安全儀表系統(tǒng)

目錄第一章1.1安全儀表系統(tǒng)（SIS）..................錯誤!未指定書簽。1.2SIS設(shè)計應(yīng)遵循的原則........................錯誤!未指定書簽。1.3普通PLC和安全PLC的區(qū)別....................錯誤!未指定書簽。1.4工藝過程風險的評估和安全完整性等級的評定....錯誤!未指定書簽。1.5SIS的相關(guān)標準及認證........................錯誤!未指定書簽。1.6取得認證的SIS產(chǎn)品..........................錯誤!未指定書簽。1.7邏輯運算的基本公式..........................錯誤!未指定書簽。第八章流體輸送機組的控制.......................錯誤!未指定書簽。第九章控制儀表與控制系統(tǒng)故障分析及處理.........錯誤!未定義書簽。中國石油和化工自動化應(yīng)用協(xié)會——王立奉2013年10月安全儀表系統(tǒng)（SIS）1.1安全儀表系統(tǒng)（ SIS）的定義及有關(guān)概念1.1.1SIS定義1.1.2IEC61508/IEC61511標準的貢獻1.1.3安全功能1.1.4功能安全1.1.5安全儀表功能（SIF）1.1.6安全完整性（SI）及安全完整性等級（SIL）1.1.7安全生命周期與功能安全管理1.1.8SIF子系統(tǒng)的結(jié)構(gòu)約束1.2.SIS設(shè)計應(yīng)遵循的原則1.2.1DCS與由PES構(gòu)成的SIS的主要區(qū)別1.2.2SIS設(shè)計應(yīng)遵循的原則1.2.3SIS的可用性及可用度1.2.4冗余容錯1.2.5怎樣通過冗余來改善系統(tǒng)的整體SIL水平1.2.6冗余邏輯表決方法及其安全性、可用性的關(guān)系1.3.普通PLC和安全PLC的區(qū)別1.4.工藝過程風險評估及安全完整性等級（SIL）的評定1.5.SIS的相關(guān)標準及評證1.5.1SIS的相關(guān)標準1.5.2SIL評證1.6.取得認證的SIS產(chǎn)品1.7.邏輯運算的基本公式1安全儀表系統(tǒng)（SIS）的定義及有關(guān)概念1.1 SIS的定義大多石油和化工生產(chǎn)過程具有高溫、高壓、易燃、易爆、有毒等危險。當某些工藝參數(shù)超出安全極限，未及時處理或處理不當時，便有可能造成人員傷亡、設(shè)備損壞、周邊環(huán)境污染等惡性事故。這就是說，從安全的角度出發(fā)， 石油和化工生產(chǎn)過程自身存在著固有的風險。SIS 是一種經(jīng)專門機構(gòu)認證，具有一定安全完整性等級，用于降低過程風險，使風險達到可接受水平（允許風險）的安全保護系統(tǒng)。它不僅能響應(yīng)生產(chǎn)過程因超出安全極限而帶來的風險，而且能檢測和處理自身的故障，從而按預(yù)定的條件或程序使生產(chǎn)過程處于安全狀態(tài)，以確保人員，設(shè)備及工廠周邊環(huán)境的安全。SIS 的定義如圖 1-1所示圖1-1SIS的定義SIS由檢測單元（如各類開關(guān)、變送器等） 、控制單元和執(zhí)行單元（如電磁閥、電動門等）組成，其核心部分是控制單元。從 SIS的發(fā)展過程看，其控制單元部分經(jīng)歷了電氣繼電器 （Electrical ）、電子固態(tài)電路（Electronic ）和可編程電子系統(tǒng)（ ProgrammableElectronicSystem），即E/E/PES三個階段。圖1-1為由PES構(gòu)成的SIS系統(tǒng)。國際電工委員會 IEC61508標準中，SIS被稱為安全相關(guān)系統(tǒng)（SafetyRelatedSystem ），將被控對象稱為被控設(shè)備（ EUC）。IEC61511 將 SIS定義為用于執(zhí)行一個或多個安全儀表功能SafetyInstrumentedFunction，SIF）的儀表系統(tǒng)。SIS是由傳感器，邏輯控制器，以及最終元件組合而成。IEC61511又進一步指出，SIS可以包括、也可以不包括軟件。另外，當操作人員的手動操作被視為

SIS

的有機組成部分時，必須在安全要求規(guī)格書（

Safety

Requirement

Specification

，SRS）中對人員操作動作的有效性和可靠性做出明確規(guī)定，并包括在

SIS

的績效計算中。SIS

發(fā)展的三個階段繼電器線路：可靠性很高，成本低，但是靈活性差，擴充系統(tǒng)、增加功能不易.固態(tài)電路：模塊化結(jié)構(gòu)，結(jié)構(gòu)緊湊，可在線檢測。易識別故障，元件互換容易，可冗余配置?？煽啃圆蝗缋^電器型，操作費用高，靈活性不夠好。安全PLC：以微處理器為基礎(chǔ)，有專用軟件和編程語言，編程靈活，具有強大的自測試、自診斷功能，冗余配置，容錯技術(shù)，可靠性可做的很高。SIS的進一步發(fā)展出現(xiàn)了故障安全控制系統(tǒng)；專用的緊急停車系統(tǒng)模塊化設(shè)計，完善的自檢功能，系統(tǒng)的硬件、軟件都取得相應(yīng)等級的安全標準證書，配備有專用的程序事故記錄儀，非常安全可靠，但價格也很高。1.2IEC61508/IEC61511 標準的貢獻IEC61508/IEC61511標準的發(fā)布，首先將儀表系統(tǒng)的各種特定的應(yīng)用，例如ESD、F&G、ITCC、BMS、HIPPS、ATP?，都統(tǒng)一到 SIS的概念下；其次，提出了以

