施工员培训--安全仪表系统.docx

1、安全仪表系统 一、概述 1. 安全仪表系统(SIS)的定义 SIS是Safety Instrumented System的简称,中文的意思是安全仪表系统,,它是根据美国仪表学会(ISA)对安全控制系统的定义而得名的。安全仪表系统(SIS)也称为紧急停车系统（ESD）、安全联锁系统(SIS)或仪表保护系统（IPS）。 简要的说，安全仪表系统(SIS)是指能实现一个或多个安全功能的系统。 安全仪表系统在石油、石油化工等领域已有较多的产品：例如Honeywell公司的FSC（Fail Safe Control System）故障安全控制系统、德国HIMA公司的PES（Programmabl

2、e Electronic System）可编程电子系统等。 安全仪表系统(SIS)主要包括三大部分：传感器部分、逻辑运算部分和最终执行元件部分。 SIS系统具有高可靠性（Reliability）、可用性（Availability）和可维护性（Maintainability），并且在SIS内部出现故障或外界干扰的情况下是安全的。 2．安全仪表系统(SIS)的分类 从SIS发展历史来看，安全仪表系统(SIS)经历了继电器系统、固态电路系统和可编程电子系统3个阶段。 （1）继电器系统 A．采用单元化结构，由继电器执行逻辑，通过重新接线来重新编程。 B．可靠性高，具有故障安全特性，电压适

3、用范围宽，一次性投资较低，可分散于工厂各处，抗干扰能力强。 C．系统庞大而复杂，灵活性差，进行功能修改或扩展不方便，无串行通信功能，无报告和文档功能。易造成误停车，无自诊断能力。用户维修周期长，费用高。 （2）固态电路系统 A．采用模块化结构，采用独立固态器件，通过硬接线来构成系统，实现逻辑功能。 B．结构紧凑，可进行在线测试，易于识别故障，易于更换和维护，可进行串行通信，可配置成冗余系统。 C．灵活性不够，逻辑修改或扩展必须改变系统硬连线，大系统操作费用较高，可靠性不如继电器系统。 （3）可编程电子系统 A．以微处理器技术为基础的PLC，采用模块化结构，通过微处理器和编程

4、软件来执行逻辑。 B．强大、方便灵活的编程能力，有内部自测试和自诊断功能可进行双重化串行通信，可配置成冗余或三重模块冗余（TMR）系统，可带操作和编程终端，可带时序事件记录（SER）。 3. 安全仪表系统(SIS)的特点 (1) SIS能够检测潜在的危险故障，具有高安全性，覆盖范围宽的自诊断功能。 （2）SIS需符合国际安全标准规定的仪表安全标准，从系统开发阶段开始，要接受第三方认证机构（TüV等）的审查，取得认证资格，系统方可投入实际运行。 （3）SIS自诊断覆盖率大，维修时检查的点数非常少。诊断覆盖率是指可在线诊断出的故障系统全部故障的百分数。 （4）SIS由采取冗余逻辑表决方

5、式的输入单元、逻辑结构单元、输出单元三部分组成系统，逻辑表决的应用程序修改容易，特别是可编程型SIS，根据工程实际要求，修改软件即可。 （5）SIS由局域网、DCSI/F（人机接口）及开放式网络等组成多种系统。 （6）SIS设计特别重视从传感器到最终执行机构所组成的回路整体的安全性保证，具有I/O断线、短路等的监测功能。 二、安全仪表系统(SIS) 的组成 1. SIS系统的组成分为传感器部分、逻辑运算部分和最终执行器单元三部分。其结构简图如下： + 感测器 输入回路 MPU 输出回路 最终 元件 输入模块 控制模块 SIS系统简图 － 输出模块

6、 A.传感器单元采用多台仪表或系统，将控制功能与安全联锁功能隔离，即传感器分开独立配置的原则，做到安全仪表系统与过程控制系统的实体分离。 B.最终执行元件（切断阀、电磁阀）是安全仪表系统中危险性最高的设备。 C.逻辑运算单元由输入模块、控制模块、诊断回路、输出模块4部分组成。 SIS故障有两种：显性故障（安全故障）和隐性故障（危险故障）。显性故障（如系统短路等），由于故障出现使数据产生变化，通过比较可立即检测出，系统自动产生矫正作用，进入安全状态，因此显性故障不影响系统安全性，仅影响系统可用性，故又称为无损害故障（Fail to Nuisance，FTN）。隐性故障（如I/O短路等），

