SIEMENS ESD系统交流文件

SIEMEN故障安全技术实现过程安全风险是指危害性事件发生的可能性和有可能造成的后果,例如:

可能发生的频率和结果如何?风险会影响到:

人员

环境

设备和财产

商业影响

保险信誉

公司形象为什么需要功能性安全?

…降低风险ESDIntroduction为了最大限度地保护生产装置和人身安全，避免恶性事故的发生，减少损失，需要提供一种高度可靠的安全保护手段，这种手段就是安全系统。安全系统有时又称为紧急停车系统(EmergencyShutDownsystem,ESD)。

安全系统在开车、停车、出现工艺扰动以及正常维护操作期间对生产装置提供安全保护。一旦当工厂装置本身出现危险，或由于人为原因而导致危险时，系统立即做出反应并输出正确信号，使装置安全停车，以阻止危险的发生或事故的扩散。

对于一个理想的安全系统来讲，它应该具有高的可靠性(Reliability)、可用性(Availability)和可维护性(Maintainability)，并且在出现内部故障或外界干扰的情况下是安全的

停车级报警操作员干预过程控制层(DCS)安全仪表系统(自动)基本过程控制系统安全释放阀,防爆膜防火墙主动保护层被动保护层紧急响应层工厂紧急响应安全层(SIS)过程值过程报警正常控制过程控制层(DCS)紧急停车(ESD)工艺停车为什么需要功能性安全?

…防止和减轻风险多级保护层火灾和气体监测紧急停车系统报警过程控制生产过程消防子系统或各种系统的安全等级不同,ESD系统的安全等级高于DCS系统。工艺过程基本过程控制关键报警,操作员干预安全仪表系统物理保护(释放设备)物理保护(放火放爆墙)工厂紧急响应社会紧急响应多级保护层安全系统的分类和发展

根据构成的硬件来划分，安全系统可分为继电器型、硬接线固态电路型和可编程电子型(PES)3种类型。

(1)继电器型系统

系统采用单元化结构，通过继电器来执行逻辑。此种系统的使用已有很多年了，并且目前仍在一些场合中使用。其优点在于可靠性很高，具有高达98%的固有故障安全特性；不受绝大多数干扰的影响；电压适用范围宽；系统的一次投资费用较低。然而，继电器型系统的体积大，灵活性差，在规模较大系统中表现得尤为明显。在需要进行功能修改或添加时，必须改变系统的连线，很不方便。此外，这种系统既无串行通信功能，也无报告和文档功能。

安全系统的分类和发展(2)硬接线固态电路型系统

系统多为模块化结构，采用独立的固态器件通过硬接线来构成系统，实现要求的逻辑功能。它的结构紧凑；可对系统中包括输入/输出(I/O)在内的所有运行通道进行在线测试，易于识别故障；可进行串行通信；易于更换，便于维修；可配置成冗余系统，改善系统性能，增强系统容错性。但固态系统的灵活性不够，任何逻辑修改和/或添加必须改变系统的连线；大系统的操作费用也较高；同时硬接线固态系统的可靠性不如继电器型系统。安全系统的分类和发展(3)可编程电子型系统

系统以微处理器技术为基础,系统一般采用模块化结构，通过微处理器和软件来执行逻辑任务。它采用专门的软件和微程序固件，具有强大的、方便灵活的编程能力。系统设计有内部自测试和自诊断功能，可以与工厂通信网络集成为一体构成综合控制系统。系统可包含彩色视频显示、数据记录、合成语音等功能。可编程电子型系统是目前应用最广泛的一种安全系统。

在多年的应用实践中，随着技术的不断进步、发展和完善，对安全系统硬件的要求不断提高，从继电器、硬接线固态逻辑电路和通用PLC逐步演化转变为“安全认证”系统。所谓的“安全认证”系统是一个专为安全应用场合设计、在硬件上采用各种安全处理措施、具有完善的诊断测试手段，并取得有关安全权威机构的安全证书的系统。

安全系统的分类和发展一般来讲，不能选用普通PLC作为安全系统的硬件，这是因为当它失效时，其输出不能保证是处于定义的安全状态。安全系统采用的是具有特殊结构型式和特殊处理方式的PLC，又称为安全PLC。

