安全系统知识课件

安全仪表系统知识培训

1

什么是安全仪表系统?1.Process2.DCS-集散控制系统3.

AlarmOperators-操作员报警4.SIS安全仪表系统5.ReliefDevices释放设备6.Physicalprotection(F&G）物理保护7.EmergencyResponse紧急响应工艺过程石油化工安全保护级别

1

什么是安全仪表系统?系统对风险的控制机械安全保护层安全仪表系统（SIS）报警系统/操作工艺控制系统工艺设备HAZOPSILSIS（HazardandOperabilityStudy）

1

什么是安全仪表系统?不同层次的保护措施processvalueNormalbehaviorTimeSIScontrolledHumancontrolledProcessControlControlSystemAssetManagementAlarmSystemOperatorSISInterlocksLayersofprotectionIEC61511将安全仪表系统SIS定义为用于执行一个或多个安全仪表功能（SafetyInstrumentedSystem）的仪表系统。SIS是由传感器（如各类开关、变送器等）、逻辑控制器、以及最终元件（如电磁阀、电动门等）的组合组成。从SIS的发展过程看，其控制单元部分经历了电气继电器（Electrical）、电子固态电路（Electronic）和可编程电子系统（ProgrammableElectronicSystem），即E/E/PES三个阶段。

1

什么是安全仪表系统?下图为由PES构成的SIS

1

什么是安全仪表系统?检测单元输入模块控制模块输出模块执行单元PES按照SIS的定义，下述系统均属于安全仪表系统：安全联锁系统（SafetyInterlockSystem—SIS）安全关联系统（SafetyRelatedSystem—SRS）仪表保护系统（InstrumentProtectiveSystem—IPS）透平压缩机集成控制系统（IntegratedTurbo&CompressorControlSystem—ITCC）火灾及气体检测系统（Fireandgassystems—F&G）紧急停车系统（EmergencyShutdownDevice—ESD）燃烧管理系统（BurnerManagementSystem）列车自动防护系统（ATP）

2

安全仪表系统的分类

3SIS的相关标准及认证机构

鉴于SIS涉及到人员、设备、环境的安全，因此各国均制定了相关的标准、规范，使得SIS的设计、制造、使用均有章可循。并有权威的认证机构对产品能达到的安全等级进行确认。这些标准、规范及认证机构主要有：我国石化集团制定的行业标准SHB-Z06-1999《石油化工紧急停车及安全联锁系统设计导则》。2006年、2007年等同采用IEC61508、IEC61511的中国国家标准GB/T20438、GB/T21109相继发布，中国的功能安全标准开始规范我国的功能安全工作。

3SIS的相关标准及认证机构国际电工委员会1997年制定的IEC61508/61511标准，对用机电设备（继电器）、固态电子设备、可编程电子设备（PLC）构成的安全联锁系统的硬件、软件及应用作出了明确规定。美国仪表学会制定的ISA-S84.01-1996《安全仪表系统在过程工业中的应用》。美国化学工程学会制定的AICHE（ccps）-1993，《化学过程的安全自动化导则》。英国健康与安全执行委员会制定的HSEPES-1987，《可编程电子系统在安全领域的应用》。

3SIS的相关标准及认证机构德国国家标准中有安全系统制造厂商标准-DINVVDE0801、过程操作用户标准-DINV19250和DINV19251、燃烧管理系统标准-DINVDE0116等。德国技术监督协会（TÜV）是一个独立的、权威的认证机构，它按照德国国家标准（DIN），将ESD所达到的安全等级分为AK1～AK8，AK8安全级别最高。其中AK4、AK5、AK6为适用于石油和化学工业

取得TUV认证的SIS产品

4安全仪表系统常用的术语冗余（Redundant） 指定的独立的N：1重元件，且可自动地检测故障，切换到后援设备上。冗余系统（RedundantSystem） 指并行使用多个系统部件，并提供错误检测和校正能力，该系统标为冗余系统。容错（FaultTolerant） 指有内部冗余的并行元件和集成逻辑，当硬件或软件部分故障时，能识别故障并使用故障旁路，系统仍具有继续运行指定功能的能力。容错是通过冗余和故障屏蔽的结合来实现。容错系统（FaultTolerantSystem） 指具有容错结构的硬件和软件系统。该系统能自动检测到故障，并通知操作员何处产生故障。系统即使出现故障，系统仍能正常工作，并能自动检测故障已被排除，恢复正常时的操作状态。容错系统又分为硬件容错系统和软件容错系统，硬件容错系统在SIS系统中更有优势。