7、开始不影响到数据，仅能通过自动测试程序方可检测出，它不会使正常得电的元件失电，因此又称为危险故障（Fail to Danger，FTD），系统不能产生动作进入安全状态。隐性故障影响系统的安全性，隐性故障的检测和处理是SIS系统的重要内容。 安全仪表系统的逻辑单元结构选择见下表： 逻辑单元结构 IEC61508 SIL TüV AK DIN V19520 1。。1 1 AK2，AK3 1,2 1。。1D 2 AK4 3,4 1。。2 2 AK4 3,4 1。。2D 3 AK5,6 5,6 2。。3 3 AK5,6 5,6 2。。4 3 AK

8、5,6 5,6 2. SIS与DCS的区别 SIS与DCS在石油、石化生产过程中分别起着不同的作用，如下图所示： 灭火子系统 环境 火灾与燃气系统 安全仪表系统（SIS） 过程控制系统(DCS等) 生产过程 & 生产装置的安全层次 生产装置从安全角度来讲，可分为3个层次：第一层为生产过程层，第二层为过程控制层，第三层为安全仪表系统停车保护层。 SIS与DCS的区别见下表： DCS SIS DCS用与过程连续测量、常规控制（连续、顺序、间歇等）、操作控制管理，保证生产装置平稳运行 SIS用与监视生产装置的运行状况，对出现异常工况迅速进行处理，使故障发生的可

9、能性降到最低，使人和装置处于安全状态 DCS是“动态”系统，它始终对过程变量连续进行检测、运算和控制，对生产过程动态控制，确保产品质量和产量 SIS是静态系统，在正常工况下，它始终监视装置的运行，系统输出不变，对生产过程不产生影响，在异常工况下，它将按着预先设计的策略进行逻辑运算，使生产装置安全停车 DCS可进行故障自动显示 SIS必须测试潜在故障 DCS对维修时间的长短的要求不算苛刻 SIS维修时间非常关键，弄不好造成装置全线停车 DCS可进行自动/手动切换 SIS永远不允许离线运行，否则生产装置将失去安全保护屏障 DCS系统只做一般联锁、泵的开停、顺序等控制，安全级别要求

10、不象SIS那么高 SIS与DCS相比，在可靠性、可用性上要求更严格，IEC61508，ISA·S84.01强烈推荐SIS与DCS硬件独立设置 3.SIS系统的配置方案 （1）a型 控制系统和联锁系统全部由DCS控制站完成。过程控制信息由通信网络传给操作站显示报警，操作员的操作指令由操作站通过通信网络传给控制站执行，这就是控制、联锁一体化型。 （2）b型 控制系统信号由一组控制站完成，报警联锁信号由另一组控制站完成。两站信息由通信网络送到操作站，操作员的指令由操作站经通信网络送达各个控制站执行，就是控制、联锁站站分开型。 （3）c型 控制信号由DCS独立执行。联锁信号由PLC独立执行

11、PLC由独立的编程器进行软件编写，重要的信息送操作台硬灯显示或由操作台发出硬开关动作指令。PLC联锁报警的非重要信号由通信接口送到通信网络并传到操作站进行显示，部分非重要指令由操作站发出，送PLC执行，就是DCS+PLC型。 （4）d型 控制报警信号由DCS系统执行，重要的联锁信号由继电器系统完成。由硬开关及硬灯组成的操作台进行显示和操作，就是DCS+PLY型。 （5）e型 控制信号由DCS独立完成，联锁报警信号由三重冗余的紧急联锁控制器ESD完成。软件编程器独立设置，重要动作及操作指令由独立操作台显示和发出，非重要信号和指令由通信接口经通信网络送操作站显示和发出，就是DCS+ESD型。

