安全仪表系统

目录第一章1.1安全仪表系统（SIS）..................错误!未指定书签。1.2SIS设计应遵循的原则........................错误!未指定书签。1.3普通PLC和安全PLC的区别....................错误!未指定书签。1.4工艺过程风险的评估和安全完整性等级的评定....错误!未指定书签。1.5SIS的相关标准及认证........................错误!未指定书签。1.6取得认证的SIS产品..........................错误!未指定书签。1.7逻辑运算的基本公式..........................错误!未指定书签。第八章流体输送机组的控制.......................错误!未指定书签。第九章控制仪表与控制系统故障分析及处理.........错误!未定义书签。中国石油和化工自动化应用协会——王立奉2013年10月安全仪表系统（SIS）1.1安全仪表系统（ SIS）的定义及有关概念1.1.1SIS定义1.1.2IEC61508/IEC61511标准的贡献1.1.3安全功能1.1.4功能安全1.1.5安全仪表功能（SIF）1.1.6安全完整性（SI）及安全完整性等级（SIL）1.1.7安全生命周期与功能安全管理1.1.8SIF子系统的结构约束1.2.SIS设计应遵循的原则1.2.1DCS与由PES构成的SIS的主要区别1.2.2SIS设计应遵循的原则1.2.3SIS的可用性及可用度1.2.4冗余容错1.2.5怎样通过冗余来改善系统的整体SIL水平1.2.6冗余逻辑表决方法及其安全性、可用性的关系1.3.普通PLC和安全PLC的区别1.4.工艺过程风险评估及安全完整性等级（SIL）的评定1.5.SIS的相关标准及评证1.5.1SIS的相关标准1.5.2SIL评证1.6.取得认证的SIS产品1.7.逻辑运算的基本公式1安全仪表系统（SIS）的定义及有关概念1.1 SIS的定义大多石油和化工生产过程具有高温、高压、易燃、易爆、有毒等危险。当某些工艺参数超出安全极限，未及时处理或处理不当时，便有可能造成人员伤亡、设备损坏、周边环境污染等恶性事故。这就是说，从安全的角度出发， 石油和化工生产过程自身存在着固有的风险。SIS 是一种经专门机构认证，具有一定安全完整性等级，用于降低过程风险，使风险达到可接受水平（允许风险）的安全保护系统。它不仅能响应生产过程因超出安全极限而带来的风险，而且能检测和处理自身的故障，从而按预定的条件或程序使生产过程处于安全状态，以确保人员，设备及工厂周边环境的安全。SIS 的定义如图 1-1所示图1-1SIS的定义SIS由检测单元（如各类开关、变送器等） 、控制单元和执行单元（如电磁阀、电动门等）组成，其核心部分是控制单元。从 SIS的发展过程看，其控制单元部分经历了电气继电器 （Electrical ）、电子固态电路（Electronic ）和可编程电子系统（ ProgrammableElectronicSystem），即E/E/PES三个阶段。图1-1为由PES构成的SIS系统。国际电工委员会 IEC61508标准中，SIS被称为安全相关系统（SafetyRelatedSystem ），将被控对象称为被控设备（ EUC）。IEC61511 将 SIS定义为用于执行一个或多个安全仪表功能SafetyInstrumentedFunction，SIF）的仪表系统。SIS是由传感器，逻辑控制器，以及最终元件组合而成。IEC61511又进一步指出，SIS可以包括、也可以不包括软件。另外，当操作人员的手动操作被视为

SIS

的有机组成部分时，必须在安全要求规格书（

Safety

Requirement

Specification

，SRS）中对人员操作动作的有效性和可靠性做出明确规定，并包括在

SIS

的绩效计算中。SIS

发展的三个阶段继电器线路：可靠性很高，成本低，但是灵活性差，扩充系统、增加功能不易.固态电路：模块化结构，结构紧凑，可在线检测。易识别故障，元件互换容易，可冗余配置。可靠性不如继电器型，操作费用高，灵活性不够好。安全PLC：以微处理器为基础，有专用软件和编程语言，编程灵活，具有强大的自测试、自诊断功能，冗余配置，容错技术，可靠性可做的很高。SIS的进一步发展出现了故障安全控制系统；专用的紧急停车系统模块化设计，完善的自检功能，系统的硬件、软件都取得相应等级的安全标准证书，配备有专用的程序事故记录仪，非常安全可靠，但价格也很高。1.2IEC61508/IEC61511 标准的贡献IEC61508/IEC61511标准的发布，首先将仪表系统的各种特定的应用，例如ESD、F&G、ITCC、BMS、HIPPS、ATP⋯，都统一到 SIS的概念下；其次，提出了以

