SIS基本知识及选型参考.doc

SIS基本知识和选型参考 1、SIS基本知识 3 1．1 SIS定义 3 1．2 SIS由来 3 1．3 SIS应用领域 3 1．4 SIS基本构成 4 2、SIS产品的标准和认证 4 2．1 主要标准 4 2．2 SIS产品的认证 5 3、SIS产品的市场状况 6 3．1 SIS产品种类 6 3．2 中控集成SIS产品 6 3．3 SIS应用类型 7 4、SIS产品的设计和选用 7 4．1 SIS产品的设计和选用原则 7 4．2 中控SIS系统目标客户定位及产品介绍 8 4．2．1 GE 90-70 GMR 三重化冗余系统 8 4．2．2 GE SafetyNet 12 4．2．3 HIMA H41q/H51q 13 4．3 GE 90-70 GMR SIS一个实例 15 1、SIS基本知识 1．1 SIS定义 SIS系统(Safety Instrumented System)，是对石油化工、电力等行业生产装置可能发生的危险或不采取措施将继续恶化的状态进行及时响应和保护，使生产装置进入一个预定义的安全停车工况，从而使危险降低到可以接受的最低程度，以保证人员、设备、生产装置和环境的安全。 它是一种安全仪表联锁系统，根据不同标准和应用场合，有时也称为：紧急停车系统（Emergency Shutdown） 1．2 SIS由来 Ø 生产装置规模的日趋扩大 Ø 高温、高压、易燃、易爆等连续性生产装置本身的危险 Ø 大型机组、机械等重要设备的保护 Ø 对安全和环境的要求越来越高 若发生事故将会造成人员、财产、环境等方面的重大损失和影响！因此越来越多的场合需要采用SIS系统。 1．3 SIS应用领域 SIS主要保护对象为人身、设备、财产和环境的安全，因此适用于能造成以上各项损害的场合，主要有： Ø 石油液化气开采（平台）、油气输送和储存 Ø 石油化工装置 Ø 化工装置 Ø 电力、锅炉、核电 Ø 交通、冶金、环保、汽车制造 Ø 大型机械、旋转设备 Ø …… 各行业使用SIS的常见装置有： 油气及炼油装置：催化裂化、加氢精制、加氢裂化、催化重整、丙烷脱沥青、硫磺回收、罐区消防和火灾报警、变压吸附、制氢、火焰与气体检测、油气输送及存储、油气开采平台等等 石化装置：乙烯裂解、聚丙烯、高压聚乙烯、聚氯乙烯、苯乙烯、聚苯乙烯、丙烯腈、芳烃、环己酮、PTA、丁二烯等等石化深加工装置 化工装置：造气、合成氨、农药、磷肥、涂料、乙炔、乙酰、醋酸等 锅炉电力：锅炉燃烧、汽机停机系统、核电 其它：冶金、交通、汽车制造、建材、环保、造纸、大型机械、旋转设备等领域 1．4 SIS基本构成 一般典型的SIS系统主要包括检测部分、逻辑控制单元和最终执行部分，再配合相应的软件组成。通常与基本过程控制系统（比如DCS系统）有通讯要求，共同组成生产装置的过程仪表控制系统。 2、SIS产品的标准和认证 2．1 主要标准 SIS产品所遵从的国际标准主要有： Ø 国际电工委员会IEC61508标准 电气 / 电子 / 可编程电子安全相关系统的功能安全 1997 其中规定将过程安全所需要的安全等级划分为4级（SIL1~SIL4）； Ø 美国仪表学会ISA-S84.01标准 流程工业安全仪表系统的应用 1998 称安全系统为安全仪表系统(Safety Instrument System, SIS)， ISA－S84.01与IEC61508类似，根据系统不响应安全联锁要求的概率（即失效率PFD）将安全等级划分为3级（SIL1-SIL3），认为IEC61508定义的SIL4不存在于过程工业中； Ø 德国标准化委员会DIN(Deutsches Institut fǖr Normung) V19250及 DIN V VDE0804 根据估计危险的损害程度、危险区域内人员存在的可能性、短时间内防止危险发生的可能性及出现危险事故的可能性等四个风险参数将过程风险定义为8级（AK1~AK8）； Ø 欧洲机器安全标准EN 954-1 危险等级分为B，1，2，3，4五个等级，针对安全控制系统，按照对故障的承受能力和出现故障后安全功能的作用，对应于危险等级的五个等级，机器设备的控制系统中安全控制部分也可分为以上五个等级危险等级依次增高，等级4为最高的危险等级。 