安全儀表系統(tǒng)培訓(xùn)講義-燕山石化王立奉教學(xué)文案

燕山(yànshān)石化王立奉安全儀表(yíbiǎo)系統(tǒng)(SIS)第一頁(yè)，共76頁(yè)。1什么(shénme)是安全儀表系統(tǒng)?第二頁(yè)，共76頁(yè)。1什么(shénme)是安全儀表系統(tǒng)?在IEC61508中，SIS被稱為安全相關(guān)系統(tǒng)（SafetyRelatedSystem）,將被控對(duì)象稱為被控設(shè)備（EUC）。IEC61511將安全儀表系統(tǒng)SIS定義為用于執(zhí)行一個(gè)或多個(gè)安全儀表功能（SafetyInstrumentedSystem）的儀表系統(tǒng)。SIS是由傳感器（如各類開關(guān)(kāiguān)、變送器等）、邏輯控制器、以及最終元件（如電磁閥、電動(dòng)門等）的組合組成。IEC61511又進(jìn)一步指出，SIS可以包括，也可以不包括軟件。另外，當(dāng)操作人員的手動(dòng)操作被視為SIS的有機(jī)組成部分時(shí)，必須在安全規(guī)格書（SafetyRequirementSpecification,SRS)中對(duì)人員操作動(dòng)作的有效性和可靠性做出明確規(guī)定，并包括在SIS的績(jī)效計(jì)算中。從SIS的發(fā)展過(guò)程看，其控制單元部分經(jīng)歷了電氣繼電器（Electrical）、電子固態(tài)電路（Electronic）和可編程電子系統(tǒng)（ProgrammableElectronicSystem），即E/E/PES三個(gè)階段。第三頁(yè)，共76頁(yè)。圖1SIS的構(gòu)成(gòuchéng)檢測(cè)(jiǎncè)單元輸入(shūrù)模塊控制模塊輸出模塊執(zhí)行單元PES下圖為由PES構(gòu)成的SIS第四頁(yè)，共76頁(yè)。SIS安全儀表(yíbiǎo)系統(tǒng)SIS儀表安包含全控制功能，也可包含儀表安全保護(hù)功能，或包含這兩者。需要說(shuō)明的是，這里所說(shuō)的儀表控制功能，是指以連續(xù)模式(móshì)（ContinuousMode）操作并具有特定的SIL,用于防止危險(xiǎn)狀態(tài)發(fā)生或者減輕其發(fā)生的后果，與常規(guī)的PID控制功能是完全不同的概念。SIS可以包括或不包括軟件SIS的一部分也可能是人的動(dòng)作第五頁(yè)，共76頁(yè)。SIS安全儀表(yíbiǎo)系統(tǒng)如圖2所示，這是一個(gè)氣液分離容器A液位控制的安全儀表功能。對(duì)這個(gè)安全儀表功能完整的描述是：當(dāng)容器液位開關(guān)達(dá)到安全聯(lián)鎖值時(shí)，邏輯運(yùn)算器（圖3）使電磁閥2斷電，則切斷進(jìn)調(diào)節(jié)閥膜頭信號(hào)，使調(diào)節(jié)閥切斷容器A進(jìn)料，這個(gè)動(dòng)作要在3秒內(nèi)完成，安全等級(jí)必須(bìxū)達(dá)到SIL2。這是一個(gè)安全儀表功能的完整描述，而所謂的安全儀表系統(tǒng)，則是類似一個(gè)或多個(gè)這樣的安全儀表功能的集合。第六頁(yè)，共76頁(yè)。圖2安全儀表(yíbiǎo)回路圖第七頁(yè)，共76頁(yè)。圖2說(shuō)明(shuōmíng)L液面超高-L1接點(diǎn)閉合-Z帶電。Z1常閉接點(diǎn)打開，S線圈斷電。S電磁閥切斷，往調(diào)節(jié)閥膜頭的控制信號(hào)調(diào)節(jié)閥切斷工藝進(jìn)料，完成聯(lián)鎖保護(hù)作用。K起：按鈕開關(guān)：起動(dòng)聯(lián)鎖保護(hù)回路兼有復(fù)位作用。K停：起人工強(qiáng)制(qiángzhì)起動(dòng)聯(lián)鎖保護(hù)作用。K旁：旁路聯(lián)鎖保護(hù)作用，用于開車或檢修聯(lián)鎖信號(hào)儀表。第八頁(yè)，共76頁(yè)。圖3SIS邏輯圖第九頁(yè)，共76頁(yè)。SIS安全(ānquán)儀表系統(tǒng)大多石油和化工生產(chǎn)過(guò)程具有高溫、高壓、易燃、易爆、有毒等危險(xiǎn)。當(dāng)某些工藝參數(shù)超出安全極限，未及時(shí)處理或處理不當(dāng)時(shí)，便有可能造成人員傷亡、設(shè)備損壞、周邊環(huán)境污染等惡性事故。這就是說(shuō)，從安全的角度出發(fā)(chūfā)，石油和化工生產(chǎn)過(guò)程自身存在著固有的風(fēng)險(xiǎn)?？傊?，SIS是一種經(jīng)專門機(jī)構(gòu)認(rèn)證，具有一定安全完整性水平，用于降低生產(chǎn)過(guò)程風(fēng)險(xiǎn)的儀表安全保護(hù)系統(tǒng)。它不僅能響應(yīng)生產(chǎn)過(guò)程因超過(guò)安全極限而帶來(lái)的風(fēng)險(xiǎn)，而且能檢測(cè)和處理自身的故障，從而按預(yù)定條件或程序使生產(chǎn)過(guò)程處于安全狀態(tài)，以確保人員、設(shè)備及工廠周邊環(huán)境的安全。第十頁(yè)，共76頁(yè)。