SIS 设计中应注意的几个问题.docx

《SIS 设计中应注意的几个问题.docx》由会员分享，可在线阅读，更多相关《SIS 设计中应注意的几个问题.docx（17页珍藏版）》请在三一办公上搜索。

1、SIS设计中应注意的几个问题摘要：在SIS设计中，回路设计的基本原则；可用性和安全性及其关注的重点. 关键词:SIS,可用性，安全性,硬件容错能力1 .什么是安全仪表系统(SIS)根据IEC 61511的定义，安全仪表系统是指实现一个或者多个安全仪表功能(Safety Instrument Function)的仪表系统，它通常由传感器，逻辑运算器和执行元件组成。所谓的安全仪表功能，类似于我们传统说法上的安全仪表回路。一个安全仪表功能由5 个要素组成：传感器，逻辑运算器，执行元件，安全完整性等级(SIL)和响应时间。中间第电舄丑锁图1安全仪表回路图说明：1. L液面超高-L1接点闭合-Z带电。2

2、. Z1常闭接点打开，S线圈断电。3. S电磁阀切断，往调节阀膜头的控制信号调节阀切断工艺进料，完成联锁保护作用。4. K起：按钮开关：起动联锁保护回路兼有复位作用。5. K介：起人工强制起动联锁保护作用。6. K旁 旁路联锁保护作用，用于开车或检修联锁信号仪表。图2 SIS逻辑图如图1所示，这是一个容器A液位控制的安全仪表功能。对这个安全仪表功能完整的描 述是：当容器液位开关达到安全联锁值时，逻辑运算器（图2）使电磁阀2断电，则切断进 调节阀膜头信号，使调节阀切断容器A进料，这个动作要在3秒内完成，安全等级必须达 到SIL2。这是一个安全仪表功能的完整描述，而所谓的安全仪表系统，则是类似一个

3、或多 个这样的安全仪表功能的集合。2. SIS设计原则安全仪表系统的主要作用是在工艺生产过程发生危险故障时将其自动或手动带回到预 先设计的安全状态，以确保工艺装置的生产的安全，避免重大人身伤害及重大设备损坏事故。 在安全仪表系统的设计过程中，IEC 61508，IEC 61511提供了极好的国际通用技术规范和 参考资料。IEC于2000年5月发布了 IEC 61508标准，2003年1月颁布IEC 61511标准。 这两个标准有很密切的关系，IEC 61508标准是综合性基础标准，主要为装置的制造商和供 应商使用，IEC 61511可以说是IEC 61508的延续，主要针对具体的仪器仪表设计者

4、和用户 使用。2006年，2007年等同采用IEC 61508，IEC61511的中国国家标准GB/T 20438，GB/T 21109相继发布，中国的功能安全标准开始规范我们的功能安全工作。在安全仪表系统的设 计领域，通常将IEC 61508与IEC 61511结合使用。在安全仪表系统回路设计过程中，一 般需要遵循下列几点原则。2. 1 SIS设计的可靠性原则（安全性原则）为了保证工艺装置的生产安全，安全仪表系统必须具备与工艺过程相适应的安全完整性 等级SIL （Safety Integrity Level）的可靠度。对此，IEC 61508进行了详细的技术规定。 对于安全仪表系统，可靠性有

5、两个含义，一个是安全仪表系统本身的工作可靠性；另一个是 安全仪表系统对工艺过程认知和联锁保护的可靠性，还应有对工艺过程测量，判断和联锁执 行的高可靠性。评估安全完整性等级SIL的主要参数就是PFDavg（probability of failure on demand 平均危险故障率），按其从高到低依次分为14级。在石化行业中一般涉及到的只有1，2, 3级，因为SIL4级投资大，系统复杂，一般只用于核电行业。详细分类见表1所示表1 SIL等级与故障几率相应关系SILLow demand mode of operation average (Probability of Failure to p

6、erform its design function on Demand)High demand or continuous mode of operation (Probability of dangerous Failure per Hour)4N 10-4 10-6N 10-9 10-83N 10-3 10-4N 10-8 10-72N 10-2 10-3N 10-7 10-61N 10-1 10-2N 10-6 10-5IEC 61508对安全仪表功能所属的过程工艺定义了两种模式：低要求（Low demand）模式 和高要求（High demand）模式。而IEC 61511则称之为要

