DCS第8章.ppt [兼容模式]

第8章紧急停车系统第8章紧急停车系统知识点：●掌握紧急停车系统的基本概念●了解紧急停车系统两种类型的技术特点●了解国际主要通用安全标准●了解安全系统的常用指标及术语●了解安全系统的基本设计原则及适用场合●了解HIMA冗余控制器的构成及工作原理●结合实例理解HIMA紧急停车系统在生产装置中的应用学习目标第8章紧急停车系统技能点：●能够使用ELOPII组态软件进行系统的硬件及逻辑组态●能够根据中央处理器卡件视窗上的错误代码判断故障原因●在实际应用中能够进行工程量程的转换及信号超量程值的切除学习目标第8章紧急停车系统8.1紧急停车系统的基本概念8.1.1紧急停车系统的类型和特点➢当工艺过程某些变量发生异常时，由控制系统指令工艺过程紧急地安全地停止生产，以免造成巨大财产损失和人员伤亡事故。装置在运行过程中，安全仪表系统时刻监视工艺过程的状态，判断危险条件，并在危险出现时适当动作，以防止危险的发生。工艺过程的控制系统可分为基本过程控制系统和安全仪表系统。基本过程控制系统是主动的、动态的，安全仪表系统是被动的、静态的。当危险情况出现时，安全仪表系统必须能够由静到动，正确地完成停车动作。第8章紧急停车系统1.紧急停车系统的类型图8.1双重化冗余结构的ESD系统CPU-中央处理器模件；COM-通信模件；MEM-存储器模件；WD-看门狗模件；VBD-垂直总线驱动器；DBM-电池与诊断模件；PSU-电源供电模件➢紧急停车系统按照结构来分，可分为双重化冗余和三重化冗余两种。第8章紧急停车系统图8.2三重化冗余方式的ESD系统第8章紧急停车系统(1)系统的最终目标都是为了确保工艺生产的安全，保护生产设备和操作人员不受伤害。(2)开关量输入检出元件选择正常状态下闭合，线路断开等同于联锁动作，即系统为故障安全型。(3)输出电磁阀或继电器选择为正常励磁，只有当输出线路发生故障时才产生动作。(4)当无论何种原因使生产装置停车（Shutdown）时，ESD系统所控制的目标元件所处的状态都要确保生产安全。2.紧急停车系统的特点第8章紧急停车系统➢ESD系统主要的通用安全标准如下。(1)DINV19250标准是德国的标准，在这个标准中建立了一个概念：安全系统的设计等级必须符合生产过程现场的危险性等级AK1～AK8（1～8级）。该标准力图使它的用户必须考虑工艺现场的危险级别，并强制使用具有相应安全等级认证的安全控制设备。(2)DINVVDE0801标准是针对用于安全系统的计算机，来判定某种控制器从设计、编码、程序执行到确定是否完全符合上述DINV19250的要求。第8章紧急停车系统(3)IEC61508是国际电工委员会制定的国际标准。该标准广泛用于确定过程、交通、医药工业等的安全周期，它不仅要求设备的完整性，同时对设计、操作、测试和维护都有要求。本标准根据发生故障的可能性来分为4个SIL等级。第8章紧急停车系统➢石油化工装置的专利商通过对工艺过程危险进行安全性分析，来确定过程的安全等级。分析的内容包括：评估危险事件发生的可能性及其后果；评估除采用安全联锁系统外，其他能预防、保护及能减轻事件后果的安全措施；确认采用安全联锁系统是否合适；确定安全联锁系统需达到的安全等级；决定其他与过程安全有关的内容与设计原则等。其中，确定安全等级是通过对所有事件发生的可能性与后果的严酷度及其他安全措施的有效性进行定性的评估，从而确定合适的安全等级。➢SIL1级用于事故可能很少发生，一旦发生后，不会立即造成界区内环境污染、人员伤亡及经济损失不大的情况；第8章紧急停车系统➢SIL2级用于事故可能偶尔发生，一旦发生后，不会造成界区外环境污染、人员伤亡及经济损失较大的情况；➢SIL3级用于事故可能经常发生，一旦发生后，会造成界区外环境污染、人员伤亡及经济损失严重的情况。(4)ANSI/ISAS84.01-1996是美国对于工业过程的安全系统所制定的标准。