SIS安全(ānquán)儀表系統(tǒng)按照SIS的定義，下述系統(tǒng)均屬于安全儀表系統(tǒng)：安全聯(lián)鎖系統(tǒng)（SafetyInterlockSystem—SIS）安全關(guān)聯(lián)系統(tǒng)（SafetyRelatedSystem—SRS）儀表保護(hù)(bǎohù)系統(tǒng)（InstrumentProtectiveSystem—IPS）透平壓縮機(jī)集成控制系統(tǒng)（IntegratedTurbo&CompressorControlSystem—ITCC）火災(zāi)及氣體檢測(cè)系統(tǒng)（Fireandgassystems—F&G）緊急停車系統(tǒng)（EmergencyShutdownDevice—ESD）燃燒管理系統(tǒng)（BurnerManagementSystem）列車自動(dòng)防護(hù)系統(tǒng)（ATP）第十一頁(yè)，共76頁(yè)。2SIS的相關(guān)標(biāo)準(zhǔn)(biāozhǔn)及認(rèn)證機(jī)構(gòu)第十二頁(yè)，共76頁(yè)。SIS的相關(guān)(xiāngguān)標(biāo)準(zhǔn)及認(rèn)證機(jī)構(gòu)鑒于SIS涉及到人員、設(shè)備、環(huán)境的安全，因此各國(guó)均制定(zhìdìng)了相關(guān)的標(biāo)準(zhǔn)、規(guī)范，使得SIS的設(shè)計(jì)、制造、使用均有章可循。并有權(quán)威的認(rèn)證機(jī)構(gòu)對(duì)產(chǎn)品能達(dá)到的安全等級(jí)進(jìn)行確認(rèn)。這些標(biāo)準(zhǔn)、規(guī)范及認(rèn)證機(jī)構(gòu)主要有：我國(guó)石化集團(tuán)制定(zhìdìng)的行業(yè)標(biāo)準(zhǔn)SHB-Z06-1999《石油化工緊急停車及安全聯(lián)鎖系統(tǒng)設(shè)計(jì)導(dǎo)則》。2006年、2007年等同采用IEC61508、IEC61511的中國(guó)國(guó)家標(biāo)準(zhǔn)GB/T20438、GB/T21109相繼發(fā)布，中國(guó)的功能安全標(biāo)準(zhǔn)開始規(guī)范我國(guó)的功能安全工作。第十三頁(yè)，共76頁(yè)。SIS的相關(guān)標(biāo)準(zhǔn)(biāozhǔn)及認(rèn)證機(jī)構(gòu)國(guó)際電工委員會(huì)1997年制定的IEC61508/61511標(biāo)準(zhǔn)，對(duì)用機(jī)電設(shè)備（繼電器）、固態(tài)電子設(shè)備、可編程電子設(shè)備（PLC）構(gòu)成的安全聯(lián)鎖系統(tǒng)的硬件、軟件及應(yīng)用作出了明確規(guī)定。美國(guó)儀表學(xué)會(huì)制定的ISA-S84.01-1996《安全儀表系統(tǒng)在過(guò)程工業(yè)中的應(yīng)用》。美國(guó)化學(xué)工程(huàxuéɡōnɡchénɡ)學(xué)會(huì)制定的AICHE（ccps）-1993，《化學(xué)過(guò)程的安全自動(dòng)化導(dǎo)則》。英國(guó)健康與安全執(zhí)行委員會(huì)制定的HSEPES-1987，《可編程電子系統(tǒng)在安全領(lǐng)域的應(yīng)用》。第十四頁(yè)，共76頁(yè)。SIS的相關(guān)(xiāngguān)標(biāo)準(zhǔn)及認(rèn)證機(jī)構(gòu)德國(guó)國(guó)家標(biāo)準(zhǔn)中有安全系統(tǒng)制造廠商標(biāo)準(zhǔn)-DINVVDE0801、過(guò)程操作用戶標(biāo)準(zhǔn)-DINV19250和DINV19251、燃燒管理系統(tǒng)標(biāo)準(zhǔn)-DINVDE0116等。德國(guó)技術(shù)監(jiān)督協(xié)會(huì)（TüV）是一個(gè)獨(dú)立的、權(quán)威(quánwēi)的認(rèn)證機(jī)構(gòu)，它按照德國(guó)國(guó)家標(biāo)準(zhǔn)（DIN），將ESD所達(dá)到的安全等級(jí)分為AK1～AK8，AK8安全級(jí)別最高。其中AK4、AK5、AK6為適用于石油和化學(xué)工業(yè)取得TUV認(rèn)證的SIS產(chǎn)品第十五頁(yè)，共76頁(yè)。SIS的相關(guān)(xiāngguān)標(biāo)準(zhǔn)及認(rèn)證機(jī)構(gòu)在國(guó)內(nèi)石化行業(yè)中應(yīng)用的SIS產(chǎn)品中，經(jīng)過(guò)TUV認(rèn)證的主要(zhǔyào)有：Tricon、Triden，美國(guó)Triconex公司開發(fā)用于壓縮機(jī)綜合控制（ITCC）和緊急停車系統(tǒng)。安全等級(jí)為AK6（SIL3）。FSC（Failsafecontrol），由荷蘭P&F（Pepper&Fuchs）公司開發(fā)，1994年被Honeywell公司收購(gòu)。安全等級(jí)可達(dá)AK6（SIL3）第十六頁(yè)，共76頁(yè)。