安全仪表系统

《安全仪表系统》由会员分享，可在线阅读，更多相关《安全仪表系统（43页珍藏版）》请在装配图网上搜索。

1、目录第一章 1.1安全仪表系统（SIS）21.2 SIS设计应遵循的原则181.3 一般PLC和安全PLC的区别301.4 工艺过程风险的评估和安全完整性级别的评估331.5 SIS的有关原则及认证361.6 获得认证的SIS产品381.7 逻辑运算的基本公式42第八章 流体输送机组的控制43第九章 控制仪表与控制系统故障分析及解决70中国石油和化工自动化应用协会王立奉10月1 安全仪表系统（SIS）1.1安全仪表系统（SIS）的定义及有关概念1.1.1 SIS定义1.1.2 IEC61508/IEC61511原则的奉献1.1.3安全功能1.1.4功能安全1.1.5安全仪表功能（SIF）1.1

2、.6安全完整性（SI）及安全完整性级别（SIL）1.1.7安全生命周期与功能安全管理1.1.8 SIF子系统的构造约束1.2.SIS设计应遵循的原则1.2.1 DCS与由PES构成的SIS的重要区别1.2.2 SIS设计应遵循的原则1.2.3 SIS的可用性及可用度1.2.4冗余容错1.2.5如何通过冗余来改善系统的整体SIL水平1.2.6冗余逻辑表决措施及其安全性、可用性的关系1.3.一般PLC和安全PLC的区别1.4.工艺过程风险评估及安全完整性级别（SIL）的评估1.5.SIS的有关原则及评证1.5.1 SIS的有关原则1.5.2 SIL评证1.6.获得认证的SIS产品1.7.逻辑运算的

3、基本公式 1安全仪表系统（SIS）的定义及有关概念1.1 SIS的定义大多石油和化工生产过程具有高温、高压、易燃、易爆、有毒等危险。当某些工艺参数超过安全极限，未及时解决或解决不当时，便有也许导致人员伤亡、设备损坏、周边环境污染等恶性事故。这就是说，从安全的角度出发，石油和化工生产过程自身存在着固有的风险。 SIS是一种经专门机构认证，具有一定安全完整性级别，用于减少过程风险，使风险达到可接受水平（容许风险）的安全保护系统。它不仅能响应生产过程因超过安全极限而带来的风险，并且能检测和解决自身的故障，从而按预定的条件或程序使生产过程处在安全状态，以保证人员，设备及工厂周边环境的安全。 SIS的定

4、义如图1-1所示图1-1 SIS的定义SIS由检测单元（如各类开关、变送器等）、控制单元和执行单元（如电磁阀、电动门等）构成，其核心部分是控制单元。从SIS的发展过程看，其控制单元部分经历了电气继电器（Electrical）、电子固态电路（Electronic）和可编程电子系统（Programmable Electronic System），即E/E/PES三个阶段。 图1-1为由PES构成的SIS系统。 国际电工委员会IEC61508原则中，SIS被称为安全有关系统（Safety Related System），将被控对象称为被控设备（EUC）。 IEC61511将SIS定义为用于执行一种或

5、多种安全仪表功能（Safety Instrumented Function，SIF）的仪表系统。SIS是由传感器，逻辑控制器，以及最后元件组合而成。 IEC61511又进一步指出，SIS可以涉及、也可以不涉及软件。此外，当操作人员的手动操作被视为SIS的有机构成部分时，必须在安全规定规格书（Safety Requirement Specification，SRS）中对人员操作动作的有效性和可靠性做出明确规定，并涉及在SIS的绩效计算中。 SIS发展的三个阶段 继电器线路：可靠性很高，成本低，但是灵活性差，扩大系统、增长功能不易. 固态电路：模块化构造，构造紧凑，可在线检测。易辨认故障，元件互换

6、容易，可冗余配备。可靠性不如继电器型，操作费用高，灵活性不够好。 安全PLC：以微解决器为基本，有专用软件和编程语言，编程灵活，具有强大的自测试、自诊断功能，冗余配备，容错技术，可靠性可做的很高。SIS的进一步发展浮现了故障安全控制系统；专用的紧急停车系统模块化设计，完善的自检功能，系统的硬件、软件都获得相应级别的安全原则证书，配备有专用的程序事故记录仪，非常安全可靠，但价格也很高。1.2 IEC61508/IEC61511原则的奉献IEC61508/IEC61511原则的发布，一方面将仪表系统的多种特定的应用，例如ESD、F&G、ITCC、BMS、HIPPS、ATP，都统一到SIS的概念下；

7、另一方面，提出了以SIL为指针，基于绩效（Performance Based）的可靠性评估原则；再者，以安全生命周期（Safety Lifecycle）的架构，规定了各阶段的技术活动和功能安全管理活动。这样，SIS的应用形成了一套完整的体系，涉及：设计理念和设计措施、仪表设备选型准入原则（基于经验使用和IEC61508符合性认证）、系统硬件配备和软件组态编程规则、系统集成、安装和调试、运营和维护，以及功能安全评估和审计等。 大体上，安全仪表系统的应用和发展，环绕着两大主题安全功能（Safety Function）和功能安全（Functional Safety）。IEC61508/IEC6151