4安全仪表系统常用的术语综合安全级别（SafetyIntegrityLevel-SIL）

指综合安全等级，用PFD来定义、定性分析系统故障对生产装置和人员的伤害程度。

故障危险概率（ProbabilityofFailingDangerously-PFD） 指每年故障危险出现的概率。

故障安全（FailingtoSafe-FTS） 指系统故障时，系统应回到预定安全状态的能力，被控过程能安全停车。正常工况处于励磁状态，故障工况处于非励磁状态。

可用性（Availability）

用%计算概率数。

4安全仪表系统常用的术语

可靠性（Reliability） 指系统在规定时间间隔(t)内发生故障的概率。

表决（Voting）一套SIS系统或者其中的某一部分,有M个独立的通道,以这样的方式连接:即至少需要其中N个通道完好,才能执行正确的安全功能.

指系统中用多数原则将每个支路的数据进行比较和修正。

1oo1D(1outof1D) 1取1带诊断

1oo2(1outof2) 2取1

1oo2D(1outof2D) 2取1带诊断

2oo3(2outof3) 3取2

2oo4D(2outof4D) 4取2带诊断.

5SIL(SafetyIntegrityLevel)的概念

安全完整性指在规定条件下、规定时间内成功实现所要求的仪表安全功能的平均概率。安全完整性等级是用来规定分配给SIS安全功能的安全完整性要求的分离等级,记为SIL，共分4个等级,SIL4为最高等级。可见，装置所要求的安全度等级越高，则要求它所采用的安全仪表系统发生故障的概率越低，相应地，要求系统所具有的风险降低因子越高。SIL与PFD是安全仪表系统的目标值。

5SIL(SafetyIntegrityLevel)的概念

“4”-CatastrophicCommunityImpact.

灾难性团体的冲突“3”-EmployeeandCommunityProtection.

雇员和团体保护“2”-MajorPropertyandProductionProtection. Possibleinjurytoemployee.

主要财产和产品保护，可能会伤害雇员“1”-MinorPropertyandProductionProtection.

次要财产和产品保护

5SIL(SafetyIntegrityLevel)的概念

5SIL(SafetyIntegrityLevel)的概念

SIS系统的安全完整性水平SIL是由构成SIS系统的三个单元的SIL来确定的，即SIL系统=SIL传感器+SIL逻辑解算器+SIL执行机构。假设传感器为SIL2级，而SIL2级其PFD为0.01-0.001，取中间值为0.005；逻辑解算器单元为SIL3级，取PFD中间值为0.0005；执行机构为SILl级，PFD中间值为0.05；则系统的PFDAVG=0.005+0.0005+0.05=0.0555；只能满足SILl级。这说明整个系统的安全完整性水平SIL由其构成的三个单元中最低的SIL等级所决定的。尽管逻辑解算器为SIL3，但整体SIS系统的SIL等级为SIL1级。这就是目前企业在使用SIS系统时存在的主要问题。

6SIS系统的表决1oo21oo1D1oo1输入模块控制模块输出模块感测器最终元件+——输入回路输出回路MPU输入模块控制模块输出模块

感测器最终元件+输入回路输出回路诊断回路诊断回路诊断回路MPUAB输入模块控制模块输出模块感测器最终元件输入模块控制模块输出模块+——输入回路输出回路输入回路输出回路MPUMPUAB1oo1由单套元件组成1oo1D

由单套元件组成，诊断找出元件出故障时，输出动作1oo2由两套元件并联组成，两套元件之一发出动作信号，输出动作

6SIS系统的表决输入模块控制模块输出模块感测器输入模块控制模块输出模块最终元件+——校验单元计算单元输入回路输出回路诊断回路诊断回路诊断回路MPU输入回路输出回路诊断回路诊断回路诊断回路MPUA1B1A2‘B21oo2D由两套元件并联组成，两套元件之一发出动作信号，即可输出动作；诊断找出两套元件之一出故障或信号不一致时，输出动作。

6SIS系统的表决2oo3控制模块输出模块MPU输出回路输入模块控制模块输出模块感测器MPU输出回路输入模块控制模块输出模块最终元件MPU输出回路——+输入模块输入回路输入回路输出回路输出回路输出回路输入回路A1B1A2B2A3B32oo3由三套元件并联组成，三套元件中两套元件发出动作信号，即可输出动作。