12、 总之SIS原则上应单独设置，独立与DCS和其他系统，并与DCS进行通信；SIS应具有完善的诊断测试功能，SIS应采用经TüV安全认证的PLC系统；SIS关联的检测元件、执行机构原则上单独设置；SIS中间环节应保持最少；SIS应采用冗余或容错结构；SIS应设计成故障安全型，I/O模件应带电磁隔离或光电隔离，每通道应相互隔离，可带电插拔；来自现场的三取二信号应分别接到三个不同的输入卡，当模拟量输入信号同时用于SIS、DCS时，应先接到SIS的AI卡，采用SIS系统对变送器进行供电。 三、工艺过程的风险评估及安全功能SIS等级的确定 1、相关的几个概念： （1）安全度及安全度等级 安全联

13、锁系统在一定条件和一定时间周期内执行指定安全功能的概率称为安全度。安全联锁系统的安全等级称为安全度等级，用PED（Probability of Failure on Demand）即危险概率来定义。 （2）SIL及SIL分级 SIL是Safety Integrity Level的简称，中文的意思是综合安全级别也称为安全度等级。它是美国仪表学会（ISA）在S84.01标准中对过程工业中安全仪表系统所作的分类等级，SIL分为1、2、3三级： SIL1级每年故障危险的平均概率为0.10～0.01之间； SIL2级每年故障危险的平均概率为0.01～0.001之间； SIL

14、3级每年故障危险的平均概率为0.001～0.0001之间。 SIL等级的确认： 1级：装置可能很少发生事故。如发生事故，不会立即造成环境污染和人员伤亡，经济损失不大。 用于本级别的安全仪表系统，需取得SIL1级和TüV2-3级认证，对装置和产品起一般的保护。 2级：装置可能偶尔发生事故。如发生事故，对装置和产品有较大的影响，并有可能造成环境污染和人员伤亡，经济损失较大。 用于本级别的安全仪表系统，需取得SIL2级和TüV4级认证，对装置和产品提供保护。 3级：装置可能经常发生事故。如发生事故，对装置和产品将造成严重的影响，并造成严重的环境污染和人员伤亡，经济损失严重。 用于本级别

15、的安全仪表系统，需取得SIL3级和TüV5-6级认证，对装置和产品提供保护。 （3）IEC61508标准 IEC61508标准是国际电工委员会（IEC）对与安全相关的安全控制系统制定的性能安全标准，与ISA的SIL相比，除了覆盖ISA中的SIL1～3等级以外，增加了第四级标准，IEC SIL4级标准每年故障危险的平均概率为0.0001～0.00001之间。 （4）TüV标准 TüV是德国技术监督协会的缩写。DIN V，19250是TüV证书中评定产品的标准。TüV标准是德国莱茵认证机构对工业过程安全控制系统所作的分类等级。TüV共分为8级（AK1～AK8），AK2/3对应于SIL1级，AK

16、4对应于SIL2，AK5/6对应于SIL3级，AK7对应于SIL4级，AK8是目前最高级别的安全标准，故障概率大于十万分之一，目前没有与E/E/PES安全相关的系统能满足要求，ISA和IEC尚未制定相应于AK8的标准。 2. DIN V，19250/ IEC61508标准风险分析图 工艺过程的风险是以恶性事故概率及其造成的后果来衡量的。目标安全水平是以可接受的恶性事故概率及其造成的后果来确定的。目标安全水平与恶性事故概率之间的差值就是安全功能的SIL等级，即SIS系统中采用SIL等级的安全功能来使恶性事故概率低于目标安全水平。DIN V，19250/ IEC61508标准风险分析图如图所示

17、 3.综合安全级别确定 SIL等级现有三种技术来确定：定性风险评估技术，半定量风险评估技术及定量风险评估技术。 安全功能故障率 整体安全水平（SIL） 安全功能故障率 SIL4 ≥10-5～10-4 SIL3 ≥10-4～10-3 SIL2 ≥10-3～10-2 SIL1 ≥10-2～10-1 DIN V，19250/ IEC61508标准风险分析图中，IEC61508标准安全度等级SIL与DIN V，19250最小抑制风险级别AK（TüV标准）的对应关系如下表所示： IEC61508 SIL ANSI/ISA S84.01 SIL DIN V，19