SIL

为指针，基于绩效（

Performance

Based）的可靠性评估标准；再者，以安全生命周期（

SafetyLifecycle

）的架构，规定了各阶段的技术活动和功能安全管理活动。这样， SIS的应用形成了一套完整的体系，包括：设计理念和设计方法、仪表设备选型准入原则（基于经验使用和 IEC61508符合性认证）、系统硬件配置和软件组态编程规则、系统集成、安装和调试、运行和维护，以及功能安全评估和审计等。大体上，安全仪表系统的应用和发展，围绕着两大主题——安全功能（

Safety

Function

）和功能安全（

Functional

Safety

）。IEC61508/IEC61511

为实现安全仪表系统的功能安全，

建立了两大体系——技术体系和功能安全管理体系。1.3“安全功能”IEC61508将“安全功能”定义为：为了应对特定的危险事件（如灾难性的可燃性气体释放），由电气、电子、可编程电子安全相关系统，其他技术安全相关系统，或外部风险降低措施实施的功能，期望达到或保持被控设备（ EquipmentUnderControl ，EUC）处于安全状态。上述定义表明：①安全功能的执行，并不局限于电气或电子安全仪表系统，还包括其他技术（如气动、液动、机械等技术）及外部风险降低措施（如储罐的外部防护堤堰） 。因此，研究安全功能要综合考虑各种技术或措施的共同影响： ②安全功能是着眼于应对特定的危险事件，也就是说，安全功能有其针对性。可见，安全功能是泛指各种风险降低措施执行的功能， SIF是由SIS执行的安全功能。1.4“功能安全”IEC61508 将功能安全定义为：与 EUC和EUC控制系统有关的、整体安全的一部分，取决于电气、电子、可编程电子安全相关系统，其他技术安全相关系统和外部风险降低措施机制的正确施行。IEC61511 将功能安全定义为： 与工艺过程和 BPCS有关的、整天安全的一部分，取决于SIS（安全仪表系统） 和其他保护层机能的正确施行。就安全仪表系统而言，功能安全探讨的是系统本身的绩效问题，即SIS在实现其安全功能时，能够降低风险的能力。因此，功能安全成为SIS设计和运行管理的核心问题之一。1.5安全仪表功能（ SIF）SIF，即由SIS执行的安全功能，物理结构上由传感器、逻辑控制器，以及最终执行元件组成，如图 1-2所示。不过SIF的最基本特征是“应对特定的危险事件”并实现必要的风险降低。图1-2SIF示例SIF是在过程危险分析及风险评估中辨识出来的，并根据必要的风险降低要求，确定其SIL要求。因此，SIF是进行SIL评估的基础。图1-3表示一个 SIF的实例。在这个 SIF中，操作人员的手动动作也可以成为 SIF的一部分。在这种情况下，评估 SIF的风险投资降低绩效水平，要将人工的失效概率考虑在内。图1-3包含操作员手动动作的SIFPAH——压力高报警；HS——手动开关（或按钮）在IEC61508/IEC61511标准中，不再使用“联锁一词”，而改用“E/F/PE安全功能”或者“安全仪表功能”。“安全连锁”与“安全仪表功能”有大致相同的含义，不过“安全仪表功能有更明确的界定” ：①由SIS实现的安全功能。②用于特定危险事件的风险降低。③有明确的绩效或安全完整性（ SIL）要求。需要注意的是， SIF在物理上由传感器、逻辑控制器，以及最终执行元件构成，为什么采用“安全仪表功能”这一相对抽象的名称呢？这是因为在危险和风险分析以及安全保护层分配阶段，安全是从工艺过程的风险降低要求角度，辨识并确定需要的安全功能要求和它绩效要求（安全完整性要求），此时还没有到SIS设备选型阶段，也就是说，关注的是“要求”，而非如何实现这一“要求”。1.6安全完整性（SI）及安全完整性等级（ SIL） 安全完整性（SI）SIS执行安全功能时的绩效或可能达到的功能安全水平，采用安全完整性（SafetyIntegrity ）来表征。安全完整性定义为：在规定的状态和时间周期内，

