AE全儀表系統(tǒng)培訓講義

1、燕山石化王立奉平安儀表系統(tǒng)(SIS ).1 什么是平安儀表系統(tǒng)?.1 什么是平安儀表系統(tǒng)? 在IEC61508 中，SIS被稱為平安相關(guān)系統(tǒng)Safety Related System,將被控對象稱為被控設備EUC。IEC61511將平安儀表系統(tǒng)SIS定義為用于執(zhí)行一個或多個平安儀表功能Safety Instrumented System的儀表系統(tǒng)。SIS是由傳感器如各類開關(guān)、變送器等、邏輯控制器、以及最終元件如電磁閥、電動門等的組合組成。IEC61511又進一步指出，SIS可以包括，也可以不包括軟件。另外，當操作人員的手動操作被視為SIS的有機組成部分時，必需在平安規(guī)格書Safety Requ

2、irement Specification,SRS)中對人員操作動作的有效性和可靠性做出明確規(guī)定，并包括在SIS的績效計算中。從SIS的開展過程看，其控制單元部分閱歷了電氣繼電器Electrical、電子固態(tài)電路Electronic和可編程電子系統(tǒng)Programmable Electronic System，即E/E/PES三個階段。 .圖1 SIS的構(gòu)成 檢測單元輸入模塊控制模塊輸出模塊執(zhí)行單元PES以下圖為由PES構(gòu)成的SIS .SIS平安儀表系統(tǒng)SIS儀表安包含全控制功能，也可包含儀表平安維護功能，或包含這兩者。需求闡明的是，這里所說的儀表控制功能，是指以延續(xù)方式Continuous M

3、ode操作并具有特定的SIL,用于防止危險形狀發(fā)生或者減輕其發(fā)生的后果，與常規(guī)的PID控制功能是完全不同的概念。SIS可以包括或不包括軟件SIS的一部分也能夠是人的動作.SIS平安儀表系統(tǒng) 如圖2所示，這是一個氣液分別容器A液位控制的平安儀表功能。對這個平安儀表功能完好的描畫是：當容器液位開關(guān)到達平安聯(lián)鎖值時，邏輯運算器圖3使電磁閥2斷電，那么切斷進調(diào)理閥膜頭信號，使調(diào)理閥切斷容器A進料，這個動作要在3秒內(nèi)完成，平安等級必需到達SIL2。這是一個平安儀表功能的完好描畫，而所謂的平安儀表系統(tǒng)，那么是類似一個或多個這樣的平安儀表功能的集合。.圖2 平安儀表回路圖.圖2 闡明L液面超高-L1接點閉合

4、-Z帶電。Z1常閉接點翻開，S線圈斷電。S電磁閥切斷，往調(diào)理閥膜頭的控制信號調(diào)理閥切斷工藝進料，完成聯(lián)鎖維護作用。K起：按鈕開關(guān)：起動聯(lián)鎖維護回路兼有復位作用。K停：起人工強迫起動聯(lián)鎖維護作用。K旁：旁路聯(lián)鎖維護作用，用于開車或檢修聯(lián)鎖信號儀表。.圖3 SIS邏輯圖.SIS平安儀表系統(tǒng)大多石油和化工消費過程具有高溫、高壓、易燃、易爆、有毒等危險。當某些工藝參數(shù)超出平安極限，未及時處置或處置不當時，便有能夠呵斥人員傷亡、設備損壞、周邊環(huán)境污染等惡性事故。這就是說，從平安的角度出發(fā)，石油和化工消費過程本身存在著固有的風險?？傊?，SIS是一種經(jīng)專門機構(gòu)認證，具有一定平安完好性程度，用于降低消費過程風

5、險的儀表平安維護系統(tǒng)。它不僅能呼應消費過程因超越平安極限而帶來的風險，而且能檢測和處置本身的缺點，從而按預定條件或程序使消費過程處于平安形狀，以確保人員、設備及工廠周邊環(huán)境的平安。.SIS平安儀表系統(tǒng)按照SIS的定義，下述系統(tǒng)均屬于平安儀表系統(tǒng)：平安聯(lián)鎖系統(tǒng)Safety Interlock SystemSIS平安關(guān)聯(lián)絡統(tǒng)Safety Related SystemSRS儀表維護系統(tǒng)Instrument Protective SystemIPS透平緊縮機集成控制系統(tǒng)Integrated Turbo & Compressor Control SystemITCC火災及氣體檢測系統(tǒng)Fire and g

