安全仪表系统

1、2021/3/101 一、安全系统概述 荆门石化 侯振林 2021/3/102 什么是什么是FSC系统系统 FSC即故障安全控制系统 (Fail Safe Control) 在过程工业中起联锁保护作用，是在传统PLC基础 上发展起来的。 SMS Safety Management System 安全管理系统机构 Honewell工业自动化和控制公司内部的一个独立业 务机构。 2021/3/103 安全系统的定义安全系统的定义 如果工厂装置中出现事故时不采取任何措施，事故就会扩大 化，导致危险发生。设计安全系统的目的就是对装置的这种 情况作出反应，安全系统必须输出正确信号以阻止危险的发 生或减轻

2、事故的后果。 其它通用名称: l l SIS 安全联锁系统安全联锁系统 l BMS锅炉管理系统锅炉管理系统 l F&G火灾和气体检测系统火灾和气体检测系统 2021/3/104 什么是什么是ESD系统系统 ESD ESD系统：即紧急停车系统系统：即紧急停车系统, ,是指事故由该系是指事故由该系 统首先发现后，按照预定的甚至是固化的统首先发现后，按照预定的甚至是固化的 程序切断装置发程序切断装置发生故障的有关部位，指挥生故障的有关部位，指挥 装置采取安全有效的措施。装置采取安全有效的措施。 2021/3/105 安全系统的产生背景安全系统的产生背景 2021/3/106 重大工业事故次数重大工业

3、事故次数 1959-631969-731979-83 0 5 10 15 20 25 30 35 40 45 1959-631969-731979-83 摘自美国 石油和天然气杂志 1990年8月27日刊 单位:次数 2021/3/107 事故总损失事故总损失 1959-631964-681969-731974-781979-831984-88 0 0.2 0.4 0.6 0.8 1 1.2 1.4 1.6 1959-631964-681969-731974-781979-831984-88 单位单位: :10亿美元亿美元 摘自美国 石油和天然气杂志 1990年8月27日刊 2021/3/10

4、8 安全层次安全层次 各种系统的安全等级不同,ESD系统的安全等级高于DCS系统。 火灾和气体监测火灾和气体监测 紧急停车系统紧急停车系统 报报 警警 过过 程程 控控 制制 生生 产产 过过 程程 消防子系统消防子系统 或 2021/3/109 危险是怎样减少的？ 风险风险 生产过程 内在的风 险 可接受 的风 险 2021/3/1010 ESD与与DCS的区别的区别 DCS ESD 动态控制动态控制 静态监测，保护静态监测，保护 故障自动显示故障自动显示 必须测试潜在故障必须测试潜在故障 维修时间不太关键维修时间不太关键 维修时间非常关键维修时间非常关键 可进行自动可进行自动/手动切换手动

5、切换 不允许离线不允许离线 2021/3/1011 安全系统的技术发展安全系统的技术发展 气气 动动 系系 统统 电磁继电器系统电磁继电器系统 硬连线固态逻辑系统硬连线固态逻辑系统 微微 处处 理理 器器 系系 统统 单通道单通道 双重化双重化 三重化三重化 2 2选选1 1 2 2选选2 2 热备用热备用 容错系统容错系统 2021/3/1012 电磁继电器系统电磁继电器系统 l 单元化结构单元化结构 l 继电器执行系统逻辑继电器执行系统逻辑 l 通过重新接线实现重新编程通过重新接线实现重新编程 优优 点点 n失效失效- -安全型安全型 n初始投入少初始投入少 n可分散布置可分散布置 n抗干

6、扰抗干扰 n适应多种电压适应多种电压 不不 足足 n容易误停车容易误停车 n无故障诊断功能无故障诊断功能 n无串行通信功能无串行通信功能 n无报告文档功能无报告文档功能 n大系统很复杂大系统很复杂 n能耗高能耗高, , 散热多散热多 n平均维修时间长平均维修时间长 n重新编程困难重新编程困难 2021/3/1013 硬连线固态逻辑系统硬连线固态逻辑系统 l 模块化结构模块化结构 l 独立的固态装置执行逻辑独立的固态装置执行逻辑 l 通过重新接线来重新编程通过重新接线来重新编程 优优 点点 n安装密度高安装密度高 n容易分散布置容易分散布置 n低电压、易散热低电压、易散热 n可用串行口通信可用串

