燕山(yànshān)石化王立奉安全儀表(yíbiǎo)系統(SIS)第一頁，共76頁。1什么(shénme)是安全儀表系統?第二頁，共76頁。1什么(shénme)是安全儀表系統?在IEC61508中，SIS被稱為安全相關系統（SafetyRelatedSystem）,將被控對象稱為被控設備（EUC）。IEC61511將安全儀表系統SIS定義為用于執行一個或多個安全儀表功能（SafetyInstrumentedSystem）的儀表系統。SIS是由傳感器（如各類開關(kāiguān)、變送器等）、邏輯控制器、以及最終元件（如電磁閥、電動門等）的組合組成。IEC61511又進一步指出，SIS可以包括，也可以不包括軟件。另外，當操作人員的手動操作被視為SIS的有機組成部分時，必須在安全規格書（SafetyRequirementSpecification,SRS)中對人員操作動作的有效性和可靠性做出明確規定，并包括在SIS的績效計算中。從SIS的發展過程看，其控制單元部分經歷了電氣繼電器（Electrical）、電子固態電路（Electronic）和可編程電子系統（ProgrammableElectronicSystem），即E/E/PES三個階段。第三頁，共76頁。圖1SIS的構成(gòuchéng)檢測(jiǎncè)單元輸入(shūrù)模塊控制模塊輸出模塊執行單元PES下圖為由PES構成的SIS第四頁，共76頁。SIS安全儀表(yíbiǎo)系統SIS儀表安包含全控制功能，也可包含儀表安全保護功能，或包含這兩者。需要說明的是，這里所說的儀表控制功能，是指以連續模式(móshì)（ContinuousMode）操作并具有特定的SIL,用于防止危險狀態發生或者減輕其發生的后果，與常規的PID控制功能是完全不同的概念。SIS可以包括或不包括軟件SIS的一部分也可能是人的動作第五頁，共76頁。SIS安全儀表(yíbiǎo)系統如圖2所示，這是一個氣液分離容器A液位控制的安全儀表功能。對這個安全儀表功能完整的描述是：當容器液位開關達到安全聯鎖值時，邏輯運算器（圖3）使電磁閥2斷電，則切斷進調節閥膜頭信號，使調節閥切斷容器A進料，這個動作要在3秒內完成，安全等級必須(bìxū)達到SIL2。這是一個安全儀表功能的完整描述，而所謂的安全儀表系統，則是類似一個或多個這樣的安全儀表功能的集合。第六頁，共76頁。圖2安全儀表(yíbiǎo)回路圖第七頁，共76頁。圖2說明(shuōmíng)L液面超高-L1接點閉合-Z帶電。Z1常閉接點打開，S線圈斷電。S電磁閥切斷，往調節閥膜頭的控制信號調節閥切斷工藝進料，完成聯鎖保護作用。K起：按鈕開關：起動聯鎖保護回路兼有復位作用。K停：起人工強制(qiángzhì)起動聯鎖保護作用。K旁：旁路聯鎖保護作用，用于開車或檢修聯鎖信號儀表。第八頁，共76頁。圖3SIS邏輯圖第九頁，共76頁。SIS安全(ānquán)儀表系統大多石油和化工生產過程具有高溫、高壓、易燃、易爆、有毒等危險。當某些工藝參數超出安全極限，未及時處理或處理不當時，便有可能造成人員傷亡、設備損壞、周邊環境污染等惡性事故。這就是說，從安全的角度出發(chūfā)，石油和化工生產過程自身存在著固有的風險。總之，SIS是一種經專門機構認證，具有一定安全完整性水平，用于降低生產過程風險的儀表安全保護系統。它不僅能響應生產過程因超過安全極限而帶來的風險，而且能檢測和處理自身的故障，從而按預定條件或程序使生產過程處于安全狀態，以確保人員、設備及工廠周邊環境的安全。第十頁，共76頁。