SIS)安全儀表系統(tǒng)解析

1、1、什么是安全儀表系統(tǒng)在IEC61508中，SIS被稱為安全相關(guān)系統(tǒng)SafetyRelatedSystem，將被控對象稱為被控設(shè)備EU(IEC61511將安全儀表系統(tǒng)SIS定義為用丁執(zhí)行一個或多個安全儀表功能SafetyInstrumentedFunction,SIF的儀表系統(tǒng)。SIS是由傳感器如各類開關(guān)、變送器等、邏輯控制器、以與最終元件如電磁閥、電動門等的組合組成，如圖1所示。IEC61511乂進一步指出，SIS可以包括，也可以不包括軟件。另外，當(dāng)操作人員的手動操作被視為SIS的有機組成局部時，必須在安全規(guī)格書SafetyRequirementSpecification,SRS)中對人員操

2、作動作的有效性和可靠性做出明確規(guī)定，并包括在SIS的績效計算中。從SIS的開展過程看，其控制單元局部經(jīng)歷了電氣繼電器Electrical、電子固態(tài)電路Electronic和可編程電子系統(tǒng)ProgrammableElectronicSystem，即E/E/PES三個階段。(1) 安監(jiān)總局116號文件國家安全監(jiān)管總局丁2014年11月13日下發(fā)國家安全監(jiān)管總局關(guān)丁加強化工安全儀表系統(tǒng)管理指導(dǎo)意見安監(jiān)總管三2014116號»該意見涉與到了生產(chǎn)，設(shè)計，管理等多個方面。HAZO咨析，SIL等級評估，安全系統(tǒng)驗證，老裝置安全系統(tǒng)安全等級評估，安全系統(tǒng)改造等，這些工作將在今后幾年中越來越多，越來越

3、重要！卜列圖為由PES構(gòu)成的SIS圖1SIS的構(gòu)成SIS安全儀表系統(tǒng)SIF安全儀表功能可以是安全儀表保護功能，也可以是安全儀表控制功能,或包含這兩者。(2) 需要說明的是，這里所說的安全儀表控制功能，是指以連續(xù)模式ContinuousModa操作并具有特定的SIL,用丁防止危險狀態(tài)發(fā)生或者減輕其發(fā)生的后果，與常規(guī)的PID控制功能是完全不同的概念。SIS可以包括或不包括軟件SIS的一局部也可能是人的動作如圖2所示，這是一個氣液別離容器A液位控制的安全儀表功能回路圖。對這個安全儀表功能完整的描述是：當(dāng)容器液位開關(guān)達到安全聯(lián)鎖值時，邏輯運算器圖3使電磁閥2斷電，那么切斷進調(diào)節(jié)閥膜頭信號，使調(diào)節(jié)閥切斷

4、容器A進料，這個動作要在3秒完成，安全等級必須達到SIL2。這是一個安全儀表功能的完整描述，而所謂的安全儀表系統(tǒng)，那么是類似一個或多個這樣的安全儀表功能的集合。sisft點MI!fa1.MdMUMAJi*lIIBBfaLOAdGM>lclznocoo1ovdcD圖2安全儀表回路圖圖2說明：L液面超高-L1接點閉合-Z帶電。Z1常閉接點打開，S線圈斷電。S電磁閥切斷，往調(diào)節(jié)閥膜頭的控制信號調(diào)節(jié)閥切斷工藝進料，完成聯(lián)鎖保護作用。K起：按鈕開關(guān)：起動聯(lián)鎖保護回路兼有復(fù)位作用。K停：起人工強制起動聯(lián)鎖保護作用。K旁：旁路聯(lián)鎖保護作用，用丁開車或檢修聯(lián)鎖信號儀表。INPUT/、聯(lián)常屏最開蕓（貴距械