8、1为实现安全仪表系统的功能安全，建立了两大体系技术体系和功能安全管理体系。1.3“安全功能”IEC61508将“安全功能”定义为：为了应对特定的危险事件（如劫难性的可燃性气体释放），由电气、电子、可编程电子安全有关系统，其她技术安全有关系统，或外部风险减少措施实行的功能，盼望达到或保持被控设备（Equipment Under Control，EUC）处在安全状态。上述定义表白：安全功能的执行，并不局限于电气或电子安全仪表系统，还涉及其她技术（如气动、液动、机械等技术）及外部风险减少措施（如储罐的外部防护堤堰）。因此，研究安全功能要综合考虑多种技术或措施的共同影响：安全功能是着眼于应对特定的危险

9、事件，也就是说，安全功能有其针对性。可见，安全功能是泛指多种风险减少措施执行的功能，SIF是由SIS执行的安全功能。1.4“功能安全” IEC61508将功能安全定义为：与EUC和EUC控制系统有关的、整体安全的一部分，取决于电气、电子、可编程电子安全有关系统，其她技术安全有关系统和外部风险减少措施机制的对的施行。 IEC61511将功能安全定义为：与工艺过程和BPCS有关的、成天安全的一部分，取决于SIS（安全仪表系统）和其她保护层机能的对的施行。 就安全仪表系统而言，功能安全探讨的是系统自身的绩效问题，即SIS在实现其安全功能时，可以减少风险的能力。因此，功能安全成为SIS设计和运营管理的

10、核心问题之一。1.5安全仪表功能（SIF） SIF，即由SIS执行的安全功能，物理构造上由传感器、逻辑控制器，以及最后执行元件构成，如图1-2所示。 但是SIF的最基本特性是“应对特定的危险事件”并实现必要的风险减少。图1-2 SIF示例SIF是在过程危险分析及风险评估中辨识出来的，并根据必要的风险减少规定，拟定其SIL规定。因此，SIF是进行SIL评估的基本。图1-3表达一种SIF的实例。在这个SIF中，操作人员的手动动作也可以成为SIF的一部分。在这种状况下，评估SIF的风险投资减少绩效水平，要将人工的失效概率考虑在内。图1-3 涉及操作员手动动作的SIFPAH压力高报警；HS手动开关（或

11、按钮）在IEC61508/IEC61511原则中，不再使用“联锁一词”，而改用“E/F/PE安全功能”或者“安全仪表功能”。 “安全连锁”与“安全仪表功能”有大体相似的含义，但是“安全仪表功能有更明确的界定”：由SIS实现的安全功能。用于特定危险事件的风险减少。有明确的绩效或安全完整性（SIL）规定。需要注意的是，SIF在物理上由传感器、逻辑控制器，以及最后执行元件构成，为什么采用“安全仪表功能”这一相对抽象的名称呢？这是由于在危险和风险分析以及安全保护层分派阶段，安全是从工艺过程的风险减少规定角度，辨识并拟定需要的安全功能规定和它绩效规定（安全完整性规定），此时还没有到SIS设备选型阶段，也

12、就是说，关注的是“规定”，而非如何实现这一“规定”。1.6安全完整性（SI）及安全完整性级别（SIL） 1.6.1安全完整性（SI）SIS执行安全功能时的绩效或也许达到的功能安全水平，采用安全完整性（Safety Integrity）来表征。安全完整性定义为：在规定的状态和时间周期内，SIS圆满完毕所规定的安全功能的概率。安全完整性涉及硬件安全完整性（Hardware Safety Integrity），软件安全完整性（software Safety Integrity），以及系统安全完整性（Systematic Safety Integrity）。硬件安全完整性用于表征在危险失效模式（Dan

13、gerous Failure Mode）下，随机硬件失效（Random Hardware Failure）的也许性。随机硬件失效是指系统在正常使用状态下，在某个时间点，一种或多种元件随机浮现故障（Fault），根据硬件内也许的降级机制（Degradation Mechanism），导致发生某种功能的失效。通过对系统的失效模式及其影响进行分析（Failure Modes and Effects Analysis，FMEA），借助于有效的失效率数据，可以对硬件的安全完整性进行评估计算，并且可以精确到合理的水平。此外，可以通过采用冗余构造（Redundant Architectures）设计等措施，

14、有效提高硬件的安全完整性。软件安全完整性用于表征可编程电子系统中的软件，在规定的状态和时间周期内，实现其安全功能的也许性。系统性安全完整性用于表征在危险失效模式下系统性失效。导致系统性失效发生的典型因素涉及：系统设计错误或缺陷，不当的安装、调试，不当的操作，缺少维护管理，以及软件设计漏洞和组态缺陷等。系统性失效在很大限度上都是人为失误导致的，要精确地计算评估其失效率非常困难，因此，IEC61508/IEC61511都强调在安全生命周期的架构下，通过有效的功能安全管理，来提高系统性安全完整性。1.6.2安全完整性级别（SIL） 1.6.2.1隐故障与显故障隐故障（Covert Fault）：不对

