1目录第一章1.1安全仪表系统(SIS)..................................21.2SIS设计应遵循的原则.......................................181.3普通PLC和安全PLC的区别...................................301.4工艺过程风险的评估和安全完整性等级的评定...................331.5SIS的相关标准及认证.......................................361.6取得认证的SIS产品.........................................381.7逻辑运算的基本公式.........................................42第八章流体输送机组的控制.......................错误!未定义书签。第九章控制仪表与控制系统故障分析及处理.........错误!未定义书签。中国石油和化工自动化应用协会——王立奉2013年10月21安全仪表系统(SIS)1.1安全仪表系统(SIS)的定义及有关概念1.1.1SIS定义1.1.2IEC61508/IEC61511标准的贡献1.1.3安全功能1.1.4功能安全1.1.5安全仪表功能(SIF)1.1.6安全完整性(SI)及安全完整性等级(SIL)1.1.7安全生命周期与功能安全管理1.1.8SIF子系统的结构约束1.2.SIS设计应遵循的原则1.2.1DCS与由PES构成的SIS的主要区别1.2.2SIS设计应遵循的原则1.2.3SIS的可用性及可用度1.2.4冗余容错1.2.5怎样通过冗余来改善系统的整体SIL水平1.2.6冗余逻辑表决方法及其安全性、可用性的关系1.3.普通PLC和安全PLC的区别1.4.工艺过程风险评估及安全完整性等级(SIL)的评定1.5.SIS的相关标准及评证1.5.1SIS的相关标准1.5.2SIL评证1.6.取得认证的SIS产品1.7.逻辑运算的基本公式31安全仪表系统(SIS)的定义及有关概念1.1SIS的定义大多石油和化工生产过程具有高温、高压、易燃、易爆、有毒等危险。当某些工艺参数超出安全极限,未及时处理或处理不当时,便有可能造成人员伤亡、设备损坏、周边环境污染等恶性事故。这就是说,从安全的角度出发,石油和化工生产过程自身存在着固有的风险。SIS是一种经专门机构认证,具有一定安全完整性等级,用于降低过程风险,使风险达到可接受水平(允许风险)的安全保护系统。它不仅能响应生产过程因超出安全极限而带来的风险,而且能检测和处理自身的故障,从而按预定的条件或程序使生产过程处于安全状态,以确保人员,设备及工厂周边环境的安全。SIS的定义如图1-1所示图1-1SIS的定义4SIS由检测单元(如各类开关、变送器等)、控制单元和执行单元(如电磁阀、电动门等)组成,其核心部分是控制单元。从SIS的发展过程看,其控制单元部分经历了电气继电器(Electrical)、电子固态电路(Electronic)和可编程电子系统(ProgrammableElectronicSystem),即E/E/PES三个阶段。图1-1为由PES构成的SIS系统。国际电工委员会IEC61508标准中,SIS被称为安全相关系统(SafetyRelatedSystem),将被控对象称为被控设备(EUC)。IEC61511将SIS定义为用于执行一个或多个安全仪表功能(SafetyInstrumentedFunction,SIF)的仪表系统。SIS是由传感器,逻辑控制器,以及最终元件组合而成。IEC61511又进一步指出,SIS可以包括、也可以不包括软件。另外,当操作人员的手动操作被视为SIS的有机组成部分时,必须在安全要求规格书(SafetyRequirementSpecification,SRS)中对人员操作动作的有效性和可靠性做出明确规定,并包括在SIS的绩效计算中。SIS发展的三个阶段①继电器线路:可靠性很高,成本低,但是灵活性差,扩充系统、增加功能不易.②固态电路:模块化结构,结构紧凑,可在线检测。易识别故障,元件互换容易,可冗余配置。可靠性不如继电器型,操作费用高,5灵活性不够好。③安全PLC:以微处理器为基础,有专用软件和编程语言,编程灵活,具有强大的自测试、自诊断功能,冗余配置,容错技术,可靠性可做的很高。SIS的进一步发展出现了故障安全控制系统;专用的紧急停车系统模块化设计,完善的自检功能,系统的硬件、软件都取得相应等级的安全标准证书,配备有专用的程序事故记录仪,非常安全可靠,但价格也很高。1.2IEC61508/IEC61511标准的贡献IEC61508/IEC61511标准的发布,首先将仪表系统的各种特定的应用,例如ESD、F&G、ITCC、BMS、HIPPS、ATP…,都统一到SIS的概念下;其次,提出了以SIL为指针,基于绩效(PerformanceBased)的可靠性评估标准;再者,以安全生命周期(SafetyLifecycle)的架构,规定了各阶段的技术活动和功能安全管理活动。这样,SIS的应用形成了一套完整的体系,包括:设计理念和设计方法、仪表设备选型准入原则(基于经验使用和IEC61508符合性认证)、系统硬件配置和软件组态编程规则、系统集成、安装和调试、运行和维护,以及功能安全评估和审计等。大体上,安全仪表系统的应用和发展,围绕着两大主题——安全功能(SafetyFunction)和功能安全(FunctionalSafety)。6IEC61508/IEC61511为实现安全仪表系统的功能安全,建立了两大体系——技术体系和功能安全管理体系。1.3“安全功能”IEC61508将“安全功能”定义为:为了应对特定的危险事件(如灾难性的可燃性气体释放),由电气、电子、可编程电子安全相关系统,其他技术安全相关系统,或外部风险降低措施实施的功能,期望达到或保持被控设备(EquipmentUnderControl,EUC)处于安全状态。