7、求模式和连续模式。两种分类方式 有着类似的含义，我们只分析低要求模式和高要求模式。低要求模式和高要求模式定义上的 区别在于，低要求模式下，安全仪表功能每年被执行的次数少于一次，并且每个验证测试周 期中不超过2次。而高要求模式每年安全仪表功能被执行的次数超过一次，每个验证测试周 期中执行次数超过2次。通常来讲，石化化工等行业所采用的EDS，FGS，BMS等系统，均属 于低要求模式。因为正常情况下，每年安全功能被执行的次数是不会超过一次的。当然，实 际的应用过程中，有可能有些工厂的SIS系统每年动作多次。那并不意味着它的工艺就是高 要求模式，可能是由于不合理的工艺设计，操作习惯等因素的影响。那么在

8、低要求模式和高要求模式下，SIL等级与故障几率相应的关系见表1。可以看到，低要求模式下，SIL等级的定义是按平均每次动作发生故障的几率（PFD） 来表示。石化化工行业常见的SIL3级别，代表着每次执行安全功能，发生故障的几率是10-3 到10-4。而在高要求模式下，SIL等级则以每小时发生故障的几率（PFH）来表示。SIL3级 别意味着每小时发生故障的几率是10-8到10-7。而IEC 61511的要求模式和连续模式下， SIL等级也是分别用PFD和PFH来表示，各个级别的故障几率与IEC 61508的规定相同。提高安全仪表系统的SIL等级，对安全仪表系统回路内的各个部分实行冗余是主要的手 段

9、。总体来说，检测元件的冗余原则为：对于安全仪表系统的SIL1回路，可采用单一的检 测元件；对于安全仪表系统的SIL2回路，宜采用“ 1oo2D”或“2oo3”冗余的检测元件；对 于安全仪表系统的SIL3回路，应采用“2oo3”冗余的检测元件。安全仪表系统控制单元的冗 余原则为：SIL1可采用“ 1oo1D”单控制单元；SIL2宜采用“1oo2D”或“2oo3”冗余控制 单元；SIL3应采用“2oo3”或“2oo4D”冗余控制单元。安全仪表系统执行机构的冗余设 置原则为：SIL1可采用单电磁阀，单控制阀；SIL2宜采用冗余电磁阀，单控制阀；SIL3应 采用冗余电磁阀，双控制阀。安全仪表冗余控制阀

10、可以为分别带电磁阀的两个开关阀，也可 以为带电磁阀的一个调节阀和一个开关阀。2. 2 SIS设计的可用性原则可用性（也称可用度）是指安全仪表系统在一个给定的时间点能够正确执行功能的概率。 常用下面公式表示：A=MTBF/ （MTBF+MDT）其中：A可用性MTBE-平均无故障工作时间MDT-平均停车时间要使系统可用度增加，就要增加平均无故障工作时间（MTBF），或减少平均停车时间 （MDT）。对于安全仪表系统的设计而言，不能一味的追求系统的高可靠性，系统的可用性 也需要考虑。正确的判断过程事故，可以减少装置的非正常停车，减少开，停车造成的经济 损失。为了提高系统的可用性，安全仪表系统应具有硬件

11、和软件自诊断和测试功能。安全仪表 系统应为每个输入工艺联锁信号设置维护旁路开关，方便进行在线测试和维护同时减少因安 全仪表系统系统维护造成的停车。需要注意的是用于三选二表决方案的冗余检测元件不需要 旁路，手动停车输入也不需要旁路。同时严禁对安全仪表系统输出信号设立旁路开关，以防 止误操作而导致事故发生。如果SIL计算表明测试周期小于工艺停车周期，而对执行机构进 行在线测试时无法确保不影响工艺而导致误停车，则安全仪表系统的设计应当根据需要进行 修改，通过提高冗余配置以延长测试周期或采用部分行程测试法，对事故状态关闭的阀门增 加手动旁通阀，对事故状态开启的阀门增加手动截止阀等措施，以允许在线测试安