SIS安全(ānquán)儀表系統按照SIS的定義，下述系統均屬于安全儀表系統：安全聯鎖系統（SafetyInterlockSystem—SIS）安全關聯系統（SafetyRelatedSystem—SRS）儀表保護(bǎohù)系統（InstrumentProtectiveSystem—IPS）透平壓縮機集成控制系統（IntegratedTurbo&CompressorControlSystem—ITCC）火災及氣體檢測系統（Fireandgassystems—F&G）緊急停車系統（EmergencyShutdownDevice—ESD）燃燒管理系統（BurnerManagementSystem）列車自動防護系統（ATP）第十一頁，共76頁。2SIS的相關標準(biāozhǔn)及認證機構第十二頁，共76頁。SIS的相關(xiāngguān)標準及認證機構鑒于SIS涉及到人員、設備、環境的安全，因此各國均制定(zhìdìng)了相關的標準、規范，使得SIS的設計、制造、使用均有章可循。并有權威的認證機構對產品能達到的安全等級進行確認。這些標準、規范及認證機構主要有：我國石化集團制定(zhìdìng)的行業標準SHB-Z06-1999《石油化工緊急停車及安全聯鎖系統設計導則》。2006年、2007年等同采用IEC61508、IEC61511的中國國家標準GB/T20438、GB/T21109相繼發布，中國的功能安全標準開始規范我國的功能安全工作。第十三頁，共76頁。SIS的相關標準(biāozhǔn)及認證機構國際電工委員會1997年制定的IEC61508/61511標準，對用機電設備（繼電器）、固態電子設備、可編程電子設備（PLC）構成的安全聯鎖系統的硬件、軟件及應用作出了明確規定。美國儀表學會制定的ISA-S84.01-1996《安全儀表系統在過程工業中的應用》。美國化學工程(huàxuéɡōnɡchénɡ)學會制定的AICHE（ccps）-1993，《化學過程的安全自動化導則》。英國健康與安全執行委員會制定的HSEPES-1987，《可編程電子系統在安全領域的應用》。第十四頁，共76頁。SIS的相關(xiāngguān)標準及認證機構德國國家標準中有安全系統制造廠商標準-DINVVDE0801、過程操作用戶標準-DINV19250和DINV19251、燃燒管理系統標準-DINVDE0116等。德國技術監督協會（TüV）是一個獨立的、權威(quánwēi)的認證機構，它按照德國國家標準（DIN），將ESD所達到的安全等級分為AK1～AK8，AK8安全級別最高。其中AK4、AK5、AK6為適用于石油和化學工業取得TUV認證的SIS產品第十五頁，共76頁。SIS的相關(xiāngguān)標準及認證機構在國內石化行業中應用的SIS產品中，經過TUV認證的主要(zhǔyào)有：Tricon、Triden，美國Triconex公司開發用于壓縮機綜合控制（ITCC）和緊急停車系統。安全等級為AK6（SIL3）。FSC（Failsafecontrol），由荷蘭P&F（Pepper&Fuchs）公司開發，1994年被Honeywell公司收購。安全等級可達AK6（SIL3）第十六頁，共76頁。SIS的相關標準及認證(rènzhèng)機構HIMAPES，HIMA是德國一家專業生產安全控制設備的公司，PES(ProgrammableElectronicSystem)是可編程電子系統的簡稱，是近幾年來國內引進較多的一種安全儀表系統。主要由H41q和H51q系統組成(zǔchénɡ)。H41q也叫小系統，它分為不冗余的系統和冗余的系統，不冗余系統型號為H41q—M，冗余系統又分為高可靠系統H41q—H和高性能系統H41q—HR。