1、1、什么是安全儀表系統(tǒng)在 IEC61508 中，SIS被稱(chēng)為安全相關(guān)系統(tǒng)( Safety Related System),將被控對(duì)象 稱(chēng)為被控設(shè)備( EUC)。IEC61511 將安全儀表系統(tǒng) SIS 定義為用于執(zhí)行一個(gè)或多個(gè)安全儀表功能( Safety Instrumented Function,SIF )的儀表系統(tǒng)。 SIS 是由傳感器(如各類(lèi) 精品文檔，超值下載開(kāi)關(guān)、變送器等)、邏輯控制器、以及最終元件(如電磁閥、電動(dòng)門(mén)等)的組合 組成,如圖 1 所示。IEC61511 又進(jìn)一步指出， SIS 可以包括，也可以不包括軟件。另外，當(dāng)操作人 員的手動(dòng)操作被視為 SIS 的有機(jī)組成部分時(shí)，必須

2、在安全規(guī)格書(shū)( Safety Requirement Specification,SRS) 中對(duì)人員操作動(dòng)作的有效性和可靠性做出明 確規(guī)定，并包括在 SIS 的績(jī)效計(jì)算中。從 SIS 的發(fā)展過(guò)程看，其控制單元部分經(jīng)歷了電氣繼電器( Electrical )、電子 固態(tài)電路( Electronic )和可編程電子系統(tǒng)( Programmable Electronic System )，即 E/E/PES 三個(gè)階段。安監(jiān)總局 116 號(hào)文件國(guó)家安全監(jiān)管總局于 2014 年 11 月 13 日下發(fā)國(guó)家安全監(jiān)管總局關(guān)于加強(qiáng)化 工安全儀表系統(tǒng)管理 指導(dǎo)意見(jiàn)(安監(jiān)總管三 2014 116 號(hào)) 該意見(jiàn)涉及

3、到了生產(chǎn)，設(shè)計(jì)，管理等多個(gè)方面。 HAZOP 分析， SIL 等級(jí)評(píng)估， 安全系統(tǒng)驗(yàn)證， 老裝置安全系統(tǒng)安全等級(jí)評(píng)估， 安全系統(tǒng)改造等， 這些工作將在 今后幾年中越來(lái)越多，越來(lái)越重要！下圖為由 PES 構(gòu)成的 SIS圖 1 SIS 的構(gòu)成SIS 安全儀表系統(tǒng)(1) SIF 安全儀表功能可以是安全儀表保護(hù)功能，也可以是安全儀表控制功能，或包含這兩者。(2) 需要說(shuō)明的是，這里所說(shuō)的安全儀表控制功能，是指以連續(xù)模式( Continuous Mode )操作并具有特定的 SIL,用于防止危險(xiǎn)狀態(tài)發(fā)生或者減輕 其發(fā)生的后果，與常規(guī)的 PID 控制功能是完全不同的概念。(3) SIS 可以包括或不包括軟

4、件(4) SIS 的一部分也可能是人的動(dòng)作如圖 2 所示，這是一個(gè)氣液分離容器 A 液位控制的安全儀表功能回路圖。對(duì)這 個(gè)安全儀表功能完整的描述是： 當(dāng)容器液位開(kāi)關(guān)達(dá)到安全聯(lián)鎖值時(shí)， 邏輯運(yùn)算器 (圖 3 )使電磁閥 2 斷電，則切斷進(jìn)調(diào)節(jié)閥膜頭信號(hào)，使調(diào)節(jié)閥切斷容器 A 進(jìn) 料，這個(gè)動(dòng)作要在 3 秒內(nèi)完成，安全等級(jí)必須達(dá)到 SIL2。這是一個(gè)安全儀表功 能的完整描述， 而所謂的安全儀表系統(tǒng)， 則是類(lèi)似一個(gè)或多個(gè)這樣的安全儀表功 能的集合。圖 2 安全儀表回路圖圖 2 說(shuō)明：L 液面超高 -L1 接點(diǎn)閉合 -Z 帶電。Z1 常閉接點(diǎn)打開(kāi)， S 線(xiàn)圈斷電。S電磁閥切斷，往調(diào)節(jié)閥膜頭的控制信號(hào)調(diào)節(jié)