SIS

圆满完成所要求的安全功能的概率。安全完整性包括硬件安全完整性（ HardwareSafety Integrity ），软件安全完整性（

softwareSafetyIntegrity

），以及系统安全完整性（SystematicSafetyIntegrity

）。⑴硬件安全完整性用于表征在危险失效模式

（DangerousFailureMode）下，随机硬件失效（ RandomHardwareFailure ）的可能性。随机硬件失效是指系统在正常使用状态下，在某个时间点，一个或多个元件随机出现故障（Fault），依据硬件内可能的降级机制 （DegradationMechanism），导致发生某种功能的失效。通过对系统的失效模式及其影响进行分析（ FailureModesandEffectsAnalysis ，FMEA），借助于有效的失效率数据，可以对硬件的安全完整性进行评估计算，并且可以准确到合理的水平。另外，可以通过采用冗余结构（ RedundantArchitectures ）设计等措施，有效提高硬件的安全完整性。⑵软件安全完整性用于表征可编程电子系统中的软件，在规定的状态和时间周期内，实现其安全功能的可能性。⑶系统性安全完整性用于表征在危险失效模式下系统性失效。导致系统性失效发生的典型因素包括：系统设计错误或缺陷，不当的安装、调试，不当的操作，缺乏维护管理，以及软件设计漏洞和组态缺陷等。系统性失效在很大程度上都是人为失误造成的，要准确地计算评估其失效率非常困难，因此， IEC61508/IEC61511 都强调在安全生命周期的架构下，通过有效的功能安全管理，来提高系统性安全完整性。 安全完整性等级（ SIL） 隐故障与显故障隐故障（CovertFault）：不对危险产生报警，允许危险发展的故障，是故障危险故障（SHB-Z06-1999）。CovertFault：Faultthatcanbeclassifiedashidden，concealed，undetected，unrevealed，latent，ect.（ISA-S84-1996）显故障（OvertFault ）：能显示出故障自身存在的故障，是故障安全故障（

SHB-Z06-1999）。OvertFault

：Faultthatcanbeclassified

asannounced,detected,revealed,ect.(

ISA-S84-1996) 安全性及响应失效率当工艺条件达到或超过安全极限值时，

SIS

本应引导工艺过程停车，但由于其自身存在隐故障（危险故障）而不能响应此要求，即该停车而拒停，降低了安全性。衡量安全性的指标为响应失效率或称要求 时故障率（ PFD：ProbabilityofFailureonDemand ）。它是SIS系统按要求执行指定功能的故障概率。是度量 SIS系统按要求模式工作故障率的目标值SHB-Z06-1999）不同的工业过程（如生产规模、原料和产品种类、工艺和设备的复杂程度等）对安全的要求是不同的。

IEC61511

标准将其划分为若干安全完整性等级（

SIL：SafetyIntegrityLevel

）。SIL

和PFD的对应关系见表

1-2

。表1-2SIL 和PLD的对应关系ISA-S8IECDINV195204.0161508（TUV）SIL1SIL1AK1AK2AK3SIL2SIL2AK4SIL3SIL3AK5AK6SIL4AK7AK8 安全完整性等级

PFD10-1~10-210-2~10-310-3~10-410-4~10-5SIL安全完整性反映了 SIS执行SIF时，在规定的状态和时间周期内，圆满完成 SIF 的绩效能力和可靠性水平。在ANSI/ISA-84.01-1996 中，将安全完整性等级（ SIL）定义为 SIL1到SIL3共三个等级，其中 SIL3最高，SIL1最低。IEC61508将SIL定义为四个等级，即 SIL1到SIL4。IEC51511作为IEC61508在过程工业领域的分支标准， 保持了SIL1到SIL4的四个等级划分，不过，除了极罕见的特殊应用，在过程工业一般的应用场合，SIL3是其最高级。在工程实践中，当过程危险和风险分析确认需要SIL3以上的安全完整性时，一般是将应对同一危险事件的其他技术安全系统或外部风险降低的绩效提高，从而将对 SIF的SIL要求降低到 SIL3或以下。IEC61508/IEC61511 依据不同的操作模式，用不同的技术指标划分SIL等级。IEC61511将安全仪表功能的操作模式划分为： “要求操作模式”DemandModeofOperation）和“连续操作模式”（ContinuousModeofOperation）。安全完整性等级对要求操作模式下的失效概率要求见表1-1。表1-1安全完整性等级对要求操作模式下的失效概率要求要求操作模式安全完整性等级要求时平均失效概目标风险降低（SIL）率（PFDavg）4≥10-5到≤10-4>10，000到≤100，0003≥10-4到≤10-3>1000到≤10,0002≥10-3到≤10-2>100到≤10001≥10-2到≤10-1>10到≤1001.7 安全生命周期与功能安全管理安全生命周期如图 1-4所示：图1-4SIS安全生命周期（IEC61511）功能安全标准ANSI/ISA-84.01-1996、IEC61508及IEC61511,都是以安全生命周期（ SafetyLifecycle ，SLC）为架构的。SLC为SIS工程从概念、设计、实施、操作、维护及系统改善等实践活动，提供了全程的行动指南，从而保证功能安全，实现过程风险降低的目标要求。采用 SLC架构，一方面明确了参与 SIS工程的所有组织和人员的责任；另一方面，便于将功能安全管理的要求纳入到各个阶段。IEC61511将SLC定义为：从 SIS工程项目的概念阶段开始，到所有的安全仪表功能使命终结不再使用，在其全部时间周期内，为执行安全仪表功能所有涉及到的必要活动。IEC61511 的SISSLC阶段和功能安全评估节点如图 1-4所示。SIS的整个安全生命周期可分为分析、工程实施，以及操作维护三个大的阶段。 分析阶段，要辨识工艺过程的潜在危险，并对其他后果和可能性进行分析，以便确定过程风险及必要的风险降低要求。分析阶段的主体是最终用户、 专利商、设计院，甚至还包括过程危险分析 （PHA）专业咨询机构。 工程实施阶段的主体是设计院， SIS供货商、安装公司和最终用户。SIS的供货商要依据 SRS的要求提供 SIS系统。完成完全逻辑控制器（LogicSolver ）的硬件配置、软件组态以及系统集成；完成操作和维护人员的培训；完成

