-安全仪表系统

1、-安全仪表系统一、概述1、安全仪表系统(SIS)的定义SIS是Safety Instrumented System的简称， 中文的意思是安全仪表系统，它是根据美国仪表学会(ISA)对安全控制系统的定 义而得名的。安全仪表系统(SIS)也称为紧急停车系统(ESD)、安全联锁系统(SIS) 或仪表保护系统(IPS)o简要的说，安全仪表系统(SIS)是指能实现一个或多个 安全功能的系统。安全仪表系统在石油、石油化工等领域已有较多的产品：例如 Honeywell公司的FSC (Fail Safe Control System)故障安全控制系统、德国 HIMA公司的PES (Programmable E

2、lectronic System)可编程电子系统等。安全 仪表系统(SIS)主要包括三大部分：传感器部分、逻辑运算部分和最终执行元件 部分。SIS系统具有高可靠性(Reliability).可用性(Availability)和可维 护性(Maintainability),并且在SIS内部出现故障或外界干扰的情况下是安全 的。2、安全仪表系统(SIS)的分类从SIS发展历史来看，安全仪表系统(SIS) 经历了继电器系统、固态电路系统和可编程电子系统3个阶段。(1)继电器系统A、采用单元化结构，由继电器执行逻辑，通过重新接线来重新编程。B、可靠性髙，具有故障安全特性，电压适用范围宽，一次性投资较低

3、，可分 散于工厂各处，抗干扰能力强。C、系统庞大而复杂，灵活性差，进行功能修改或扩展不方便，无串行通信功 能，无报告和文档功能。易造成误停车，无自诊断能力。用户维修周期长，费用 髙。(2)固态电路系统A、采用模块化结构，采用独立固态器件，通过硬接线来构成系统，实现逻辑 功能。B、结构紧凑，可进行在线测试，易于识别故障，易于更换和维护，可进行串 行通信，可配置成冗余系统。C、灵活性不够，逻辑修改或扩展必须改变系统硬连线，大系统操作费用较髙, 可靠性不如继电器系统。(3)可编程电子系统A、以微处理器技术为基础的PLC,采用模块化结构，通过微处理器和编程软 件来执行逻辑。B、强大、方便灵活的编程能力

4、，有内部自测试和自诊断功能可进行双重化串 行通信，可配置成冗余或三重模块冗余（TMR）系统，可带操作和编程终端，可 带时序事件记录（SER）o3、安全仪表系统（SIS）的特点（1）SIS能够检测潜在的危险故障，具有高安全性，覆盖范围宽的自诊断功能。（2）SIS需符合国际安全标准规定的仪表安全标准，从系统开发阶段开始，要 接受第三方认证机构（TV等）的审查，取得认证资格，系统方可投入实际运行。（3）SIS自诊断覆盖率大，维修时检查的点数非常少。诊断覆盖率是指可在线 诊断出的故障系统全部故障的百分数。（4） SIS由采取冗余逻辑表决方式的输入 单元、逻辑结构单元、输出单元三部分组成系统，逻辑表决的

5、应用程序修改容易， 特别是可编程型SIS,根据工程实际要求，修改软件即可。（5） SIS由局域网、 DCSI/F （人机接口）及开放式网络等组成多种系统。（6） SIS设计特别重视从传感器到最终执行机构所组成的回路整体的安全 性保证，具有I/O断线、短路等的监测功能。二、安全仪表系统（SIS）的组成1、SIS系统的组成分为传感器部分、逻辑运算部分和最终执行器单元三部 分。其结构简图如下：+感测器输入回路MPU输出回路最终元件输入模块控制模 块SIS系统简图一输出模块A、传感器单元采用多台仪表或系统，将控制功能与安全联锁功能隔离，即传 感器分开独立配置的原则，做到安全仪表系统与过程控制系统的实体

6、分离。B、最终执行元件（切断阀、电磁阀）是安全仪表系统中危险性最髙的设备。C、逻辑运算单元由输入模块、控制模块、诊断回路、输岀模块4部分组成。SIS故障有两种：显性故障（安全故障）和隐性故障（危险故障）。显性故障（如 系统短路等），由于故障出现使数据产生变化，通过比较可立即检测出，系统自 动产生矫正作用，进入安全状态，因此显性故障不影响系统安全性，仅影响系统 可用性，故又称为无损害故障（Fail to Nuisance, FTN）。隐性故障（如I/O 短路等），开始不影响到数据，仅能通过自动测试程序方可检测出，它不会使正 常得电的元件失电，因此又称为危险故障（Fa订to Danger, FTD

