史上最全(SIS)安全仪表系统解析.doc

1、1、什么是安全仪表系统在 IEC61508 中，SIS 被称为安全相关系统（Safety Related System）,将被控对象称为被控设备（EUC）。IEC61511 将安全仪表系统 SIS 定义为用于执行一个或多个安全仪表功能（Safety Instrumented Function,SIF）的仪表系统。SIS 是由传感器（如各类开关、变送器等）、逻辑控制器、以及最终元件（如电磁阀、电动门等）的组合组成,如图 1 所示。IEC61511 又进一步指出，SIS 可以包括，也可以不包括软件。另外，当操作人员的手动操作被视为 SIS 的有机组成部分时，必须在安全规格书（SafetyRequi

2、rement Specification,SRS)中对人员操作动作的有效性和可靠性做出明确规定，并包括在 SIS 的绩效计算中。从 SIS 的发展过程看，其控制单元部分经历了电气继电器（Electrical）、电子固态电路（Electronic）和可编程电子系统（Programmable ElectronicSystem），即 E/E/PES 三个阶段。安监总局 116 号文件国家安全监管总局于 2014 年 11 月 13 日下发国家安全监管总局关于加强化工安全仪表系统管理 指导意见（安监总管三2014116 号）该意见涉及到了生产，设计，管理等多个方面。HAZOP 分析，SIL 等级评估，

3、安全系统验证，老装置安全系统安全等级评估，安全系统改造等，这些工作将在今后几年中越来越多，越来越重要！下图为由 PES 构成的 SIS图 1SIS 的构成SIS 安全仪表系统(1) SIF 安全仪表功能可以是安全仪表保护功能，也可以是安全仪表控制功能，或包含这两者。(2) 需要说明的是，这里所说的安全仪表控制功能，是指以连续模式（Continuous Mode）操作并具有特定的 SIL,用于防止危险状态发生或者减轻其发生的后果，与常规的 PID 控制功能是完全不同的概念。(3) SIS 可以包括或不包括软件(4) SIS 的一部分也可能是人的动作如图 2 所示，这是一个气液分离容器 A 液位控

4、制的安全仪表功能回路图。对这个安全仪表功能完整的描述是：当容器液位开关达到安全联锁值时，逻辑运算器（图 3）使电磁阀 2 断电，则切断进调节阀膜头信号，使调节阀切断容器 A 进料，这个动作要在 3 秒内完成，安全等级必须达到 SIL2。这是一个安全仪表功能的完整描述，而所谓的安全仪表系统，则是类似一个或多个这样的安全仪表功能的集合。图 2安全仪表回路图图 2 说明：L 液面超高-L1 接点闭合-Z 带电。Z1 常闭接点打开，S 线圈断电。S 电磁阀切断，往调节阀膜头的控制信号调节阀切断工艺进料，完成联锁保护作用。K 起：按钮开关：起动联锁保护回路兼有复位作用。K 停：起人工强制起动联锁保护作用

5、。K 旁：旁路联锁保护作用，用于开车或检修联锁信号仪表。图 3SIS 逻辑图大多石油和化工生产过程具有高温、高压、易燃、易爆、有毒等危险。当某些工艺参数超出安全极限，未及时处理或处理不当时，便有可能造成人员伤亡、设备损坏、周边环境污染等恶性事故。这就是说，从安全的角度出发，石油和化工生产过程自身存在着固有的风险。总之，SIS 是一种经专门机构认证，具有一定安全完整性水平，用于降低生产过程风险的仪表安全保护系统。 它不仅能响应生产过程因超过安全极限而带来的风险， 而且能检测和处理自身的故障，从而按预定条件或程序使生产过程处于安全状态，以确保人员、设备及工厂周边环境的安全。按照 SIS 的定义，下

6、述系统均属于安全仪表系统：安全联锁系统（Safety Interlock SystemSIS）；安全关联系统（Safety Related SystemSRS）；仪表保护系统（Instrument Protective SystemIPS）；透平压缩机集成控制系统（Integrated Turbo & Compressor Control SystemITCC）；火灾及气体检测系统（Fire and gas systemsF&G）；紧急停车系统（Emergency Shutdown DeviceESD）；燃烧管理系统（Burner Management System）；列车自动防护系统（ATP