SIS

的安装和现场调试，以及

SIS

的安全验证（

SafetyValidation

）。 操作运行阶段在整个安全生命周期中时间区间最长，包括操作和维护、修改（变更改造） ，和SIS的停用。操作运行阶段的主体是最终用户。功能安全管理贯穿于整个 SLC。功能安全管理是过程安全管理（ProcessSafetyManagement ，PSM）的一部分，也应纳入 SIS工程项目管理和质量保证体系中。功能安全管理涉及 SLC各阶段相关组织和人员的责任、人员的能力、活动的计划与控制、文档管理等方面。典型的功能安全管理活动包括：确认（Verification ）、验证（Validation ）、功能安全评估（ Functional Safety Assessment）及审计（Audit）。1.8SIF 子系统的结构约束所谓结构约束，实质上是指SIS子系统或设备的容错（FaultTolerance）能力对所能达到的SIL水平的限制。也就是说SIF要达到一定的安全完整性效能SIL要求，也就必须在结构上达到一定的硬件故障裕度（HardwareFaultToleranceHFT），要满足一定的硬件容错能力，如需冗余等等。SIL石油传感器、逻辑控制器，以及最终执行元件组成的 ，其SIL等级除了应符合（ PFDavg）计算值外，它所能达到的最大硬件安全完整性等级，受限于这些子系统（传感器、逻辑控制器、以及最终元件）相应的最低硬件故障裕度（ HardwareFaultTolerance ，HFT）要求。也就是说，不论其声称的可靠性多高，从硬件结构上限制了所能达到的SIL，这就是IEC61508中提出的结构约束（ArchitecturalConstraints ）。子系统的硬件故障裕度为 N，表示当该子系统存在 N+1个故障时，将会导致其安全功能的丧失。在确定硬件故障裕度时，并不考虑是否有控制该故障影响的其他措施，例如诊断（不过，诊断能力影响安全失效分数）。另外，当另一个故障直接导致一个或多个后续故障时， 这些后果要视为是同一个单一故障。2SIS设计应遵循的原则2.1DCS