SIL

為指針，基于績效（

Performance

Based）的可靠性評估標準；再者，以安全生命周期（

SafetyLifecycle

）的架構(gòu)，規(guī)定了各階段的技術(shù)活動和功能安全管理活動。這樣， SIS的應(yīng)用形成了一套完整的體系，包括：設(shè)計理念和設(shè)計方法、儀表設(shè)備選型準入原則（基于經(jīng)驗使用和 IEC61508符合性認證）、系統(tǒng)硬件配置和軟件組態(tài)編程規(guī)則、系統(tǒng)集成、安裝和調(diào)試、運行和維護，以及功能安全評估和審計等。大體上，安全儀表系統(tǒng)的應(yīng)用和發(fā)展，圍繞著兩大主題——安全功能（

Safety

Function

）和功能安全（

Functional

Safety

）。IEC61508/IEC61511

為實現(xiàn)安全儀表系統(tǒng)的功能安全，

建立了兩大體系——技術(shù)體系和功能安全管理體系。1.3“安全功能”IEC61508將“安全功能”定義為：為了應(yīng)對特定的危險事件（如災(zāi)難性的可燃性氣體釋放），由電氣、電子、可編程電子安全相關(guān)系統(tǒng)，其他技術(shù)安全相關(guān)系統(tǒng)，或外部風險降低措施實施的功能，期望達到或保持被控設(shè)備（ EquipmentUnderControl ，EUC）處于安全狀態(tài)。上述定義表明：①安全功能的執(zhí)行，并不局限于電氣或電子安全儀表系統(tǒng)，還包括其他技術(shù)（如氣動、液動、機械等技術(shù)）及外部風險降低措施（如儲罐的外部防護堤堰） 。因此，研究安全功能要綜合考慮各種技術(shù)或措施的共同影響： ②安全功能是著眼于應(yīng)對特定的危險事件，也就是說，安全功能有其針對性?？梢姡踩δ苁欠褐父鞣N風險降低措施執(zhí)行的功能， SIF是由SIS執(zhí)行的安全功能。1.4“功能安全”IEC61508 將功能安全定義為：與 EUC和EUC控制系統(tǒng)有關(guān)的、整體安全的一部分，取決于電氣、電子、可編程電子安全相關(guān)系統(tǒng)，其他技術(shù)安全相關(guān)系統(tǒng)和外部風險降低措施機制的正確施行。IEC61511 將功能安全定義為： 與工藝過程和 BPCS有關(guān)的、整天安全的一部分，取決于SIS（安全儀表系統(tǒng)） 和其他保護層機能的正確施行。就安全儀表系統(tǒng)而言，功能安全探討的是系統(tǒng)本身的績效問題，即SIS在實現(xiàn)其安全功能時，能夠降低風險的能力。因此，功能安全成為SIS設(shè)計和運行管理的核心問題之一。1.5安全儀表功能（ SIF）SIF，即由SIS執(zhí)行的安全功能，物理結(jié)構(gòu)上由傳感器、邏輯控制器，以及最終執(zhí)行元件組成，如圖 1-2所示。不過SIF的最基本特征是“應(yīng)對特定的危險事件”并實現(xiàn)必要的風險降低。圖1-2SIF示例SIF是在過程危險分析及風險評估中辨識出來的，并根據(jù)必要的風險降低要求，確定其SIL要求。因此，SIF是進行SIL評估的基礎(chǔ)。圖1-3表示一個 SIF的實例。在這個 SIF中，操作人員的手動動作也可以成為 SIF的一部分。在這種情況下，評估 SIF的風險投資降低績效水平，要將人工的失效概率考慮在內(nèi)。圖1-3包含操作員手動動作的SIFPAH——壓力高報警；HS——手動開關(guān)（或按鈕）在IEC61508/IEC61511標準中，不再使用“聯(lián)鎖一詞”，而改用“E/F/PE安全功能”或者“安全儀表功能”?！鞍踩B鎖”與“安全儀表功能”有大致相同的含義，不過“安全儀表功能有更明確的界定” ：①由SIS實現(xiàn)的安全功能。②用于特定危險事件的風險降低。③有明確的績效或安全完整性（ SIL）要求。需要注意的是， SIF在物理上由傳感器、邏輯控制器，以及最終執(zhí)行元件構(gòu)成，為什么采用“安全儀表功能”這一相對抽象的名稱呢？這是因為在危險和風險分析以及安全保護層分配階段，安全是從工藝過程的風險降低要求角度，辨識并確定需要的安全功能要求和它績效要求（安全完整性要求），此時還沒有到SIS設(shè)備選型階段，也就是說，關(guān)注的是“要求”，而非如何實現(xiàn)這一“要求”。1.6安全完整性（SI）及安全完整性等級（ SIL） 安全完整性（SI）SIS執(zhí)行安全功能時的績效或可能達到的功能安全水平，采用安全完整性（SafetyIntegrity ）來表征。安全完整性定義為：在規(guī)定的狀態(tài)和時間周期內(nèi)，

