GE 安全儀表培訓(xùn)講義

1、安全儀表系統(tǒng)安全儀表系統(tǒng)(SIS )中海石油建滔化工有限公司中海石油建滔化工有限公司電儀技術(shù)部電儀技術(shù)部1 什么是安全儀表系統(tǒng)什么是安全儀表系統(tǒng)?1 什么是安全儀表系統(tǒng)什么是安全儀表系統(tǒng)? 在在IEC61508 中，中，SIS被稱為安全相關(guān)系統(tǒng)（被稱為安全相關(guān)系統(tǒng)（Safety Related System）,將被控對象稱為被控設(shè)備（將被控對象稱為被控設(shè)備（EUC）。）。IEC61511將安全儀表系統(tǒng)將安全儀表系統(tǒng)SIS定義為用于執(zhí)行一個(gè)或多個(gè)安全儀定義為用于執(zhí)行一個(gè)或多個(gè)安全儀表功能（表功能（Safety Instrumented Function,SIF）的儀表系統(tǒng)。）的儀表系統(tǒng)。SIS是

2、由是由傳感器傳感器（如各類開關(guān)、變送器等）（如各類開關(guān)、變送器等）、邏輯控制器、以及最終元件、邏輯控制器、以及最終元件（如電磁閥、電動門等）（如電磁閥、電動門等）的組合組成的組合組成,如圖如圖1所示。所示。IEC61511又進(jìn)一步指出，又進(jìn)一步指出，SIS可以包括，也可以不包括軟件。另可以包括，也可以不包括軟件。另外，當(dāng)操作人員的手動操作被視為外，當(dāng)操作人員的手動操作被視為SIS的有機(jī)組成部分時(shí)，必須在安的有機(jī)組成部分時(shí)，必須在安全規(guī)格書（全規(guī)格書（Safety Requirement Specification,SRS)中對人員操作動作中對人員操作動作的有效性和可靠性做出明確規(guī)定，并包括在的

3、有效性和可靠性做出明確規(guī)定，并包括在SIS的績效計(jì)算中。的績效計(jì)算中。從從SIS的發(fā)展過程看，其控制單元部分經(jīng)歷了電氣繼電器的發(fā)展過程看，其控制單元部分經(jīng)歷了電氣繼電器（Electrical）、電子固態(tài)電路（）、電子固態(tài)電路（Electronic）和可編程電子系統(tǒng)）和可編程電子系統(tǒng)（Programmable Electronic System），即），即E/E/PES三個(gè)階段。三個(gè)階段。 圖圖1 SIS的構(gòu)成的構(gòu)成 檢測單元檢測單元輸入模塊輸入模塊控制模塊控制模塊輸出模塊輸出模塊執(zhí)行單元執(zhí)行單元PES下圖為由下圖為由PES構(gòu)成的構(gòu)成的SIS SIS安全儀表系統(tǒng)安全儀表系統(tǒng)nSIF安全儀表功能可

4、以是安全儀表保護(hù)功能，也可以是安全儀表功能可以是安全儀表保護(hù)功能，也可以是安全儀表控制功能，或包含這兩者。安全儀表控制功能，或包含這兩者。n需要說明的是，這里所說的安全儀表控制功能，是指需要說明的是，這里所說的安全儀表控制功能，是指以連續(xù)模式（以連續(xù)模式（Continuous Mode）操作并具有特定的）操作并具有特定的SIL,用于防止危險(xiǎn)狀態(tài)發(fā)生或者減輕其發(fā)生的后果，用于防止危險(xiǎn)狀態(tài)發(fā)生或者減輕其發(fā)生的后果，與常規(guī)的與常規(guī)的PID控制功能是完全不同的概念?？刂乒δ苁峭耆煌母拍?。nSIS可以包括或不包括軟件可以包括或不包括軟件nSIS的一部分也可能是人的動作的一部分也可能是人的動作SIS安

5、全儀表系統(tǒng)安全儀表系統(tǒng) 如圖如圖2所示，這是一個(gè)氣液分離容器所示，這是一個(gè)氣液分離容器A液位控制的安液位控制的安全儀表功能回路圖。對這個(gè)安全儀表功能完整的描述全儀表功能回路圖。對這個(gè)安全儀表功能完整的描述是：當(dāng)容器液位開關(guān)達(dá)到安全聯(lián)鎖值時(shí)，邏輯運(yùn)算器是：當(dāng)容器液位開關(guān)達(dá)到安全聯(lián)鎖值時(shí)，邏輯運(yùn)算器（圖（圖3）使電磁閥）使電磁閥2斷電，則切斷進(jìn)調(diào)節(jié)閥膜頭信號，斷電，則切斷進(jìn)調(diào)節(jié)閥膜頭信號，使調(diào)節(jié)閥切斷容器使調(diào)節(jié)閥切斷容器A進(jìn)料，這個(gè)動作要在進(jìn)料，這個(gè)動作要在3秒內(nèi)完成，秒內(nèi)完成，安全等級必須達(dá)到安全等級必須達(dá)到SIL2。這是一個(gè)安全儀表功能的。這是一個(gè)安全儀表功能的完整描述，而所謂的安全儀表系統(tǒng)，

6、則是類似一個(gè)或完整描述，而所謂的安全儀表系統(tǒng)，則是類似一個(gè)或多個(gè)這樣的安全儀表功能的集合。多個(gè)這樣的安全儀表功能的集合。圖圖2 安全儀表回路圖安全儀表回路圖圖圖2 說明說明1. L液面超高液面超高-L1接點(diǎn)閉合接點(diǎn)閉合-Z帶電。帶電。2. Z1常閉接點(diǎn)打開，常閉接點(diǎn)打開，S線圈斷電。線圈斷電。3. S電磁閥切斷，往調(diào)節(jié)閥膜頭的控制信號調(diào)節(jié)閥切斷電磁閥切斷，往調(diào)節(jié)閥膜頭的控制信號調(diào)節(jié)閥切斷工藝進(jìn)料，完成聯(lián)鎖保護(hù)作用。工藝進(jìn)料，完成聯(lián)鎖保護(hù)作用。4. K起：按鈕開關(guān)：起動聯(lián)鎖保護(hù)回路兼有復(fù)位作用。起：按鈕開關(guān)：起動聯(lián)鎖保護(hù)回路兼有復(fù)位作用。5. K停：起人工強(qiáng)制起動聯(lián)鎖保護(hù)作用。停：起人工強(qiáng)制起動

7、聯(lián)鎖保護(hù)作用。6. K旁：旁路聯(lián)鎖保護(hù)作用，用于開車或檢修聯(lián)鎖信號旁：旁路聯(lián)鎖保護(hù)作用，用于開車或檢修聯(lián)鎖信號儀表儀表。圖圖3 SIS邏輯圖邏輯圖SIS安全儀表系統(tǒng)安全儀表系統(tǒng)大多石油和化工生產(chǎn)過程具有高溫、高壓、易燃、易爆、大多石油和化工生產(chǎn)過程具有高溫、高壓、易燃、易爆、有毒等危險(xiǎn)。當(dāng)某些工藝參數(shù)超出安全極限，未及時(shí)處有毒等危險(xiǎn)。當(dāng)某些工藝參數(shù)超出安全極限，未及時(shí)處理或處理不當(dāng)時(shí)，便有可能造成人員傷亡、設(shè)備損壞、理或處理不當(dāng)時(shí)，便有可能造成人員傷亡、設(shè)備損壞、周邊環(huán)境污染等惡性事故。這就是說，從安全的角度出周邊環(huán)境污染等惡性事故。這就是說，從安全的角度出發(fā)，石油和化工生產(chǎn)過程自身存在著固有