15、危险产生报警，容许危险发展的故障，是故障危险故障（SHB-Z06-1999）。Covert Fault：Fault that can be classified as hidden，concealed，undetected，unrevealed，latent，ect.（ISA-S84-1996） 显故障（Overt Fault）：能显示出故障自身存在的故障，是故障安全故障（SHB-Z06-1999）。Overt Fault：Fault that can be classified as announced,detected,revealed,ect.( ISA-S84-1996)1.6.2.2

16、安全性及响应失效率当工艺条件达到或超过安全极限值时，SIS本应引导工艺过程停车，但由于其自身存在隐故障（危险故障）而不能响应此规定，即该停车而拒停，减少了安全性。衡量安全性的指标为响应失效率或称规定期故障率（PFD：Probability of Failure on Demand）。它是SIS系统按规定执行指定功能的故障概率。是度量SIS系统按规定模式工作故障率的目的值（SHB-Z06-1999）不同的工业过程（如生产规模、原料和产品种类、工艺和设备的复杂限度等）对安全的规定是不同的。IEC61511原则将其划分为若干安全完整性级别（SIL：Safety Integrity Level）。 S

17、IL和PFD的相应关系见表1-2。表1-2 SIL和PLD的相应关系ISA-S84.01IEC 61508DIN V19520（TUV）PFDSIL1SIL1AK110-110-2AK2AK3SIL2SIL2AK410-210-3SIL3SIL3AK510-310-4AK6SIL4AK710-410-5AK81.6.2.3 SIL安全完整性级别SIL安全完整性反映了SIS执行SIF时，在规定的状态和时间周期内，圆满完毕SIF的绩效能力和可靠性水平。在ANSI/ISA-84.01-1996中，将安全完整性级别（SIL）定义为SIL1到SIL3共三个级别，其中SIL3最高，SIL1最低。IEC61

18、508将SIL定义为四个级别，即SIL1到SIL4。IEC51511作为IEC61508在过程工业领域的分支原则，保持了SIL1到SIL4的四个级别划分，但是，除了极罕见的特殊应用，在过程工业一般的应用场合，SIL3是其最高档。在工程实践中，当过程危险和风险分析确认需要SIL3以上的安全完整性时，一般是将应对同一危险事件的其她技术安全系统或外部风险减少的绩效提高，从而将对SIF的SIL规定减少到SIL3或如下。IEC61508/IEC61511根据不同的操作模式，用不同的技术指标划分SIL级别。IEC61511将安全仪表功能的操作模式划分为：“规定操作模式”（Demand Mode of Op

19、eration）和“持续操作模式”（Continuous Mode of Operation）。安全完整性级别对规定操作模式下的失效概率规定见表1-1。表1-1 安全完整性级别对规定操作模式下的失效概率规定规定操作模式安全完整性级别（SIL）规定期平均失效概率（PFDavg）目的风险减少410-5到10-410，000到100，000310-4到10-31000到10,000210-3到10-2100到1000110-2到10-110到1001.7 安全生命周期与功能安全管理安全生命周期如图1-4所示：图1-4 SIS安全生命周期（IEC61511）功能安全原则ANSI/ISA-84.01-1

20、996、IEC61508及IEC61511,都是以安全生命周期（Safety Lifecycle，SLC）为架构的。SLC为SIS工程从概念、设计、实行、操作、维护及系统改善等实践活动，提供了全程的行动指南，从而保证功能安全，实现过程风险减少的目的规定。采用SLC架构，一方面明确了参与SIS工程的所有组织和人员的责任；另一方面，便于将功能安全管理的规定纳入到各个阶段。IEC61511将SLC定义为：从SIS工程项目的概念阶段开始，到所有的安全仪表功能使命终结不再使用，在其所有时间周期内，为执行安全仪表功能所有波及到的必要活动。 IEC61511的SIS SLC阶段和功能安全评估节点如图1-4所

21、示。SIS的整个安全生命周期可分为分析、工程实行，以及操作维护三个大的阶段。1.7.1分析阶段，要辨识工艺过程的潜在危险，并对其她后果和也许性进行分析，以便拟定过程风险及必要的风险减少规定。分析阶段的主体是最后顾客、专利商、设计院，甚至还涉及过程危险分析（PHA）专业征询机构。1.7.2工程实行阶段的主体是设计院，SIS供货商、安装公司和最后顾客。SIS的供货商要根据SRS的规定提供SIS系统。完毕完全逻辑控制器（Logic Solver）的硬件配备、软件组态以及系统集成；完毕操作和维护人员的培训；完毕SIS的安装和现场调试，以及SIS的安全验证（Safety Validation）。1.7.

