第一章安全仪表系统.docx

《第一章安全仪表系统.docx》由会员分享，可在线阅读，更多相关《第一章安全仪表系统.docx（42页珍藏版）》请在三一办公上搜索。

1、目录第一章 1.1安全仪表系统（SIS）21.2 SIS设计应遵循的原则181.3 普通PLC和安全PLC的区别301.4 工艺过程风险的评估和安全完整性等级的评定331.5 SIS的相关标准及认证361.6 取得认证的SIS产品381.7 逻辑运算的基本公式42第八章 流体输送机组的控制43第九章 控制仪表与控制系统故障分析及处理70中国石油和化工自动化应用协会王立奉2013年10月1 安全仪表系统（SIS）1.1安全仪表系统（SIS）的定义及有关概念1.1.1 SIS定义1.1.2 IEC61508/IEC61511标准的贡献1.1.3安全功能1.1.4功能安全1.1.5安全仪表功能（SI

2、F）1.1.6安全完整性（SI）及安全完整性等级（SIL）1.1.7安全生命周期与功能安全管理1.1.8 SIF子系统的结构约束1.2.SIS设计应遵循的原则1.2.1 DCS与由PES构成的SIS的主要区别1.2.2 SIS设计应遵循的原则1.2.3 SIS的可用性及可用度1.2.4冗余容错1.2.5怎样通过冗余来改善系统的整体SIL水平1.2.6冗余逻辑表决方法及其安全性、可用性的关系1.3.普通PLC和安全PLC的区别1.4.工艺过程风险评估及安全完整性等级（SIL）的评定1.5.SIS的相关标准及评证1.5.1 SIS的相关标准1.5.2 SIL评证1.6.取得认证的SIS产品1.7.

3、逻辑运算的基本公式 1安全仪表系统（SIS）的定义及有关概念1.1 SIS的定义大多石油和化工生产过程具有高温、高压、易燃、易爆、有毒等危险。当某些工艺参数超出安全极限，未及时处理或处理不当时，便有可能造成人员伤亡、设备损坏、周边环境污染等恶性事故。这就是说，从安全的角度出发，石油和化工生产过程自身存在着固有的风险。 SIS是一种经专门机构认证，具有一定安全完整性等级，用于降低过程风险，使风险达到可接受水平（允许风险）的安全保护系统。它不仅能响应生产过程因超出安全极限而带来的风险，而且能检测和处理自身的故障，从而按预定的条件或程序使生产过程处于安全状态，以确保人员，设备及工厂周边环境的安全。

4、SIS的定义如图1-1所示图1-1 SIS的定义SIS由检测单元（如各类开关、变送器等）、控制单元和执行单元（如电磁阀、电动门等）组成，其核心部分是控制单元。从SIS的发展过程看，其控制单元部分经历了电气继电器（Electrical）、电子固态电路（Electronic）和可编程电子系统（Programmable Electronic System），即E/E/PES三个阶段。 图1-1为由PES构成的SIS系统。 国际电工委员会IEC61508标准中，SIS被称为安全相关系统（Safety Related System），将被控对象称为被控设备（EUC）。 IEC61511将SIS定义为用于

5、执行一个或多个安全仪表功能（Safety Instrumented Function，SIF）的仪表系统。SIS是由传感器，逻辑控制器，以及最终元件组合而成。 IEC61511又进一步指出，SIS可以包括、也可以不包括软件。另外，当操作人员的手动操作被视为SIS的有机组成部分时，必须在安全要求规格书（Safety Requirement Specification，SRS）中对人员操作动作的有效性和可靠性做出明确规定，并包括在SIS的绩效计算中。 SIS发展的三个阶段 继电器线路：可靠性很高，成本低，但是灵活性差，扩充系统、增加功能不易. 固态电路：模块化结构，结构紧凑，可在线检测。易识别故障

6、，元件互换容易，可冗余配置。可靠性不如继电器型，操作费用高，灵活性不够好。 安全PLC：以微处理器为基础，有专用软件和编程语言，编程灵活，具有强大的自测试、自诊断功能，冗余配置，容错技术，可靠性可做的很高。SIS的进一步发展出现了故障安全控制系统；专用的紧急停车系统模块化设计，完善的自检功能，系统的硬件、软件都取得相应等级的安全标准证书，配备有专用的程序事故记录仪，非常安全可靠，但价格也很高。1.2 IEC61508/IEC61511标准的贡献IEC61508/IEC61511标准的发布，首先将仪表系统的各种特定的应用，例如ESD、F&G、ITCC、BMS、HIPPS、ATP，都统一到SIS的