7、）2、SIS 的相关标准及认证机构鉴于 SIS 涉及到人员、 设备、 环境的安全，因此各国均制定了相关的标准、 规范，使得 SIS 的设计、制造、使用均有章可循。并有权威的认证机构对产品能达到的安全等级进行确认。这些标准、规范及认证机构主要有：(1)我国石化集团制定的行业标准 SHB-Z06-1999石油化工紧急停车及安全联锁系统设计导则。(2)2006 年、2007 年等同采用 IEC61508、IEC61511 的中国国家标准GB/T20438、GB/T21109 相继发布，中国的功能安全标准开始规范我国的功能安全工作。(3)国际电工委员会 1997 年制定的 IEC 61508/6151

8、1 标准，对用机电设备（继电器）、固态电子设备、可编程电子设备（PLC）构成的安全联锁系统的硬件、软件及应用作出了明确规定。(4)美国仪表学会制定的 ISA-S84.01-1996安全仪表系统在过程工业中的应用。(5)美国化学工程学会制定的 AICHE（ccps）-1993，化学过程的安全自动化导则。(6)英国健康与安全执行委员会制定的 HSE PES-1987，可编程电子系统在安全领域的应用。(7)德国国家标准中有安全系统制造厂商标准-DIN V VDE 0801、过程操作用户标准-DIN V 19250 和 DIN V 19251、燃烧管理系统标准-DIN VDE 0116 等。(8)德国

9、技术监督协会（TV）是一个独立的、权威的认证机构，它按照德国国家标准（DIN），将 ESD 所达到的安全等级分为 AK1AK8，AK8 安全级别最高。 其中 AK4、 AK5、 AK6 为适用于石油和化学工业 取得 TV 认证的 SIS 产品。在国内石化行业中应用的 SIS 产品中，经过 TV 认证的主要有：(1) Tricon、Triden，美国 Triconex 公司开发用于压缩机综合控制（ITCC）和紧急停车系统。安全等级为 AK6（SIL3）。(2) FSC（Fail safe control），由荷兰 P&F（Pepper&Fuchs）公司开发，1994年被 Honeywell 公司

10、收购。安全等级 AK6（SIL3）(3) 和利时集团 HiaGuard（SIS），我国首套获 TV SIL3 认证的安全仪表系统。(4) HIMA PES，HIMA 是德国一家专业生产安全控制设备的公司，PES(Programmable Electronic System)是可编程电子系统的简称，是近几年来国内引进较多的一种安全仪表系统。主要由 H41q 和 H51q 系统组成。 H41q 也叫小系统，它分为不冗余的系统和冗余的系统，不冗余系统型号为 H41qM，冗余系统又分为高可靠系统 H41qH 和高性能系统 H41qHR。H51q 称为模块化的系统，它也分为不冗余的系统和冗余的系统，不冗

11、余的系统型号为 H51qH 和高性能系统 H51qHR。各种型号的 PES 都具有 TV AK16 级认证。（仪控工程网在线学习频道，有关于 HIMA 公司及产品的介绍）(5) ProsafeRS， 是横河电机安全仪表系统， 其特点是与 CENTUMCS.3000 R3的技术融合，即实现了与 DSC 的无缝集成。非冗余取量即可实现 SIL3，通过冗余取量实现更高的可用性。(6) QUADLOG， 由MOORE公司开发， 日本横河电机公司收购后称prosafe plc，其 1oo2D 结构安全等级达 AK6 (SIL3)；(7) SIMATICS7400F/FH，德国 SIEMENS 公司产品。

12、400F 和 400FH 分别为1 个 CPU 和 2 个 CPU 运行 fail-safe（F）用户程序，均取得 TUV 认证，安全等级为 AK1AK6（SIL1SIL3）；(8) Regent Trusted，美国 ICS 利用宇航技术开发的安全系统。安全等级AK4AK6（SIL2SIL3）；(9) GMR90-70，美国 GE Fanuc 公司开发。其中 GMR90-70(模块式冗余容错)的安全等级为 class 5（2oo3），class 4（1oo2）和 class 5（2oo2）；(10) TRIGUARD SC300E， AUGUST 公司开发，1999 年成为 ABB 集团成员

