史上最全SIS安全仪表系统解析

1、精品文档 1、什么是安全仪表系统 在IEC61508中，SIS被称为安全相关系统(Safety Related System )，将被控 对象称为被控设备(EUC o IEC61511将安全仪表系统SIS定义为用于执行一个或多个安全仪表功能(Safety In strume nted Fu nctio n,SIF )的仪表系统。SIS是由传感器(如各类开关、变 送器等)、逻辑控制器、以及最终元件(如电磁阀、电动门等)的组合组成 ，如 图1所示。 IEC61511又进一步指出，SIS可以包括，也可以不包括软件。另外，当操作人员 的手动操作被视为SIS的有机组成部分时，必须在安全规格书(Safet

2、y Requireme nt Specificatio n,SRS) 中对人员操作动作的有效性和可靠性做出明 确规定，并包括在SIS的绩效计算中。 从SIS的发展过程看，其控制单元部分经历了电气继电器(Electrical )、电子 固态电路(Electronic )和可编程电子系统(Programmable Electronic System)， 即E/E/PES三个阶段。 安监总局116号文件 国家安全监管总局于2014年11月13日下发国家安全监管总局关于加强化工 安全仪表系统管理 指导意见(安监总管三2014116号) 该意见涉及到了生产，设计，管理等多个方面。 HAZO分析，SIL等

3、级评估，安 全系统验证，老装置安全系统安全等级评估，安全系统改造等，这些工作将在今 后几年中越来越多，越来越重要！ 下图为由PES构成的SIS 图1 SIS的构成 SIS安全仪表系统 1欢迎下载 精品文档 (1) SIF安全仪表功能可以是安全仪表保护功能，也可以是安全仪表控制功能， 或包含这两者。 (2) 需要说明的是，这里所说的安全仪表控制功能，是指以连续模式(Continuous Mode操作并具有特定的SIL,用于防止危险状态发生或者减轻其发生的后果， 与常规的PID控制功能是完全不同的概念。 (3) SIS可以包括或不包括软件 (4) SIS的一部分也可能是人的动作 如图2所示，这是一

4、个气液分离容器A液位控制的安全仪表功能回路图。 对这个 安全仪表功能完整的描述是：当容器液位开关达到安全联锁值时，逻辑运算器(图 3)使电磁阀2断电，则切断进调节阀膜头信号，使调节阀切断容器 A进料，这 个动作要在3秒内完成，安全等级必须达到 SIL2。这是一个安全仪表功能的完 整描述，而所谓的安全仪表系统，则是类似一个或多个这样的安全仪表功能的集 合。 图2安全仪表回路图 图2说明： L液面超高-L1接点闭合-Z带电。 Z1常闭接点打开，S线圈断电。 S电磁阀切断，往调节阀膜头的控制信号调节阀切断工艺进料，完成联锁保护作 用。 K起：按钮开关：起动联锁保护回路兼有复位作用。 K停：起人工强制

5、起动联锁保护作用。 K旁：旁路联锁保护作用，用于开车或检修联锁信号仪表。 图3 SIS逻辑图 2欢迎下载 精品文档 大多石油和化工生产过程具有咼温、咼压、易燃、易爆、有毒等危险。当某些工 艺参数超出安全极限，未及时处理或处理不当时，便有可能造成人员伤亡、设备 损坏、周边环境污染等恶性事故。这就是说，从安全的角度出发，石油和化工生 产过程自身存在着固有的风险。 总之，SIS是一种经专门机构认证，具有一定安全完整性水平，用于降低生产过 程风险的仪表安全保护系统。它不仅能响应生产过程因超过安全极限而带来的风 险，而且能检测和处理自身的故障，从而按预定条件或程序使生产过程处于安全 状态，以确保人员、设

6、备及工厂周边环境的安全。 按照SIS的定义，下述系统均属于安全仪表系统: 安全联锁系统(Safety In terlock System SIS)； 安全关联系统(Safety Related System SRS ； 仪表保护系统(In strume nt Protective System IPS)； 透平压缩机集成控制系统(In tegrated Turbo & Compressor Control System ITCC)； 火灾及气体检测系统(Fire and gas systems F&G ； 紧急停车系统(Emergency Shutdown Device ESD