22、3操作运营阶段在整个安全生命周期中时间区间最长，涉及操作和维护、修改（变更改造），和SIS的停用。操作运营阶段的主体是最后顾客。功能安全管理贯穿于整个SLC。功能安全管理是过程安全管理（Process Safety Management，PSM）的一部分，也应纳入SIS工程项目管理和质量保证体系中。功能安全管理波及SLC各阶段有关组织和人员的责任、人员的能力、活动的筹划与控制、文档管理等方面。典型的功能安全管理活动涉及：确认（Verification）、验证（Validation）、功能安全评估（Functional Safety Assessment）及审计（Audit）。1.8 SIF子系

23、统的构造约束所谓构造约束，实质上是指SIS子系统或设备的容错（Fault Tolerance）能力对所能达到的SIL水平的限制。也就是说SIF要达到一定的安全完整性效能SIL规定，也就必须在构造上达到一定的硬件故障裕度（Hardware Fault Tolerance HFT），要满足一定的硬件容错能力，如需冗余等等。SIL石油传感器、逻辑控制器，以及最后执行元件构成的 ，其SIL级别除了应符合（PFDavg）计算值外，它所能达到的最大硬件安全完整性级别，受限于这些子系统（传感器、逻辑控制器、以及最后元件）相应的最低硬件故障裕度（Hardware Fault Tolerance，HFT）规定。

24、也就是说，不管其声称的可靠性多高，从硬件构造上限制了所能达到的SIL，这就是IEC61508中提出的构造约束（Architectural Constraints）。子系统的硬件故障裕度为N，表达当该子系统存在N+1个故障时，将会导致其安全功能的丧失。在拟定硬件故障裕度时，并不考虑与否有控制该故障影响的其她措施，例如诊断（但是，诊断能力影响安全失效分数）。此外，当另一种故障直接导致一种或多种后续故障时，这些后果要视为是同一种单一故障。2 SIS设计应遵循的原则2.1 DCS与由PES构成的SIS的重要区别DCSESD构成不含检测、执行含检测、执行单元作用（功能）使生产过程在正常工况乃至最佳工况下

25、运营超限安全停车工件动态、持续静态、间断安全级别低、不需认证高、需认证安全仪表系统（SIS）与DCS系统的区别表目前：DCS系统的平均无端障时间（MTBF）已经足够强大，故障的平均修复时间（MTTR）已足够小。应当说，DCS系统已具有了很高的系统可用性，控制、联锁一体化是也许的。硬件的部件层层冗余配备，系统的可靠性有了很大提高。但要注意的是DCS软件的可靠性，软件故障难以预测，其危害性 超过硬件故障。DCS可以执行联锁功能，问题是如何来满足生产装置的高安全规定。DCS系统重要用来进行持续控制，它随时都会有大量的信息。要分析解决及频繁地进行人工干预，这样逻辑控制单元误触发的概率较大。而ESD系统

26、则是一种静态系统，浮现异常事件才会动作。DCS系统解决信息多，通信系统复杂，浮现通信系统故障的也许性较大。SIS系统动作执行规定迅速，DCS系统执行相对较慢。因此，国际上有些协会对重要的、安全性规定高的装置则规定单独设立ESD系统。重要场合指的是：也许危及生命安全；也许引起设备重大破坏；也许引起环境明显污染；也许导致重大经济损失。对于一般性的非安全有关的工艺过程联锁程序，为了节省费用，可以在DCS系统内实行。对安全保护有高规定的联锁停车安全控制系统则应独立设立。目前有不少厂商推出了专用的故障安全控制系统，这些系统特点如下。 故障发生后，有足够时间进行故障检测，发出警报，排除故障。 采用容错技术

27、，将被动故障转为积极故障。 采用冗余配备，实行故障隔离。 模块化设计。 完善的自检功能。 系统硬、软件具有相应的安全级别认证。 配备事故记录仪。 故障安全型设计。 能与DCS系统通信。2.2 SIS设计应遵循的原则2.2.1 独立设立原则： 逻辑单元独立设立； 现场检测单元独立设立； 执行元件独立设立（专用的紧急切断阀，不用调节切断阀来替代）。2.2.2 中间环节至少原则。2.2.3 核心单元采用冗余容错构造构造配备原则： 检测元件的二取二方式或三取二方式设立； 逻辑单元如安全PLC的CPU、过程输入/输出单元； 供电、通信的冗余配备。2.2.4 故障安全型原则系统设计： 现场检测元件接点选用

28、常闭接点。工艺正常时，触点闭合；达到安全极限时，触点断开，触发联锁动作。 执行元件电磁阀正常通电方式，联锁动作时断电。 通往电气配电室用以开/停电机的接点，用中间继电器隔离，其励磁电路应为故障安全型。2.2.5 其她： 安全控制规定高的生产装置应选择专门的冗余、容错紧急停车系统。 采用热电偶，热电阻输入时，应有断线保护设计。断线报警，避免产生误动作。 采用电磁阀应具有高可靠性，避免误动作。 事故切断阀停电时应保持安全状态位置。 事故切断阀应配回讯开关，确认阀门位置。 根据工艺操作规定，拟定切断阀开关速度。 重要的切断阀应备用储气罐，以备气源事故用。 在粉尘、腐蚀性、粘稠介质场合应选择带隔离的发