5、.樓獲）OsLOGICSOLVEROUTPUT圖3SIS邏輯圖大多石油和化工生產(chǎn)過程具有周溫、周壓、易燃、易爆、有蠹等危險。當(dāng)某些工藝參數(shù)超出安全極限，未與時處理或處理不當(dāng)時，便有可能造成人員傷亡、設(shè)備損壞、周邊環(huán)境污染等惡性事故。這就是說，從安全的角度出發(fā)，石油和化工生產(chǎn)過程自身存在著固有的風(fēng)險?？傊?，SIS是一種經(jīng)專門機構(gòu)認(rèn)證，具有一定安全完整性水平，用丁降低生產(chǎn)過程風(fēng)險的儀表安全保護系統(tǒng)。它不僅能響應(yīng)生產(chǎn)過程因超過安全極限而帶來的風(fēng)險，而且能檢測和處理自身的故障，從而按預(yù)定條件或程序使生產(chǎn)過程處丁安全狀態(tài)，以確保人員、設(shè)備與工廠周邊環(huán)境的安全。按照SIS的定義，下述系統(tǒng)均屬于安全儀表系統(tǒng)

6、：安全聯(lián)鎖系統(tǒng)SafetyInterlockSystemSIS；安全關(guān)聯(lián)系統(tǒng)SafetyRelatedSystemSRS;儀表保護系統(tǒng)InstrumentProtectiveSystemIPS；透平壓縮機集成控制系統(tǒng)IntegratedTurbo&CompressorControlSystemITCC；火災(zāi)與氣體檢測系統(tǒng)FireandgassystemsF&G；緊急停車系統(tǒng)EmergencyShutdownDeviceESD;燃燒管理系統(tǒng)BurnerManagementSystem；列車自動防護系統(tǒng)ATPJ2、SIS的相關(guān)標(biāo)準(zhǔn)與認(rèn)證機構(gòu)鑒于SIS涉與到人員、設(shè)備、環(huán)境的安全，因

7、此各國均制定了相關(guān)的標(biāo)準(zhǔn)、規(guī)，使得SIS的設(shè)計、制造、使用均有意可循。并有權(quán)威的認(rèn)證機構(gòu)對產(chǎn)品能達到的安全等級進展確認(rèn)。這些標(biāo)準(zhǔn)、規(guī)與認(rèn)證機構(gòu)主要有：我國石化集團制定的行業(yè)標(biāo)準(zhǔn)SHB-Z06-1999石油化工緊急停車與安全聯(lián)鎖系統(tǒng)設(shè)計導(dǎo)那么。2006年、2007年等同采用IEC6150&IEC61511的中國國家標(biāo)準(zhǔn)GB/T20438GB/T21109相繼發(fā)布,中國的功能安全標(biāo)準(zhǔn)開始規(guī)我國的功能安全工作。國際電工委員會1997年制定的IEC61508/61511標(biāo)準(zhǔn)，對用機電設(shè)備繼電器、固態(tài)電子設(shè)備、可編程電子設(shè)備PLC3構(gòu)成的安全聯(lián)鎖系統(tǒng)的硬件、軟件與應(yīng)用作出了明確規(guī)定。(3) 美國

8、儀表學(xué)會制定的ISA-S84.01-1996安全儀表系統(tǒng)在過程工業(yè)中的應(yīng)用美國化學(xué)工程學(xué)會制定的AICHEccps-1993,化學(xué)過程的安全自動化導(dǎo)那么。(4) 英國健康與安全執(zhí)行委員會制定的HSEPES-1987,可編程電子系統(tǒng)在安全領(lǐng)域的應(yīng)用。德國國家標(biāo)準(zhǔn)中有安全系統(tǒng)制造廠商標(biāo)準(zhǔn)-DINVVDE0801、過程操作用戶標(biāo)準(zhǔn)-DINV19250和DINV19251、燃燒管理系統(tǒng)標(biāo)準(zhǔn)-DINVDE0116等。(8)德國技術(shù)監(jiān)視協(xié)會TuV是一個獨立的、權(quán)威的認(rèn)證機構(gòu)，它按照德國國家標(biāo)準(zhǔn)DIN，將ES所達到的安全等級分為AK1AK&AK8安全級別最高。其中AK4AK5AK6為適用于石油和化學(xué)