7、）,系统不能产 生动作进入安全状态。隐性故障影响系统的安全性，隐性故障的检测和处理是 SIS系统的重要內容。安全仪表系统的逻辑单元结构选择见下表：逻辑单元结构 IEC61508 SILTV AKDIN V1952010 0 11AK2, AK31,21。1D2AK43,41。22AK43,41“ 2D3AK5,65,62。 33AK5,65,62。 43AK5.65,62、 SIS与DCS的区别SIS与DCS在石油、石化生产过程中分别起着不同 的作用，如下图所示：灭火子系统环境火灾与燃气系统安全仪表系统（SIS）过 程控制系统（DCS等）生产过程&生产装置的安全层次生产装置从安全角度来讲， 可

8、分为3个层次：第一层为生产过程层，第二层为过程控制层，第三层为安全仪 表系统停车保护层。SIS与DCS的区别见下表：DCSSISDCS用与过程连续测量、 常规控制（连续、顺序、问歇等）、操作控制管理，保证生产装置平稳运行SIS 用与监视生产装置的运行状况，对出现异常工况迅速进行处理，使故障发生的可 能性降到最低，使人和装置处于安全状态DCS是“动态”系统，它始终对过程变 量连续进行检测、运算和控制，对生产过程动态控制，确保产品质量和产量SIS 是静态系统，在正常工况下，它始终监视装置的运行，系统输出不变，对生产过 程不产生影响，在异常工况下，它将按着预先设计的策略进行逻辑运算，使生产 装置安全

9、停车DCS可进行故障自动显示SIS必须测试潜在故障DCS对维修时间的 长短的要求不算苛刻SIS维修时间非常关键，弄不好造成装置全线停车DCS可进 行自动/手动切换SIS永远不允许离线运行，否则生产装置将失去安全保护屏障 DCS系统只做一般联锁、泵的开停、顺序等控制，安全级别要求不象SIS那么髙 SIS与DCS相比，在可靠性、可用性上要求更严格，IEC61508, ISAS84、01强烈推荐SIS与DCS硬件独立设置3、SIS系统的配置方案（l）a型控制系统和联锁系统全部由DCS控制站 完成。过程控制信息由通信网络传给操作站显示报警，操作员的操作指令由操作 站通过通信网络传给控制站执行，这就是控

10、制、联锁一体化型。（2） b型控制 系统信号由一组控制站完成，报警联锁信号由另一组控制站完成。两站信息由通 信网络送到操作站，操作员的指令由操作站经通信网络送达各个控制站执行，就 是控制、联锁站站分开型。（3） c型控制信号由DCS独立执行。联锁信号由PLC 独立执行，PLC由独立的编程器进行软件编写，重要的信息送操作台硬灯显示或 由操作台发岀硬开关动作指令。PLC联锁报警的非重要信号由通信接口送到通信 网络并传到操作站进行显示，部分非重要指令由操作站发出，送PLC执行，就是 DCS+PLC型。(4)d型控制报警信号由DCS系统执行，重要的联锁信号由继电器 系统完成。由硬开关及硬灯组成的操作台

11、进行显示和操作，就是DCS+PLY型。(5) e型控制信号由DCS独立完成，联锁报警信号由三重冗余的紧急联锁控制器ESD 完成。软件编程器独立设置，重要动作及操作指令由独立操作台显示和发出，非 重要信号和指令由通信接口经通信网络送操作站显示和发出，就是DCS+ESD型。 总之SIS原则上应单独设置，独立与DCS和其他系统，并与DCS进行通信；SIS 应具有完善的诊断测试功能，SIS应采用经TV安全认证的PLC系统；SIS关联的 检测元件、执行机构原则上单独设置；SIS中间环节应保持最少；SIS应采用冗 余或容错结构；SIS应设计成故障安全型，1/()模件应带电磁隔离或光电隔离， 每通道应相互隔

12、离，可带电插拔；来自现场的三取二信号应分别接到三个不同的 输入卡，当模拟量输入信号同时用于SIS、DCS时，应先接到SIS的AI卡，采用 SIS系统对变送器进行供电。三、工艺过程的风险评估及安全功能SIS等级的确定1、相关的几个概念：(1)安全度及安全度等级 安全联锁系统在一定条件 和一定时间周期内执行指定安全功能的概率称为安全度。安全联锁系统的安全等 级称为安全度等级，用PED (Probability of Failure on Demand)即危险概率 来定义。(2) SIL及SIL分级SIL是Safety Integrity Level的简称，中文的 意思是综合安全级别也称为安全度等级