与由

PES构成的

SIS

的主要区别DCS

ESD构成

不含检测、执行

含检测、执行单元作用（功能） 使生产过程在正常工况乃至最 超限安全停车佳工况下运行工件 动态、连续 静态、间断安全级别 低、不需认证 高、需认证安全仪表系统（SIS）与DCS系统的区别表现在： DCS系统的平均无故障时间（MTBF）已经足够强大，故障的平均修复时间（ MTTR）已足够小。应该说， DCS系统已具备了很高的系统可用性，控制、联锁一体化是可能的。硬件的部件层层冗余配置，系统的可靠性有了很大提高。但要注意的是 DCS软件的可靠性，软件故障难以预测，其危害性 超过硬件故障。DCS可以执行联锁功能，问题是如何来满足生产装置的高安全要求。DCS系统主要用来进行连续控制，它随时都会有大量的信息。要分析处理及频繁地进行人工干预，这样逻辑控制单元误触发的概率较大。而ESD系统则是一个静态系统，出现异常事件才会动作。DCS系统处理信息多，通信系统复杂，出现通信系统故障的可能性较大。SIS系统动作执行要求快速，DCS系统执行相对较慢。因此，国际上有些协会对重要的、安全性要求高的装置则要求单独设置ESD系统。重要场合指的是：可能危及生命安全；可能引起设备重大破坏；可能引起环境明显污染；可能造成重大经济损失。对于一般性的非安全相关的工艺过程联锁程序，为了节省费用，可以在DCS系统内实行。对安全保护有高要求的联锁停车安全控制系统则应独立设置。现在有不少厂商推出了专用的故障安全控制系统，这些系统特点如下。①故障发生后，有足够时间进行故障检测，发出警报，排除故障。②采用容错技术，将被动故障转为主动故障。③采用冗余配置，实施故障隔离。④模块化设计。⑤完善的自检功能。⑥系统硬、软件具有相应的安全等级认证。⑦配备事故记录仪。⑧故障安全型设计。⑨能与DCS系统通信。2.2SIS 设计应遵循的原则 独立设置原则：①逻辑单元独立设置；②现场检测单元独立设置；③执行元件独立设置 （专用的紧急切断阀， 不用调节切断阀来代替）。 中间环节最少原则。 关键单元采用冗余容错结构结构配置原则：①检测元件的二取二方式或三取二方式设置；②逻辑单元如安全 PLC的CPU、过程输入/输出单元；③供电、通信的冗余配置。 故障安全型原则系统设计：①现场检测元件接点选用常闭接点。工艺正常时，触点闭合；达到安全极限时，触点断开，触发联锁动作。②执行元件电磁阀正常通电方式，联锁动作时断电。③通往电气配电室用以开/停电机的接点，用中间继电器隔离，其励磁电路应为故障安全型。 其他：①安全控制要求高的生产装置应选择专门的冗余、容错紧急停车系统。②采用热电偶，热电阻输入时，应有断线保护设计。断线报警，避免产生误动作。③采用电磁阀应具有高可靠性，避免误动作。④事故切断阀停电时应保持安全状态位置。⑤事故切断阀应配回讯开关，确认阀门位置。⑥根据工艺操作要求，确定切断阀开关速度。⑦重要的切断阀应备用储气罐，以备气源事故用。⑧在粉尘、腐蚀性、粘稠介质场合应选择带隔离的发讯开关。⑨切断阀供气管室采用塑料管，以便火灾等情况下失气，实现安全功能。总之，故障安全原则是：组成SIS的各环节自身出现故障的改良版不可能为零， 且供电、供气中断亦可能发生。当内部或外部原因使 SIS失效时，被保护的对象（装置）应按预定的顺序安全停车，自动转入安全状态（ FaulttoSafety ），这就是故障安全原则。作为控制装置（如安全 PLC）“故障安全”意味着当其自身出现故障而不是工艺或设备超过极限工作范围时，至少应该联锁动作，以便按预定的顺序安全停车（这对工艺和设备而言是安全的） ；进而应通过硬件和软件的冗余和容错技术，在过程安全时间（ PSTProcessSafetyTime ）内检测到故障，自动执行纠错程序，排除故障。 系统软件设计应考虑：①输入信号扫描速度应快于软件的扫描周期， 否则会发生丢失信号，使系统稳定性变差。②不允许相同的线圈输出重复定义。③软件编写尽量短小， 过长会增加系统的扫描时间， 使系统的实时性变差。2.3SIS 的可用性及可用度 可用度表达式工艺条件并未达到安全极限值， SIS不应引导工艺过程停车，但由于其自身存在显故障（安全故障）而导致工艺过程停车，即不该停车而误停车，降低了可用性。可用度（

A:Availability

）是指系统可使用工作时间的概率，用百分数计算：MTBF

A=[MTBF/(MTBF+MDT)](SHB-Z06-1999)：平均故障间隔空间（ MeanTimeBetweenFailures

）MDT：平均停车时间（

MeanDowntime）

（平均故障间隔时间）MTBF ：平均故障间隔时间（ MeanTimeBetweenFailuresMTTR：平均恢复时间（ MeanTimetoRepair ）MTTF ：平均无故障时间（ MeanTimetoFailure ）

