安全仪表系统（深奥图）概述课件.ppt

安全仪表系统,2015年05月00日,1,安全仪表系统,一、概述二、工艺过程的风险评估及安全功能SIS等级的确定三、安全仪表系统的组成四、安全仪表系统的工程案例五、SIS安全仪表系统常用术语,主要内容：,2,一、概述,1.安全仪表系统的定义2.安全仪表系统(SIS)的特点3.安全仪表系统（SIS）实现的功能及要求,主要内容：,3,1.安全仪表系统(SIS)的定义,4,SIS是Safety Instrumented System的简称,中文的意思是安全仪表系统,它是根据美国仪表学会(ISA)对安全控制系统的定义而得名的。安全仪表系统(SIS)包括安全联锁系统、紧急停车系统和有毒有害、可燃气体及火灾检测保护系统等。简要的说，安全仪表系统(SIS)是指能实现一个或多个安全功能的系统。每个安全功能都能把事故发生的概率和风险降低到一个可以接受的水平。安全仪表系统在石油、石油化工等领域应用的产品：霍尼韦尔、艾默生、ABB、西门子、罗克韦尔自动化、GE、Invensys、横河电机、和利时等我们公司用过的产品是GE PAC8000及西门子S7-400FH,2.安全仪表系统(SIS)的六大特点,SIS能够检测潜在的危险故障，具有高安全性，覆盖范围宽的自诊断功能。SIS需符合国际安全标准规定的仪表安全标准，从系统开发阶段开始，要接受第三方认证机构的审查，取得认证资格，系统方可投入实际运行。SIS自诊断覆盖率大，维修时检查的点数非常少。诊断覆盖率是指可在线诊断出的故障系统全部故障的百分数。,5,SIS由采取冗余逻辑表决方式的输入单元、逻辑结构单元、输出单元三部分组成系统，逻辑表决的应用程序修改容易，特别是可编程型SIS，根据工程实际，修改软件即可。SIS由局域网、DCSI/F（人机接口）及开放式网络等组成多种系统。SIS设计特别重视从传感器到最终执行机构所组成的回路整体的安全性保证，具有I/O断线、短路等的监测功能。,6,3.安全仪表系统(SIS)实现的功能及要求,安全仪表系统（SIS）在生产装置的开车、停车阶段，运行以及维护操作期间，对人员健康、装置设备及环境提供安全保护。无论是生产装置本身出现的故障危险，还是人为因素导致的危险以及一些不可抗拒因素引发的危险，SIS系统都应立即作出正确反应并给出相应的逻辑信号，使生产装置安全联锁或停车，阻止危险的发生和事故的扩散，使危害减少到最小。SIS系统应具备高的可靠性（Reliability)、可用性（Availability）和可维护性（Maintainability）。当SIS系统本身出现故障时仍能提供安全保护功能。,7,二、工艺过程的风险评估及安全功能SIS等级的确定,1.相关的几个概念 2.DIN V，19250/IEC61508标准风 险分析图 3.综合安全级别确定,8,1、相关的几个概念：,（1）安全度及安全度等级 安全联锁系统在一定条件和一定时间周期内执行指定安全功能的概率称为安全度。安全联锁系统的安全等级称为安全度等级，用PED（Probability of Failure on Demand）即危险概率来定义。,9,（2）SIL及SIL分级 SIL是Safety Integrity Level的简称，中文意思是综合安全级别也称为安全度等级。是美国仪表学会（ISA）在S84.01标准中对过程工业中安全仪表系统所作的分类等级，分为1、2、3三级：SIL1级每年故障危险的平均概率为0.100.01之间；SIL2级每年故障危险的平均概率为0.010.001之间；SIL3级每年故障危险的平均概率为0.0010.0001之间。,10,SIL等级的确认：,1级：装置可能很少发生事故。如发生事故，不会立即造成环境污染和人员伤亡，经济损失不大。用于本级别的安全仪表系统，需取得SIL1级和TV2-3级认证，对装置和产品起一般的保护。2级：装置可能偶尔发生事故。如发生事故，对装置和产品有较大的影响，并有可能造成环境污染和人员伤亡，经济损失较大。