《第一章 安全仪表系统【精选文档】》由会员分享,可在线阅读,更多相关《第一章 安全仪表系统【精选文档】(38页珍藏版)》请在金锄头文库上搜索。
1、第一章 安全仪表系统【精选文档】目录第一章 1.1安全仪表系统(SIS)21。2 SIS设计应遵循的原则181。3 普通PLC和安全PLC的区别301。4 工艺过程风险的评估和安全完整性等级的评定331。5 SIS的相关标准及认证361.6 取得认证的SIS产品381.7 逻辑运算的基本公式42第八章 流体输送机组的控制43第九章 控制仪表与控制系统故障分析及处理70中国石油和化工自动化应用协会王立奉2013年10月1 安全仪表系统(SIS)1.1安全仪表系统(SIS)的定义及有关概念1。1.1 SIS定义1.1.2 IEC61508/IEC61511标准的贡献1.1。3安全功能1.1。4功能
2、安全1。1.5安全仪表功能(SIF)1。1.6安全完整性(SI)及安全完整性等级(SIL)1。1。7安全生命周期与功能安全管理1.1。8 SIF子系统的结构约束1。2.SIS设计应遵循的原则1。2.1 DCS与由PES构成的SIS的主要区别1.2.2 SIS设计应遵循的原则1。2。3 SIS的可用性及可用度1。2。4冗余容错1。2。5怎样通过冗余来改善系统的整体SIL水平1。2.6冗余逻辑表决方法及其安全性、可用性的关系1.3。普通PLC和安全PLC的区别1.4.工艺过程风险评估及安全完整性等级(SIL)的评定1.5。SIS的相关标准及评证1。5.1 SIS的相关标准1。5.2 SIL评证1.
3、6。取得认证的SIS产品1.7。逻辑运算的基本公式 1安全仪表系统(SIS)的定义及有关概念1.1 SIS的定义大多石油和化工生产过程具有高温、高压、易燃、易爆、有毒等危险.当某些工艺参数超出安全极限,未及时处理或处理不当时,便有可能造成人员伤亡、设备损坏、周边环境污染等恶性事故。这就是说,从安全的角度出发,石油和化工生产过程自身存在着固有的风险。 SIS是一种经专门机构认证,具有一定安全完整性等级,用于降低过程风险,使风险达到可接受水平(允许风险)的安全保护系统。它不仅能响应生产过程因超出安全极限而带来的风险,而且能检测和处理自身的故障,从而按预定的条件或程序使生产过程处于安全状态,以确保人
4、员,设备及工厂周边环境的安全。 SIS的定义如图1-1所示图1-1 SIS的定义SIS由检测单元(如各类开关、变送器等)、控制单元和执行单元(如电磁阀、电动门等)组成,其核心部分是控制单元.从SIS的发展过程看,其控制单元部分经历了电气继电器(Electrical)、电子固态电路(Electronic)和可编程电子系统(Programmable Electronic System),即E/E/PES三个阶段. 图1-1为由PES构成的SIS系统。 国际电工委员会IEC61508标准中,SIS被称为安全相关系统(Safety Related System),将被控对象称为被控设备(EUC). I
5、EC61511将SIS定义为用于执行一个或多个安全仪表功能(Safety Instrumented Function,SIF)的仪表系统.SIS是由传感器,逻辑控制器,以及最终元件组合而成。 IEC61511又进一步指出,SIS可以包括、也可以不包括软件。另外,当操作人员的手动操作被视为SIS的有机组成部分时,必须在安全要求规格书(Safety Requirement Specification,SRS)中对人员操作动作的有效性和可靠性做出明确规定,并包括在SIS的绩效计算中。 SIS发展的三个阶段 继电器线路:可靠性很高,成本低,但是灵活性差,扩充系统、增加功能不易. 固态电路:模块化结构,
6、结构紧凑,可在线检测。易识别故障,元件互换容易,可冗余配置。可靠性不如继电器型,操作费用高,灵活性不够好. 安全PLC:以微处理器为基础,有专用软件和编程语言,编程灵活,具有强大的自测试、自诊断功能,冗余配置,容错技术,可靠性可做的很高。SIS的进一步发展出现了故障安全控制系统;专用的紧急停车系统模块化设计,完善的自检功能,系统的硬件、软件都取得相应等级的安全标准证书,配备有专用的程序事故记录仪,非常安全可靠,但价格也很高。1.2 IEC61508/IEC61511标准的贡献IEC61508/IEC61511标准的发布,首先将仪表系统的各种特定的应用,例如ESD、FG、ITCC、BMS、HIP
7、PS、ATP,都统一到SIS的概念下;其次,提出了以SIL为指针,基于绩效(Performance Based)的可靠性评估标准;再者,以安全生命周期(Safety Lifecycle)的架构,规定了各阶段的技术活动和功能安全管理活动。这样,SIS的应用形成了一套完整的体系,包括:设计理念和设计方法、仪表设备选型准入原则(基于经验使用和IEC61508符合性认证)、系统硬件配置和软件组态编程规则、系统集成、安装和调试、运行和维护,以及功能安全评估和审计等。 大体上,安全仪表系统的应用和发展,围绕着两大主题-安全功能(Safety Function)和功能安全(Functional Safety
8、).IEC61508/IEC61511为实现安全仪表系统的功能安全,建立了两大体系-技术体系和功能安全管理体系。1。3“安全功能”IEC61508将“安全功能”定义为:为了应对特定的危险事件(如灾难性的可燃性气体释放),由电气、电子、可编程电子安全相关系统,其他技术安全相关系统,或外部风险降低措施实施的功能,期望达到或保持被控设备(Equipment Under Control,EUC)处于安全状态。上述定义表明:安全功能的执行,并不局限于电气或电子安全仪表系统,还包括其他技术(如气动、液动、机械等技术)及外部风险降低措施(如储罐的外部防护堤堰)。因此,研究安全功能要综合考虑各种技术或措施的共