SIS

圓滿完成所要求的安全功能的概率。安全完整性包括硬件安全完整性（ HardwareSafety Integrity ），軟件安全完整性（

softwareSafetyIntegrity

），以及系統(tǒng)安全完整性（SystematicSafetyIntegrity

）。⑴硬件安全完整性用于表征在危險失效模式

（DangerousFailureMode）下，隨機硬件失效（ RandomHardwareFailure ）的可能性。隨機硬件失效是指系統(tǒng)在正常使用狀態(tài)下，在某個時間點，一個或多個元件隨機出現(xiàn)故障（Fault），依據(jù)硬件內(nèi)可能的降級機制 （DegradationMechanism），導(dǎo)致發(fā)生某種功能的失效。通過對系統(tǒng)的失效模式及其影響進行分析（ FailureModesandEffectsAnalysis ，F(xiàn)MEA），借助于有效的失效率數(shù)據(jù)，可以對硬件的安全完整性進行評估計算，并且可以準確到合理的水平。另外，可以通過采用冗余結(jié)構(gòu)（ RedundantArchitectures ）設(shè)計等措施，有效提高硬件的安全完整性。⑵軟件安全完整性用于表征可編程電子系統(tǒng)中的軟件，在規(guī)定的狀態(tài)和時間周期內(nèi)，實現(xiàn)其安全功能的可能性。⑶系統(tǒng)性安全完整性用于表征在危險失效模式下系統(tǒng)性失效。導(dǎo)致系統(tǒng)性失效發(fā)生的典型因素包括：系統(tǒng)設(shè)計錯誤或缺陷，不當?shù)陌惭b、調(diào)試，不當?shù)牟僮?，缺乏維護管理，以及軟件設(shè)計漏洞和組態(tài)缺陷等。系統(tǒng)性失效在很大程度上都是人為失誤造成的，要準確地計算評估其失效率非常困難，因此， IEC61508/IEC61511 都強調(diào)在安全生命周期的架構(gòu)下，通過有效的功能安全管理，來提高系統(tǒng)性安全完整性。 安全完整性等級（ SIL） 隱故障與顯故障隱故障（CovertFault）：不對危險產(chǎn)生報警，允許危險發(fā)展的故障，是故障危險故障（SHB-Z06-1999）。CovertFault：Faultthatcanbeclassifiedashidden，concealed，undetected，unrevealed，latent，ect.（ISA-S84-1996）顯故障（OvertFault ）：能顯示出故障自身存在的故障，是故障安全故障（

SHB-Z06-1999）。OvertFault

：Faultthatcanbeclassified

asannounced,detected,revealed,ect.(

ISA-S84-1996) 安全性及響應(yīng)失效率當工藝條件達到或超過安全極限值時，

SIS

本應(yīng)引導(dǎo)工藝過程停車，但由于其自身存在隱故障（危險故障）而不能響應(yīng)此要求，即該停車而拒停，降低了安全性。衡量安全性的指標為響應(yīng)失效率或稱要求 時故障率（ PFD：ProbabilityofFailureonDemand ）。它是SIS系統(tǒng)按要求執(zhí)行指定功能的故障概率。是度量 SIS系統(tǒng)按要求模式工作故障率的目標值SHB-Z06-1999）不同的工業(yè)過程（如生產(chǎn)規(guī)模、原料和產(chǎn)品種類、工藝和設(shè)備的復(fù)雜程度等）對安全的要求是不同的。

IEC61511

標準將其劃分為若干安全完整性等級（

SIL：SafetyIntegrityLevel

）。SIL

和PFD的對應(yīng)關(guān)系見表

1-2

。表1-2SIL 和PLD的對應(yīng)關(guān)系ISA-S8IECDINV195204.0161508（TUV）SIL1SIL1AK1AK2AK3SIL2SIL2AK4SIL3SIL3AK5AK6SIL4AK7AK8 安全完整性等級

PFD10-1~10-210-2~10-310-3~10-410-4~10-5SIL安全完整性反映了 SIS執(zhí)行SIF時，在規(guī)定的狀態(tài)和時間周期內(nèi)，圓滿完成 SIF 的績效能力和可靠性水平。在ANSI/ISA-84.01-1996 中，將安全完整性等級（ SIL）定義為 SIL1到SIL3共三個等級，其中 SIL3最高，SIL1最低。IEC61508將SIL定義為四個等級，即 SIL1到SIL4。IEC51511作為IEC61508在過程工業(yè)領(lǐng)域的分支標準， 保持了SIL1到SIL4的四個等級劃分，不過，除了極罕見的特殊應(yīng)用，在過程工業(yè)一般的應(yīng)用場合，SIL3是其最高級。在工程實踐中，當過程危險和風險分析確認需要SIL3以上的安全完整性時，一般是將應(yīng)對同一危險事件的其他技術(shù)安全系統(tǒng)或外部風險降低的績效提高，從而將對 SIF的SIL要求降低到 SIL3或以下。IEC61508/IEC61511 依據(jù)不同的操作模式，用不同的技術(shù)指標劃分SIL等級。IEC61511將安全儀表功能的操作模式劃分為： “要求操作模式”DemandModeofOperation）和“連續(xù)操作模式”（ContinuousModeofOperation）。安全完整性等級對要求操作模式下的失效概率要求見表1-1。表1-1安全完整性等級對要求操作模式下的失效概率要求要求操作模式安全完整性等級要求時平均失效概目標風險降低（SIL）率（PFDavg）4≥10-5到≤10-4>10，000到≤100，0003≥10-4到≤10-3>1000到≤10,0002≥10-3到≤10-2>100到≤10001≥10-2到≤10-1>10到≤1001.7 安全生命周期與功能安全管理安全生命周期如圖 1-4所示：圖1-4SIS安全生命周期（IEC61511）功能安全標準ANSI/ISA-84.01-1996、IEC61508及IEC61511,都是以安全生命周期（ SafetyLifecycle ，SLC）為架構(gòu)的。SLC為SIS工程從概念、設(shè)計、實施、操作、維護及系統(tǒng)改善等實踐活動，提供了全程的行動指南，從而保證功能安全，實現(xiàn)過程風險降低的目標要求。采用 SLC架構(gòu)，一方面明確了參與 SIS工程的所有組織和人員的責任；另一方面，便于將功能安全管理的要求納入到各個階段。IEC61511將SLC定義為：從 SIS工程項目的概念階段開始，到所有的安全儀表功能使命終結(jié)不再使用，在其全部時間周期內(nèi)，為執(zhí)行安全儀表功能所有涉及到的必要活動。IEC61511 的SISSLC階段和功能安全評估節(jié)點如圖 1-4所示。SIS的整個安全生命周期可分為分析、工程實施，以及操作維護三個大的階段。 分析階段，要辨識工藝過程的潛在危險，并對其他后果和可能性進行分析，以便確定過程風險及必要的風險降低要求。分析階段的主體是最終用戶、 專利商、設(shè)計院，甚至還包括過程危險分析 （PHA）專業(yè)咨詢機構(gòu)。 工程實施階段的主體是設(shè)計院， SIS供貨商、安裝公司和最終用戶。SIS的供貨商要依據(jù) SRS的要求提供 SIS系統(tǒng)。完成完全邏輯控制器（LogicSolver ）的硬件配置、軟件組態(tài)以及系統(tǒng)集成；完成操作和維護人員的培訓(xùn)；完成