7、 ； 燃烧管理系统(Burner Management System)； 列车自动防护系统(ATP 2、SIS的相关标准及认证机构 鉴于SIS涉及到人员、设备、环境的安全，因此各国均制定了相关的标准、规范, 使得SIS的设计、制造、使用均有章可循。并有权威的认证机构对产品能达到的 安全等级进行确认。这些标准、规范及认证机构主要有： 我国石化集团制定的行业标准 SHB-Z06-1999石油化工紧急停车及安全联锁 系统设计导则。 2006年、2007年等同采用IEC61508 IEC61511的中国国家标准 GB/T20438 GB/T21109相继发布，中国的功能安全标准开始规范我国的功能安全工

8、作。 3欢迎下载 精品文档 国际电工委员会1997年制定的IEC 61508/61511标准，对用机电设备(继电 器)、固态电子设备、可编程电子设备(PLC构成的安全联锁系统的硬件、软 件及应用作出了明确规定。 (4) 美国仪表学会制定的ISA-S84.01-1996安全仪表系统在过程工业中的应 用。 (5) 美国化学工程学会制定的 AICHE(ccps)-1993，化学过程的安全自动化导 则。 (6)英国健康与安全执行委员会制定的 HSEPES-1987,可编程电子系统在安全 领域的应用。 德国国家标准中有安全系统制造厂商标准-DIN V VDE0801、过程操作用户标 准-DIN V 19

9、250和DIN V 19251、燃烧管理系统标准-DIN VDE 0116等。 (8)德国技术监督协会(TiV)是一个独立的、权威的认证机构，它按照德国国家 标准(DIN),将ESD所达到的安全等级分为AK1AK8 AK8安全级别最高。其 中AK4 AK5 AK6为适用于石油和化学工业 取得TiV认证的SIS产品。 在国内石化行业中应用的 SIS产品中，经过TtV认证的主要有： (1) Tricon 、Triden， 美国Triconex公司开发用于压缩机综合控制(ITCC)和 紧急停车系统。安全等级为 AK6( SIL3 )。 FSC (Fail safe control )，由荷兰 P&a

10、mp;F (Pepper&Fuchs)公司开发，1994 年被Honeywell公司收购。安全等级 AK6 (SIL3) 和利时集团HiaGuard (SIS)，我国首套获TtV SIL3认证的安全仪表系统。 HIMA PES，HIMA是德国一家专业生产安全控制设备的公司， PES (Programmable Electro nic System)是可编程电子系统的简称，是近几年来国内 引进较多的一种安全仪表系统。主要由 H41q和H51q系统组成。H41q也叫小系 统，它分为不冗余的系统和冗余的系统，不冗余系统型号为 H41c M冗余系统 又分为高可靠系统H41c H和高性能系统H4

11、1c HR H51q称为模块化的系统， 它也分为不冗余的系统和冗余的系统，不冗余的系统型号为H51c H和高性能系 统H51c HR各种型号的PES都具有TiV AK16级认证。(仪控工程网在线学 习频道，有关于HIMA公司及产品的介绍) Prosafe RS是横河电机安全仪表系统，其特点是与 CENTUMCS.3000 R3 的技术融合，即实现了与 DSC的无缝集成。非冗余取量即可实现 SIL3，通过冗 余取量实现更高的可用性。 4欢迎下载 精品文档 QUADLOG由MOOR公司开发，日本横河电机公司收购后称 prosafe pic , 其1oo2D结构安全等级达AK6 (SIL3); SI

12、MATICS7 400F/FH,德国 SIEMENS公司产品。400F和 400FH分别为 1 个 CPU和2个CPU运行fail-safe (F)用户程序，均取得TUV认证，安全等级为 AK1AK6(SIL1SIL3)； (8) Regent Trusted，美国ICS利用宇航技术开发的安全系统。安全等级AK4AK6 (SIL2SIL3)； (9) GMR90-70,美国GE Fanuc公司开发。其中 GMR90-70模块式冗余容错)的安 全等级为 class 5 ( 2oo3)， class 4 ( 1oo2)和 class 5 ( 2oo2)； (10) TRIGUARDC300E AU

13、GUSTA司开发，1999 年成为 ABB集团成员之一，安 全等级为class 5 和class 6，系统结构为2oo3; (11) DeltaV SIS是艾默生推出的TtV认证的新型整体回路概念的智能安全仪表 系统，安全等级SIL3。 (12) Safeguard 400&300 ，ABB Industry 公司开发，系统结构 1oo2Db (篇幅有限不再一一列举) 3、SIS和DCS的比较 DCS与由PES构成的SIS的主要区别有: (1) 系统的组成：DCS-般是由人机界面操作站、通信总线及现场控制站组成； 而SIS系统是由传感器、 逻辑解算器和最终元件三部分组成。 及DCS不含