H51q稱為模塊化的系統，它也分為不冗余的系統和冗余的系統，不冗余的系統型號為H51q—H和高性能系統H51q—HR。各種型號的PES都具有TUVAK1~6級認證。第十七頁，共76頁。SIS的相關(xiāngguān)標準及認證機構Prosafe—RS，是橫河電機安全儀表系統，其特點是與CENTUMCS.3000R3的技術融合(rónghé)，即實現了與DSC的無縫集成。非冗余取量即可實現SIL3，通過冗余取量實現更高的可用性。QUADLOG，由MOORE公司開發，日本橫河電機公司收購后稱prosafeplc，其1oo2D結構安全等級達AK6(SIL3)；SIMATICS7—400F/FH，德國SIEMENS公司產品。400F和400FH分別為1個CPU和2個CPU運行fail-safe（F）用戶程序，均取得TUV認證，安全等級為AK1~AK6（SIL1~SIL3）；第十八頁，共76頁。SIS的相關標準(biāozhǔn)及認證機構RegentTrusted，美國ICS利用宇航技術開發(kāifā)的安全系統。安全等級AK4~AK6（SIL2~SIL3）；GMR90-70，美國GEFanuc公司開發(kāifā)。其中GMR90-70(模塊式冗余容錯)的安全等級為class5（2oo3），class4（1oo2）和class5（2oo2）；TRIGUARDSC300E，AUGUST公司開發(kāifā)，1999年成為ABB集團成員之一，安全等級為class5和class6，系統結構為2oo3；Safeguard400&300，ABBIndustry公司開發(kāifā)，系統結構1oo2D。第十九頁，共76頁。3SIS和DCS的比較(bǐjiào)第二十頁，共76頁。SIS和DCS的比較(bǐjiào)DCS與由PES構成的SIS的主要(zhǔyào)區別有：DCSSIS構成不含檢測、執行含檢測、執行單元作用（功能）使生產過程在正常工況乃至最佳工況下運行超限安全停車工作動態、連續靜態、間斷安全級別低、不需認證高、需認證第二十一頁，共76頁。SIS和DCS的比較(bǐjiào)系統的組成：DCS一般是由人機界面操作站、通信總線及現場控制站組成；而SIS系統是由傳感器、邏輯解算器和最終元件三部分組成。及DCS不含檢測執行部分。實現功能：DCS用于過程連續測量(cèliáng)、常規控制（連續、順序、間歇等）操作控制管理使生產過程在正常情況下運行至最佳工況；而SIS是超越極限安全即將工藝、設備轉至安全狀態。工作狀態：DCS是主動的、動態的，它始終對過程變量連續進行檢測、運算和控制，對生產過程動態控制確保產品質量和產量。而SIS系統是被動的、休眠的。第二十二頁，共76頁。SIS和DCS的比較(bǐjiào)安全級別：DCS安全級別低，不需要安全認證；而SIS系統級別高，需要安全認證。應對失效方式：DCS系統大部分失效都是顯而易見的，其失效會在生產的動態過程中自行顯現(xiǎnxiàn)，很少存在隱性失效；SIS失效就沒那么明顯了，因此確定這種休眠系統是否還能正常工作的唯一方法，就是對該系統進行周期性的診斷或測試。因此安全儀表系統需要人為的進行周期性的離線或在線檢驗測試，而有些安全系統則帶有內部自診斷。第二十三頁，共76頁。4SIS設計(shèjì)應遵循的原則第二十四頁，共76頁。SIS設計(shèjì)應遵循的原則原則上應獨立設置（含檢測和執行(zhíxíng)單元）；中間環節最少；應為故障安全型；采用冗余容錯結構。第二十五頁，共76頁。5故障安全原則(yuánzé)第二十六頁，共76頁。故障安全原則(yuánzé)組成SIS的各環節自身出現故障的概率不可能為零，且供電、供氣中斷亦可能發生。