5、閥切斷工藝進(jìn)料，完成聯(lián)鎖保護(hù)作 用。K 起：按鈕開(kāi)關(guān)：起動(dòng)聯(lián)鎖保護(hù)回路兼有復(fù)位作用。K 停：起人工強(qiáng)制起動(dòng)聯(lián)鎖保護(hù)作用。K 旁：旁路聯(lián)鎖保護(hù)作用，用于開(kāi)車(chē)或檢修聯(lián)鎖信號(hào)儀表。圖 3 SIS 邏輯圖大多石油和化工生產(chǎn)過(guò)程具有高溫、高壓、易燃、易爆、有毒等危險(xiǎn)。當(dāng)某些工 藝參數(shù)超出安全極限， 未及時(shí)處理或處理不當(dāng)時(shí)， 便有可能造成人員傷亡、 設(shè)備 損壞、周邊環(huán)境污染等惡性事故。這就是說(shuō)，從安全的角度出發(fā)，石油和化工生 產(chǎn)過(guò)程自身存在著固有的風(fēng)險(xiǎn)。總之， SIS 是一種經(jīng)專(zhuān)門(mén)機(jī)構(gòu)認(rèn)證，具有一定安全完整性水平，用于降低生產(chǎn)過(guò) 程風(fēng)險(xiǎn)的儀表安全保護(hù)系統(tǒng)。 它不僅能響應(yīng)生產(chǎn)過(guò)程因超過(guò)安全極限而帶來(lái)的風(fēng) 險(xiǎn)

6、，而且能檢測(cè)和處理自身的故障， 從而按預(yù)定條件或程序使生產(chǎn)過(guò)程處于安全 狀態(tài)，以確保人員、設(shè)備及工廠周邊環(huán)境的安全。按照 SIS 的定義，下述系統(tǒng)均屬于安全儀表系統(tǒng)：安全聯(lián)鎖系統(tǒng)( Safety Interlock System SIS)；安全關(guān)聯(lián)系統(tǒng)( Safety Related System SRS)；儀表保護(hù)系統(tǒng)( Instrument Protective System IPS)；透平壓縮機(jī)集成控制系統(tǒng) (Integrated Turbo & Compressor Control System ITCC)；火災(zāi)及氣體檢測(cè)系統(tǒng)( Fire and gas systems F&a

7、mp;G )；緊急停車(chē)系統(tǒng)( Emergency Shutdown Device ESD)；燃燒管理系統(tǒng)( Burner Management System )；列車(chē)自動(dòng)防護(hù)系統(tǒng)( ATP)2 、 SIS 的相關(guān)標(biāo)準(zhǔn)及認(rèn)證機(jī)構(gòu) 鑒于 SIS 涉及到人員、設(shè)備、環(huán)境的安全，因此各國(guó)均制定了相關(guān)的標(biāo)準(zhǔn)、 規(guī)范， 使得 SIS 的設(shè)計(jì)、制造、使用均有章可循。并有權(quán)威的認(rèn)證機(jī)構(gòu)對(duì)產(chǎn)品能達(dá)到的 安全等級(jí)進(jìn)行確認(rèn)。這些標(biāo)準(zhǔn)、規(guī)范及認(rèn)證機(jī)構(gòu)主要有：(1) 我國(guó)石化集團(tuán)制定的行業(yè)標(biāo)準(zhǔn) SHB-Z06-1999 石油化工緊急停車(chē)及安全聯(lián) 鎖系統(tǒng)設(shè)計(jì)導(dǎo)則。(2) 2006 年、 2007 年等同采用 IEC615

8、08 、IEC61511 的中國(guó)國(guó)家標(biāo)準(zhǔn)GB/T20438 、GB/T21109 相繼發(fā)布，中國(guó)的功能安全標(biāo)準(zhǔn)開(kāi)始規(guī)范我國(guó)的功能 安全工作。(3) 國(guó)際電工委員會(huì) 1997 年制定的 IEC 61508/61511 標(biāo)準(zhǔn)，對(duì)用機(jī)電設(shè)備(繼 電器)、固態(tài)電子設(shè)備、可編程電子設(shè)備( PLC)構(gòu)成的安全聯(lián)鎖系統(tǒng)的硬件、 軟件及應(yīng)用作出了明確規(guī)定。(4) 美國(guó)儀表學(xué)會(huì)制定的 ISA-S84.01-1996 安全儀表系統(tǒng)在過(guò)程工業(yè)中的應(yīng) 用。(5) 美國(guó)化學(xué)工程學(xué)會(huì)制定的 AICHE(ccps )-1993 ，化學(xué)過(guò)程的安全自動(dòng)化 導(dǎo)則。(6) 英國(guó)健康與安全執(zhí)行委員會(huì)制定的 HSE PES-1987

9、，可編程電子系統(tǒng)在安 全領(lǐng)域的應(yīng)用。(7) 德國(guó)國(guó)家標(biāo)準(zhǔn)中有安全系統(tǒng)制造廠商標(biāo)準(zhǔn) -DIN V VDE 0801 、過(guò)程操作用戶(hù) 標(biāo)準(zhǔn)-DIN V 19250 和 DIN V 19251 、燃燒管理系統(tǒng)標(biāo)準(zhǔn) -DIN VDE 0116 等。(8) 德國(guó)技術(shù)監(jiān)督協(xié)會(huì)( TüV)是一個(gè)獨(dú)立的、權(quán)威的認(rèn)證機(jī)構(gòu)，它按照德國(guó)國(guó) 家標(biāo)準(zhǔn)( DIN )，將 ESD所達(dá)到的安全等級(jí)分為 AK1AK8 ，AK8 安全級(jí)別最 高。其中AK4 、AK5、AK6 為適用于石油和化學(xué)工業(yè) 取得 TüV認(rèn)證的 SIS產(chǎn)品在國(guó)內(nèi)石化行業(yè)中應(yīng)用的 SIS 產(chǎn)品中，經(jīng)過(guò) T üV 認(rèn)證的主要有：(

