SIS基本知识及选型参考

SIS基本知识和选型参考1、SIS基本知识311 SIS定义312 SIS由来313 SIS应用领域314 SIS基本构成42、SIS产品的标准和认证421 主要标准422 SIS产品的认证53、SIS产品的市场状况631 SIS产品种类632中控集成SIS产品633 SIS应用类型74、SIS产品的设计和选用741 SIS产品的设计和选用原则742 中控SIS系统目标客户定位及产品介绍8421 GE 90-70 GMR 三重化冗余系统8422 GE SafetyNet12423 HIMA H41q/H51q1343 GE 90-70 GMR SIS一个实例151、SIS基本知识11 SIS定义SIS系统(Safety Instrumented System)，是对石油化工、电力等行业生产装置可能发生的危险或不采取措施将继续恶化的状态进行及时响应和保护，使生产装置进入一个预定义的安全停车工况，从而使危险降低到可以接受的最低程度，以保证人员、设备、生产装置和环境的安全。它是一种安全仪表联锁系统，根据不同标准和应用场合，有时也称为：紧急停车系统（Emergency Shutdown）12 SIS由来 生产装置规模的日趋扩大 高温、高压、易燃、易爆等连续性生产装置本身的危险 大型机组、机械等重要设备的保护 对安全和环境的要求越来越高若发生事故将会造成人员、财产、环境等方面的重大损失和影响！因此越来越多的场合需要采用SIS系统。13 SIS应用领域SIS主要保护对象为人身、设备、财产和环境的安全，因此适用于能造成以上各项损害的场合，主要有： 石油液化气开采（平台）、油气输送和储存 石油化工装置 化工装置 电力、锅炉、核电 交通、冶金、环保、汽车制造 大型机械、旋转设备 各行业使用SIS的常见装置有：油气及炼油装置：催化裂化、加氢精制、加氢裂化、催化重整、丙烷脱沥青、硫磺回收、罐区消防和火灾报警、变压吸附、制氢、火焰与气体检测、油气输送及存储、油气开采平台等等 石化装置：乙烯裂解、聚丙烯、高压聚乙烯、聚氯乙烯、苯乙烯、聚苯乙烯、丙烯腈、芳烃、环己酮、PTA、丁二烯等等石化深加工装置化工装置：造气、合成氨、农药、磷肥、涂料、乙炔、乙酰、醋酸等锅炉电力：锅炉燃烧、汽机停机系统、核电其它：冶金、交通、汽车制造、建材、环保、造纸、大型机械、旋转设备等领域14 SIS基本构成一般典型的SIS系统主要包括检测部分、逻辑控制单元和最终执行部分，再配合相应的软件组成。通常与基本过程控制系统（比如DCS系统）有通讯要求，共同组成生产装置的过程仪表控制系统。2、SIS产品的标准和认证21 主要标准SIS产品所遵从的国际标准主要有： 国际电工委员会IEC61508标准 电气 / 电子 / 可编程电子安全相关系统的功能安全 1997其中规定将过程安全所需要的安全等级划分为4级（SIL1SIL4）； 美国仪表学会ISA-S84.01标准 流程工业安全仪表系统的应用 1998称安全系统为安全仪表系统(Safety Instrument System, SIS)， ISAS84.01与IEC61508类似，根据系统不响应安全联锁要求的概率（即失效率PFD）将安全等级划分为3级（SIL1-SIL3），认为IEC61508定义的SIL4不存在于过程工业中； 德国标准化委员会DIN(Deutsches Institut fr Normung) V19250及 DIN V VDE0804根据估计危险的损害程度、危险区域内人员存在的可能性、短时间内防止危险发生的可能性及出现危险事故的可能性等四个风险参数将过程风险定义为8级（AK1AK8）； 欧洲机器安全标准EN 954-1危险等级分为B，1，2，3，4五个等级，针对安全控制系统，按照对故障的承受能力和出现故障后安全功能的作用，对应于危险等级的五个等级，机器设备的控制系统中安全控制部分也可分为以上五个等级危险等级依次增高，等级4为最高的危险等级。 等国内目前正在依据IEC61508制订国家标准，即将颁布。除此之外，一些行业有相关的ESD标准： 石化行业有相关的设计导则：石油化工紧急停车及安全联锁系统设计导则（SHB-Z06- 1999），采用IEC的SIL概念； 中国石化集团公司工程建设管理部有：石油化工安全仪表系统设计规范（SH/T3018-2003）；国家发展改革委批准石油化工安全仪表系统设计规范 SH/T3018-2003，自2004年7月1日起实施。 