《第一章安全仪表系统资料》由会员分享,可在线阅读,更多相关《第一章安全仪表系统资料(42页珍藏版)》请在金锄头文库上搜索。
1、目录第一章 1.1安全仪表系统(SIS)21.2 SIS设计应遵循的原则181.3 普通PLC和安全PLC的区别301.4 工艺过程风险的评估和安全完整性等级的评定331.5 SIS的相关标准及认证361.6 取得认证的SIS产品381.7 逻辑运算的基本公式42第八章 流体输送机组的控制43第九章 控制仪表与控制系统故障分析及处理70中国石油和化工自动化应用协会王立奉2013年10月1 安全仪表系统(SIS)1.1安全仪表系统(SIS)的定义及有关概念1.1.1 SIS定义1.1.2 IEC61508/IEC61511标准的贡献1.1.3安全功能1.1.4功能安全1.1.5安全仪表功能(SI
2、F)1.1.6安全完整性(SI)及安全完整性等级(SIL)1.1.7安全生命周期与功能安全管理1.1.8 SIF子系统的结构约束1.2.SIS设计应遵循的原则1.2.1 DCS与由PES构成的SIS的主要区别1.2.2 SIS设计应遵循的原则1.2.3 SIS的可用性及可用度1.2.4冗余容错1.2.5怎样通过冗余来改善系统的整体SIL水平1.2.6冗余逻辑表决方法及其安全性、可用性的关系1.3.普通PLC和安全PLC的区别1.4.工艺过程风险评估及安全完整性等级(SIL)的评定1.5.SIS的相关标准及评证1.5.1 SIS的相关标准1.5.2 SIL评证1.6.取得认证的SIS产品1.7.
3、逻辑运算的基本公式 1安全仪表系统(SIS)的定义及有关概念1.1 SIS的定义大多石油和化工生产过程具有高温、高压、易燃、易爆、有毒等危险。当某些工艺参数超出安全极限,未及时处理或处理不当时,便有可能造成人员伤亡、设备损坏、周边环境污染等恶性事故。这就是说,从安全的角度出发,石油和化工生产过程自身存在着固有的风险。 SIS是一种经专门机构认证,具有一定安全完整性等级,用于降低过程风险,使风险达到可接受水平(允许风险)的安全保护系统。它不仅能响应生产过程因超出安全极限而带来的风险,而且能检测和处理自身的故障,从而按预定的条件或程序使生产过程处于安全状态,以确保人员,设备及工厂周边环境的安全。
4、SIS的定义如图1-1所示图1-1 SIS的定义SIS由检测单元(如各类开关、变送器等)、控制单元和执行单元(如电磁阀、电动门等)组成,其核心部分是控制单元。从SIS的发展过程看,其控制单元部分经历了电气继电器(Electrical)、电子固态电路(Electronic)和可编程电子系统(Programmable Electronic System),即E/E/PES三个阶段。 图1-1为由PES构成的SIS系统。 国际电工委员会IEC61508标准中,SIS被称为安全相关系统(Safety Related System),将被控对象称为被控设备(EUC)。 IEC61511将SIS定义为用于
5、执行一个或多个安全仪表功能(Safety Instrumented Function,SIF)的仪表系统。SIS是由传感器,逻辑控制器,以及最终元件组合而成。 IEC61511又进一步指出,SIS可以包括、也可以不包括软件。另外,当操作人员的手动操作被视为SIS的有机组成部分时,必须在安全要求规格书(Safety Requirement Specification,SRS)中对人员操作动作的有效性和可靠性做出明确规定,并包括在SIS的绩效计算中。 SIS发展的三个阶段 继电器线路:可靠性很高,成本低,但是灵活性差,扩充系统、增加功能不易. 固态电路:模块化结构,结构紧凑,可在线检测。易识别故障
6、,元件互换容易,可冗余配置。可靠性不如继电器型,操作费用高,灵活性不够好。 安全PLC:以微处理器为基础,有专用软件和编程语言,编程灵活,具有强大的自测试、自诊断功能,冗余配置,容错技术,可靠性可做的很高。SIS的进一步发展出现了故障安全控制系统;专用的紧急停车系统模块化设计,完善的自检功能,系统的硬件、软件都取得相应等级的安全标准证书,配备有专用的程序事故记录仪,非常安全可靠,但价格也很高。1.2 IEC61508/IEC61511标准的贡献IEC61508/IEC61511标准的发布,首先将仪表系统的各种特定的应用,例如ESD、F&G、ITCC、BMS、HIPPS、ATP,都统一到SIS的
7、概念下;其次,提出了以SIL为指针,基于绩效(Performance Based)的可靠性评估标准;再者,以安全生命周期(Safety Lifecycle)的架构,规定了各阶段的技术活动和功能安全管理活动。这样,SIS的应用形成了一套完整的体系,包括:设计理念和设计方法、仪表设备选型准入原则(基于经验使用和IEC61508符合性认证)、系统硬件配置和软件组态编程规则、系统集成、安装和调试、运行和维护,以及功能安全评估和审计等。 大体上,安全仪表系统的应用和发展,围绕着两大主题安全功能(Safety Function)和功能安全(Functional Safety)。IEC61508/IEC61
8、511为实现安全仪表系统的功能安全,建立了两大体系技术体系和功能安全管理体系。1.3“安全功能”IEC61508将“安全功能”定义为:为了应对特定的危险事件(如灾难性的可燃性气体释放),由电气、电子、可编程电子安全相关系统,其他技术安全相关系统,或外部风险降低措施实施的功能,期望达到或保持被控设备(Equipment Under Control,EUC)处于安全状态。上述定义表明:安全功能的执行,并不局限于电气或电子安全仪表系统,还包括其他技术(如气动、液动、机械等技术)及外部风险降低措施(如储罐的外部防护堤堰)。因此,研究安全功能要综合考虑各种技术或措施的共同影响:安全功能是着眼于应对特定的