7、概念下；其次，提出了以SIL为指针，基于绩效（Performance Based）的可靠性评估标准；再者，以安全生命周期（Safety Lifecycle）的架构，规定了各阶段的技术活动和功能安全管理活动。这样，SIS的应用形成了一套完整的体系，包括：设计理念和设计方法、仪表设备选型准入原则（基于经验使用和IEC61508符合性认证）、系统硬件配置和软件组态编程规则、系统集成、安装和调试、运行和维护，以及功能安全评估和审计等。 大体上，安全仪表系统的应用和发展，围绕着两大主题安全功能（Safety Function）和功能安全（Functional Safety）。IEC61508/IEC61

8、511为实现安全仪表系统的功能安全，建立了两大体系技术体系和功能安全管理体系。1.3“安全功能”IEC61508将“安全功能”定义为：为了应对特定的危险事件（如灾难性的可燃性气体释放），由电气、电子、可编程电子安全相关系统，其他技术安全相关系统，或外部风险降低措施实施的功能，期望达到或保持被控设备（Equipment Under Control，EUC）处于安全状态。上述定义表明：安全功能的执行，并不局限于电气或电子安全仪表系统，还包括其他技术（如气动、液动、机械等技术）及外部风险降低措施（如储罐的外部防护堤堰）。因此，研究安全功能要综合考虑各种技术或措施的共同影响：安全功能是着眼于应对特定的

9、危险事件，也就是说，安全功能有其针对性。可见，安全功能是泛指各种风险降低措施执行的功能，SIF是由SIS执行的安全功能。1.4“功能安全” IEC61508将功能安全定义为：与EUC和EUC控制系统有关的、整体安全的一部分，取决于电气、电子、可编程电子安全相关系统，其他技术安全相关系统和外部风险降低措施机制的正确施行。 IEC61511将功能安全定义为：与工艺过程和BPCS有关的、整天安全的一部分，取决于SIS（安全仪表系统）和其他保护层机能的正确施行。 就安全仪表系统而言，功能安全探讨的是系统本身的绩效问题，即SIS在实现其安全功能时，能够降低风险的能力。因此，功能安全成为SIS设计和运行管

10、理的核心问题之一。1.5安全仪表功能（SIF） SIF，即由SIS执行的安全功能，物理结构上由传感器、逻辑控制器，以及最终执行元件组成，如图1-2所示。 不过SIF的最基本特征是“应对特定的危险事件”并实现必要的风险降低。图1-2 SIF示例SIF是在过程危险分析及风险评估中辨识出来的，并根据必要的风险降低要求，确定其SIL要求。因此，SIF是进行SIL评估的基础。图1-3表示一个SIF的实例。在这个SIF中，操作人员的手动动作也可以成为SIF的一部分。在这种情况下，评估SIF的风险投资降低绩效水平，要将人工的失效概率考虑在内。图1-3 包含操作员手动动作的SIFPAH压力高报警；HS手动开关

11、（或按钮）在IEC61508/IEC61511标准中，不再使用“联锁一词”，而改用“E/F/PE安全功能”或者“安全仪表功能”。 “安全连锁”与“安全仪表功能”有大致相同的含义，不过“安全仪表功能有更明确的界定”：由SIS实现的安全功能。用于特定危险事件的风险降低。有明确的绩效或安全完整性（SIL）要求。需要注意的是，SIF在物理上由传感器、逻辑控制器，以及最终执行元件构成，为什么采用“安全仪表功能”这一相对抽象的名称呢？这是因为在危险和风险分析以及安全保护层分配阶段，安全是从工艺过程的风险降低要求角度，辨识并确定需要的安全功能要求和它绩效要求（安全完整性要求），此时还没有到SIS设备选型阶段

