《SIS 设计中应注意的几个问题》由会员分享,可在线阅读,更多相关《SIS 设计中应注意的几个问题(17页珍藏版)》请在金锄头文库上搜索。
1、SIS 设计中应注意的几个问题摘要:在SIS设计中,回路设计的基本原则;可用性和安全性及其关注的重点. 关键词:SIS,可用性,安全性,硬件容错能力1 什么是安全仪表系统(SIS)根据 IEC 61511 的定义,安全仪表系统是指实现一个或者多个安全仪表功能( SafetyInstrument Function)的仪表系统,它通常由传感器,逻辑运算器和执行元件组成。所谓的安全仪表功能,类似于我们传统说法上的安全仪表回路。一个安全仪表功能由5 个要素组成:传感器,逻辑运算器,执行元件,安全完整性等级(SIL)和响应时间。ZL1OZ1L1L2LCR101I/P24VDCSIS接点OVDC图 1 安
2、全仪表回路图说明:1. L液面超高-LI接点闭合-Z带电。2. Z1常闭接点打开,S线圈断电。3. S 电磁阀切断,往调节阀膜头的控制信号调节阀切断工艺进料,完成联锁保护作用4. K 起:按钮开关:起动联锁保护回路兼有复位作用。5. K 介:起人工强制起动联锁保护作用。6. K 旁:旁路联锁保护作用,用于开车或检修联锁信号仪表。绘动(牧麻侵圮复位作用)KeOUTPUTLOGIC SOLVERINPUT ,、联侵屏厳开关(旁对联復接点)点 Z1图 2 SIS 逻辑图如图1所示,这是一个容器A液位控制的安全仪表功能。对这个安全仪表功能完整的描 述是:当容器液位开关达到安全联锁值时,逻辑运算器(图2
3、)使电磁阀2 断电,则切断进 调节阀膜头信号,使调节阀切断容器A进料,这个动作要在3秒内完成,安全等级必须达 到SIL2。这是一个安全仪表功能的完整描述,而所谓的安全仪表系统,则是类似一个或多 个这样的安全仪表功能的集合。2SIS 设计原则安全仪表系统的主要作用是在工艺生产过程发生危险故障时将其自动或手动带回到预 先设计的安全状态,以确保工艺装置的生产的安全,避免重大人身伤害及重大设备损坏事故。 在安全仪表系统的设计过程中, IEC 61508, IEC 61511 提供了极好的国际通用技术规范和 参考资料。IEC于2000年5月发布了 IEC 61508标准,2003年1月颁布IEC 615
4、11标准。 这两个标准有很密切的关系, IEC61508 标准是综合性基础标准,主要为装置的制造商和供 应商使用,IEC 61511可以说是IEC 61508的延续,主要针对具体的仪器仪表设计者和用户 使用。 2006年, 2007年等同采用 IEC61508, IEC61511 的中国国家标准 GB/T20438, GB/T 21109 相继发布,中国的功能安全标准开始规范我们的功能安全工作。在安全仪表系统的设 计领域,通常将IEC 61508与IEC 61511结合使用。在安全仪表系统回路设计过程中,一 般需要遵循下列几点原则。21 SIS 设计的可靠性原则(安全性原则)为了保证工艺装置的
5、生产安全,安全仪表系统必须具备与工艺过程相适应的安全完整性 等级SIL(Safety Integrity Level)的可靠度。对此,IEC 61508进行了详细的技术规定。 对于安全仪表系统,可靠性有两个含义,一个是安全仪表系统本身的工作可靠性;另一个是 安全仪表系统对工艺过程认知和联锁保护的可靠性,还应有对工艺过程测量,判断和联锁执 行的高可靠性。评估安全完整性等级 SIL 的主要参数就是 PFDavg(probability of failure on demand 平均危险故障率),按其从高到低依次分为14级。在石化行业中一般涉及到的只有1, 2, 3级,因为SIL4级投资大,系统复杂