12、全仪表系 统阀门。这些手段对于提供安全仪表系统的可用性都是很有帮助的。2. 3 SIS设计的独立性原则安全仪表系统应独立于基本过程控制系统（BPCS，如DCS，FCS，CCS，PLC等），独 立完成安全保护功能。安全仪表系统的检测元件，控制单元和执行机构应单独设置。如果工 艺要求同时进行联锁和控制的情况下，安全仪表系统和BPCS应各自设置独立的检测元件和 取源点（个别特殊情况除外，如配置三取二检测元件，进DCS信号三取中，进安全仪表系 统三取二，经过信号分配器公用检测元件）。如需要，安全仪表系统应能通过数据通信连接 以只读方式与DCS通信，但禁止DCS通过该通信连接向安全仪表系统写信息。安全仪

13、表系 统应配置独立的通信网络，包括独立的网络交换机，服务器，工程师站等。安全仪表系统应 采用冗余电源，由独立的双路配电回路供电。应避免安全仪表系统和BPCS的信号接线出现 同一接线箱，中间接线柜和控制柜内。2. 4 SIS设计的标准认证原则随着安全标准的推出以及对安全系统重视度的不断提高，安全仪表系统的认证也变得越 来越重要，系统的设计思想，系统结构都须严格遵守相应国际标准并取得权威机构的认证。 安全仪表系统必须获得IEC 61508 SIL和/或TUV AK （德）相应SIL等级的认证。安全仪表 系统系统中使用的硬件，软件和仪表必须遵守正式版本并已商业化，同时必须获得国家有关 防爆，计量，压

14、力容器等强制认证。严禁使用任何试验产品。2. 5故障安全原则当安全仪表系统的元件，设备，环节或能源发生故障或者失效时，系统设计应当使工艺 过程能够趋向安全运行或者安全状态。这就是系统设计的故障安全行原则。能否实现“故障 安全“取决于工艺过程及安全仪表系统的设计。整个SIS，包括现场仪表和执行器，都应设 计成以下绝对安全形式，即：1)现场触点应开路报警，正常操作条件下闭合；2)现场执行 器联锁时不带电，正常操作条件下带电。对于执行器，如切断阀，一般情况下SIS应设计成安全联锁动作时，切断阀在安全的即 失气的状态。当有多个不同的工艺回路对该切断阀有不同动作要求时；如同一个FC (失气 时关)切断阀

15、，A安全联锁动作时要求该阀门全开；另一个B安全联锁动作时要求该阀门 全关。此时就要求SIS在A安全联锁中输出“1“使电磁阀带电阀门全开，在B安全联锁中 输出” 0 “使电磁阀失电阀门全关。以上的说明是通常情况下的故障安全。其实对于故障安全还应具体情况具体分析，要确 定最有可能发生的故障状态，并不是一律“常闭接点，正常带电“。2. 6 SIS的冗余原则为了提高安全仪表系统的SIL等级，对系统的各个单元实现冗余是必须的。其基本原则 为：(1) 传感器的冗余原则：对于SIS的SIL1回路，可采用单一的传感器；对于SIS的SIL2 回路，宜采用“1oo2D”或“2oo3”冗余的传感器；对于SIS的SI

16、L3的回路，应采用 “2oo3 ”冗余的传感器。(2) SIS逻辑表决算器的冗余原则：SIL1可采用“ 1oo1D”单逻辑单元；SIL2宜采用“1oo2D”或“2oo3”冗余逻辑单元；SIL3宜采用“2oo3”或“2oo4D”冗余逻辑单 元；(3) SIS控制阀的冗余设置原则：SIL1可采用单电磁阀，单SIS控制阀；SIL2宜采用冗 余电磁阀，单SIS控制阀；SIL3应采用冗余电磁阀，双SIS控制阀；SIS冗余控制阀为分别带电磁阀的两个SIS开关阀，也可为带电磁阀的1个调节阀加1 个SIS开关阀；冗余输入的SIS逻辑应当包括输入信号偏差报警(2个变送器的信号偏差， 报警设定值为5%).2. 7