9、危险事件,也就是说,安全功能有其针对性。可见,安全功能是泛指各种风险降低措施执行的功能,SIF是由SIS执行的安全功能。1.4“功能安全” IEC61508将功能安全定义为:与EUC和EUC控制系统有关的、整体安全的一部分,取决于电气、电子、可编程电子安全相关系统,其他技术安全相关系统和外部风险降低措施机制的正确施行。 IEC61511将功能安全定义为:与工艺过程和BPCS有关的、整天安全的一部分,取决于SIS(安全仪表系统)和其他保护层机能的正确施行。 就安全仪表系统而言,功能安全探讨的是系统本身的绩效问题,即SIS在实现其安全功能时,能够降低风险的能力。因此,功能安全成为SIS设计和运行管
10、理的核心问题之一。1.5安全仪表功能(SIF) SIF,即由SIS执行的安全功能,物理结构上由传感器、逻辑控制器,以及最终执行元件组成,如图1-2所示。 不过SIF的最基本特征是“应对特定的危险事件”并实现必要的风险降低。图1-2 SIF示例SIF是在过程危险分析及风险评估中辨识出来的,并根据必要的风险降低要求,确定其SIL要求。因此,SIF是进行SIL评估的基础。图1-3表示一个SIF的实例。在这个SIF中,操作人员的手动动作也可以成为SIF的一部分。在这种情况下,评估SIF的风险投资降低绩效水平,要将人工的失效概率考虑在内。图1-3 包含操作员手动动作的SIFPAH压力高报警;HS手动开关
11、(或按钮)在IEC61508/IEC61511标准中,不再使用“联锁一词”,而改用“E/F/PE安全功能”或者“安全仪表功能”。 “安全连锁”与“安全仪表功能”有大致相同的含义,不过“安全仪表功能有更明确的界定”:由SIS实现的安全功能。用于特定危险事件的风险降低。有明确的绩效或安全完整性(SIL)要求。需要注意的是,SIF在物理上由传感器、逻辑控制器,以及最终执行元件构成,为什么采用“安全仪表功能”这一相对抽象的名称呢?这是因为在危险和风险分析以及安全保护层分配阶段,安全是从工艺过程的风险降低要求角度,辨识并确定需要的安全功能要求和它绩效要求(安全完整性要求),此时还没有到SIS设备选型阶段
12、,也就是说,关注的是“要求”,而非如何实现这一“要求”。1.6安全完整性(SI)及安全完整性等级(SIL) 1.6.1安全完整性(SI)SIS执行安全功能时的绩效或可能达到的功能安全水平,采用安全完整性(Safety Integrity)来表征。安全完整性定义为:在规定的状态和时间周期内,SIS圆满完成所要求的安全功能的概率。安全完整性包括硬件安全完整性(Hardware Safety Integrity),软件安全完整性(software Safety Integrity),以及系统安全完整性(Systematic Safety Integrity)。硬件安全完整性用于表征在危险失效模式(D
13、angerous Failure Mode)下,随机硬件失效(Random Hardware Failure)的可能性。随机硬件失效是指系统在正常使用状态下,在某个时间点,一个或多个元件随机出现故障(Fault),依据硬件内可能的降级机制(Degradation Mechanism),导致发生某种功能的失效。通过对系统的失效模式及其影响进行分析(Failure Modes and Effects Analysis,FMEA),借助于有效的失效率数据,可以对硬件的安全完整性进行评估计算,并且可以准确到合理的水平。另外,可以通过采用冗余结构(Redundant Architectures)设计等措
14、施,有效提高硬件的安全完整性。软件安全完整性用于表征可编程电子系统中的软件,在规定的状态和时间周期内,实现其安全功能的可能性。系统性安全完整性用于表征在危险失效模式下系统性失效。导致系统性失效发生的典型因素包括:系统设计错误或缺陷,不当的安装、调试,不当的操作,缺乏维护管理,以及软件设计漏洞和组态缺陷等。系统性失效在很大程度上都是人为失误造成的,要准确地计算评估其失效率非常困难,因此,IEC61508/IEC61511都强调在安全生命周期的架构下,通过有效的功能安全管理,来提高系统性安全完整性。1.6.2安全完整性等级(SIL) 1.6.2.1隐故障与显故障隐故障(Covert Fault):
15、不对危险产生报警,允许危险发展的故障,是故障危险故障(SHB-Z06-1999)。Covert Fault:Fault that can be classified as hidden,concealed,undetected,unrevealed,latent,ect.(ISA-S84-1996) 显故障(Overt Fault):能显示出故障自身存在的故障,是故障安全故障(SHB-Z06-1999)。Overt Fault:Fault that can be classified as announced,detected,revealed,ect.( ISA-S84-1996)1.6.2.2安全性及响应失效率当工艺条件达到或超过安全极限值时,SIS本应引导工艺过程停车,但由于其自身存在隐故障(危险故障)而不能响应此要求,即该停车而拒停,降低了安全性。衡量安全性的指标为响应失效率或