设计和实施15%

安装和试车6%操作和维护15%投运后修改20%

规范44%为什么产生功能性安全的国际标准标准?控制系统故障的初步原因源于HSE的34个事故调查安全管理技术要求人员能力故障原因规范设计和执行安装和试车操作和维护投运后修改安全周期功能性安全的策略DINVVDE0801DINV19250ISAS84HSEPESEWICSIEC61508国际功能性安全标准IEC61508应用于各行业IEC61511应用于过程工业国际功能性安全标准第一章:通用性要求第二章:电气/电子/可编程电子安全系统[E/E/PES]要求第三章:软件要求第四章:缩写和定义第五章:定义安全等级方法的示例第六章:第二和第三章的应用指导第七章:技术和方法综述IEC61508:E/E/PES的功能性安全IEC61508标准安全等级SIL4SIL3SIL2SIL1故障率(PFD)

每年(Demandmodeofoperation)风险降低系数>=10-5to<10-4>=10-4to<10-3>=10-3to<10-2>=10-2to<10-1100000to1000010000to10001000to100100to10安全等级SafetyIntegrityLevel(SIL)后果Ca轻微伤害Cb严重伤害,一个人死亡Cc几个人死亡Cd多人死亡发生的频率Fa很少到经常Fb经常到连续性避免的可能性Pa有时可能Pb几乎不可能发生的可能性W1非常小W2小W3相对高安全等级W3W2W1CaCbCcCdFaFbFaFbPaPbPaPaPaPbPbPbX1X2X3X4X5X6a1234baa1122334FbFa定性风险评估

安全控制系统结构

过程安全的国际标准-系统结构单系统性能ProbabilitiesoffailureSafe

DangerousA0.04(25yrs) 0.02(50yrs)ProbabilitiesoffailureSafeDangerousBA1oo2Vote0.08(12.5yrs) 0.0004(2500yrs)(verysafe,butmore

nuisancetripsthansimplex)AB2oo2Vote0.0016(625yrs) 0.04(25yrs)(fewnuisancetrips,

butlesssafethansimplex)双系统性能双PLC’sPLCBPLCA1oo2PLCAPLCB2oo2SAFEAVAILABLESAFEAVAILABLEDxU=三重化表决系统性能(1oo1) 0.04(25yrs)0.02(50yrs)(1oo2) 0.08(12.5yrs)0.0004(2500yrs)(2oo2) 0.0016(625yrs)0.04(25yrs)ABCMajorityVote2oo3Vote(2oo3)0.0048(208yrs)0.0012(833yrs)ProbabilitiesoffailureSafe

DangerousTripleModularRedundancyPLCAPLCBPLCCMajorityVote2oo3SAFEAVAILABLEMoreHardware=cost!CommonCause0.0016(625yrs)0.0004(2500yrs)1oo2D1oo2D系统性能(1oo1) 0.04(25yrs) 0.02(50yrs)(1oo2) 0.08(12.5yrs) 0.0004(2500yrs)(2oo2) 0.0016(625yrs) 0.04(25yrs)(2oo3) 0.0048(208yrs)0.0012(833yrs)ProbabilitiesoffailureSafeDangerousBA高诊断率的双重化安全PLCFaulttolerantforhighavailabilityLowercommoncauseproblemsLesshardwaretofailthanTMRCERTIFIEDtoAK6,anddesignedforsafetyuptoSIL3SafetyPLCBSafetyPLCADIAGNOSTICSDIAGNOSTICS1oo2DSAFEAVAILABLE1oo2D(oneoutoftwowithdiagnostics)在许多工业领域中,其控制系统必须是高可靠、高可用和高安全的.根据IEC61508标准,1oo2D(oneoutoftwowithdiagnostics)结构满足这些要求.实现1oo2D结构时,每个通道采用双CPU结构,通道间同步采用软硬件结合方式,硬件数据比较器具备强故障安全特性,通道间通信采用高速并行方式,自诊断包括内嵌诊断设备、自诊断程序和看门狗.