9、工業(yè)取得TuV認(rèn)證的SIS產(chǎn)品。在國石化行業(yè)中應(yīng)用的SIS產(chǎn)品中，經(jīng)過Tuv認(rèn)證的主要有:Tricon、Triden，美國Triconex公司開發(fā)用于壓縮機綜合控制ITCC和緊急停車系統(tǒng)。安全等級為AK6SIL3。FSCFailsafecontrol，由荷蘭P&FPepper&Fuchs公司開發(fā)，1994年被Honeywell公司收購。安全等級AK6SIL3和利時集團HiaGuardSIS，我國首套獲TuVSIL3認(rèn)證的安全儀表系統(tǒng)HIMAPES,HIM閾德國一家專業(yè)生產(chǎn)安全控制設(shè)備的公司，PES(ProgrammableElectronicSystem)是可編程電子系統(tǒng)的簡稱

10、，是近幾年來國引進較多的一種安全儀表系統(tǒng)。主要由H41q和H51q系統(tǒng)組成。H41q也叫小系統(tǒng)，它分為不冗余的系統(tǒng)和冗余的系統(tǒng)，不冗余系統(tǒng)型號為H41M冗余系統(tǒng)乂分為高可靠系統(tǒng)H41"H和高性能系統(tǒng)H41尸HRH51q稱為模塊化的系統(tǒng)，它也分為不冗余的系統(tǒng)和冗余的系統(tǒng),不冗余的系統(tǒng)型號為H51"H和高性能系統(tǒng)H51"HR各種型號的PEStK具有TuVAK16級認(rèn)證。儀控工程網(wǎng)在線學(xué)習(xí)頻道，有關(guān)于HIMA公司與產(chǎn)品的介紹ProsafeR§是橫河電機安全儀表系統(tǒng)，其特點是與CENTUMCS.3000R3的技術(shù)融合，即實現(xiàn)了與DSC勺無縫集成。非冗余取量即可實

11、現(xiàn)SIL3,通過冗余取量實現(xiàn)更高的可用性。(10) QUADLOG由MOORE司開發(fā)，日本橫河電機公司收購后稱prosafeplc,其1oo2D結(jié)構(gòu)安全等級達AK6(SIL3);SIMATICS7400F/FH,德國SIEMENS司產(chǎn)品。400F和400FH分別為1個CP頃日2個CP史行fail-safeF用戶程序，均取得TUVU證，安全等級為AK1AK6SIL1SIL3；(8)RegentTrusted，美國ICS利用宇航技術(shù)開發(fā)的安全系統(tǒng)。安全等級AK4AK6SIL2SIL3；GMR90-70,美國GEFanuc公司開發(fā)。其中GMR90-70塊塊式冗余容錯)的安全等級為class52oo3

12、,class41oo2和class52oo2；TRIGUARSC300EAUGUS松司開發(fā),1999年成為ABB#團成員之一，安全等級為class5和class6，系統(tǒng)結(jié)構(gòu)為2oo3;(11) DeltaVSIS是艾默生推出的TuV認(rèn)證的新型整體回路概念的智能安全儀表系統(tǒng)，安全等級SIL3。(12) Safeguard400&300,ABBIndustry公司開發(fā)，系統(tǒng)結(jié)構(gòu)1oo2D=篇幅有限不再列舉3、SIS和DCS的比擬DC的由PES構(gòu)成的SIS的主要區(qū)別有:DCSSTS不舍粒測、執(zhí)行單元作用功能)使生產(chǎn)程霍無用工況乃至螭任工K下運行超隈實金停車1作為態(tài)i連壤靜態(tài).間斷安全甄別嫉、