8、的風(fēng)險(xiǎn)。發(fā)，石油和化工生產(chǎn)過程自身存在著固有的風(fēng)險(xiǎn)?？傊?，總之，SIS是一種經(jīng)專門機(jī)構(gòu)認(rèn)證，具有一定安全完整性是一種經(jīng)專門機(jī)構(gòu)認(rèn)證，具有一定安全完整性水平，用于降低生產(chǎn)過程風(fēng)險(xiǎn)的儀表安全保護(hù)系統(tǒng)。它水平，用于降低生產(chǎn)過程風(fēng)險(xiǎn)的儀表安全保護(hù)系統(tǒng)。它不僅能響應(yīng)生產(chǎn)過程因超過安全極限而帶來的風(fēng)險(xiǎn)，而不僅能響應(yīng)生產(chǎn)過程因超過安全極限而帶來的風(fēng)險(xiǎn)，而且能檢測和處理自身的故障，從而按預(yù)定條件或程序使且能檢測和處理自身的故障，從而按預(yù)定條件或程序使生產(chǎn)過程處于安全狀態(tài)，以確保人員、設(shè)備及工廠周邊生產(chǎn)過程處于安全狀態(tài)，以確保人員、設(shè)備及工廠周邊環(huán)境的安全。環(huán)境的安全。SIS安全儀表系統(tǒng)安全儀表系統(tǒng)按照按照SI

9、S的定義，下述系統(tǒng)均屬于安全儀表系統(tǒng)：的定義，下述系統(tǒng)均屬于安全儀表系統(tǒng)：n安全聯(lián)鎖系統(tǒng)（安全聯(lián)鎖系統(tǒng)（Safety Interlock SystemSIS）n安全關(guān)聯(lián)系統(tǒng)（安全關(guān)聯(lián)系統(tǒng)（Safety Related SystemSRS）n儀表保護(hù)系統(tǒng)（儀表保護(hù)系統(tǒng)（Instrument Protective SystemIPS）n透平壓縮機(jī)集成控制系統(tǒng)（透平壓縮機(jī)集成控制系統(tǒng)（Integrated Turbo & Compressor Control SystemITCC）n火災(zāi)及氣體檢測系統(tǒng)（火災(zāi)及氣體檢測系統(tǒng)（Fire and gas systemsF&G）n緊急停車系統(tǒng)（緊急停車系統(tǒng)（

10、Emergency Shutdown DeviceESD）n燃燒管理系統(tǒng)（燃燒管理系統(tǒng)（Burner Management System）n列車自動防護(hù)系統(tǒng)（列車自動防護(hù)系統(tǒng)（ATP）2 SIS的相關(guān)標(biāo)準(zhǔn)及認(rèn)證機(jī)構(gòu)的相關(guān)標(biāo)準(zhǔn)及認(rèn)證機(jī)構(gòu) SIS的相關(guān)標(biāo)準(zhǔn)及認(rèn)證機(jī)構(gòu)的相關(guān)標(biāo)準(zhǔn)及認(rèn)證機(jī)構(gòu) 鑒于鑒于SIS涉及到人員、設(shè)備、環(huán)境的安全，因此各國均涉及到人員、設(shè)備、環(huán)境的安全，因此各國均制定了相關(guān)的標(biāo)準(zhǔn)、規(guī)范，使得制定了相關(guān)的標(biāo)準(zhǔn)、規(guī)范，使得SIS的設(shè)計(jì)、制造、使的設(shè)計(jì)、制造、使用均有章可循。并有權(quán)威的認(rèn)證機(jī)構(gòu)對產(chǎn)品能達(dá)到的用均有章可循。并有權(quán)威的認(rèn)證機(jī)構(gòu)對產(chǎn)品能達(dá)到的安全等級進(jìn)行確認(rèn)。這些標(biāo)準(zhǔn)、規(guī)范及認(rèn)

11、證機(jī)構(gòu)主要安全等級進(jìn)行確認(rèn)。這些標(biāo)準(zhǔn)、規(guī)范及認(rèn)證機(jī)構(gòu)主要有：有：我國石化集團(tuán)制定的行業(yè)標(biāo)準(zhǔn)我國石化集團(tuán)制定的行業(yè)標(biāo)準(zhǔn)SHB-Z06-1999石油化石油化工緊急停車及安全聯(lián)鎖系統(tǒng)設(shè)計(jì)導(dǎo)則工緊急停車及安全聯(lián)鎖系統(tǒng)設(shè)計(jì)導(dǎo)則。2006年、年、2007年等同采用年等同采用IEC61508、IEC61511的中國的中國國家標(biāo)準(zhǔn)國家標(biāo)準(zhǔn)GB/T20438、GB/T21109相繼發(fā)布，中國的相繼發(fā)布，中國的功能安全標(biāo)準(zhǔn)開始規(guī)范我國的功能安全工作。功能安全標(biāo)準(zhǔn)開始規(guī)范我國的功能安全工作。SIS的相關(guān)標(biāo)準(zhǔn)及認(rèn)證機(jī)構(gòu)的相關(guān)標(biāo)準(zhǔn)及認(rèn)證機(jī)構(gòu) 國際電工委員會國際電工委員會1997年制定的年制定的IEC 61508/615

12、11標(biāo)準(zhǔn)，標(biāo)準(zhǔn)，對用機(jī)電設(shè)備（繼電器）、固態(tài)電子設(shè)備、可編程電對用機(jī)電設(shè)備（繼電器）、固態(tài)電子設(shè)備、可編程電子設(shè)備（子設(shè)備（PLC）構(gòu)成的安全聯(lián)鎖系統(tǒng)的硬件、軟件及）構(gòu)成的安全聯(lián)鎖系統(tǒng)的硬件、軟件及應(yīng)用作出了明確規(guī)定。應(yīng)用作出了明確規(guī)定。 美國儀表學(xué)會制定的美國儀表學(xué)會制定的ISA-S84.01-1996安全儀表系統(tǒng)安全儀表系統(tǒng)在過程工業(yè)中的應(yīng)用在過程工業(yè)中的應(yīng)用。 美國化學(xué)工程學(xué)會制定的美國化學(xué)工程學(xué)會制定的AICHE（ccps）-1993，化學(xué)過程的安全自動化導(dǎo)則化學(xué)過程的安全自動化導(dǎo)則。 英國健康與安全執(zhí)行委員會制定的英國健康與安全執(zhí)行委員會制定的HSE PES-1987，可編程電子系統(tǒng)

13、在安全領(lǐng)域的應(yīng)用可編程電子系統(tǒng)在安全領(lǐng)域的應(yīng)用。SIS的相關(guān)標(biāo)準(zhǔn)及認(rèn)證機(jī)構(gòu)的相關(guān)標(biāo)準(zhǔn)及認(rèn)證機(jī)構(gòu) 德國國家標(biāo)準(zhǔn)中有安全系統(tǒng)制造廠商標(biāo)準(zhǔn)德國國家標(biāo)準(zhǔn)中有安全系統(tǒng)制造廠商標(biāo)準(zhǔn)-DIN V VDE 0801、過程操作用戶標(biāo)準(zhǔn)、過程操作用戶標(biāo)準(zhǔn)-DIN V 19250和和DIN V 19251、燃燒管理系統(tǒng)標(biāo)準(zhǔn)、燃燒管理系統(tǒng)標(biāo)準(zhǔn)-DIN VDE 0116等。等。 德國技術(shù)監(jiān)督協(xié)會（德國技術(shù)監(jiān)督協(xié)會（TV）是一個(gè)獨(dú)立的、權(quán)威的認(rèn)）是一個(gè)獨(dú)立的、權(quán)威的認(rèn)證機(jī)構(gòu)，它按照德國國家標(biāo)準(zhǔn)（證機(jī)構(gòu)，它按照德國國家標(biāo)準(zhǔn)（DIN），將），將ESD所達(dá)所達(dá)到的安全等級分為到的安全等級分為AK1AK8，AK8安全級別最高。安