）例如：图2-1MTTF、MTTR和

MTBF

计算举例MTTF=MTTR+MTBFPFD=MTTR/(MTBF+MTTR)已知MTTR=24HMTBF=2000H则PFD=24/(24+2000)=0.0119所以硬件安全完整性等级达到 SIL1水平2.4 冗余、容错冗余（Redundant）：具有指定的独立的 N:1重元件，并且可以自动地检测故障，切换到后备设备上。 （SHB-Z06-1999）冗余系统（RwdundantSystem）：并行地使用多个系统部件，以提供错误检测和错误校正能力的系统。 （SHB-Z06-1999）容错（FaultTolerant）：具有内部冗余的并行元件和集成逻辑，当硬件或软件部分故障时，能够识别故障并使故障旁路，进而继续执行指定的功能，或在硬件和软件发生故障的情况下，系统仍具有继续运行的能力。它往往包括三方面的功能：第一是约束故障，即限制过程或进程的动作，以防止在错误被检测出来之前继续扩大；第二是检测故障，即对信息和过程或进程的动作进行动态监测；第三是故障恢复即更换或修正失效的部件。（SHB-Z06-1999）容错系统（FaultTolerantSystem ）：具有容错结构的硬件和软件系统。（SHB-Z06-1999）总之，通过冗余和故障屏蔽的结合来实现容错。容错系统一定是冗余系统，冗余系统不一定是容错系统。容错系统的冗余形式有双重、三重、四重等。图2-2表示CPU冗余（双机热备）系统。CPU1 CPU2开关输入/输出现场设备图2-2CPU冗余（双机热备）热备CPU时刻处于开机状态，同主机保持同步，当主 CPU失灵时，可以随时切换到备用 CPU工作。图2-3三重信号冗余容错系统图信号三重冗余系统提供 3条独立的信号通道，并对输出进行 3选2表决，如图 2-3所示。输出信号由 3选2表决器提供，并可在故障发生时复原为 2取1表决或2取2表决结构，比较适用于危险工业的过程保护。但为了提高系统输入到输出的响应时间，系统单元需要定期地协调同步。假设每个单元的响应时间为 10ms，则最坏情况下三重冗余系统（没有同步）的响应时间可能为 20ms。在对数字化模拟信号进行表决时，其响应时间的可预测性显得特别重要。总之，信号三重冗余提供了较大程度上的容错性能， 但它对变化的系统显得仍不够灵活。图2-4模块三重冗余（TMR）系统图模块三重冗余（TMR）系统是使用3个相互隔离的并行主处理器控制系统，并带有扩展的诊断作用综合而成的一套硬件，结构如图 2-4所示。系统每扫描一次， 3个主处理器均 通过3条总线与其相邻的 2个主处理器进行通讯，达到同步。同时 3条I/O总线可对其数据进行比较，并表决出有效数据，系统内的表决器选取原则为 3取2.瞬态的数据错误和单元的失效不会对控制系统造成影响。这样，单点的错误就不会影响控制系统的操作。2.5 怎样通过冗余来改善系统的整体 SIL水平当一个SIS系统的安全完整性等级要求为 SIL3，而实际配置为传感器

2.2*10^-3

（SIL2），逻辑解算器为

1.3*10^-4

（SIL3）（包括

I/O接口），终端执行器为 2.41*10^-3 （SIL2），所以整个系统为 SIL2不满足要求。于是我们改变传感器的配置结构，选择 1oo2冗余，其中共因失效=10%，诊断覆盖率（ DC）＝90%，可以算出 1oo2传感器的结构的 PFD＝2.3*10^-4 ，达到SIL3的水平，同理可以配置执行器为 1oo2冗余结构，也可达到