6、as systemsF&G緊急停車系統(tǒng)Emergency Shutdown DeviceESD熄滅管理系統(tǒng)Burner Management System列車自動防護系統(tǒng)ATP.2 SIS的相關(guān)規(guī)范及認證機構(gòu) .SIS的相關(guān)規(guī)范及認證機構(gòu) 鑒于SIS涉及到人員、設備、環(huán)境的平安，因此各國均制定了相關(guān)的規(guī)范、規(guī)范，使得SIS的設計、制造、運用均有章可循。并有權(quán)威的認證機構(gòu)對產(chǎn)品能到達的平安等級進展確認。這些規(guī)范、規(guī)范及認證機構(gòu)主要有：我國石化集團制定的行業(yè)規(guī)范SHB-Z06-1999。2006年、2007年等同采用IEC61508、IEC61511的中國國家規(guī)范GB/T20438、GB/T211

7、09相繼發(fā)布，中國的功能平安規(guī)范開場規(guī)范我國的功能平安任務。.SIS的相關(guān)規(guī)范及認證機構(gòu) 國際電工委員會1997年制定的IEC 61508/61511規(guī)范，對用機電設備繼電器、固態(tài)電子設備、可編程電子設備PLC構(gòu)成的平安聯(lián)鎖系統(tǒng)的硬件、軟件及運用作出了明確規(guī)定。美國儀表學會制定的ISA-S84.01-1996。美國化學工程學會制定的AICHEccps-1993，。英國安康與平安執(zhí)行委員會制定的HSE PES-1987，。.SIS的相關(guān)規(guī)范及認證機構(gòu) 德國國家規(guī)范中有平安系統(tǒng)制造廠商規(guī)范-DIN V VDE 0801、過程操作用戶規(guī)范-DIN V 19250和DIN V 19251、熄滅管理系統(tǒng)

8、規(guī)范-DIN VDE 0116等。德國技術(shù)監(jiān)視協(xié)會TV是一個獨立的、權(quán)威的認證機構(gòu)，它按照德國國家規(guī)范DIN，將ESD所到達的平安等級分為AK1AK8，AK8平安級別最高。其中AK4、AK5、AK6為適用于石油和化學工業(yè) 獲得TUV認證的SIS產(chǎn)品 .SIS的相關(guān)規(guī)范及認證機構(gòu) 在國內(nèi)石化行業(yè)中運用的SIS產(chǎn)品中，經(jīng)過TUV認證的主要有：Tricon、Triden，美國Triconex公司開發(fā)用于緊縮機綜合控制ITCC和緊急停車系統(tǒng)。平安等級為AK6SIL3。FSCFail safe control，由荷蘭P&FPepper&Fuchs公司開發(fā)，1994年被Honeywell公司收買。平安等級

9、可達AK6SIL3.SIS的相關(guān)規(guī)范及認證機構(gòu) HIMA PES，HIMA是德國一家專業(yè)消費平安控制設備的公司，PES (Programmable Electronic System)是可編程電子系統(tǒng)的簡稱，是近幾年來國內(nèi)引進較多的一種平安儀表系統(tǒng)。主要由H41q和H51q系統(tǒng)組成。H41q也叫小系統(tǒng)，它分為不冗余的系統(tǒng)和冗余的系統(tǒng)，不冗余系統(tǒng)型號為H41qM，冗余系統(tǒng)又分為高可靠系統(tǒng)H41qH和高性能系統(tǒng)H41qHR。H51q稱為模塊化的系統(tǒng)，它也分為不冗余的系統(tǒng)和冗余的系統(tǒng)，不冗余的系統(tǒng)型號為H51qH和高性能系統(tǒng)H51qHR。各種型號的PES都具有TUV AK16級認證。.SIS的相關(guān)規(guī)

10、范及認證機構(gòu) ProsafeRS，是橫河電機平安儀表系統(tǒng)，其特點是與CENTUMCS.3000 R3的技術(shù)交融，即實現(xiàn)了與DSC的無縫集成。非冗余取量即可實現(xiàn)SIL3，經(jīng)過冗余取量實現(xiàn)更高的可用性。QUADLOG，由MOORE公司開發(fā)，日本橫河電機公司收買后稱prosafe plc，其1oo2D構(gòu)造平安等級達AK6 (SIL3)；SIMATICS7400F/FH，德國SIEMENS公司產(chǎn)品。400F和400FH分別為1個CPU和2個CPU運轉(zhuǎn)fail-safeF用戶程序，均獲得TUV認證，平安等級為AK1AK6SIL1SIL3；.SIS的相關(guān)規(guī)范及認證機構(gòu) Regent Trusted，美國I