化工行业HG/T 20511-2000标准，在化工自控设计中规定，将安全等级确定为1级、2级和3级。它们基本都将工业过程等对象依据危险性高低划分为若干个安全度等级，实际使用中选用相应安全度等级的SIS系统来加以保护，保护的对象主要为人、设备、财产、环境等的安全。依据IEC标准由低到高划分为SIL1SIL4，ISA S84.01标准划分为SIL1SIL3三级，认为SIL4级不存在于过程控制中，DIN V VDE0804标准由低到高划分为AK1AK8，它们之间的对应关系为：安全度等级对比表DIN V VDE0804AK1AK2AK3AK4AK5AK6AK7AK8IEC 61508SIL1SIL1SIL1SIL2SIL3SIL3SIL4SIL4ISA S84.01SIL1SIL1SIL1SIL2SIL3SIL3数值越大，SIS系统的安全性能要求越高，具体指标见下表。安全等级SIL1234性能要求平均失效度10E-110E-210E-210E-310E-310E-410E-410E-6可用度0.9-0.990.99-0.9990.999-0.99990.9999-0.99999一般用到SIS的锅炉、石化、化工装置为AK4AK6（SIL2SIL3）等级，AK7AK8（SIL4）用于核电等特殊场合。22 SIS产品的认证涉及产品安全认证，主要有CB、CCC、UL、FCC、CSA、TV及北欧四国认证等，目前针对SIS产品，使用最多并得到广泛认可的是TV-GS认证，GS的参考标准是VDE和DIN(德国标准协会)标准，如果产品具有GS标志，代表该产品符合最新的欧洲和德国标准。GS的含义是德语“Geprufte Sicherheit”(安全性已认证)，也有Germany Safety （德国安全）的意思。 德国莱茵公司技术监督公司(TV)是德国最大的产品安全及质量认证机构，在欧洲久享盛誉。设有该机构分公司的国家和地区可以方便地申请GS标志及其它国家的安全认证。目前市场上SIS产品也以通过TV认证居多，通过认证的每种产品都有达到AK1AK8安全等级的具体说明，用户可根据过程的具体需要配置相应等级的SIS产品。标志及证书如下所示：3、SIS产品的市场状况31 SIS产品种类目前市场上使用较多的SIS产品主要有： Triconex公司的TRICON系统； Honeywell公司的FSC系统； HIMA公司的H41q 和H51q系统； GE 公司的S90-70 GMR系统； GE SafetyNet; Siemens公司的S7-400FH系统； Moore公司的QUADLOG系统； Woodward公司的Micro Net TMR系统； ICS Triplex公司的Regent系统、Trusted系统；32 中控集成的SIS产品 GE 90-70 GMR系统；（三重化） GE SafetyNet 系统；（SIL2） HIMA H51q和H41q系统；（四重化）33 SIS应用类型目前市场上SIS应用大致有下列几种类型：l 使用继电器搭建或专用仪表在投运较早的老装置中，使用较为普遍。一般设置辅助操作面板，其中有重要的工艺参数指示和报警、手动停车及复位、投运按钮等部分，而对于大型机组等设备运行状况和保护，也引入主控制室显示和报警，停车保护则一般采用设备自带的特殊仪表系统来完成。l 经过认证的SIS系统市场上的主流SIS产品都属于经过认证的SIS产品，随着人们对安全认识水平的提高和产品技术的发展，经过认证的SIS越来越成为新建装置中安全保护仪表系统的首选。对于目前使用越来越多的SIS系统，基本都符合IEC61508标准并可达到和获得TV AK1AK6/IEC SIL1SIL3等级认证，主要有以下三种主流CPU结构： 冗余容错完全自诊断结构，即1002D结构（诊断率99.99）； 三重化表决部分自诊断结构，即2003D结构（TMR 诊断率70）； CPU四重化冗余容错完全自诊断结构，即2004D结构（QMR 诊断率99.99）；对于这三种不同的结构，安全系统的性能是不同的。对于第一种1002D的结构，当第一个CPU被诊断出故障时，该CPU被切除，另一个CPU继续工作。