29、讯开关。 切断阀供气管室采用塑料管，以便火灾等状况下失气，实现安全功能。总之，故障安全原则是： 构成SIS的各环节自身浮现故障的改良版不也许为零，且供电、供气中断亦也许发生。当内部或外部因素使SIS失效时，被保护的对象（装置）应按预定的顺序安全停车，自动转入安全状态（Fault to Safety），这就是故障安全原则。作为控制装置（如安全PLC）“故障安全”意味着当其自身浮现故障而不是工艺或设备超过极限工作范畴时，至少应当联锁动作，以便按预定的顺序安全停车（这对工艺和设备而言是安全的）；进而应通过硬件和软件的冗余和容错技术，在过程安全时间（PST Process Safety Time）内检

30、测到故障，自动执行纠错程序，排除故障。2.2.6 系统软件设计应考虑： 输入信号扫描速度应快于软件的扫描周期，否则会发生丢失信号，使系统稳定性变差。 不容许相似的线圈输出反复定义。 软件编写尽量短小，过长会增长系统的扫描时间，使系统的实时性变差。2.3 SIS的可用性及可用度2.3.1 可用度体现式 工艺条件并未达到安全极限值，SIS不应引导工艺过程停车，但由于其自身存在显故障（安全故障）而导致工艺过程停车，即不该停车而误停车，减少了可用性。 可用度（A:Availability）是指系统可使用工作时间的概率，用百分数计算：A=MTBF/(MTBF+MDT)(SHB-Z06-1999) MTB

31、F：平均故障间隔空间（Mean Time Between Failures）MDT：平均停车时间（Mean Downtime）2.3.2 MTBF（平均故障间隔时间） MTBF：平均故障间隔时间（Mean Time Between Failures）MTTR：平均恢复时间（Mean Time to Repair） MTTF：平均无端障时间（Mean Time to Failure） 例如：图2-1 MTTF、MTTR和MTBF2.3.3 PFD计算举例 MTTF=MTTR+MTBFPFD=MTTR/(MTBF+MTTR)已知 MTTR=24H MTBF=H则 PFD=24/(24+)=0.01

32、19因此硬件安全完整性级别达到SIL1水平2.4 冗余、容错冗余（Redundant）：具有指定的独立的N:1重元件，并且可以自动地检测故障，切换到后备设备上。（SHB-Z06-1999）冗余系统（Rwdundant System）：并行地使用多种系统部件，以提供错误检测和错误校正能力的系统。（SHB-Z06-1999）容错（Fault Tolerant）：具有内部冗余的并行元件和集成逻辑，当硬件或软件部分故障时，可以辨认故障并使故障旁路，进而继续执行指定的功能，或在硬件和软件发生故障的状况下，系统仍具有继续运营的能力。它往往涉及三方面的功能：第一是约束故障，即限制过程或进程的动作，以避免在错

33、误被检测出来之前继续扩大；第二是检测故障，即对信息和过程或进程的动作进行动态监测；第三是故障恢复即更换或修正失效的部件。（SHB-Z06-1999）容错系统（Fault Tolerant System）：具有容错构造的硬件和软件系统。（SHB-Z06-1999）总之，通过冗余和故障屏蔽的结合来实现容错。容错系统一定是冗余系统，冗余系统不一定是容错系统。容错系统的冗余形式有双重、三重、四重等。图2-2表达CPU冗余（双机热备）系统。CPU2CPU1 开关输入/输出现场设备图2-2 CPU冗余（双机热备）热备CPU时刻处在开机状态，同主机保持同步，当主CPU失灵时，可以随时切换到备用CPU工作。图

34、2-3三重信号冗余容错系统图信号三重冗余系统提供3条独立的信号通道，并对输出进行3选2表决，如图2-3所示。输出信号由3选2表决器提供，并可在故障发生时复原为2取1表决或2取2表决构造，比较合用于危险工业的过程保护。但为了提高系统输入到输出的响应时间，系统单元需要定期地协调同步。假设每个单元的响应时间为10ms，则最坏状况下三重冗余系统（没有同步）的响应时间也许为20ms。在对数字化模拟信号进行表决时，其响应时间的可预测性显得特别重要。总之，信号三重冗余提供了较大限度上的容错性能，但它对变化的系统显得仍不够灵活。图2-4 模块三重冗余（TMR）系统图模块三重冗余（TMR）系统是使用3个互相隔离