當內部或外部原因使SIS失效時，被保護的對象（裝置）應按預定的順序安全停車，自動轉入安全狀態（FaulttoSafety），這就是故障安全原則。具體體現：現場開關儀表選用常閉接點，工藝正常時，觸點閉合，達到安全極限時觸點斷開，觸發聯鎖動作，必要時采用(cǎiyòng)“二選一”、“二選二”或“三選二”配置。電磁閥采用(cǎiyòng)正常勵磁，聯鎖未動作時，電磁閥線圈帶電，聯鎖動作時斷電。第二十七頁，共76頁。故障安全原則(yuánzé)送往電氣配電室用以開/停電機的接點用中間繼電器隔離，其勵磁電路應為故障安全型。作為控制裝置（如PLC）“故障安全”意味著當其自身出現故障而不是工藝或設備超過(chāoguò)極限工作范圍時，至少應該聯鎖動作，以便按預定的順序安全停車（這對工藝和設備而言是安全的）；進而應通過硬件和軟件的冗余和容錯技術，在過程安全時間（PST-ProcessSafetyTime）內檢測到故障，自動執行糾錯程序，排除故障。第二十八頁，共76頁。6隱故障(gùzhàng)與顯故障(gùzhàng)第二十九頁，共76頁。隱故障(gùzhàng)與顯故障(gùzhàng)隱故障（CovertFault）：不對危險產生報警，允許危險發展的故障，是故障危險故障（SHB-Z06-1999）。CovertFault：Faultthatcanbeclassifiedashidden，concealed，undetected，unrevealed，latent，ect.（ISA-S84.01-1996）顯故障（OvertFault）：能顯示(xiǎnshì)出故障自身存在的故障，是故障安全故障（SHB-Z06-1999）。OvertFault：Faultthatcanbeclassifiedasannounced，detected，revealed，ect.（ISA-S84.01-1996）第三十頁，共76頁。隱故障(gùzhàng)與顯故障(gùzhàng)SIS系統拒動：當工藝條件達到或超過安全極限時，SIS本應引導工藝過程停車，但由于其自身存在隱性故障（危險故障），譬如輸出開關(kāiguān)被誤連短路，而不能響應此要求，即該停車而拒停，降低了安全性。危險失效定義為這樣一些失效，這些失效會阻止SIS系統對潛在的危險工況做出反應。第三十一頁，共76頁。隱故障(gùzhàng)與顯故障(gùzhàng)SIS系統誤動：在圖4中，當輸出開關由于某種原因處于非激勵狀態，即使潛在的危險工況沒有發生，SIS也會進入一種安全失效狀態見圖5，這種情況經常被稱為“誤動”。誤動可能會以許多不同方式發生。例如(lìrú)，輸入電路可能會發生故障，從而使邏輯解算器誤認為是傳感器檢測到了危險工況，而事實上并沒有這種情況發生。邏輯解算器本身也可能出現運算錯誤，并導致輸出回路失電，輸出回路可能出現開路。SIS的許多元件失效均會導致系統進入安全失效狀態。第三十二頁，共76頁。圖4正常運行(yùnxíng)時的正常激勵系統SIS負載(fùzài)壓力(yālì)開關開關量輸入正常運行時開關閉合，非正常運行時開關打開+正常工作時輸出開關處在激勵狀態非正常運行時輸出開關處在失勵狀態輸出開關+第三十三頁，共76頁。圖5SIS負載(fùzài)壓力(yālì)開關開關(kāiguān)量輸入即使壓力開關閉合，由于輸入電路的故障SIS也會誤認為它是打開的+輸出電路發生開路故障邏輯解算器不能讀取1輸入，不能進行正常的邏輯運算，也不能生成邏輯1輸出輸出開關+第三十四頁，共76頁。PFS（安全故障概率）：正常激勵的SIS系統在它的輸出非激勵時，就會處于故障狀態，這有一個概率。