11、CS利用宇航技術(shù)開發(fā)的平安系統(tǒng)。平安等級AK4AK6SIL2SIL3；GMR90-70，美國GE Fanuc公司開發(fā)。其中GMR90-70(模塊式冗余容錯)的平安等級為class 52oo3，class 41oo2和class 52oo2；TRIGUARD SC300E， AUGUST公司開發(fā)，1999年成為ABB集團成員之一，平安等級為class 5和class 6，系統(tǒng)構(gòu)造為2oo3；Safeguard 400&300，ABB Industry公司開發(fā)，系統(tǒng)構(gòu)造1oo2D。.3 SIS和DCS的比較 .SIS和DCS的比較DCS與由PES構(gòu)成的SIS的主要區(qū)別有： DCSSIS構(gòu) 成不含檢

12、測、執(zhí)行含檢測、執(zhí)行單元作用（功能）使生產(chǎn)過程在正常工況乃至最佳工況下運行超限安全停車工 作動態(tài)、連續(xù)靜態(tài)、間斷安全級別低、不需認證高、需認證.SIS和DCS的比較系統(tǒng)的組成：DCS普通是由人機界面操作站、通訊總線及現(xiàn)場控制站組成；而SIS系統(tǒng)是由傳感器、邏輯解算器和最終元件三部分組成。及DCS不含檢測執(zhí)行部分。 實現(xiàn)功能：DCS用于過程延續(xù)丈量、常規(guī)控制延續(xù)、順序、間歇等操作控制管理使消費過程在正常情況下運轉(zhuǎn)至最正確工況；而SIS是超越極限平安即將工藝、設備轉(zhuǎn)至平安形狀。 任務形狀：DCS是自動的、動態(tài)的，它一直對過程變量延續(xù)進展檢測、運算和控制，對消費過程動態(tài)控制確保產(chǎn)質(zhì)量量和產(chǎn)量。而SI

13、S系統(tǒng)是被動的、休眠的 。 .SIS和DCS的比較平安級別：DCS平安級別低，不需求平安認證；而SIS系統(tǒng)級別高，需求平安認證。 應對失效方式：DCS系統(tǒng)大部分失效都是顯而易見的，其失效會在消費的動態(tài)過程中自行顯現(xiàn)，很少存在隱性失效；SIS失效就沒那么明顯了，因此確定這種休眠系統(tǒng)能否還能正常任務的獨一方法，就是對該系統(tǒng)進展周期性的診斷或測試。因此平安儀表系統(tǒng)需求人為的進展周期性的離線或在線檢驗測試，而有些平安系統(tǒng)那么帶有內(nèi)部自診斷。 .4 SIS設計應遵照的原那么.SIS設計應遵照的原那么原那么上應獨立設置含檢測和執(zhí)行單元；中間環(huán)節(jié)最少；應為缺點平安型；采用冗余容錯構(gòu)造。 .5 缺點平安原那么

14、.缺點平安原那么 組成SIS的各環(huán)節(jié)本身出現(xiàn)缺點的概率不能夠為零， 且供電、供氣中斷亦能夠發(fā)生。 當內(nèi)部或外部緣由使SIS失效時，被維護的對象安裝應按預定的順序平安停車，自動轉(zhuǎn)入平安形狀Fault to Safety，這就是缺點平安原那么。 詳細表達：現(xiàn)場開關(guān)儀表選用常閉接點，工藝正常時，觸點閉合，到達平安極限時觸點斷開，觸發(fā)聯(lián)鎖動作，必要時采用“二選一、“二選二或“三選二配置。電磁閥采用正常勵磁，聯(lián)鎖未動作時，電磁閥線圈帶電，聯(lián)鎖動作時斷電。.缺點平安原那么送往電氣配電室用以開/停電機的接點用中間繼電器隔離，其勵磁電路應為缺點平安型。 作為控制安裝如PLC“缺點平安意味著當其本身出現(xiàn)缺點而不