12、，也就是说，关注的是“要求”，而非如何实现这一“要求”。1.6安全完整性（SI）及安全完整性等级（SIL） 1.6.1安全完整性（SI）SIS执行安全功能时的绩效或可能达到的功能安全水平，采用安全完整性（Safety Integrity）来表征。安全完整性定义为：在规定的状态和时间周期内，SIS圆满完成所要求的安全功能的概率。安全完整性包括硬件安全完整性（Hardware Safety Integrity），软件安全完整性（software Safety Integrity），以及系统安全完整性（Systematic Safety Integrity）。硬件安全完整性用于表征在危险失效模式（D

13、angerous Failure Mode）下，随机硬件失效（Random Hardware Failure）的可能性。随机硬件失效是指系统在正常使用状态下，在某个时间点，一个或多个元件随机出现故障（Fault），依据硬件内可能的降级机制（Degradation Mechanism），导致发生某种功能的失效。通过对系统的失效模式及其影响进行分析（Failure Modes and Effects Analysis，FMEA），借助于有效的失效率数据，可以对硬件的安全完整性进行评估计算，并且可以准确到合理的水平。另外，可以通过采用冗余结构（Redundant Architectures）设计等措

14、施，有效提高硬件的安全完整性。软件安全完整性用于表征可编程电子系统中的软件，在规定的状态和时间周期内，实现其安全功能的可能性。系统性安全完整性用于表征在危险失效模式下系统性失效。导致系统性失效发生的典型因素包括：系统设计错误或缺陷，不当的安装、调试，不当的操作，缺乏维护管理，以及软件设计漏洞和组态缺陷等。系统性失效在很大程度上都是人为失误造成的，要准确地计算评估其失效率非常困难，因此，IEC61508/IEC61511都强调在安全生命周期的架构下，通过有效的功能安全管理，来提高系统性安全完整性。1.6.2安全完整性等级（SIL） 1.6.2.1隐故障与显故障隐故障（Covert Fault）：

15、不对危险产生报警，允许危险发展的故障，是故障危险故障（SHB-Z06-1999）。Covert Fault：Fault that can be classified as hidden，concealed，undetected，unrevealed，latent，ect.（ISA-S84-1996） 显故障（Overt Fault）：能显示出故障自身存在的故障，是故障安全故障（SHB-Z06-1999）。Overt Fault：Fault that can be classified as announced,detected,revealed,ect.( ISA-S84-1996)1.6.2

16、.2安全性及响应失效率当工艺条件达到或超过安全极限值时，SIS本应引导工艺过程停车，但由于其自身存在隐故障（危险故障）而不能响应此要求，即该停车而拒停，降低了安全性。衡量安全性的指标为响应失效率或称要求时故障率（PFD：Probability of Failure on Demand）。它是SIS系统按要求执行指定功能的故障概率。是度量SIS系统按要求模式工作故障率的目标值（SHB-Z06-1999）不同的工业过程（如生产规模、原料和产品种类、工艺和设备的复杂程度等）对安全的要求是不同的。IEC61511标准将其划分为若干安全完整性等级（SIL：Safety Integrity Level）。

17、 SIL和PFD的对应关系见表1-2。表1-2 SIL和PLD的对应关系ISA-S84.01IEC 61508DIN V19520（TUV）PFDSIL1SIL1AK110-110-2AK2AK3SIL2SIL2AK410-210-3SIL3SIL3AK510-310-4AK6SIL4AK710-410-5AK81.6.2.3 SIL安全完整性等级SIL安全完整性反映了SIS执行SIF时，在规定的状态和时间周期内，圆满完成SIF的绩效能力和可靠性水平。在ANSI/ISA-84.01-1996中，将安全完整性等级（SIL）定义为SIL1到SIL3共三个等级，其中SIL3最高，SIL1最低。IEC

18、61508将SIL定义为四个等级，即SIL1到SIL4。IEC51511作为IEC61508在过程工业领域的分支标准，保持了SIL1到SIL4的四个等级划分，不过，除了极罕见的特殊应用，在过程工业一般的应用场合，SIL3是其最高级。在工程实践中，当过程危险和风险分析确认需要SIL3以上的安全完整性时，一般是将应对同一危险事件的其他技术安全系统或外部风险降低的绩效提高，从而将对SIF的SIL要求降低到SIL3或以下。IEC61508/IEC61511依据不同的操作模式，用不同的技术指标划分SIL等级。IEC61511将安全仪表功能的操作模式划分为：“要求操作模式”（Demand Mode of