SIS

的安裝和現(xiàn)場調(diào)試，以及

SIS

的安全驗證（

SafetyValidation

）。 操作運行階段在整個安全生命周期中時間區(qū)間最長，包括操作和維護、修改（變更改造） ，和SIS的停用。操作運行階段的主體是最終用戶。功能安全管理貫穿于整個 SLC。功能安全管理是過程安全管理（ProcessSafetyManagement ，PSM）的一部分，也應(yīng)納入 SIS工程項目管理和質(zhì)量保證體系中。功能安全管理涉及 SLC各階段相關(guān)組織和人員的責任、人員的能力、活動的計劃與控制、文檔管理等方面。典型的功能安全管理活動包括：確認（Verification ）、驗證（Validation ）、功能安全評估（ Functional Safety Assessment）及審計（Audit）。1.8SIF 子系統(tǒng)的結(jié)構(gòu)約束所謂結(jié)構(gòu)約束，實質(zhì)上是指SIS子系統(tǒng)或設(shè)備的容錯（FaultTolerance）能力對所能達到的SIL水平的限制。也就是說SIF要達到一定的安全完整性效能SIL要求，也就必須在結(jié)構(gòu)上達到一定的硬件故障裕度（HardwareFaultToleranceHFT），要滿足一定的硬件容錯能力，如需冗余等等。SIL石油傳感器、邏輯控制器，以及最終執(zhí)行元件組成的 ，其SIL等級除了應(yīng)符合（ PFDavg）計算值外，它所能達到的最大硬件安全完整性等級，受限于這些子系統(tǒng)（傳感器、邏輯控制器、以及最終元件）相應(yīng)的最低硬件故障裕度（ HardwareFaultTolerance ，HFT）要求。也就是說，不論其聲稱的可靠性多高，從硬件結(jié)構(gòu)上限制了所能達到的SIL，這就是IEC61508中提出的結(jié)構(gòu)約束（ArchitecturalConstraints ）。子系統(tǒng)的硬件故障裕度為 N，表示當該子系統(tǒng)存在 N+1個故障時，將會導(dǎo)致其安全功能的喪失。在確定硬件故障裕度時，并不考慮是否有控制該故障影響的其他措施，例如診斷（不過，診斷能力影響安全失效分數(shù)）。另外，當另一個故障直接導(dǎo)致一個或多個后續(xù)故障時， 這些后果要視為是同一個單一故障。2SIS設(shè)計應(yīng)遵循的原則2.1DCS