14、全級別最高。其中其中AK4、AK5、AK6為適用于石油和化學(xué)工業(yè)為適用于石油和化學(xué)工業(yè) 取得取得TUV認(rèn)證的認(rèn)證的SIS產(chǎn)品產(chǎn)品 SIS的相關(guān)標(biāo)準(zhǔn)及認(rèn)證機(jī)構(gòu)的相關(guān)標(biāo)準(zhǔn)及認(rèn)證機(jī)構(gòu) 在國內(nèi)石化行業(yè)中應(yīng)用的在國內(nèi)石化行業(yè)中應(yīng)用的SIS產(chǎn)品中，經(jīng)過產(chǎn)品中，經(jīng)過TUV認(rèn)證的主要認(rèn)證的主要有：有：nTricon、Triden，美國，美國Triconex公司開發(fā)用于壓縮機(jī)綜合公司開發(fā)用于壓縮機(jī)綜合控制（控制（ITCC）和緊急停車系統(tǒng)。安全等級為）和緊急停車系統(tǒng)。安全等級為AK6（SIL3）。）。nFSC（Fail safe control），由荷蘭），由荷蘭P&F（Pepper&Fuchs）公司開發(fā)，公司開

15、發(fā)，1994年被年被Honeywell公司收購。安全等級可達(dá)公司收購。安全等級可達(dá)AK6（SIL3）SIS的相關(guān)標(biāo)準(zhǔn)及認(rèn)證機(jī)構(gòu)的相關(guān)標(biāo)準(zhǔn)及認(rèn)證機(jī)構(gòu) nHIMA PES，HIMA是德國一家專業(yè)生產(chǎn)安全控制設(shè)備的是德國一家專業(yè)生產(chǎn)安全控制設(shè)備的公司，公司，PES (Programmable Electronic System)是可編程電是可編程電子系統(tǒng)的簡稱，是近幾年來國內(nèi)引進(jìn)較多的一種安全儀表子系統(tǒng)的簡稱，是近幾年來國內(nèi)引進(jìn)較多的一種安全儀表系統(tǒng)。主要由系統(tǒng)。主要由H41q和和H51q系統(tǒng)組成。系統(tǒng)組成。H41q也叫小系統(tǒng)，也叫小系統(tǒng)，它分為不冗余的系統(tǒng)和冗余的系統(tǒng)，不冗余系統(tǒng)型號為它分為不冗余

16、的系統(tǒng)和冗余的系統(tǒng)，不冗余系統(tǒng)型號為H41qM，冗余系統(tǒng)又分為高可靠系統(tǒng)，冗余系統(tǒng)又分為高可靠系統(tǒng)H41qH和高性能和高性能系統(tǒng)系統(tǒng)H41qHR。H51q稱為模塊化的系統(tǒng)，它也分為不冗稱為模塊化的系統(tǒng)，它也分為不冗余的系統(tǒng)和冗余的系統(tǒng)，不冗余的系統(tǒng)型號為余的系統(tǒng)和冗余的系統(tǒng)，不冗余的系統(tǒng)型號為H51qH和和高性能系統(tǒng)高性能系統(tǒng)H51qHR。各種型號的。各種型號的PES都具有都具有TUV AK16級認(rèn)證。級認(rèn)證。SIS的相關(guān)標(biāo)準(zhǔn)及認(rèn)證機(jī)構(gòu)的相關(guān)標(biāo)準(zhǔn)及認(rèn)證機(jī)構(gòu) nProsafeRS，是橫河電機(jī)安全儀表系統(tǒng)，其特點(diǎn)是與，是橫河電機(jī)安全儀表系統(tǒng)，其特點(diǎn)是與CENTUMCS.3000 R3的技術(shù)融合，即

17、實(shí)現(xiàn)了與的技術(shù)融合，即實(shí)現(xiàn)了與DSC的無的無縫集成。非冗余取量即可實(shí)現(xiàn)縫集成。非冗余取量即可實(shí)現(xiàn)SIL3，通過冗余取量實(shí)現(xiàn)更，通過冗余取量實(shí)現(xiàn)更高的可用性。高的可用性。nQUADLOG，由，由MOORE公司開發(fā)，日本橫河電機(jī)公司收公司開發(fā)，日本橫河電機(jī)公司收購后稱購后稱prosafe plc，其，其1oo2D結(jié)構(gòu)安全等級達(dá)結(jié)構(gòu)安全等級達(dá)AK6 (SIL3)；nSIMATICS7400F/FH，德國，德國SIEMENS公司產(chǎn)品。公司產(chǎn)品。400F和和400FH分別為分別為1個(gè)個(gè)CPU和和2個(gè)個(gè)CPU運(yùn)行運(yùn)行fail-safe（F）用戶）用戶程序，均取得程序，均取得TUV認(rèn)證，安全等級為認(rèn)證，安全

18、等級為AK1AK6（SIL1SIL3）；）；SIS的相關(guān)標(biāo)準(zhǔn)及認(rèn)證機(jī)構(gòu)的相關(guān)標(biāo)準(zhǔn)及認(rèn)證機(jī)構(gòu) nRegent Trusted，美國，美國ICS利用宇航技術(shù)開發(fā)的安全系統(tǒng)。利用宇航技術(shù)開發(fā)的安全系統(tǒng)。安全等級安全等級AK4AK6（SIL2SIL3）；）；nGMR90-70，美國，美國GE Fanuc公司開發(fā)。其中公司開發(fā)。其中GMR90-70(模模塊式冗余容錯(cuò)塊式冗余容錯(cuò))的安全等級為的安全等級為class 5（2oo3），），class 4（1oo2）和）和class 5（2oo2）；）；nTRIGUARD SC300E， AUGUST公司開發(fā)，公司開發(fā)，1999年成為年成為ABB集團(tuán)成員之一，

19、安全等級為集團(tuán)成員之一，安全等級為class 5和和class 6，系統(tǒng)結(jié)，系統(tǒng)結(jié)構(gòu)為構(gòu)為2oo3；nSafeguard 400&300，ABB Industry公司開發(fā)，系統(tǒng)結(jié)構(gòu)公司開發(fā)，系統(tǒng)結(jié)構(gòu)1oo2D。3 SIS和和DCS的比較的比較 SIS和和DCS的比較的比較DCS與由與由PES構(gòu)成的構(gòu)成的SIS的主要區(qū)別有：的主要區(qū)別有： DCSSIS構(gòu) 成不含檢測、執(zhí)行含檢測、執(zhí)行單元作用（功能） 使生產(chǎn)過程在正常工況乃至最佳工況下運(yùn)行超限安全停車工 作動態(tài)、連續(xù)靜態(tài)、間斷安全級別低、不需認(rèn)證高、需認(rèn)證SIS和和DCS的比較的比較n系統(tǒng)的組成：系統(tǒng)的組成：DCS一般是由人機(jī)界面操作站、通信總線

20、及一般是由人機(jī)界面操作站、通信總線及現(xiàn)場控制站組成；而現(xiàn)場控制站組成；而SIS系統(tǒng)是由傳感器、邏輯解算器和系統(tǒng)是由傳感器、邏輯解算器和最終元件三部分組成。及最終元件三部分組成。及DCS不含檢測執(zhí)行部分。不含檢測執(zhí)行部分。 n實(shí)現(xiàn)功能：實(shí)現(xiàn)功能：DCS用于過程連續(xù)測量、常規(guī)控制（連續(xù)、順用于過程連續(xù)測量、常規(guī)控制（連續(xù)、順序、間歇等）操作控制管理使生產(chǎn)過程在正常情況下運(yùn)行序、間歇等）操作控制管理使生產(chǎn)過程在正常情況下運(yùn)行至最佳工況；而至最佳工況；而SIS是超越極限安全即將工藝、設(shè)備轉(zhuǎn)至是超越極限安全即將工藝、設(shè)備轉(zhuǎn)至安全狀態(tài)。安全狀態(tài)。 n工作狀態(tài)：工作狀態(tài)：DCS是主動的、動態(tài)的，它始終對過程