用于本级别的安全仪表系统，需取得SIL2级和TV4级认证，对装置和产品提供保护。3级：装置可能经常发生事故。如发生事故，对装置和产品将造成严重的影响，并造成严重的环境污染和人员伤亡，经济损失严重。用于本级别的安全仪表系统，需取得SIL3级和TV5-6级认证，对装置和产品提供保护。,11,（3）IEC61508标准IEC61508标准是国际电工委员会（IEC）对与安全相关的安全控制系统制定的性能安全标准，与ISA的SIL相比，除了覆盖ISA中的SIL13等级以外，增加了第四级标准，IEC SIL4级标准每年故障危险的平均概率为0.00010.00001之间。,12,2.DIN V，19250/IEC61508标准风险分析图,工艺过程的风险是以恶性事故概率及其造成的后果来衡量的。目标安全水平是以可接受的恶性事故概率及其造成的后果来确定的。目标安全水平与恶性事故概率之间的差值就是安全功能的SIL等级，即SIS系统中采用SIL等级的安全功能来使恶性事故概率低于目标安全水平。,13,3.综合安全级别确定,SIL等级现有三种技术来确定：定性风险评估技术，半定量风险评估技术及定量风险评估技术。,安全功能故障率,14,DIN V，19250/IEC61508标准风险分析图中，IEC61508标准安全度等级SIL与DIN V，19250最小抑制风险级别AK（TV标准）的对应关系如下表所示：,15,三、安全仪表系统(SIS)的组成,1.SIS系统的组成部分 2.SIS与DCS的区别 3.SIS的设计原则 4.SIS系统的典型配置方案,16,1.SIS系统的组成部分,SIS系统的组成分为传感器部分、逻辑运算部分和最终执行器单元三部分。其结构简图如下：,17,传感器单元采用多台仪表或系统，将控制功能与安全联锁功能隔离，即传感器分开独立配置的原则，做到安全仪表系统与过程控制系统的实体分离。最终执行元件（切断阀、电磁阀）是安全仪表系统中危险性最高的设备。逻辑运算单元由输入模块、控制模块、诊断回路、输出模块4部分组成。,18,2.SIS与DCS的区别,SIS与DCS在石油、石化生产过程中分别起着不同的作用，如下图所示：生产装置从安全角度来讲，可分为3个层次：第一层为生产过程层，第二层为过控制层，第三层为安全仪表系统停车保护层。,19,SIS与DCS的区别见下表：,20,SIS原则上应单独设置，独立与DCS和其他系统，并与DCS进行通信；SIS应具有完善的诊断测试功能，SIS应采用经安全认证的控制器；SIS关联的检测元件、执行机构原则上单独设置；SIS中间环节应保持最少；SIS应采用冗余或容错结构；SIS应设计成故障安全型，I/O模件应带电磁隔离或光电隔离，每通道应相互隔离，可带电插拔；来自现场的三取二信号应分别接到三个不同的输入卡；当现场变送器信号同时用于SIS、DCS时，应先接到SIS系统后接到DCS系统；采用SIS系统对变送器进行供电；,21,3.SIS的设计原则,负荷不应超过50%；电源应冗余配置；采用等电位接地。传感器及执行元件，正常工况应是带电（励磁）；非正常工况应是失电（非励磁）；电磁阀冗余配置时，有两种连接方式：并联连接-可用性好；串联连接-安全性好。,22,23,（1）SIS传感器设计选用独立设置原则：1级 SIS传感器可与DCS共用；2级 SIS传感器宜与DCS分开；3级 SIS传感器应与DCS分开；冗余设置原则：1级 SIS传感器可采用单一的传感器；2级 SIS传感器宜采用冗余的传感器；3级 SIS传感器应采用冗余的传感器；冗余选择原则:保证系统的安全性时，采用“或”逻辑结构；保证系 统的可用性时，采用“与”逻辑结构；当系统的安全性 和可用性均需保证时，采用“三取二”逻辑结构；传感器宜采用隔爆型的变送器（压力、差压、差压流量、差压液位、温度），不宜采用开关型传感器；传感器由SIS系统供电。