14、检测执 行部分。 (2) 实现功能：DCS用于过程连续测量、常规控制(连续、顺序、间歇等)操作 控制管理使生产过程在正常情况下运行至最佳工况；而SIS是超越极限安全即将 工艺、设备转至安全状态。 (3) 工作状态：DCS是主动的、动态的，它始终对过程变量连续进行检测、运算 和控制，对生产过程动态控制确保产品质量和产量。 而SIS系统是被动的、休眠 的。 5欢迎下载 精品文档 (4) 安全级别：DCS安全级别低，不需要安全认证；而 SIS系统级别高，需要安 全认证。 (5) 应对失效方式：DCS系统大部分失效都是显而易见的，其失效会在生产的动 态过程中自行显现，很少存在隐性失效；SIS失效就没那

15、么明显了，因此确定这 种休眠系统是否还能正常工作的唯一方法，就是对该系统进行周期性的诊断或测 试。因此安全仪表系统需要人为的进行周期性的离线或在线检验测试， 而有些安 全系统则带有内部自诊断。 4、SIS设计应遵循的原则 (1) 原则上应独立设置(含检测和执行单元)； (2) 中间环节最少； (3) 应为故障安全型； (4) 采用冗余容错结构。 5、故障安全原则 组成SIS的各环节自身出现故障的概率不可能为零， 且供电、供气中断亦可能 发生。 当内部或外部原因使SIS失效时，被保护的对象(装置)应按预定的顺序安全停 车，自动转入安全状态(Fault to Safety )，这就是故障安全原则。

16、 具体体现： (1) 现场开关仪表选用常闭接点，工艺正常时，触点闭合，达到安全极限时触点 断开，触发联锁动作，必要时采用“二选一”、“二选二”或“三选二”配置。 (2) 电磁阀采用正常励磁，联锁未动作时，电磁阀线圈带电，联锁动作时断电。 送往电气配电室用以开/停电机的接点用中间继电器隔离，其励磁电路应为 故障安全型。 6欢迎下载 精品文档 作为控制装置(如PLC “故障安全”意味着当其自身出现故障而不是工艺 或设备超过极限工作范围时，至少应该联锁动作，以便按预定的顺序安全停车(这 对工艺和设备而言是安全的)；进而应通过硬件和软件的冗余和容错技术，在过 程安全时间(PST-Process Saf

17、ety Time )内检测到故障，自动执行纠错程序， 排除故障。 6、隐故障与显故障 隐故障(Covert Fault ):不对危险产生报警，允许危险发展的故障， 是故障危险故障(SHB-Z06-1999)。Covert Fault : Fault that can be classified as hidden ，concealed ， undetected ， unrevealed ， late nt ， ect. ( ISA-S84.01-1996) 显故障(Overt Fault ):能显示出故障自身存在的故障，是故障安全 故障(SHB-Z06-1999)。Overt Fault :

18、Fault that can be classified as announced， detected ， revealed ，ect. (ISA-S84.01-1996 ) SIS系统拒动：当工艺条件达到或超过安全极限时， SIS本应引导工艺 过程停车，但由于其自身存在隐性故障(危险故障)，譬如输出开关被 误连短路，而不能响应此要求，即该停车而拒停，降低了安全性。危险 失效定义为这样一些失效，这些失效会阻止SIS系统对潜在的危险工况 做出反应。 SIS系统误动：在图4中，当输出开关由于某种原因处于非激励状态， 即使潜在的危险工况没有发生，SIS也会进入一种安全失效状态见图 5, 这种情况经常

19、被称为“误动”。误动可能会以许多不同方式发生。例如， 输入电路可能会发生故障，从而使逻辑解算器误认为是传感器检测到了 危险工况，而事实上并没有这种情况发生。 逻辑解算器本身也可能出现 7欢迎下载 精品文档 运算错误，并导致输出回路失电，输出回路可能出现开路。 sis的许多 元件失效均会导致系统进入安全失效状态。 图4正常运行时的正常激励系统 图5 PFS（安全故障概率）：正常激励的SIS系统在它的输出非激励时，就会处于故 障状态，这有一个概率。称为安全故障概率（PFS，或称误动率。 PFD （要求时失效概率）：这是一个衡量安全性的指标，称为要求时失效概率。 它意味着系统是危险的。它不会再要求（

