2001 由美国化学工程师协会，化工过程安全中心CCPS发布 Center for Chemical Process Safety (CCPS), American Institute of Chemical Engineers（AIChE）
可行的保护层
1.具备固有安全设计特性（工艺、动设备、静设备、仪表、控 制系统、软件系统）； 2.基本过程控制系统(BPCS)； 3.超限报警和操作员人工介入； 4.急停车系统/功能安全仪表(SIS)； 5.物理防护措施（积极保护层），如释放设备（安全阀、爆破 片、释放到火炬）； 6.后续释放物理防护（消极保护层），切断对水源、土壤、地 下水、大气的污染，如围堰、隔离系统；
如何避免失控？
基于风险分析确定风险控制方案
了 解
详 细 的 危 险 识 别 、 风 险 评 估 ， 最 后 确 定 风 险 控 制 方 案
社会应急响应 紧急广播 工厂应急响应 撤离规程 减轻 机械减轻系统 仪表安全控制系统 仪表安全减轻系统 操作员监督 预防 机械保护系统 操作员校正动作时的过程报警 仪表安全控制系统 仪表安全预防系统 控制系统和监视 基本过程控制系统 监视系统（过程报警） 操作员监督
•不但在新技术系统使用场合，也在“经证明是 正确的技术”应用场合
安全生产的困境—人会犯错

墨菲定律
如果有两种选择，其中一种将导致灾 难，则必定有人会作出这种选择。
•任何事都没有表面看起来那么简单；
•所有的事都会比你预计的时间长； •会出错的事总会出错； •如果你担心某种情况发生，那么它 就更有可能发生。
风险管理:系统地识别风险,并将其控制在允许的范围内
SIL
主动系统—功能安全
疏散(降低伤害的严重性)
以基于风险的方法建立安全 要求（风险降低因子RRF） 以执行功能可靠性的保障来 实现安全完整性要求（SIL）
减轻(降低伤害的严重性)
预防(减少伤害的概率)
安全分级控制 功能分解与责任分解
端到端地实现风险降低
SIL--系统能够实现风险降低的级别
供应商的责任
危险控制
功能安全的基本方法2：全系统
分解与集成关系 同时也是责任分解关系
安全完整性（SIL）
系统失效完整性 质量管理 安全管理 条件 条件 技术安全 条件
随机失效完整性 量化的 安全目标
概率\统计方法 可靠性方法
全系统实现SIL要求
安全完整性
硬件安全完整性
安全生产的困境—人会犯错

结论
–
安全依靠责任转为安全更多的依赖技术，尽量采用技 术系统减少人出错的可能性 不能要求人承担超出他能力的责任 能力与责任要匹配
–
–
安全生产的困境—责任无限

安全管理者如坐火药桶
责任有限

安全生产风险管理：
–
风险识别、分析、分摊、转移、控制等

让每个人都知道：
– –
到底做什么？ 做到什么程度？
HAZOP LOPA QRA
过程
等 等 方 法
基于风险确定风险降低因子
危险事件的 后果 Consequence of hazardous event
C
Risk ( Rnp ) F np C
EUC风险 EUC Risk 危险事件的 频率 Frequency of hazardous event
制造业 42%
流程工业 50%
标准是基础！
国际功能安全基础标准发展过程
HSE PES
ISA S84 DIN V 19250 DINV VDE0801
EWICS
IEC61508
功能安全标准系列框架设计
SIL--系统能够实现风险降低的级别
IEC61508为基础
应用领域标准系列
子系统\产品标准系列
已经形成的应用领域标准系列
保护层分析（LOPA）考虑的重点 1.怎样的安全是足够的安全？ 2.具体的过程需要多少种保护层？ 3.每一保护层可以减少多少风险？
实质：HAZOP+ETA（事件树分析）两种方法的联合。
保护层（洋葱图）
7. 紧急响应 6. 物理保护
安 全 相 关 系 统
5. 释放设备 4. 安全仪表系统
3. 操作员报警
安全应多依赖于技术

科技兴安 但技术设备与系统也会出现故障
安全生产的困境—设备会出故障
整个宇宙约有1069到 1081个星球
设备越来越复杂
采用大量电子、可 编程电子元件
自动化和智能化
10MB的电子存储器就 有1020000000种状态
设备必定会故障， 只是时间问题
BP事故案例
事故直接原因：液位计故障
有可能出错的 终将会出错
安全生产的困境—人会犯错