,24,（2）SIS逻辑运算器设计选用SIS逻辑运算器：继电器系统，可编程序电子系统，混合系统三种；继电器用于I/O点较少,逻辑功能简单的场合；可编程电子系统用于I/O点较多,逻辑功能复杂，与DCS、MES通信等场合；可编程电子系统可以是经TUV认证的PLC系统，也可是DCS和其他专用系统；独立设置原则：1级SIS逻辑运算器宜与DCS分开；2级SIS逻辑运算器应与DCS分开；3级SIS逻辑运算器必须与DCS分开；冗余设置原则：1级SIS可采用单一的逻辑运算器；2级SIS宜采用冗余或容错逻辑运算器；3级SIS应采用冗余容错逻辑运算器；,25,（3）SIS执行元件设计选用执行元件：气动切断阀（带电磁阀），气动控制阀（带电磁阀），电动阀或液动阀等。独立设置原则:1级 SIS 阀门可与DCS共用，应确保SIS优先于DCS动作；2级SIS阀门宜于DCS分开；3级SIS阀门宜于DCS分开；冗余设置原则：1级 SIS 可采用单一阀门；2级宜采用冗余阀门；如采用单一阀门，电磁阀宜冗余配置；3级宜采用冗余阀门；可采用一个控制阀和一个切断阀；电磁阀设置原则：电磁阀应采用长期带电，低功耗，隔爆型；由SIS系统供电。,26,4.SIS系统的配置方案,上位机：工程师兼操作员站、工业组态软件、报表打印机、UPS电源、联网设备安全控制器：GE PAC8000、西门子S7-400FH现场安全仪表：压力变送器、气体检测（有毒或可燃）、温度变送器、阀门、泵、ESD按钮辅助操作盘：指示灯、启停按钮、ESD按钮、旁路开关,27,供电部分：SIS系统的供电分系统供电、安全控制器供电、现场仪表供电。系统供电主要是220VAC，要求由两路供电实现，一路是市电进入到UPS，由UPS供电（要求高的SIS系统，UPS系统要冗余配置），另外一路是业主方提供的发电机供电，两路供电经过冗余电源开关，同时对内供电；安全控制器供电主要是由安全控制器厂家提供的开关电源，开关电源要冗余配置，两路交流220VAC进，一路直流电输出（一般有5VDC、12VDC等直流输出）；现场仪表供电主要是由安全控制器厂家或其它厂家提供的开关电源，开关电源冗余配置，两路交流220VAC进，一路直流电输出（一般24VDC等直流输出）；,28,上位机部分：SIS系统的上位机部分主要作用是监控安全控制器的运行、现场安全仪表的运行、记录安全仪表的历史数据及开关输入变化记录（又叫SOE），具备报表打印及参数设置等功能，对SIS系统的作用是非决定性的，出现异常时，不由上位机发出指令，即使没有上位机也不影响SIS系统安全控制。所以对计算机、工业组态软件等配置要求不高。安全控制器部分：SIS系统的安全控制器配置必须要符合安全等级的设计要求，如果设计要求安全等级要达到SIL2，那么安全控制器的所有设备必须取得SIL2的认证，否则就不能采用。目前国内的大部分SIS设计的安全等级要求都是SIL2以上，所以所配的安全控制器除了要取得认证，同时控制器的CPU、通讯模块、电源模块等要采取冗余配置、I/O模块要采用安全型的。,29,现场仪表部分：SIS系统的现场仪表相对整个系统数量不多，安装于与危险级别比较高的工艺节点上，如罐的进出口、码头管线的进出口等。主要分为检测仪表、控制仪表，这些仪表独立于其它非SIS控制系统（比例过程控制系统DCS、PLC）,不接受非SIS控制系统监控，它们的作用在SIS系统里是最关键，检测仪表提供了关键的危险信息，控制仪表必须及时作出相应的动作，避免危险继续发展。比如存储剧毒化工品的储罐旁有毒气体检测报警后，与剧毒化工品储罐有关的进出安全阀门、泵必须关断，SIS控制器的优先权高于非SIS控制系统。辅助操作盘部分：SIS系统的都要求配置辅助操作盘，辅助操作盘的受人为控制，信号进入SIS系统，辅助操作盘上的动作优先权高于非SIS控制系统，只要有动作SIS系统就必须按设计的要求对相关设备进行控制。,四、安全仪表系统的工程案例,1.中石油昆仑液化气有限公司汕头气库附属仓储项目 2.