AE全仪表系统培训讲义-燕山石化王立奉.ppt

燕山石化王立奉 安全仪表系统 SIS 1什么是安全仪表系统 1什么是安全仪表系统 在IEC61508中 SIS被称为安全相关系统 SafetyRelatedSystem 将被控对象称为被控设备 EUC IEC61511将安全仪表系统SIS定义为用于执行一个或多个安全仪表功能 SafetyInstrumentedSystem 的仪表系统 SIS是由传感器 如各类开关 变送器等 逻辑控制器 以及最终元件 如电磁阀 电动门等 的组合组成 IEC61511又进一步指出 SIS可以包括 也可以不包括软件 另外 当操作人员的手动操作被视为SIS的有机组成部分时 必须在安全规格书 SafetyRequirementSpecification SRS 中对人员操作动作的有效性和可靠性做出明确规定 并包括在SIS的绩效计算中 从SIS的发展过程看 其控制单元部分经历了电气继电器 Electrical 电子固态电路 Electronic 和可编程电子系统 ProgrammableElectronicSystem 即E E PES三个阶段 图1SIS的构成 检测单元 输入模块 控制模块 输出模块 执行单元 PES 下图为由PES构成的SIS SIS安全仪表系统 SIS仪表安包含全控制功能 也可包含仪表安全保护功能 或包含这两者 需要说明的是 这里所说的仪表控制功能 是指以连续模式 ContinuousMode 操作并具有特定的SIL 用于防止危险状态发生或者减轻其发生的后果 与常规的PID控制功能是完全不同的概念 SIS可以包括或不包括软件SIS的一部分也可能是人的动作 SIS安全仪表系统 如图2所示 这是一个气液分离容器A液位控制的安全仪表功能 对这个安全仪表功能完整的描述是 当容器液位开关达到安全联锁值时 逻辑运算器 图3 使电磁阀2断电 则切断进调节阀膜头信号 使调节阀切断容器A进料 这个动作要在3秒内完成 安全等级必须达到SIL2 这是一个安全仪表功能的完整描述 而所谓的安全仪表系统 则是类似一个或多个这样的安全仪表功能的集合 图2安全仪表回路图 图2说明 L液面超高 L1接点闭合 Z带电 Z1常闭接点打开 S线圈断电 S电磁阀切断 往调节阀膜头的控制信号调节阀切断工艺进料 完成联锁保护作用 K起 按钮开关 起动联锁保护回路兼有复位作用 K停 起人工强制起动联锁保护作用 K旁 旁路联锁保护作用 用于开车或检修联锁信号仪表 图3SIS逻辑图 SIS安全仪表系统 大多石油和化工生产过程具有高温 高压 易燃 易爆 有毒等危险 当某些工艺参数超出安全极限 未及时处理或处理不当时 便有可能造成人员伤亡 设备损坏 周边环境污染等恶性事故 这就是说 从安全的角度出发 石油和化工生产过程自身存在着固有的风险 总之 SIS是一种经专门机构认证 具有一定安全完整性水平 用于降低生产过程风险的仪表安全保护系统 它不仅能响应生产过程因超过安全极限而带来的风险 而且能检测和处理自身的故障 从而按预定条件或程序使生产过程处于安全状态 以确保人员 设备及工厂周边环境的安全 SIS安全仪表系统 按照SIS的定义 下述系统均属于安全仪表系统 安全联锁系统 SafetyInterlockSystem SIS 安全关联系统 SafetyRelatedSystem SRS 仪表保护系统 InstrumentProtectiveSystem IPS 透平压缩机集成控制系统 IntegratedTurbo CompressorControlSystem ITCC 火灾及气体检测系统 Fireandgassystems F G 紧急停车系统 EmergencyShutdownDevice ESD 燃烧管理系统 BurnerManagementSystem 列车自动防护系统 ATP 2SIS的相关标准及认证机构 SIS的相关标准及认证机构 鉴于SIS涉及到人员 设备 环境的安全 因此各国均制定了相关的标准 规范 使得SIS的设计 制造 使用均有章可循 并有权威的认证机构对产品能达到的安全等级进行确认 这些标准 规范及认证机构主要有 我国石化集团制定的行业标准SHB Z06 1999 石油化工紧急停车及安全联锁系统设计导则 2006年 2007年等同采用IEC61508 IEC61511的中国国家标准GB