BasicReliabilityFormulaeWhere:

MTTR=MeanTimeToRepair MDT(MeanDownTime)=(MTTR+TI/2)TI=TestInterval Assumption:1/MDT>>failurerates=Safe(initiating)failured=Dangerous(inhibiting)failureSource:Reliability,Maintainability,andRisk,byD.J.Smith故障安全技术的发展1970’Failsafecomponents,checkedbytheGermanTÜV

1980’PESbasedfailsafesystemsareusedinplants(DIN19250)1983’DualPESfailsafesystem1986’TMRsystemand1002Dsystem(2oo3/1002D)1998’DevelopmentofdualPESfailsafesystem(1oo2D,QMRCPU)IEC615081999’SiemensS7-400F/FH(PROFIsafeTechnology)

Future:IntegratedSafetybasedonPROFIsafecommunicationIEC61508/11SIL1to3DIN0801DIN19250风险评估AK6通信TÜV认证-AK1toAK6认证资质的安全周期服务SIL1to3“合适的应用”最终元件关键信号变送器Siemens如何满足安全标准?

1980:SIMATICS5-110F1988: SIMATICS5-115F1994: SIMATICS5-95F1999: SIMATICS7-400F/FH2002: SIMATICS7-300FSIEMENS故障安全控制系统20多年的持续发展

执行器,

传感器

I/O PROFIBUSwith

PROFIsafeprofileET200SET200M工厂自动化保护人身,机器控制器IM151-7F-CPU

forET200SCPU315F/CPU317FCPU416F工程FBD,LAD分布式安全今天的Siemens安全产品控制器CPU414FHCPU417FH

工程CFCS7F系统

Quadlog控制器/工程过程自动化保护人身,环境,财产过程工业的主要用户AllianceCustomersExxonShellMobilTotalTexacoChevronAmocoRhone-PolencFINAMethanexProcter&GambleCelaneseRohm&HaasUnionCarbideBASFARCOElfDaelim

CitgoPetronasSINOPECYPFSaudiARAMCOQatarGasSonatrachPhillipsTOSCOPertaminaWoodsideRelianceSamsungQGPCRas

LaffanLNGONGCUnocalSaltRiverProjectLyondellFormosaPlasticsHuntsmanUOPPEMEXPetrobrasHanwhaPDVSAMRPLThaiPlasticsSouthTexasProjectKNPCTaekwangPratt&WhitneyGEPlasticsTataElectricQAPCOWeyerhauserMarathonSUNOCOThaiPetroleumBrokenHillProprietyHaldiaPetrochemicalsBritishPetroleumDupontCNPCADNOCQAFCOCPCCNOOCIndianOilCo.Ltd.SKCorporationCaltexIncitecMotivaHyundai

过程工业的主要用户冗余CPU

可切换I/O冗余S7-400FH冗余PROFIBUS-DPF-I/O模件SIL3,AK6S7-400FHPROFIBUSDPET200MF-I/O冗余CPU

可切换I/O冗余S7-400FH冗余PROFIBUS-DP冗余F-I/O模件SIL3,AK6PROFIBUSDPS7-400FH冗余ET200MET200MF-I/OF-I/O单路CPU

单路I/OS7-400FPROFIBUS-DPF-I/O模件SIL3,AK6S7-400FET200MPROFIBUSDPF-I/O故障安全和高可用性配置S7–400F/FH故障安全控制系统CPU:417FH主内存 : 20MB执行时间: 0.03µs位/字/定点电池备用: 2年数字通道: 131072(max.)模拟通道: 8192(max.)通信: PROFIBUS-DP

Modbus(RS232/485/422)

工业以太网

以太网/OPCS7-400F/FH能力安全一体化PROFIBUS结构SINUMERIK

SIMODRIVESIGUARD

LaserscannerSIMATICS7-300FSIGUARD

laserscannerDP/ASi

LinkStandard

systemsI&CVisualizationPROFIBUS-PASIMATIC

ET200SSIMATIC

ET200SSIMATIC

ET200MSIMATICS7-400FHPCPCS7工程软件PROFIBUS-DPF-应用程序F-程序工具F-I/O’s(ET200M)ProfiSafe

协议RUN-PRUNSTOPCMRESRUN-PRUNSTOPCMRESCPU417-4Hor414-4H标准I/O’s(ET200M)S7–400F/FH系统构成不同安全等级的灵活应用:标准(S)系统容错(H)系统故障安全(F)系统故障安全容错(FH)系统单个CPU满足SIL3,AK6通过PROFIBUS使用ProfiSafe