稱為安全故障概率（PFS），或稱誤動率。PFD（要求時失效(shīxiào)概率）：這是一個衡量安全性的指標，稱為要求時失效(shīxiào)概率。它意味著系統是危險的。它不會再要求（潛在的緊急條件）發生時產生響應。SIS的功能安全安全儀表系統必須在工業系統出現危險情況時正確執行其對應的安全功能，安全儀表系統的這種特性被稱為功能安全。功能安全實際上講的是SIS系統自身的安全問題。第三十五頁，共76頁。SIS的安全(ānquán)功能如圖6示安全儀表系統，該系統由一個壓力變送器、一個閥門和一個安全PLC組成(zǔchénɡ)的SIS系統。壓力變送器檢測容器內壓力并將其變換成合適的信號傳送給安全PLC，安全PLC判斷若壓力超過了額定值則打開閥門以降低容器內壓力，這被稱為安全系統的一個安全功能。很明顯例子中儀表安全系統只有一個安全功能。如果三個設備有一個或多個失效，安全功能將失效，即它將不能對壓力容器內壓力進行限制。因此安全儀表系統的安全性能由傳感器、邏輯解算器和執行器三部分功能決定。SIS安全功能實際上講的是讓SIS執行什么樣的安全任務，如何保護受控設備。第三十六頁，共76頁。圖6反應器的安全儀表(yíbiǎo)系統

PSLogicsolve邏輯(luójí)解算器feedvalve進料閥Reactor反應器TSFeed進料PressureSensor壓力(yālì)變送器TemperatureSensor溫度變送器當反應器溫度及壓力超高達到危險狀態時都要停車，關斷進料閥。

第三十七頁，共76頁。7安全性及響應(xiǎngyìng)失效率第三十八頁，共76頁。安全性及響應(xiǎngyìng)失效率當工藝條件達到或超過安全極限值時，SIS本應引導工藝過程停車，但由于其自身存在隱故障（危險故障）而不能響應此要求，即該停車而拒停，降低了安全性。衡量安全性的指標為響應失效率或稱要求的故障率（PFD：ProbabilityofFailureonDemand）。它是安全聯鎖系統按要求執行(zhíxíng)指定功能的故障概率。是度量安全聯鎖系統按要求模式工作故障率的目標值（SHB-Z06-1999）。不同的工業過程（如生產規模、原料和產品的種類、工藝和設備的復雜程度等）對安全的要求是不同的。上述的國際標準將其劃分為若干安全完整性等級（SIL：SafetyIntegrityLevel）。第三十九頁，共76頁。安全(ānquán)完整性等級SafetyIntegrityLevel（SIL）安全完整性等級（SIL）是一種離散的等級，用來規定分配給E/E/PE安全相關系統安全功能的安全完整性要求。安全完整性等級可分為4個等級，SIL4是安全完整性最高的等級（平均概率最高），SIL1是最低等級；安全完整性等級越高，應執行所要求的安全功能的概率也越高；根據安全相關系統使用方式，要求發生的頻率可分為低要求操作模式(móshì)（<=1次/年）和高要求或連續操作模式(móshì)（>1次/年）。第四十頁，共76頁。安全(ānquán)完整性等級SafetyIntegrityLevel（SIL）根據GB/T20438標準，在不同的操作(cāozuò)模式下，安全完整性的目標失效概率和目標風險降低見下表1-1和1-2。采用不同的操作(cāozuò)模式結構有可能使用幾個安全完整性等級較低的系統來滿足一個較高安全完整性等級功能的需要（例如：使用一個SIL2和一個SIL1的系統共同來滿足一個SIL3功能的需要）。第四十一頁，共76頁。表1-1安全完整性等級：要求時的失效(shīxiào)概率低要求操作模式（平均失效概率）安全完整性等級（SIL）要求時的目標平均失效概率目標風險降低4≥10-5～<10-4