與由

PES構(gòu)成的

SIS

的主要區(qū)別DCS

ESD構(gòu)成

不含檢測、執(zhí)行

含檢測、執(zhí)行單元作用（功能） 使生產(chǎn)過程在正常工況乃至最 超限安全停車佳工況下運行工件 動態(tài)、連續(xù) 靜態(tài)、間斷安全級別 低、不需認證 高、需認證安全儀表系統(tǒng)（SIS）與DCS系統(tǒng)的區(qū)別表現(xiàn)在： DCS系統(tǒng)的平均無故障時間（MTBF）已經(jīng)足夠強大，故障的平均修復(fù)時間（ MTTR）已足夠小。應(yīng)該說， DCS系統(tǒng)已具備了很高的系統(tǒng)可用性，控制、聯(lián)鎖一體化是可能的。硬件的部件層層冗余配置，系統(tǒng)的可靠性有了很大提高。但要注意的是 DCS軟件的可靠性，軟件故障難以預(yù)測，其危害性 超過硬件故障。DCS可以執(zhí)行聯(lián)鎖功能，問題是如何來滿足生產(chǎn)裝置的高安全要求。DCS系統(tǒng)主要用來進行連續(xù)控制，它隨時都會有大量的信息。要分析處理及頻繁地進行人工干預(yù)，這樣邏輯控制單元誤觸發(fā)的概率較大。而ESD系統(tǒng)則是一個靜態(tài)系統(tǒng)，出現(xiàn)異常事件才會動作。DCS系統(tǒng)處理信息多，通信系統(tǒng)復(fù)雜，出現(xiàn)通信系統(tǒng)故障的可能性較大。SIS系統(tǒng)動作執(zhí)行要求快速，DCS系統(tǒng)執(zhí)行相對較慢。因此，國際上有些協(xié)會對重要的、安全性要求高的裝置則要求單獨設(shè)置ESD系統(tǒng)。重要場合指的是：可能危及生命安全；可能引起設(shè)備重大破壞；可能引起環(huán)境明顯污染；可能造成重大經(jīng)濟損失。對于一般性的非安全相關(guān)的工藝過程聯(lián)鎖程序，為了節(jié)省費用，可以在DCS系統(tǒng)內(nèi)實行。對安全保護有高要求的聯(lián)鎖停車安全控制系統(tǒng)則應(yīng)獨立設(shè)置?，F(xiàn)在有不少廠商推出了專用的故障安全控制系統(tǒng)，這些系統(tǒng)特點如下。①故障發(fā)生后，有足夠時間進行故障檢測，發(fā)出警報，排除故障。②采用容錯技術(shù)，將被動故障轉(zhuǎn)為主動故障。③采用冗余配置，實施故障隔離。④模塊化設(shè)計。⑤完善的自檢功能。⑥系統(tǒng)硬、軟件具有相應(yīng)的安全等級認證。⑦配備事故記錄儀。⑧故障安全型設(shè)計。⑨能與DCS系統(tǒng)通信。2.2SIS 設(shè)計應(yīng)遵循的原則 獨立設(shè)置原則：①邏輯單元獨立設(shè)置；②現(xiàn)場檢測單元獨立設(shè)置；③執(zhí)行元件獨立設(shè)置 （專用的緊急切斷閥， 不用調(diào)節(jié)切斷閥來代替）。 中間環(huán)節(jié)最少原則。 關(guān)鍵單元采用冗余容錯結(jié)構(gòu)結(jié)構(gòu)配置原則：①檢測元件的二取二方式或三取二方式設(shè)置；②邏輯單元如安全 PLC的CPU、過程輸入/輸出單元；③供電、通信的冗余配置。 故障安全型原則系統(tǒng)設(shè)計：①現(xiàn)場檢測元件接點選用常閉接點。工藝正常時，觸點閉合；達到安全極限時，觸點斷開，觸發(fā)聯(lián)鎖動作。②執(zhí)行元件電磁閥正常通電方式，聯(lián)鎖動作時斷電。③通往電氣配電室用以開/停電機的接點，用中間繼電器隔離，其勵磁電路應(yīng)為故障安全型。 其他：①安全控制要求高的生產(chǎn)裝置應(yīng)選擇專門的冗余、容錯緊急停車系統(tǒng)。②采用熱電偶，熱電阻輸入時，應(yīng)有斷線保護設(shè)計。斷線報警，避免產(chǎn)生誤動作。③采用電磁閥應(yīng)具有高可靠性，避免誤動作。④事故切斷閥停電時應(yīng)保持安全狀態(tài)位置。⑤事故切斷閥應(yīng)配回訊開關(guān)，確認閥門位置。⑥根據(jù)工藝操作要求，確定切斷閥開關(guān)速度。⑦重要的切斷閥應(yīng)備用儲氣罐，以備氣源事故用。⑧在粉塵、腐蝕性、粘稠介質(zhì)場合應(yīng)選擇帶隔離的發(fā)訊開關(guān)。⑨切斷閥供氣管室采用塑料管，以便火災(zāi)等情況下失氣，實現(xiàn)安全功能。總之，故障安全原則是：組成SIS的各環(huán)節(jié)自身出現(xiàn)故障的改良版不可能為零， 且供電、供氣中斷亦可能發(fā)生。當內(nèi)部或外部原因使 SIS失效時，被保護的對象（裝置）應(yīng)按預(yù)定的順序安全停車，自動轉(zhuǎn)入安全狀態(tài)（ FaulttoSafety ），這就是故障安全原則。作為控制裝置（如安全 PLC）“故障安全”意味著當其自身出現(xiàn)故障而不是工藝或設(shè)備超過極限工作范圍時，至少應(yīng)該聯(lián)鎖動作，以便按預(yù)定的順序安全停車（這對工藝和設(shè)備而言是安全的） ；進而應(yīng)通過硬件和軟件的冗余和容錯技術(shù)，在過程安全時間（ PSTProcessSafetyTime ）內(nèi)檢測到故障，自動執(zhí)行糾錯程序，排除故障。 系統(tǒng)軟件設(shè)計應(yīng)考慮：①輸入信號掃描速度應(yīng)快于軟件的掃描周期， 否則會發(fā)生丟失信號，使系統(tǒng)穩(wěn)定性變差。②不允許相同的線圈輸出重復(fù)定義。③軟件編寫盡量短小， 過長會增加系統(tǒng)的掃描時間， 使系統(tǒng)的實時性變差。2.3SIS 的可用性及可用度 可用度表達式工藝條件并未達到安全極限值， SIS不應(yīng)引導(dǎo)工藝過程停車，但由于其自身存在顯故障（安全故障）而導(dǎo)致工藝過程停車，即不該停車而誤停車，降低了可用性?？捎枚龋?/p>

A:Availability

）是指系統(tǒng)可使用工作時間的概率，用百分數(shù)計算：MTBF

A=[MTBF/(MTBF+MDT)](SHB-Z06-1999)：平均故障間隔空間（ MeanTimeBetweenFailures

）MDT：平均停車時間（

MeanDowntime）

（平均故障間隔時間）MTBF ：平均故障間隔時間（ MeanTimeBetweenFailuresMTTR：平均恢復(fù)時間（ MeanTimetoRepair ）MTTF ：平均無故障時間（ MeanTimetoFailure ）