13、。它是美国仪表学会(ISA)在S84、01标准中对过程工业中安全仪表系统所作的分类等级，SIL分为1、2、3三级：SIL1级每年故障危险的平均概率为0、100、01之间；SIL2级每年故障危 险的平均概率为0、010,001之间;SIL3级每年故障危险的平均概率为0、001 0、0001之间。SIL等级的确认：1级：装置可能很少发生事故。如发生事故， 不会立即造成环境污染和人员伤亡，经济损失不大。用于本级别的安全仪表系统, 需取得SIL1级和TV2-3级认证，对装置和产品起一般的保护。2级：装置可能 偶尔发生事故。如发生事故，对装置和产品有较大的影响，并有可能造成环境污 染和人员伤亡，经济损失

14、较大。用于本级别的安全仪表系统，需取得SIL2级和 TV4级认证，对装置和产品提供保护。3级：装置可能经常发生事故。如发生事 故，对装置和产品将造成严重的影响，并造成严重的环境污染和人员伤亡，经济 损失严重。用于本级别的安全仪表系统，需取得SIL3级和TV5-6级认证，对装 置和产品提供保护。（3） IEC61508标准IEC61508标准是国际电工委员会（IEC） 对与安全相关的安全控制系统制定的性能安全标准，与ISA的SIL相比，除了覆 盖ISA中的SIL13等级以外，增加了第四级标准，IEC SIL4级标准每年故障 危险的平均概率为0、00010、00001之间。（4） TV标准TV是德

15、国技术监督协 会的缩写。DINV, 19250是TV证书中评定产品的标准。TV标准是德国莱茵认证 机构对工业过程安全控制系统所作的分类等级。TV共分为8级（AK1AK8）,AK2/3 对应于SIL1级，AK4对应于SIL2, AK5/6对应于SIL3级，AK7对应于SIL4级， AK8是目前最高级别的安全标准，故障概率大于万分之一，目前没有与E/E/PES 安全相关的系统能满足要求，ISA和IEC尚未制定相应于AK8的标准。2、DIN V, 19250/ IEC61508标准风险分析图工艺过程的风险是以恶性事 故概率及其造成的后果来衡量的。目标安全水平是以可接受的恶性事故概率及其 造成的后果来

16、确定的。目标安全水平与恶性事故概率之间的差值就是安全功能的 SIL等级，即SIS系统中采用SIL等级的安全功能来使恶性事故概率低于目标安 全水平。DIN V, 19250/ IEC61508标准风险分析图如图所示。3、综合安全级别确定SIL等级现有三种技术来确定：定性风险评估技术， 半定量风险评估技术及定量风险评估技术。安全功能故障率整体安全水平（SIL） 安全功能故障率 SIL4M10-510-4SIL3M10-410-3SIL2N10-310-2SIL1D 10-2- 10-1DIN V, 19250/ IEC61508标准风险分析图中，IEC61508标准安全度 等级SIL与DINV,

17、19250最小抑制风险级别AK （TV标准）的对应关系如下表所 示：IEC61508S ILANS I/ISAS84、 01 SILDIN V, 19250AK Class 说 明 112、3仅对少量的财产和简单的生产和产品进行保护224对大量的财产和复 杂的生产和产品进行保护，也对生产操作人员进行保护335、6对工厂的财产，全体员工的生命和整个社区的安全进行保护4-7避免 灾难性的（例如核事故）会对整个社区形成巨大冲击的事故四、SIS安全仪表系统常用术语1、故障(Failure)针对控制系统的安全而言，故障分为安全故障和严禁 故障。安全故障是指此故障不会引起生产装置灾难性事故，而严禁故障是指

18、故障 一旦发生，会引起装置灾难性后果。下面以紧急停车系统(ESS)为例来说明安 全故障和严禁故障的区别：继电器正常传感器故障(b) ESSESS的通道ESS传感 器继电器传感器正常ESS继电器故障(a)安全故障示意图传感器检测到异常情 况ESS继电器故障(a) ESS继电器正常(b)传感器过程异常传感器没有检测到 严禁故障示意图2、可用性(利用率)(Ava订ab订ity)可用性是指系统可以使用时间的概 率，用字母A表示。其表达式为：A二平均工作时间(MTTF)/(平均工作时间(MTTF) +平均修复时间(MTTR)下表以ESS为例，说明系统的可用性(利用率)情况： ESS状况装置状况1ESS正