它沿用了IEC61508标准并保留了DINV19250标准，ANSI/SIAS84.01-1996标准不包括SIL4这一最高级别。S84委员会认为SIL4仅适用于医药、交通的保护性仪表这一层次。而对应的工艺流程则可以在设计中融合多个层次的保护性仪表。第8章紧急停车系统(5)DraftIEC61511第1～4部分，是适用于工艺过程工业的安全仪表系统的国际化标准，是IEC61508的补充。IEC61508标准主要针对制造商和设备供应商，IEC61511是适用于工业过程控制SIS的设计者、系统集成商、最终用户的。第8章紧急停车系统8.4几种国际标准中风险等级的比较第8章紧急停车系统1.平均故障间隔时间平均故障间隔时间（MeanTimeBetweenFailure，MTBF）是指各次故障间隔时间ti的平均值，即各段连续工作时间的平均值。即8.1.3安全系统的常用指标nthMTBFniiå==1)(nthMTTRniiå=D=1)(MTBF是一个经过多次采样检测，长期统计后求出的平均数值。i=1，2，3，…，n（8-1）第8章紧急停车系统2.平均故障修复时间平均故障修复时间（MeanTimeToRepair，MTTR）是指设备或系统经过维修，恢复功能并投入正常运行所需要的平均时间，即nthMTBFniiå==1)(nthMTTRniiå=D=1)(式中⊿ti——每次维修所花费的时间。MTTR也是一个统计值，它远小于MTBF。MTBF越大，MTTR越小的系统可靠性越高。i=1，2，3，…，n（8-2）第8章紧急停车系统3.平均失效时间平均失效时间（MTTF）是指大宗相同部件（或系统）中该部件（或系统）期望发生故障的时间。MTTRMTTFMTTFMTBFMTTFA+==úûùêëé-=tMTTFtR)1(exp)(4.可用性可用性（A）是一个概率，指系统在任何情况下都可使用的工作期，用百分数计算。即（8-3）第8章紧急停车系统5.可靠性可靠性（R）是一个概率，指系统在规定时间间隔（t）内发生故障的概率。即MTTRMTTFMTTFMTBFMTTFA+==（8-4）第8章紧急停车系统6.容错容错(FaultTolerance)是指对失效的控制系统元件进行认识和补偿，并允许在继续完成分配的任务、不中断过程的情况下进行修复的能力。容错是通过冗余和故障屏蔽的结合来实现。7.表决表决（Voting）是指系统中用多数原则将每个支路的数据进行比较和修正的一种机理。如1OO2（1OUTOF2）表示2取1表决，2OO2（2OUTOF2）表示2取2表决，2OO3（2OUTOF3）表示3取2表决等。第8章紧急停车系统8.故障安全故障安全是指ESD系统发生故障时，被控过程能做到安全停车。正常工况时处于励磁状态，故障工况时处于非励磁状态。9.安全完整性级别安全完整性级别（SafetyIntegrityLevel，SIL）是指定性分析ESD系统故障对生产装置和周围的人员的伤害程度。根据IEC61508标准划分为4级。SIL1级适用于财产和产品的一般保护；SIL2级适用于主要财产和产品保护，有可能造成人身伤害；SIL3级适用于保护人员；SIL4级适用于灾难性伤害。第8章紧急停车系统8.1.4安全系统应用的场合1．对检测元件的要求➢检测元件（传感器）分开独立设置，指采用多台检测仪表将控制功能与安全联锁功能隔离，即安全仪表系统与过程控制系统的实体分离。➢传感器冗余设置，指采用多台仪表完成相同的功能，通过冗余提高系统的安全性。不宜采用信号分配器，将模拟信号分别接到安全仪表系统和过程控制系统。安全仪表系统和过程控制系统共用一个传感器时，宜采用安全仪表系统供电。第8章紧急停车系统2．对最终执行元件的要求➢最终执行元件（切断阀，电磁阀）是安全仪表系统中可靠性低的设备。由于安全仪表系统在正常工况时是静态的，被动的，系统输出不变，最终执行元件一直保持在原有的状态，很难确认最终执行元件是否有危险故障。在正常工况时过程控制系统是动态的，主动的，控制阀动作是随控制信号的变化而变化，不会长期停留在某一位置。