sis-設(shè)計(jì)中應(yīng)注意的幾個問題

1、<p>　　SIS 設(shè)計(jì)中應(yīng)注意的幾個問題</p><p>　　摘要: 在SIS設(shè)計(jì)中,回路設(shè)計(jì)的基本原則; 可用性和安全性及其關(guān)注的重點(diǎn).</p><p>　　關(guān)鍵詞:SIS,可用性,安全性,硬件容錯能力</p><p>　　1．什么是安全儀表系統(tǒng)(SIS)</p><p>　　根據(jù)IEC 61511的定義，安全儀表系統(tǒng)是指實(shí)現(xiàn)一

2、個或者多個安全儀表功能（Safety Instrument Function)的儀表系統(tǒng)，它通常由傳感器，邏輯運(yùn)算器和執(zhí)行元件組成。</p><p>　　所謂的安全儀表功能，類似于我們傳統(tǒng)說法上的安全儀表回路。一個安全儀表功能由5個要素組成： 傳感器，邏輯運(yùn)算器，執(zhí)行元件，安全完整性等級（SIL）和響應(yīng)時(shí)間。</p><p>　　圖1 安全儀表回路圖</p><p>

3、;<b>　　說明：</b></p><p>　　L液面超高-L1接點(diǎn)閉合-Z帶電。</p><p>　　Z1常閉接點(diǎn)打開，S線圈斷電。</p><p>　　S電磁閥切斷，往調(diào)節(jié)閥膜頭的控制信號調(diào)節(jié)閥切斷工藝進(jìn)料，完成聯(lián)鎖保護(hù)作用。</p><p>　　K起：按鈕開關(guān)：起動聯(lián)鎖保護(hù)回路兼有復(fù)位作用。</p>

4、<p>　　K介：起人工強(qiáng)制起動聯(lián)鎖保護(hù)作用。</p><p>　　K旁：旁路聯(lián)鎖保護(hù)作用，用于開車或檢修聯(lián)鎖信號儀表。</p><p><b>　　圖2 SIS邏輯圖</b></p><p>　　如圖1所示，這是一個容器A液位控制的安全儀表功能。對這個安全儀表功能完整的描述是：當(dāng)容器液位開關(guān)達(dá)到安全聯(lián)鎖值時(shí)，邏輯運(yùn)算器（圖2）使電

5、磁閥2斷電，則切斷進(jìn)調(diào)節(jié)閥膜頭信號，使調(diào)節(jié)閥切斷容器A進(jìn)料，這個動作要在3秒內(nèi)完成，安全等級必須達(dá)到SIL2。這是一個安全儀表功能的完整描述，而所謂的安全儀表系統(tǒng)，則是類似一個或多個這樣的安全儀表功能的集合。</p><p><b>　　2．SIS設(shè)計(jì)原則</b></p><p>　　安全儀表系統(tǒng)的主要作用是在工藝生產(chǎn)過程發(fā)生危險(xiǎn)故障時(shí)將其自動或手動帶回到預(yù)先設(shè)計(jì)的安

6、全狀態(tài)，以確保工藝裝置的生產(chǎn)的安全，避免重大人身傷害及重大設(shè)備損壞事故。在安全儀表系統(tǒng)的設(shè)計(jì)過程中，IEC 61508，IEC 61511提供了極好的國際通用技術(shù)規(guī)范和參考資料。IEC于2000年5月發(fā)布了IEC 61508標(biāo)準(zhǔn)，2003年1月頒布IEC 61511標(biāo)準(zhǔn)。這兩個標(biāo)準(zhǔn)有很密切的關(guān)系，IEC 61508標(biāo)準(zhǔn)是綜合性基礎(chǔ)標(biāo)準(zhǔn)，主要為裝置的制造商和供應(yīng)商使用，IEC 61511可以說是IEC 61508的延續(xù)，主要針對具體的儀器

7、儀表設(shè)計(jì)者和用戶使用。2006年，2007年等同采用IEC 61508，IEC 61511的中國國家標(biāo)準(zhǔn) GB/T 20438，GB/T 21109相繼發(fā)布，中國的功能安全標(biāo)準(zhǔn)開始規(guī)范我們的功能安全工作。在安全儀表系統(tǒng)的設(shè)計(jì)領(lǐng)域，通常將IEC 61508與IEC 61511 結(jié)合使用。在安全儀表系統(tǒng)回路設(shè)計(jì)過程中，一般需要遵循下列幾點(diǎn)原則。</p><p>　　2．1 SIS設(shè)計(jì)的可靠性原則（安全性原則）<

8、/p><p>　　為了保證工藝裝置的生產(chǎn)安全，安全儀表系統(tǒng)必須具備與工藝過程相適應(yīng)的安全完整性等級SIL（Safety Integrity Level）的可靠度。對此，IEC 61508進(jìn)行了詳細(xì)的技術(shù)規(guī)定。對于安全儀表系統(tǒng)，可靠性有兩個含義，一個是安全儀表系統(tǒng)本身的工作可靠性；另一個是安全儀表系統(tǒng)對工藝過程認(rèn)知和聯(lián)鎖保護(hù)的可靠性，還應(yīng)有對工藝過程測量，判斷和聯(lián)鎖執(zhí)行的高可靠性。</p><p&g