7、行口通信 n自诊断功能自诊断功能 不不 足足 n灵活性差灵活性差 n无报告文档无报告文档 n大系统费用高大系统费用高 2021/3/1014 工作机理工作机理 数字 输入 数字 输入 数字 输入 模拟 输 入 模拟 输入 与门 或门 计时输出 传感器传感器 输入模块输入模块 逻辑模块逻辑模块 输出模块输出模块输出输出 输出 输出 2021/3/1015 微处理器系统微处理器系统 l 模块化结构模块化结构 l 微处理器微处理器/ /软件执行逻辑软件执行逻辑 l 通过软件重新编程通过软件重新编程 优优 点点 n灵活性灵活性 n模块化结构模块化结构 n安装密度最高安装密度最高 n测试与自诊断功能测试

8、与自诊断功能 n串行通信串行通信 n有报告文档有报告文档 不不 足足 n基于软件基于软件( (可靠性可靠性/ /保密性保密性) ) n同原因故障同原因故障 n与其它设备的通信与其它设备的通信 n费用费用 注：此处的不足是对一般的注：此处的不足是对一般的 微处理器系统而言。微处理器系统而言。 2021/3/1016 选择何种系统？选择何种系统？ l气动的 l继电器 l固态逻辑 l微处理器 l单重化 l双重化 二选一 二选二 热备份 l三重化 还需考虑： 系统大小、预算、风险、人机界面、通信要求、测试要求，等 等。 2021/3/1017 几种技术的比较几种技术的比较 继电器固态逻辑一般微处理器

9、0 10 20 30 40 50 60 70 80 90 100 继电器固态逻辑一般微处理器 显性故障 隐性故障 故故 障障 率率 2021/3/1018 热备用热备用 的的PLC系统系统 处理器处理器 A 输入输出输入输出 智能开关智能开关 处理器处理器 B 现场装置现场装置 2021/3/1019 什么是容错 当一个或多个元件失效后， 系统按照预定的方式继续运行 的能力。 2021/3/1020 容错系统容错系统 - 基本功能基本功能 当容错系统内发生故障时当容错系统内发生故障时, ,必须能必须能 n 检测故障检测故障 n 指示故障指示故障 n 消除故障的影响消除故障的影响 对系统进行维修

10、时对系统进行维修时, ,必须能必须能 n 明确操作状态明确操作状态 可以通过下述两种方式实现容错可以通过下述两种方式实现容错 n HIFT - - 硬件实现容错硬件实现容错 n S IFT - - 软件实现容错软件实现容错 2021/3/1021 HIFT vs SIFTHIFT vs SIFT HIFT 操作系统更小操作系统更小 HIFT = 40K SIFT =200K SIFT 的操作系统大而的操作系统大而 复杂复杂 2021/3/1022 专家们对于软件的意见 基于软件对可编程电子系统的总基于软件对可编程电子系统的总 体体 影响，影响，TUVTUV总是建议制造商提供总是建议制造商提供

11、尽量可靠的硬件，同时把与安全有尽量可靠的硬件，同时把与安全有 关的关的 软件压缩到最少。软件压缩到最少。 2021/3/1023 单重化系统性能单重化系统性能 A 可能性可能性 显性故障显性故障 隐性故障隐性故障 0.010.02 2021/3/1024 双重化系统性能双重化系统性能 可靠度可靠度 显性故障显性故障 隐性故障隐性故障 A B 二选一表决 0.020.0004 A B 二选二表决0.0001 0.04 2021/3/1025 双重化并联冗余系统双重化并联冗余系统 处理器处理器 A 处理器处理器 B 输出输出 输出输出输入输入 输入输入 2021/3/1026 三重化系统三重化系统