上述定义表明:①安全功能的执行,并不局限于电气或电子安全仪表系统,还包括其他技术(如气动、液动、机械等技术)及外部风险降低措施(如储罐的外部防护堤堰)。因此,研究安全功能要综合考虑各种技术或措施的共同影响:②安全功能是着眼于应对特定的危险事件,也就是说,安全功能有其针对性。可见,安全功能是泛指各种风险降低措施执行的功能,SIF是由SIS执行的安全功能。1.4“功能安全”IEC61508将功能安全定义为:与EUC和EUC控制系统有关的、整体安全的一部分,取决于电气、电子、可编程电子安全相关系统,其他技术安全相关系统和外部风险降低措施机制的正确施行。7IEC61511将功能安全定义为:与工艺过程和BPCS有关的、整天安全的一部分,取决于SIS(安全仪表系统)和其他保护层机能的正确施行。就安全仪表系统而言,功能安全探讨的是系统本身的绩效问题,即SIS在实现其安全功能时,能够降低风险的能力。因此,功能安全成为SIS设计和运行管理的核心问题之一。1.5安全仪表功能(SIF)SIF,即由SIS执行的安全功能,物理结构上由传感器、逻辑控制器,以及最终执行元件组成,如图1-2所示。不过SIF的最基本特征是“应对特定的危险事件”并实现必要的风险降低。图1-2SIF示例8SIF是在过程危险分析及风险评估中辨识出来的,并根据必要的风险降低要求,确定其SIL要求。因此,SIF是进行SIL评估的基础。图1-3表示一个SIF的实例。在这个SIF中,操作人员的手动动作也可以成为SIF的一部分。在这种情况下,评估SIF的风险投资降低绩效水平,要将人工的失效概率考虑在内。图1-3包含操作员手动动作的SIFPAH——压力高报警;HS——手动开关(或按钮)在IEC61508/IEC61511标准中,不再使用“联锁一词”,而改用“E/F/PE安全功能”或者“安全仪表功能”。“安全连锁”与“安全仪表功能”有大致相同的含义,不过“安全仪表功能有更明确的界定”:①由SIS实现的安全功能。②用于特定危险事件的风险降低。9③有明确的绩效或安全完整性(SIL)要求。需要注意的是,SIF在物理上由传感器、逻辑控制器,以及最终执行元件构成,为什么采用“安全仪表功能”这一相对抽象的名称呢?这是因为在危险和风险分析以及安全保护层分配阶段,安全是从工艺过程的风险降低要求角度,辨识并确定需要的安全功能要求和它绩效要求(安全完整性要求),此时还没有到SIS设备选型阶段,也就是说,关注的是“要求”,而非如何实现这一“要求”。1.6安全完整性(SI)及安全完整性等级(SIL)1.6.1安全完整性(SI)SIS执行安全功能时的绩效或可能达到的功能安全水平,采用安全完整性(SafetyIntegrity)来表征。安全完整性定义为:在规定的状态和时间周期内,SIS圆满完成所要求的安全功能的概率。安全完整性包括硬件安全完整性(HardwareSafetyIntegrity),软件安全完整性(softwareSafetyIntegrity),以及系统安全完整性(SystematicSafetyIntegrity)。⑴硬件安全完整性用于表征在危险失效模式(DangerousFailureMode)下,随机硬件失效(RandomHardwareFailure)的可能性。随机硬件失效是指系统在正常使用状态下,在某个时间点,一个或多个10元件随机出现故障(Fault),依据硬件内可能的降级机制(DegradationMechanism),导致发生某种功能的失效。通过对系统的失效模式及其影响进行分析(FailureModesandEffectsAnalysis,FMEA),借助于有效的失效率数据,可以对硬件的安全完整性进行评估计算,并且可以准确到合理的水平。另外,可以通过采用冗余结构(RedundantArchitectures)设计等措施,有效提高硬件的安全完整性。⑵软件安全完整性用于表征可编程电子系统中的软件,在规定的状态和时间周期内,实现其安全功能的可能性。⑶系统性安全完整性用于表征在危险失效模式下系统性失效。导致系统性失效发生的典型因素包括:系统设计错误或缺陷,不当的安装、调试,不当的操作,缺乏维护管理,以及软件设计漏洞和组态缺陷等。系统性失效在很大程度上都是人为失误造成的,要准确地计算评估其失效率非常困难,因此,IEC61508/IEC61511都强调在安全生命周期的架构下,通过有效的功能安全管理,来提高系统性安全完整性。1.6.2安全完整性等级(SIL)1.6.2.1隐故障与显故障隐故障(CovertFault):不对危险产生报警,允许危险发展的故障,是故障危险故障(SHB-Z06-1999)。CovertFault:Faultthat11canbeclassifiedashidden,concealed,undetected,unrevealed,latent,ect.(ISA-S84-1996)显故障(OvertFault):能显示出故障自身存在的故障,是故障安全故障(SHB-Z06-1999)。OvertFault:Faultthatcanbeclassifiedasannounced,detected,revealed,ect.(ISA-S84-1996)1.6.2.2安全性及响应失效率当工艺条件达到或超过安全极限值时,SIS本应引导工艺过程停车,但由于其自身存在隐故障(危险故障)而不能响应此要求,即该停车而拒停,降低了安全性。衡量安全性的指标为响应失效率或称要求时故障率(PFD:ProbabilityofFailureonDemand)。它是SIS系统按要求执行指定功能的故障概率。是度量SIS系统按要求模式工作故障率的目标值(SHB-Z06-1999)不同的工业过程(如生产规模、原料和产品种类、工艺和设备的复杂程度等)对安全的要求是不同的。IEC61511标准将其划分为若干安全完