17、 SIS的诊断与在线维护原则SIS应具有硬件和软件自诊断及测试功能。SIS应为每个输入工艺联锁信号设置维护旁 路开关，方便进行在线测试和维护。用于3选2表决方案的冗余传感器不需要旁路，手动停 车输入也不需要旁路。严禁对SIS输出信号设立旁路开关。如果SIL计算表明测试周期小于 工艺停车周期，而对最终执行元件进行在线测试时无法确保不影响工艺或导致误停车；则 SIS的设计应当根据需要进行修改，通过提高冗余配置以延长测试周期或采用部分行程测试 法，对故障关的阀门增加手动旁通阀，对故障开的阀门增加手动截止阀等措施，以允许在线 测试SIS阀门。对于SIS联锁旁路应设置“禁止/允许”开关。SIS旁路开关的

18、动作应当在 DCS中产生报警并予以记录。除非旁路解除，报警始终处于活动状态。2. 8维护旁路开关30，）设置2.8. 1 MOS作用维护旁路开关（Maintenance Override Switch,MOS）为SIS的变送器，检测开关等现场设 备的在线检修设置。由于在旁路状态下SIF的功能及其安全完整性都是受限的。因此旁路的 设计和操作管理，成为SIS工程中重要的关注点之一。旁路操作本身应有报警，记录和显示；在旁路期间也应始终保持对工艺过程状态的检 测和指示。旁路操作应有明确的操作程序，并纳入到功能安全评估和现场功能安全审计的范 围之内。重要的一点，旁路设计应仅限于正常的工艺过程操作界限之内

19、，不能代替或用作安 全防护层功能。2. 8. 2设置MOS要遵循以下原则：1）当传感器被旁路时，操作人员有其它手段和措施触发该传感器对应的最终执行元 件，使工艺过程置于安全状态；2）当传感器被旁路时，操作人员有其它手段和措施监测到该传感器对应的过程参数 或状态。3）当传感器被旁路时，操作人员有其它手段和措施，并有足够的响应时间取代该传 感器相关的$，将工艺过程置于安全状态。4）MOS不能用于屏蔽手动紧急停车按钮信号，检测压缩机工况的轴振动位移信号以 及报警功能等；5）MOS的启动状态应有适当的显示。旁路状态的时间不宜太长，如果对该时间有严 格的限定，可设计“时间到”报警，但是不能自动解除旁路状

20、态。对于MooN表决机制的变送器信号，MOS逻辑设计要考虑降级模式对安全性和可用性的 影响。例如，从安全性角度，2oo3旁路后应降级1 oo2；而对于停车将造成重大经济损失的 回路，2oo3旁路设计可能采用降级为2oo2。2. 9联锁与复位设置SIS的设计应保证一旦工艺过程进入安全状态，在进行手动复位前应保持工艺过程在安 全状态。最终执行元件在所有的联锁初始条件恢复到正常状态前不得复位。带多个传感器和 最终执行元件的复杂联锁回路需要在逻辑中设置一个总联锁复位信号（按钮），当联锁初始 条件恢复到正常状态之后，能用该复位信号（按钮）对整个联锁回路进行复位。对火焰加热 炉，气化炉，反应器等高危险设备

21、的最终执行元件，需配备一个独立的，就地手动复位装置。 总联锁复位必须在就地手动复位前先复位，就地手动复位装置的信号必须输入SIS逻辑。2. 10 SIS逻辑控制器的应用软件组态在SIS可编程逻辑控制器中，应用软件编程组态遵循的最重要原则，是如何保证满足安 全完整性要求。逻辑控制器的整体性能表现，在很大程度上受制于软件的质量。我们知道， 安全完整性包括硬件安全完整性和系统性安全完整性。其中软件错误或缺陷是影响系统性安 全完整性的重要因素之一。不幸的是，我们很难对软件失效建立数学模型并对失效率进行准 确预测。应用软件设计和组态应遵循模块化，低复杂性的指导原则。按照工艺过程特点和防护逻 辑，划分为相

22、对独立。简单的单元或层次，这将给功能测试和修改带来极大的便利，有利于 增强软件的完整性。不论设计文件采用哪种格式，包括因果图Cause-Effect）,功能逻辑图， 流程图，文字叙述等形式，都要足够详细，确保对停车逻辑，设定值，报警，诊断以及时序 等的正确组态。基于“经验使用”原则，尽可能采用标准功能或功能块。如果需要采用；嵌 套”逻辑，应尽可能地降低嵌套层。2. 11 SIS的其它设计原则SIS必须获得IEC 61508 SIL和/或TUV AK （德）相应SIL等级的认证。鉴于某些特殊 原因，需要由SIS执行的非安全功能应在因果图上明确标明（如“非安全功能”，“NSF”， SIL=N/A”