T20438 GB T21109相继发布 中国的功能安全标准开始规范我国的功能安全工作 SIS的相关标准及认证机构 国际电工委员会1997年制定的IEC61508 61511标准 对用机电设备 继电器 固态电子设备 可编程电子设备 PLC 构成的安全联锁系统的硬件 软件及应用作出了明确规定 美国仪表学会制定的ISA S84 01 1996 安全仪表系统在过程工业中的应用 美国化学工程学会制定的AICHE ccps 1993 化学过程的安全自动化导则 英国健康与安全执行委员会制定的HSEPES 1987 可编程电子系统在安全领域的应用 SIS的相关标准及认证机构 德国国家标准中有安全系统制造厂商标准 DINVVDE0801 过程操作用户标准 DINV19250和DINV19251 燃烧管理系统标准 DINVDE0116等 德国技术监督协会 T V 是一个独立的 权威的认证机构 它按照德国国家标准 DIN 将ESD所达到的安全等级分为AK1 AK8 AK8安全级别最高 其中AK4 AK5 AK6为适用于石油和化学工业取得TUV认证的SIS产品 SIS的相关标准及认证机构 在国内石化行业中应用的SIS产品中 经过TUV认证的主要有 Tricon Triden 美国Triconex公司开发用于压缩机综合控制 ITCC 和紧急停车系统 安全等级为AK6 SIL3 FSC Failsafecontrol 由荷兰P F Pepper Fuchs 公司开发 1994年被Honeywell公司收购 安全等级可达AK6 SIL3 SIS的相关标准及认证机构 HIMAPES HIMA是德国一家专业生产安全控制设备的公司 PES ProgrammableElectronicSystem 是可编程电子系统的简称 是近几年来国内引进较多的一种安全仪表系统 主要由H41q和H51q系统组成 H41q也叫小系统 它分为不冗余的系统和冗余的系统 不冗余系统型号为H41q M 冗余系统又分为高可靠系统H41q H和高性能系统H41q HR H51q称为模块化的系统 它也分为不冗余的系统和冗余的系统 不冗余的系统型号为H51q H和高性能系统H51q HR 各种型号的PES都具有TUVAK1 6级认证 SIS的相关标准及认证机构 Prosafe RS 是横河电机安全仪表系统 其特点是与CENTUMCS 3000R3的技术融合 即实现了与DSC的无缝集成 非冗余取量即可实现SIL3 通过冗余取量实现更高的可用性 QUADLOG 由MOORE公司开发 日本横河电机公司收购后称prosafeplc 其1oo2D结构安全等级达AK6 SIL3 SIMATICS7 400F FH 德国SIEMENS公司产品 400F和400FH分别为1个CPU和2个CPU运行fail safe F 用户程序 均取得TUV认证 安全等级为AK1 AK6 SIL1 SIL3 SIS的相关标准及认证机构 RegentTrusted 美国ICS利用宇航技术开发的安全系统 安全等级AK4 AK6 SIL2 SIL3 GMR90 70 美国GEFanuc公司开发 其中GMR90 70 模块式冗余容错 的安全等级为class5 2oo3 class4 1oo2 和class5 2oo2 TRIGUARDSC300E AUGUST公司开发 1999年成为ABB集团成员之一 安全等级为class5和class6 系统结构为2oo3 Safeguard400 300 ABBIndustry公司开发 系统结构1oo2D 3SIS和DCS的比较 SIS和DCS的比较 DCS与由PES构成的SIS的主要区别有 SIS和DCS的比较 系统的组成 DCS一般是由人机界面操作站 通信总线及现场控制站组成 而SIS系统是由传感器 逻辑解算器和最终元件三部分组成 及DCS不含检测执行部分 实现功能 DCS用于过程连续测量 常规控制 连续 顺序 间歇等 操作控制管理使生产过程在正常情况下运行至最佳工况 而SIS是超越极限安全即将工艺 设备转至安全状态 工作状态 DCS是主动的 动态的 它始终对过程变量连续进行检测 运算和控制 对生产过程动态控制确保产品质量和产量 而SIS系统是被动的 休眠的 SIS和DCS的比较 安全级别 DCS安全级别低 不需要安全认证 而SIS系统级别高 需要安全认证 