15、是工藝或設備超越極限任務范圍時，至少應該聯(lián)鎖動作，以便按預定的順序平安停車這對工藝和設備而言是平安的；進而應經(jīng)過硬件和軟件的冗余和容錯技術(shù)，在過程平安時間PST-Process Safety Time內(nèi)檢測到缺點，自動執(zhí)行糾錯程序，排除缺點。 .6 隱缺點與顯缺點.隱缺點與顯缺點隱缺點Covert Fault：不對危險產(chǎn)生報警，允許危險開展的缺點，是缺點危險缺點SHB-Z06-1999。 Covert Fault：Fault that can be classified as hidden， concealed， undetected， unrevealed， latent， ect. ISA

16、-S84.01-1996顯缺點Overt Fault：能顯示出缺點本身存在的缺點，是缺點平安缺點SHB-Z06-1999。 Overt Fault：Fault that can be classified as announced， detected， revealed，ect.ISA-S84.01-1996.隱缺點與顯缺點SIS系統(tǒng)拒動：當工藝條件到達或超越平安極限時，SIS本應引導工藝過程停車，但由于其本身存在隱性缺點危險缺點，譬如輸出開關(guān)被誤連短路，而不能呼應此要求，即該停車而拒停，降低了平安性。危險失效定義為這樣一些失效，這些失效會阻止SIS系統(tǒng)對潛在的危險工況做出反響。 .隱缺點與顯

17、缺點SIS系統(tǒng)誤動：在圖4中，當輸出開關(guān)由于某種緣由處于非鼓勵形狀，即使?jié)撛诘奈ｋU工況沒有發(fā)生，SIS也會進入一種平安失效形狀見圖5，這種情況經(jīng)常被稱為“誤動。誤動能夠會以許多不同方式發(fā)生。例如，輸入電路能夠會發(fā)生缺點，從而使邏輯解算器誤以為是傳感器檢測到了危險工況，而現(xiàn)實上并沒有這種情況發(fā)生。邏輯解算器本身也能夠出現(xiàn)運算錯誤，并導致輸出回路失電，輸出回路能夠出現(xiàn)開路。SIS的許多元件失效均會導致系統(tǒng)進入平安失效形狀。.圖4 正常運轉(zhuǎn)時的正常鼓勵系統(tǒng)SIS負載壓力開關(guān)開關(guān)量輸入正常運轉(zhuǎn)時開封鎖合，非正常運轉(zhuǎn)時開關(guān)翻開+正常任務時輸出開關(guān)處在鼓勵形狀非正常運轉(zhuǎn)時輸出開關(guān)處在失勵形狀輸出開關(guān)+.圖

18、5SIS負載壓力開關(guān)開關(guān)量輸入即使壓力開封鎖合，由于輸入電路的缺點SIS也會誤以為它是翻開的+輸出電路發(fā)生開路缺點邏輯解算器不能讀取1輸入，不能進展正常的邏輯運算，也不能生成邏輯1輸出輸出開關(guān)+.PFS平安缺點概率：正常鼓勵的SIS系統(tǒng)在它的輸出非鼓勵時，就會處于缺點形狀，這有一個概率。稱為平安缺點概率PFS，或稱誤動率。PFD要求時失效概率：這是一個衡量平安性的目的，稱為要求時失效概率。它意味著系統(tǒng)是危險的。它不會再要求潛在的緊急條件發(fā)生時產(chǎn)生呼應。SIS的功能平安平安儀表系統(tǒng)必需在工業(yè)系統(tǒng)出現(xiàn)危險情況時正確執(zhí)行其對應的平安功能，平安儀表系統(tǒng)的這種特性被稱為功能平安。功能平安實踐上講的是SI

19、S系統(tǒng)本身的平安問題。.SIS的平安功能如圖6示平安儀表系統(tǒng)，該系統(tǒng)由一個壓力變送器、一個閥門和一個平安PLC組成的SIS系統(tǒng)。壓力變送器檢測容器內(nèi)壓力并將其變換成適宜的信號傳送給平安PLC，平安PLC判別假設壓力超越了額定值那么翻開閥門以降低容器內(nèi)壓力，這被稱為平安系統(tǒng)的一個平安功能。很明顯例子中儀表平安系統(tǒng)只需一個平安功能。假設三個設備有一個或多個失效，平安功能將失效，即它將不能對壓力容器內(nèi)壓力進展限制。因此平安儀表系統(tǒng)的平安性能由傳感器、邏輯解算器和執(zhí)行器三部分功能決議。SIS平安功能實踐上講的是讓SIS執(zhí)行什么樣的平安義務，如何維護受控設備。.圖6 反響器的平安儀表系統(tǒng) PS Logi