人总是会犯错的 人的素质是参差不齐的 多样性与不确定性
人的错误导致事故的案例

切尔诺贝利核电站事故（其中人的因素）
按计划停机调试时
多次违反操作规程 操作员关上了多级反应堆 的安全系统
人的错误导致事故的案例

设计错误案例（温州铁路事故）
设计理念 软件编写 调度安排
结合行业特点确定风险控制方案
航空事故统计
1000
300
29
1
事故隐患
未遂事故
轻微事故
重大事故
海因里希法则 了解相关的法则、标准、行业惯例与特殊要求，与行业专家配合，提出安全控制建议
最终确定安全要求

安全功能列表 安全要求规范
–
安全功能要求


功能描述 安全状态 响应时间 要求模式
SIL 操作模式 极端环境与EMC条件 检验测试要求
石油、化工、轨道交通、 电力、冶金、等等工艺控 制过程复杂的高风险
–
SIL要求

• • •
HAZOP\LOPA\QRA方法培训 工艺安全管理体系培训 建立安全要求规范体系
2 重点攻克开发技术难点
应用要求
如何证明？与评估与认证同步发展
开发
评估 目标：形成产业链
• 产品安全完整性设计技术培训与咨询 • 管理故障，避免失效 • FMEDA,FAT…
外部风险降 低设施 External risk reduction facilities
E/E/PE 安 全 相关系统 E/E/PE safety related system
其它技术安 全相关系统 Other tecnology safetyrelated system
允许风 险目标 Tolerabl e risk target
Fnp
必要的风险降低 Necessary risk reduction(ΔR)
EUC和EUC控制系统 EUC and EUC control system
安全相关防护系统的安全完整性需要和必要的 风险降低像匹配 Safety integrity of safety-related protection system matched to the necessary risk reduction
风险分析
系统定义 · 危险识别 · 结果分析 · 风险评估 THR分配
·
用户专家的责任
RRF-基于风险提出风险降低因子
理念： 所有危险都可以控制到可接受范围 问题是：
• 能否发现危险 • 可接受范围如何确定
H THR H THR H THR
潜在的新危险
· 原因分析 · 共同原因分析 · SIL 分配
功能安全技术与应用
2000年开始兴起的一项新兴的安全工程学科 起于IEC61508标准
内容
缘由 理念 实践

缘由
安全生产
----面临的困境与挑战
技术发展
我们的工厂设计采用了多个保护层
•在试错的基础上建立的安全控制与 防护技术 •要求长期的使用经验和长期的系统 测试，使用“经证明是正确的技术” 或“好的工业实践” •严格的法规体系与宏大的安全标准 体系（在选择、计算、系统方法上 都有详细规定） •后果：大多数事故得以避免，生产 加速、系统加大、人们越来越依赖 于安全系统
故障检测
系统安全完整性
结构约束
随机失效
避免失效
故障控制
经使用证实
安全完整性等级 -在低要求操作模式下安全功能的目标失效量
安全完整性等级 4 3 2 1
安全功能在要求时的危险失效平均概率 (PFDavg ,即 Average probability of failure on demand) ≥10-5 至＜10-4 ≥10-4 至＜10-3 ≥10-3 至＜10-2 ≥10-2 至＜10-1

是整体安全的一部分，它依赖于系统或设备执行正确的 功能（对输入的响应正确） 安全取决于主动系统或设施功能的正确行使。

保护层及保护层分析（LOPA）
Layer of Protection Analysis
保护层（layers of protection） 采用多重保护层或安全措施，以便深度防止灾难性事故或 减轻灾难事故的影响。可提供的防止事故与灾难发生的措施， 可以是安全设备、系统或行动（作用），能够防止或减缓危险 剧情向不利后果扩展。
功能安全的基本方法3：全生命周期
SIL要求
方案制定 要求规范 变更管理
•审核 •评估 •验证 •确认
SIL
工程设计 操作与维护 试运行
认证要求 •系统 •子系统 •产品
资质要求 •机构 •人员
Байду номын сангаас
(IEC61882,IEC61508,IEC61511)
管理故障(错误),避免失效
基本方法4 故障安全原则
功能安全标准与标准体系概述
功能安全标准的出台背景