Ø 等 国内目前正在依据IEC61508制订国家标准，即将颁布。除此之外，一些行业有相关的ESD标准： Ø 石化行业有相关的设计导则：石油化工紧急停车及安全联锁系统设计导则（SHB-Z06- 1999），采用IEC的SIL概念； Ø 中国石化集团公司工程建设管理部有：石油化工安全仪表系统设计规范（SH/T3018-2003）； 国家发展改革委批准《石油化工安全仪表系统设计规范 SH/T3018-2003》，自2004年7月1日起实施。 Ø 化工行业HG/T 20511-2000标准，在化工自控设计中规定，将安全等级确定为1级、2级和3级。 它们基本都将工业过程等对象依据危险性高低划分为若干个安全度等级，实际使用中选用相应安全度等级的SIS系统来加以保护，保护的对象主要为人、设备、财产、环境等的安全。依据IEC标准由低到高划分为SIL1~SIL4，ISA S84.01标准划分为SIL1~SIL3三级，认为SIL4级不存在于过程控制中，DIN V VDE0804标准由低到高划分为AK1~AK8，它们之间的对应关系为： 安全度等级对比表 DIN V VDE0804 AK1 AK2 AK3 AK4 AK5 AK6 AK7 AK8 IEC 61508 SIL1 SIL1 SIL1 SIL2 SIL3 SIL3 SIL4 SIL4 ISA S84.01 SIL1 SIL1 SIL1 SIL2 SIL3 SIL3 数值越大，SIS系统的安全性能要求越高，具体指标见下表。 安全等级SIL 1 2 3 4 性能要求 平均失效度 10E-1~10E-2 10E-2~10E-3 10E-3~10E-4 10E-4~10E-6 可用度 0.9-0.99 0.99-0.999 0.999-0.9999 0.9999-0.99999 一般用到SIS的锅炉、石化、化工装置为AK4~AK6（SIL2～SIL3）等级，AK7~AK8（SIL4）用于核电等特殊场合。 2．2 SIS产品的认证 涉及产品安全认证，主要有CB、CCC、UL、FCC、CSA、TÜV及北欧四国认证等，目前针对SIS产品，使用最多并得到广泛认可的是TÜV-GS认证，GS的参考标准是VDE和DIN(德国标准协会)标准，如果产品具有GS标志，代表该产品符合最新的欧洲和德国标准。GS的含义是德语“Geprufte Sicherheit”(安全性已认证)，也有"Germany Safety" （德国安全）的意思。 德国莱茵公司技术监督公司(TÜV)是德国最大的产品安全及质量认证机构，在欧洲久享盛誉。设有该机构分公司的国家和地区可以方便地申请GS标志及其它国家的安全认证。 目前市场上SIS产品也以通过TÜV认证居多，通过认证的每种产品都有达到AK1～AK8安全等级的具体说明，用户可根据过程的具体需要配置相应等级的SIS产品。标志及证书如下所示： 3、SIS产品的市场状况 3．1 SIS产品种类 目前市场上使用较多的SIS产品主要有： Ø Triconex公司的TRICON系统； Ø Honeywell公司的FSC系统； Ø HIMA公司的H41q 和H51q系统； Ø GE 公司的S90-70 GMR系统； Ø GE SafetyNet; Ø Siemens公司的S7-400FH系统； Ø Moore公司的QUADLOG系统； Ø Woodward公司的Micro Net TMR系统； Ø ICS Triplex公司的Regent系统、Trusted系统； 3．2 中控集成的SIS产品 Ø GE 90-70 GMR系统；（三重化） Ø GE SafetyNet 系统；（SIL2） Ø HIMA H51q和H41q系统；（四重化） 3．3 SIS应用类型 目前市场上SIS应用大致有下列几种类型： l 使用继电器搭建或专用仪表 在投运较早的老装置中，使用较为普遍。一般设置辅助操作面板，其中有重要的工艺参数指示和报警、手动停车及复位、投运按钮等部分，而对于大型机组等设备运行状况和保护，也引入主控制室显示和报警，停车保护则一般采用设备自带的特殊仪表系统来完成。 