10、1) Tricon 、 Triden ，美國(guó) Triconex 公司開(kāi)發(fā)用于壓縮機(jī)綜合控制( ITCC)和 緊急停車(chē)系統(tǒng)。安全等級(jí)為 AK6 (SIL3)。(2) FSC( Fail safe control )，由荷蘭 P&F (Pepper&Fuchs )公司開(kāi)發(fā)， 1994 年被 Honeywell 公司收購(gòu)。安全等級(jí) AK6 (SIL3)(3) 和利時(shí)集團(tuán) HiaGuard (SIS)，我國(guó)首套獲 TüV SIL3 認(rèn)證的安全儀表系統(tǒng)。(4) HIMA PES ，HIMA 是德國(guó)一家專(zhuān)業(yè)生產(chǎn)安全控制設(shè)備的公司， PES (Programmable Electr

11、onic System) 是可編程電子系統(tǒng)的簡(jiǎn)稱(chēng)，是近幾年來(lái)國(guó) 內(nèi)引進(jìn)較多的一種安全儀表系統(tǒng)。 主要由 H41q 和 H51q 系統(tǒng)組成。 H41q 也叫 小系統(tǒng)，它分為不冗余的系統(tǒng)和冗余的系統(tǒng)，不冗余系統(tǒng)型號(hào)為H41q M ，冗余系統(tǒng)又分為高可靠系統(tǒng) H41q H和高性能系統(tǒng) H41q HR。H51q 稱(chēng)為模 塊化的系統(tǒng)，它也分為不冗余的系統(tǒng)和冗余的系統(tǒng)，不冗余的系統(tǒng)型號(hào)為 H51q H和高性能系統(tǒng) H51q HR。各種型號(hào)的 PES都具有 TüV AK16 級(jí)認(rèn)證。儀控工程網(wǎng)在線(xiàn)學(xué)習(xí)頻道，有關(guān)于 HIMA 公司及產(chǎn)品的介紹)(5) Prosafe RS，是橫河電機(jī)安全儀表系統(tǒng)，

12、其特點(diǎn)是與 CENTUMCS.3000 R3 的技術(shù)融合，即實(shí)現(xiàn)了與 DSC 的無(wú)縫集成。非冗余取量即可實(shí)現(xiàn) SIL3，通過(guò)冗 余取量實(shí)現(xiàn)更高的可用性。(6) QUADLOG ，由MOORE 公司開(kāi)發(fā)，日本橫河電機(jī)公司收購(gòu)后稱(chēng) prosafe plc ， 其 1oo2D 結(jié)構(gòu)安全等級(jí)達(dá) AK6 (SIL3) ；(7) SIMATICS7 400F/FH ，德國(guó) SIEMENS 公司產(chǎn)品。 400F 和 400FH 分別為1 個(gè) CPU 和 2 個(gè) CPU 運(yùn)行 fail-safe ( F)用戶(hù)程序，均取得 TUV 認(rèn)證，安全等 級(jí)為 AK1AK6 ( SIL1SIL3 )；(8) Regent

13、 Trusted ，美國(guó) ICS 利用宇航技術(shù)開(kāi)發(fā)的安全系統(tǒng)。安全等級(jí) AK4AK6 ( SIL2SIL3 )；(9) GMR90-70 ，美國(guó) GE Fanuc 公司開(kāi)發(fā)。其中 GMR90-70( 模塊式冗余容錯(cuò) ) 的安全等級(jí)為 class 5 (2oo3 )， class 4 (1oo2 )和 class 5 (2oo2 )；(10) TRIGUARD SC300E ， AUGUST 公司開(kāi)發(fā)， 1999 年成為 ABB 集團(tuán)成員之 一，安全等級(jí)為 class 5 和class 6 ，系統(tǒng)結(jié)構(gòu)為 2oo3 ；(11) DeltaV SIS 是艾默生推出的 T üV 認(rèn)證的新型整