20、c solve 邏輯解算器feed valve進料閥Reactor反響器TSFeed進料Pressure Sensor壓力變送器Temperature Sensor 溫度變送器當反響器溫度及壓力超高到達危險形狀時都要停車，關(guān)斷進料閥。 .7 平安性及呼應失效率.平安性及呼應失效率當工藝條件到達或超越平安極限值時，SIS本應引導工藝過程停車，但由于其本身存在隱缺點危險缺點而不能呼應此要求，即該停車而拒停，降低了平安性。 衡量平安性的目的為呼應失效率或稱要求的缺點率PFD：Probability of Failure on Demand。它是平安聯(lián)鎖系統(tǒng)按要求執(zhí)行指定功能的缺點概率。是度量平安聯(lián)鎖

21、系統(tǒng)按要求方式任務缺點率的目的值SHB-Z06-1999。 不同的工業(yè)過程如消費規(guī)模、原料和產(chǎn)品的種類、工藝和設備的復雜程度等對平安的要求是不同的。上述的國際規(guī)范將其劃分為假設干平安完好性等級SIL：Safety Integrity Level。 .平安完好性等級Safety Integrity LevelSIL平安完好性等級SIL是一種離散的等級，用來規(guī)定分配給E/E/PE平安相關(guān)系統(tǒng)平安功能的平安完好性要求。平安完好性等級可分為4個等級，SIL4是平安完好性最高的等級平均概率最高，SIL1是最低等級；平安完好性等級越高，應執(zhí)行所要求的平安功能的概率也越高；根據(jù)平安相關(guān)系統(tǒng)運用方式，要求發(fā)生

22、的頻率可分為低要求操作方式1次/年。 .平安完好性等級Safety Integrity LevelSIL根據(jù)GB/T 20438規(guī)范，在不同的操作方式下，平安完好性的目的失效概率和目的風險降低見下表1-1和1-2。采用不同的操作方式構(gòu)造有能夠運用幾個平安完好性等級較低的系統(tǒng)來滿足一個較高平安完好性等級功能的需求例如：運用一個SIL2和一個SIL1的系統(tǒng)共同來滿足一個SIL3功能的需求。 .表1-1 平安完好性等級：要求時的失效概率低要求操作模式（平均失效概率） 安全完整性等級（SIL）要求時的目標平均失效概率 目標風險降低 410-510000100000 310-4100010000 210

23、-31001000 110-210100 .表1-2 平安完好性等級：SIF的危險失效概率 高要求或連續(xù)操作模式（每小時危險失效概率） 安全完整性等級（SIL）執(zhí)行儀表安全功能的目標危險失效概率410-910-8 310-810-7 210-710-6 110-610-5 .表1-3 SIL與PFD的對應關(guān)系 ISA-S84.01IEC 61508DIN V 19520(TUV)PFDSIL 1SIL 1AK110-110-2AK2AK3SIL 2SIL 2AK410-210-3SIL 3SIL 3AK510-310-4AK6SIL 4AK710-410-5AK8.8 可用性及可用度.可用性及

24、可用度工藝條件并未到達平安極限值，SIS不應引導工藝過程停車，但由于其本身存在顯缺點平安缺點而導致工藝過程停車，即不該停車而誤停，降低了可用性?？捎枚華：Availability是指系統(tǒng)可運用任務時間的概率，用百分數(shù)計算： SHB-Z06-1999 MTBF：平均缺點間隔時間Mean Time Between FailuresMDT：平均停車時間Mean Downtime.MTTF、MTTR、MTBF 與SIL的關(guān)系 MTBF：平均缺點間隔時間Mean Time Between FailureMTTR：平均恢復時間Mean Time to RepairMTTF：平均無缺點時間Mean Time