12、 - 基本结构基本结构 处理器处理器 B输出输出输入输入 处理器处理器 A输出输出输入输入 处理器处理器 C输出输出输入输入 2021/3/1027 模块失效模块失效 显性故障显性故障 l 失效-安全型 l 显而易见 l 造成误停车 l 误停车带来经济 损失 隐性故障隐性故障 l 失效-危险型 l 不易察觉 l 潜在的危险极大 l 必须通过测试才能发 现 2021/3/1028 控制系统故障原因控制系统故障原因 功能设计 44% 试开车后的改变 20% 组装设计 15% 操作及维护 15% 安装及试开车 6% 2021/3/1029 安全标准 2021/3/1030 2021/3/1031 D

13、IN V 19250 / VDE V 0801 (Germany) 风险的分类风险的分类 安全系统的要求安全系统的要求 各种国家标准各种国家标准 ISA S84.01 (USA) 1996 安全规则安全规则 安全生命周期安全生命周期 NFPA / UL1998 IEC - 61508 贯穿整个安全生命周期贯穿整个安全生命周期 安全计划与管理安全计划与管理 整体安全水平整体安全水平 系统诊断要求系统诊断要求 系统结构和可靠性图示系统结构和可靠性图示 TUV - 1984 2021/3/1032 IEC 61508 世界的安全伞世界的安全伞 常规故障 设计与运行故障安装与代理故障 操作与维护故障

14、硬件的随机故障 修改故障 2021/3/1033 n设备的安全性 安全设备不足: 如果装置的安全性能在可接受的可接受的范围以外，厂方必须立即增加相应的 安全设备，或及时地采取必要步骤来保证系统安全，否则不允许不允许继续 生产。 质量保证: 对于建造中的新装置和设备，厂方应保证保证所采用的安全设备适合适合于该 装置的生产过程。 2021/3/1034 控制系统和安全保护系统应分开控制系统和安全保护系统应分开 可编程电子系统 (1987)英国健康与安全执行委员会 运作中设备 控制系统 保护系统 2021/3/1035 所有所有4级工业过程应采取分离措施级工业过程应采取分离措施 安全功能-安全关联系

15、统(1995)国际电子技术委员会 (适用于工业安全控制系统应用的一个国际标准) 应尽可能使安全关联功能及非安全关联功能分离。 2021/3/1036 安全系统的传感器、安全逻辑安全系统的传感器、安全逻辑 应与过程控制系统应与过程控制系统 的分离的分离 工业过程中安全系统的应用 (1996)国际测量与控制协会， SP84 安全系统(SIS)的传感器应从基本过程控制系统(BPCS) 的传 感 器中分离出来。 安全逻辑应从基本过程控制系统中分离出来。 过程控制系统和安全系统功能的分离减少了控制和安全 功能 同时故障的可能性，从而了避免由于控制系统中的 疏漏造成 对安全系统功能的影响。 2021/3/

16、1037 过程控制系统和安全系统的传感器、过程控制系统和安全系统的传感器、 执行器、执行器、 逻辑部分、逻辑部分、I/O模块以及机柜等，模块以及机柜等， 都应在物理上和功能都应在物理上和功能 上加以分离上加以分离 化工过程自动化安全指南 (1993)美国化学工程师学会-化学工业过程安全 中心 一般情况下，安全系统的逻辑部分应与基本过程控制系 统中类似部分分 离出来，而且，安全系统的输入传感器 和控制部分也应独立于过程控制 系统中的类似部分。 对于基本过程控制系统和安全系统的传感器、执行器、 逻辑部分、I/O模 块以及机柜等等，都应在物理上和功能 上加以区分（分离）. 2021/3/1038 海

17、上石油海上石油两层完全独立的安全保护系统两层完全独立的安全保护系统 海上石油平台安全系统的分析、设计、安装及 测试(1994第五版)美国石油协会美国石油协会 除了运用于正常操作的控制设备以 外，还应提供两层完全独立的安全保护 系统。 2021/3/1039 安全逻辑系统不应与其它逻辑系统混合安全逻辑系统不应与其它逻辑系统混合 高炉爆炸/爆聚的防护, 1995 国家防火协会8502标准 燃炉管理中，安全逻辑系统不应与其它逻辑系统相结 合 。 2021/3/1040 核工业要求冗余的安全系统在地理上分开核工业要求冗余的安全系统在地理上分开 核电站安全系统标准(1980) IEEE, 603-198