23、或其它标识）并在其他SIS设计文件中指明。非安全功能的动作，如果由SIS 执行则不得干扰或危及SIS的任何安全功能。SIS系统中使用的硬件，软件和仪表必须遵守 正式版本并已商业化，同时必须获得国家有关防爆，计量，压力容器等强制认证。严禁使 用任何试验产品。2. 12 SIL的最终评估当按照安全要求规格书的要求，完整了 SIS设备的选型和结构设计，自然地要回答这一 问题，最终的SIF是否达到了预期的SIL要求？SIF的最终SIL评估，通常有两个必要条件：一是评定SIS子系统是否满足了 “结构约 束（Architectural Constraints）要求，在IEC 61508/IEC 61511

24、中，结构约束条款用最小的“硬 件故障裕度”（Hardware Fault Tolerance,HFT表征，代表了设备或子系统在构成SIL回路时， 从硬件结构上对安全完整性等级的限制。2. 13结构约束2. 13. 1 IEC 61508中的结构约束结构约束是除PFD avg之外，在某个特定应用中使用某个设备的附加约束。根据设备类型及其SFF （安全失效分数，也有称之为安全故障）和设备所在子系统的 HFT（硬件故障裕度，也有称之为硬件容错能力）来确定设备子系统能够用于哪级SIL水平 的安全仪表系统dEC 61508提供了一张表，分别为设备类型A和B的子系统定义了结构约 束，如表3所示。表3IEC

25、 61508中对A类及B类设备的结构约束SafeType AType BFailureHardware Fault Tolerance(HFT)Hardware Fault Tolerance(HFT)Fraction (SFF)01201260%SIL1SIL2SIL3N.A.SIL1SIL260%90%SIL2SIL3SIL4SIL1SIL2SIL390%99%SIL3SIL4SIL4SIL3SIL4SIL4为了便于区分，IEC 61508将各种组成安全仪表功能的元件分成两种A型和B型。A型 指那些所有故障模式都被定义过，所有故障行为都被定义过，而且有充足的故障数据的元件。 例如普通传感器

26、，阀门等。而B型则相反，指那些故障类型没有被完整的定义，也没有足 够的故障数据的元件，一般指的是含有处理器的元件，例如智能传感器，逻辑运算器等。由表3,我们可以看出，确定安全仪表回路各个元件的SIL等级，取决于2个参数。1 是安全失效分数，2是硬件故障裕度。对自动化产品来说，安全失效分数的定义为该产品的 平均安全失效率加检测到的平均危险失效率与子系统总平均失效率之比。安全失效分数SFF=(入 SD+入 SU+入 DD) / 3 SD+ SU+入 DD+ Du)提高安全失效分数，就是提高产品的故障安全能力，也就是说，当产品出现故障时，具 有的使系统以安全的方式失效的能力提高安全失效分数的办法有很

27、多，最重要的就是提高诊 断覆盖率，也就是用各种内部诊断的方式将可能导致危险失效检测出来提高诊断测试到的危 险失效概率在危险失效总概率中的比例。硬件故障裕度HFT和系统或者元件的结构有关。我们常见的系统或者元件设计结构有 1oo1,2oo2,1oo2,2oo3,1oo3,2oo4.这种MooN结构指的是需要总共N个通道中的M个独立通 道来实现安全功能。而硬件容错能力HFT的定义是，假如硬件容错能力是X，那么当出现 X+1个危险故障时，将会导致安全功能的丧失。所以很明显，我们可以得出在MooN结构 中，硬件容错能力的计算HFT=N-M。如表2所示。表2硬件容错能力计算表结构1oo12oo21oo2