14、體回路概念的智能安全儀表 系統(tǒng)，安全等級(jí) SIL3。(12) Safeguard 400&300 ，ABB Industry 公司開(kāi)發(fā)，系統(tǒng)結(jié)構(gòu) 1oo2D 。 (篇幅有限不再一一列舉)3 、 SIS 和 DCS 的比較DCS 與由 PES構(gòu)成的 SIS 的主要區(qū)別有：(1) 系統(tǒng)的組成： DCS 一般是由人機(jī)界面操作站、通信總線(xiàn)及現(xiàn)場(chǎng)控制站組成； 而 SIS 系統(tǒng)是由傳感器、邏輯解算器和最終元件三部分組成。及 DCS 不含檢測(cè) 執(zhí)行部分。(2) 實(shí)現(xiàn)功能： DCS 用于過(guò)程連續(xù)測(cè)量、常規(guī)控制(連續(xù)、順序、間歇等)操作 控制管理使生產(chǎn)過(guò)程在正常情況下運(yùn)行至最佳工況； 而 SIS 是超越

15、極限安全即將 工藝、設(shè)備轉(zhuǎn)至安全狀態(tài)。(3) 工作狀態(tài)： DCS 是主動(dòng)的、動(dòng)態(tài)的，它始終對(duì)過(guò)程變量連續(xù)進(jìn)行檢測(cè)、運(yùn)算 和控制，對(duì)生產(chǎn)過(guò)程動(dòng)態(tài)控制確保產(chǎn)品質(zhì)量和產(chǎn)量。而 SIS 系統(tǒng)是被動(dòng)的、休眠 的。(4) 安全級(jí)別： DCS 安全級(jí)別低，不需要安全認(rèn)證；而 SIS系統(tǒng)級(jí)別高，需要安 全認(rèn)證。(5) 應(yīng)對(duì)失效方式： DCS 系統(tǒng)大部分失效都是顯而易見(jiàn)的， 其失效會(huì)在生產(chǎn)的動(dòng) 態(tài)過(guò)程中自行顯現(xiàn)，很少存在隱性失效； SIS 失效就沒(méi)那么明顯了，因此確定這 種休眠系統(tǒng)是否還能正常工作的唯一方法， 就是對(duì)該系統(tǒng)進(jìn)行周期性的診斷或測(cè) 試。因此安全儀表系統(tǒng)需要人為的進(jìn)行周期性的離線(xiàn)或在線(xiàn)檢驗(yàn)測(cè)試， 而有

16、些安 全系統(tǒng)則帶有內(nèi)部自診斷。4 、 SIS 設(shè)計(jì)應(yīng)遵循的原則(1) 原則上應(yīng)獨(dú)立設(shè)置(含檢測(cè)和執(zhí)行單元)；(2) 中間環(huán)節(jié)最少；(3) 應(yīng)為故障安全型；(4) 采用冗余容錯(cuò)結(jié)構(gòu)。5、故障安全原則組成 SIS 的各環(huán)節(jié)自身出現(xiàn)故障的概率不可能為零， 且供電、供氣中斷亦可能 發(fā)生。當(dāng)內(nèi)部或外部原因使 SIS 失效時(shí)，被保護(hù)的對(duì)象(裝置)應(yīng)按預(yù)定的順序安全停 車(chē)，自動(dòng)轉(zhuǎn)入安全狀態(tài)( Fault to Safety )，這就是故障安全原則。具體體現(xiàn)：(1) 現(xiàn)場(chǎng)開(kāi)關(guān)儀表選用常閉接點(diǎn)，工藝正常時(shí)，觸點(diǎn)閉合，達(dá)到安全極限時(shí)觸點(diǎn) 斷開(kāi)，觸發(fā)聯(lián)鎖動(dòng)作，必要時(shí)采用“二選一”、“二選二”或“三選二”配置。(2)

17、 電磁閥采用正常勵(lì)磁，聯(lián)鎖未動(dòng)作時(shí)，電磁閥線(xiàn)圈帶電，聯(lián)鎖動(dòng)作時(shí)斷電。(3) 送往電氣配電室用以開(kāi) / 停電機(jī)的接點(diǎn)用中間繼電器隔離，其勵(lì)磁電路應(yīng)為 故障安全型。(4) 作為控制裝置(如 PLC)“故障安全”意味著當(dāng)其自身出現(xiàn)故障而不是工藝 或設(shè)備超過(guò)極限工作范圍時(shí)， 至少應(yīng)該聯(lián)鎖動(dòng)作， 以便按預(yù)定的順序安全停車(chē) (這 對(duì)工藝和設(shè)備而言是安全的) ；進(jìn)而應(yīng)通過(guò)硬件和軟件的冗余和容錯(cuò)技術(shù)， 在過(guò) 程安全時(shí)間( PST-Process Safety Time )內(nèi)檢測(cè)到故障，自動(dòng)執(zhí)行糾錯(cuò)程序， 排除故障。6 、隱故障與顯故障隱故障( Covert Fault )：不對(duì)危險(xiǎn)產(chǎn)生報(bào)警，允許危險(xiǎn)發(fā)展的故障

18、， 是故障危險(xiǎn)故障( SHB-Z06-1999 )。Covert Fault ：Fault that can be classified as hidden ， concealed ，undetected ， unrevealed ， latent ， ect. ( ISA-S84.01-1996 )顯故障( Overt Fault )：能顯示出故障自身存在的故障，是故障安全 故障(SHB-Z06-1999 )。Overt Fault ：Fault that can be classified as announced ， detected ， revealed ，ect. ( ISA-S84