19、常装置运行正常2ESS出现安全故障装置停车3 ESS 出现严禁故障装置继续运行在第1种情况下，ESS与装置两者都处于可用状态。 在第2种情况下，ESS与装置两者都处于不可用状态。在第3种情况下，ESS处 于不可使用状态，而装置继续运行，但处于危险的可使用状态。分析上表可知： 追求髙的可用性，其安全风险大，追求高的安全性，则可用性就要降低。3、可靠性(Reliability) (1)可靠性是指系统在规定的时间间隔内发生 故障的概率，用字母R表示。具体来讲，可靠性指的是安全联锁系统在故障危险 模式下，对随机硬件或软件故障的安全度。(2)可靠性计算是根据故障(失效) 模式来确定的。(3)故障模式有显

20、性故障模式(失效-安全型模式)和隐性故障 模式(失效-危险型模式)两种。显性故障模式表现为系统误动作，可靠性取决 于系统硬件所包含的元器件总数，一般由MTBF表示。隐性故障模式表现为系统 拒动作，可靠性取决于系统的拒动作率(PFD), 一般表示为：R=1-PFD4、牢固性(Integrity)可靠性与牢固性在意义上极为相似，很难加以区 分。IEC和SP4对安全性(Safety Integrity)的定义：在规定时问和条件下， PES完成安全功能的可靠性。IEC (WG10)：硬件牢固性(Hardware Integrity)： 是系统安全性的组成部分，它指在危险方式下硬件的随机故障。英国的PE

21、S：安 全性(Safety Integrity)：安全系统在规定的条件丁或者需要它去执行的要求 下，按人们的要求完成功能时所表现的特性。从可靠性、牢固性定义中可以看出, 牢固性这个术语用在安全保护系统中，而可靠性的适用范围则相对广泛。5、冗余及冗余系统冗余(Redundant)指为实现同一功能，使用多个相同 功能的模块或部件并联。冗余也可定义为指定的独立的N： 1重元件，且可自动 地检测故障，并切换到备用设备上。冗余系统(Redundant System)指并行使用多个系统部件，并具有逻辑结构 单元执行器m次n次k次安全仪表系统的冗余组成传感器故障检测和校正功能的 系统称为冗余系统。安全仪表系

22、统的冗余包括两部分：逻辑单元本身的冗余；传感器和执行器的 冗余。针对不同的场合，冗余的次数及实现冗余的软逻辑不同。6、冗余逻辑表决方式(1)表决(Voting)：指冗余系统中用多数原则将每个支路的数据进行比较和修 正，从而最后确定结论的一种机理。(2)几种冗余逻辑表决方式loolD (1 out oflD) 1 取 1 带诊断 loo2 (1 out of 2) 2 取 lloo2D (1 out of 2D) 2 取 1 带诊 断 2oo3 (2 out of3) 3 取 22oo4d (2 out of4) 4 取 2 带诊断 a、二选一表决逻 辑(loo2)ANDAB正常状态下，A、B状

23、态为1,只要A、B任一信号为0,发生故障，表决器就命令执行器执行相应的动作。适用 于安全性较高的场合。b、二选二表决逻辑(2oo2)ORAB正常状态下，A、B状态为1,只有当A、B信号同时发生故障为0时，表决器就命令执行器执行相应的动作。适 用于安全性要求一般而可用性较高的场合。其特点是：可以有效防止安全故障的 发生，但系统有可能造成严禁故障的发生。c、三选一表决逻辑(loo3) ABCAND 正常状态下，A、B、C状态为1,只有当A、B、C任一信号发生故障为0时，表决器就命令执行器执行相应的动作。适 用于安全性很髙的场合，而不顾及其它情况。其特点是：它最有效的防止了严禁 故障的发生，比1。2方式更严格，但增加了安全故障发生的机会。它的安全故 障发生率是单一系统的3倍。d、三选二表决逻辑（2oo3） ABACBCORANDANDAND 正常状态下，A、B、C状态为1,只有当A、B、C任两个组合信号同时为0发生故障时，表决器就命令执行器执行相应的 动作。适用于安全性、使用性高的场合。其特点是：它克服了二重化系统不辨真 伪的缺陷，其可用性和安全性保持在合理的水平。7、冗错、冗错技术及冗错系统（1）冗错（Fault Tolerant）是指功能模 块在出现故障或错误时，可以继续执行特定功能的能力。进一步讲冗错是指对失 效的控制系统元件（包括软件和硬件）进行识别和补偿，并能