SIS的相關(guān)標(biāo)準(zhǔn)及認(rèn)證(rènzhèng)機(jī)構(gòu)HIMAPES，HIMA是德國(guó)一家專業(yè)生產(chǎn)安全控制設(shè)備的公司，PES(ProgrammableElectronicSystem)是可編程電子系統(tǒng)的簡(jiǎn)稱，是近幾年來(lái)國(guó)內(nèi)引進(jìn)較多的一種安全儀表系統(tǒng)。主要由H41q和H51q系統(tǒng)組成(zǔchénɡ)。H41q也叫小系統(tǒng)，它分為不冗余的系統(tǒng)和冗余的系統(tǒng)，不冗余系統(tǒng)型號(hào)為H41q—M，冗余系統(tǒng)又分為高可靠系統(tǒng)H41q—H和高性能系統(tǒng)H41q—HR。H51q稱為模塊化的系統(tǒng)，它也分為不冗余的系統(tǒng)和冗余的系統(tǒng)，不冗余的系統(tǒng)型號(hào)為H51q—H和高性能系統(tǒng)H51q—HR。各種型號(hào)的PES都具有TUVAK1~6級(jí)認(rèn)證。第十七頁(yè)，共76頁(yè)。SIS的相關(guān)(xiāngguān)標(biāo)準(zhǔn)及認(rèn)證機(jī)構(gòu)Prosafe—RS，是橫河電機(jī)安全儀表系統(tǒng)，其特點(diǎn)是與CENTUMCS.3000R3的技術(shù)融合(rónghé)，即實(shí)現(xiàn)了與DSC的無(wú)縫集成。非冗余取量即可實(shí)現(xiàn)SIL3，通過(guò)冗余取量實(shí)現(xiàn)更高的可用性。QUADLOG，由MOORE公司開發(fā)，日本橫河電機(jī)公司收購(gòu)后稱prosafeplc，其1oo2D結(jié)構(gòu)安全等級(jí)達(dá)AK6(SIL3)；SIMATICS7—400F/FH，德國(guó)SIEMENS公司產(chǎn)品。400F和400FH分別為1個(gè)CPU和2個(gè)CPU運(yùn)行fail-safe（F）用戶程序，均取得TUV認(rèn)證，安全等級(jí)為AK1~AK6（SIL1~SIL3）；第十八頁(yè)，共76頁(yè)。SIS的相關(guān)標(biāo)準(zhǔn)(biāozhǔn)及認(rèn)證機(jī)構(gòu)RegentTrusted，美國(guó)ICS利用宇航技術(shù)開發(fā)(kāifā)的安全系統(tǒng)。安全等級(jí)AK4~AK6（SIL2~SIL3）；GMR90-70，美國(guó)GEFanuc公司開發(fā)(kāifā)。其中GMR90-70(模塊式冗余容錯(cuò))的安全等級(jí)為class5（2oo3），class4（1oo2）和class5（2oo2）；TRIGUARDSC300E，AUGUST公司開發(fā)(kāifā)，1999年成為ABB集團(tuán)成員之一，安全等級(jí)為class5和class6，系統(tǒng)結(jié)構(gòu)為2oo3；Safeguard400&300，ABBIndustry公司開發(fā)(kāifā)，系統(tǒng)結(jié)構(gòu)1oo2D。第十九頁(yè)，共76頁(yè)。3SIS和DCS的比較(bǐjiào)第二十頁(yè)，共76頁(yè)。SIS和DCS的比較(bǐjiào)DCS與由PES構(gòu)成的SIS的主要(zhǔyào)區(qū)別有：DCSSIS構(gòu)成不含檢測(cè)、執(zhí)行含檢測(cè)、執(zhí)行單元作用（功能）使生產(chǎn)過(guò)程在正常工況乃至最佳工況下運(yùn)行超限安全停車工作動(dòng)態(tài)、連續(xù)靜態(tài)、間斷安全級(jí)別低、不需認(rèn)證高、需認(rèn)證第二十一頁(yè)，共76頁(yè)。SIS和DCS的比較(bǐjiào)系統(tǒng)的組成：DCS一般是由人機(jī)界面操作站、通信總線及現(xiàn)場(chǎng)控制站組成；而SIS系統(tǒng)是由傳感器、邏輯解算器和最終元件三部分組成。及DCS不含檢測(cè)執(zhí)行部分。實(shí)現(xiàn)功能：DCS用于過(guò)程連續(xù)測(cè)量(cèliáng)、常規(guī)控制（連續(xù)、順序、間歇等）操作控制管理使生產(chǎn)過(guò)程在正常情況下運(yùn)行至最佳工況；而SIS是超越極限安全即將工藝、設(shè)備轉(zhuǎn)至安全狀態(tài)。工作狀態(tài)：DCS是主動(dòng)的、動(dòng)態(tài)的，它始終對(duì)過(guò)程變量連續(xù)進(jìn)行檢測(cè)、運(yùn)算和控制，對(duì)生產(chǎn)過(guò)程動(dòng)態(tài)控制確保產(chǎn)品質(zhì)量和產(chǎn)量。而SIS系統(tǒng)是被動(dòng)的、休眠的。第二十二頁(yè)，共76頁(yè)。SIS和DCS的比較(bǐjiào)安全級(jí)別：DCS安全級(jí)別低，不需要安全認(rèn)證；而SIS系統(tǒng)級(jí)別高，需要安全認(rèn)證。應(yīng)對(duì)失效方式：DCS系統(tǒng)大部分失效都是顯而易見的，其失效會(huì)在生產(chǎn)的動(dòng)態(tài)過(guò)程中自行顯現(xiàn)(xiǎnxiàn)，很少存在隱性失效；SIS失效就沒那么明顯了，因此確定這種休眠系統(tǒng)是否還能正常工作的唯一方法，就是對(duì)該系統(tǒng)進(jìn)行周期性的診斷或測(cè)試。