SIL3

的要求，于是最终整体

SIS

系统的

SIL

可以达到SIL3的要求。这个问题的解决给我们以启示，当装置引进一个 SIS系统时，整体安全完整性等级不仅取决于逻辑解算器部分，而且传感器、终端执行器部分也非常关键。 配置系统时，除了引进一个 SIL3的安全仪表系统控制器，譬如 FSC等，还要将传感器、终端执行器一并讨论。求出针对SIS系统的SIL等级，定量的安全仪表系统配置任务才算完成。2.6 冗余逻辑表决方法及其安全性、可用性的关系可用性（A:Availability ）是指系统可使用工作时间（连续运行时间）的概率，用百分数计算 A值越大，可用性越好：A=MTBF/(MTBF+MTTR)而PFD=MTTR/(MTBF+MTTR)PFD越小则安全性越好。冗余逻辑表决方法及安全性、可用性的关系例子如 2-1表所示。以上可见：①隐故障（危险故障）使 SIS该动而拒动，隐故障概率越高，安全性越差。②显故障（安全故障）使 ESD不该动而误动，显故障概率越高，可用性越差。1oo2（二选一）安全性最好，但可用性最差； 2oo2（二选二）可用性最好，但安全性最差； 2oo3（三选二）可兼顾表2-1冗余逻辑的表决方法及其与安全性、可用性的关系3普通PLC和安全PLC的区别普通PLC和可以作为 ESD控制部分的安全 PLC的主要区别是：普通PLC不是按故障安全型设计的，当系统内部元件出现短路故障时，它并不能检测到，因此其输出状态不能保证系统回到预定的安全状态。这种PLC只能用于安全完整性等级要求低的场合。现以输出电路为例予以说明。图3-1是普通PLCDO卡示意图图3-1普通PLCDO卡示意图当1、2两点短路时，来自PLC的控制信号将不起作用（失效），电磁阀将一直处于带电（励磁）状态，即需要联锁动作（电磁阀释电停车）时，由于此故障的存在而拒动，其输出不能保证处于安全停车状态。这就是违背了故障安全（ FaulttoSafety ）的原则。当1、2两点开路时，将导致误动作而停车，同样会带来损失。可见，这种普通PLC的DO卡输出电路安全性和可用性都是不高的。图 3-2 所示为一种带有安全性单容错的 DO卡示意图（它是HoneywellSMSFSC-101型输出示意图）。图3-2安全性单容错DO卡示意图这里，中央处理器不仅向串联的场效应管（FET）发出控制信号，而且还接受来自场效应管的状态反馈信号，以便对其输出进行全面测试。当测得某管输出发生短路时，中央处理器即启动纠错动作，隔离相关的故障。看门狗（ WatchDog）是个多通道的设计器电路。它由中央处理器和内存等周期性触发，如果两个触发之间的时间小于某设定值或者大于某最大值，则看门狗的输出将失效。同时看门狗还能监视内部工作电压，使之在正常的电压范围内。以上仅是 DO卡上的区别。作为安全 PLC的安全逻辑控制器，至少应具备以下几点：①系统必须有极高的可靠性，通过冗余等措施避免整个系统的功能失效；②如果出现某种失效状态，它必须是以可预见的、安全的方式出现；③它强调内部诊断，通过硬件和软件的有机结合，对检测出系统的异常运行状态，做出针对性的处理，如报警、隔离、切除，甚至安全关停；④在系统研发时，采用失效模式、影响和诊断分析（Failure Modes，EffectsandDiagnosticAnalysis

，FMEDA）技术，确定系统中的每个部件将会出现怎样的失效，以及系统如何检测、应对这些失效，保证能够检测出 99%以上的内部元器件潜在的危险失效；⑤要采用一系列的专门技术确保软件的可靠性，并保证通过其数字通信端口进行读写操作的私密安全（ Security ）；⑥安全逻辑控制器与常规 PLC的不同，还体现在必须通过第三方的权威认证，例如，德国 TüV的认证，以便满足国际功能安全标准严格的安全和可靠性要求；⑦与外部第三方设备的 通信接口，应具有强大的“读写保护”能力（防火墙）。防止数据风暴和 DOS攻击，只允许正常的数据访问。同时不允许 通过外部通信链路直接访问它的 I/O卡；SOE、在线修改（On-lineModification）、人机接口（HMI）对系统不同层次访问的私密性（Security）和对应用程序更改的记录追踪（AuditTrail）等，都是安全系统设计和应用的重要功能。工艺过程风险的评估和安全完整性等级的评定不同的工艺过程（生产规模、原料和产品的种类、工艺和设备的复杂程度等）对安全的要求是不同的。一个具体的工艺过程，是否需要配置SIS、配置何种等级的 SIS，其前提应该是对此具体的工艺过程进行风险评估，要进行危险及可操作性分析（ HAZOP），然后辨识出与此分析相应的安全仪表功能（