13、不薛認(rèn)狂高.需認(rèn)證系統(tǒng)的組成：DCSH股是由人機界面操作站、通信總線與現(xiàn)場控制站組成；而SIS系統(tǒng)是由傳感器、邏輯解算器和最終元件三局部組成。與DC%含檢測執(zhí)行局部。(1) 實現(xiàn)功能：DCS用丁過程連續(xù)測量、常規(guī)控制連續(xù)、順序、間歇等操作控制管理使生產(chǎn)過程在正常情況下運行至最正確工況;而SIS是超越極限安全即將工藝、設(shè)備轉(zhuǎn)至安全狀態(tài)。工作狀態(tài)：DCS®主動的、動態(tài)的，它始終對過程變量連續(xù)進展檢測、運算和控制，對生產(chǎn)過程動態(tài)控制確保產(chǎn)品質(zhì)量和產(chǎn)量。而SIS系統(tǒng)是被動的、休眠的。(2) 安全級別：DC以全級別低，不需要安全認(rèn)證；而SIS系統(tǒng)級別高，需要安全認(rèn)證。應(yīng)對失效方式：DCSS統(tǒng)大

14、局部失效都是顯而易見的，其失效會在生產(chǎn)的動態(tài)過程中自行顯現(xiàn)，很少存在隱性失效；SIS失效就沒那么明顯了，因此確定這種休眠系統(tǒng)是否還能正常工作的唯一方法，就是對該系統(tǒng)進展周期性的診斷或測試。因此安全儀表系統(tǒng)需要人為的進展周期性的離線或在線檢驗測試，而有些安全系統(tǒng)那么帶有部自診斷。4、SIS設(shè)計應(yīng)遵循的原那么原那么上應(yīng)獨立設(shè)置含檢測和執(zhí)行單元；中間環(huán)節(jié)最少；應(yīng)為故障安全型；采用冗余容錯結(jié)構(gòu)5、故障安全原那么組成SIS的各環(huán)節(jié)自身出現(xiàn)故障的概率不可能為零，且供電、供氣中斷亦可能發(fā)生。當(dāng)部或外部原因使SIS失效時，被保護的對象裝置應(yīng)按預(yù)定的順序安全停車，自動轉(zhuǎn)入安全狀態(tài)FaulttoSafety:,這

15、就是故障安全原那么。具體表達：(1) 現(xiàn)場開關(guān)儀表選用常閉接點，工藝正常時，觸點閉合，達到安全極限時觸點斷開，觸發(fā)聯(lián)鎖動作，必要時采用“二選一”、“二選二”或“三選二"配置。(2) 電磁閥采用正常勵磁，聯(lián)鎖未動作時，電磁閥線圈帶電，聯(lián)鎖動作時斷電。送往電氣配電室用以開/停電機的接點用中間繼電器隔離，其勵磁電路應(yīng)為故障安全型。作為控制裝置如PLC3“故障安全"意味著當(dāng)其自身出現(xiàn)故障而不是工藝或設(shè)備超過極限工作圍時，至少應(yīng)該聯(lián)鎖動作，以便按預(yù)定的順序安全停車這對工藝和設(shè)備而言是安全的；進而應(yīng)通過硬件和軟件的冗余和容錯技術(shù)，在過程安全時間PST-ProcessSafetyTime

16、檢測到故障，自動執(zhí)行糾錯程序，排除故障。6、隱故障與顯故障隱故障CovertFault：不對危險產(chǎn)生報警，允許危險開展的故障，是故障危險故障SHB-Z06-1999。CovertFault:Faultthatcanbeclassifiedashidden,concealed,undetected,unrevealed,latentect.ISA-S84.01-1996顯故障OvertFault：能顯示出故障自身存在的故障，是故障安全故障SHB-Z06-1999。OvertFault:Faultthatcanbeclassifiedasannounced,detected,revealed,ec