35、的并行主解决器控制系统，并带有扩展的诊断作用综合而成的一套硬件，构造如图2-4所示。系统每扫描一次，3个主解决器均 通过3条总线与其相邻的2个主解决器进行通讯，达到同步。同步3条I/O总线可对其数据进行比较，并表决出有效数据，系统内的表决器选用原则为3取2.瞬态的数据错误和单元的失效不会对控制系统导致影响。这样，单点的错误就不会影响控制系统的操作。2.5 如何通过冗余来改善系统的整体SIL水平当一种SIS系统的安全完整性级别规定为SIL3，而实际配备为传感器2.2*10-3（SIL2），逻辑解算器为1.3*10-4（SIL3）（涉及I/O接口），终端执行器为2.41*10-3（SIL2），因此

36、整个系统为SIL2不满足规定。于是我们变化传感器的配备构造，选择1oo2冗余，其中共因失效=10%，诊断覆盖率（DC）90%，可以算出1oo2传感器的构造的PFD2.3*10-4，达到SIL3的水平，同理可以配备执行器为1oo2冗余构造，也可达到SIL3的规定，于是最后整体SIS系统的SIL可以达到SIL3的规定。这个问题的解决给我们以启示，当装置引进一种SIS系统时，整体安全完整性级别不仅取决于逻辑解算器部分，并且传感器、终端执行器部分也非常核心。配备系统时，除了引进一种SIL3的安全仪表系统控制器，譬如FSC等，还要将传感器、终端执行器一并讨论。求出针对SIS系统的SIL级别，定量的安全仪

37、表系统配备任务才算完毕。2.6 冗余逻辑表决措施及其安全性、可用性的关系可用性（A:Availability）是指系统可使用工作时间（持续运营时间）的概率，用百分数计算A值越大，可用性越好：A=MTBF/(MTBF+MTTR)而PFD=MTTR/(MTBF+MTTR)PFD越小则安全性越好。冗余逻辑表决措施及安全性、可用性的关系例子如2-1表所示。以上可见：隐故障（危险故障）使SIS该动而拒动，隐故障概率越高，安全性越差。显故障（安全故障）使ESD不该动而误动，显故障概率越高，可用性越差。1oo2（二选一）安全性最佳，但可用性最差；2oo2（二选二）可用性最佳，但安全性最差；2oo3（三选二）

38、可兼顾表2-1冗余逻辑的表决措施及其与安全性、可用性的关系3 一般PLC和安全PLC的区别一般PLC和可以作为ESD控制部分的安全PLC的重要区别是：一般PLC不是按故障安全型设计的，当系统内部元件浮现短路故障时，它并不能检测到，因此其输出状态不能保证系统回到预定的安全状态。这种PLC只能用于安全完整性级别规定低的场合。现以输出电路为例予以阐明。图3-1是一般PLC DO卡示意图图3-1一般PLC DO卡示意图当1、2两点短路时，来自PLC的控制信号将不起作用（失效），电磁阀将始终处在带电（励磁）状态，即需要联锁动作（电磁阀释电停车）时，由于此故障的存在而拒动，其输出不能保证处在安全停车状态。

39、这就是违背了故障安全（Fault to Safety）的原则。当1、2两点开路时，将导致误动作而停车，同样会带来损失。可见，这种一般PLC的DO卡输出电路安全性和可用性都是不高的。图3-2所示为一种带有安全性单容错的DO卡示意图（它是Honeywell SMS FSC-101型输出示意图）。图3-2 安全性单容错DO卡示意图这里，中央解决器不仅向串联的场效应管（FET）发出控制信号，并且还接受来自场效应管的状态反馈信号，以便对其输出进行全面测试。当测得某管输出发生短路时，中央解决器即启动纠错动作，隔离有关的故障。看门狗（Watch Dog）是个多通道的设计器电路。它由中央解决器和内存等周期性触

40、发，如果两个触发之间的时间不不小于某设定值或者不小于某最大值，则看门狗的输出将失效。同步看门狗还能监视内部工作电压，使之在正常的电压范畴内。以上仅是DO卡上的区别。作为安全PLC的安全逻辑控制器，至少应具有如下几点： 系统必须有极高的可靠性，通过冗余等措施避免整个系统的功能失效； 如果浮现某种失效状态，它必须是以可预见的、安全的方式浮现； 它强调内部诊断，通过硬件和软件的有机结合，对检测出系统的异常运营状态，做出针对性的解决，如报警、隔离、切除，甚至安全关停； 在系统研发时，采用失效模式、影响和诊断分析（Failure Modes，Effects and Diagnostic Analysis

41、，FMEDA）技术，拟定系统中的每个部件将会浮现如何的失效，以及系统如何检测、应对这些失效，保证可以检测出99%以上的内部元器件潜在的危险失效； 要采用一系列的专门技术保证软件的可靠性，并保证通过其数字通信端口进行读写操作的私密安全（Security）； 安全逻辑控制器与常规PLC的不同，还体目前必须通过第三方的权威认证，例如，德国TV的认证，以便满足国际功能安全原则严格的安全和可靠性规定； 与外部第三方设备的 通信接口，应具有强大的“读写保护”能力（防火墙）。避免数据风暴和DOS袭击，只容许正常的数据访问。同步不容许 通过外部通信链路直接访问它的I/O卡； SOE、在线修改（On-line