因此安全儀表系統(tǒng)需要人為的進(jìn)行周期性的離線或在線檢驗(yàn)測(cè)試，而有些安全系統(tǒng)則帶有內(nèi)部自診斷。第二十三頁(yè)，共76頁(yè)。4SIS設(shè)計(jì)(shèjì)應(yīng)遵循的原則第二十四頁(yè)，共76頁(yè)。SIS設(shè)計(jì)(shèjì)應(yīng)遵循的原則原則上應(yīng)獨(dú)立設(shè)置（含檢測(cè)和執(zhí)行(zhíxíng)單元）；中間環(huán)節(jié)最少；應(yīng)為故障安全型；采用冗余容錯(cuò)結(jié)構(gòu)。第二十五頁(yè)，共76頁(yè)。5故障安全原則(yuánzé)第二十六頁(yè)，共76頁(yè)。故障安全原則(yuánzé)組成SIS的各環(huán)節(jié)自身出現(xiàn)故障的概率不可能為零，且供電、供氣中斷亦可能發(fā)生。當(dāng)內(nèi)部或外部原因使SIS失效時(shí)，被保護(hù)的對(duì)象（裝置）應(yīng)按預(yù)定的順序安全停車，自動(dòng)轉(zhuǎn)入安全狀態(tài)（FaulttoSafety），這就是故障安全原則。具體體現(xiàn)：現(xiàn)場(chǎng)開關(guān)儀表選用常閉接點(diǎn)，工藝正常時(shí)，觸點(diǎn)閉合，達(dá)到安全極限時(shí)觸點(diǎn)斷開，觸發(fā)聯(lián)鎖動(dòng)作，必要時(shí)采用(cǎiyòng)“二選一”、“二選二”或“三選二”配置。電磁閥采用(cǎiyòng)正常勵(lì)磁，聯(lián)鎖未動(dòng)作時(shí)，電磁閥線圈帶電，聯(lián)鎖動(dòng)作時(shí)斷電。第二十七頁(yè)，共76頁(yè)。故障安全原則(yuánzé)送往電氣配電室用以開/停電機(jī)的接點(diǎn)用中間繼電器隔離，其勵(lì)磁電路應(yīng)為故障安全型。作為控制裝置（如PLC）“故障安全”意味著當(dāng)其自身出現(xiàn)故障而不是工藝或設(shè)備超過(guò)(chāoguò)極限工作范圍時(shí)，至少應(yīng)該聯(lián)鎖動(dòng)作，以便按預(yù)定的順序安全停車（這對(duì)工藝和設(shè)備而言是安全的）；進(jìn)而應(yīng)通過(guò)硬件和軟件的冗余和容錯(cuò)技術(shù)，在過(guò)程安全時(shí)間（PST-ProcessSafetyTime）內(nèi)檢測(cè)到故障，自動(dòng)執(zhí)行糾錯(cuò)程序，排除故障。第二十八頁(yè)，共76頁(yè)。6隱故障(gùzhàng)與顯故障(gùzhàng)第二十九頁(yè)，共76頁(yè)。隱故障(gùzhàng)與顯故障(gùzhàng)隱故障（CovertFault）：不對(duì)危險(xiǎn)產(chǎn)生報(bào)警，允許危險(xiǎn)發(fā)展的故障，是故障危險(xiǎn)故障（SHB-Z06-1999）。CovertFault：Faultthatcanbeclassifiedashidden，concealed，undetected，unrevealed，latent，ect.（ISA-S84.01-1996）顯故障（OvertFault）：能顯示(xiǎnshì)出故障自身存在的故障，是故障安全故障（SHB-Z06-1999）。OvertFault：Faultthatcanbeclassifiedasannounced，detected，revealed，ect.（ISA-S84.01-1996）第三十頁(yè)，共76頁(yè)。隱故障(gùzhàng)與顯故障(gùzhàng)SIS系統(tǒng)拒動(dòng)：當(dāng)工藝條件達(dá)到或超過(guò)安全極限時(shí)，SIS本應(yīng)引導(dǎo)工藝過(guò)程停車，但由于其自身存在隱性故障（危險(xiǎn)故障），譬如輸出開關(guān)(kāiguān)被誤連短路，而不能響應(yīng)此要求，即該停車而拒停，降低了安全性。危險(xiǎn)失效定義為這樣一些失效，這些失效會(huì)阻止SIS系統(tǒng)對(duì)潛在的危險(xiǎn)工況做出反應(yīng)。第三十一頁(yè)，共76頁(yè)。隱故障(gùzhàng)與顯故障(gùzhàng)SIS系統(tǒng)誤動(dòng)：在圖4中，當(dāng)輸出開關(guān)由于某種原因處于非激勵(lì)狀態(tài)，即使?jié)撛诘奈ｋU(xiǎn)工況沒有發(fā)生，SIS也會(huì)進(jìn)入一種安全失效狀態(tài)見圖5，這種情況經(jīng)常被稱為“誤動(dòng)”。誤動(dòng)可能會(huì)以許多不同方式發(fā)生。例如(lìrú)，輸入電路可能會(huì)發(fā)生故障，從而使邏輯解算器誤認(rèn)為是傳感器檢測(cè)到了危險(xiǎn)工況，而事實(shí)上并沒有這種情況發(fā)生。邏輯解算器本身也可能出現(xiàn)運(yùn)算錯(cuò)誤，并導(dǎo)致輸出回路失電，輸出回路可能出現(xiàn)開路。SIS的許多元件失效均會(huì)導(dǎo)致系統(tǒng)進(jìn)入安全失效狀態(tài)。第三十二頁(yè)，共76頁(yè)。