信息完成安全通信同一控制器内可同时完成F功能和S功能

同一PROFIBUS-DP总线上可运行S和FI/O使用同样组态工具,CFC,完成S和F功能F-Tool提供技术检查支持:S和F功能分开(S和F块库,S和FCFC图)通过F比较功能检查通过口令保护功能的访问故障安全自动控制的优势

时间冗余和指令反编码处理

S7-400F/FH使用时间冗余

和

软件反编码技术完成故障安全功能OperandsEncodingDiversityOperandsOperationDiversityOperationResultDiversityResultComparisonStop时间时间冗余A,B(Bool)/A,/B(Word)CD=/CAtD

¹/CANDOR

逻辑程序执行和数据流监视

在CPU的不同部分进行布尔和字

操作处理

2个独立的硬件计时器CPU内部的安全机构F–组态

标准CFC和认证F块TUV-认证F功能块库F程序安全程序有效性的单一签字

CFC程序的访问保护一个程序的两个版本比较带有签字和缺省的全部F块列表F–组态的安全

SM326F,DI24DC24VSIL3SM326F,DI8NAMUR[EExib]SIL3SM326F,DO10DC24V/2ASM336F,AI64-20mA

S7-400F/FH的故障安全I/O模件冗余的微处理器可诊断出内部外部故障微处理器相互检查功能输入输出测试将输入信号分配到2个微处理器冗余输入信号差异分析反读回输出信号进行差异分析输出的第二断措施通过Profisafe与CPU通信S7-400F/FH的故障安全模件MicrocontrollerOutputdriverDual-portRAMBusinterfaceSeconddisconnectionfacility(canbereadback)L+MicrocontrollerOutputVSupplyi.e.SM326,F-DODiagnosticcircuitCPUDiagnosticcircuitInputcircuitInputcircuitCPUCPU....MainSwitchDiagnosticcircuitCPUCPUOutputcircuitProfiSafeProfiSafeSIL3等级的S7-400F结构单或双传感器输入I/O模件内部的冗余电路冗余输出电路输入模件控制器-S7400F输出模件2oo(1oo1DforSIL2)2oo(1oo2DforSIL3)2oo(1oo1D)2oo(1oo2D)无单点故障无降级使用限制(SIL3)一个或两个传感器输入

DiagnosticcircuitCPUDiagnosticcircuitInputcircuitInputcircuitCPUCPU....MainSwitchDiagnosticcircuitCPUCPUOutputcircuitDiagnosticcircuitCPUDiagnosticcircuitInputcircuitInputcircuitCPUCPU....MainswitchDiagnosticcircuitCPUCPUOutputcircuitProfiSafeProfiSafeProfiSafeProfiSafeS7-400FH用于SIL3的结构输入模件控制器-S7400FH输出模件FailsafeuserdataStatus/monitorbyteCRCConsequentnumberViaFuserdataandFparametersSource-basedcounterMax.12/122Bytes1Byte2/4Bytes*)1Byte一个有效的当前的桢必须在一定的参数化监视时间内并带有有效的连续数到达CPUMaster

Slave1Slave1

MasterMaster

Slave2Slave2

MasterMaster

Slave3Slave3

MasterMaster

Slave4Slave4

MasterMasterProfiSafeSlave1

StandardSlave2

StandardSlave3

FailsafeSlave4

StandardPROFIBUS-DPwith*)2Byteforamax.of12ByteFI/Odata4Byteforamax.of122ByteFI/OdataPROFIBUS‚ProfiSafe

通信MemberCompaniesofthe“Profisafe”WorkingGroupofthePNO(ProfibusUserOrganization)ABB(Germany+Norway)Banner(USA)BIA*Bürkert*DaimlerChryslerDold&Söhne*Endress+HauserFestoGuardscan(England)*HimaMoellerNelesControls(Finland)Opel