42、Modification）、人机接口（HMI）对系统不同层次访问的私密性（Security）和相应用程序更改的记录追踪（Audit Trail）等，都是安全系统设计和应用的重要功能。4 工艺过程风险的评估和安全完整性级别的评估不同的工艺过程（生产规模、原料和产品的种类、工艺和设备的复杂限度等）对安全的规定是不同的。一种具体的工艺过程，与否需要配备SIS、配备何种级别的SIS，其前提应当是对此具体的工艺过程进行风险评估，要进行危险及可操作性分析（HAZOP），然后辨识出与此分析相应的安全仪表功能（SIF），（找到一种安全仪表连锁回路），再根据风险浮现的频率和其产生的严重后果，找到一种与此SIF相

43、应的SIL值，在拟定了某个安全仪表功能的完整性级别（SIL）之后，再配备与之相适应的SIS。表1-3可以看出，若某工艺过程所需SIF经评估后为SIF2，则配备相应的硬件即可，其响应失效率（PFD）为百分之一至千分之一之间。应当注意的是不同安全级别的SIS，只能保证响应失效率（PFD）在一定的范畴内，安全级别越高的SIS，其PFD越小，即发生事故的也许性越小，但它不能变化事故导致的后果。因此，工艺过程安全完整性级别的评估是一项十分重要的工作。国际、国外原则提供了某些评估措施。下面简介的风险矩阵（RISK MATRIX）评估措施可供参照。这种措施以工艺过程事故浮现的频率（也许性）及其危害限度（严重

44、性）为风险评估的指标，并对频率和危害限度人为量化为若干级，作出矩阵表（见表4-1）。以此拟定工艺过程安全完整性级别。表4-1中频率分级年限（多少年浮现一次）。表4-1 风险矩阵SIL评估是在HAZOP分析的基本上，拟定SIS的安全功能和合理的SIL指标，以实现安全和成本的最佳平衡。不同的SIL级别，为顾客单位的管理、人员配备、操作规程和维护周期等提出不同的规定。SIL选择的定性的措施有风险矩阵和风险图，定量措施则有故障树，LOPA等。本文 重要简介风险矩阵法。其措施如下：1）根据国际惯例及公司有关标精拟定过程可接受风险；2）根据顾客单位有关规定拟定风险矩阵的两大参数：后果严重性和规定率，并将其

45、定量描述在工作组会议上进行讨论，以获得来自现场和各方专家的一致认同；3）结合可接受风险，根据国际原则IEC61511拟定两大参数（后果严重性和规定率）的多种组合所相应的SIL，建立顾客单位承认的风险评价矩阵表；4）根据HAZOP分析成果辨识出需要由安全仪表系统实现的安全仪表功能；5）选用一种待分析的安全仪表功能；6）根据现场调研、现场人员经验及顾客单位有关的安全评价资料估算该安全仪表功能规定的动作率及拒动后果严重性；7）根据风险评价矩阵表选定该仪表功能所需达到的PIL（人身安全完整性级别）、AIL（经济安全完整性级别）、EIL（环境安全完整性级别）、RIL（名誉安全网整形级别），并拟定该系统必

46、须达到的综合的安全完整性级别（SIL）；8）进入下一种安全仪表功能的SIL分析；9）系统最后的SIL值应选择PIL、AIL、EIL、RIL中最高值，作为最后SIL指标。5 SIS的有关原则及认证5.1 SIS的有关原则 鉴于SIS波及到人员、设备、环境的安全、因此各国均制定了有关的原则、规范，使得SIS的设计、制造、使用均有章可循。并有权威的认证机构对产品能达到的安全级别进行确认。这些原则、规范及认证机构重要有： 国内石化集团制定的行业原则SHB-Z06-1999 石油化工紧急停车及安全联锁系统设计导则。 GB/T-50770- “石油化工安全仪表系统设计规范” GB/T-20438.1-7-

47、 等同于采用IEC61508国际原则，即电气/电子/可编程电子安全有关系统功能安全原则 GB/T-21109.1-3- 等同于采用IEC61511国际原则过程工业领域安全仪表系统功能安全原则 IEC61508电气/电子可编程电子安全有关系统的功能安全原则 IEC61511过程工业领域安全仪表系统的功能安全原则 美国仪表学会制定的ISA-S84.01-1996 安全仪表系统在过程工业中的应用 美国化学工程学会制定的AICHE（ccps）-1993，化学过程的安全自动化导则 英国健康与安全执委会制定的HSE PES-1987，可编程电子系统在安全领域的应用 德国国标中有安全系统制造厂商原则-DIN