>10000～≤1000003≥10-4～<10-3

>1000～≤100002≥10-3～<10-2>100～≤10001≥10-2～<10-1>10～≤100第四十二頁，共76頁。表1-2安全完整性等級：SIF的危險失效(shīxiào)概率高要求或連續操作模式（每小時危險失效概率）安全完整性等級（SIL）執行儀表安全功能的目標危險失效概率4≥10-9～<10-8

3≥10-8～<10-7

2≥10-7～<10-6

1≥10-6～<10-5第四十三頁，共76頁。表1-3SIL與PFD的對應(duìyìng)關系ISA-S84.01IEC61508DINV19520(TUV)PFDSIL1SIL1AK110-1~10-2AK2AK3SIL2SIL2AK410-2~10-3SIL3SIL3AK510-3~10-4AK6SIL4AK710-4~10-5AK8第四十四頁，共76頁。8可用性及可用度第四十五頁，共76頁。可用性及可用度工藝(gōngyì)條件并未達到安全極限值，SIS不應引導工藝(gōngyì)過程停車，但由于其自身存在顯故障（安全故障）而導致工藝(gōngyì)過程停車，即不該停車而誤停，降低了可用性。可用度（A：Availability）是指系統可使用工作時間的概率，用百分數計算：（SHB-Z06-1999）MTBF：平均故障(gùzhàng)間隔時間（MeanTimeBetweenFailures）MDT：平均停車時間（MeanDowntime）第四十六頁，共76頁。MTTF、MTTR、MTBF與SIL的關系(guānxì)MTBF：平均故障間隔時間（MeanTimeBetweenFailure）MTTR：平均恢復(huīfù)時間（MeanTimetoRepair）MTTF：平均無故障時間（MeanTimetoFailure）例如：開車(kāichē)MTTF（SIS系統運行總時間）MTTR24h（SIS故障時間）MTBF2000h發生危險故障圖7MTTF、MTTR和MTBF

第四十七頁，共76頁。MTTF、MTTR、MTBF與SIL的關系(guānxì)MTTF=MTTR+MTBFPFD=MTTR/（MTBF+MTTR）已知MTTR=24HMTBF=2000H則PFD=24/(24+2000)=0.0119所以硬件安全完整性等級達到(dádào)SIL1水平。第四十八頁，共76頁。9冗余(rǒnɡyú)和容錯第四十九頁，共76頁。冗余(rǒnɡyú)和容錯冗余（Redundant）：具有指定的獨立的N：1重元件，并且可以自動地檢測故障，切換到后備設備上。（SHB–Z06–1999）冗余系統（RedundantSystem）：并行地使用多個(duōɡè)系統部件，以提供錯誤檢測和錯誤校正能力的系統。（SHB–Z06–1999）。第五十頁，共76頁。冗余(rǒnɡyú)和容錯容錯（FaultTolerant）：具有內部冗余的并行元件和集成邏輯，當硬件或軟件部分故障時，能夠識別故障并使故障旁路，進而繼續(jìxù)執行指定的功能。或在硬件和軟件發生故障的情況下，系統仍具有繼續(jìxù)運行的能力。它往往包括三方面的功能：第一是約束故障，即限制過程或進程的動作，以防止在錯誤被檢測出來之前繼續(jìxù)擴大；第二是檢測故障，即對信息和過程或進程的動作進行動態檢測；第三是故障恢復即更換或修正失效的部件。（SHB–Z06–1999）第五十一頁，共76頁。冗余(rǒnɡyú)和容錯容錯系統（FaultTolerantSystem）：具有容錯結構的硬件與軟件系統。（SHB–Z06–1999）總之，通過(tōngguò)冗余和故障屏蔽的結合來實現容錯。