17、t.ISA-S84.01-1996SIS系統(tǒng)拒動：當(dāng)工藝條件達到或超過安全極限時，SIS本應(yīng)引導(dǎo)工藝過程停車，但由于其自身存在隱性故障危險故障，譬如輸出開關(guān)被誤連短路，而不能響應(yīng)此要求，即該停車而拒停，降低了安全性。危險失效定義為這樣一些失效，這些失效會阻止SIS系統(tǒng)對潛在的危險工況做出反響。SIS系統(tǒng)誤動：在圖4中，當(dāng)輸出開關(guān)由于某種原因處于非激勵狀態(tài)，即使?jié)撛诘奈ｋU工況沒有發(fā)生，SIS也會進入一種安全失效狀態(tài)見圖5,這種情況經(jīng)常被稱為“誤動。誤動可能會以許多不同方式發(fā)生。例如，輸入電路可能會發(fā)生故障，從而使邏輯解算器誤認(rèn)為是傳感器檢測到了危險工況，而事實上并沒有這種情況發(fā)生。邏輯解算器本身

18、也可能出現(xiàn)運算錯誤，并導(dǎo)致輸出回路失電，輸出回路可能出現(xiàn)開路。SIS的許多元件失效均會導(dǎo)致系統(tǒng)進入安全失效狀態(tài)。SIS非正常運行時桁出開關(guān)處在失助歿態(tài)正常運行時4,開圭閉合，蟲力升關(guān)非正常運行"壬口碎時開關(guān)打開開關(guān)量輸入圖4正常運行時的正常激勵系統(tǒng)即使壓力開關(guān)閉合.由于輸入電路的故障S1S也會誤認(rèn)為它是打開的壓力開關(guān)無王量輸丁輸出開關(guān)輸出電路發(fā)生弁路故障邏輯翼算器不能讀教1箝人、不能進行正常的邏輯運算，也不能生成邏輯1輸出負(fù)載圖5PFS安全故障概率：正常激勵的SIS系統(tǒng)在它的輸出非激勵時，就會處丁故障狀態(tài)，這有一個概率。稱為安全故障概率PFSJ,或稱誤動率。PFD要求時失效概率：這是

19、一個衡量安全性的指標(biāo)，稱為要求時失效概率。它意味著系統(tǒng)是危險的。它不會再要求潛在的緊急條件發(fā)生時產(chǎn)生響應(yīng)。SIS的功能安全安全儀表系統(tǒng)必須在工業(yè)系統(tǒng)出現(xiàn)危險情況時正確執(zhí)行其對應(yīng)的安全功能，安全儀表系統(tǒng)的這種特性被稱為功能安全。功能安全實際上講的是SIS系統(tǒng)自身的安全問題。如圖6示安全儀表系統(tǒng)，該系統(tǒng)由一個壓力變送器、一個閥門和一個安全PLC組成的SIS系統(tǒng)。壓力變送器檢測容器壓力并將其變換成適宜的信號傳送給安全PLG安全PLC判斷假設(shè)壓力超過了額定值那么打開閥門以降低容器壓力，這被稱為安全系統(tǒng)的一個安全功能。很明顯例子中儀表安全系統(tǒng)只有一個安全功能。如果三個設(shè)備有一個或多個失效，安全功能將失效

20、，即它將不能對壓力容器壓力進展限制。因此安全儀表系統(tǒng)的安全性能由傳感器、邏輯解算器和執(zhí)行器三局部功能決定。(1) SIS安全功能實際上講的是讓SIS執(zhí)行什么樣的安全任務(wù)，如何保護受控設(shè)備。當(dāng)反應(yīng)器溫度及壓力超高達到危險狀PressureSensor圖6反響器的安全儀表系統(tǒng)7、安全性與響應(yīng)失效率(1)當(dāng)工藝條件達到或超過安全極限值時，SIS本應(yīng)引導(dǎo)工藝過程停車，但由丁其自身存在隱故障危險故障而不能響應(yīng)此要求，即該停車而拒停，降低了安全性。衡量安全性的指標(biāo)為響應(yīng)失效率或稱要求的故障率PFDProbabilityofFailureonDemand。它是安全聯(lián)鎖系統(tǒng)按要求執(zhí)行指定功能的故障概率。是度量