应对失效方式 DCS系统大部分失效都是显而易见的 其失效会在生产的动态过程中自行显现 很少存在隐性失效 SIS失效就没那么明显了 因此确定这种休眠系统是否还能正常工作的唯一方法 就是对该系统进行周期性的诊断或测试 因此安全仪表系统需要人为的进行周期性的离线或在线检验测试 而有些安全系统则带有内部自诊断 4SIS设计应遵循的原则 SIS设计应遵循的原则 原则上应独立设置 含检测和执行单元 中间环节最少 应为故障安全型 采用冗余容错结构 5故障安全原则 故障安全原则 组成SIS的各环节自身出现故障的概率不可能为零 且供电 供气中断亦可能发生 当内部或外部原因使SIS失效时 被保护的对象 装置 应按预定的顺序安全停车 自动转入安全状态 FaulttoSafety 这就是故障安全原则 具体体现 现场开关仪表选用常闭接点 工艺正常时 触点闭合 达到安全极限时触点断开 触发联锁动作 必要时采用 二选一 二选二 或 三选二 配置 电磁阀采用正常励磁 联锁未动作时 电磁阀线圈带电 联锁动作时断电 故障安全原则 送往电气配电室用以开 停电机的接点用中间继电器隔离 其励磁电路应为故障安全型 作为控制装置 如PLC 故障安全 意味着当其自身出现故障而不是工艺或设备超过极限工作范围时 至少应该联锁动作 以便按预定的顺序安全停车 这对工艺和设备而言是安全的 进而应通过硬件和软件的冗余和容错技术 在过程安全时间 PST ProcessSafetyTime 内检测到故障 自动执行纠错程序 排除故障 6隐故障与显故障 隐故障与显故障 隐故障 CovertFault 不对危险产生报警 允许危险发展的故障 是故障危险故障 SHB Z06 1999 CovertFault Faultthatcanbeclassifiedashidden concealed undetected unrevealed latent ect ISA S84 01 1996 显故障 OvertFault 能显示出故障自身存在的故障 是故障安全故障 SHB Z06 1999 OvertFault Faultthatcanbeclassifiedasannounced detected revealed ect ISA S84 01 1996 隐故障与显故障 SIS系统拒动 当工艺条件达到或超过安全极限时 SIS本应引导工艺过程停车 但由于其自身存在隐性故障 危险故障 譬如输出开关被误连短路 而不能响应此要求 即该停车而拒停 降低了安全性 危险失效定义为这样一些失效 这些失效会阻止SIS系统对潜在的危险工况做出反应 隐故障与显故障 SIS系统误动 在图4中 当输出开关由于某种原因处于非激励状态 即使潜在的危险工况没有发生 SIS也会进入一种安全失效状态见图5 这种情况经常被称为 误动 误动可能会以许多不同方式发生 例如 输入电路可能会发生故障 从而使逻辑解算器误认为是传感器检测到了危险工况 而事实上并没有这种情况发生 逻辑解算器本身也可能出现运算错误 并导致输出回路失电 输出回路可能出现开路 SIS的许多元件失效均会导致系统进入安全失效状态 图4正常运行时的正常激励系统 SIS 负载 压力开关 开关量输入 正常运行时开关闭合 非正常运行时开关打开 正常工作时输出开关处在激励状态 非正常运行时输出开关处在失励状态 输出开关 图5 SIS 负载 压力开关 开关量输入 即使压力开关闭合 由于输入电路的故障SIS也会误认为它是打开的 输出电路发生开路故障 逻辑解算器不能读取1输入 不能进行正常的逻辑运算 也不能生成逻辑1输出 输出开关 PFS 安全故障概率 正常激励的SIS系统在它的输出非激励时 就会处于故障状态 这有一个概率 称为安全故障概率 PFS 或称误动率 PFD 要求时失效概率 这是一个衡量安全性的指标 称为要求时失效概率 它意味着系统是危险的 它不会再要求 潜在的紧急条件 发生时产生响应 SIS的功能安全安全仪表系统必须在工业系统出现危险情况时正确执行其对应的安全功能 安全仪表系统的这种特性被称为功能安全 功能安全实际上讲的是SIS系统自身的安全问题 SIS的安全功能 如图6示安全仪表系统 该系统由一个压力变送器 一个阀门和一个安全PLC组成的SIS系统 压力变送器检测容器内压力并将其变换成合适的信号传送给安全PLC 安全PLC判断若压力超过了额定值则打开阀门以降低容器内压力 