Pepperl+FuchsPhoenixContactPilzSchmersal*SchulerSick*SiemensAG,A&D*StahlTUMünchenVisoluxWagoWeidmüllerConneXt **Memberofthe“GenericDrivers”workinggroup传统的独立的DCS和ESD解决方案IndustrialEthernetoptionalredundantSafetyEngineeringStationPCPCS7-400FHAS417FHEmergencyShutdownIndustrialEthernetoptionalredundantPCPCPCPCPCS7-400HAS417HOperatingandMonitoringOperatingSOEStationDCSEngineeringStationNormalControlandMonitoring

IndustrialEthernetoptionalredundantPC

EngineeringStationPCPCPCPCS7-400FHAS417FHS7-400HAS417HServer,optionalredundantOperatingandMonitoring/SOEEmergencyShutdown集成到PCS7中NormalControlandMonitoring

工业以太网可选冗余PC

工程师站S7-400HS7-400PCPCPC紧急停车PCPCS7-400S7-400FHS7-400FHS7-400H燃烧管理操作和监视SIMATICPCS7一体化ShutdownLogicF-STOPSafetyMatrixOverviewAcauseisa

processdeviationAneffectisa

processresponseAnintersectiondefines

therelationshipbetween

causeandeffectMax.definable:128causes128effects500intersectionsIntersectionCauseEffectWhyprocesssafety?StandardsSiemensproductsSiemenssolutionsSafetyMatrixOverviewSafetyMatrixEditorRemoteUserWorkstationSharedMatrixFile(*.CEM)SafetyMatrixViewerOperatorStation(OS)SafetyMatrixEngineeringToolEngineeringStation(ES)Controller(AS)SafetyMatrixEngineeringTool

Forcreating,configuring,compiling,downloadingandonlinemonitoringoftheSafetyMatrixwithinSTEP7

environmentSafetyMatrixViewer

ForoperatorcontrolandvisualizationoftheSafetyMatrixwithinPCS7OS

environmentwithdifferentoperatorcontrollevelsSafetyMatrixEditor

Forcreatingandeditingthe

SafetyMatrixlogicsonan

externalworkstationoutside

aSTEP7orPCS7environmentWhyprocesssafety?StandardsSiemensproductsSiemenssolutionsConsistentDisplayinOSandESTheSafetyMatrixViewerdisplaystherun-timematrixlogicinthecontrollerinaformatconsistentwiththatoftheSafetyMatrixEngineeringToolThesecolorsarepredefined,andcannotbeconfiguredbytheuser.Colour-codingof

onlinestates Cause/

effectactive Bypassactive/

Signaldisabled Inhibit/

Maskactive EffectOverride

active Resetpossible FirstOutAlarm

activeWhyprocesssafety?StandardsSiemensproductsSiemenssolutionsSIMATICSafetyMatrix™Cause&EffectsEngineering,OperationsandMaintenancePackageAutomaticprogrammingAutomaticvisualizationMaintenanceInterfaceChangedocumentationEventsLogSafetyLifecycleManagementToolWhyprocesssafety?StandardsSiemensproductsSiemenssolutions由世界最权威机构认证可用于SIL3级TÜV认证用于

VDE0801-AK6

&IEC61508-SIL3第三方安全应用认证德国DEA炼油厂应用案例

挪威Huldra

海上石油钻井平台的应用案例装置:德国DEA炼油厂安全功能的控制监视ESD配置:22套S7-400FH500个故障安全I/Os冗余光纤通信装置:挪威Huldra

海上石油钻井平台ESDF&G

配置:5套S7-400F和FH50套ET200M1000个故障安全I/OsS7-400F系统间的无线故障安全通信DEA(Germany)I&COverview中国部分业绩中石化镇海石化 PE装置ESD哈尔滨炼油厂 催化装置ESD延安永坪炼油厂 催化装置ESD中石化新疆独山子石化 PE装置SD中石化胜利油田

海上平台ESDF&G中石化燕山石化乙稀装置

裂解炉ESD 中石化燕山石化乙稀装置

乙稀回收ESD

中石化燕山石化乙稀装置

压缩机ESD

中石油玉门炼油厂 加氢ESD

湖北兴发集团