21、變量連是主動的、動態(tài)的，它始終對過程變量連續(xù)進(jìn)行檢測、運(yùn)算和控制，對生產(chǎn)過程動態(tài)控制確保產(chǎn)品續(xù)進(jìn)行檢測、運(yùn)算和控制，對生產(chǎn)過程動態(tài)控制確保產(chǎn)品質(zhì)量和產(chǎn)量。而質(zhì)量和產(chǎn)量。而SIS系統(tǒng)是被動的、休眠的系統(tǒng)是被動的、休眠的 。 SIS和和DCS的比較的比較n安全級別：安全級別：DCS安全級別低，不需要安全認(rèn)證；而安全級別低，不需要安全認(rèn)證；而SIS系統(tǒng)級別高，需要安全認(rèn)證。系統(tǒng)級別高，需要安全認(rèn)證。 n應(yīng)對失效方式：應(yīng)對失效方式：DCS系統(tǒng)大部分失效都是顯而易見的，系統(tǒng)大部分失效都是顯而易見的，其失效會在生產(chǎn)的動態(tài)過程中自行顯現(xiàn)，很少存在隱性其失效會在生產(chǎn)的動態(tài)過程中自行顯現(xiàn)，很少存在隱性失效；失效

22、；SIS失效就沒那么明顯了，因此確定這種休眠系失效就沒那么明顯了，因此確定這種休眠系統(tǒng)是否還能正常工作的唯一方法，就是對該系統(tǒng)進(jìn)行周統(tǒng)是否還能正常工作的唯一方法，就是對該系統(tǒng)進(jìn)行周期性的診斷或測試。因此安全儀表系統(tǒng)需要人為的進(jìn)行期性的診斷或測試。因此安全儀表系統(tǒng)需要人為的進(jìn)行周期性的離線或在線檢驗(yàn)測試，而有些安全系統(tǒng)則帶有周期性的離線或在線檢驗(yàn)測試，而有些安全系統(tǒng)則帶有內(nèi)部自診斷。內(nèi)部自診斷。 4 SIS設(shè)計(jì)應(yīng)遵循的原則設(shè)計(jì)應(yīng)遵循的原則SIS設(shè)計(jì)應(yīng)遵循的原則設(shè)計(jì)應(yīng)遵循的原則 原則上應(yīng)獨(dú)立設(shè)置（含檢測和執(zhí)行單元）；原則上應(yīng)獨(dú)立設(shè)置（含檢測和執(zhí)行單元）； 中間環(huán)節(jié)最少；中間環(huán)節(jié)最少； 應(yīng)為故障安全

23、型；應(yīng)為故障安全型； 采用冗余容錯(cuò)結(jié)構(gòu)。采用冗余容錯(cuò)結(jié)構(gòu)。 5 故障安全原則故障安全原則故障安全原則故障安全原則 組成組成SIS的各環(huán)節(jié)自身出現(xiàn)故障的概率不可能為零，的各環(huán)節(jié)自身出現(xiàn)故障的概率不可能為零， 且且供電、供氣中斷亦可能發(fā)生。供電、供氣中斷亦可能發(fā)生。 當(dāng)內(nèi)部或外部原因使當(dāng)內(nèi)部或外部原因使SIS失效時(shí)，被保護(hù)的對象（裝置）失效時(shí)，被保護(hù)的對象（裝置）應(yīng)按預(yù)定的順序安全停車，自動轉(zhuǎn)入安全狀態(tài)（應(yīng)按預(yù)定的順序安全停車，自動轉(zhuǎn)入安全狀態(tài)（Fault to Safety），這就是故障安全原則。），這就是故障安全原則。 具體體現(xiàn)：具體體現(xiàn)： 現(xiàn)場開關(guān)儀表選用常閉接點(diǎn)，工藝正常時(shí)，觸點(diǎn)閉合，現(xiàn)場

24、開關(guān)儀表選用常閉接點(diǎn)，工藝正常時(shí)，觸點(diǎn)閉合，達(dá)到安全極限時(shí)觸點(diǎn)斷開，觸發(fā)聯(lián)鎖動作，必要時(shí)采用達(dá)到安全極限時(shí)觸點(diǎn)斷開，觸發(fā)聯(lián)鎖動作，必要時(shí)采用“二選一二選一”、“二選二二選二”或或“三選二三選二”配置。配置。 電磁閥采用正常勵磁，聯(lián)鎖未動作時(shí)，電磁閥線圈帶電，電磁閥采用正常勵磁，聯(lián)鎖未動作時(shí)，電磁閥線圈帶電，聯(lián)鎖動作時(shí)斷電。聯(lián)鎖動作時(shí)斷電。故障安全原則故障安全原則 送往電氣配電室用以開送往電氣配電室用以開/停電機(jī)的接點(diǎn)用中間繼電器隔停電機(jī)的接點(diǎn)用中間繼電器隔離，其勵磁電路應(yīng)為故障安全型。離，其勵磁電路應(yīng)為故障安全型。 作為控制裝置（如作為控制裝置（如PLC）“故障安全故障安全”意味著當(dāng)其自意味著

25、當(dāng)其自身出現(xiàn)故障而不是工藝或設(shè)備超過極限工作范圍時(shí)，身出現(xiàn)故障而不是工藝或設(shè)備超過極限工作范圍時(shí)，至少應(yīng)該聯(lián)鎖動作，以便按預(yù)定的順序安全停車（這至少應(yīng)該聯(lián)鎖動作，以便按預(yù)定的順序安全停車（這對工藝和設(shè)備而言是安全的）；進(jìn)而應(yīng)通過硬件和軟對工藝和設(shè)備而言是安全的）；進(jìn)而應(yīng)通過硬件和軟件的冗余和容錯(cuò)技術(shù)，在過程安全時(shí)間（件的冗余和容錯(cuò)技術(shù)，在過程安全時(shí)間（PST-Process Safety Time）內(nèi)檢測到故障，自動執(zhí)行糾錯(cuò)程序，排）內(nèi)檢測到故障，自動執(zhí)行糾錯(cuò)程序，排除故障。除故障。 6 隱故障與顯故障隱故障與顯故障隱故障與顯故障隱故障與顯故障n隱故障（隱故障（Covert Fault）：不對

26、危險(xiǎn)產(chǎn)生報(bào)警，允許危）：不對危險(xiǎn)產(chǎn)生報(bào)警，允許危險(xiǎn)發(fā)展的故障，是故障危險(xiǎn)故障（險(xiǎn)發(fā)展的故障，是故障危險(xiǎn)故障（SHB-Z06-1999）。）。 Covert Fault：Fault that can be classified as hidden， concealed， undetected， unrevealed， latent， ect. （ISA-S84.01-1996）n顯故障（顯故障（Overt Fault）：能顯示出故障自身存在的故）：能顯示出故障自身存在的故障，是故障安全故障（障，是故障安全故障（SHB-Z06-1999）。）。 Overt Fault：Fault that can

27、 be classified as announced， detected， revealed，ect.（ISA-S84.01-1996）隱故障與顯故障隱故障與顯故障SIS系統(tǒng)拒動：系統(tǒng)拒動：當(dāng)工藝條件達(dá)到或超過安全極限時(shí)，當(dāng)工藝條件達(dá)到或超過安全極限時(shí)，SIS本應(yīng)引導(dǎo)本應(yīng)引導(dǎo)工藝過程停車，但由于其自身存在隱性故障（危工藝過程停車，但由于其自身存在隱性故障（危險(xiǎn)故障），譬如輸出開關(guān)被誤連短路，而不能響險(xiǎn)故障），譬如輸出開關(guān)被誤連短路，而不能響應(yīng)此要求，即該停車而拒停，降低了安全性。危應(yīng)此要求，即該停車而拒停，降低了安全性。危險(xiǎn)失效定義為這樣一些失效，這些失效會阻止險(xiǎn)失效定義為這樣一些失效，這些