这被称为安全系统的一个安全功能 很明显例子中仪表安全系统只有一个安全功能 如果三个设备有一个或多个失效 安全功能将失效 即它将不能对压力容器内压力进行限制 因此安全仪表系统的安全性能由传感器 逻辑解算器和执行器三部分功能决定 SIS安全功能实际上讲的是让SIS执行什么样的安全任务 如何保护受控设备 图6反应器的安全仪表系统 PS Logicsolve逻辑解算器 feedvalve进料阀 Reactor反应器 TS Feed进料 PressureSensor压力变送器 TemperatureSensor温度变送器 当反应器温度及压力超高达到危险状态时都要停车 关断进料阀 7安全性及响应失效率 安全性及响应失效率 当工艺条件达到或超过安全极限值时 SIS本应引导工艺过程停车 但由于其自身存在隐故障 危险故障 而不能响应此要求 即该停车而拒停 降低了安全性 衡量安全性的指标为响应失效率或称要求的故障率 PFD ProbabilityofFailureonDemand 它是安全联锁系统按要求执行指定功能的故障概率 是度量安全联锁系统按要求模式工作故障率的目标值 SHB Z06 1999 不同的工业过程 如生产规模 原料和产品的种类 工艺和设备的复杂程度等 对安全的要求是不同的 上述的国际标准将其划分为若干安全完整性等级 SIL SafetyIntegrityLevel 安全完整性等级SafetyIntegrityLevel SIL 安全完整性等级 SIL 是一种离散的等级 用来规定分配给E E PE安全相关系统安全功能的安全完整性要求 安全完整性等级可分为4个等级 SIL4是安全完整性最高的等级 平均概率最高 SIL1是最低等级 安全完整性等级越高 应执行所要求的安全功能的概率也越高 根据安全相关系统使用方式 要求发生的频率可分为低要求操作模式 1次 年 安全完整性等级SafetyIntegrityLevel SIL 根据GB T20438标准 在不同的操作模式下 安全完整性的目标失效概率和目标风险降低见下表1 1和1 2 采用不同的操作模式结构有可能使用几个安全完整性等级较低的系统来满足一个较高安全完整性等级功能的需要 例如 使用一个SIL2和一个SIL1的系统共同来满足一个SIL3功能的需要 表1 1安全完整性等级 要求时的失效概率 表1 2安全完整性等级 SIF的危险失效概率 表1 3SIL与PFD的对应关系 8可用性及可用度 可用性及可用度 工艺条件并未达到安全极限值 SIS不应引导工艺过程停车 但由于其自身存在显故障 安全故障 而导致工艺过程停车 即不该停车而误停 降低了可用性 可用度 A Availability 是指系统可使用工作时间的概率 用百分数计算 SHB Z06 1999 MTBF 平均故障间隔时间 MeanTimeBetweenFailures MDT 平均停车时间 MeanDowntime MTTF MTTR MTBF与SIL的关系 MTBF 平均故障间隔时间 MeanTimeBetweenFailure MTTR 平均恢复时间 MeanTimetoRepair MTTF 平均无故障时间 MeanTimetoFailure 例如 开车 MTTF SIS系统运行总时间 MTTR24h SIS故障时间 MTBF2000h 发生危险故障 图7MTTF MTTR和MTBF MTTF MTTR MTBF与SIL的关系 MTTF MTTR MTBFPFD MTTR MTBF MTTR 已知MTTR 24HMTBF 2000H则PFD 24 24 2000 0 0119所以硬件安全完整性等级达到SIL1水平 9冗余和容错 冗余和容错 冗余 Redundant 具有指定的独立的N 1重元件 并且可以自动地检测故障 切换到后备设备上 SHB Z06 1999 冗余系统 RedundantSystem 并行地使用多个系统部件 以提供错误检测和错误校正能力的系统 SHB Z06 1999 冗余和容错 容错 FaultTolerant 具有内部冗余的并行元件和集成逻辑 当硬件或软件部分故障时 能够识别故障并使故障旁路 进而继续执行指定的功能 或在硬件和软件发生故障的情况下 系统仍具有继续运行的能力 它往往包括三方面的功能 第一是约束故障 即限制过程或进程的动作 