25、 to Failure例如：開車MTTFSIS系統(tǒng)運轉(zhuǎn)總時間MTTR24hSIS缺點時間MTBF2000h發(fā)生危險缺點圖7 MTTF、MTTR和MTBF .MTTF、MTTR、MTBF 與SIL的關(guān)系 MTTF=MTTR+MTBF PFD=MTTR/MTBF+MTTR知 MTTR=24H MTBF=2000H那么 PFD=24/(24+2000)=0.0119所以硬件平安完好性等級到達SIL1程度。.9 冗余和容錯.冗余和容錯冗余Redundant：具有指定的獨立的N：1重元件，并且可以自動地檢測缺點，切換到后備設備上。 SHB Z06 1999冗余系統(tǒng)Redundant System：并行地

26、運用多個系統(tǒng)部件，以提供錯誤檢測和錯誤校正才干的系統(tǒng)。 SHB Z06 1999。.冗余和容錯容錯Fault Tolerant：具有內(nèi)部冗余的并行元件和集成邏輯，當硬件或軟件部分缺點時，可以識別缺點并使缺點旁路，進而繼續(xù)執(zhí)行指定的功能。或在硬件和軟件發(fā)生缺點的情況下，系統(tǒng)仍具有繼續(xù)運轉(zhuǎn)的才干。它往往包括三方面的功能：第一是約束缺點，即限制過程或進程的動作，以防止在錯誤被檢測出來之前繼續(xù)擴展；第二是檢測缺點，即對信息和過程或進程的動作進展動態(tài)檢測；第三是缺點恢復即改換或修正失效的部件。SHB Z06 1999.冗余和容錯容錯系統(tǒng)Fault Tolerant System：具有容錯構(gòu)造的硬件與軟件

27、系統(tǒng)。 SHB Z06 1999總之，經(jīng)過冗余和缺點屏蔽的結(jié)合來實現(xiàn)容錯。容錯系一致定是冗余系統(tǒng)，冗余系統(tǒng)不一定是容錯系統(tǒng)。容錯系統(tǒng)的冗余方式有雙重、三重、四重等。圖8和圖9、圖10分別表示CPU冗余雙機熱備和三重化冗余容錯系統(tǒng)。.圖8 CPU冗余雙機熱備CPU 1CPU 2開關(guān)輸入/輸出現(xiàn)場設備.圖9 三重模塊冗余容錯系統(tǒng)輸入輸入輸入CPU CCPU B輸出輸出2oo3 表決器輸出CPU A輸入端子輸出端子.圖10 三重信號冗余容錯系統(tǒng).怎樣經(jīng)過冗余來改善系統(tǒng)的整體SIL程度 當一個SIS系統(tǒng)的平安完好性等級要求為SIL3，而實踐配置為傳感器為2.210-3(SIL 2)，邏輯解算器為1.3

28、10-4(SIL3)包括I/O接口，終端執(zhí)行器為2.4110-3SIL2,所以整個系統(tǒng)為SIL2不滿足要求。于是我們改動傳感器的配置構(gòu)造，選擇1oo2冗余，其中共因失效=10%，診斷覆蓋率DC=90%，可以算出1oo2傳感器的構(gòu)造的PFD=2.310-4，到達SIL3的程度，同理可以配置執(zhí)行器為1oo2冗余構(gòu)造，也可到達SIL3的要求，于是最終整體SIS系統(tǒng)的SIL可以到達SIL3的要求。 .怎樣經(jīng)過冗余來改善系統(tǒng)的整體SIL程度 這個問題的處理給我們以啟示，當安裝引進一個SIS系統(tǒng)時，整體平安完好性等級不僅取決于邏輯解算器部分，而且傳感器、終端執(zhí)行器部分也非常關(guān)鍵。配置系統(tǒng)時，除了引進一個S

29、IL3的平安儀表系統(tǒng)，譬如FSC等，還要將傳感器、終端執(zhí)行器一并討論。算出SIS整體的SIL數(shù)據(jù)，定量的平安儀表系統(tǒng)配置義務才算完成。.冗余表決方法及其平安性、可用性的關(guān)系可用性A：Availability是指系統(tǒng)可運用任務時間延續(xù)運轉(zhuǎn)時間的概率，用百分數(shù)計算A值越大，可用性越好：A = MTBF/(MTBF+MTTR)而PFD= MTTR /(MTBF+MTTR)PFD越小那么平安性越好。冗余邏輯表決方法及平安性-可用性的關(guān)系例子如下表所示 。.表決方法隱故障概率（拒動）顯故障概率（誤動）允許不允許安全性可用性一選一 1oo10.02（短路的概率）0.04（開路的概率）存在隱故障和顯故障差差