18、250 AK Class 说 明 1 1 2、3 仅对少量的财产和简单的生产和产品进行保护 2 2 4 对大量的财产和复杂的生产和产品进行保护，也对生产操作人员进行保护 3 3 5、6 对工厂的财产，全体员工的生命和整个社区的安全进行保护 4 - ７ 避免灾难性的（例如核事故）会对整个社区形成巨大冲击的事故 四、SIS安全仪表系统常用术语 1.故障（Failure） 针对控制系统的安全而言，故障分为安全故障和严禁故障。安全故障是指此故障不会引起生产装置灾难性事故，而严禁故障是指故障一旦发生，会引起装置灾难性后果。 下面以紧急停车系统（ESS）为例来

19、说明安全故障和严禁故障的区别： 继电器正常 传感器 故障 （b） ESS ESS的通道 ESS 传感器 继电器 传感器 正常 ESS 继电器故障 （a） 安全故障

20、示意图 传感器检测到异常情况 ESS 继电器故障 （a） ESS 继电器正常

21、 （b） 传感器过程异常传感器没有检测到 严禁故障示意图 2.可用性（利用率）（Availability） 可用性是指系统可以使用时间的概率，用字母A表示。其表达式为： A=平均工作时间（MTTF）/(平均工作时间（MTTF）+平均修复时间（MTTR）) 下表以ESS为例，说明

22、系统的可用性（利用率）情况： ESS状况 装置状况 1 ESS正常 装置运行正常 2 ESS出现安全故障 装置停车 3 ESS出现严禁故障 装置继续运行 在第1种情况下，ESS与装置两者都处于可用状态。在第2种情况下，ESS与装置两者都处于不可用状态。在第3种情况下，ESS处于不可使用状态，而装置继续运行，但处于危险的可使用状态。分析上表可知：追求高的可用性，其安全风险大，追求高的安全性，则可用性

23、就要降低。 3.可靠性（Reliability） （1）可靠性是指系统在规定的时间间隔内发生故障的概率，用字母R表示。具体来讲，可靠性指的是安全联锁系统在故障危险模式下，对随机硬件或软件故障的安全度。 （2）可靠性计算是根据故障（失效）模式来确定的。 （3）故障模式有显性故障模式（失效-安全型模式）和隐性故障模式（失效-危险型模式）两种。显性故障模式表现为系统误动作，可靠性取决于系统硬件所包含的元器件总数，一般由MTBF表示。隐性故障模式表现为系统拒动作，可靠性取决于系统的拒动作率（PFD），一般表示为： R=1-PFD 4.牢固性（Integrity） 可靠性

24、与牢固性在意义上极为相似，很难加以区分。 IEC和SP4对安全性（Safety Integrity）的定义：在规定时间和条件下，PES完成安全功能的可靠性。 IEC（WG10）：硬件牢固性（Hardware Integrity）：是系统安全性的组成部分，它指在危险方式下硬件的随机故障。 英国的PES：安全性（Safety Integrity）：安全系统在规定的条件下或者需要它去执行的要求下，按人们的要求完成功能时所表现的特性。 从可靠性、牢固性定义中可以看出，牢固性这个术语用在安全保护系统中，而可靠性的适用范围则相对广泛。 5.冗余及冗余系统 冗余（Redundant）指为实现同

25、一功能，使用多个相同功能的模块或部件并联。冗余也可定义为指定的独立的N：1重元件，且可自动地检测故障，并切换到备用设备上。 冗余系统（Redundant System）指并行使用多个系统部件，并具有 逻辑结构单元 执行器 m次 n次 k次 安全仪表系统的冗余组成 传感器 故障检测和校正功能的系统称为冗余系统。 安全仪表系统的冗余包括两部分：逻辑单元本身的冗余；传感器和执行器的冗余。针对不同的场合，冗余的次数及实现冗余的软逻辑不同。 6.冗余逻辑表决方式 (1) 表决(Voting)：指冗余系统中用多数原则将每个支路