28、2oo31oo32oo4HFT001122有时候，冗余的设备是为了提高过程的可用性，而不是为了提高安全性。硬件故障裕度(Hardware fault tolerance,HFT)是指在能够正常行使安全功能的情况下，系 统结构配置能够容忍的危险失效数目。硬件故障裕度有时与冗余配置容易混淆。硬件故障裕 度和冗余不是一回事。例如，1oo3,2oo3,3oo3的设备冗余数都是3,而它们的硬件故障裕度 却分别是2, 1，0。有时候，冗余的设备是为了提高过程的可用性，而不是为了提高安全性。如果某个B类设备具有92%的安全失效分数，硬件故障裕度为0，根据表3可得到它满 足SIL2的要求。但一般在实际工程中，

29、结构约束是以另一种方式使用的。已知的是目标SIL 水平，设备类型及其安全失效分数，要确定的是硬件故障裕度。例如，某A类设备的SFF 为50%，安全仪表功能的目标SIL水平为2,那么根据表2硬件裕度为1，所以该设备的子 系统需要为1oo2或2oo3之类的冗余配置。2. 13. 2 IEC 61511中的结构约束IEC 61511中要求硬件故障裕度的最低水平应该是SIL水平的函数。这就是说以达到功 能安全为目的的冗余必须与安全仪表功能的目标SIL水平相联系。对于现场仪器仪表和非可 编程逻辑控制器，其结构约束如表4所示。表4IEC 61511中为现场设备规定的最小硬件故障裕度SIL最小硬件故障裕度S

30、IL最小硬件故障裕度1032214有特殊要求（参见IEC 61508按照上表，为了达到SIL2的安全水平必须使用两个变送器，并且这两个变送器只需其 中一个动作就能够执行安全功能，即1oo2配置。同样，对于SIL3的安全水平，必须使用三 个变送器，配置为1oo3.IEC 61511中使用另一张表对可编程电子逻辑控制器的结构提出要求，如表5所示。表5IEC 61511中为逻辑控制器规定的最小硬件故障裕度SIL最小硬件故障裕度SFF90%1100221033214有特殊要求（参见IEC 61508）使用此表时也需要计算安全失效分数SFF。它的使用方法和IEC 61508中的结构约束是 一样的。3典型

31、的逻辑关系3. 1逻辑运算关系目前在石油化工装置的安全仪表系统中，安全联锁系统功能是通过逻辑运算实现的，- 般是在软件中采用布尔代数运算实现。一个安全联锁功能通常包括多段逻辑运算。在实际的 应用过程中，除了过程信号的原因导致联锁结果外，还应设置一些其他相关操作手段和信号 关系，以确保安全仪表系统的可靠性和可用性。3.2对触发联锁结果的处理根据工艺过程具体情况，安全联锁系统发生联锁后的处理方式是不同的。对于不是随意 可逆的工艺过程，当输入信号越限触发联锁后，安全系统应设置自锁功能以防止过程变量触 发联锁后又恢复到正常范围，导致工艺过程不能按正常顺序或意外恢复或启动，再次形成事 故，对装置和人造成

32、危险。为此，应设置人工恢复Reset）按钮。当然也有一些工艺过程的安 全联锁动作是可逆的，其安全联锁不需设置自锁功能，系统在过程恢复正常时，可自动回到 正常状态。对于自动恢复的系统，若工艺过程变化较快，可设置适当宽度的不灵敏区，消除 过程变量处在联锁值边缘时频繁触发联锁的现象。3. 3人为启动联锁和输入信号旁路开关典型安全联锁回路设有人工联锁按钮（Manual），用于需要人为启动联锁的场合。为装置开工过程系统投运，对某些输入信号要设置旁路开关（ByPass）。当工艺过程变 量还未达到正常值时，暂时切断安全联锁系统的相应输入信号部分，待过程量正常后才能投 运。输入信号旁路开关有时也用于系统维护和

33、测试过程。3. 4典型的安全联锁逻辑图以某压力联锁为例，一个典型的安全联锁逻辑关系如图3所示.图3典型的安全联锁逻辑关系图3中用RS触发器组成自锁和人工恢复的逻辑，正常工况电磁阀USOV带电励磁， 联锁状态时电磁阀断电。当压力超限时，首先由转换器将AI信号转换DI信号，超限时信号为1，DCS与声光 报警器报警；然后输入信号与旁路开关信号进行AND运算；如旁路开关未打开则为1，运 算结果也为1，再与手动开关进行OR运算，如报警信号为1或者手动开关打开则输出为0， 最后信号进入RS触发器。RS触发器由两个与非门（或是或非门）的输入和输出交叉连接 而成，有两个输入端R和S （又称触发信号端）；R为复