l 经过认证的SIS系统 市场上的主流SIS产品都属于经过认证的SIS产品，随着人们对安全认识水平的提高和产品技术的发展，经过认证的SIS越来越成为新建装置中安全保护仪表系统的首选。 对于目前使用越来越多的SIS系统，基本都符合IEC61508标准并可达到和获得TÜV AK1~AK6/IEC SIL1~SIL3等级认证，主要有以下三种主流CPU结构： ² 冗余容错完全自诊断结构，即1002D结构（诊断率99.99％）； ² 三重化表决部分自诊断结构，即2003D结构（TMR 诊断率70％）； ² CPU四重化冗余容错完全自诊断结构，即2004D结构（QMR 诊断率99.99％）； 对于这三种不同的结构，安全系统的性能是不同的。 对于第一种1002D的结构，当第一个CPU被诊断出故障时，该CPU被切除，另一个CPU继续工作。若要应用在AK6安全等级，根据AK6的要求，如果第一个CPU不能在其被诊断出故障后1小时内修复，系统会在1小时后自动停车以保证故障安全。 对于第二种结构，如美国GE公司的90-70 GMR系统就是采用TMR技术，它虽然通过了TÜV SIL3/AK6的等级认证，而其引以为荣的CPU和I/O卡件完全三重化冗余故障容错设计，事实上是基于高度稳定的硬件基础上的。 对于第三种结构，如德国HIMA公司的PES，四个CPU分成两对，既同时工作又相互独立。当其中一个CPU被诊断出故障时，则该对CPU被切除，所剩一对CPU继续以1002D的模式工作。这对独立工作的CPU仍满足安全等级 SIL3/AK6的要求。只有当这对CPU其中再有一个故障时，系统才考虑停车。所以，此结构对于故障修复时间没有限制。可见，2004D结构的系统更为可靠。 目前HIMA公司、Triconex公司的系统在国内占有较大的市场份额，是主流SIS系统厂家代表，GE 、Honeywell、CCC公司的产品则在石化、化工行业表现不错。 4、SIS产品的设计和选用 4．1 SIS产品的设计和选用原则 依据中国石化《石油化工紧急停车及安全联锁系统设计导则》（SHB-Z06- 1999），简要介绍一下SIS系统的设计和选用原则： Ø 独立设置原则：一般情况下，SIS应独立于过程控制系统，其检测元件、执行元件和逻辑运算器及通讯部分都应单独设置。对于不能单独设置的SIS系统要确保SIS作用优先于过程控制系统。 Ø 选择采用技术的原则：可采用电气、电子或可编程电子技术，也可以采用由它们组合的混合技术。 Ø 结构选用原则：冗余结构既适用于软件又适用于硬件，可选用一选一、二选一、三选二等结构，同时要考虑是励磁停车还是非励磁停车。 Ø 故障安全型原则：SIS系统应是故障安全型的，即在系统故障时应保证过程是安全或趋于安全的状态。 Ø 中间环节最少原则：SIS的中间环节应是最少的。 4．2 中控SIS系统目标客户定位及产品介绍 目标客户定位见下图： 目标客户 客户描述 系统名称 目标客户1 中小型私有/国有石化企业； 点数较少（单套200点以内）； SIS系统需达到SIL2或TUV4认证。 1、推荐GE SafetyNet或GE 9070 GMR系统 2、HIMA H41q(用户指定) 目标客户2 大型私有/国有石化企业； 相对点数较多（单套600点以内） SIS系统需达到SIL3或TUV6认证。 1、推荐GE 9070 GMR系统 2、HIMA H51q(用户指定) 4．2．1 GE 90-70 GMR 三重化冗余系统 GE 90-70 GMR（Genius Modular Redundancy）安全表决系统包括GMR单重化系统（1oo1D）、GMR双重化系统（1oo2D&2oo2D）、GMR三重化系统（2oo3）等。 GE 90-70 GMR三重化冗余系统是具有国际先进水平的的三重化表决系统，它可以提供从输入到CPU控制器以及输出的各种组合，也就是说，可以根据不同的工艺要求将不同的参数按不同的配置进行处理。 （1）安全功能实现的主要原理 GMR三重化冗余系统最重要的特点是其具有消除任何故障的特有能力。基于三个独立的PLC和广泛的诊断系统，GMR三重化冗余系统通过3选2的表决来提供高可靠性和无误差的操作。另外，GMR物理上无耦合设计和分离式结构电路保护可以从本质上消除相同模式故障的潜在可能性。 