圖4正常運(yùn)行(yùnxíng)時(shí)的正常激勵(lì)系統(tǒng)SIS負(fù)載(fùzài)壓力(yālì)開關(guān)開關(guān)量輸入正常運(yùn)行時(shí)開關(guān)閉合，非正常運(yùn)行時(shí)開關(guān)打開+正常工作時(shí)輸出開關(guān)處在激勵(lì)狀態(tài)非正常運(yùn)行時(shí)輸出開關(guān)處在失勵(lì)狀態(tài)輸出開關(guān)+第三十三頁(yè)，共76頁(yè)。圖5SIS負(fù)載(fùzài)壓力(yālì)開關(guān)開關(guān)(kāiguān)量輸入即使壓力開關(guān)閉合，由于輸入電路的故障SIS也會(huì)誤認(rèn)為它是打開的+輸出電路發(fā)生開路故障邏輯解算器不能讀取1輸入，不能進(jìn)行正常的邏輯運(yùn)算，也不能生成邏輯1輸出輸出開關(guān)+第三十四頁(yè)，共76頁(yè)。PFS（安全故障概率）：正常激勵(lì)的SIS系統(tǒng)在它的輸出非激勵(lì)時(shí)，就會(huì)處于故障狀態(tài)，這有一個(gè)概率。稱為安全故障概率（PFS），或稱誤動(dòng)率。PFD（要求時(shí)失效(shīxiào)概率）：這是一個(gè)衡量安全性的指標(biāo)，稱為要求時(shí)失效(shīxiào)概率。它意味著系統(tǒng)是危險(xiǎn)的。它不會(huì)再要求（潛在的緊急條件）發(fā)生時(shí)產(chǎn)生響應(yīng)。SIS的功能安全安全儀表系統(tǒng)必須在工業(yè)系統(tǒng)出現(xiàn)危險(xiǎn)情況時(shí)正確執(zhí)行其對(duì)應(yīng)的安全功能，安全儀表系統(tǒng)的這種特性被稱為功能安全。功能安全實(shí)際上講的是SIS系統(tǒng)自身的安全問(wèn)題。第三十五頁(yè)，共76頁(yè)。SIS的安全(ānquán)功能如圖6示安全儀表系統(tǒng)，該系統(tǒng)由一個(gè)壓力變送器、一個(gè)閥門和一個(gè)安全PLC組成(zǔchénɡ)的SIS系統(tǒng)。壓力變送器檢測(cè)容器內(nèi)壓力并將其變換成合適的信號(hào)傳送給安全PLC，安全PLC判斷若壓力超過(guò)了額定值則打開閥門以降低容器內(nèi)壓力，這被稱為安全系統(tǒng)的一個(gè)安全功能。很明顯例子中儀表安全系統(tǒng)只有一個(gè)安全功能。如果三個(gè)設(shè)備有一個(gè)或多個(gè)失效，安全功能將失效，即它將不能對(duì)壓力容器內(nèi)壓力進(jìn)行限制。因此安全儀表系統(tǒng)的安全性能由傳感器、邏輯解算器和執(zhí)行器三部分功能決定。SIS安全功能實(shí)際上講的是讓SIS執(zhí)行什么樣的安全任務(wù)，如何保護(hù)受控設(shè)備。第三十六頁(yè)，共76頁(yè)。圖6反應(yīng)器的安全儀表(yíbiǎo)系統(tǒng)

PSLogicsolve邏輯(luójí)解算器feedvalve進(jìn)料閥Reactor反應(yīng)器TSFeed進(jìn)料PressureSensor壓力(yālì)變送器TemperatureSensor溫度變送器當(dāng)反應(yīng)器溫度及壓力超高達(dá)到危險(xiǎn)狀態(tài)時(shí)都要停車，關(guān)斷進(jìn)料閥。

第三十七頁(yè)，共76頁(yè)。7安全性及響應(yīng)(xiǎngyìng)失效率第三十八頁(yè)，共76頁(yè)。安全性及響應(yīng)(xiǎngyìng)失效率當(dāng)工藝條件達(dá)到或超過(guò)安全極限值時(shí)，SIS本應(yīng)引導(dǎo)工藝過(guò)程停車，但由于其自身存在隱故障（危險(xiǎn)故障）而不能響應(yīng)此要求，即該停車而拒停，降低了安全性。衡量安全性的指標(biāo)為響應(yīng)失效率或稱要求的故障率（PFD：ProbabilityofFailureonDemand）。它是安全聯(lián)鎖系統(tǒng)按要求執(zhí)行(zhíxíng)指定功能的故障概率。是度量安全聯(lián)鎖系統(tǒng)按要求模式工作故障率的目標(biāo)值（SHB-Z06-1999）。不同的工業(yè)過(guò)程（如生產(chǎn)規(guī)模、原料和產(chǎn)品的種類、工藝和設(shè)備的復(fù)雜程度等）對(duì)安全的要求是不同的。上述的國(guó)際標(biāo)準(zhǔn)將其劃分為若干安全完整性等級(jí)（SIL：SafetyIntegrityLevel）。第三十九頁(yè)，共76頁(yè)。安全(ānquán)完整性等級(jí)SafetyIntegrityLevel（SIL）安全完整性等級(jí)（SIL）是一種離散的等級(jí)，用來(lái)規(guī)定分配給E/E/PE安全相關(guān)系統(tǒng)安全功能的安全完整性要求。安全完整性等級(jí)可分為4個(gè)等級(jí)，SIL4是安全完整性最高的等級(jí)（平均概率最高），SIL1是最低等級(jí)；安全完整性等級(jí)越高，應(yīng)執(zhí)行所要求的安全功能的概率也越高；根據(jù)安全相關(guān)系統(tǒng)使用方式，要求發(fā)生的頻率可分為低要求操作模式(móshì)（<=1次/年）和高要求或連續(xù)操作模式(móshì)（>1次/年）。第四十頁(yè)，共76頁(yè)。