）例如：圖2-1MTTF、MTTR和

MTBF

計算舉例MTTF=MTTR+MTBFPFD=MTTR/(MTBF+MTTR)已知MTTR=24HMTBF=2000H則PFD=24/(24+2000)=0.0119所以硬件安全完整性等級達到 SIL1水平2.4 冗余、容錯冗余（Redundant）：具有指定的獨立的 N:1重元件，并且可以自動地檢測故障，切換到后備設(shè)備上。 （SHB-Z06-1999）冗余系統(tǒng)（RwdundantSystem）：并行地使用多個系統(tǒng)部件，以提供錯誤檢測和錯誤校正能力的系統(tǒng)。 （SHB-Z06-1999）容錯（FaultTolerant）：具有內(nèi)部冗余的并行元件和集成邏輯，當硬件或軟件部分故障時，能夠識別故障并使故障旁路，進而繼續(xù)執(zhí)行指定的功能，或在硬件和軟件發(fā)生故障的情況下，系統(tǒng)仍具有繼續(xù)運行的能力。它往往包括三方面的功能：第一是約束故障，即限制過程或進程的動作，以防止在錯誤被檢測出來之前繼續(xù)擴大；第二是檢測故障，即對信息和過程或進程的動作進行動態(tài)監(jiān)測；第三是故障恢復(fù)即更換或修正失效的部件。（SHB-Z06-1999）容錯系統(tǒng)（FaultTolerantSystem ）：具有容錯結(jié)構(gòu)的硬件和軟件系統(tǒng)。（SHB-Z06-1999）總之，通過冗余和故障屏蔽的結(jié)合來實現(xiàn)容錯。容錯系統(tǒng)一定是冗余系統(tǒng)，冗余系統(tǒng)不一定是容錯系統(tǒng)。容錯系統(tǒng)的冗余形式有雙重、三重、四重等。圖2-2表示CPU冗余（雙機熱備）系統(tǒng)。CPU1 CPU2開關(guān)輸入/輸出現(xiàn)場設(shè)備圖2-2CPU冗余（雙機熱備）熱備CPU時刻處于開機狀態(tài)，同主機保持同步，當主 CPU失靈時，可以隨時切換到備用 CPU工作。圖2-3三重信號冗余容錯系統(tǒng)圖信號三重冗余系統(tǒng)提供 3條獨立的信號通道，并對輸出進行 3選2表決，如圖 2-3所示。輸出信號由 3選2表決器提供，并可在故障發(fā)生時復(fù)原為 2取1表決或2取2表決結(jié)構(gòu)，比較適用于危險工業(yè)的過程保護。但為了提高系統(tǒng)輸入到輸出的響應(yīng)時間，系統(tǒng)單元需要定期地協(xié)調(diào)同步。假設(shè)每個單元的響應(yīng)時間為 10ms，則最壞情況下三重冗余系統(tǒng)（沒有同步）的響應(yīng)時間可能為 20ms。在對數(shù)字化模擬信號進行表決時，其響應(yīng)時間的可預(yù)測性顯得特別重要?？傊盘柸厝哂嗵峁┝溯^大程度上的容錯性能， 但它對變化的系統(tǒng)顯得仍不夠靈活。圖2-4模塊三重冗余（TMR）系統(tǒng)圖模塊三重冗余（TMR）系統(tǒng)是使用3個相互隔離的并行主處理器控制系統(tǒng)，并帶有擴展的診斷作用綜合而成的一套硬件，結(jié)構(gòu)如圖 2-4所示。系統(tǒng)每掃描一次， 3個主處理器均 通過3條總線與其相鄰的 2個主處理器進行通訊，達到同步。同時 3條I/O總線可對其數(shù)據(jù)進行比較，并表決出有效數(shù)據(jù)，系統(tǒng)內(nèi)的表決器選取原則為 3取2.瞬態(tài)的數(shù)據(jù)錯誤和單元的失效不會對控制系統(tǒng)造成影響。這樣，單點的錯誤就不會影響控制系統(tǒng)的操作。2.5 怎樣通過冗余來改善系統(tǒng)的整體 SIL水平當一個SIS系統(tǒng)的安全完整性等級要求為 SIL3，而實際配置為傳感器

2.2*10^-3

（SIL2），邏輯解算器為

1.3*10^-4

（SIL3）（包括

I/O接口），終端執(zhí)行器為 2.41*10^-3 （SIL2），所以整個系統(tǒng)為 SIL2不滿足要求。于是我們改變傳感器的配置結(jié)構(gòu)，選擇 1oo2冗余，其中共因失效=10%，診斷覆蓋率（ DC）＝90%，可以算出 1oo2傳感器的結(jié)構(gòu)的 PFD＝2.3*10^-4 ，達到SIL3的水平，同理可以配置執(zhí)行器為 1oo2冗余結(jié)構(gòu)，也可達到