6SIS系统的表决2oo4输入模块1oo2D输出模块1oo2D感测器输入模块输出模块最终元件+——校验单元计算单元输入回路输出回路诊断回路诊断回路输入回路输出回路诊断回路诊断回路A1B1A2‘B2控制模块2oo4D诊断回路MPUMPU控制模块2oo4DMPUMPU诊断回路2oo4由四套元件并联组成，四套元件中两套元件发出动作信号，即可输出动作。

6SIS系统的表决1oo1D:检测出的安全或危险失效导致联锁关停,未检测出的危险失效导致功能失效1oo2:一个检测出的安全或危险失效导致联锁关停,2个未检测出的危险失效导致功能失效1oo2D:一个未检测出的安全失效或2个检测出的危险失效将导致联锁关停,一个未检测出的危险失效同一个检测出的失效结合\或者和一个未检测出的危险失效结合,将导致功能失效2OO2:2个检测出安全或危险失效将导致联锁关停,1个检测出的危险失效导致功能失效2oo3:2个安全失效或者已检测出的危险失效将导致联锁关停,2个未检测出的危险失效将导致功能失效.

6SIS系统的表决

1oo1结构 可用于SIL2， AK3 1oo1D结构 可用于SIL2， AK4 1oo2结构 可用于SIL2， AK4 1oo2D结构 可用于SIL3， AK5,6 2oo3结构 可用于SIL3， AK5,6 2oo4D结构 可用于SIL3， AK5,6

6SIS系统的表决

7SIS和DCS的比较系统的组成：DCS一般是由人机界面操作站、通信总线及现场控制站组成；而SIS系统是由传感器、逻辑解算器和最终元件三部分组成。及DCS不含检测执行部分。实现功能：DCS用于过程连续测量、常规控制（连续、顺序、间歇等）操作控制管理使生产过程在正常情况下运行至最佳工况；而SIS是超越极限安全即将工艺、设备转至安全状态。工作状态：DCS是主动的、动态的，它始终对过程变量连续进行检测、运算和控制，对生产过程动态控制确保产品质量和产量。而SIS系统是被动的、休眠的。安全级别：DCS安全级别低，不需要安全认证；而SIS系统级别高，需要安全认证。应对失效方式：DCS系统大部分失效都是显而易见的，其失效会在生产的动态过程中自行显现，很少存在隐性失效；SIS失效就没那么明显了，因此确定这种休眠系统是否还能正常工作的唯一方法，就是对该系统进行周期性的诊断或测试。因此安全仪表系统需要人为的进行周期性的离线或在线检验测试，而有些安全系统则带有内部自诊断。

8SIS的设计原则SIS原则上单独设置，独立于DCS，能与DCS进行通信；SIS应具有完善的诊断测试功能，其中包括硬件（CPU、I/O、通信电源等）和软件（操作系统、用户编程逻辑等）；SIS应采用经TUV安全认证的PLC系统；SIS关联的检测元件，执行机构原则上单独设置；SIS中间环节最少；SIS应采用冗余或容错结构:CPU、通信、电源等；SIS应设计成故障安全型；I/O模件：带电磁隔离或光电隔离，每通道应相互隔离，带电插拔；现场来三取二信号应分别接到三个不同的输入卡；当模拟量输入信号同时用于SIS、DCS，应先接到SIS的AI卡，经SIS的AO输出送到DCS的AI。

8SIS的设计原则第9页I/O模件 *AI（带24V.0电源） *AO *AI（外部供电） *DI（无源，正常时外部输入触点闭合） *T/C *DO（继电器输出） *RTD *SOE（数字量输入）通信接口 *冗余配置 *通信协议RS-485（RS232C）MODBUSRTU *通信负荷<50%人机接口 *DCS操作站

8SIS的设计原则 *

SOE终端 *编程终端 *辅助操作站软件 *系统软件 *编程软件 *事件顺序记录（SOE）电源 *UPS电源，双路进线，切换时间<5ms *系统电源应冗余配置，输出负荷<50%接地

8SIS的设计原则 *

电源输入端，必须有安全接地 *I/O信号线的屏蔽应接安全接地母线 *等电位接地安全性、可靠性、可用性 *平均无故障时间（MTBF）和平均故障修复时间（MTTR）计算数据 *可用性计算数据通信 *DCS为主站，SIS为从站 *负荷应小于50% *响应时间<200ms（SIS系统输入到输出事件响应时间） *响应时间<2s（DCS、CRT显示报警，信号器报警时间）

9SIS的质量