19、Operation）和“连续操作模式”（Continuous Mode of Operation）。安全完整性等级对要求操作模式下的失效概率要求见表1-1。表1-1 安全完整性等级对要求操作模式下的失效概率要求要求操作模式安全完整性等级（SIL）要求时平均失效概率（PFDavg）目标风险降低410-5到10-410，000到100，000310-4到10-31000到10,000210-3到10-2100到1000110-2到10-110到1001.7 安全生命周期与功能安全管理安全生命周期如图1-4所示：图1-4 SIS安全生命周期（IEC61511）功能安全标准ANSI/ISA-84.01

20、-1996、IEC61508及IEC61511,都是以安全生命周期（Safety Lifecycle，SLC）为架构的。SLC为SIS工程从概念、设计、实施、操作、维护及系统改善等实践活动，提供了全程的行动指南，从而保证功能安全，实现过程风险降低的目标要求。采用SLC架构，一方面明确了参与SIS工程的所有组织和人员的责任；另一方面，便于将功能安全管理的要求纳入到各个阶段。IEC61511将SLC定义为：从SIS工程项目的概念阶段开始，到所有的安全仪表功能使命终结不再使用，在其全部时间周期内，为执行安全仪表功能所有涉及到的必要活动。 IEC61511的SIS SLC阶段和功能安全评估节点如图1-

21、4所示。SIS的整个安全生命周期可分为分析、工程实施，以及操作维护三个大的阶段。1.7.1分析阶段，要辨识工艺过程的潜在危险，并对其他后果和可能性进行分析，以便确定过程风险及必要的风险降低要求。分析阶段的主体是最终用户、专利商、设计院，甚至还包括过程危险分析（PHA）专业咨询机构。1.7.2工程实施阶段的主体是设计院，SIS供货商、安装公司和最终用户。SIS的供货商要依据SRS的要求提供SIS系统。完成完全逻辑控制器（Logic Solver）的硬件配置、软件组态以及系统集成；完成操作和维护人员的培训；完成SIS的安装和现场调试，以及SIS的安全验证（Safety Validation）。1.

22、7.3操作运行阶段在整个安全生命周期中时间区间最长，包括操作和维护、修改（变更改造），和SIS的停用。操作运行阶段的主体是最终用户。功能安全管理贯穿于整个SLC。功能安全管理是过程安全管理（Process Safety Management，PSM）的一部分，也应纳入SIS工程项目管理和质量保证体系中。功能安全管理涉及SLC各阶段相关组织和人员的责任、人员的能力、活动的计划与控制、文档管理等方面。典型的功能安全管理活动包括：确认（Verification）、验证（Validation）、功能安全评估（Functional Safety Assessment）及审计（Audit）。1.8 SIF

23、子系统的结构约束所谓结构约束，实质上是指SIS子系统或设备的容错（Fault Tolerance）能力对所能达到的SIL水平的限制。也就是说SIF要达到一定的安全完整性效能SIL要求，也就必须在结构上达到一定的硬件故障裕度（Hardware Fault Tolerance HFT），要满足一定的硬件容错能力，如需冗余等等。SIL石油传感器、逻辑控制器，以及最终执行元件组成的 ，其SIL等级除了应符合（PFDavg）计算值外，它所能达到的最大硬件安全完整性等级，受限于这些子系统（传感器、逻辑控制器、以及最终元件）相应的最低硬件故障裕度（Hardware Fault Tolerance，HFT）要

24、求。也就是说，不论其声称的可靠性多高，从硬件结构上限制了所能达到的SIL，这就是IEC61508中提出的结构约束（Architectural Constraints）。子系统的硬件故障裕度为N，表示当该子系统存在N+1个故障时，将会导致其安全功能的丧失。在确定硬件故障裕度时，并不考虑是否有控制该故障影响的其他措施，例如诊断（不过，诊断能力影响安全失效分数）。另外，当另一个故障直接导致一个或多个后续故障时，这些后果要视为是同一个单一故障。2 SIS设计应遵循的原则2.1 DCS与由PES构成的SIS的主要区别DCSESD构成不含检测、执行含检测、执行单元作用（功能）使生产过程在正常工况乃至最佳工