9、同影响:安全功能是着眼于应对特定的危险事件,也就是说,安全功能有其针对性。可见,安全功能是泛指各种风险降低措施执行的功能,SIF是由SIS执行的安全功能。1.4“功能安全 IEC61508将功能安全定义为:与EUC和EUC控制系统有关的、整体安全的一部分,取决于电气、电子、可编程电子安全相关系统,其他技术安全相关系统和外部风险降低措施机制的正确施行。 IEC61511将功能安全定义为:与工艺过程和BPCS有关的、整天安全的一部分,取决于SIS(安全仪表系统)和其他保护层机能的正确施行。 就安全仪表系统而言,功能安全探讨的是系统本身的绩效问题,即SIS在实现其安全功能时,能够降低风险的能力。因此
10、,功能安全成为SIS设计和运行管理的核心问题之一。1。5安全仪表功能(SIF) SIF,即由SIS执行的安全功能,物理结构上由传感器、逻辑控制器,以及最终执行元件组成,如图1-2所示。 不过SIF的最基本特征是“应对特定的危险事件”并实现必要的风险降低.图12 SIF示例SIF是在过程危险分析及风险评估中辨识出来的,并根据必要的风险降低要求,确定其SIL要求。因此,SIF是进行SIL评估的基础。图1-3表示一个SIF的实例。在这个SIF中,操作人员的手动动作也可以成为SIF的一部分。在这种情况下,评估SIF的风险投资降低绩效水平,要将人工的失效概率考虑在内.图1-3 包含操作员手动动作的SIF
11、PAH压力高报警;HS手动开关(或按钮)在IEC61508/IEC61511标准中,不再使用“联锁一词”,而改用“E/F/PE安全功能”或者“安全仪表功能”。 “安全连锁”与“安全仪表功能有大致相同的含义,不过“安全仪表功能有更明确的界定:由SIS实现的安全功能.用于特定危险事件的风险降低.有明确的绩效或安全完整性(SIL)要求。需要注意的是,SIF在物理上由传感器、逻辑控制器,以及最终执行元件构成,为什么采用“安全仪表功能”这一相对抽象的名称呢?这是因为在危险和风险分析以及安全保护层分配阶段,安全是从工艺过程的风险降低要求角度,辨识并确定需要的安全功能要求和它绩效要求(安全完整性要求),此时
12、还没有到SIS设备选型阶段,也就是说,关注的是“要求”,而非如何实现这一“要求”。1。6安全完整性(SI)及安全完整性等级(SIL) 1。6.1安全完整性(SI)SIS执行安全功能时的绩效或可能达到的功能安全水平,采用安全完整性(Safety Integrity)来表征。安全完整性定义为:在规定的状态和时间周期内,SIS圆满完成所要求的安全功能的概率。安全完整性包括硬件安全完整性(Hardware Safety Integrity),软件安全完整性(software Safety Integrity),以及系统安全完整性(Systematic Safety Integrity)。硬件安全完整性
13、用于表征在危险失效模式(Dangerous Failure Mode)下,随机硬件失效(Random Hardware Failure)的可能性。随机硬件失效是指系统在正常使用状态下,在某个时间点,一个或多个元件随机出现故障(Fault),依据硬件内可能的降级机制(Degradation Mechanism),导致发生某种功能的失效。通过对系统的失效模式及其影响进行分析(Failure Modes and Effects Analysis,FMEA),借助于有效的失效率数据,可以对硬件的安全完整性进行评估计算,并且可以准确到合理的水平.另外,可以通过采用冗余结构(Redundant Archi
14、tectures)设计等措施,有效提高硬件的安全完整性。软件安全完整性用于表征可编程电子系统中的软件,在规定的状态和时间周期内,实现其安全功能的可能性。系统性安全完整性用于表征在危险失效模式下系统性失效.导致系统性失效发生的典型因素包括:系统设计错误或缺陷,不当的安装、调试,不当的操作,缺乏维护管理,以及软件设计漏洞和组态缺陷等。系统性失效在很大程度上都是人为失误造成的,要准确地计算评估其失效率非常困难,因此,IEC61508/IEC61511都强调在安全生命周期的架构下,通过有效的功能安全管理,来提高系统性安全完整性。1。6.2安全完整性等级(SIL) 1。6.2.1隐故障与显故障隐故障(C
15、overt Fault):不对危险产生报警,允许危险发展的故障,是故障危险故障(SHBZ06-1999)。Covert Fault:Fault that can be classified as hidden,concealed,undetected,unrevealed,latent,ect。(ISAS841996) 显故障(Overt Fault):能显示出故障自身存在的故障,是故障安全故障(SHBZ061999)。Overt Fault:Fault that can be classified as announced,detected,revealed,ect.( ISA-S841996)1.6。2。2安全性及响应失效率当工艺条件达到或超过安全极限值时,SIS本应引导工艺过程停车,但由于其自身存在隐故障(危险故障)而不能响应此要求,即该停车而拒停,降低了安全性.