惠州大亚湾美誉化工仓储一期剧毒化学品罐区项目 3.吉安中科锂能新材料技术有限公司年产500吨六氟磷酸锂项目 4.珠海市西区天然气利用工程（I）泥湾门门站项目,30,1.中石油昆仑液化气有限公司汕头气库附属仓储项目,31,本项目建设的LPG罐区主要包括2座6000m3球罐，及相应输送泵组、消防安全等辅助生产设施。LPG的理化性质主要是易燃易爆。本项目的安全仪表系统独立设置，用于完成本罐区的紧急停车、紧急注水、火灾报警联动与可燃气体检测报警等控制功能。,上位机：一台工程师兼操作员站、一套工业组态软件、报表打印机、UPS电源、环网交换机安全控制器：一套GE PAC8000，SIL2等级，配浪涌保护器现场安全仪表：可燃气体检测、液位开关、阀门、泵、ESD按钮辅助操作盘：指示灯、启停按钮、ESD按钮、旁路开关,32,33,2.惠州大亚湾美誉化工仓储一期剧毒化学品罐区项目,34,本项目建设的剧毒化学品罐区主要包括5座3000m3储罐，及相应冷冻机系统、泵组、废气处理装置、汽车装卸平台等辅助生产设施。其中，2座内浮顶罐氮封罐用于丙烯腈的储存；3座固定顶罐氮封罐用于甲苯-2,4-二异氰酸酯（以下简称：TDI）的储存。丙烯腈与TDI的理化性质主要是易燃易爆，剧毒，有聚合的危险。本工程的安全仪表系统独立设置，用于成品罐区的紧急停车、火灾报警与有毒气体检测报警等控制功能。,上位机：一台工程师兼操作员站、一套工业组态软件、报表打印机、UPS电源、环网交换机安全控制器：一套GE PAC8000，SIL2等级，配浪涌保护器现场安全仪表：有毒气体检测、液位开关、阀门、泵、ESD按钮辅助操作盘：指示灯、启停按钮、ESD按钮、旁路开关,35,36,3.吉安中科锂能新材料技术有限公司年产500吨六氟磷酸锂项目,37,本项目建设的是生产六氟磷酸锂装置，该装置在生产过程中会产生氟化氢、五氟化磷及氯化氢等有害有毒的气体，本装置构成了一级重大危险源，需要对重大危险源中的毒性气体、液化气体和剧毒液体等重点设施设有紧急切断装置及紧急停车系统，本项目的安全仪表系统独立设置，用于装置区的紧急停车与有毒气体检测报警等控制功能。,上位机：一台工程师兼操作员站、一套工业组态软件、报表打印机、UPS电源、环网交换机安全控制器：一套GE PAC8000，SIL2等级，配浪涌保护器现场安全仪表：有毒气体检测、液位开关、阀门、泵、ESD按钮辅助操作盘：指示灯、启停按钮、ESD按钮、旁路开关,4.珠海市西区天然气利用工程（I）泥湾门门站项目,38,本项目属于天然气利用工程，建有一套门站LNG供气装置，装置内有两套高压撬，低温压力气化自动调压系统，主要适用于天然气长输管线的分输站，LNG属于超低温、易燃易爆的液化天然气本。整个系统有安全仪表系统及过程控制系统，但是系统的控制点不多，为了确保生产的安全，整个系统只采用安全仪表系统去实现所有的功能。,上位机：1台服务器，1台工程师，一台操作员站、一套工业组态软件、报表打印机、UPS电源、环网交换机安全控制器：一套西门子S7-400FH，SIL2等级，配浪涌保护器现场安全仪表：可燃气体检测、差压及压力变送器、温度变送器、阀门、ESD按钮辅助操作盘（设置在SIS控制上）：指示灯、启停按钮、ESD按钮、旁路开关,39,五、SIS安全仪表系统常用术语,1.故障（Failure）2.可用性（利用率）（Availability）3.可靠性（Reliability）4.牢固性（Integrity）5.冗余及冗余系统 6.冗余逻辑表决方式 7.冗错、冗错技术及冗错系统 8.故障安全 9.故障性能递减,40,1.故障（Failure）,针对控制系统的安全而言，故障分为安全故障和严禁故障。安全故障是指此故障不会引起生产装置灾难性事故，而严禁故障是指故障一旦发生，会引起装置灾难性后果。,41,2.可用性（利用率）（Availability）,可用性是指系统可以使用时间的概率，用字母A表示。