20、潜在的紧急条件）发生时产生响应。 SIS的功能安全 安全仪表系统必须在工业系统出现危险情况时正确执行其对应的安全功能， 安全 仪表系统的这种特性被称为功能安全。 功能安全实际上讲的是SIS系统自身的安全问题。 如图6示安全仪表系统，该系统由一个压力变送器、一个阀门和一个安全 PLC 组成的SIS系统。 （1） 压力变送器检测容器内压力并将其变换成合适的信号传送给安全 PLC，安全 PLC判断若压力超过了额定值则打开阀门以降低容器内压力， 这被称为安全系统 的一个安全功能。很明显例子中仪表安全系统只有一个安全功能。如果三个设备 有一个或多个失效，安全功能将失效，即它将不能对压力容器内压力进行限制

21、。 因此安全仪表系统的安全性能由传感器、逻辑解算器和执行器三部分功能决定。 （2） SIS安全功能实际上讲的是让SIS执行什么样的安全任务，如何保护受控设 备。 8欢迎下载 精品文档 图6反应器的安全仪表系统 7、安全性及响应失效率 (1)当工艺条件达到或超过安全极限值时，SIS本应引导工艺过程停车，但由于 其自身存在隐故障(危险故障)而不能响应此要求，即该停车而拒停，降低了安 全性。 衡量安全性的指标为响应失效率或称要求的故障率(PFD Probability of Failure on Dema nd )。它是安全联锁系统按要求执行指定功能的故障概率。是 度量安全联锁系统按要求模式工作故障

22、率的目标值( SHB-Z06-1999)。 (3) 不同的工业过程(如生产规模、原料和产品的种类、工艺和设备的复杂程度 等)对安全的要求是不同的。上述的国际标准将其划分为若干安全完整性等级 (SIL: Safety Integrity Level )。 安全完整性等级 Safety Integrity Level ( SIL) 安全完整性等级(SIL)是一种离散的等级，用来规定分配给E/E/PE安全相关系 统安全功能的安全完整性要求。 (1) 安全完整性等级可分为4个等级，SIL4是安全完整性最高的等级(平均概 率最高)，SIL1是最低等级； (2) 安全完整性等级越高，应执行所要求的安全功能

23、的概率也越高； (3) 根据安全相关系统使用方式，要求发生的频率可分为低要求操作模式( 1次/年)。 根据GB/T 20438标准，在不同的操作模式下，安全完整性的目标失效概率和目 标风险降低见下表1-1和1-2。 采用不同的操作模式结构有可能使用几个安全完整性等级较低的系统来满足一 个较高安全完整性等级功能的需要 (例如：使用一个SIL2和一个SIL1的系统共 同来满足一个SIL3功能的需要)。 表1-1安全完整性等级：要求时的失效概率 表1-2安全完整性等级：SIF的危险失效概率 9欢迎下载 精品文档 表1-3 SIL与PFD的对应关系 &可用性及可用度 工艺条件并未达到安全极限值

24、，SIS不应引导工艺过程停车， 但由于其自身存在 显故障(安全故障)而导致工艺过程停车，即不该停车而误停，降低了可用性。 可用度(A： Availability )是指系统可使用工作时间的概率，用百分数计算： MTBF 平均故障间隔时间(Mean Time Between Failures ) MDT平均停车时间(Mean Downtime MTBF 平均故障间隔时间(Mean Time Between Failure ) MTTR 平均恢复时间(Mean Time to Repair ) MTTF 平均无故障时间(Mean Time to Failure ) 例如： 9、冗余和容错 冗余(R

25、edu ndant) 10欢迎下载 精品文档 具有指定的独立的N: 1重兀件，并且可以自动地检测故障，切换到后备设备上。 (SHB Z06 1999) 冗余系统(Redundant System) 并行地使用多个系统部件，以提供错误检测和错误校正能力的系统。(SHB - Z06 -1999) o 容错(Fault Tolera nt) 具有内部冗余的并行元件和集成逻辑，当硬件或软件部分故障时，能够识别故障 并使故障旁路，进而继续执行指定的功能。或在硬件和软件发生故障的情况下， 系统仍具有继续运行的能力。 它往往包括三方面的功能： 第一是约束故障， 即限 制过程或进程的动作，以防止在错误被检测出