因此，当符合安全度等级要求时，可采用控制阀及配套的电磁阀作为安全仪表系统的最终执行元件。当安全度等级为3级时，可采用一台控制阀和一台切断阀串联连接作为安全仪表系统的最终执行元件。第8章紧急停车系统3．对ESD逻辑控制器结构选择要求➢安全仪表系统故障有两种：显性故障（安全故障）和隐性故障（危险故障）。当系统出现显性故障时，可立即检测出来，系统产生动作进入安全状态。显性故障不影响系统的安全性，但会影响系统的可用性。当系统出现隐性故障时，只能通过自动测试程序检测出来，系统不能产生动作进入安全状态。隐性故障影响系统的安全性，但不影响系统的可用性。因此通过对逻辑控制器结构的选择，克服隐性故障系统安全性的影响，通常选择2OO3（三取二）或者2OO4D（四取二，带诊断功能）结构。第8章紧急停车系统8.2.1冗余控制器的构成8.2冗余控制器图8.5两个微处理器构成的1OO2系统第8章紧急停车系统➢来自现场检测元件（或传感器）的信号，通过输入模件（1oo1D，一取一，带诊断功能）分别进入两个微处理器单元，在CU1内进行诊断（1oo2，二取一），其结果从输出模件输送到现场的执行元件；当其中一个微处理器发生故障时将被自动切除，与之对应的另一个处理器可以继续运行。一块CU模件已经构成1oo2D结构，而1oo2D结构可以满足AK6/SIL3的安全标准。第8章紧急停车系统图8.6两个1oo2系统构成四重化（QMR）系统第8章紧急停车系统➢如图8.6所示，采用双1oo2D结构，即2oo4D结构，这样可以提供最大的实用性（即可利用性），其容错功能使系统中任何一个部件发生故障时，均不影响系统的正常运行。➢来自现场检测元件（或传感器）的信号，通过两套输入模件（1oo2D，二取一，带诊断功能）分别进入两个CU单元，在CU1和CU2内进行诊断（2oo4D，四取二，带诊断功能），其结果从两套输出模件输送到现场的执行元件；当其中一个CU发生故障时将被自动切除，与之对应的另一个CU可以继续运行。第8章紧急停车系统8.2.2冗余控制器的工作原理➢H41q/H51q系统对程序的处理过程是周期性循环的。首先读取过程输入信号，再按预定的逻辑功能进行处理，然后依次输出处理结果。一个循环扫描过程由七个骤步完成。(1)周期性自检周期性自检包括硬件检测和软件检测，这个过程是根据CU发出的连续测试信号进行的。(2)数据接收检测并读取输入信号（也包括安全以太网来的信号），完成过程变量对应数据的接收。(3)数据传送将系统接收的数据传送到另一个中央处理单元。第8章紧急停车系统(4)输入数据处理把输入变量的测量值赋予内部变量，用户程序则会对内部变量进行处理。处理的结果送到输出单元（需要以太网传送的数据则被传送到以太网卡），并在系统内存中进行双CPU的点对点比较，如有错误则将这对CPU切除。(5)输出交换比较将两个CU的输出交换并进行比较。(6)结果输出主CU通过I/OBUS输出处理结果。第8章紧急停车系统(7)结果回读从CU中把输出结果回读，与下一个周期的正确逻辑输出比较。若结果不相等则将输出模块切除，扫描过程跳到第(5)步。➢冗余的中央处理单元在每个过程循环完后都进行一次时钟同步，而通过串行通讯和有自检功能的部分完成检测不依赖于一个过程循环。第8章紧急停车系统8.2.3冗余控制器的特点1.强大的自诊断功能2.一体化安全停车功能第8章紧急停车系统8.3ESD在工业生产装置上的应用8.3.1工艺简介➢乙烯装置可分为七个单元。10号单元为原料预热单元，是将界区外的不同原料经过缓冲罐脱除水和杂质，以便降低原料变化对下游生产的影响。20号单元为裂解炉单元。裂解炉区共有5台裂解炉，在不同通道都可以同时裂解两种原料，并且裂解炉的每一通道在其他组进行裂解操作时都可以进行在线蒸汽清焦，具有裂解原料分配灵活性的特点。第8章紧急停车系统➢将来自预热单元的裂解炉原料通过流量控制进入裂解炉对流段与烟道气换热后，与来自稀释蒸汽发生系统的稀释蒸汽按一定比例混合再换热后，经文丘里管被平行分成8