34、位端，当R有效时，Q变0，故也 称R为置0端；S为置位端，当S有效时，Q变为1，称S为置“1”端；还有两个互补输 出端Q和Q。当Q=1，Q=0；反之亦然。RS触发器的状态如表2。当报警信号为0即S置1端有效，S=0，R=1，此时Q=1，Q=0，电磁阀非励磁，联锁 启动。当输入信号正常恢复正常时，S=1，此时若按下复位按钮，R=0，则Q=0，表2 RS触发器状态表输入QN输出QN+1逻辑功能RS0001- -不定010100置0100 111置1110101保持不变Q=1，电磁阀为通电状态，联锁解除。正常状态下S与R端均为1，电磁阀状态保持 不变。在信号还未恢复正常时按下复位开关，即S=0，R=

35、0，这种情况是不被允许的。4. SIS回路设计4.1检测元件的设置检测元件的可靠性直接影响到安全仪表系统的安全性能。为减少现场检测元件故障概 率，首先应选择技术过硬且知名度较高的供货厂商，一些著名的仪表品牌都已经推出了具有 安全等级认证的变送器产品，这些产品已获的IEC 61508 SIL和/或TUV AK （德）相应SIL 等级的认证。使得部分检测元件产品的安全等级有了明确的认定。其次，由于应用在安全仪 表系统内的普通开关类仪表都是长期不会动作，一旦动作则要求快速响应，但由于触点粘合 或因管线震动等异常状况可能导致不动作或者误动作，所以选择开关类仪表时要慎重考虑。 同时，在安全仪表系统中，如

36、检测元件采用本质安全型仪表需考虑的问题较多，例如需要配 置安全栅，增加了一个可能产生故障的环节造成SIL等级下降等，所以采用隔爆式仪表比较 适宜。再次，进行多种结构形式的冗余也是提高可靠性的必要手段，世界上著名的安全仪表 制造商均推出了不同结构的系统，有非冗余的，冗余的，冗余容错的，三重化结构（TMR）， 四重化结构（QMR ）等，原则上说只要是经过相关标准的认证且符合系统的安全完整性等 级要求就可以采用，需要注意的是冗余的安全仪表系统检测元件宜当包括输入信号偏差报警 （2个变送器的信号偏差，报警设定值一般为5%）。4. 2逻辑设计单元及I/O卡件的设置在SIS系统中，逻辑运算单元及I/O卡件

37、出现故障的概率是最小的，只占所有元件故 障比率的15%，但是随着SIS系统的不断发展，对逻辑运算单元的技术要求却不断提高，在 现在的SIS设计中，常要求逻辑运算单元带有自检测，容错和巡检功能，以此来提高整个系 统回路的可靠性。4. 3执行元件的设置SIS中执行元件选用高温绝缘耐用型线圈，长期带电型的低功耗电磁阀，相应的切断 球阀和蝶阀选择合适的材质，防止出现卡塞现象。马达控制中心电动机的起停信号一般采用 220VAC，5A继电器隔离；中压电动机（6KV/10KV）起停信号则选用大功率继电器隔离。对于关键部位的执行机构，要选择多电磁阀多执行机构的冗余设置。具体设置方法也 需要注意，例如双电磁阀双

38、执行机构的冗余方式宜采用并联结构。安全仪表系统是检测元件，各种I/O卡件，控制单元和执行机构或元件以及它们之间 的信号传输关系所构成的完整系统，系统整体的可靠性和可用性与构成系统的各个环节密切 相关。因此在工程设计过程中考虑系统设计，选型，配置时，必须依据安全仪表系统的设计 原则和相关标准，规范，结合工艺过程的安全要求，仔细推敲斟酌系统设计的每个细节，确 保安全仪表系统在工艺过程发生危险情况时真正发挥安全保护作用。5安全仪表系统SIS的可用性在MooN结构中，1oo2和2oo3的硬件故障裕度都是1, 1oo3和2oo4的硬件故障裕 度都是2。从容错的能力的角度看，1oo3和2oo4容错能力是相