6、,一般只用于核电行业。详细分类见表1 所示表1 SIL等级与故障几率相应关系SILLow demand mode of operation average (Probability of Failure to perform its design function on Demand)High demand or continuous mode of operation (Probability of dangerous Failure per Hour)4三 10-4 10-6三 10-9 10-83三 10-3 10-4三 10-8 10-72三 10-2 10-3三 10-7 10-61
7、三 10-1 10-2三 10-6 10-5IEC 61508对安全仪表功能所属的过程工艺定义了两种模式:低要求(Low demand)模式 和高要求(High demand)模式。而IEC 61511则称之为要求模式和连续模式。两种分类方式 有着类似的含义,我们只分析低要求模式和高要求模式。低要求模式和高要求模式定义上的 区别在于,低要求模式下,安全仪表功能每年被执行的次数少于一次,并且每个验证测试周 期中不超过 2 次。而高要求模式每年安全仪表功能被执行的次数超过一次,每个验证测试周 期中执行次数超过2次。通常来讲,石化化工等行业所采用的EDS, FGS, BMS等系统,均属 于低要求模式
8、。因为正常情况下,每年安全功能被执行的次数是不会超过一次的。当然,实 际的应用过程中,有可能有些工厂的SIS系统每年动作多次。那并不意味着它的工艺就是高 要求模式,可能是由于不 合理的工艺设计,操作习惯等因素的影响。那么在低要求模式和高要求模式下,SIL等级与故障几率相应的关系见表1。可以看到,低要求模式下,SIL等级的定义是按平均每次动作发生故障的几率(PFD) 来表示。石化化工行业常见的SIL3级别,代表着每次执行安全功能,发生故障的几率是10-3 到10-4。而在高要求模式下,SIL等级则以每小时发生故障的几率(PFH)来表示。SIL3级 别意味着每小时发生故障的几率是10-8到10-7
9、。而IEC 61511的要求模式和连续模式下, SIL等级也是分别用PFD和PFH来表示,各个级别的故障几率与IEC 61508的规定相同。提高安全仪表系统的SIL等级,对安全仪表系统回路内的各个部分实行冗余是主要的手 段。总体来说,检测元件的冗余原则为:对于安全仪表系统的SIL1回路,可采用单一的检 测元件;对于安全仪表系统的SIL2回路,宜采用“ 1oo2D”或“2oo3”冗余的检测元件;对 于安全仪表系统的SIL3回路,应采用“2oo3”冗余的检测元件。安全仪表系统控制单元的冗 余原则为:SIL1可采用“ 1oo1D”单控制单元;SIL2宜采用“ 1oo2D”或“2oo3”冗余控制 单元
10、;SIL3应采用“2oo3”或“2oo4D”冗余控制单元。安全仪表系统执行机构的冗余设 置原则为:SIL1可采用单电磁阀,单控制阀;SIL2宜采用冗余电磁阀,单控制阀;SIL3应 采用冗余电磁阀,双控制阀。安全仪表冗余控制阀可以为分别带电磁阀的两个开关阀,也可 以为带电磁阀的一个调节阀和一个开关阀。22 SIS 设计的可用性原则可用性(也称可用度)是指安全仪表系统在一个给定的时间点能够正确执行功能的概率。 常用下面公式表示:A=MTBF/( MTBF+MDT)其中:A可用性MTBE平均无故障工作时间MDT平均停车时间要使系统可用度增加,就要增加平均无故障工作时间(MTBF),或减少平均停车时间