21、安全聯(lián)鎖系統(tǒng)按要求模式工作故障率的目標(biāo)值SHB-Z06-1999。(2) 不同的工業(yè)過程如生產(chǎn)規(guī)模、原料和產(chǎn)品的種類、工藝和設(shè)備的復(fù)雜程度等對安全的要不同的。上述的國際標(biāo)準(zhǔn)將其劃分為假設(shè)干安全完整性等級SIL:SafetyIntegrityLevel。安全完整性等級SafetyIntegrityLevelSIL安全完整性等級SIL是一種離散的等級，用來規(guī)定分配給E/E/PE安全相關(guān)系統(tǒng)安全功能的安全完整性要求。安全完整性等級可分為4個等級，SIL4是安全完整性最高的等級平均概率最高,SIL1是最低等級；安全完整性等級越高，應(yīng)執(zhí)行所要求的安全功能的概率也越高；根據(jù)安全相關(guān)系統(tǒng)使用方式，要求發(fā)生的

22、頻率可分為低要求操作模式<=1次和高要求或連續(xù)操作模式="">1次/年。根據(jù)GB/T20438標(biāo)準(zhǔn)，在不同的操作模式下，安全完整性的目標(biāo)失效概率和目標(biāo)風(fēng)險降低見下表1-1和1-2。采用不同的操作模式結(jié)構(gòu)有可能使用幾個安全完整性等級較低的系統(tǒng)來滿足一個較高安全完整性等級功能的需要例如：使用一個SIL2和一個SIL1的系統(tǒng)共同來滿足一個SIL3功能的需要。表1-1安全完整性等級：要求時的失效概率低要求操作模式(平均失效概率)1斐全完整性等版(SIL)要求時的目標(biāo)平均失效概率目標(biāo)風(fēng)險降低4>10<104>10(X)0<1000003M10*&l

23、t;103>1000<1woo2>100<10001>10-<100表1-2安全完整性等級：SIF的危險失效概率高要求或連續(xù)操作模式(每小時危險失效概率)安全完整性等級(SIL)執(zhí)行儀表安全功能的目標(biāo)危險失效概率4丑10#w3>1頸】2>10'<1061表1-3SIL與PFD的對應(yīng)關(guān)系1SA-SH4.0IEC05fl«DINVi»5iiKrin)PFPS1L1SIL1AK1"頃上AUAKJ斜】“4K410111'S1L3SIL3AK51(1Jl"SIL4<K78、可用性與可用度但

24、由丁其自身存在降低了可用性。用白分?jǐn)?shù)計算：工藝條件并未達到安全極限值，SIS不應(yīng)引導(dǎo)工藝過程停車,顯故障安全故障而導(dǎo)致工藝過程停車，即不該停車而誤停,可用度A：Availability是指系統(tǒng)可使用工作時間的概率,MTBF平均故障間隔時間MeanTimeBetweenFailuresMDT平均停車時間MeanDowntime!MTBF平均故障間隔時間MeanTimeBetweenFailureMTTR平均恢復(fù)時間MeanTimetoRepairMTTF平均無故障時間MeanTimetoFailure例如：-2EZ開軍！總at反lL-l*iMTTRLMTBF二:Ab'1fsn敵障時闋障H

25、7MTTF.MTtRWitbF9、冗余和容錯冗余(Redundant)具有指定的獨立的N:1重兀件，并且可以自動地檢測故障，切換到后備設(shè)備上。(SHB-Z06-1999)冗余系統(tǒng)(RedundantSystem)并行地使用多個系統(tǒng)部件，以提供錯誤檢測和錯誤校正能力的系統(tǒng)。(SHB-Z06-1999)。容錯(FaultTolerant)具有部冗余的并行元件和集成邏輯，當(dāng)硬件或軟件局部故障時，能夠識別故障并使故障旁路，進而繼續(xù)執(zhí)行指定的功能?；蛟谟布蛙浖l(fā)生故障的情況下，系統(tǒng)仍具有繼續(xù)運行的能力。它往往包括三方面的功能：第一是約束故障，即限制過程或進程的動作，以防止在錯誤被檢測出來之前繼續(xù)擴大；