若要应用在AK6安全等级，根据AK6的要求，如果第一个CPU不能在其被诊断出故障后1小时内修复，系统会在1小时后自动停车以保证故障安全。对于第二种结构，如美国GE公司的90-70 GMR系统就是采用TMR技术，它虽然通过了TV SIL3/AK6的等级认证，而其引以为荣的CPU和I/O卡件完全三重化冗余故障容错设计，事实上是基于高度稳定的硬件基础上的。对于第三种结构，如德国HIMA公司的PES，四个CPU分成两对，既同时工作又相互独立。当其中一个CPU被诊断出故障时，则该对CPU被切除，所剩一对CPU继续以1002D的模式工作。这对独立工作的CPU仍满足安全等级 SIL3/AK6的要求。只有当这对CPU其中再有一个故障时，系统才考虑停车。所以，此结构对于故障修复时间没有限制。可见，2004D结构的系统更为可靠。目前HIMA公司、Triconex公司的系统在国内占有较大的市场份额，是主流SIS系统厂家代表，GE 、Honeywell、CCC公司的产品则在石化、化工行业表现不错。 4、SIS产品的设计和选用41 SIS产品的设计和选用原则依据中国石化石油化工紧急停车及安全联锁系统设计导则（SHB-Z06- 1999），简要介绍一下SIS系统的设计和选用原则： 独立设置原则：一般情况下，SIS应独立于过程控制系统，其检测元件、执行元件和逻辑运算器及通讯部分都应单独设置。对于不能单独设置的SIS系统要确保SIS作用优先于过程控制系统。 选择采用技术的原则：可采用电气、电子或可编程电子技术，也可以采用由它们组合的混合技术。 结构选用原则：冗余结构既适用于软件又适用于硬件，可选用一选一、二选一、三选二等结构，同时要考虑是励磁停车还是非励磁停车。 故障安全型原则：SIS系统应是故障安全型的，即在系统故障时应保证过程是安全或趋于安全的状态。 中间环节最少原则：SIS的中间环节应是最少的。42 中控SIS系统目标客户定位及产品介绍目标客户定位见下图：目标客户客户描述系统名称目标客户1中小型私有/国有石化企业；点数较少（单套200点以内）；SIS系统需达到SIL2或TUV4认证。1、推荐GE SafetyNet或GE 9070 GMR系统2、HIMA H41q(用户指定)目标客户2大型私有/国有石化企业；相对点数较多（单套600点以内）SIS系统需达到SIL3或TUV6认证。1、推荐GE 9070 GMR系统2、HIMA H51q(用户指定)421 GE 90-70 GMR 三重化冗余系统 GE 90-70 GMR（Genius Modular Redundancy）安全表决系统包括GMR单重化系统（1oo1D）、GMR双重化系统（1oo2D&2oo2D）、GMR三重化系统（2oo3）等。GE 90-70 GMR三重化冗余系统是具有国际先进水平的的三重化表决系统，它可以提供从输入到CPU控制器以及输出的各种组合，也就是说，可以根据不同的工艺要求将不同的参数按不同的配置进行处理。（1）安全功能实现的主要原理GMR三重化冗余系统最重要的特点是其具有消除任何故障的特有能力。基于三个独立的PLC和广泛的诊断系统，GMR三重化冗余系统通过3选2的表决来提供高可靠性和无误差的操作。另外，GMR物理上无耦合设计和分离式结构电路保护可以从本质上消除相同模式故障的潜在可能性。 下图是其安全功能实现的主要原理。（2）GMR系统组成GMR系统由如下几部分组成:输入子系统(收集来自于多个或单个传感器的数据)、多个PLC子系统(运行相同的应用程序)和输出子系统(控制公共输出负载)。模块和PLC 间及各PLC间的通讯由Genius 冗余总线提供。为满足宽领域关键控制的需要，各子系统可设计为由冗余的和非冗余的开关模拟设备恰当的混合而成。如上图所示，CPU和输入模块可按单重化、双重化、三重化配置，输出可以按单模块、I型、T型、H型配置。（3）GE 90-70 GMR系统特点90-70 GMR表决系统的特点：l 容错功能（Fault Tolerant） l 失败安全（Fail Safe） l 高等级自检及诊断检测l 支持中央控制和分布控制系统l 应用灵活性，可组态逐点冗余使之可以根据指定的应用要求配置自己的硬件系统。Genius I/O加速系统的开车进程，不须长距离拉线。