28、失效會阻止SIS系統(tǒng)對潛在的危險(xiǎn)工況做出反應(yīng)。系統(tǒng)對潛在的危險(xiǎn)工況做出反應(yīng)。 隱故障與顯故障隱故障與顯故障SIS系統(tǒng)誤動：系統(tǒng)誤動：在圖在圖4中，當(dāng)輸出開關(guān)由于某種原因處于非激勵狀態(tài)，即中，當(dāng)輸出開關(guān)由于某種原因處于非激勵狀態(tài)，即使?jié)撛诘奈ｋU(xiǎn)工況沒有發(fā)生，使?jié)撛诘奈ｋU(xiǎn)工況沒有發(fā)生，SIS也會進(jìn)入一種安全失效也會進(jìn)入一種安全失效狀態(tài)見圖狀態(tài)見圖5，這種情況經(jīng)常被稱為，這種情況經(jīng)常被稱為“誤動誤動”。誤動可能會。誤動可能會以許多不同方式發(fā)生。例如，輸入電路可能會發(fā)生故障，以許多不同方式發(fā)生。例如，輸入電路可能會發(fā)生故障，從而使邏輯解算器誤認(rèn)為是傳感器檢測到了危險(xiǎn)工況，而從而使邏輯解算器誤認(rèn)為是傳感

29、器檢測到了危險(xiǎn)工況，而事實(shí)上并沒有這種情況發(fā)生。邏輯解算器本身也可能出現(xiàn)事實(shí)上并沒有這種情況發(fā)生。邏輯解算器本身也可能出現(xiàn)運(yùn)算錯(cuò)誤，并導(dǎo)致輸出回路失電，輸出回路可能出現(xiàn)開路。運(yùn)算錯(cuò)誤，并導(dǎo)致輸出回路失電，輸出回路可能出現(xiàn)開路。SIS的許多元件失效均會導(dǎo)致系統(tǒng)進(jìn)入安全失效狀態(tài)。的許多元件失效均會導(dǎo)致系統(tǒng)進(jìn)入安全失效狀態(tài)。圖圖4 正常運(yùn)行時(shí)的正常激勵系統(tǒng)正常運(yùn)行時(shí)的正常激勵系統(tǒng)SIS負(fù)載壓力開關(guān)開關(guān)量輸入正常運(yùn)行時(shí)開關(guān)閉合，非正常運(yùn)行時(shí)開關(guān)打開+正常工作時(shí)輸出開關(guān)處在激勵狀態(tài)非正常運(yùn)行時(shí)輸出開關(guān)處在失勵狀態(tài)輸出開關(guān)+圖圖5SIS負(fù)載壓力開關(guān)開關(guān)量輸入即使壓力開關(guān)閉合，由于輸入電路的故障SIS也會誤

30、認(rèn)為它是打開的+輸出電路發(fā)生開路故障邏輯解算器不能讀取1輸入，不能進(jìn)行正常的邏輯運(yùn)算，也不能生成邏輯1輸出輸出開關(guān)+PFS（安全故障概率）：正常激勵的（安全故障概率）：正常激勵的SIS系統(tǒng)在它的輸出非系統(tǒng)在它的輸出非激勵時(shí)，就會處于故障狀態(tài)，這有一個(gè)概率。稱為安全故障激勵時(shí)，就會處于故障狀態(tài)，這有一個(gè)概率。稱為安全故障概率（概率（PFS），或稱誤動率。），或稱誤動率。PFD（要求時(shí)失效概率）：這是一個(gè)衡量安全性的指標(biāo)，稱（要求時(shí)失效概率）：這是一個(gè)衡量安全性的指標(biāo)，稱為要求時(shí)失效概率。它意味著系統(tǒng)是危險(xiǎn)的。它不會再要求為要求時(shí)失效概率。它意味著系統(tǒng)是危險(xiǎn)的。它不會再要求（潛在的緊急條件）發(fā)生時(shí)

31、產(chǎn)生響應(yīng)。（潛在的緊急條件）發(fā)生時(shí)產(chǎn)生響應(yīng)。SIS的功能安全的功能安全安全儀表系統(tǒng)必須在工業(yè)系統(tǒng)出現(xiàn)危險(xiǎn)情況時(shí)正確執(zhí)行其對安全儀表系統(tǒng)必須在工業(yè)系統(tǒng)出現(xiàn)危險(xiǎn)情況時(shí)正確執(zhí)行其對應(yīng)的安全功能，安全儀表系統(tǒng)的這種特性被稱為功能安全。應(yīng)的安全功能，安全儀表系統(tǒng)的這種特性被稱為功能安全。功能安全實(shí)際上講的是功能安全實(shí)際上講的是SIS系統(tǒng)自身的安全問題。系統(tǒng)自身的安全問題。SIS的安全功能的安全功能n如圖如圖6示安全儀表系統(tǒng)，該系統(tǒng)由一個(gè)壓力變送器、一示安全儀表系統(tǒng)，該系統(tǒng)由一個(gè)壓力變送器、一個(gè)閥門和一個(gè)安全個(gè)閥門和一個(gè)安全PLC組成的組成的SIS系統(tǒng)。系統(tǒng)。n壓力變送器檢測容器內(nèi)壓力并將其變換成合適的信

32、號傳壓力變送器檢測容器內(nèi)壓力并將其變換成合適的信號傳送給安全送給安全PLC，安全，安全PLC判斷若壓力超過了額定值則打判斷若壓力超過了額定值則打開閥門以降低容器內(nèi)壓力，這被稱為安全系統(tǒng)的一個(gè)安開閥門以降低容器內(nèi)壓力，這被稱為安全系統(tǒng)的一個(gè)安全功能。很明顯例子中儀表安全系統(tǒng)只有一個(gè)安全功能。全功能。很明顯例子中儀表安全系統(tǒng)只有一個(gè)安全功能。如果三個(gè)設(shè)備有一個(gè)或多個(gè)失效，安全功能將失效，即如果三個(gè)設(shè)備有一個(gè)或多個(gè)失效，安全功能將失效，即它將不能對壓力容器內(nèi)壓力進(jìn)行限制。因此安全儀表系它將不能對壓力容器內(nèi)壓力進(jìn)行限制。因此安全儀表系統(tǒng)的安全性能由傳感器、邏輯解算器和執(zhí)行器三部分功統(tǒng)的安全性能由傳感器

33、、邏輯解算器和執(zhí)行器三部分功能決定。能決定。nSIS安全功能實(shí)際上講的是讓安全功能實(shí)際上講的是讓SIS執(zhí)行什么樣的安全任務(wù)，執(zhí)行什么樣的安全任務(wù)，如何保護(hù)受控設(shè)備。如何保護(hù)受控設(shè)備。圖圖6 反應(yīng)器的安全儀表系統(tǒng)反應(yīng)器的安全儀表系統(tǒng) PS Logic solve 邏輯解算器feed valve進(jìn)料閥Reactor反應(yīng)器TSFeed進(jìn)料Pressure Sensor壓力變送器Temperature Sensor 溫度變送器當(dāng)反應(yīng)器溫度及壓力超高達(dá)到危險(xiǎn)狀當(dāng)反應(yīng)器溫度及壓力超高達(dá)到危險(xiǎn)狀態(tài)時(shí)都要停車，關(guān)斷進(jìn)料閥。態(tài)時(shí)都要停車，關(guān)斷進(jìn)料閥。 7 安全性及響應(yīng)失效率安全性及響應(yīng)失效率安全性及響應(yīng)失效率安

34、全性及響應(yīng)失效率n當(dāng)工藝條件達(dá)到或超過安全極限值時(shí)，當(dāng)工藝條件達(dá)到或超過安全極限值時(shí)，SIS本應(yīng)引導(dǎo)工本應(yīng)引導(dǎo)工藝過程停車，但由于其自身存在隱故障（危險(xiǎn)故障）而藝過程停車，但由于其自身存在隱故障（危險(xiǎn)故障）而不能響應(yīng)此要求，即該停車而拒停，降低了安全性。不能響應(yīng)此要求，即該停車而拒停，降低了安全性。 n衡量安全性的指標(biāo)為響應(yīng)失效率或稱要求的故障率衡量安全性的指標(biāo)為響應(yīng)失效率或稱要求的故障率（PFD：Probability of Failure on Demand）。它是安全）。它是安全聯(lián)鎖系統(tǒng)按要求執(zhí)行指定功能的故障概率。是度量安全聯(lián)鎖系統(tǒng)按要求執(zhí)行指定功能的故障概率。是度量安全聯(lián)鎖系統(tǒng)按要求