11、 (MDT)。对于安全仪表系统的设计而言,不能一味的追求系统的高可靠性,系统的可用性 也需要考虑。正确的判断过程事故,可以减少装置的非正常停车,减少开,停车造成的经济 损失。为了提高系统的可用性,安全仪表系统应具有硬件和软件自诊断和测试功能。安全仪表 系统应为每个输入工艺联锁信号设置维护旁路开关,方便进行在线测试和维护同时减少因安 全仪表系统系统维护造成的停车。需要注意的是用于三选二表决方案的冗余检测元件不需要 旁路,手动停车输入也不需要旁路。同时严禁对安全仪表系统输出信号设立旁路开关,以防 止误操作而导致事故发生。如果SIL计算表明测试周期小于工艺停车周期,而对执行机构进 行在线测试时无法确
12、保不影响工艺而导致误停车,则安全仪表系统的设计应当根据需要进行 修改,通过提高冗余配置以延长测试周期或采用部分行程测试法,对事故状态关闭的阀门增 加手动旁通阀,对事故状态开启的阀门增加手动截止阀等措施,以允许在线测试安全仪表系 统阀门。这些手段对于提供安全仪表系统的可用性都是很有帮助的。23 SIS 设计的独立性原则安全仪表系统应独立于基本过程控制系统(BPCS,如DCS, FCS, CCS, PLC等),独 立完成安全保护功能。安全仪表系统的检测元件,控制单元和执行机构应单独设置。如果工 艺要求同时进行联锁和控制的情况下,安全仪表系统和BPCS应各自设置独立的检测元件和 取源点(个别特殊情况
13、除外,如配置三取二检测元件,进DCS信号三取中,进安全仪表系 统三取二,经过信号分配器公用检测元件)。如需要,安全仪表系统应能通过数据通信连接 以只读方式与DCS通信,但禁止DCS通过该通信连接向安全仪表系统写信息。安全仪表系 统应配置独立的通信网络,包括独立的网络交换机,服务器,工程师站等。安全仪表系统应 采用冗余电源,由独立的双路配电回路供电。应避免安全仪表系统和BPCS的信号接线出现 同一接线箱,中间接线柜和控制柜内。24 SIS 设计的标准认证原则随着安全标准的推出以及对安全系统重视度的不断提高,安全仪表系统的认证也变得越 来越重要,系统的设计思想,系统结构都须严格遵守相应国际标准并取
14、得权威机构的认证。 安全仪表系统必须获得IEC 61508 SIL和/或TUV AK (德)相应SIL等级的认证。安全仪表 系统系统中使用的硬件,软件和仪表必须遵守正式版本并已商业化,同时必须获得国家有关 防爆,计量,压力容器等强制认证。严禁使用任何试验产品。25 故障安全原则当安全仪表系统的元件,设备,环节或能源发生故障或者失效时,系统设计应当使工艺 过程能够趋向安全运行或者安全状态。这就是系统设计的故障安全行原则。能否实现“故障 安全“取决于工艺过程及安全仪表系统的设计。整个SIS,包括现场仪表和执行器,都应设 计成以下绝对安全形式,即:1)现场触点应开路报警,正常操作条件下闭合;2)现场
15、执行 器联锁时不带电,正常操作条件下带电。对于执行器,如切断阀,一般情况下SIS应设计成安全联锁动作时,切断阀在安全的即 失气的状态。当有多个不同的工艺回路对该切断阀有不同动作要求时;如同一个FC (失气 时关)切断阀,A安全联锁动作时要求该阀门全开;另一个B安全联锁动作时要求该阀门 全关。此时就要求SIS在A安全联锁中输出T “使电磁阀带电阀门全开,在B安全联锁中 输出”0“使电磁阀失电阀门全关。以上的说明是通常情况下的故障安全。其实对于故障安全还应具体情况具体分析,要确 定最有可能发生的故障状态,并不是一律“常闭接点,正常带电“。26 SIS 的冗余原则为了提高安全仪表系统的SIL等级,对系统的各个单元实现冗余是必须的。其基本原则 为:(1) 传感器的冗余原则:对于SIS的SIL1回路,可采用单一的传感器;对于SIS的SIL2 回路,宜采用“1oo2D”或“2oo3”冗余的传感器;对于SIS的SIL3的回路,应采用“2oo3 ”冗余的传感器。(2) SIS逻辑表决算器的冗余原则:SIL1可采用“ 1oo1D”单逻辑单元;SIL2宜采用“1oo2D”或“2oo3”冗余逻辑单元;SIL3宜采用“2oo3”或“2oo4D”冗余逻辑单 元;(3)