安全(ānquán)完整性等級(jí)SafetyIntegrityLevel（SIL）根據(jù)GB/T20438標(biāo)準(zhǔn)，在不同的操作(cāozuò)模式下，安全完整性的目標(biāo)失效概率和目標(biāo)風(fēng)險(xiǎn)降低見下表1-1和1-2。采用不同的操作(cāozuò)模式結(jié)構(gòu)有可能使用幾個(gè)安全完整性等級(jí)較低的系統(tǒng)來(lái)滿足一個(gè)較高安全完整性等級(jí)功能的需要（例如：使用一個(gè)SIL2和一個(gè)SIL1的系統(tǒng)共同來(lái)滿足一個(gè)SIL3功能的需要）。第四十一頁(yè)，共76頁(yè)。表1-1安全完整性等級(jí)：要求時(shí)的失效(shīxiào)概率低要求操作模式（平均失效概率）安全完整性等級(jí)（SIL）要求時(shí)的目標(biāo)平均失效概率目標(biāo)風(fēng)險(xiǎn)降低4≥10-5～<10-4

>10000～≤1000003≥10-4～<10-3

>1000～≤100002≥10-3～<10-2>100～≤10001≥10-2～<10-1>10～≤100第四十二頁(yè)，共76頁(yè)。表1-2安全完整性等級(jí)：SIF的危險(xiǎn)失效(shīxiào)概率高要求或連續(xù)操作模式（每小時(shí)危險(xiǎn)失效概率）安全完整性等級(jí)（SIL）執(zhí)行儀表安全功能的目標(biāo)危險(xiǎn)失效概率4≥10-9～<10-8

3≥10-8～<10-7

2≥10-7～<10-6

1≥10-6～<10-5第四十三頁(yè)，共76頁(yè)。表1-3SIL與PFD的對(duì)應(yīng)(duìyìng)關(guān)系ISA-S84.01IEC61508DINV19520(TUV)PFDSIL1SIL1AK110-1~10-2AK2AK3SIL2SIL2AK410-2~10-3SIL3SIL3AK510-3~10-4AK6SIL4AK710-4~10-5AK8第四十四頁(yè)，共76頁(yè)。8可用性及可用度第四十五頁(yè)，共76頁(yè)?？捎眯约翱捎枚裙に?gōngyì)條件并未達(dá)到安全極限值，SIS不應(yīng)引導(dǎo)工藝(gōngyì)過(guò)程停車，但由于其自身存在顯故障（安全故障）而導(dǎo)致工藝(gōngyì)過(guò)程停車，即不該停車而誤停，降低了可用性。可用度（A：Availability）是指系統(tǒng)可使用工作時(shí)間的概率，用百分?jǐn)?shù)計(jì)算：（SHB-Z06-1999）MTBF：平均故障(gùzhàng)間隔時(shí)間（MeanTimeBetweenFailures）MDT：平均停車時(shí)間（MeanDowntime）第四十六頁(yè)，共76頁(yè)。MTTF、MTTR、MTBF與SIL的關(guān)系(guānxì)MTBF：平均故障間隔時(shí)間（MeanTimeBetweenFailure）MTTR：平均恢復(fù)(huīfù)時(shí)間（MeanTimetoRepair）MTTF：平均無(wú)故障時(shí)間（MeanTimetoFailure）例如：開車(kāichē)MTTF（SIS系統(tǒng)運(yùn)行總時(shí)間）MTTR24h（SIS故障時(shí)間）MTBF2000h發(fā)生危險(xiǎn)故障圖7MTTF、MTTR和MTBF

第四十七頁(yè)，共76頁(yè)。MTTF、MTTR、MTBF與SIL的關(guān)系(guānxì)MTTF=MTTR+MTBFPFD=MTTR/（MTBF+MTTR）已知MTTR=24HMTBF=2000H則PFD=24/(24+2000)=0.0119所以硬件安全完整性等級(jí)達(dá)到(dádào)SIL1水平。第四十八頁(yè)，共76頁(yè)。9冗余(rǒnɡyú)和容錯(cuò)第四十九頁(yè)，共76頁(yè)。冗余(rǒnɡyú)和容錯(cuò)冗余（Redundant）：具有指定的獨(dú)立的N：1重元件，并且可以自動(dòng)地檢測(cè)故障，切換到后備設(shè)備上。（SHB–Z06–1999）冗余系統(tǒng)（RedundantSystem）：并行地使用多個(gè)(duōɡè)系統(tǒng)部件，以提供錯(cuò)誤檢測(cè)和錯(cuò)誤校正能力的系統(tǒng)。（SHB–Z06–1999）。第五十頁(yè)，共76頁(yè)。冗余(rǒnɡyú)和容錯(cuò)容錯(cuò)（FaultTolerant）：具有內(nèi)部冗余的并行元件和集成邏輯，當(dāng)硬件或軟件部分故障時(shí)，能夠識(shí)別故障并使故障旁路，進(jìn)而繼續(xù)(jìxù)執(zhí)行指定的功能。或在硬件和軟件發(fā)生故障的情況下，系統(tǒng)仍具有繼續(xù)(jìxù)運(yùn)行的能力。它往往包括三方面的功能：第一是約束故障，即限制過(guò)程或進(jìn)程的動(dòng)作，以防止在錯(cuò)誤被檢測(cè)出來(lái)之前繼續(xù)(jìxù)擴(kuò)大；第二是檢測(cè)故障，即對(duì)信息和過(guò)程或進(jìn)程的動(dòng)作進(jìn)行動(dòng)態(tài)檢測(cè)；第三是故障恢復(fù)即更換或修正失效的部件。（SHB–Z06–1999）第五十一頁(yè)，共76頁(yè)。冗余(rǒnɡyú)和容錯(cuò)容錯(cuò)系統(tǒng)（FaultTolerantSystem）：具有容錯(cuò)結(jié)構(gòu)的硬件與軟件系統(tǒng)。