19、.01-1996 ) SIS 系統(tǒng)拒動(dòng)：當(dāng)工藝條件達(dá)到或超過(guò)安全極限時(shí)， SIS 本應(yīng)引導(dǎo)工藝 過(guò)程停車(chē)，但由于其自身存在隱性故障(危險(xiǎn)故障)，譬如輸出開(kāi)關(guān)被誤連短路，而不能響應(yīng)此要求，即該停車(chē)而拒停，降低了安全性。危險(xiǎn) 失效定義為這樣一些失效， 這些失效會(huì)阻止 SIS 系統(tǒng)對(duì)潛在的危險(xiǎn)工況 做出反應(yīng)。SIS 系統(tǒng)誤動(dòng)：在圖 4 中，當(dāng)輸出開(kāi)關(guān)由于某種原因處于非激勵(lì)狀態(tài)， 即使?jié)撛诘奈ｋU(xiǎn)工況沒(méi)有發(fā)生， SIS 也會(huì)進(jìn)入一種安全失效狀態(tài)見(jiàn)圖 5 ， 這種情況經(jīng)常被稱(chēng)為 “誤動(dòng)” 。誤動(dòng)可能會(huì)以許多不同方式發(fā)生。 例如， 輸入電路可能會(huì)發(fā)生故障， 從而使邏輯解算器誤認(rèn)為是傳感器檢測(cè)到了 危險(xiǎn)工況，

20、而事實(shí)上并沒(méi)有這種情況發(fā)生。邏輯解算器本身也可能出現(xiàn) 運(yùn)算錯(cuò)誤，并導(dǎo)致輸出回路失電，輸出回路可能出現(xiàn)開(kāi)路。 SIS 的許多 元件失效均會(huì)導(dǎo)致系統(tǒng)進(jìn)入安全失效狀態(tài)。圖 4 正常運(yùn)行時(shí)的正常激勵(lì)系統(tǒng)圖5PFS（安全故障概率）： 正常激勵(lì)的 SIS 系統(tǒng)在它的輸出非激勵(lì)時(shí)，就會(huì)處于故 障狀態(tài)，這有一個(gè)概率。稱(chēng)為安全故障概率（ PFS），或稱(chēng)誤動(dòng)率。PFD （要求時(shí)失效概率）： 這是一個(gè)衡量安全性的指標(biāo)，稱(chēng)為要求時(shí)失效概率。 它意味著系統(tǒng)是危險(xiǎn)的。它不會(huì)再要求（潛在的緊急條件）發(fā)生時(shí)產(chǎn)生響應(yīng)。SIS 的功能安全 安全儀表系統(tǒng)必須在工業(yè)系統(tǒng)出現(xiàn)危險(xiǎn)情況時(shí)正確執(zhí)行其對(duì)應(yīng)的安全功能， 安全 儀表系統(tǒng)的這種特

21、性被稱(chēng)為功能安全。功能安全實(shí)際上講的是 SIS 系統(tǒng)自身的安全問(wèn)題。如圖 6 示安全儀表系統(tǒng)，該系統(tǒng)由一個(gè)壓力變送器、一個(gè)閥門(mén)和一個(gè)安全 PLC 組成的 SIS 系統(tǒng)。(1) 壓力變送器檢測(cè)容器內(nèi)壓力并將其變換成合適的信號(hào)傳送給安全PLC，安全PLC 判斷若壓力超過(guò)了額定值則打開(kāi)閥門(mén)以降低容器內(nèi)壓力， 這被稱(chēng)為安全系統(tǒng) 的一個(gè)安全功能。 很明顯例子中儀表安全系統(tǒng)只有一個(gè)安全功能。 如果三個(gè)設(shè)備 有一個(gè)或多個(gè)失效，安全功能將失效，即它將不能對(duì)壓力容器內(nèi)壓力進(jìn)行限制。 因此安全儀表系統(tǒng)的安全性能由傳感器、邏輯解算器和執(zhí)行器三部分功能決定。(2) SIS 安全功能實(shí)際上講的是讓 SIS執(zhí)行什么樣的安

22、全任務(wù)，如何保護(hù)受控設(shè) 備。圖 6 反應(yīng)器的安全儀表系統(tǒng)7、安全性及響應(yīng)失效率(1) 當(dāng)工藝條件達(dá)到或超過(guò)安全極限值時(shí)， SIS 本應(yīng)引導(dǎo)工藝過(guò)程停車(chē)，但由于 其自身存在隱故障(危險(xiǎn)故障)而不能響應(yīng)此要求，即該停車(chē)而拒停，降低了安 全性。(2) 衡量安全性的指標(biāo)為響應(yīng)失效率或稱(chēng)要求的故障率( PFD：Probability of Failure on Demand )。它是安全聯(lián)鎖系統(tǒng)按要求執(zhí)行指定功能的故障概率。 是 度量安全聯(lián)鎖系統(tǒng)按要求模式工作故障率的目標(biāo)值( SHB-Z06-1999 )。(3) 不同的工業(yè)過(guò)程(如生產(chǎn)規(guī)模、原料和產(chǎn)品的種類(lèi)、工藝和設(shè)備的復(fù)雜程度 等)對(duì)安全的要求是不同