35、模式工作故障率的目標(biāo)值（聯(lián)鎖系統(tǒng)按要求模式工作故障率的目標(biāo)值（SHB-Z06-1999）。）。 n不同的工業(yè)過程（如生產(chǎn)規(guī)模、原料和產(chǎn)品的種類、工不同的工業(yè)過程（如生產(chǎn)規(guī)模、原料和產(chǎn)品的種類、工藝和設(shè)備的復(fù)雜程度等）對安全的要求是不同的。上述藝和設(shè)備的復(fù)雜程度等）對安全的要求是不同的。上述的國際標(biāo)準(zhǔn)將其劃分為若干安全完整性等級（的國際標(biāo)準(zhǔn)將其劃分為若干安全完整性等級（SIL：Safety Integrity Level）。）。 安全完整性等級安全完整性等級Safety Integrity Level（SIL）安全完整性等級（安全完整性等級（SIL）是一種離散的等級，用來規(guī)定分）是一種離散的等級

36、，用來規(guī)定分配給配給E/E/PE安全相關(guān)系統(tǒng)安全功能的安全完整性要求。安全相關(guān)系統(tǒng)安全功能的安全完整性要求。n安全完整性等級可分為安全完整性等級可分為4個(gè)等級，個(gè)等級，SIL4是安全完整性最是安全完整性最高的等級（平均概率最高），高的等級（平均概率最高），SIL1是最低等級；是最低等級；n安全完整性等級越高，應(yīng)執(zhí)行所要求的安全功能的概率安全完整性等級越高，應(yīng)執(zhí)行所要求的安全功能的概率也越高；也越高；n根據(jù)安全相關(guān)系統(tǒng)使用方式，要求發(fā)生的頻率可分為低根據(jù)安全相關(guān)系統(tǒng)使用方式，要求發(fā)生的頻率可分為低要求操作模式（要求操作模式（1次次/年）。年）。 安全完整性等級安全完整性等級Safety Inte

37、grity Level（SIL）n根據(jù)根據(jù)GB/T 20438標(biāo)準(zhǔn)，在不同的操作模式下，標(biāo)準(zhǔn)，在不同的操作模式下，安全完整性的目標(biāo)失效概率和目標(biāo)風(fēng)險(xiǎn)降低見安全完整性的目標(biāo)失效概率和目標(biāo)風(fēng)險(xiǎn)降低見下表下表1-1和和1-2。n采用不同的操作模式結(jié)構(gòu)有可能使用幾個(gè)安全采用不同的操作模式結(jié)構(gòu)有可能使用幾個(gè)安全完整性等級較低的系統(tǒng)來滿足一個(gè)較高安全完完整性等級較低的系統(tǒng)來滿足一個(gè)較高安全完整性等級功能的需要（例如：使用一個(gè)整性等級功能的需要（例如：使用一個(gè)SIL2和和一個(gè)一個(gè)SIL1的系統(tǒng)共同來滿足一個(gè)的系統(tǒng)共同來滿足一個(gè)SIL3功能的需功能的需要）。要）。 表1-1 安全完整性等級：要求時(shí)的失效概率低

38、要求操作模式（平均失效概率）低要求操作模式（平均失效概率） 安全完整性等級（安全完整性等級（SIL）要求時(shí)的目標(biāo)平均失效要求時(shí)的目標(biāo)平均失效概率概率 目標(biāo)風(fēng)險(xiǎn)降低目標(biāo)風(fēng)險(xiǎn)降低 410-510000100000 310-4100010000 210-31001000 110-210100 表1-2 安全完整性等級：SIF的危險(xiǎn)失效概率 高要求或連續(xù)操作模式（每小時(shí)危險(xiǎn)失效概率）高要求或連續(xù)操作模式（每小時(shí)危險(xiǎn)失效概率） 安全完整性等級安全完整性等級（SIL）執(zhí)行儀表安全功能的目標(biāo)危險(xiǎn)失效概率執(zhí)行儀表安全功能的目標(biāo)危險(xiǎn)失效概率410-910-8 310-810-7 210-710-6 110-61

39、0-5 表1-3 SIL與PFD的對應(yīng)關(guān)系 ISA-S84.01IEC 61508DIN V 19520(TUV)PFDSIL 1SIL 1AK110-110-2AK2AK3SIL 2SIL 2AK410-210-3SIL 3SIL 3AK510-310-4AK6SIL 4AK710-410-5AK88 可用性及可用度可用性及可用度可用性及可用度可用性及可用度工藝條件并未達(dá)到安全極限值，工藝條件并未達(dá)到安全極限值，SIS不應(yīng)引導(dǎo)工藝過程停不應(yīng)引導(dǎo)工藝過程停車，但由于其自身存在顯故障（安全故障）而導(dǎo)致工藝過車，但由于其自身存在顯故障（安全故障）而導(dǎo)致工藝過程停車，即不該停車而誤停，降低了可用性。

40、程停車，即不該停車而誤停，降低了可用性?？捎枚龋捎枚龋ˋ：Availability）是指系統(tǒng)可使用工作時(shí)間的概）是指系統(tǒng)可使用工作時(shí)間的概率，用百分?jǐn)?shù)計(jì)算：率，用百分?jǐn)?shù)計(jì)算： （SHB-Z06-1999） MDTMTBFMTBFAMTBF：平均故障間隔時(shí)間（Mean Time Between Failures）MDT：平均停車時(shí)間（Mean Downtime）MTTF、MTTR、MTBF 與與SIL的關(guān)系的關(guān)系 MTBF：平均故障間隔時(shí)間（：平均故障間隔時(shí)間（Mean Time Between Failure）MTTR：平均恢復(fù)時(shí)間（：平均恢復(fù)時(shí)間（Mean Time to Repair）M

41、TTF：平均無故障時(shí)間（：平均無故障時(shí)間（Mean Time to Failure）例如：例如：開車MTTF（SIS系統(tǒng)運(yùn)行總時(shí)間）MTTR24h（SIS故障時(shí)間）MTBF2000h發(fā)生危險(xiǎn)故障圖圖7 MTTF、MTTR和和MTBF MTTF、MTTR、MTBF 與與SIL的關(guān)系的關(guān)系 MTTF=MTTR+MTBF PFD=MTTR/（MTBF+MTTR）已知已知 MTTR=24H MTBF=2000H則則 PFD=24/(24+2000)=0.0119所以硬件安全完整性等級達(dá)到所以硬件安全完整性等級達(dá)到SIL1水平。水平。9 冗余和容錯(cuò)冗余和容錯(cuò)冗余和容錯(cuò)冗余和容錯(cuò)n冗余（冗余（Redund

42、ant）：具有指定的獨(dú)立的）：具有指定的獨(dú)立的N：1重元件，重元件，并且可以自動地檢測故障，切換到后備設(shè)備上。并且可以自動地檢測故障，切換到后備設(shè)備上。 （SHB Z06 1999）n冗余系統(tǒng)（冗余系統(tǒng)（Redundant System）：并行地使用多個(gè)系統(tǒng)）：并行地使用多個(gè)系統(tǒng)部件，以提供錯(cuò)誤檢測和錯(cuò)誤校正能力的系統(tǒng)。部件，以提供錯(cuò)誤檢測和錯(cuò)誤校正能力的系統(tǒng)。 （SHB Z06 1999）。）。冗余和容錯(cuò)冗余和容錯(cuò)n容錯(cuò)（容錯(cuò)（Fault Tolerant）：具有內(nèi)部冗余的并行元件和）：具有內(nèi)部冗余的并行元件和集成邏輯，當(dāng)硬件或軟件部分故障時(shí)，能夠識別故障并集成邏輯，當(dāng)硬件或軟件部分故障時(shí)，