其表达式为：A=平均工作时间（MTTF）/(平均工作时间（MTTF）+平均修复时间（MTTR）下表以ESS为例，说明系统的可用性（利用率）情况：,42,在第1种情况下，ESS与装置两者都处于可用状态。在第2种情况下，ESS与装置两者都处于不可用状态。在第3种情况下，ESS处于不可使用状态，而装置继续运行，但处于危险的可使用状态。分析上表可知：追求高的可用性，其安全风险大，追求高的安全性，则可用性就要降低。,43,3.可靠性（Reliability）,可靠性是指系统在规定的时间间隔内发生故障的概率，用字母R表示。具体来讲，可靠性指的是安全联锁系统在故障危险模式下，对随机硬件或软件故障的安全度。可靠性计算是根据故障（失效）模式来确定的。故障模式有显性故障模式（失效-安全型模式）和隐性故障模式（失效-危险型模式）两种。显性故障模式表现为系统误动作，可靠性取决于系统硬件所包含的元器件总数，一般由MTBF表示。隐性故障模式表现为系统拒动作，可靠性取决于系统的拒动作率（PFD），一般表示为：R=1-PFD,44,4.牢固性（Integrity）,可靠性与牢固性在意义上极为相似，很难加以区分。IEC和SP4对安全性（Safety Integrity）的定义：在规定时间和条件下，PES完成安全功能的可靠性。IEC（WG10）：硬件牢固性（Hardware Integrity）：是系统安全性的组成部分，它指在危险方式下硬件的随机故障。英国的PES：安全性（Safety Integrity）：安全系统在规定的条件下或者需要它去执行的要求下，按人们的要求完成功能时所表现的特性。从可靠性、牢固性定义中可以看出，牢固性这个术语用在安全保护系统中，而可靠性的适用范围则相对广泛。,45,5.冗余及冗余系统,冗余（Redundant）指为实现同一功能，使用多个相同功能的模块或部件并联。冗余也可定义为指定的独立的N：1重元件，且可自动地检测故障，并切换到备用设备上。冗余系统（Redundant System）指并行使用多个系统部件，并具有故障检测和校正功能的系统称为冗余系统。,46,安全仪表系统的冗余包括两部分：逻辑单元本身的冗余；传感器和执行器的冗余。针对不同的场合，冗余的次数及实现冗余的软逻辑不同。,7.冗错、冗错技术及冗错系统,（1）冗错（Fault Tolerant）是指功能模块在出现故障或错误时，可以继续执行特定功能的能力。进一步讲冗错是指对失效的控制系统元件（包括软件和硬件）进行识别和补偿，并能够在继续完成指定的任务、不中断过程控制的情况下进行修复的能力。冗错是通过冗余和故障屏蔽（旁路）的结合来实现的。（2）冗错技术是发现并纠正错误，同时使系统继续正确运行的技术，包括错误检测和校正用的各种编码技术、冗余技术、系统恢复技术、指令复轨、程序复算、备件切换、系统重新复合、检查程序、论断程序等。,47,（3）冗错系统是对系统中的关键部件进行冗余备份，并且通过一定的检测手段，能够在系统内的软件和硬件故障时，切换到冗余部件工作，以保证整个系统能够不因这些故障而导致处理中断。在故障修复后，又能够恢复到冗余备份状态。具备此种能力的系统即为冗错系统。冗错系统又分为硬件冗错系统和软件冗错系统，硬件冗错系统在SIS系统中更有优势。,48,8.故障安全,故障安全是安全仪表系统在故障时按一个已知的方式进入安全状态。故障安全是指ESD系统发生故障时，不会影响到被控过程的安全运行。ESD系统在正常工况时处于励磁（得电）状态，故障工况时应处于非励磁（失电）状态。当发生故障时，ESD系统通过保护开关将其故障部分断电，称为故障旁路或故障自保险，因而在ESD自身故障时，仍是安全的。,49,9.故障性能递减,故障性能递减指的是在SIS系统CPU发生故障时，安全等级降低的一种控制方式。故障性能递减可以根据使用的要求通过程序来设定。在CPU发生故障时，安全等级大降，但仍能保持一段时间的正常运行，此时必须在允许故障修复时间修复，否则系统将出现停车。,50,