23、的。上述的國(guó)際標(biāo)準(zhǔn)將其劃分為若干安全完整性等級(jí) ( SIL： Safety Integrity Level )。安全完整性等級(jí) Safety Integrity Level(SIL )安全完整性等級(jí) ( SIL)是一種離散的等級(jí)， 用來(lái)規(guī)定分配給 E/E/PE 安全相關(guān)系 統(tǒng)安全功能的安全完整性要求。(1) 安全完整性等級(jí)可分為 4 個(gè)等級(jí)，SIL4 是安全完整性最高的等級(jí) (平均概率 最高)， SIL1 是最低等級(jí)；(2) 安全完整性等級(jí)越高，應(yīng)執(zhí)行所要求的安全功能的概率也越高；(3) 根據(jù)安全相關(guān)系統(tǒng)使用方式，要求發(fā)生的頻率可分為低要求操作模式( <=1 次 )和高要求或連續(xù)操作模式

24、( ="">1 次/ 年)。根據(jù) GB/T 20438 標(biāo)準(zhǔn)，在不同的操作模式下， 安全完整性的目標(biāo)失效概率和目 標(biāo)風(fēng)險(xiǎn)降低見(jiàn)下表 1-1 和 1-2 。采用不同的操作模式結(jié)構(gòu)有可能使用幾個(gè)安全完整性等級(jí)較低的系統(tǒng)來(lái)滿(mǎn)足一 個(gè)較高安全完整性等級(jí)功能的需要 （例如：使用一個(gè) SIL2 和一個(gè) SIL1 的系統(tǒng)共 同來(lái)滿(mǎn)足一個(gè) SIL3 功能的需要）。表 1-1 安全完整性等級(jí)：要求時(shí)的失效概率表 1-2 安全完整性等級(jí)： SIF 的危險(xiǎn)失效概率表 1-3 SIL 與 PFD 的對(duì)應(yīng)關(guān)系8、可用性及可用度工藝條件并未達(dá)到安全極限值， SIS 不應(yīng)引導(dǎo)工藝過(guò)程停車(chē)，但由于其

25、自身存在顯故障（安全故障）而導(dǎo)致工藝過(guò)程停車(chē)，即不該停車(chē)而誤停，降低了可用性。可用度（ A： Availability ）是指系統(tǒng)可使用工作時(shí)間的概率，用百分?jǐn)?shù)計(jì)算：MTBF ：平均故障間隔時(shí)間( Mean Time Between Failures )MDT ：平均停車(chē)時(shí)間( Mean Downtime )MTBF ：平均故障間隔時(shí)間( Mean Time Between Failure )MTTR ：平均恢復(fù)時(shí)間( Mean Time to Repair )MTTF ：平均無(wú)故障時(shí)間( Mean Time to Failure )例如：9、冗余和容錯(cuò)冗余 (Redundant)具有指定的獨(dú)

26、立的 N ：1 重元件，并且可以自動(dòng)地檢測(cè)故障， 切換到后備設(shè)備上。 (SHB Z06 1999)冗余系統(tǒng) (Redundant System)并行地使用多個(gè)系統(tǒng)部件，以提供錯(cuò)誤檢測(cè)和錯(cuò)誤校正能力的系統(tǒng)。 (SHB Z06 1999) 。容錯(cuò) (Fault Tolerant)具有內(nèi)部冗余的并行元件和集成邏輯， 當(dāng)硬件或軟件部分故障時(shí)， 能夠識(shí)別故障 并使故障旁路，進(jìn)而繼續(xù)執(zhí)行指定的功能。或在硬件和軟件發(fā)生故障的情況下，系統(tǒng)仍具有繼續(xù)運(yùn)行的能力。 它往往包括三方面的功能： 第一是約束故障， 即限 制過(guò)程或進(jìn)程的動(dòng)作， 以防止在錯(cuò)誤被檢測(cè)出來(lái)之前繼續(xù)擴(kuò)大 ;第二是檢測(cè)故障， 即對(duì)信息和過(guò)程或進(jìn)程的