13、之一，安全等级为 class 5 和 class 6，系统结构为 2oo3；(11) DeltaV SIS是艾默生推出的TV认证的新型整体回路概念的智能安全仪表系统，安全等级 SIL3。(12) Safeguard 400&300，ABB Industry 公司开发，系统结构 1oo2D。（篇幅有限不再一一列举）3、SIS 和 DCS 的比较DCS 与由 PES 构成的 SIS 的主要区别有：(1) 系统的组成：DCS 一般是由人机界面操作站、通信总线及现场控制站组成；而 SIS 系统是由传感器、逻辑解算器和最终元件三部分组成。及 DCS 不含检测执行部分。(2) 实现功能：DCS 用于过程连

14、续测量、常规控制（连续、顺序、间歇等）操作控制管理使生产过程在正常情况下运行至最佳工况； 而 SIS 是超越极限安全即将工艺、设备转至安全状态。(3) 工作状态：DCS 是主动的、动态的，它始终对过程变量连续进行检测、运算和控制，对生产过程动态控制确保产品质量和产量。而 SIS 系统是被动的、休眠的 。(4) 安全级别：DCS 安全级别低，不需要安全认证；而 SIS 系统级别高，需要安全认证。(5) 应对失效方式：DCS 系统大部分失效都是显而易见的，其失效会在生产的动态过程中自行显现，很少存在隐性失效；SIS 失效就没那么明显了，因此确定这种休眠系统是否还能正常工作的唯一方法， 就是对该系统

15、进行周期性的诊断或测试。 因此安全仪表系统需要人为的进行周期性的离线或在线检验测试，而有些安全系统则带有内部自诊断。4、SIS 设计应遵循的原则(1) 原则上应独立设置（含检测和执行单元）；(2) 中间环节最少；(3) 应为故障安全型；(4) 采用冗余容错结构。5、故障安全原则组成 SIS 的各环节自身出现故障的概率不可能为零， 且供电、供气中断亦可能发生。当内部或外部原因使 SIS 失效时，被保护的对象（装置）应按预定的顺序安全停车，自动转入安全状态（Fault to Safety），这就是故障安全原则。具体体现：(1) 现场开关仪表选用常闭接点，工艺正常时，触点闭合，达到安全极限时触点断开

16、，触发联锁动作，必要时采用“二选一”、“二选二”或“三选二”配置。(2) 电磁阀采用正常励磁，联锁未动作时，电磁阀线圈带电，联锁动作时断电。(3) 送往电气配电室用以开/停电机的接点用中间继电器隔离，其励磁电路应为故障安全型。(4) 作为控制装置（如 PLC）“故障安全”意味着当其自身出现故障而不是工艺或设备超过极限工作范围时， 至少应该联锁动作， 以便按预定的顺序安全停车 （这对工艺和设备而言是安全的）；进而应通过硬件和软件的冗余和容错技术，在过程安全时间（PST-Process Safety Time）内检测到故障，自动执行纠错程序，排除故障。6、隐故障与显故障隐故障（Covert Fau

17、lt）：不对危险产生报警，允许危险发展的故障，是故障危险故障（SHB-Z06-1999）。Covert Fault：Fault that canbe classified as hidden，concealed， undetected，unrevealed，latent， ect. （ISA-S84.01-1996）显故障（Overt Fault）：能显示出故障自身存在的故障，是故障安全故障 （SHB-Z06-1999） 。 Overt Fault： Fault that can be classifiedas announced， detected， revealed，ect.（ISA-S8