SIL3

的要求，于是最終整體

SIS

系統(tǒng)的

SIL

可以達到SIL3的要求。這個問題的解決給我們以啟示，當裝置引進一個 SIS系統(tǒng)時，整體安全完整性等級不僅取決于邏輯解算器部分，而且傳感器、終端執(zhí)行器部分也非常關(guān)鍵。 配置系統(tǒng)時，除了引進一個 SIL3的安全儀表系統(tǒng)控制器，譬如 FSC等，還要將傳感器、終端執(zhí)行器一并討論。求出針對SIS系統(tǒng)的SIL等級，定量的安全儀表系統(tǒng)配置任務(wù)才算完成。2.6 冗余邏輯表決方法及其安全性、可用性的關(guān)系可用性（A:Availability ）是指系統(tǒng)可使用工作時間（連續(xù)運行時間）的概率，用百分數(shù)計算 A值越大，可用性越好：A=MTBF/(MTBF+MTTR)而PFD=MTTR/(MTBF+MTTR)PFD越小則安全性越好。冗余邏輯表決方法及安全性、可用性的關(guān)系例子如 2-1表所示。以上可見：①隱故障（危險故障）使 SIS該動而拒動，隱故障概率越高，安全性越差。②顯故障（安全故障）使 ESD不該動而誤動，顯故障概率越高，可用性越差。1oo2（二選一）安全性最好，但可用性最差； 2oo2（二選二）可用性最好，但安全性最差； 2oo3（三選二）可兼顧表2-1冗余邏輯的表決方法及其與安全性、可用性的關(guān)系3普通PLC和安全PLC的區(qū)別普通PLC和可以作為 ESD控制部分的安全 PLC的主要區(qū)別是：普通PLC不是按故障安全型設(shè)計的，當系統(tǒng)內(nèi)部元件出現(xiàn)短路故障時，它并不能檢測到，因此其輸出狀態(tài)不能保證系統(tǒng)回到預(yù)定的安全狀態(tài)。這種PLC只能用于安全完整性等級要求低的場合?，F(xiàn)以輸出電路為例予以說明。圖3-1是普通PLCDO卡示意圖圖3-1普通PLCDO卡示意圖當1、2兩點短路時，來自PLC的控制信號將不起作用（失效），電磁閥將一直處于帶電（勵磁）狀態(tài)，即需要聯(lián)鎖動作（電磁閥釋電停車）時，由于此故障的存在而拒動，其輸出不能保證處于安全停車狀態(tài)。這就是違背了故障安全（ FaulttoSafety ）的原則。當1、2兩點開路時，將導(dǎo)致誤動作而停車，同樣會帶來損失?？梢姡@種普通PLC的DO卡輸出電路安全性和可用性都是不高的。圖 3-2 所示為一種帶有安全性單容錯的 DO卡示意圖（它是HoneywellSMSFSC-101型輸出示意圖）。圖3-2安全性單容錯DO卡示意圖這里，中央處理器不僅向串聯(lián)的場效應(yīng)管（FET）發(fā)出控制信號，而且還接受來自場效應(yīng)管的狀態(tài)反饋信號，以便對其輸出進行全面測試。當測得某管輸出發(fā)生短路時，中央處理器即啟動糾錯動作，隔離相關(guān)的故障?？撮T狗（ WatchDog）是個多通道的設(shè)計器電路。它由中央處理器和內(nèi)存等周期性觸發(fā)，如果兩個觸發(fā)之間的時間小于某設(shè)定值或者大于某最大值，則看門狗的輸出將失效。同時看門狗還能監(jiān)視內(nèi)部工作電壓，使之在正常的電壓范圍內(nèi)。以上僅是 DO卡上的區(qū)別。作為安全 PLC的安全邏輯控制器，至少應(yīng)具備以下幾點：①系統(tǒng)必須有極高的可靠性，通過冗余等措施避免整個系統(tǒng)的功能失效；②如果出現(xiàn)某種失效狀態(tài)，它必須是以可預(yù)見的、安全的方式出現(xiàn)；③它強調(diào)內(nèi)部診斷，通過硬件和軟件的有機結(jié)合，對檢測出系統(tǒng)的異常運行狀態(tài)，做出針對性的處理，如報警、隔離、切除，甚至安全關(guān)停；④在系統(tǒng)研發(fā)時，采用失效模式、影響和診斷分析（Failure Modes，EffectsandDiagnosticAnalysis

，F(xiàn)MEDA）技術(shù)，確定系統(tǒng)中的每個部件將會出現(xiàn)怎樣的失效，以及系統(tǒng)如何檢測、應(yīng)對這些失效，保證能夠檢測出 99%以上的內(nèi)部元器件潛在的危險失效；⑤要采用一系列的專門技術(shù)確保軟件的可靠性，并保證通過其數(shù)字通信端口進行讀寫操作的私密安全（ Security ）；⑥安全邏輯控制器與常規(guī) PLC的不同，還體現(xiàn)在必須通過第三方的權(quán)威認證，例如，德國 TüV的認證，以便滿足國際功能安全標準嚴格的安全和可靠性要求；⑦與外部第三方設(shè)備的 通信接口，應(yīng)具有強大的“讀寫保護”能力（防火墻）。防止數(shù)據(jù)風暴和 DOS攻擊，只允許正常的數(shù)據(jù)訪問。同時不允許 通過外部通信鏈路直接訪問它的 I/O卡；SOE、在線修改（On-lineModification）、人機接口（HMI）對系統(tǒng)不同層次訪問的私密性（Security）和對應(yīng)用程序更改的記錄追蹤（AuditTrail）等，都是安全系統(tǒng)設(shè)計和應(yīng)用的重要功能。工藝過程風險的評估和安全完整性等級的評定不同的工藝過程（生產(chǎn)規(guī)模、原料和產(chǎn)品的種類、工藝和設(shè)備的復(fù)雜程度等）對安全的要求是不同的。一個具體的工藝過程，是否需要配置SIS、配置何種等級的 SIS，其前提應(yīng)該是對此具體的工藝過程進行風險評估，要進行危險及可操作性分析（ HAZOP），然后辨識出與此分析相應(yīng)的安全儀表功能（