27、動(dòng)作進(jìn)行動(dòng)態(tài)檢測(cè) ;第三是故障恢復(fù)即更換或修正失效 的部件。 (SHB Z06 1999)容錯(cuò)系統(tǒng) (Fault Tolerant System)具有容錯(cuò)結(jié)構(gòu)的硬件與軟件系統(tǒng)。 (SHB Z06 1999)總之，通過(guò)冗余和故障屏蔽的結(jié)合來(lái)實(shí)現(xiàn)容錯(cuò)。 容錯(cuò)系統(tǒng)一定是冗余系統(tǒng)， 冗余 系統(tǒng)不一定是容錯(cuò)系統(tǒng)。 容錯(cuò)系統(tǒng)的冗余形式有雙重、三重、四重等。 圖 8 和圖 9、圖 10 分別表示 CPU 冗余(雙機(jī)熱備 )和三重化冗余容錯(cuò)系統(tǒng)。圖 8 CPU 冗余(雙機(jī)熱備 )圖 9 三重模塊冗余容錯(cuò)系統(tǒng)圖 10 三重信號(hào)冗余容錯(cuò)系統(tǒng)怎樣通過(guò)冗余來(lái)改善系統(tǒng)的整體 SIL 水平(1) 當(dāng)一個(gè) SIS 系統(tǒng)的安

28、全完整性等級(jí)要求為 SIL3，而實(shí)際配置為傳感器為 2.2 ×10-3(SIL 2) ，邏輯解算器為 1.3×10-4(SIL3)( 包括 I/O 接口 )，終端執(zhí)行器為 2.41 ×10-3(SIL2), 所以整個(gè)系統(tǒng)為 SIL2 不滿(mǎn)足要求。(2) 于是我們改變傳感器的配置結(jié)構(gòu)，選擇 1oo2 冗余，其中共因失效 =10% ， 診斷覆蓋率 (DC)=90% ，可以算出 1oo2 傳感器的結(jié)構(gòu)的 PFD=2.3 ×10-4 ，達(dá)到 SIL3 的水平，同理可以配置執(zhí)行器為 1oo2 冗余結(jié)構(gòu)，也可達(dá)到 SIL3 的要求， 于是最終整體 SIS系統(tǒng)的 SI

29、L可以達(dá)到 SIL3的要求。(3) 這個(gè)問(wèn)題的解決給我們以啟示，當(dāng)裝置引進(jìn)一個(gè) SIS 系統(tǒng)時(shí)，整體安全完整 性等級(jí)不僅取決于邏輯解算器部分，而且傳感器、終端執(zhí)行器部分也非常關(guān)鍵。 配置系統(tǒng)時(shí)，除了引進(jìn)一個(gè) SIL3的安全儀表系統(tǒng)，譬如 FSC等，還要將傳感器、 終端執(zhí)行器一并討論。算出 SIS整體的 SIL 數(shù)據(jù)，定量的安全儀表系統(tǒng)配置任務(wù) 才算完成。冗余表決方法及其安全性、可用性的關(guān)系可用性 (A：Availability) 是指系統(tǒng)可使用工作時(shí)間 (連續(xù)運(yùn)行時(shí)間 )的概率，用百 分?jǐn)?shù)計(jì)算 A 值越大，可用性越好：A = MTBF/(MTBF+MTTR)而 PFD= MTTR /(MTBF

30、+MTTR)PFD 越小則安全性越好。冗余邏輯表決方法及安全性 - 可用性的關(guān)系例子如下表所示。表 2 冗余邏輯的表決方法及其與安全性、可用性的關(guān)系以上可見(jiàn)：（1）隱故障（危險(xiǎn)故障）使 SIS該動(dòng)而拒動(dòng)，隱故障概率越高，安全性越差。（2）顯故障（安全故障）使 ESD不該動(dòng)而誤動(dòng)，顯故障概率越高，可用性越差。1oo2（ 二選一 ）安全性最好，但可用性最差 ;2oo2（ 二選二 ）可用性最好，但安全性 最差;2oo3（ 三選二 ）可兼顧。10、普通 PLC和安全 PLC 的區(qū)別普通 PLC 和可以作為 ESD 控制部分的安全 PLC 的主要區(qū)別是：普通 PLC 不是 按故障安全型設(shè)計(jì)的， 當(dāng)系統(tǒng)內(nèi)

31、部元件出現(xiàn)短路故障時(shí)， 它并不能檢測(cè)到， 因此 其輸出狀態(tài)不能保證系統(tǒng)回到預(yù)定的安全狀態(tài)。這種 PLC 只能用于安全度等級(jí) 要求低的場(chǎng)合。現(xiàn)以輸出電路為例予以說(shuō)明。圖 11 普通 PLC DO 卡示意圖普通 PLC DO 卡(1) 當(dāng) 1、2 兩點(diǎn)短路時(shí)，來(lái)自 PLC 的控制信號(hào)將不起作用 (失效 )，電磁閥將一直處于帶電 (勵(lì)磁 )狀態(tài)，即需要聯(lián)鎖動(dòng)作 (電磁閥釋電停車(chē) )時(shí)，由于此故障的存 在而拒動(dòng)，其輸出不能保證處于安全停車(chē)狀態(tài)。 這就是違背了故障安全 (Fault to Safety) 的原則。(2) 當(dāng) 1、2 兩點(diǎn)開(kāi)路時(shí)，將導(dǎo)致誤動(dòng)作而停車(chē)，同樣會(huì)帶來(lái)?yè)p失。可見(jiàn)，這種 普通 PLC