容錯系統一定是冗余系統，冗余系統不一定是容錯系統。容錯系統的冗余形式有雙重、三重、四重等。圖8和圖9、圖10分別表示CPU冗余（雙機熱備）和三重化冗余容錯系統。第五十二頁，共76頁。圖8CPU冗余(rǒnɡyú)（雙機熱備）CPU1CPU2開關輸入/輸出現場(xiànchǎng)設備第五十三頁，共76頁。圖9三重模塊冗余容錯(rónɡcuò)系統輸入輸入輸入CPUCCPUB輸出輸出2oo3表決器輸出CPUA輸入端子輸出端子第五十四頁，共76頁。圖10三重信號冗余(rǒnɡyú)容錯系統第五十五頁，共76頁。怎樣通過冗余來改善系統的整體(zhěngtǐ)SIL水平當一個(yīɡè)SIS系統的安全完整性等級要求為SIL3，而實際配置為傳感器為2.2×10-3(SIL2)，邏輯解算器為1.3×10-4(SIL3)（包括I/O接口），終端執行器為2.41×10-3（SIL2）,所以整個系統為SIL2不滿足要求。于是我們改變傳感器的配置結構，選擇1oo2冗余，其中共因失效=10%，診斷覆蓋率（DC）=90%，可以算出1oo2傳感器的結構的PFD=2.3×10-4，達到SIL3的水平，同理可以配置執行器為1oo2冗余結構，也可達到SIL3的要求，于是最終整體SIS系統的SIL可以達到SIL3的要求。第五十六頁，共76頁。怎樣(zěnyàng)通過冗余來改善系統的整體SIL水平這個問題的解決給我們以啟示，當裝置引進(yǐnjìn)一個SIS系統時，整體安全完整性等級不僅取決于邏輯解算器部分，而且傳感器、終端執行器部分也非常關鍵。配置系統時，除了引進(yǐnjìn)一個SIL3的安全儀表系統，譬如FSC等，還要將傳感器、終端執行器一并討論。算出SIS整體的SIL數據，定量的安全儀表系統配置任務才算完成。第五十七頁，共76頁。冗余表決(biǎojué)方法及其安全性、可用性的關系可用性（A：Availability）是指系統可使用工作時間（連續運行時間）的概率(gàilǜ)，用百分數計算A值越大，可用性越好：A=MTBF/(MTBF+MTTR)而PFD=MTTR/(MTBF+MTTR)PFD越小則安全性越好。冗余邏輯表決方法及安全性-可用性的關系例子如下表所示。第五十八頁，共76頁。表決方法隱故障概率（拒動）顯故障概率（誤動）允許不允許安全性可用性一選一1oo10.02（短路的概率）0.04（開路的概率）存在隱故障和顯故障差差二選一1oo20.0004（兩個均短路的概率）0.08（只要有一個開路的概率）其中之一存在隱故障（仍可安全停車）其中之一存在顯故障（將誤停車）最好最差二選二2oo20.04（只要有一個短路的概率）0.0016（兩個均開路的概率）其中之一存在顯故障（不會誤停車）其中之一存在隱故障（該停拒停）最差最好三選二2oo30.0012（三個中兩個均短路的概率）0.0048（三個中兩個均開路的概率）其中之一存在隱故障或顯故障其中兩個存在隱故障或顯故障較好較好表2冗余邏輯(luójí)的表決方法及其與安全性、可用性的關系注：此表中故障概率(gàilǜ)數據摘自西門子公司資料第五十九頁，共76頁。冗余表決(biǎojué)方法及其安全性、可用性的關系以上可見：隱故障（危險故障）使SIS該動而拒動，隱故障概率越高，安全性越差。顯故障（安全故障）使ESD不該(bùɡāi)動而誤動，顯故障概率越高，可用性越差。1oo2（二選一）安全性最好，但可用性最差；2oo2（二選二）可用性最好，但安全性最差；2oo3（三選二）可兼顧第六十頁，共76頁。10普通PLC和安全(ānquán)PLC的區別第六十一頁，共76頁。