39、同的。那么他们之间的差别 在哪里？怎么判断什么时候采用1oo3,什么时候采用2oo4？，我们看图4和图5。图4 1oo3结构图5 2oo4结构图4和图5中的阀门都是泄放阀，也就是平时是闭合，紧急情况下开启。图4表示的 是1oo3结构，图5表示的是2oo4结构。我们可以看到在图4中，任何两个阀门，比如B 和C发生危险故障，即想开启的时候发现开不起来，只要A仍然正常工作，系统仍然是安 全的，安全功能可以通过A执行。这表明图4中的1oo3结构可以容纳2个危险故障，其硬 件容错能力为2。图5中也是类似，4个阀门中任意2个阀门发生危险故障，比如A，C无 法开启了。只要B，D仍然正常工作，安全功能也仍然能

40、够实现。所以图5中的2oo4结构 硬件容错能力也是为2。所以这两种结构的硬件容错能力是一样的。从安全性来说，1oo3和2oo4是一样的。 那么他们的区别在于可用性。前文我们说过，故障分安全故障和危险故障，或者称之为显性 故障和隐性故障。硬件故障裕度HFT指的是容纳危险故障的能力。HFT与安全性有着直接的联系。那么可用性事实上是跟系统容纳安全故障的能力有着直接的联系，我们可以称之为Safe Failure Tolerance（SFT）.同样我们分析图4和图5。图4中1oo3结构，假如任意一个阀出现安全故障，比如A 安全功能直接被执行了，也就是A泄放阀直接打开，那么很明显会马上造成现场停车。而 图

41、5中2oo4结构下，假如其中一个阀比如A出现安全故障，A打开了，由于BDC都还是 关闭的。我们可以看到，系统的安全功能并不会马上被执行。但是如果再出现一个安全故障， 比如D也打开了，那么系统的安全功能肯定被执行了。系统停车。所以我们说在1oo3的结 构下面，系统对安全故障的容纳能力SFT是0。而在2oo4结构下，系统对安全故障的容纳 能力是1。通过对其他MooN系统的分析，我们也可以得出这样的结论：系统安全故障容纳能力 SFT=M-1。如表3所示。表3系统安全故障容纳能力计算表结构1oo12oo21oo22oo31oo32oo4HFT001122SFT010101从表3我们也可以看出，在硬件故

42、障裕度HFT相同的情况下，要提供可用性，意味着 要增加更多的通道，也就是要增加更多的成本。从上述分析我们可以了解到，安全性和可用性，都取决于系统或者元件的结构设计。 安全性高并不意味着可用性一定高。而可用性高，同样也不意味着安全性一定高。想要设计 出科学的SIS系统结构，必须在了解应用需求的基础上，合理的平衡安全性和可用性，这样 才有可能以最低的成本，满足最大化的安全性和可用性要求。关于逻辑控制中微处理器时冗余方式有以下四种.并联冗余；此种系统工作方式为：两个处理器同步运行（即按同一个时钟）执行同一个应用程序， 根据得到的结果（输出数据等）相互比较，判断系统的状态（正常？异常？）比较结果不同要

43、知道谁故障了很困难。为此，这种系统发生故障系统只能故障安全停车。图1 dual/双重化系统（并联冗余）双工系统：此种系统为待机冗余，即高可用性的双机热备系统。主MPU1每隔一定时间告诉备用 MPU2： “Iam alive”.我还活着。当主MPU1故障不送信息了，stand by MPU2立即启动， 继续维持工作。图2 duplex/双工系统双双工系统：此系统为双双工系统。MPU1中的两个MPU经比较和图1 一样。如果出了问题，那 另一组还照常工作，但要4个MPU。图 3 biduplex system多数表决系统：此系统为2oo3表决。如果有一个MPU故障系统成了和图1 一样的结构。图4多数表决系统辅助操作台上手动开关的设计中，SECCO聚乙烯装置中开关用法一览表用途开关，按钮型式用于隔离，紧急排放，紧急停车功能常闭型交替型按钮反应起杀死剂系统跳闸按钮常闭瞬时型按钮工艺操作模式选择常闭2位或3位式（根据操作模式的数量）请求维修旁路及解除维修旁路的选择常闭2位式弹簧复位带锁开关打开消防喷淋阀常开选择开关