25、况下运行超限安全停车工件动态、连续静态、间断安全级别低、不需认证高、需认证安全仪表系统（SIS）与DCS系统的区别表现在：DCS系统的平均无故障时间（MTBF）已经足够强大，故障的平均修复时间（MTTR）已足够小。应该说，DCS系统已具备了很高的系统可用性，控制、联锁一体化是可能的。硬件的部件层层冗余配置，系统的可靠性有了很大提高。但要注意的是DCS软件的可靠性，软件故障难以预测，其危害性 超过硬件故障。DCS可以执行联锁功能，问题是如何来满足生产装置的高安全要求。DCS系统主要用来进行连续控制，它随时都会有大量的信息。要分析处理及频繁地进行人工干预，这样逻辑控制单元误触发的概率较大。而ESD

26、系统则是一个静态系统，出现异常事件才会动作。DCS系统处理信息多，通信系统复杂，出现通信系统故障的可能性较大。SIS系统动作执行要求快速，DCS系统执行相对较慢。因此，国际上有些协会对重要的、安全性要求高的装置则要求单独设置ESD系统。重要场合指的是：可能危及生命安全；可能引起设备重大破坏；可能引起环境明显污染；可能造成重大经济损失。对于一般性的非安全相关的工艺过程联锁程序，为了节省费用，可以在DCS系统内实行。对安全保护有高要求的联锁停车安全控制系统则应独立设置。现在有不少厂商推出了专用的故障安全控制系统，这些系统特点如下。 故障发生后，有足够时间进行故障检测，发出警报，排除故障。 采用容错

27、技术，将被动故障转为主动故障。 采用冗余配置，实施故障隔离。 模块化设计。 完善的自检功能。 系统硬、软件具有相应的安全等级认证。 配备事故记录仪。 故障安全型设计。 能与DCS系统通信。2.2 SIS设计应遵循的原则2.2.1 独立设置原则： 逻辑单元独立设置； 现场检测单元独立设置； 执行元件独立设置（专用的紧急切断阀，不用调节切断阀来代替）。2.2.2 中间环节最少原则。2.2.3 关键单元采用冗余容错结构结构配置原则： 检测元件的二取二方式或三取二方式设置； 逻辑单元如安全PLC的CPU、过程输入/输出单元； 供电、通信的冗余配置。2.2.4 故障安全型原则系统设计： 现场检测元件接点

28、选用常闭接点。工艺正常时，触点闭合；达到安全极限时，触点断开，触发联锁动作。 执行元件电磁阀正常通电方式，联锁动作时断电。 通往电气配电室用以开/停电机的接点，用中间继电器隔离，其励磁电路应为故障安全型。2.2.5 其他： 安全控制要求高的生产装置应选择专门的冗余、容错紧急停车系统。 采用热电偶，热电阻输入时，应有断线保护设计。断线报警，避免产生误动作。 采用电磁阀应具有高可靠性，避免误动作。 事故切断阀停电时应保持安全状态位置。 事故切断阀应配回讯开关，确认阀门位置。 根据工艺操作要求，确定切断阀开关速度。 重要的切断阀应备用储气罐，以备气源事故用。 在粉尘、腐蚀性、粘稠介质场合应选择带隔离

29、的发讯开关。 切断阀供气管室采用塑料管，以便火灾等情况下失气，实现安全功能。总之，故障安全原则是： 组成SIS的各环节自身出现故障的改良版不可能为零，且供电、供气中断亦可能发生。当内部或外部原因使SIS失效时，被保护的对象（装置）应按预定的顺序安全停车，自动转入安全状态（Fault to Safety），这就是故障安全原则。作为控制装置（如安全PLC）“故障安全”意味着当其自身出现故障而不是工艺或设备超过极限工作范围时，至少应该联锁动作，以便按预定的顺序安全停车（这对工艺和设备而言是安全的）；进而应通过硬件和软件的冗余和容错技术，在过程安全时间（PST Process Safety Time）