下图是其安全功能实现的主要原理。 （2）GMR系统组成 GMR系统由如下几部分组成:输入子系统(收集来自于多个或单个传感器的数据)、多个PLC子系统(运行相同的应用程序)和输出子系统(控制公共输出负载)。模块和PLC 间及各PLC间的通讯由Genius 冗余总线提供。为满足宽领域关键控制的需要，各子系统可设计为由冗余的和非冗余的开关模拟设备恰当的混合而成。 如上图所示，CPU和输入模块可按单重化、双重化、三重化配置，输出可以按单模块、I型、T型、H型配置。 （3）GE 90-70 GMR系统特点 90-70 GMR表决系统的特点： l 容错功能（Fault Tolerant） l 失败安全（Fail Safe） l 高等级自检及诊断检测 l 支持中央控制和分布控制系统 l 应用灵活性，可组态逐点冗余使之可以根据指定的应用要求配置自己的硬件系统。Genius I/O加速系统的开车进程，不须长距离拉线。 l 消除保险，减低了平均修复时间（MTTR） l 故障识别到点级，进一步降低了平均修复时间（MTTR） l GMR是一个"高可靠性"和"高可用性"的系统。 l 基于20ms的扫描时间。 l 支持三选二、二选二、二选一以及单机系统配置。 （4）GE 90-70 GMR表决系统配置： 90－70 GMR控制器是由90－70 PLC CPU(CPU788、CPU789和CPM790)以及相关的电源、机架、通讯等模块构成。如果系统配置是双重化或三重化的，所选用CPU必须是相同型号。每一个CPU需要1－3个总线控制器。 l GMR CPU： IC697CPU788 (80386DX,512KMEM,325点I/O) IC697CPU789 (80386DX,512KMEM,12KI/O) IC697CPU790 (80486DX2,1M MEM,12K I/O) l CPU内存（788/789）：IC697MEM735 l 90-70总线控制器：IC697BEM731 (90-70系列Genius总线控制模块) IC697CMM692 (90-70系列以太网总线控制模块) l 电源：IC697PWR711（AC120V/240V, DC125V, 100W） IC697PWR724（DC24V/48V, 90W） l 机架：IC697CHS750 （5槽，后板面安装） IC697CHS751 （5槽，前板面安装） IC697CHS790 （9槽，后板面安装） IC697CHS791 （9槽，前板面安装） l GMR软件：IC641SWP745 l 编程软件：IC640HWP706 GMR系统支持Genius模块、Field control I/O和VersaMax I/O各类子系统。 下面列出部分Genius I/O模块： IC660BBD020：24/48VDC Source I/O模块16路 IC660BBD021：24/48VDC Sink I/O模块16路 IC660BBD022：24VDC Source I/O模块16路 IC660BBD023：24VDC Sink I/O模块16路 IC660BBD024：12/24VDC Source I/O模块32路 IC660BBD025：5/12/24VDC Sink I/O模块32路 IC660BBD101：115VAC 低漏电 I/O模块8路 IC660BBD110：115VAC 输入模块16路 IC660BBR100：16路常闭继电器输出模块 IC660BBR101：16路常开继电器输出模块 IC660BBA020：24/48VDC 4模拟输入/2模拟输出 IC660BBA024：24/48VDC 4电流模拟输入/2模拟输出 IC660BBA025：24/48VDC 6模拟电流源输出 IC660BBA026：24/48VDC 6模拟电流源输入 IC660BBA021：24/48VDC 6通道RTD输入 IC660BBA023：24/48VDC 6通道热电偶输入 上位机软件采用CIMPLICITY HMI ，它是一个功能强大的，易于使用的监督和控制软件。