18、0标准标准 美国核工业要求具有冗余的安全系统，它们之间彼此 独立 ，并且在地物理上完全分开。 安全系统的设计应达到如下要求 ，即：其他系统的故障及其造成 的影响并不会妨碍安全系统的功 能和运作。 2021/3/1041 定性分析与选择安全系统定性分析与选择安全系统 n 风险的定义和风险的降低手段风险的定义和风险的降低手段 n 定性分析过程定性分析过程 n 其它定性分析方法其它定性分析方法 - - 叠代法叠代法 n 定性分析的特点和局限性定性分析的特点和局限性 2021/3/1042 风险的定义风险的定义 衡量危害发生的可能性和严重性的尺度。衡量危害发生的可能性和严重性的尺度。 也就是说，危害是

19、否会发生，如果发生，则发生的频也就是说，危害是否会发生，如果发生，则发生的频 繁程度及后果。繁程度及后果。 2021/3/1043 风险的降低风险的降低 工程中工程中 固有的风险固有的风险 风风 险险 允许的风险允许的风险 ESDDCS工程设计工程设计 生生 产产 过过 程程 2021/3/1044 定性分析定性分析: 频率频率 描述词描述词 等等 级级 单单 个个 总总 体体 发生的频率发生的频率 5 5 经常经常 可能经常发生可能经常发生 连续不断连续不断 4 4 可能可能 3 3 偶尔偶尔 2 2 1 1 不可能不可能 在寿命期内将在寿命期内将 发生几次发生几次 在寿命期内在寿命期内 有

20、时会发生有时会发生 极少极少 可能可能 很少会发生很少会发生 不多不多, , 但可能但可能 可认为不会发生可认为不会发生 很少会发生很少会发生 经常发生经常发生 将发生几次将发生几次 2021/3/1045 定性分析定性分析: 严重性严重性 等等 级级 描述词描述词 事故发生后的影响事故发生后的影响 人人 身身 环环 境境 产品或设备产品或设备 5 5 灾难性灾难性 死亡死亡 损失损失$150$150万万 4 4 极严重极严重 伤残伤残 损失仅限于现场损失仅限于现场 损失损失$50-150$50-150万万 3 3 严重严重 医学治疗医学治疗 损失损失$10-50$10-50万万 2 2 轻微

21、轻微 急救治疗急救治疗 1 1 极微极微 无伤亡无伤亡 无危害无危害 损失损失$2500$2500 危害波及危害波及 现场以外现场以外 损失损失$2500-10$2500-10万万 现场危害现场危害 无法立即控制无法立即控制 可立即控制可立即控制 现场危害现场危害 2021/3/1046 定性分析定性分析: 总体风险总体风险 严重性严重性 频率频率 5 4 3 2 1 54321 25 20 15 10 5 20 16 12 8 4 15 12 9 6 3 10 8 6 4 2 5 4 3 2 1 2021/3/1047 定性分析定性分析: 风险级别及相应的安全系统风险级别及相应的安全系统 等

22、级等级 8-188-18 风险的定型风险的定型 风险的等级风险的等级 应选的技术和结构应选的技术和结构 单重化单重化 PLCPLC或继电器或继电器 等级等级19-2519-25 带自测试功能的冗余处理器带自测试功能的冗余处理器 或硬连线的固态逻辑或硬连线的固态逻辑 人工测试的双重化人工测试的双重化 PLCPLC 或硬连线固态系统或硬连线固态系统 高 中 等级等级 1- 71- 7低 2021/3/1048 定性分析：三维示意图定性分析：三维示意图 频频 率率 严重性严重性 其它安全其它安全 层次的影响层次的影响 23 22 3 12 3 2 3 2 2 2 2 2 2 1 2 1 2021/3/1049 定性分析定性分析 - - 叠代法叠代法 W3W2W1 Ca Cb Cc Cd Fa Fb Fa Fb Pa Pb Pa Pa Pa Pb Pb Pb X1 X2 X3 X4 X5 X6 a 1 2 3 4 b a a1 12 2 3 34 Fb Fa a = 无特殊安全需要 b = 单联锁系统不行