18、4.01-1996）SIS 系统拒动：当工艺条件达到或超过安全极限时，SIS 本应引导工艺过程停车，但由于其自身存在隐性故障（危险故障），譬如输出开关被误连短路，而不能响应此要求，即该停车而拒停，降低了安全性。危险失效定义为这样一些失效， 这些失效会阻止 SIS 系统对潜在的危险工况做出反应。SIS 系统误动：在图 4 中，当输出开关由于某种原因处于非激励状态，即使潜在的危险工况没有发生， SIS 也会进入一种安全失效状态见图 5，这种情况经常被称为“误动”。误动可能会以许多不同方式发生。例如，输入电路可能会发生故障， 从而使逻辑解算器误认为是传感器检测到了危险工况，而事实上并没有这种情况发生

19、。逻辑解算器本身也可能出现运算错误，并导致输出回路失电，输出回路可能出现开路。SIS 的许多元件失效均会导致系统进入安全失效状态。图 4 正常运行时的正常激励系统图 5PFS（安全故障概率）：正常激励的 SIS 系统在它的输出非激励时，就会处于故障状态，这有一个概率。称为安全故障概率（PFS），或称误动率。PFD（要求时失效概率）：这是一个衡量安全性的指标，称为要求时失效概率。它意味着系统是危险的。它不会再要求（潜在的紧急条件）发生时产生响应。SIS 的功能安全安全仪表系统必须在工业系统出现危险情况时正确执行其对应的安全功能， 安全仪表系统的这种特性被称为功能安全。功能安全实际上讲的是 SIS

20、 系统自身的安全问题。如图 6 示安全仪表系统，该系统由一个压力变送器、一个阀门和一个安全 PLC组成的 SIS 系统。(1) 压力变送器检测容器内压力并将其变换成合适的信号传送给安全 PLC，安全PLC 判断若压力超过了额定值则打开阀门以降低容器内压力， 这被称为安全系统的一个安全功能。很明显例子中仪表安全系统只有一个安全功能。如果三个设备有一个或多个失效，安全功能将失效，即它将不能对压力容器内压力进行限制。因此安全仪表系统的安全性能由传感器、逻辑解算器和执行器三部分功能决定。(2) SIS 安全功能实际上讲的是让 SIS 执行什么样的安全任务，如何保护受控设备。图 6反应器的安全仪表系统7

21、、安全性及响应失效率(1) 当工艺条件达到或超过安全极限值时，SIS 本应引导工艺过程停车，但由于其自身存在隐故障（危险故障）而不能响应此要求，即该停车而拒停，降低了安全性。(2) 衡量安全性的指标为响应失效率或称要求的故障率（PFD：Probability ofFailure on Demand）。它是安全联锁系统按要求执行指定功能的故障概率。是度量安全联锁系统按要求模式工作故障率的目标值（SHB-Z06-1999）。(3) 不同的工业过程（如生产规模、原料和产品的种类、工艺和设备的复杂程度等）对安全的要求是不同的。上述的国际标准将其划分为若干安全完整性等级（SIL：Safety Integ

22、rity Level）。安全完整性等级 Safety Integrity Level（SIL）安全完整性等级（SIL）是一种离散的等级，用来规定分配给 E/E/PE 安全相关系统安全功能的安全完整性要求。(1) 安全完整性等级可分为 4 个等级， SIL4 是安全完整性最高的等级 （平均概率最高），SIL1 是最低等级；(2) 安全完整性等级越高，应执行所要求的安全功能的概率也越高；(3) 根据安全相关系统使用方式，要求发生的频率可分为低要求操作模式（1 次/年）。根据 GB/T 20438 标准， 在不同的操作模式下， 安全完整性的目标失效概率和目标风险降低见下表 1-1 和 1-2。采用不

23、同的操作模式结构有可能使用几个安全完整性等级较低的系统来满足一个较高安全完整性等级功能的需要（例如：使用一个 SIL2 和一个 SIL1 的系统共同来满足一个 SIL3 功能的需要）。表 1-1 安全完整性等级：要求时的失效概率表 1-2 安全完整性等级：SIF 的危险失效概率表 1-3SIL 与 PFD 的对应关系8、可用性及可用度工艺条件并未达到安全极限值，SIS 不应引导工艺过程停车，但由于其自身存在显故障（安全故障）而导致工艺过程停车，即不该停车而误停，降低了可用性。可用度（A：Availability）是指系统可使用工作时间的概率，用百分数计算：MTBF：平均故障间隔时间（Mean