l 消除保险，减低了平均修复时间（MTTR） l 故障识别到点级，进一步降低了平均修复时间（MTTR）l GMR是一个高可靠性和高可用性的系统。l 基于20ms的扫描时间。l 支持三选二、二选二、二选一以及单机系统配置。（4）GE 90-70 GMR表决系统配置：9070 GMR控制器是由9070 PLC CPU(CPU788、CPU789和CPM790)以及相关的电源、机架、通讯等模块构成。如果系统配置是双重化或三重化的，所选用CPU必须是相同型号。每一个CPU需要13个总线控制器。l GMR CPU： IC697CPU788 (80386DX,512KMEM,325点I/O) IC697CPU789 (80386DX,512KMEM,12KI/O)IC697CPU790 (80486DX2,1M MEM,12K I/O) l CPU内存（788/789）：IC697MEM735l 90-70总线控制器：IC697BEM731 (90-70系列Genius总线控制模块) IC697CMM692 (90-70系列以太网总线控制模块)l 电源：IC697PWR711（AC120V/240V, DC125V, 100W）IC697PWR724（DC24V/48V, 90W）l 机架：IC697CHS750 （5槽，后板面安装） IC697CHS751 （5槽，前板面安装）IC697CHS790 （9槽，后板面安装） IC697CHS791 （9槽，前板面安装）l GMR软件：IC641SWP745l 编程软件：IC640HWP706GMR系统支持Genius模块、Field control I/O和VersaMax I/O各类子系统。下面列出部分Genius I/O模块：IC660BBD020：24/48VDC Source I/O模块16路IC660BBD021：24/48VDC Sink I/O模块16路IC660BBD022：24VDC Source I/O模块16路IC660BBD023：24VDC Sink I/O模块16路IC660BBD024：12/24VDC Source I/O模块32路IC660BBD025：5/12/24VDC Sink I/O模块32路IC660BBD101：115VAC 低漏电 I/O模块8路IC660BBD110：115VAC 输入模块16路IC660BBR100：16路常闭继电器输出模块IC660BBR101：16路常开继电器输出模块IC660BBA020：24/48VDC 4模拟输入/2模拟输出IC660BBA024：24/48VDC 4电流模拟输入/2模拟输出IC660BBA025：24/48VDC 6模拟电流源输出IC660BBA026：24/48VDC 6模拟电流源输入IC660BBA021：24/48VDC 6通道RTD输入IC660BBA023：24/48VDC 6通道热电偶输入上位机软件采用CIMPLICITY HMI ，它是一个功能强大的，易于使用的监督和控制软件。具有 GE Fanuc 广泛的经验，真正的客户 / 服务器体系结构，基于 Microsoft Windows NT（2000）环境的多任务，多用户操作系统。422 GE SafetyNet Proficy SafetyNet 是 GE Fanuc 智能平台目前提供的主要技术之一，是一种经济、高效的功能安全系统，能够满足当今紧急停车、火气和锅炉管理等方面的安全要求。Proficy SafetyNet 已通过德国莱茵技术监督协会（TV Rheinland）认证，适用于SIL 2 安全功能。该技术融入了最新的设计工艺，符合 IEC 61508 和 IEC 61511 标准的要求。SafetyNet关键特性： 可用性更高SafetyNet 具有冗余控制器、电源和网络，提高了 SIL 2 安全系统的可用性，并可降低误停车概率。 经过安全认证的点对点通信SafetyNet P2P 是功能强大且安全的通信协议，满足输入输出位于不同节点时的SIL 2安全功能要求。 HART 性能智能 HART 现场仪表，实现了新的控制和安全策略以及维护方式，SafetyNet能提供所有这些强大的功能。 常开和常闭SafetyNet 数字量输出通道经过认证，能用于常开和常闭应用，并且每个通道都能进行单独配置。 