SIF），（找到一个安全仪表连锁回路）

，再根据风险出现的频率和其产生的严重后果，找到一个与此

SIF

相应的SIL

值，在确定了某个安全仪表功能的完整性等级（

SIL）之后，再配置与之相适应的

SIS。表

1-3

可以看出，若某工艺过程所需

SIF

经评定后为

SIF2，则配置相应的硬件即可，其响应失效率（

PFD）为百分之一至千分之一之间。应该注意的是不同安全级别的 SIS，只能确保响应失效率 （PFD）在一定的范围内，安全级别越高的 SIS，其PFD越小，即发生事故的可能性越小，但它不能改变事故造成的后果。因此，工艺过程安全完整性等级的评定是一项十分重要的工作。国际、国外标准提供了某些评定方法。下面介绍的风险矩阵（ RISKMATRIX）评估方法可供参考。这种方法以工艺过程事故出现的频率（可能性）及其危害程度（严重性）为风险评估的指标，并对频率和危害程度人为量化为若干级，作出矩阵表（见表 4-1）。以此确定工艺过程安全完整性等级。表4-1中频率分级年限（多少年出现一次）。表4-1风险矩阵SIL评估是在 HAZOP分析的基础上，确定 SIS的安全功能和合理的SIL指标，以实现安全和成本的最佳平衡。不同的 SIL等级，为用户单位的管理、人员配备、操作规程和维护周期等提出不同的要求。 SIL选择的定性的方法有风险矩阵和风险图，定量方法则有故障树， LOPA等。本文 主要介绍风险矩阵法。其方法如下：1）根据国际惯例及企业相关标准确定过程可接受风险；2）根据用户单位相关要求确定风险矩阵的两大参数：后果严重性和要求率，并将其定量描述在工作组会议上进行讨论，以取得来自现场和各方专家的一致认同；3）结合可接受风险，根据国际标准 IEC61511确定两大参数（后果严重性和要求率）的各种组合所对应的 SIL，建立用户单位认可的风险评价矩阵表；4）根据 HAZOP分析结果辨识出需要由安全仪表系统实现的安全仪表功能；5）选取一个待分析的安全仪表功能；6）根据现场调研、现场人员经验及用户单位相关的安全评价资料估算该安全仪表功能要求的动作率及拒动后果严重性；7）依据风险评价矩阵表选定该仪表功能所需达到的 PIL（人身安全完整性等级）、AIL（经济安全完整性等级）、EIL（环境安全完整性等级）、RIL（声誉安全网整形等级），并确定该系统必须达到的综合的安全完整性等级（SIL）；8）进入下一个安全仪表功能的 SIL分析；9）系统最终的 SIL值应选择PIL、AIL、EIL、RIL中最高值，作为最终SIL指标。5SIS的相关标准及认证5.1SIS 的相关标准鉴于SIS涉及到人员、设备、环境的安全、因此各国均制定了相关的标准、规范，使得SIS的设计、制造、使用均有章可循。并有权威的认证机构对产品能达到的安全等级进行确认。这些标准、规范及认证机构主要有：⑴我国石化集团制定的行业标准SHB-Z06-1999《石油化工紧急停车及安全联锁系统设计导则》。⑵GB/T-50770-2013 “石油化工安全仪表系统设计规范”GB/T-20438.1-7-2006等同于采用IEC61508国际标准，即《电气/电子/可编程电子安全相关系统功能安全标准》GB/T-21109.1-3-2007等同于采用IEC61511国际标准《过程工业领域安全仪表系统功能安全》标准⑸IEC61508《电气/电子可编程电子安全相关系统的功能安全》标准⑹IEC61511《过程工业领域安全仪表系统的功能安全》标准⑺美国仪表学会制定的ISA-S84.01-1996《安全仪表系统在过程工业中的应用》⑻美国化学工程学会制定的AICHE（ccps）-1993，《化学过程的安全自动化导则》⑼英国健康与安全执委会制定的 HSEPES-1987，《可编程电子系统在安全领域的应用》⑽德国国家标准中有安全系统制造厂商标准

-DINVVDE0801

、过程操作用户标准 -DINV19250和DINV19251、燃烧管理系统标准 -DINVDE0116等⑾德国技术监督协会（ TüV）是一个独立的、权威的认证机构，它按照德国国家标准（DIN），将ESD所达到的安全等级分为AK1~AK8，AK8安全级别最高。其中AK4、AK5、AK6为适用于石油和化学工业应用所要求的等级。5.2SIL 认证SIL认证就是基于 IEC61508，IEC61511，IEC61513，IEC13849-1，IEC62061，IEC61800-5-2 等标准，对安全设备的安全完整性等级 （SIL或者性能等级（PL））进行评估和确认的一种第三方评估、 验证和认证。功能安全认证主要涉及针对安全设备开发流程的文档管理 （FSM）评估，硬件可靠性计算和评估、软件评估、环境试验、 EMC电磁兼容性测试等内容。SIL认证一共分 4个等级SIL1、SIL2、SIL3、SIL4,包括对产品和对系统两个层次。其中，以 SIL4的要求最高。6取得认证的 SIS产品ABB产品AugustCS386/CS-300E，TüVAk