（SHB–Z06–1999）總之，通過(guò)(tōngguò)冗余和故障屏蔽的結(jié)合來(lái)實(shí)現(xiàn)容錯(cuò)。容錯(cuò)系統(tǒng)一定是冗余系統(tǒng)，冗余系統(tǒng)不一定是容錯(cuò)系統(tǒng)。容錯(cuò)系統(tǒng)的冗余形式有雙重、三重、四重等。圖8和圖9、圖10分別表示CPU冗余（雙機(jī)熱備）和三重化冗余容錯(cuò)系統(tǒng)。第五十二頁(yè)，共76頁(yè)。圖8CPU冗余(rǒnɡyú)（雙機(jī)熱備）CPU1CPU2開關(guān)輸入/輸出現(xiàn)場(chǎng)(xiànchǎng)設(shè)備第五十三頁(yè)，共76頁(yè)。圖9三重模塊冗余容錯(cuò)(rónɡcuò)系統(tǒng)輸入輸入輸入CPUCCPUB輸出輸出2oo3表決器輸出CPUA輸入端子輸出端子第五十四頁(yè)，共76頁(yè)。圖10三重信號(hào)冗余(rǒnɡyú)容錯(cuò)系統(tǒng)第五十五頁(yè)，共76頁(yè)。怎樣通過(guò)冗余來(lái)改善系統(tǒng)的整體(zhěngtǐ)SIL水平當(dāng)一個(gè)(yīɡè)SIS系統(tǒng)的安全完整性等級(jí)要求為SIL3，而實(shí)際配置為傳感器為2.2×10-3(SIL2)，邏輯解算器為1.3×10-4(SIL3)（包括I/O接口），終端執(zhí)行器為2.41×10-3（SIL2）,所以整個(gè)系統(tǒng)為SIL2不滿足要求。于是我們改變傳感器的配置結(jié)構(gòu)，選擇1oo2冗余，其中共因失效=10%，診斷覆蓋率（DC）=90%，可以算出1oo2傳感器的結(jié)構(gòu)的PFD=2.3×10-4，達(dá)到SIL3的水平，同理可以配置執(zhí)行器為1oo2冗余結(jié)構(gòu)，也可達(dá)到SIL3的要求，于是最終整體SIS系統(tǒng)的SIL可以達(dá)到SIL3的要求。第五十六頁(yè)，共76頁(yè)。怎樣(zěnyàng)通過(guò)冗余來(lái)改善系統(tǒng)的整體SIL水平這個(gè)問(wèn)題的解決給我們以啟示，當(dāng)裝置引進(jìn)(yǐnjìn)一個(gè)SIS系統(tǒng)時(shí)，整體安全完整性等級(jí)不僅取決于邏輯解算器部分，而且傳感器、終端執(zhí)行器部分也非常關(guān)鍵。配置系統(tǒng)時(shí)，除了引進(jìn)(yǐnjìn)一個(gè)SIL3的安全儀表系統(tǒng)，譬如FSC等，還要將傳感器、終端執(zhí)行器一并討論。算出SIS整體的SIL數(shù)據(jù)，定量的安全儀表系統(tǒng)配置任務(wù)才算完成。第五十七頁(yè)，共76頁(yè)。冗余表決(biǎojué)方法及其安全性、可用性的關(guān)系可用性（A：Availability）是指系統(tǒng)可使用工作時(shí)間（連續(xù)運(yùn)行時(shí)間）的概率(gàilǜ)，用百分?jǐn)?shù)計(jì)算A值越大，可用性越好：A=MTBF/(MTBF+MTTR)而PFD=MTTR/(MTBF+MTTR)PFD越小則安全性越好。冗余邏輯表決方法及安全性-可用性的關(guān)系例子如下表所示。第五十八頁(yè)，共76頁(yè)。表決方法隱故障概率（拒動(dòng)）顯故障概率（誤動(dòng)）允許不允許安全性可用性一選一1oo10.02（短路的概率）0.04（開路的概率）存在隱故障和顯故障差差二選一1oo20.0004（兩個(gè)均短路的概率）0.08（只要有一個(gè)開路的概率）其中之一存在隱故障（仍可安全停車）其中之一存在顯故障（將誤停車）最好最差二選二2oo20.04（只要有一個(gè)短路的概率）0.0016（兩個(gè)均開路的概率）其中之一存在顯故障（不會(huì)誤停車）其中之一存在隱故障（該停拒停）最差最好三選二2oo30.0012（三個(gè)中兩個(gè)均短路的概率）0.0048（三個(gè)中兩個(gè)均開路的概率）其中之一存在隱故障或顯故障其中兩個(gè)存在隱故障或顯故障較好較好表2冗余邏輯(luójí)的表決方法及其與安全性、可用性的關(guān)系注：此表中故障概率(gàilǜ)數(shù)據(jù)摘自西門子公司資料第五十九頁(yè)，共76頁(yè)。冗余表決(biǎojué)方法及其安全性、可用性的關(guān)系以上可見：隱故障（危險(xiǎn)故障）使SIS該動(dòng)而拒動(dòng)，隱故障概率越高，安全性越差。顯故障（安全故障）使ESD不該(bùɡāi)動(dòng)而誤動(dòng)，顯故障概率越高，可用性越差。1oo2（二選一）安全性最好，但可用性最差；2oo2（二選二）可用性最好，但安全性最差；2oo3（三選二）可兼顧第六十頁(yè)，共76頁(yè)。10普通PLC和安全(ānquán)PLC的區(qū)別第六十一頁(yè)，共76頁(yè)。普通PLC和安全(ānquán)PLC的區(qū)別普通PLC和可以作為ESD控制部分的安全PLC的主要區(qū)別是：普通PLC不是按故障安全型設(shè)計(jì)的，當(dāng)系統(tǒng)內(nèi)部元件(yuánjiàn)出現(xiàn)短路故障時(shí)，它并不能檢測(cè)到，因此其輸出狀態(tài)不能保證系統(tǒng)回到預(yù)定的安全狀態(tài)。