具有 GE Fanuc 广泛的经验，真正的客户 / 服务器体系结构，基于 Microsoft Windows NT（2000）环境的多任务，多用户操作系统。 4．2．2 GE SafetyNet Proficy SafetyNet 是 GE Fanuc 智能平台目前提供的主要技术之一，是一种经济、高效的功能安全系统，能够满足当今紧急停车、火气和锅炉管理等方面的安全要求。Proficy SafetyNet 已通过德国莱茵技术监督协会（TÜV Rheinland）认证，适用于SIL 2 安全功能。该技术融入了最新的设计工艺，符合 IEC 61508 和 IEC 61511 标准的要求。 SafetyNet关键特性： Ø 可用性更高 SafetyNet 具有冗余控制器、电源和网络，提高了 SIL 2 安全系统的可用性，并可降低误停车概率。 Ø 经过安全认证的点对点通信 SafetyNet P2P 是功能强大且安全的通信协议，满足输入输出位于不同节点时的SIL 2安全功能要求。 Ø HART® 性能 智能 HART 现场仪表，实现了新的控制和安全策略以及维护方式，SafetyNet能提供所有这些强大的功能。 Ø 常开和常闭 SafetyNet 数字量输出通道经过认证，能用于常开和常闭应用，并且每个通道都能进行单独配置。 Ø 安全手册 《SafetyNet 安全手册》简单明了，正如用户所期待的一样。 Ø 快速应用程序开发 通过使用结构文本（ST）、梯形图（LD）、功能块图（FBD）等编程语言，SafetyNet Workbench 能够开发 SIL 2 安全应用程序。 Ø 安全和访问控制 SafetyNet 安全措施包括有密码保护的用户帐户，为授权计算机创建的受信任主机列表（Trusted Host Table），关键切换位号(Key Switch Tag)可以锁定或允许改变和强制功能，同时还有利用控制器密码防止未授权的访问。 Ø 确认和验证软件 SafetyNet Workbench 配备的工具能够对应用程序的改动进行测试和监控。 Ø SafetyNet 逻辑静态分析工具 该静态分析工具对控制策略中的结构性错误进行检测，尽量减少应用程序问题，降低出错风险，缩短软件开发时间。 Ø SafetyNet 逻辑比较工具 Workbench 中的比较工具能够用于比较新的控制策略和之前的策略，从而大大减少检查工作和安全应用测试。 Ø 控制器更改控制日志 Workbench 保留一份更改控制日志，记录了对 SafetyNet 控制器和模块作出的所有改动。 Ø 维护超弛功能 SafetyNet 的维护超弛功能能够暂时停止安全功能的正常操作，以便进行维护，也能够迫使系统关闭，或者在关闭系统后使其重启。 系统硬件结构见下图： 4．2．3 HIMA H41q/H51q HIMA公司的H41q和H51q系统做简要介绍并说明具体配置： 1998年HIMA公司推出了CPU四重化结构（QMR）的安全控制系统H41q 和H51q，使安全控制技术又有了重大性突破，首次实现了安全控制系统无故障修复时间限制，该技术是目前世界上安全控制领域中最为先进和可靠的。 H41q和H51q为CPU四重化结构（QMR），即系统的中央单元共有4个微处理器，每两个微处理器集成在一块CU模件上，再由两块同样的CU模件构成中央控制单元。一块CU模件已经构成1oo2D结构，而HIMA的1oo2D结构产品就可以满足AK6/SIL3的安全标准。采用双1oo2D结构，即2oo4D结构的目的是为用户提供最大的实用性（可用性），其容错功能使系统中任何一个部件发生故障，均不影响系统的正常运行。 系统的基本扫描周期为5ms（非冗余结构）/25 ms（冗余结构），SOE分辨率为ms级，系统的SOE功能可对系统本身的故障或导致联锁停车的各种事件进行记录。 HIMA PES(Programmable Electronic System)主要由H41q 和H51q系列组成，两个系列均基于相同的硬件和软件，可以处理所有的数字和模拟量输入输出信号。 H41q系列是一个紧凑型系统，它的所有的部件，例如中央单元、接口、通讯模块、配电系统以及输入输出模块均安放在一个5单元高的19英寸机架上。 