30、内检测到故障，自动执行纠错程序，排除故障。2.2.6 系统软件设计应考虑： 输入信号扫描速度应快于软件的扫描周期，否则会发生丢失信号，使系统稳定性变差。 不允许相同的线圈输出重复定义。 软件编写尽量短小，过长会增加系统的扫描时间，使系统的实时性变差。2.3 SIS的可用性及可用度2.3.1 可用度表达式 工艺条件并未达到安全极限值，SIS不应引导工艺过程停车，但由于其自身存在显故障（安全故障）而导致工艺过程停车，即不该停车而误停车，降低了可用性。 可用度（A:Availability）是指系统可使用工作时间的概率，用百分数计算：A=MTBF/(MTBF+MDT)(SHB-Z06-1999) M

31、TBF：平均故障间隔空间（Mean Time Between Failures）MDT：平均停车时间（Mean Downtime）2.3.2 MTBF（平均故障间隔时间） MTBF：平均故障间隔时间（Mean Time Between Failures）MTTR：平均恢复时间（Mean Time to Repair） MTTF：平均无故障时间（Mean Time to Failure） 例如：图2-1 MTTF、MTTR和MTBF2.3.3 PFD计算举例 MTTF=MTTR+MTBFPFD=MTTR/(MTBF+MTTR)已知 MTTR=24H MTBF=2000H则 PFD=24/(24+

32、2000)=0.0119所以硬件安全完整性等级达到SIL1水平2.4 冗余、容错冗余（Redundant）：具有指定的独立的N:1重元件，并且可以自动地检测故障，切换到后备设备上。（SHB-Z06-1999）冗余系统（Rwdundant System）：并行地使用多个系统部件，以提供错误检测和错误校正能力的系统。（SHB-Z06-1999）容错（Fault Tolerant）：具有内部冗余的并行元件和集成逻辑，当硬件或软件部分故障时，能够识别故障并使故障旁路，进而继续执行指定的功能，或在硬件和软件发生故障的情况下，系统仍具有继续运行的能力。它往往包括三方面的功能：第一是约束故障，即限制过程或进

33、程的动作，以防止在错误被检测出来之前继续扩大；第二是检测故障，即对信息和过程或进程的动作进行动态监测；第三是故障恢复即更换或修正失效的部件。（SHB-Z06-1999）容错系统（Fault Tolerant System）：具有容错结构的硬件和软件系统。（SHB-Z06-1999）总之，通过冗余和故障屏蔽的结合来实现容错。容错系统一定是冗余系统，冗余系统不一定是容错系统。容错系统的冗余形式有双重、三重、四重等。图2-2表示CPU冗余（双机热备）系统。CPU2CPU1 开关输入/输出现场设备图2-2 CPU冗余（双机热备）热备CPU时刻处于开机状态，同主机保持同步，当主CPU失灵时，可以随时切换

34、到备用CPU工作。图2-3三重信号冗余容错系统图信号三重冗余系统提供3条独立的信号通道，并对输出进行3选2表决，如图2-3所示。输出信号由3选2表决器提供，并可在故障发生时复原为2取1表决或2取2表决结构，比较适用于危险工业的过程保护。但为了提高系统输入到输出的响应时间，系统单元需要定期地协调同步。假设每个单元的响应时间为10ms，则最坏情况下三重冗余系统（没有同步）的响应时间可能为20ms。在对数字化模拟信号进行表决时，其响应时间的可预测性显得特别重要。总之，信号三重冗余提供了较大程度上的容错性能，但它对变化的系统显得仍不够灵活。图2-4 模块三重冗余（TMR）系统图模块三重冗余（TMR）系

35、统是使用3个相互隔离的并行主处理器控制系统，并带有扩展的诊断作用综合而成的一套硬件，结构如图2-4所示。系统每扫描一次，3个主处理器均 通过3条总线与其相邻的2个主处理器进行通讯，达到同步。同时3条I/O总线可对其数据进行比较，并表决出有效数据，系统内的表决器选取原则为3取2.瞬态的数据错误和单元的失效不会对控制系统造成影响。这样，单点的错误就不会影响控制系统的操作。2.5 怎样通过冗余来改善系统的整体SIL水平当一个SIS系统的安全完整性等级要求为SIL3，而实际配置为传感器2.2*10-3（SIL2），逻辑解算器为1.3*10-4（SIL3）（包括I/O接口），终端执行器为2.41*10-