43、能夠識別故障并使故障旁路，進(jìn)而繼續(xù)執(zhí)行指定的功能?；蛟谟布蛙浭构收吓月?，進(jìn)而繼續(xù)執(zhí)行指定的功能?；蛟谟布蛙浖l(fā)生故障的情況下，系統(tǒng)仍具有繼續(xù)運(yùn)行的能力。它件發(fā)生故障的情況下，系統(tǒng)仍具有繼續(xù)運(yùn)行的能力。它往往包括三方面的功能：第一是約束故障，即限制過程往往包括三方面的功能：第一是約束故障，即限制過程或進(jìn)程的動作，以防止在錯(cuò)誤被檢測出來之前繼續(xù)擴(kuò)大；或進(jìn)程的動作，以防止在錯(cuò)誤被檢測出來之前繼續(xù)擴(kuò)大；第二是檢測故障，即對信息和過程或進(jìn)程的動作進(jìn)行動第二是檢測故障，即對信息和過程或進(jìn)程的動作進(jìn)行動態(tài)檢測；第三是故障恢復(fù)即更換或修正失效的部件。態(tài)檢測；第三是故障恢復(fù)即更換或修正失效的部件。（SHB

44、Z06 1999）冗余和容錯(cuò)冗余和容錯(cuò)n容錯(cuò)系統(tǒng)（容錯(cuò)系統(tǒng)（Fault Tolerant System）：具有容錯(cuò)結(jié)構(gòu)的）：具有容錯(cuò)結(jié)構(gòu)的硬件與軟件系統(tǒng)。硬件與軟件系統(tǒng)。 （SHB Z06 1999）n總之，通過冗余和故障屏蔽的結(jié)合來實(shí)現(xiàn)容錯(cuò)。容錯(cuò)系總之，通過冗余和故障屏蔽的結(jié)合來實(shí)現(xiàn)容錯(cuò)。容錯(cuò)系統(tǒng)一定是冗余系統(tǒng)，冗余系統(tǒng)不一定是容錯(cuò)系統(tǒng)。容錯(cuò)統(tǒng)一定是冗余系統(tǒng)，冗余系統(tǒng)不一定是容錯(cuò)系統(tǒng)。容錯(cuò)系統(tǒng)的冗余形式有雙重、三重、四重等。圖系統(tǒng)的冗余形式有雙重、三重、四重等。圖8和圖和圖9、圖、圖10分別表示分別表示CPU冗余（雙機(jī)熱備）和三重化冗余容錯(cuò)系冗余（雙機(jī)熱備）和三重化冗余容錯(cuò)系統(tǒng)。統(tǒng)。圖圖8

45、CPU冗余（雙機(jī)熱備）冗余（雙機(jī)熱備）CPU 1CPU 2開關(guān)輸入/輸出現(xiàn)場設(shè)備圖圖9 三重信號冗余容錯(cuò)系統(tǒng)三重信號冗余容錯(cuò)系統(tǒng)看門狗輸出輸出端子輸入端子輸入輸出輸入看門狗看門狗輸出輸入 23 表決器圖3三重位號冗余容錯(cuò)系統(tǒng)圖圖10 三重模塊冗余容錯(cuò)系統(tǒng)三重模塊冗余容錯(cuò)系統(tǒng)輸入輸入輸入CPU CCPU B輸出輸出2oo3 表決器輸出CPU A輸入端子輸出端子怎樣通過冗余來改善系統(tǒng)的整體怎樣通過冗余來改善系統(tǒng)的整體SIL水平水平 n當(dāng)一個(gè)當(dāng)一個(gè)SIS系統(tǒng)的安全完整性等級要求為系統(tǒng)的安全完整性等級要求為SIL3，而實(shí)際，而實(shí)際配置為傳感器為配置為傳感器為2.210-3(SIL 2)，邏輯解算器為，

46、邏輯解算器為1.310-4(SIL3)（包括（包括I/O接口），終端執(zhí)行器為接口），終端執(zhí)行器為2.4110-3（SIL2）,所以整個(gè)系統(tǒng)為所以整個(gè)系統(tǒng)為SIL2不滿足要求。不滿足要求。n于是我們改變傳感器的配置結(jié)構(gòu)，選擇于是我們改變傳感器的配置結(jié)構(gòu)，選擇1oo2冗余，其冗余，其中共因失效中共因失效=10%，診斷覆蓋率（，診斷覆蓋率（DC）=90%，可以算，可以算出出1oo2傳感器的結(jié)構(gòu)的傳感器的結(jié)構(gòu)的PFD=2.310-4，達(dá)到，達(dá)到SIL3的水的水平，同理可以配置執(zhí)行器為平，同理可以配置執(zhí)行器為1oo2冗余結(jié)構(gòu)，也可達(dá)到冗余結(jié)構(gòu)，也可達(dá)到SIL3的要求，于是最終整體的要求，于是最終整體SI

47、S系統(tǒng)的系統(tǒng)的SIL可以達(dá)到可以達(dá)到SIL3的要求。的要求。 怎樣通過冗余來改善系統(tǒng)的整體怎樣通過冗余來改善系統(tǒng)的整體SIL水平水平 n這個(gè)問題的解決給我們以啟示，當(dāng)裝置引進(jìn)一個(gè)這個(gè)問題的解決給我們以啟示，當(dāng)裝置引進(jìn)一個(gè)SIS系系統(tǒng)時(shí)，整體安全完整性等級不僅取決于邏輯解算器部統(tǒng)時(shí)，整體安全完整性等級不僅取決于邏輯解算器部分，而且傳感器、終端執(zhí)行器部分也非常關(guān)鍵。配置分，而且傳感器、終端執(zhí)行器部分也非常關(guān)鍵。配置系統(tǒng)時(shí)，除了引進(jìn)一個(gè)系統(tǒng)時(shí)，除了引進(jìn)一個(gè)SIL3的安全儀表系統(tǒng)，譬如的安全儀表系統(tǒng)，譬如FSC等，還要將傳感器、終端執(zhí)行器一并討論。算出等，還要將傳感器、終端執(zhí)行器一并討論。算出SIS整

48、體的整體的SIL數(shù)據(jù)，定量的安全儀表系統(tǒng)配置任務(wù)才數(shù)據(jù)，定量的安全儀表系統(tǒng)配置任務(wù)才算完成。算完成。冗余表決方法及其安全性、可用性的關(guān)系冗余表決方法及其安全性、可用性的關(guān)系可用性（可用性（A：Availability）是指系統(tǒng)可使用工作時(shí)間（連）是指系統(tǒng)可使用工作時(shí)間（連續(xù)運(yùn)行時(shí)間）的概率，用百分?jǐn)?shù)計(jì)算續(xù)運(yùn)行時(shí)間）的概率，用百分?jǐn)?shù)計(jì)算A值越大，可用性越值越大，可用性越好：好：A = MTBF/(MTBF+MTTR)而而PFD= MTTR /(MTBF+MTTR)PFD越小則安全性越好。越小則安全性越好。冗余邏輯表決方法及安全性冗余邏輯表決方法及安全性-可用性的關(guān)系例子如下表所可用性的關(guān)系例子如

49、下表所示示 。表決方法表決方法隱故障概率隱故障概率（拒動）（拒動）顯故障概率顯故障概率（誤動）（誤動）允許允許不允許不允許安全性安全性可用性可用性一選一一選一 1oo11oo10.020.02（短路的概（短路的概率）率）0.040.04（開路的概（開路的概率）率）存在隱故障存在隱故障和顯故障和顯故障差差差差二選一二選一 1oo21oo20.00040.0004（兩個(gè)均短（兩個(gè)均短路的概率）路的概率）0.080.08（只要有一（只要有一個(gè)開路的概個(gè)開路的概率）率）其中之一存其中之一存在隱故障在隱故障（仍可安全（仍可安全停車）停車）其中之一存其中之一存在顯故障在顯故障（將誤停車）（將誤停車）最好最

50、好最差最差二選二二選二 2oo22oo20.040.04（只要有一（只要有一個(gè)短路的概個(gè)短路的概率）率）0.00160.0016（兩個(gè)均開（兩個(gè)均開路的概率）路的概率）其中之一存其中之一存在顯故障在顯故障（不會誤停（不會誤停車）車）其中之一存其中之一存在隱故障在隱故障（該停拒停）（該停拒停）最差最差最好最好三選二三選二 2oo32oo30.00120.0012（三個(gè)中兩（三個(gè)中兩個(gè)均短路的個(gè)均短路的概率）概率）0.00480.0048（三個(gè)中兩（三個(gè)中兩個(gè)均開路的個(gè)均開路的概率）概率）其中之一存其中之一存在隱故障或在隱故障或顯故障顯故障其中兩個(gè)存其中兩個(gè)存在隱故障或在隱故障或顯故障顯故障較好較