30、二選一 1oo20.0004（兩個均短路的概率）0.08（只要有一個開路的概率）其中之一存在隱故障（仍可安全停車）其中之一存在顯故障（將誤停車）最好最差二選二 2oo20.04（只要有一個短路的概率）0.0016（兩個均開路的概率）其中之一存在顯故障（不會誤停車）其中之一存在隱故障（該停拒停）最差最好三選二 2oo30.0012（三個中兩個均短路的概率）0.0048（三個中兩個均開路的概率）其中之一存在隱故障或顯故障其中兩個存在隱故障或顯故障較好較好表2 冗余邏輯的表決方法及其與平安性、可用性的關(guān)系注：此表中缺點概率數(shù)據(jù)摘自西門子公司資料 .冗余表決方法及其平安性、可用性的關(guān)系以上可見：隱缺點

31、危險缺點使SIS該動而拒動，隱缺點概率越高，平安性越差。顯缺點平安缺點使ESD不該動而誤動，顯缺點概率越高，可用性越差。1oo2二選一平安性最好，但可用性最差；2oo2二選二可用性最好，但平安性最差；2oo3三選二可兼顧.10 普通PLC和平安PLC的區(qū)別.普通PLC和平安PLC的區(qū)別普通PLC和可以作為ESD控制部分的平安PLC的主要區(qū)別是：普通PLC不是按缺點平安型設計的，當系統(tǒng)內(nèi)部元件出現(xiàn)短路缺點時，它并不能檢測到，因此其輸出形狀不能保證系統(tǒng)回到預定的平安形狀。這種PLC只能用于平安度等級要求低的場所?，F(xiàn)以輸出電路為例予以闡明。 圖11是普通PLC DO卡表示圖。.圖11 普通PLC D

32、O卡表示圖+24VDC來自CPU的控制信號接負載，如電磁閥0V DC12.普通PLC DO卡當1、2兩點短路時，來自PLC的控制信號將不起作用失效，電磁閥將不斷處于帶電勵磁形狀，即需求聯(lián)鎖動作電磁閥釋電停車時，由于此缺點的存在而拒動，其輸出不能保證處于平安停車形狀。這就是違背了缺點平安Fault to Safety的原那么。當1、2兩點開路時，將導致誤動作而停車，同樣會帶來損失?？梢?，這種普通PLC的DO卡輸出電路的平安性和可用性都是不高的。 .圖12 平安性單容錯DO卡表示圖 “與看門狗中央處置器+24VDC形狀信號控制信號形狀信號接負載，如電磁閥0V DC.平安性單容錯DO卡圖12所示為一

33、種帶有平安性單容錯的DO卡表示圖它是Honeywell SMS FSC-101型輸出表示圖。這里，中央處置器不僅向串聯(lián)的場效應管FET發(fā)出控制信號，而且還接受來自場效應管的形狀反響信號，以便對其輸出進展全面測試。當測得某管輸出發(fā)生短路時，中央處置器即啟動糾錯動作，隔離相關(guān)的缺點?？撮T狗Watch Dog是個多通道的計時器電路。它由中央處置器和內(nèi)存等周期性地觸發(fā)，假設兩個觸發(fā)之間的時間小于某設定值或者大于某最大值，那么看門狗的輸出將失效。同時看門狗還能監(jiān)視內(nèi)部任務電壓，使之在正常的電壓范圍內(nèi)。 .普通PLC和平安PLC的區(qū)別以上僅是DO卡上的差別。作為平安PLC，至少應具備以下幾點：滿足相關(guān)平安規(guī)范規(guī)范要求，且經(jīng)過權(quán)威機構(gòu)認證，獲得了相應平安等級證書；在硬件和軟件上采用冗余、容錯措施，具有完善的測試手段，當檢測到系統(tǒng)缺點，特別是危險缺點時能使系統(tǒng)回到平安形狀；能進展系統(tǒng)缺點報警，指示缺點緣由、缺點位置，便于在線維護；能與DCS或其它設備進展通訊。.11 工藝過程風險的評價及平安度等級的評定 .工藝過程風險的評價及平安度等級的評定 不同的工藝過程消費規(guī)模、原料和產(chǎn)品的種類、工藝和設備的復雜程度等對平安的