SIF），（找到一個安全儀表連鎖回路）

，再根據(jù)風險出現(xiàn)的頻率和其產(chǎn)生的嚴重后果，找到一個與此

SIF

相應(yīng)的SIL

值，在確定了某個安全儀表功能的完整性等級（

SIL）之后，再配置與之相適應(yīng)的

SIS。表

1-3

可以看出，若某工藝過程所需

SIF

經(jīng)評定后為

SIF2，則配置相應(yīng)的硬件即可，其響應(yīng)失效率（

PFD）為百分之一至千分之一之間。應(yīng)該注意的是不同安全級別的 SIS，只能確保響應(yīng)失效率 （PFD）在一定的范圍內(nèi)，安全級別越高的 SIS，其PFD越小，即發(fā)生事故的可能性越小，但它不能改變事故造成的后果。因此，工藝過程安全完整性等級的評定是一項十分重要的工作。國際、國外標準提供了某些評定方法。下面介紹的風險矩陣（ RISKMATRIX）評估方法可供參考。這種方法以工藝過程事故出現(xiàn)的頻率（可能性）及其危害程度（嚴重性）為風險評估的指標，并對頻率和危害程度人為量化為若干級，作出矩陣表（見表 4-1）。以此確定工藝過程安全完整性等級。表4-1中頻率分級年限（多少年出現(xiàn)一次）。表4-1風險矩陣SIL評估是在 HAZOP分析的基礎(chǔ)上，確定 SIS的安全功能和合理的SIL指標，以實現(xiàn)安全和成本的最佳平衡。不同的 SIL等級，為用戶單位的管理、人員配備、操作規(guī)程和維護周期等提出不同的要求。 SIL選擇的定性的方法有風險矩陣和風險圖，定量方法則有故障樹， LOPA等。本文 主要介紹風險矩陣法。其方法如下：1）根據(jù)國際慣例及企業(yè)相關(guān)標準確定過程可接受風險；2）根據(jù)用戶單位相關(guān)要求確定風險矩陣的兩大參數(shù)：后果嚴重性和要求率，并將其定量描述在工作組會議上進行討論，以取得來自現(xiàn)場和各方專家的一致認同；3）結(jié)合可接受風險，根據(jù)國際標準 IEC61511確定兩大參數(shù)（后果嚴重性和要求率）的各種組合所對應(yīng)的 SIL，建立用戶單位認可的風險評價矩陣表；4）根據(jù) HAZOP分析結(jié)果辨識出需要由安全儀表系統(tǒng)實現(xiàn)的安全儀表功能；5）選取一個待分析的安全儀表功能；6）根據(jù)現(xiàn)場調(diào)研、現(xiàn)場人員經(jīng)驗及用戶單位相關(guān)的安全評價資料估算該安全儀表功能要求的動作率及拒動后果嚴重性；7）依據(jù)風險評價矩陣表選定該儀表功能所需達到的 PIL（人身安全完整性等級）、AIL（經(jīng)濟安全完整性等級）、EIL（環(huán)境安全完整性等級）、RIL（聲譽安全網(wǎng)整形等級），并確定該系統(tǒng)必須達到的綜合的安全完整性等級（SIL）；8）進入下一個安全儀表功能的 SIL分析；9）系統(tǒng)最終的 SIL值應(yīng)選擇PIL、AIL、EIL、RIL中最高值，作為最終SIL指標。5SIS的相關(guān)標準及認證5.1SIS 的相關(guān)標準鑒于SIS涉及到人員、設(shè)備、環(huán)境的安全、因此各國均制定了相關(guān)的標準、規(guī)范，使得SIS的設(shè)計、制造、使用均有章可循。并有權(quán)威的認證機構(gòu)對產(chǎn)品能達到的安全等級進行確認。這些標準、規(guī)范及認證機構(gòu)主要有：⑴我國石化集團制定的行業(yè)標準SHB-Z06-1999《石油化工緊急停車及安全聯(lián)鎖系統(tǒng)設(shè)計導(dǎo)則》。⑵GB/T-50770-2013 “石油化工安全儀表系統(tǒng)設(shè)計規(guī)范”GB/T-20438.1-7-2006等同于采用IEC61508國際標準，即《電氣/電子/可編程電子安全相關(guān)系統(tǒng)功能安全標準》GB/T-21109.1-3-2007等同于采用IEC61511國際標準《過程工業(yè)領(lǐng)域安全儀表系統(tǒng)功能安全》標準⑸IEC61508《電氣/電子可編程電子安全相關(guān)系統(tǒng)的功能安全》標準⑹IEC61511《過程工業(yè)領(lǐng)域安全儀表系統(tǒng)的功能安全》標準⑺美國儀表學(xué)會制定的ISA-S84.01-1996《安全儀表系統(tǒng)在過程工業(yè)中的應(yīng)用》⑻美國化學(xué)工程學(xué)會制定的AICHE（ccps）-1993，《化學(xué)過程的安全自動化導(dǎo)則》⑼英國健康與安全執(zhí)委會制定的 HSEPES-1987，《可編程電子系統(tǒng)在安全領(lǐng)域的應(yīng)用》⑽德國國家標準中有安全系統(tǒng)制造廠商標準

-DINVVDE0801

、過程操作用戶標準 -DINV19250和DINV19251、燃燒管理系統(tǒng)標準 -DINVDE0116等⑾德國技術(shù)監(jiān)督協(xié)會（ TüV）是一個獨立的、權(quán)威的認證機構(gòu)，它按照德國國家標準（DIN），將ESD所達到的安全等級分為AK1~AK8，AK8安全級別最高。其中AK4、AK5、AK6為適用于石油和化學(xué)工業(yè)應(yīng)用所要求的等級。5.2SIL 認證SIL認證就是基于 IEC61508，IEC61511，IEC61513，IEC13849-1，IEC62061，IEC61800-5-2 等標準，對安全設(shè)備的安全完整性等級 （SIL或者性能等級（PL））進行評估和確認的一種第三方評估、 驗證和認證。功能安全認證主要涉及針對安全設(shè)備開發(fā)流程的文檔管理 （FSM）評估，硬件可靠性計算和評估、軟件評估、環(huán)境試驗、 EMC電磁兼容性測試等內(nèi)容。SIL認證一共分 4個等級SIL1、SIL2、SIL3、SIL4,包括對產(chǎn)品和對系統(tǒng)兩個層次。其中，以 SIL4的要求最高。6取得認證的 SIS產(chǎn)品ABB產(chǎn)品AugustCS386/CS-300E，TüVAk