51、好較好較好 表表2 冗余邏輯的表決方法及其與安全性、可用性的關(guān)系冗余邏輯的表決方法及其與安全性、可用性的關(guān)系注：此表中故障概率數(shù)據(jù)摘自西門子公司資料 冗余表決方法及其安全性、可用性的關(guān)系冗余表決方法及其安全性、可用性的關(guān)系以上可見：以上可見： 隱故障（危險(xiǎn)故障）使隱故障（危險(xiǎn)故障）使SIS該動而拒動，隱故障概率越該動而拒動，隱故障概率越高，安全性越差。高，安全性越差。 顯故障（安全故障）使顯故障（安全故障）使ESD不該動而誤動，顯故障概不該動而誤動，顯故障概率越高，可用性越差。率越高，可用性越差。1oo2（二選一）安全性最好，但可用性最差；（二選一）安全性最好，但可用性最差；2oo2（二選（二

52、選二）可用性最好，但安全性最差；二）可用性最好，但安全性最差；2oo3（三選二）可兼顧（三選二）可兼顧10 普通普通PLC和安全和安全PLC的區(qū)別的區(qū)別普通普通PLC和安全和安全PLC的區(qū)別的區(qū)別n普通普通PLC和可以作為和可以作為ESD控制部分的安全控制部分的安全PLC的主要的主要區(qū)別是：普通區(qū)別是：普通PLC不是按故障安全型設(shè)計(jì)的，當(dāng)系統(tǒng)不是按故障安全型設(shè)計(jì)的，當(dāng)系統(tǒng)內(nèi)部元件出現(xiàn)短路故障時(shí)，它并不能檢測到，因此其內(nèi)部元件出現(xiàn)短路故障時(shí)，它并不能檢測到，因此其輸出狀態(tài)不能保證系統(tǒng)回到預(yù)定的安全狀態(tài)。這種輸出狀態(tài)不能保證系統(tǒng)回到預(yù)定的安全狀態(tài)。這種PLC只能用于安全度等級要求低的場合?，F(xiàn)以輸出

53、電只能用于安全度等級要求低的場合?，F(xiàn)以輸出電路為例予以說明。路為例予以說明。 n圖圖11是普通是普通PLC DO卡示意圖?？ㄊ疽鈭D。圖圖11 普通普通PLC DO卡示意圖卡示意圖+24VDC來自CPU的控制信號接負(fù)載，如電磁閥0V DC12普通普通PLC DO卡卡n當(dāng)當(dāng)1、2兩點(diǎn)短路時(shí)，來自兩點(diǎn)短路時(shí)，來自PLC的控制信號將不起作用的控制信號將不起作用（失效），電磁閥將一直處于帶電（勵磁）狀態(tài)，即（失效），電磁閥將一直處于帶電（勵磁）狀態(tài)，即需要聯(lián)鎖動作（電磁閥釋電停車）時(shí)，由于此故障的需要聯(lián)鎖動作（電磁閥釋電停車）時(shí)，由于此故障的存在而拒動，其輸出不能保證處于安全停車狀態(tài)。這存在而拒動，其輸

54、出不能保證處于安全停車狀態(tài)。這就是違背了故障安全（就是違背了故障安全（Fault to Safety）的原則。）的原則。n當(dāng)當(dāng)1、2兩點(diǎn)開路時(shí)，將導(dǎo)致誤動作而停車，同樣會帶兩點(diǎn)開路時(shí)，將導(dǎo)致誤動作而停車，同樣會帶來損失?？梢?，這種普通來損失?？梢?，這種普通PLC的的DO卡輸出電路的安全卡輸出電路的安全性和可用性都是不高的。性和可用性都是不高的。 圖圖12 安全性單容錯(cuò)安全性單容錯(cuò)DO卡示意圖卡示意圖 “與”看門狗中央處理器+24VDC狀態(tài)信號控制信號狀態(tài)信號接負(fù)載，如電磁閥0V DC安全性單容錯(cuò)安全性單容錯(cuò)DO卡卡n圖圖12所示為一種帶有安全性單容錯(cuò)的所示為一種帶有安全性單容錯(cuò)的DO卡示意圖（

55、它卡示意圖（它是是Honeywell SMS FSC-101型輸出示意圖）。型輸出示意圖）。n這里，中央處理器不僅向串聯(lián)的場效應(yīng)管（這里，中央處理器不僅向串聯(lián)的場效應(yīng)管（FET）發(fā)）發(fā)出控制信號，而且還接受來自場效應(yīng)管的狀態(tài)反饋信出控制信號，而且還接受來自場效應(yīng)管的狀態(tài)反饋信號，以便對其輸出進(jìn)行全面測試。當(dāng)測得某管輸出發(fā)號，以便對其輸出進(jìn)行全面測試。當(dāng)測得某管輸出發(fā)生短路時(shí)，中央處理器即啟動糾錯(cuò)動作，隔離相關(guān)的生短路時(shí)，中央處理器即啟動糾錯(cuò)動作，隔離相關(guān)的故障?？撮T狗（故障?？撮T狗（Watch Dog）是個(gè)多通道的計(jì)時(shí)器電路。）是個(gè)多通道的計(jì)時(shí)器電路。它由中央處理器和內(nèi)存等周期性地觸發(fā)，如果兩

56、個(gè)觸它由中央處理器和內(nèi)存等周期性地觸發(fā)，如果兩個(gè)觸發(fā)之間的時(shí)間小于某設(shè)定值或者大于某最大值，則看發(fā)之間的時(shí)間小于某設(shè)定值或者大于某最大值，則看門狗的輸出將失效。同時(shí)看門狗還能監(jiān)視內(nèi)部工作電門狗的輸出將失效。同時(shí)看門狗還能監(jiān)視內(nèi)部工作電壓，使之在正常的電壓范圍內(nèi)。壓，使之在正常的電壓范圍內(nèi)。 普通普通PLC和安全和安全PLC的區(qū)別的區(qū)別以上僅是以上僅是DO卡上的差別。作為安全卡上的差別。作為安全PLC，至少應(yīng)具備以，至少應(yīng)具備以下幾點(diǎn)：下幾點(diǎn)： 滿足相關(guān)安全標(biāo)準(zhǔn)規(guī)范要求，且經(jīng)過權(quán)威機(jī)構(gòu)認(rèn)證，滿足相關(guān)安全標(biāo)準(zhǔn)規(guī)范要求，且經(jīng)過權(quán)威機(jī)構(gòu)認(rèn)證，取得了相應(yīng)安全等級證書；取得了相應(yīng)安全等級證書； 在硬件和軟件上采用冗余、容錯(cuò)措施，具有完善的測在硬件和軟件上采用冗余、容錯(cuò)措施，具有完善的測試手段，當(dāng)檢測到系統(tǒng)故障，特別是危險(xiǎn)故障時(shí)能使試手段，當(dāng)檢測到系統(tǒng)故障，特別是危險(xiǎn)故障時(shí)能使系統(tǒng)回到安全狀態(tài)；系統(tǒng)回到安全狀態(tài)； 能進(jìn)行系統(tǒng)故障報(bào)警，指示故障原因、故障位置，便能進(jìn)行系統(tǒng)故障報(bào)警，指示故障原因、故障位置，便于在線維護(hù)；于在線維護(hù)； 能與能與DCS或其它設(shè)備進(jìn)行通訊?；蚱渌O(shè)備進(jìn)行通訊。11 工藝過程風(fēng)險(xiǎn)的評估及安全度工藝過程風(fēng)險(xiǎn)的評估及安全度等級的評定等級的評定 工藝過程風(fēng)險(xiǎn)的評估及安全度等級的評定