36、3（SIL2），所以整个系统为SIL2不满足要求。于是我们改变传感器的配置结构，选择1oo2冗余，其中共因失效=10%，诊断覆盖率（DC）90%，可以算出1oo2传感器的结构的PFD2.3*10-4，达到SIL3的水平，同理可以配置执行器为1oo2冗余结构，也可达到SIL3的要求，于是最终整体SIS系统的SIL可以达到SIL3的要求。这个问题的解决给我们以启示，当装置引进一个SIS系统时，整体安全完整性等级不仅取决于逻辑解算器部分，而且传感器、终端执行器部分也非常关键。配置系统时，除了引进一个SIL3的安全仪表系统控制器，譬如FSC等，还要将传感器、终端执行器一并讨论。求出针对SIS系统的SI

37、L等级，定量的安全仪表系统配置任务才算完成。2.6 冗余逻辑表决方法及其安全性、可用性的关系可用性（A:Availability）是指系统可使用工作时间（连续运行时间）的概率，用百分数计算A值越大，可用性越好：A=MTBF/(MTBF+MTTR)而PFD=MTTR/(MTBF+MTTR)PFD越小则安全性越好。冗余逻辑表决方法及安全性、可用性的关系例子如2-1表所示。以上可见：隐故障（危险故障）使SIS该动而拒动，隐故障概率越高，安全性越差。显故障（安全故障）使ESD不该动而误动，显故障概率越高，可用性越差。1oo2（二选一）安全性最好，但可用性最差；2oo2（二选二）可用性最好，但安全性最差

38、；2oo3（三选二）可兼顾表2-1冗余逻辑的表决方法及其与安全性、可用性的关系3 普通PLC和安全PLC的区别普通PLC和可以作为ESD控制部分的安全PLC的主要区别是：普通PLC不是按故障安全型设计的，当系统内部元件出现短路故障时，它并不能检测到，因此其输出状态不能保证系统回到预定的安全状态。这种PLC只能用于安全完整性等级要求低的场合。现以输出电路为例予以说明。图3-1是普通PLC DO卡示意图图3-1普通PLC DO卡示意图当1、2两点短路时，来自PLC的控制信号将不起作用（失效），电磁阀将一直处于带电（励磁）状态，即需要联锁动作（电磁阀释电停车）时，由于此故障的存在而拒动，其输出不能保

39、证处于安全停车状态。这就是违背了故障安全（Fault to Safety）的原则。当1、2两点开路时，将导致误动作而停车，同样会带来损失。可见，这种普通PLC的DO卡输出电路安全性和可用性都是不高的。图3-2所示为一种带有安全性单容错的DO卡示意图（它是Honeywell SMS FSC-101型输出示意图）。图3-2 安全性单容错DO卡示意图这里，中央处理器不仅向串联的场效应管（FET）发出控制信号，而且还接受来自场效应管的状态反馈信号，以便对其输出进行全面测试。当测得某管输出发生短路时，中央处理器即启动纠错动作，隔离相关的故障。看门狗（Watch Dog）是个多通道的设计器电路。它由中央处

40、理器和内存等周期性触发，如果两个触发之间的时间小于某设定值或者大于某最大值，则看门狗的输出将失效。同时看门狗还能监视内部工作电压，使之在正常的电压范围内。以上仅是DO卡上的区别。作为安全PLC的安全逻辑控制器，至少应具备以下几点： 系统必须有极高的可靠性，通过冗余等措施避免整个系统的功能失效； 如果出现某种失效状态，它必须是以可预见的、安全的方式出现； 它强调内部诊断，通过硬件和软件的有机结合，对检测出系统的异常运行状态，做出针对性的处理，如报警、隔离、切除，甚至安全关停； 在系统研发时，采用失效模式、影响和诊断分析（Failure Modes，Effects and Diagnostic A

41、nalysis，FMEDA）技术，确定系统中的每个部件将会出现怎样的失效，以及系统如何检测、应对这些失效，保证能够检测出99%以上的内部元器件潜在的危险失效； 要采用一系列的专门技术确保软件的可靠性，并保证通过其数字通信端口进行读写操作的私密安全（Security）； 安全逻辑控制器与常规PLC的不同，还体现在必须通过第三方的权威认证，例如，德国TV的认证，以便满足国际功能安全标准严格的安全和可靠性要求； 与外部第三方设备的 通信接口，应具有强大的“读写保护”能力（防火墙）。防止数据风暴和DOS攻击，只允许正常的数据访问。同时不允许 通过外部通信链路直接访问它的I/O卡； SOE、在线修改（O