24、Time Between Failures）MDT：平均停车时间（Mean Downtime）MTBF：平均故障间隔时间（Mean Time Between Failure）MTTR：平均恢复时间（Mean Time to Repair）MTTF：平均无故障时间（Mean Time to Failure）例如：9、冗余和容错冗余(Redundant)具有指定的独立的 N： 1 重元件， 并且可以自动地检测故障， 切换到后备设备上。(SHB Z06 1999)冗余系统(Redundant System)并行地使用多个系统部件，以提供错误检测和错误校正能力的系统。(SHB Z06 1999)。容错

25、(Fault Tolerant)具有内部冗余的并行元件和集成逻辑，当硬件或软件部分故障时，能够识别故障并使故障旁路，进而继续执行指定的功能。或在硬件和软件发生故障的情况下，系统仍具有继续运行的能力。它往往包括三方面的功能：第一是约束故障，即限制过程或进程的动作，以防止在错误被检测出来之前继续扩大;第二是检测故障，即对信息和过程或进程的动作进行动态检测;第三是故障恢复即更换或修正失效的部件。(SHB Z06 1999)容错系统(Fault Tolerant System)具有容错结构的硬件与软件系统。(SHB Z06 1999)总之，通过冗余和故障屏蔽的结合来实现容错。容错系统一定是冗余系统，冗

26、余系统不一定是容错系统。容错系统的冗余形式有双重、三重、四重等。图 8 和图9、图 10 分别表示 CPU 冗余(双机热备)和三重化冗余容错系统。图 8 CPU 冗余(双机热备)图 9 三重模块冗余容错系统图 10 三重信号冗余容错系统怎样通过冗余来改善系统的整体 SIL 水平(1) 当一个 SIS 系统的安全完整性等级要求为 SIL3，而实际配置为传感器为 2.210-3(SIL 2)，逻辑解算器为 1.310-4(SIL3)(包括 I/O 接口)，终端执行器为2.4110-3(SIL2),所以整个系统为 SIL2 不满足要求。(2) 于是我们改变传感器的配置结构，选择 1oo2 冗余，其中

27、共因失效=10%，诊断覆盖率(DC)=90%， 可以算出 1oo2 传感器的结构的 PFD=2.310-4， 达到SIL3 的水平，同理可以配置执行器为 1oo2 冗余结构，也可达到 SIL3 的要求，于是最终整体 SIS 系统的 SIL 可以达到 SIL3 的要求。(3) 这个问题的解决给我们以启示，当装置引进一个 SIS 系统时，整体安全完整性等级不仅取决于逻辑解算器部分，而且传感器、终端执行器部分也非常关键。配置系统时， 除了引进一个 SIL3 的安全仪表系统， 譬如 FSC 等， 还要将传感器、终端执行器一并讨论。算出 SIS 整体的 SIL 数据，定量的安全仪表系统配置任务才算完成。

28、冗余表决方法及其安全性、可用性的关系可用性(A：Availability)是指系统可使用工作时间(连续运行时间)的概率，用百分数计算 A 值越大，可用性越好：A = MTBF/(MTBF+MTTR)而 PFD= MTTR /(MTBF+MTTR)PFD 越小则安全性越好。冗余逻辑表决方法及安全性-可用性的关系例子如下表所示。表 2 冗余逻辑的表决方法及其与安全性、可用性的关系以上可见：(1)隐故障(危险故障)使 SIS 该动而拒动，隐故障概率越高，安全性越差。(2)显故障(安全故障)使 ESD 不该动而误动，显故障概率越高，可用性越差。1oo2(二选一)安全性最好，但可用性最差;2oo2(二选