H41q系列工作系统所需的部件列于下表中： 系统 H41q-MS H41q-HS H41q-HRS 要求等级 AK1-6 AK1-6 AK1-6 CU（中央模件）数量型号 1xF8652E 2xF8652E 2xF8652E CM(协处理器）数量型号 1xF8621A (2x)1xF8621A (2x)1xF8621A CoM数量型号（快速以太网） 1xF8627 (2x)1xF8627 (2x)1xF8627 CoM数量型号（profibus-DP） 1xF8626 (2x)1xF8626 (2x)1xF8626 电源数量型号 2xF7130A 2xF7130A 2xF7130A I/O总线数量 1 1 2 最大的I/O模件数 13 13 7＋6 组件编号 B4235 B4237-1 B4237-2 H51q系列采用标准模块化结构，由一个中央机架（每个5单元高，容纳了中央单元、接口、通讯模块、监视和电源）和最多16个相应的输入输出子机架（每个4单元高）构成。 H51q系列工作系统所需的部件列于下表中： 系统 H51q-MS H51q-HS H51q-HRS 要求等级 AK1-6 AK1-6 AK1-6 CU（中央模件）数量型号 1xF8650E 2xF8650E 2xF8650E CM(协处理器）数量型号 3xF8621A (2x)3xF8621A (2x)3xF8621A CoM数量型号（快速以太网） 5xF8627 (2x)5xF8627 (2x)5xF8627 CoM数量型号（profibus-DP） 5xF8626 (2x)5xF8626 (2x)5xF8626 电源数量型号 2x（3xF7126A） 3xF7126A 3xF7126A 5V监视 CU CU CU 后备电池 监视模件＋CU 监视模件＋CU 监视模件＋CU I/O总线数量 1 1 2 最大的I/O模件数 256个在16个I/O子机架中 256个在16个I/O子机架中 2x128个在2x8个I/O子机架中 组件编号 B5231 B5232-1 B5232-2 I/O模件： F3221：16通道数字量输入模件，用于触点信号的输入 F3222：16通道离散量输入模件，用于接近开关信号的输入 F3236：16通道数字量输入模件，用于接收与安全相关的触点信号 F3237：8通道数字量输入模件，用于接收与安全相关的接近开关信号 F3322：16通道数字量输出模件，负载功率最大为500mA（12W），若直接连接信号灯，最大输出功率12W F3330：8通道数字量输出模件，安全相关的，负载功率最大为500mA（12W），若直接连接信号灯，最大输出功率4W F3331：8通道数字量输出模件，可自检的，安全相关的 F5220：2通道计数器模件，安全相关的，计数范围为0～1MHz的脉冲输入信号 F6217：8通道模拟量输入模件，安全相关的，用于1～20mA/4～20mA或0～5V/0~10V信号的输入 F6220：8通道热电偶输入模件，安全相关的，包含用做温度补偿的PT100输入 F6705：2通道模拟量输出模件，输出0/4～20mA 另外还有： F7553：连接模件，安装在I/O子机架B9302套件内 PC485 PCI：总线终端，用于RS485/RS422通讯接口的扩展 BV7046：数据连接电缆，用于总线终端与系统的连接。 HIMA PES采用个人计算机做上位机，通过软件ELOPII进行组态、监视、操作和文档管理，可以离线完成对用户程序的组态和编译，而无需连接PES。对于加载、测试和对PES进行监视，则需通过一个串行口或总线系统使个人计算机与PES连接。 4．3 GE 90-70 GMR SIS一个实例 某石化装置，采用GE 90-70 GMR 双重化SIS系统。 要求：一套工程师站，2套操作员站，2选1冗余CPU，两重化输入。“H”型开关输出，符合TÜV认证class6（SIL3）基于对系统失效安全及容错的设计。 DI 333点 DO 125点 AI 21点 RTD 42点 AO 20点 系统配置： 配置清单如下： 其中未包括工程师站、操作员站，另有若干继电器、接线端子、24V开关电源（西门子）、空开、Hub等部件。