26、的数据进行比较和修正，从而最后确定结论的一种机理。 （2）几种冗余逻辑表决方式 1oo1D（1 out of 1D） 1取1带诊断 1oo2（1 out of 2） 2取1 1oo2D（1 out of 2D） 2取1带诊断 2oo3（2 out of 3） 3取2 2oo4d（2 out of 4） 4取2带诊断 a.二选一表决逻辑 (1oo2) AND A B 正常状态下，A、B状态为1，只要A、B任一信号为0，发生故 障，表决器就命令执行器执行相应的动作。适用于安全性

27、较高的场合。 b. 二选二表决逻辑 (2oo2) OR A B 正常状态下，A、B状态为1，只有当A、B信号同时发生故 障为0时，，表决器就命令执行器执行相应的动作。适用于安全性要求一般而可用性较高的场合。 其特点是：可以有效防止安全故障的发生，但系统有可能造成严禁故障的发生。 c.三选一表决逻辑（1oo3） A B C AND 正常状态下，A、B、C状态为1，只有当A、B、C任一信号发生故 障为0时，，表决器就命令执行器执行相应的动作。适用于安全性很高的场合，而不顾及其它情况。 其特点是：它最有

28、效的防止了严禁故障的发生，比1oo2方式更严格，但增加了安全故障发生的机会。它的安全故障发生率是单一系统的3倍。 d.三选二表决逻辑（2oo3） A B A C B C OR AND AND AND 正常状态下，A、B、C状态为1，只有当A、B、C任两个组合信号同时为0发生故障时，，表决器就命令执行器执行相应的动作。适用于安全性、使用性高的场合。 其特点是：它克服了二重化系统不辨真伪的缺陷，其可用性和安全性保持在合理的水平。 7.冗错、冗错技术及冗错系统 （1）冗错（Fault Tolerant）是指功能模块在出现故障或错误时，可以继续执行特定功能

29、的能力。进一步讲冗错是指对失效的控制系统元件（包括软件和硬件）进行识别和补偿，并能够在继续完成指定的任务、不中断过程控制的情况下进行修复的能力。冗错是通过冗余和故障屏蔽（旁路）的结合来实现的。 （2）冗错技术是发现并纠正错误，同时使系统继续正确运行的技术，包括错误检测和校正用的各种编码技术、冗余技术、系统恢复技术、指令复轨、程序复算、备件切换、系统重新复合、检查程序、论断程序等。 （3）冗错系统是对系统中的关键部件进行冗余备份，并且通过一定的检测手段，能够在系统内的软件和硬件故障时，切换到冗余部件工作，以保证整个系统能够不因这些故障而导致处理中断。在故障修复后，又能够恢复到冗余备份状态。具

30、备此种能力的系统即为冗错系统。冗错系统又分为硬件冗错系统和软件冗错系统，硬件冗错系统在SIS系统中更有优势。 8.故障安全 故障安全是安全仪表系统在故障时按 一个以知的方式进入安全状态。 故障安全是指ESD系统发生故障时，不会影响到被控过程的安全运行。ESD系统在正常工况时处于励磁（得电）状态，故障工况时应处于非励磁（失电）状态。当发生故障时，ESD系统通过保护开关将其故障部分断电，称为故障旁路或故障自保险，因而在ESD自身故障时，仍是安全的。 在设计安全停车系统时，有下列两种不同的安全概念： A.故障安全停车：在出现一个或多个故障时，安全仪表系统立即动作，使生产装置进入一个预定义的停车工况。该ESD系统称为故障-安全（Fail-Safe）型系统。 B.故障连续工作：尽管有故障出现，安全仪表系统仍然按设计的控制策略继续工作，并不使装置停车。该ESD系统称为冗错（Fault-Tolerant）型系统。 9.故障性能递减 故障性能递减指的是在SIS系统CPU发生故障时,安全等级降低的一种控制方式。故障性能递减可以根据使用的要求通过程序来设定。 在CPU发生故障时，安全等级大降，但仍能保持一段时间的正常运行，此时必须在允许故障修复时间修复，否则系统将出现停车。