安全手册SafetyNet 安全手册简单明了，正如用户所期待的一样。 快速应用程序开发通过使用结构文本（ST）、梯形图（LD）、功能块图（FBD）等编程语言，SafetyNet Workbench 能够开发 SIL 2 安全应用程序。 安全和访问控制SafetyNet 安全措施包括有密码保护的用户帐户，为授权计算机创建的受信任主机列表（Trusted Host Table），关键切换位号(Key Switch Tag)可以锁定或允许改变和强制功能，同时还有利用控制器密码防止未授权的访问。 确认和验证软件SafetyNet Workbench 配备的工具能够对应用程序的改动进行测试和监控。 SafetyNet 逻辑静态分析工具该静态分析工具对控制策略中的结构性错误进行检测，尽量减少应用程序问题，降低出错风险，缩短软件开发时间。 SafetyNet 逻辑比较工具Workbench 中的比较工具能够用于比较新的控制策略和之前的策略，从而大大减少检查工作和安全应用测试。 控制器更改控制日志Workbench 保留一份更改控制日志，记录了对 SafetyNet 控制器和模块作出的所有改动。 维护超弛功能SafetyNet 的维护超弛功能能够暂时停止安全功能的正常操作，以便进行维护，也能够迫使系统关闭，或者在关闭系统后使其重启。系统硬件结构见下图：423 HIMA H41q/H51q HIMA公司的H41q和H51q系统做简要介绍并说明具体配置：1998年HIMA公司推出了CPU四重化结构（QMR）的安全控制系统H41q 和H51q，使安全控制技术又有了重大性突破，首次实现了安全控制系统无故障修复时间限制，该技术是目前世界上安全控制领域中最为先进和可靠的。H41q和H51q为CPU四重化结构（QMR），即系统的中央单元共有4个微处理器，每两个微处理器集成在一块CU模件上，再由两块同样的CU模件构成中央控制单元。一块CU模件已经构成1oo2D结构，而HIMA的1oo2D结构产品就可以满足AK6/SIL3的安全标准。采用双1oo2D结构，即2oo4D结构的目的是为用户提供最大的实用性（可用性），其容错功能使系统中任何一个部件发生故障，均不影响系统的正常运行。系统的基本扫描周期为5ms（非冗余结构）/25 ms（冗余结构），SOE分辨率为ms级，系统的SOE功能可对系统本身的故障或导致联锁停车的各种事件进行记录。HIMA PES(Programmable Electronic System)主要由H41q 和H51q系列组成，两个系列均基于相同的硬件和软件，可以处理所有的数字和模拟量输入输出信号。H41q系列是一个紧凑型系统，它的所有的部件，例如中央单元、接口、通讯模块、配电系统以及输入输出模块均安放在一个5单元高的19英寸机架上。H41q系列工作系统所需的部件列于下表中：系统H41q-MSH41q-HSH41q-HRS要求等级AK1-6AK1-6AK1-6CU（中央模件）数量型号1xF8652E2xF8652E2xF8652ECM(协处理器）数量型号1xF8621A(2x)1xF8621A(2x)1xF8621ACoM数量型号（快速以太网）1xF8627(2x)1xF8627(2x)1xF8627CoM数量型号（profibus-DP）1xF8626(2x)1xF8626(2x)1xF8626电源数量型号2xF7130A2xF7130A2xF7130AI/O总线数量112最大的I/O模件数131376组件编号B4235B4237-1B4237-2H51q系列采用标准模块化结构，由一个中央机架（每个5单元高，容纳了中央单元、接口、通讯模块、监视和电源）和最多16个相应的输入输出子机架（每个4单元高）构成。H51q系列工作系统所需的部件列于下表中：系统H51q-MSH51q-HSH51q-HRS要求等级AK1-6AK1-6AK1-6CU（中央模件）数量型号1xF8650E2xF8650E2xF8650ECM(协处理器）数量型号3xF8621A(2x)3xF8621A(2x)3xF8621ACoM数量型号（快速以太网）5xF8627(2x)5xF8627(2x)5xF8627CoM数量型号（profibus-DP）5xF8626(2x)5xF8626(2x)5xF8626电源数量型号2x（3