42、n-line Modification）、人机接口（HMI）对系统不同层次访问的私密性（Security）和对应用程序更改的记录追踪（Audit Trail）等，都是安全系统设计和应用的重要功能。4 工艺过程风险的评估和安全完整性等级的评定不同的工艺过程（生产规模、原料和产品的种类、工艺和设备的复杂程度等）对安全的要求是不同的。一个具体的工艺过程，是否需要配置SIS、配置何种等级的SIS，其前提应该是对此具体的工艺过程进行风险评估，要进行危险及可操作性分析（HAZOP），然后辨识出与此分析相应的安全仪表功能（SIF），（找到一个安全仪表连锁回路），再根据风险出现的频率和其产生的严重后果，找到一

43、个与此SIF相应的SIL值，在确定了某个安全仪表功能的完整性等级（SIL）之后，再配置与之相适应的SIS。表1-3可以看出，若某工艺过程所需SIF经评定后为SIF2，则配置相应的硬件即可，其响应失效率（PFD）为百分之一至千分之一之间。应该注意的是不同安全级别的SIS，只能确保响应失效率（PFD）在一定的范围内，安全级别越高的SIS，其PFD越小，即发生事故的可能性越小，但它不能改变事故造成的后果。因此，工艺过程安全完整性等级的评定是一项十分重要的工作。国际、国外标准提供了某些评定方法。下面介绍的风险矩阵（RISK MATRIX）评估方法可供参考。这种方法以工艺过程事故出现的频率（可能性）及其

44、危害程度（严重性）为风险评估的指标，并对频率和危害程度人为量化为若干级，作出矩阵表（见表4-1）。以此确定工艺过程安全完整性等级。表4-1中频率分级年限（多少年出现一次）。表4-1 风险矩阵SIL评估是在HAZOP分析的基础上，确定SIS的安全功能和合理的SIL指标，以实现安全和成本的最佳平衡。不同的SIL等级，为用户单位的管理、人员配备、操作规程和维护周期等提出不同的要求。SIL选择的定性的方法有风险矩阵和风险图，定量方法则有故障树，LOPA等。本文 主要介绍风险矩阵法。其方法如下：1）根据国际惯例及企业相关标准确定过程可接受风险；2）根据用户单位相关要求确定风险矩阵的两大参数：后果严重性和

45、要求率，并将其定量描述在工作组会议上进行讨论，以取得来自现场和各方专家的一致认同；3）结合可接受风险，根据国际标准IEC61511确定两大参数（后果严重性和要求率）的各种组合所对应的SIL，建立用户单位认可的风险评价矩阵表；4）根据HAZOP分析结果辨识出需要由安全仪表系统实现的安全仪表功能；5）选取一个待分析的安全仪表功能；6）根据现场调研、现场人员经验及用户单位相关的安全评价资料估算该安全仪表功能要求的动作率及拒动后果严重性；7）依据风险评价矩阵表选定该仪表功能所需达到的PIL（人身安全完整性等级）、AIL（经济安全完整性等级）、EIL（环境安全完整性等级）、RIL（声誉安全网整形等级），

46、并确定该系统必须达到的综合的安全完整性等级（SIL）；8）进入下一个安全仪表功能的SIL分析；9）系统最终的SIL值应选择PIL、AIL、EIL、RIL中最高值，作为最终SIL指标。5 SIS的相关标准及认证5.1 SIS的相关标准 鉴于SIS涉及到人员、设备、环境的安全、因此各国均制定了相关的标准、规范，使得SIS的设计、制造、使用均有章可循。并有权威的认证机构对产品能达到的安全等级进行确认。这些标准、规范及认证机构主要有： 我国石化集团制定的行业标准SHB-Z06-1999 石油化工紧急停车及安全联锁系统设计导则。 GB/T-50770-2013 “石油化工安全仪表系统设计规范” GB/T-20438.1-7-2006 等同于采用IEC61508国际标准，即电气/电子/可编