项目技术辅助与支持。
第十八讲 安全仪表系统中的共因失效
仪器仪表标准化与计量 15 2009 . 6
Control Tech of Safety & Security
共因失效、共同模式失效和相关失效也是需要考虑的 内容。下面将详细介绍共因失效。 1 共因失效的定义
共同原因失效(common cause failure)是指由一 个或多个事件引起一个多通道系统中的两个或多个分 离通道失效,从而导致系统失效的一种失效。它是一 种相关失效。相对应的,在GB 21109(IEC 61511) 中,还有一个词即共同模式失效(common mode failure)与它相似但不完全相同,共同模式失效是指 两个或多个通道以同样的方式引起相同的误差结果的 失效。在此特别提请注意的是,共因失效是指多个通 道失效的原因(即引发事件)相同,但它们造成的误 差结果未必相同;而共模失效是说多个通道失效的方 式相同,而且引起的结果亦相同。