29、二)可用性最好，但安全性最差;2oo3(三选二)可兼顾。10、普通 PLC 和安全 PLC 的区别普通 PLC 和可以作为 ESD 控制部分的安全 PLC 的主要区别是：普通 PLC 不是按故障安全型设计的，当系统内部元件出现短路故障时，它并不能检测到，因此其输出状态不能保证系统回到预定的安全状态。这种 PLC 只能用于安全度等级要求低的场合。现以输出电路为例予以说明。图 11 普通 PLC DO 卡示意图普通 PLC DO 卡(1) 当 1、2 两点短路时，来自 PLC 的控制信号将不起作用(失效)，电磁阀将一直处于带电(励磁)状态，即需要联锁动作(电磁阀释电停车)时，由于此故障的存在而拒动

30、，其输出不能保证处于安全停车状态。这就是违背了故障安全(Fault toSafety)的原则。(2) 当 1、2 两点开路时，将导致误动作而停车，同样会带来损失。可见，这种普通 PLC 的 DO 卡输出电路的安全性和可用性都是不高的。图 12 安全性单容错 DO 卡示意图安全性单容错 DO 卡图 12 所示为一种带有安全性单容错的 DO 卡示意图(它是 Honeywell SMSFSC-101 型输出示意图)。这里，中央处理器不仅向串联的场效应管(FET)发出控制信号，而且还接受来自场效应管的状态反馈信号，以便对其输出进行全面测试。当测得某管输出发生短路时，中央处理器即启动纠错动作，隔离相关的

31、故障。看门狗(Watch Dog)是个多通道的计时器电路。它由中央处理器和内存等周期性地触发，如果两个触发之间的时间小于某设定值或者大于某最大值，则看门狗的输出将失效。同时看门狗还能监视内部工作电压，使之在正常的电压范围内。普通 PLC 和安全 PLC 的区别以上仅是 DO 卡上的差别。作为安全 PLC，至少应具备以下几点：(1) 满足相关安全标准规范要求，且经过权威机构认证，取得了相应安全等级证书;(2) 在硬件和软件上采用冗余、容错措施，具有完善的测试手段，当检测到系统故障，特别是危险故障时能使系统回到安全状态;(3) 能进行系统故障报警，指示故障原因、故障位置，便于在线维护;能与 DCS

32、 或其它设备进行通讯。11、工艺过程风险的评估及安全度等级的评定不同的工艺过程(生产规模、原料和产品的种类、工艺和设备的复杂程度等)对安全的要求是不同的。一个具体的工艺过程，是否需要配置 SIS、配置何种等级的SIS，其前提应该是对此具体的工艺过程进行风险评估，要进行危险及可操作性分析(HAZOP)， 然后辨识出与此分析相应的安全仪表功能(SIF),(找到一个安全仪表连锁回路)，再根据风险出现的频率和其产生的严重后果，找到一个与此 SIF相应的 SIL 值，在确定了某个安全仪表功能的完整性等级(SIL)之后，再配置与之相适应的 SIS。表 1-3 可以看出，若某工艺过程的所需 SIF 经评定后

33、为 SIL 2，则配置达到 AK4 的 SIS 即可，其响应失效率(PFD)为百分之一至千分之一之间。(1) 应该注意的是不同安全级别的 SIS， 只能确保响应失效率(PFD)在一定的范围内，安全级别越高的 SIS，其 PFD 越小，即发生事故的可能性越小，但它不能改变事故造成的后果。因此，工艺过程安全完整性等级的评定是一项十分重要的工作。但目前我国尚无如何评定安全完整性等级的标准和规范。国际、国外标准中提供了某些评定方法。下面介绍的风险矩阵(RISK MATRIX)评估方法可供参考。(2) 这种方法以工艺过程事故出现的频率(可能性)及其危害程度(严重性)为风险评估的指标，并对频率和危害程度人为量化为若干级，作出矩阵表(见表 3)。以此确定工艺过程度安全完整性等级。表 3 风险矩阵风险矩阵(1)表 3 中频率分级的年限(多少年出现一次)考虑了采用 DCS 进行监视、控制以及正常操作规程等对于降低事故出现频率的贡献，但不考虑 ESD 的存在。(2)表 3 中危害程度从经济损失、 人身伤害和环境危害三个方面予以量化。 如表 4所示。表 4 危害程度的量化12、逻辑运算的基本规则