普通PLC和安全(ānquán)PLC的區別普通PLC和可以作為ESD控制部分的安全PLC的主要區別是：普通PLC不是按故障安全型設計的，當系統內部元件(yuánjiàn)出現短路故障時，它并不能檢測到，因此其輸出狀態不能保證系統回到預定的安全狀態。這種PLC只能用于安全度等級要求低的場合。現以輸出電路為例予以說明。圖11是普通PLCDO卡示意圖。第六十二頁，共76頁。圖11普通(pǔtōng)PLCDO卡示意圖+24VDC來自CPU的控制信號接負載，如電磁閥0VDC12第六十三頁，共76頁。普通(pǔtōng)PLCDO卡當1、2兩點短路時，來自PLC的控制信號將不起作用（失效），電磁閥將一直處于帶電（勵磁）狀態(zhuàngtài)，即需要聯鎖動作（電磁閥釋電停車）時，由于此故障的存在而拒動，其輸出不能保證處于安全停車狀態(zhuàngtài)。這就是違背了故障安全（FaulttoSafety）的原則。當1、2兩點開路時，將導致誤動作而停車，同樣會帶來損失。可見，這種普通PLC的DO卡輸出電路的安全性和可用性都是不高的。第六十四頁，共76頁。圖12安全性單容錯(rónɡcuò)DO卡示意圖“與”看門狗中央處理器+24VDC狀態信號控制信號狀態信號接負載，如電磁閥0VDC第六十五頁，共76頁。安全性單容錯(rónɡcuò)DO卡圖12所示為一種帶有安全性單容錯的DO卡示意圖（它是HoneywellSMSFSC-101型輸出示意圖）。這里(zhèlǐ)，中央處理器不僅向串聯的場效應管（FET）發出控制信號，而且還接受來自場效應管的狀態反饋信號，以便對其輸出進行全面測試。當測得某管輸出發生短路時，中央處理器即啟動糾錯動作，隔離相關的故障。看門狗（WatchDog）是個多通道的計時器電路。它由中央處理器和內存等周期性地觸發，如果兩個觸發之間的時間小于某設定值或者大于某最大值，則看門狗的輸出將失效。同時看門狗還能監視內部工作電壓，使之在正常的電壓范圍內。第六十六頁，共76頁。普通(pǔtōng)PLC和安全PLC的區別以上僅是DO卡上的差別。作為安全PLC，至少應具備以下幾點：滿足相關安全標準規范要求，且經過權威機構認證，取得了相應安全等級證書；在硬件和軟件上采用冗余、容錯措施，具有完善的測試手段，當檢測到系統故障，特別是危險故障時能使系統回到安全狀態；能進行系統故障報警(bàojǐng)，指示故障原因、故障位置，便于在線維護；能與DCS或其它設備進行通訊。第六十七頁，共76頁。11工藝過程風險的評估(pínɡɡū)及安全度等級的評定第六十八頁，共76頁。工藝過程風險(fēngxiǎn)的評估及安全度等級的評定不同的工藝過程（生產規模、原料和產品的種類、工藝和設備的復雜程度等）對安全的要求是不同的。一個具體的工藝過程，是否需要配置SIS、配置何種等級的SIS，要進行危險及可操作性分析（HAZOP），然后辨識與此分析相應的安全儀表功能（找到一個安全儀表連鎖回路），再根據風險出現的頻率(pínlǜ)和其產生的嚴重后果，找到一個SIL值，在確定了某個安全儀表功能的完整性等級（SIL）之后，再配置與之相適應的SIS。表1-3可以看出，若某工藝過程經評定后為SIL2，則配置達到AK4的SIS即可，其響應失效率（PFD）為百分之一至千分之一之間。第六十九頁，共76頁。工藝過程風險的評估及安全(ānquán)度等級的評定應該注意的是不同安全級別的SIS，只能確保響應失效率（PFD）在一定的范圍內，安全級別越高的SIS，其PFD越小，即發生事故的可能性越小，但它不能改變事故造成的后果。因此，工藝過程安全完整性等級的評定是一項十分重要的工作。但目前我國尚無如何評定安全完整性等級的標準和規范。國際、國外標準中提供