以防止在错误被检测出来之前继续扩大 第二是检测故障 即对信息和过程或进程的动作进行动态检测 第三是故障恢复即更换或修正失效的部件 SHB Z06 1999 冗余和容错 容错系统 FaultTolerantSystem 具有容错结构的硬件与软件系统 SHB Z06 1999 总之 通过冗余和故障屏蔽的结合来实现容错 容错系统一定是冗余系统 冗余系统不一定是容错系统 容错系统的冗余形式有双重 三重 四重等 图8和图9 图10分别表示CPU冗余 双机热备 和三重化冗余容错系统 图8CPU冗余 双机热备 现场设备 图9三重模块冗余容错系统 图10三重信号冗余容错系统 怎样通过冗余来改善系统的整体SIL水平 当一个SIS系统的安全完整性等级要求为SIL3 而实际配置为传感器为2 2 10 3 SIL2 逻辑解算器为1 3 10 4 SIL3 包括I O接口 终端执行器为2 41 10 3 SIL2 所以整个系统为SIL2不满足要求 于是我们改变传感器的配置结构 选择1oo2冗余 其中共因失效 10 诊断覆盖率 DC 90 可以算出1oo2传感器的结构的PFD 2 3 10 4 达到SIL3的水平 同理可以配置执行器为1oo2冗余结构 也可达到SIL3的要求 于是最终整体SIS系统的SIL可以达到SIL3的要求 怎样通过冗余来改善系统的整体SIL水平 这个问题的解决给我们以启示 当装置引进一个SIS系统时 整体安全完整性等级不仅取决于逻辑解算器部分 而且传感器 终端执行器部分也非常关键 配置系统时 除了引进一个SIL3的安全仪表系统 譬如FSC等 还要将传感器 终端执行器一并讨论 算出SIS整体的SIL数据 定量的安全仪表系统配置任务才算完成 冗余表决方法及其安全性 可用性的关系 可用性 A Availability 是指系统可使用工作时间 连续运行时间 的概率 用百分数计算A值越大 可用性越好 A MTBF MTBF MTTR 而PFD MTTR MTBF MTTR PFD越小则安全性越好 冗余逻辑表决方法及安全性 可用性的关系例子如下表所示 表2冗余逻辑的表决方法及其与安全性 可用性的关系 注 此表中故障概率数据摘自西门子公司资料 冗余表决方法及其安全性 可用性的关系 以上可见 隐故障 危险故障 使SIS该动而拒动 隐故障概率越高 安全性越差 显故障 安全故障 使ESD不该动而误动 显故障概率越高 可用性越差 1oo2 二选一 安全性最好 但可用性最差 2oo2 二选二 可用性最好 但安全性最差 2oo3 三选二 可兼顾 10普通PLC和安全PLC的区别 普通PLC和安全PLC的区别 普通PLC和可以作为ESD控制部分的安全PLC的主要区别是 普通PLC不是按故障安全型设计的 当系统内部元件出现短路故障时 它并不能检测到 因此其输出状态不能保证系统回到预定的安全状态 这种PLC只能用于安全度等级要求低的场合 现以输出电路为例予以说明 图11是普通PLCDO卡示意图 图11普通PLCDO卡示意图 普通PLCDO卡 当1 2两点短路时 来自PLC的控制信号将不起作用 失效 电磁阀将一直处于带电 励磁 状态 即需要联锁动作 电磁阀释电停车 时 由于此故障的存在而拒动 其输出不能保证处于安全停车状态 这就是违背了故障安全 FaulttoSafety 的原则 当1 2两点开路时 将导致误动作而停车 同样会带来损失 可见 这种普通PLC的DO卡输出电路的安全性和可用性都是不高的 图12安全性单容错DO卡示意图 安全性单容错DO卡 图12所示为一种带有安全性单容错的DO卡示意图 它是HoneywellSMSFSC 101型输出示意图 这里 中央处理器不仅向串联的场效应管 FET 发出控制信号 而且还接受来自场效应管的状态反馈信号 以便对其输出进行全面测试 当测得某管输出发生短路时 中央处理器即启动纠错动作 隔离相关的故障 看门狗 WatchDog 是个多通道的计时器电路 它由中央处理器和内存等周期性地触发 如果两个触发之间的时间小于某设定值或者大于某最大值 则看门狗的输出将失效 同时看门狗还能监视内部工作电压 使之在正常的电压范围内 普通PLC和安全PLC的区别 以上仅是DO卡上的差别 作为安全PLC 至少应具备以下几点 满足相关安全标准规范要求 且经过权威机构认证 取得了相应安全等级证书 在硬件和软件上采用冗余 容错措施