《安全仪表系统》

一、平安系统概述荆门石化侯振林1什么是FSC系统FSC－即故障平安控制系统(FailSafeControl)在过程工业中起联锁保护作用，是在传统PLC根底上开展起来的。

SMS－SafetyManagementSystem

平安管理系统机构

Honewell工业自动化和控制公司内部的一个独立业务机构。2平安系统的定义如果工厂装置中出现事故时不采取任何措施，事故就会扩大化，导致危险发生。设计平安系统的目的就是对装置的这种情况作出反响，平安系统必须输出正确信号以阻止危险的发生或减轻事故的后果。

其它通用名称:

ESD紧急停车系统SIS平安联锁系统BMS锅炉管理系统F&G火灾和气体检测系统3什么是ESD系统ESD系统：即紧急停车系统,是指事故由该系统首先发现后，按照预定的甚至是固化的程序切断装置发生故障的有关部位，指挥装置采取平安有效的措施。4平安系统的产生背景5重大工业事故次数摘自美国?石油和天然气?杂志1990年8月27日刊单位:次数6事故总损失单位:10亿美元摘自美国?石油和天然气?杂志1990年8月27日刊7平安层次各种系统的平安等级不同,ESD系统的平安等级高于DCS系统。火灾和气体监测紧急停车系统报警过程控制生产过程消防子系统或8危险是怎样减少的？风险工业过程

生产过程内在的风险可接受的风险过程控制系统安全联锁系统其它9

ESD与DCS的区别

DCSESD

动态控制

静态监测，保护

故障自动显示

必须测试潜在故障

维修时间不太关键

维修时间非常关键

可进行自动/手动切换

不允许离线10平安系统的技术开展气动系统电磁继电器系统硬连线固态逻辑系统微处理器系统单通道双重化三重化2选12选2热备用容错系统11电磁继电器系统单元化结构继电器执行系统逻辑通过重新接线实现重新编程优点失效-平安型初始投入少可分散布置抗干扰适应多种电压不足容易误停车无故障诊断功能无串行通信功能无报告文档功能大系统很复杂能耗高,散热多平均维修时间长重新编程困难12硬连线固态逻辑系统模块化结构独立的固态装置执行逻辑通过重新接线来重新编程优点安装密度高容易分散布置低电压、易散热可用串行口通信自诊断功能不足灵活性差无报告文档大系统费用高13工作机理数字输入数字输入数字输入模拟输入模拟输入与门或门计时输出传感器输入模块逻辑模块输出模块输出输出输出14微处理器系统模块化结构微处理器/软件执行逻辑通过软件重新编程优点灵活性模块化结构安装密度最高测试与自诊断功能串行通信有报告文档不足基于软件(可靠性/保密性)同原因故障与其它设备的通信费用注：此处的缺乏是对一般的微处理器系统而言。15选择何种系统？气动的继电器固态逻辑微处理器单重化双重化二选一二选二热备份三重化还需考虑：系统大小、预算、风险、人机界面、通信要求、测试要求，等等。16几种技术的比较故障率17热备用的PLC系统处理器A输入输出智能开关处理器B现场装置18什么是容错

当一个或多个元件失效后，系统按照预定的方式继续运行的能力。19容错系统-根本功能

当容错系统内发生故障时,必须能检测故障指示故障消除故障的影响对系统进行维修时,必须能明确操作状态可以通过下述两种方式实现容错

HIFT-硬件实现容错

SIFT-软件实现容错20HIFTvsSIFTHIFT操作系统更小HIFT=40KSIFT=200KSIFT的操作系统大而复杂21专家们对于软件的意见基于软件对可编程电子系统的总体影响，TUV总是建议制造商提供尽量可靠的硬件，同时把与平安有关的软件压缩到最少。22单重化系统性能A可能性显性故障隐性故障 0.01 0.0223双重化系统性能可靠度 显性故障隐性故障AB二选一表决0.02 0.0004AB二选二表决0.0001 0.0424双重化并联冗余系统处理器A处理器B输出输出输入输入25三重化系统-根本结构处理器B输出输入处理器A输出输入处理器C输出输入26模块失效对于平安系统来讲，往往人们所关心的并不是该系统怎样运作，而是这个系统会怎样失效。平安系统主要有两种失效方式:显性故障失效-安全型显而易见造成误停车误停车带来经济损失隐性故障失效-危险型不易察觉潜在的危险极大必须通过测试才能发现27控制系统故障原因功能设计44%试开车后的改变20%组装设计15%操作及维护15%安装及试开车6%28平安标准29HSMS依据的平安标准30DINV19250/VDEV0801(Germany) –风险的分类 –平安系统的要求各种国家标准ISAS84.01(USA)1996 –平安规那么 –平安生命周期NFPA/UL1998IEC-61508–贯穿整个平安生命周期–平安方案与管理–整体平安水平–系统诊断要求–系统结构和可靠性图示TUV-1984平安标准31IEC-61508IEC61508世界的安全伞常规故障设计与运行故障安装与代理故障操作与维护故障硬件的随机故障修改故障32设备的平安性平安设备缺乏:如果装置的平安性能在可接受的范围以外，厂方必须立即增加相应的平安设备，或及时地采取必要步骤来保证系统平安，否那么不允许继续生产。质量保证:对于建造中的新装置和设备，厂方应保证所采用的平安设备适合于该装置的生产过程。33控制系统和平安保护系统应分开可编程电子系统(1987)英国健康与平安执行委员会运作中设备控制系统保护系统34所有4级工业过程应采取别离措施平安功能-平安关联系统(1995)国际电子技术委员会(适用于工业平安控制系统应用的一个国际标准)应尽可能使平安关联功能及非平安关联功能别离。35平安系统的传感器、平安逻辑