26、第二是檢測故障，即對信息和過程或進程的動作進展動態(tài)檢測；第三是故障恢復(fù)即更換或修正失效的部件。(SHB-Z06-1999)容錯系統(tǒng)(FaultTolerantSystem)具有容錯結(jié)構(gòu)的硬件與軟件系統(tǒng)。(SHB-Z06-1999)總之，通過冗余和故障屏蔽的結(jié)合來實現(xiàn)容錯。容錯系統(tǒng)一定是冗余系統(tǒng)，冗余系統(tǒng)不一定是容錯系統(tǒng)。容錯系統(tǒng)的冗余形式有雙重、三重、四重等。圖8和圖9、圖10分別表示CPUM余(雙機熱備)和三重化冗余容錯系統(tǒng)。CPUCPU2現(xiàn)場設(shè)備圖8CPU冗余（雙機熱備）輸出垛子圖9三重模塊冗余容錯系統(tǒng)輸出端子圖10三重信號冗余容錯系統(tǒng)怎樣通過冗余來改善系統(tǒng)的整體SIL水平當(dāng)一個SIS系統(tǒng)

27、的安全完整性等級要求為SIL3,而實際配置為傳感器為2.2X10-3(SIL2),邏輯解算器為1.3X10-4(SIL3)(包括I/O接口)，終端執(zhí)行器為2.41X10-3(SIL2),所以整個系統(tǒng)為SIL2不滿足要求。(1) 丁是我們改變傳感器的配置結(jié)構(gòu),選擇1oo2冗余，其中共因失效=10%診斷覆蓋率(DC)=90%可以算出1oo2傳感器的結(jié)構(gòu)的PFD=2.歡10-4，達到SIL3的水平，同理可以配置執(zhí)行器為1oo2冗余結(jié)構(gòu)，也可達到SIL3的要求，丁是最終整體SIS系統(tǒng)的SIL可以達到SIL3的要求。(2) 這個問題的解決給我們以啟示，當(dāng)裝置引進一個SIS系統(tǒng)時，整體安全完整性等級不僅取

28、決丁邏輯解算器局部，而且傳感器、終端執(zhí)行器局部也非常關(guān)鍵。配置系統(tǒng)時，除了引進一個SIL3的安全儀表系統(tǒng)，譬如FSC等，還要將傳感器、終端執(zhí)行器一并討論。算出SIS整體的SIL數(shù)據(jù)，定量的安全儀表系統(tǒng)配置任務(wù)才算完成。冗余表決方法與其安全性、可用性的關(guān)系可用性(A:Availability)是指系統(tǒng)可使用工作時間(連續(xù)運行時間)的概率，用白分?jǐn)?shù)計算A值越大，可用性越好：A=MTBF/(MTBF+MTTR)而PFD=MTTR/(MTBF+MTTR)PFDffi小那么安全性越好。冗余邏輯表決方法與安全性-可用性的關(guān)系例子如下表所示表2冗余邏輯的表決方法與其與安全性、可用性的關(guān)系妻決方法隱故障福宰柜

29、動）顯故障概率.（誤動）允并不危許安全性可用性Alid耳IwlQ.Q?,（知路的襁率Q.01升路的概率）存在隱故障杓髭故障二蠢一亡1m2Q.0004（兩個均匝路的概率）0.08（只要有-個開路的概率）其中之一存在隘故障（仍可安全停車現(xiàn)中之一存在顯故障（將誤停車）最好最差二垃二T2uo20.04（只要有個短路的橫率）0.0016（兩個均開路的岷率）其中之一存在顯故障（不會褒停和其中之一存在除故障（該停拒停）最差最好k5!oo30.0012（三個中兩個均短路的概率）0.0048（三個中兩個均升略的概率）其中之一存在隱故障成顯故障其中兩個存在隱故障或顯扯障較好較好注:此表中故中概率數(shù)據(jù)摘a四門子公司