32、 的 DO 卡輸出電路的安全性和可用性都是不高的。圖 12 安全性單容錯(cuò) DO 卡示意圖安全性單容錯(cuò) DO 卡圖 12 所示為一種帶有安全性單容錯(cuò)的 DO 卡示意圖 ( 它是 Honeywell SMS FSC-101 型輸出示意圖 )。這里，中央處理器不僅向串聯(lián)的場(chǎng)效應(yīng)管 (FET)發(fā)出控制信號(hào)，而且還接受來(lái)自 場(chǎng)效應(yīng)管的狀態(tài)反饋信號(hào)， 以便對(duì)其輸出進(jìn)行全面測(cè)試。 當(dāng)測(cè)得某管輸出發(fā)生短 路時(shí)，中央處理器即啟動(dòng)糾錯(cuò)動(dòng)作， 隔離相關(guān)的故障。 看門(mén)狗 (Watch Dog) 是個(gè) 多通道的計(jì)時(shí)器電路。 它由中央處理器和內(nèi)存等周期性地觸發(fā)， 如果兩個(gè)觸發(fā)之 間的時(shí)間小于某設(shè)定值或者大于某最大值， 則

33、看門(mén)狗的輸出將失效。 同時(shí)看門(mén)狗 還能監(jiān)視內(nèi)部工作電壓，使之在正常的電壓范圍內(nèi)。普通 PLC 和安全 PLC 的區(qū)別以上僅是 DO 卡上的差別。作為安全 PLC，至少應(yīng)具備以下幾點(diǎn)： (1) 滿(mǎn)足相關(guān)安全標(biāo)準(zhǔn)規(guī)范要求，且經(jīng)過(guò)權(quán)威機(jī)構(gòu)認(rèn)證，取得了相應(yīng)安全等級(jí)證 書(shū);(2) 在硬件和軟件上采用冗余、容錯(cuò)措施，具有完善的測(cè)試手段，當(dāng)檢測(cè)到系統(tǒng) 故障，特別是危險(xiǎn)故障時(shí)能使系統(tǒng)回到安全狀態(tài) ;(3) 能進(jìn)行系統(tǒng)故障報(bào)警，指示故障原因、故障位置，便于在線(xiàn)維護(hù) ;能與 DCS 或其它設(shè)備進(jìn)行通訊。11 、工藝過(guò)程風(fēng)險(xiǎn)的評(píng)估及安全度等級(jí)的評(píng)定不同的工藝過(guò)程 (生產(chǎn)規(guī)模、原料和產(chǎn)品的種類(lèi)、工藝和設(shè)備的復(fù)雜程度等

34、 )對(duì)安 全的要求是不同的。一個(gè)具體的工藝過(guò)程，是否需要配置 SIS、配置何種等級(jí)的 SIS，其前提應(yīng)該是對(duì)此具體的工藝過(guò)程進(jìn)行風(fēng)險(xiǎn)評(píng)估，要進(jìn)行危險(xiǎn)及可操作性 分析(HAZOP) ，然后辨識(shí)出與此分析相應(yīng)的安全儀表功能 (SIF),(找到一個(gè)安全儀 表連鎖回路 )，再根據(jù)風(fēng)險(xiǎn)出現(xiàn)的頻率和其產(chǎn)生的嚴(yán)重后果，找到一個(gè)與此SIF相應(yīng)的 SIL 值，在確定了某個(gè)安全儀表功能的完整性等級(jí) (SIL)之后，再配置與之 相適應(yīng)的 SIS。表 1-3 可以看出，若某工藝過(guò)程的所需 SIF經(jīng)評(píng)定后為 SIL 2， 則配置達(dá)到 AK4 的 SIS 即可，其響應(yīng)失效率 (PFD)為百分之一至千分之一之間。(1) 應(yīng)該注意的是不同安全級(jí)別的 SIS，只能確保響應(yīng)失效率 (PFD) 在一定的范圍 內(nèi)，安全級(jí)別越高的 SIS，其PFD 越小，即發(fā)生事故的可能性越小，但它不能改 變事故造成的后果。 因此，工藝過(guò)程安全完整性等級(jí)的評(píng)定是一項(xiàng)十分重要的工 作。但目前我國(guó)尚無(wú)如何評(píng)定安全完整性等級(jí)的標(biāo)準(zhǔn)和規(guī)范。 國(guó)際、 國(guó)外標(biāo)準(zhǔn)中 提供了某些評(píng)定方法。下面介紹的風(fēng)險(xiǎn)矩陣 (RISK MATRI