应与过程控制系统的别离工业过程中平安系统的应用(1996)国际测量与控制协会，SP84平安系统(SIS)的传感器应从根本过程控制系统(BPCS)的传感器中别离出来。平安逻辑应从根本过程控制系统中别离出来。过程控制系统和平安系统功能的别离减少了控制和平安功能同时故障的可能性，从而了防止由于控制系统中的疏漏造成对平安系统功能的影响。36过程控制系统和平安系统的传感器、

执行器、逻辑局部、I/O模块以及机柜等，

都应在物理上和功能上加以别离化工过程自动化平安指南(1993)美国化学工程师学会-化学工业过程平安中心一般情况下，平安系统的逻辑局部应与根本过程控制系统中类似局部别离出来，而且，平安系统的输入传感器和控制局部也应独立于过程控制系统中的类似局部。对于根本过程控制系统和平安系统的传感器、执行器、逻辑局部、I/O模块以及机柜等等，都应在物理上和功能上加以区分〔别离〕....37海上石油两层完全独立的平安保护系统海上石油平台平安系统的分析、设计、安装及测试(1994第五版)美国石油协会除了运用于正常操作的控制设备以外，还应提供两层完全独立的平安保护系统。38平安逻辑系统不应与其它逻辑系统混合高炉爆炸/爆聚的防护,1995国家防火协会8502标准燃炉管理中，平安逻辑系统不应与其它逻辑系统相结合。39核工业要求冗余的平安系统在地理上分开核电站平安系统标准(1980)IEEE,603-1980标准美国核工业要求具有冗余的平安系统，它们之间彼此独立，并且在地物理上完全分开。平安系统的设计应到达如下要求，即：其他系统的故障及其造成的影响并不会阻碍平安系统的功能和运作。40定性分析与选择平安系统风险的定义和风险的降低手段定性分析过程其它定性分析方法-叠代法定性分析的特点和局限性41风险的定义风险-衡量危害发生的可能性和严重性的尺度。也就是说，危害是否会发生，如果发生，那么发生的频繁程度及后果。42风险的降低工程中固有的风险风险允许的风险ESDDCS工程设计生产过程43定性分析:频率描述词等级单个总体

发生的频率5经常可能经常发生连续不断4可能

3偶尔2

1不可能在寿命期内将发生几次在寿命期内有时会发生极少可能很少会发生不多,但可能可认为不会发生很少会发生经常发生将发生几次44定性分析:严重性等级描述词事故发生后的影响

人身环境产品或设备5灾难性死亡损失>$150万4极严重伤残损失仅限于现场损失$50-150万3严重医学治疗损失$10-50万2轻微急救治疗1极微无伤亡无危害损失<$2500危害涉及现场以外损失$2500-10万现场危害无法立即控制可立即控制现场危害45定性分析:总体风险严重性频率54321543212520151052016128415129631086425432146定性分析:风险级别及相应的平安系统

等级8-18风险的定型风险的等级应选的技术和结构单重化PLC或继电器等级19-25带自测试功能的冗余处理器或硬连线的固态逻辑人工测试的双重化PLC或硬连线固态系统高中等级1-7低47定性分析：三维示意图频率严重性其它平安层次的影响232231232322222212148定性分析--叠代法W3W2W1CaCbCcCdFaFbFaFbPaPbPaPaPaPbPbPbX1X2X3X4X5X6a1234baa1122334FbFaa=无特殊平安需要b=单联锁系统不行49定性分析不能解决的问题就品质性能来说,那一个系统“最好〞?哪一个具有最小的误停车率?哪一个能提供最好的平安性能?传感器单重化双重化三重化单重化双重化三重化单重化双重化三重化逻辑单重化单重化单重化双重化双重化双重化三重化三重化三重化诊断覆盖率99.9%99%90%99%90%80%99%90%80%同原因故障无无无0.1%1%10%0.1%1%10%输出单重化双重化双重化单重化双重化双重化单重化单重化单重化测试间隔每个月每个季度每年每个月每个季度每年每个月每个季度每年50定性分析总的特点优点：简单容易理解人力、物力投入少

缺点：可能受主客观因素影响，产生错误的结论难以标准化容易变为对公司以前做出的政策