30、資料以上可見:（1）隱故障（危險故障）使SIS該動而拒動，隱故障概率越高，安全性越差。（2）顯故障（安全故障）使ESD不該動而誤動，顯故障概率越高，可用性越差。1oo2（二選一）安全性最好，但可用性最差；2oo2（二選二）可用性最好，但安全性最差;2oo3（三選二）可兼顧。10、普通PLC和安全PLC的區(qū)別普通PLC和可以作為ESDE制局部的安全PLC的主要區(qū)別是：普通PLC不是按故障安全型設(shè)計的，當(dāng)系統(tǒng)部元件出現(xiàn)短路故障時，它并不能檢測到，因此其輸出狀態(tài)不能保證系統(tǒng)回到預(yù)定的安全狀態(tài)。這種PLC只能用丁安全度等級要求低的場合?，F(xiàn)以輸出電路為例予以說明。+24VDC來自CPU的控制信號圖11普

31、通PLCDO#示意圖普通PLCDO#(1)當(dāng)1、2兩點短路時，來自PLC的控制信號將不起作用(失效)，電磁閥將一直處丁帶電(勵磁)狀態(tài)，即需要聯(lián)鎖動作(電磁閥釋電停車)時，由丁此故障的存在而拒動，其輸出不能保證處丁安全停車狀態(tài)。這就是違背了故障安全(FaulttoSafety)的原那么。(2)當(dāng)1、2兩點開路時，將導(dǎo)致誤動作而停車，同樣會帶來損失?？梢?，這種普通PLC的DO卡輸出電路的安全性和可用性都是不高的。OVDC圖12安全性單容錯DO卡示意圖安全性單容錯DO長圖12所示為一種帶有安全性單容錯的。旋示意圖(它是HoneywellSM手SC-101型輸出示意圖)。這里，中央處理器不僅向申聯(lián)的

32、場效應(yīng)管(FET)發(fā)出控制信號，而且還承受來自場效應(yīng)管的狀態(tài)反響信號，以便對其輸出進展全面測試。當(dāng)測得某管輸出發(fā)生短路時，中央處理器即啟動糾錯動作，隔離相關(guān)的故障。看門狗(WatchDog)是個多通道的計時器電路。它由中央處理器和存等周期性地觸發(fā)，如果兩個觸發(fā)之間的時間小于某設(shè)定值或者大于某最大值，那么看門狗的輸出將失效。同時看門狗還能監(jiān)視部工作電壓，使之在正常的電壓圍。普通PLC和安全PLC的區(qū)別以上僅是DO卡上的差異。作為安全PLG至少應(yīng)具備以下幾點：滿足相關(guān)安全標(biāo)準(zhǔn)規(guī)要求，且經(jīng)過權(quán)威機構(gòu)認(rèn)證，取得了相應(yīng)安全等級證書；在硬件和軟件上采用冗余、容錯措施，具有完善的測試手段，當(dāng)檢測到系統(tǒng)故障，特別是危險故障時能使系統(tǒng)回到安全狀態(tài)；能進展系統(tǒng)故障報警，指示故障原因、故障位置，便于在線維護；能與DCS|£其它設(shè)備進展通訊。11、工藝過程風(fēng)險的評估與安全度等級的評定不同的工藝過程(生產(chǎn)規(guī)模、原料和產(chǎn)品的種類、工藝和設(shè)備的復(fù)雜程度等)對安全的要不同的。一個具體的工藝過程，是否需要配置SIS、配置何種等級的SIS,其前提應(yīng)該是對此具體