這種PLC只能用于安全度等級(jí)要求低的場(chǎng)合。現(xiàn)以輸出電路為例予以說(shuō)明。圖11是普通PLCDO卡示意圖。第六十二頁(yè)，共76頁(yè)。圖11普通(pǔtōng)PLCDO卡示意圖+24VDC來(lái)自CPU的控制信號(hào)接負(fù)載，如電磁閥0VDC12第六十三頁(yè)，共76頁(yè)。普通(pǔtōng)PLCDO卡當(dāng)1、2兩點(diǎn)短路時(shí)，來(lái)自PLC的控制信號(hào)將不起作用（失效），電磁閥將一直處于帶電（勵(lì)磁）狀態(tài)(zhuàngtài)，即需要聯(lián)鎖動(dòng)作（電磁閥釋電停車）時(shí)，由于此故障的存在而拒動(dòng)，其輸出不能保證處于安全停車狀態(tài)(zhuàngtài)。這就是違背了故障安全（FaulttoSafety）的原則。當(dāng)1、2兩點(diǎn)開路時(shí)，將導(dǎo)致誤動(dòng)作而停車，同樣會(huì)帶來(lái)?yè)p失。可見，這種普通PLC的DO卡輸出電路的安全性和可用性都是不高的。第六十四頁(yè)，共76頁(yè)。圖12安全性單容錯(cuò)(rónɡcuò)DO卡示意圖“與”看門狗中央處理器+24VDC狀態(tài)信號(hào)控制信號(hào)狀態(tài)信號(hào)接負(fù)載，如電磁閥0VDC第六十五頁(yè)，共76頁(yè)。安全性單容錯(cuò)(rónɡcuò)DO卡圖12所示為一種帶有安全性單容錯(cuò)的DO卡示意圖（它是HoneywellSMSFSC-101型輸出示意圖）。這里(zhèlǐ)，中央處理器不僅向串聯(lián)的場(chǎng)效應(yīng)管（FET）發(fā)出控制信號(hào)，而且還接受來(lái)自場(chǎng)效應(yīng)管的狀態(tài)反饋信號(hào)，以便對(duì)其輸出進(jìn)行全面測(cè)試。當(dāng)測(cè)得某管輸出發(fā)生短路時(shí)，中央處理器即啟動(dòng)糾錯(cuò)動(dòng)作，隔離相關(guān)的故障?？撮T狗（WatchDog）是個(gè)多通道的計(jì)時(shí)器電路。它由中央處理器和內(nèi)存等周期性地觸發(fā)，如果兩個(gè)觸發(fā)之間的時(shí)間小于某設(shè)定值或者大于某最大值，則看門狗的輸出將失效。同時(shí)看門狗還能監(jiān)視內(nèi)部工作電壓，使之在正常的電壓范圍內(nèi)。第六十六頁(yè)，共76頁(yè)。普通(pǔtōng)PLC和安全PLC的區(qū)別以上僅是DO卡上的差別。作為安全PLC，至少應(yīng)具備以下幾點(diǎn)：滿足相關(guān)安全標(biāo)準(zhǔn)規(guī)范要求，且經(jīng)過(guò)權(quán)威機(jī)構(gòu)認(rèn)證，取得了相應(yīng)安全等級(jí)證書；在硬件和軟件上采用冗余、容錯(cuò)措施，具有完善的測(cè)試手段，當(dāng)檢測(cè)到系統(tǒng)故障，特別是危險(xiǎn)故障時(shí)能使系統(tǒng)回到安全狀態(tài)；能進(jìn)行系統(tǒng)故障報(bào)警(bàojǐng)，指示故障原因、故障位置，便于在線維護(hù)；能與DCS或其它設(shè)備進(jìn)行通訊。第六十七頁(yè)，共76頁(yè)。11工藝過(guò)程風(fēng)險(xiǎn)的評(píng)估(pínɡɡū)及安全度等級(jí)的評(píng)定第六十八頁(yè)，共76頁(yè)。工藝過(guò)程風(fēng)險(xiǎn)(fēngxiǎn)的評(píng)估及安全度等級(jí)的評(píng)定不同的工藝過(guò)程（生產(chǎn)規(guī)模、原料和產(chǎn)品的種類、工藝和設(shè)備的復(fù)雜程度等）對(duì)安全的要求是不同的。一個(gè)具體的工藝過(guò)程，是否需要配置SIS、配置何種等級(jí)的SIS，要進(jìn)行危險(xiǎn)及可操作性分析（HAZOP），然后辨識(shí)與此分析相應(yīng)的安全儀表功能（找到一個(gè)安全儀表連鎖回路），再根據(jù)風(fēng)險(xiǎn)出現(xiàn)的頻率(pínlǜ)和其產(chǎn)生的嚴(yán)重后果，找到一個(gè)SIL值，在確定了某個(gè)安全儀表功能的完整性等級(jí)（SIL）之后，再配置與之相適應(yīng)的SIS。表1-3可以看出，若某工藝過(guò)程經(jīng)評(píng)定后為SIL2，則配置達(dá)到AK4的SIS即可，其響應(yīng)失效率（PFD）為百分之一至千分之一之間。第六十九頁(yè)，共76頁(yè)。工藝過(guò)程風(fēng)險(xiǎn)的評(píng)估及安全(ānquán)度等級(jí)的評(píng)定應(yīng)該注意的是不同安全級(jí)別的SIS，只能確保響應(yīng)失效率（PFD）在一定的范圍內(nèi)，安全級(jí)別越高的SIS，其PFD越小，即發(fā)生事故的可能性越小，但它不能改變事故造成的后果。因此，工藝過(guò)程安全完整性等級(jí)的評(píng)定是一項(xiàng)十分重要的工作。但目前我國(guó)尚無(wú)如何評(píng)定安全完整性等級(jí)的標(biāo)準(zhǔn)和規(guī)范。國(guó)際、國(guó)外標(biāo)準(zhǔn)中提供