48、 V VDE 0801、过程操作顾客原则-DIN V 19250和DIN V 19251、燃烧管理系统原则-DIN VDE 0116等德国技术监督协会（TV）是一种独立的、权威的认证机构，它按照德国国标（DIN），将ESD所达到的安全级别分为AK1AK8，AK8安全级别最高。其中AK4、AK5、AK6为合用于石油和化学工业应用所规定的级别。5.2 SIL认证SIL认证就是基于IEC61508，IEC61511，IEC61513，IEC13849-1，IEC62061，IEC61800-5-2等原则，对安全设备的安全完整性级别（SIL或者性能级别（PL）进行评估和确认的一种第三方评估、验证和认证

49、。功能安全认证重要波及针对安全设备开发流程的文档管理（FSM）评估，硬件可靠性计算和评估、软件评估、环境实验、EMC电磁兼容性测试等内容。SIL认证一共分4个级别SIL1、SIL2、SIL3、SIL4,涉及对产品和对系统两个层次。其中，以SIL4的规定最高。6 获得认证的SIS产品 ABB产品August CS 386/CS-300E， TV Ak6认证，构造方式，扫描速度10ms。Safeguard 1400 满足SIL3，AK5/AK6采用1002D构造方式。 Regent 是美国ICS公司运用宇航技术开发的安全控制系统，采用三重冗余、容错构造，具有TV最高档安全认证，合用于Ak6如下场合

50、使用。系统特点如下：a. 所有核心组件都采用三重冗余配备。b. 内部电路自动故障检测。c. 外部输入/输出回路短路、断路诊断。d. 故障时，模块在线更换，保持正常运营。e. 具有监控、显示，历史数据存储、通信、报警功能。f. 在I/O模块中设备硬件表决器。 Honeywell FSC故障安全管理系统。采用模块化构造，根据用途可有多种构造配备，适合AK1AK6场合应用。硬件构成如下：中央解决器模块；通信解决器模块；监视解决器模块；诊断及电池模块；I/O模块（可冗余配备）；总线；总线驱动器模块。根据不同安全级别用途有如下不同配备方式：FSC-101 单中央解决模块，合用于AK1AK4。FSC-10

51、2 冗余配备中央解决单元，适合AK5。FSC-101R/100R 并列（冗余）运营系统，适合AK5、AK6。FSC-202 输入通道采用并联方式，适合AK6；输出通道多采用串联方式。新产品为SM系统。 QMR系列为新推出产品构造方式，具有最高的安全性和可用性。它采用双中央解决单元，双输入/输出单元，通过四元件表决器，具有比本来TMR系列更高的安全性。 Moor公司Quadlog安全PLC系统，经TV AK6认证。可提供不同的系统架构：1001D方式，可用于TV AK4/ISA SIL2，单一硬件构造，但带广泛的自测试；1002D方式，可用于TV AK6/ISA SIL3，硬件构造冗余配备。带广

52、泛自测试及由故障自诊断控制的辅机停机线路。 天津合力高科技有限公司ESS紧急停车联锁系统：ESS-3010继电器型自保联锁系统；ESS-3220 固态逻辑型带自诊断、自保联锁系统；ESS-3033 三重冗余表决式PLC自保联锁系统；ESS-3030 可编程逻辑控制系统。经TV AK1AK6认证。 GE Fanue GMR 三冗余容错控制系统。三个CPU独立程序运营。每个CPU对每个输入进行三取二表决。三个输出状态中两个处在安全状态才有输出。系统具有强大的诊断功能。输入：高下超限，开路、短路，接线错误，偏差错误，内部错误，模块丢失等。输出：负载开路，负载低端短路，信号线断开，负载高品位短路，通道

53、之间短路，输出过载，输出不一致，模块丢失。 德国HIMA公司H-50系列安全PLC系统。它具有特殊的硬件设计，借助于安全性诊断测试技术来保证安全性。与安全有关部件如中央解决模块、I/O模块、I/O总线模块均需进行测试。系统具有冗余配备的中央模块、I/O总线及可测试的I/O模块。两个中央单元同步接受信号，通过通信网络同步操作。同步进行操作测试，检查与否发生故障。某一组件故障实现即时系统隔离，另一冗余部件即时工作。系统定期进行切换测试。 SIMATIC S7-400F/FH德国SIEMENS公司产品.400F和400FH分别为1个CPU和2个CPU运营fail-safe(F)顾客程序，均获得TV

54、认证，安全级别为AK1AK6。 Tricon、Trident美国Triconex公司，用于压缩机综合控制（ITCC）和紧急停车系统。安全级别为AK6。 美国斗山HFC安全控制系统，其HFC-6000安全仪表系统（SIS）是HFC公司的安全级控制系统平台；TV SIL认证；基于TMR及DMR系统配备； 和利时Hia Guard系统a获得TV Rheinland SIL3认证；b带诊断的3取2架构（D）；c高覆盖率的诊断措施；d通过反编译验证下装组态逻辑；e支持与HOLLYSYS MACS系统的无缝集成；f构造可变规模。7 逻辑运算的基本公式参照资料：张建国 安全仪表系统在过程工业中的应用 中国电力出版社