26、来之前继续扩大；第二是检测故障， 即对信息和过程或进程的动作进行动态检测；第三是故障恢复即更换或修正失效 的部件。(SHB - Z06 - 1999) 容错系统(Fault Tolerant System) 具有容错结构的硬件与软件系统。(SHB - Z06 - 1999) 总之，通过冗余和故障屏蔽的结合来实现容错。 容错系统一定是冗余系统，冗余 系统不一定是容错系统。容错系统的冗余形式有双重、三重、四重等。图 8和图 9、图10分别表示CPU冗余(双机热备)和三重化冗余容错系统。 图8 CPU冗余(双机热备) 图9三重模块冗余容错系统 图10三重信号冗余容错系统 怎样通过冗余来改善系统的整体

27、 SIL水平 11欢迎下载 精品文档 (1) 当一个SIS系统的安全完整性等级要求为SIL3， 而实际配置为传感器为2.2 X 10-3(SIL 2)，逻辑解算器为1.3 X 10-4(SIL3)(包括I/O接口)，终端执行器 为2.41 X 10-3(SIL2),所以整个系统为SIL2不满足要求。 (2) 于是我们改变传感器的配置结构，选择 1oo2冗余，其中共因失效=10%诊 断覆盖率(DC)=90%可以算出1oo2传感器的结构的PFD=2.3X 10-4，达到SIL3 的水平，同理可以配置执行器为1oo2冗余结构，也可达到SIL3的要求，于是最 终整体SIS系统的SIL可以达到SIL3的

28、要求。 (3) 这个问题的解决给我们以启示，当装置引进一个SIS系统时，整体安全完整 性等级不仅取决于逻辑解算器部分，而且传感器、终端执行器部分也非常关键。 配置系统时，除了引进一个SIL3的安全仪表系统， 譬如FSC等， 还要将传感器、 终端执行器一并讨论。算出SIS整体的SIL数据，定量的安全仪表系统配置任务 才算完成。 冗余表决方法及其安全性、可用性的关系 可用性(A: Availability) 是指系统可使用工作时间(连续运行时间)的概率，用 百分数计算A值越大，可用性越好： A = MTBF/(MTBF+MTTR) 而 PFD= MTTR /(MTBF+MTTR) PFD越小则安全

29、性越好。 冗余逻辑表决方法及安全性-可用性的关系例子如下表所示。 表2冗余逻辑的表决方法及其与安全性、可用性的关系 以上可见： (1) 隐故障(危险故障)使SIS该动而拒动，隐故障概率越高，安全性越差。 (2) 显故障(安全故障)使ESD不该动而误动，显故障概率越高，可用性越差。 1oo2(二选一)安全性最好，但可用性最差;2oo2(二选二)可用性最好，但安全性 最差;2oo3(三选二)可兼顾。 10、普通PLC和安全PLC的区别 12欢迎下载 精品文档 普通PLC和可以作为ESD空制部分的安全PLC的主要区别是： 普通PLC不是按故 障安全型设计的，当系统内部元件出现短路故障时，它并不能检测

30、到，因此其输 出状态不能保证系统回到预定的安全状态。 这种PLC只能用于安全度等级要求低 的场合。现以输出电路为例予以说明。 图11普通PLC DO卡示意图 普通PLC DO卡 (1)当1、2两点短路时，来自PLC的控制信号将不起作用(失效)，电磁阀将一 直处于带电(励磁)状态，即需要联锁动作(电磁阀释电停车)时，由于此故障的存 在而拒动，其输出不能保证处于安全停车状态。这就是违背了故障安全(Fault to Safety)的原则。 (2)当1、2两点开路时，将导致误动作而停车，同样会带来损失。可见，这种 普通PLC的DO卡输出电路的安全性和可用性都是不高的。 图12安全性单容错DO卡示意图

31、安全性单容错DO卡 图12所示为一种带有安全性单容错的 DO卡示意图(它是Honeywell SMSSC-101 型输出示意图)。 这里，中央处理器不仅向串联的场效应管(FET)发出控制信号，而且还接受来自 场效应管的状态反馈信号，以便对其输出进行全面测试。当测得某管输出发生短 路时，中央处理器即启动纠错动作，隔离相关的故障。看门狗 (Watch Dog)是个 多通道的计时器电路。它由中央处理器和内存等周期性地触发， 如果两个触发之 间的时间小于某设定值或者大于某最大值， 则看门狗的输出将失效。同时看门狗 还能监视内部工作电压，使之在正常的电压范围内。 普通PLC和安全PLC的区别 以上仅是DO卡上的差别。作为安全PLC，至少应具备以下