9、t;　　評估安全完整性等級SIL的主要參數(shù)就是PFDavg(probability of failure on demand 平均危險(xiǎn)故障率)，按其從高到低依次分為1~4級。在石化行業(yè)中一般涉及到的只有1，2，3級，因?yàn)镾IL4級投資大，系統(tǒng)復(fù)雜，一般只用于核電行業(yè)。</p><p>　　詳細(xì)分類見表1 所示</p><p>　　表1 SIL等級與故障幾率相應(yīng)關(guān)系</p>&

10、lt;p>　　IEC 61508 對安全儀表功能所屬的過程工藝定義了兩種模式：低要求(Low demand)模式和高要求(High demand)模式。而IEC 61511則稱之為要求模式和連續(xù)模式。兩種分類方式有著類似的含義，我們只分析低要求模式和高要求模式。低要求模式和高要求模式定義上的區(qū)別在于，低要求模式下，安全儀表功能每年被執(zhí)行的次數(shù)少于一次，并且每個驗(yàn)證測試周期中不超過2次。而高要求模式每年安全儀表功能被執(zhí)行的次數(shù)超過一

11、次，每個驗(yàn)證測試周期中執(zhí)行次數(shù)超過2次。通常來講，石化化工等行業(yè)所采用的EDS，F(xiàn)GS，BMS等系統(tǒng)，均屬于低要求模式。因?yàn)檎Ｇ闆r下，每年安全功能被執(zhí)行的次數(shù)是不會超過一次的。當(dāng)然，實(shí)際的應(yīng)用過程中，有可能有些工廠的SIS系統(tǒng)每年動作多次。那并不意味著它的工藝就是高要求模式，可能是由于不 合理的工藝設(shè)計(jì)，操作習(xí)慣等因素的影響。</p><p>　　那么在低要求模式和高要求模式下，SIL等級與故障幾率相應(yīng)的關(guān)系見

12、表1。</p><p>　　可以看到，低要求模式下，SIL等級的定義是按平均每次動作發(fā)生故障的幾率（PFD）來表示。石化化工行業(yè)常見的SIL3級別，代表著每次執(zhí)行安全功能，發(fā)生故障的幾率是10-3 到10-4。而在高要求模式下，SIL等級則以每小時(shí)發(fā)生故障的幾率（PFH）來表示。SIL3級別意味著每小時(shí)發(fā)生故障的幾率是10-8 到10-7。而IEC 61511的要求模式和連續(xù)模式下，SIL等級也是分別用PFD和

13、PFH來表示，各個級別的故障幾率與IEC 61508的規(guī)定相同。</p><p>　　提高安全儀表系統(tǒng)的SIL等級，對安全儀表系統(tǒng)回路內(nèi)的各個部分實(shí)行冗余是主要的手段。總體來說，檢測元件的冗余原則為：對于安全儀表系統(tǒng)的SIL1 回路，可采用單一的檢測元件；對于安全儀表系統(tǒng)的SIL2回路，宜采用“1oo2D”或 “2oo3”冗余的檢測元件；對于安全儀表系統(tǒng)的SIL3回路，應(yīng)采用“2oo3”冗余的檢測元件。安全儀表系

14、統(tǒng)控制單元的冗余原則為：SIL1 可采用“1oo1D”單控制單元；SIL2 宜采用“1oo2D”或“2oo3” 冗余控制單元；SIL3 應(yīng)采用“2oo3”或 “2oo4D” 冗余控制單元。安全儀表系統(tǒng)執(zhí)行機(jī)構(gòu)的冗余設(shè)置原則為：SIL1可采用單電磁閥，單控制閥；SIL2宜采用冗余電磁閥，單控制閥；SIL3 應(yīng)采用冗余電磁閥，雙控制閥。安全儀表冗余控制閥可以為分別帶電磁閥的兩個開關(guān)閥，也可以為帶電磁閥的一個調(diào)節(jié)閥和一個開關(guān)閥。</p&

15、gt;<p>　　2．2 SIS設(shè)計(jì)的可用性原則</p><p>　　可用性（也稱可用度）是指安全儀表系統(tǒng)在一個給定的時(shí)間點(diǎn)能夠正確執(zhí)行功能的概率。常用下面公式表示：</p><p>　　A=MTBF/（MTBF+MDT）</p><p><b>　　其中：</b></p><p>　　A---------

16、-可用性</p><p>　　MTBE----平均無故障工作時(shí)間</p><p>　　MDT------平均停車時(shí)間</p><p>　　要使系統(tǒng)可用度增加，就要增加平均無故障工作時(shí)間（MTBF），或減少平均停車時(shí)間（MDT）。對于安全儀表系統(tǒng)的設(shè)計(jì)而言，不能一味的追求系統(tǒng)的高可靠性，系統(tǒng)的可用性也需要考慮。正確的判斷過程事故，可以減少裝置的非正常停車，減少開，停車

17、造成的經(jīng)濟(jì)損失。</p><p>　　為了提高系統(tǒng)的可用性，安全儀表系統(tǒng)應(yīng)具有硬件和軟件自診斷和測試功能。安全儀表系統(tǒng)應(yīng)為每個輸入工藝聯(lián)鎖信號設(shè)置維護(hù)旁路開關(guān)，方便進(jìn)行在線測試和維護(hù)同時(shí)減少因安全儀表系統(tǒng)系統(tǒng)維護(hù)造成的停車。需要注意的是用于三選二表決方案的冗余檢測元件不需要旁路，手動停車輸入也不需要旁路。同時(shí)嚴(yán)禁對安全儀表系統(tǒng)輸出信號設(shè)立旁路開關(guān)，以防止誤操作而導(dǎo)致事故發(fā)生。如果SIL計(jì)算表明測試周期小于工藝停車

18、周期，而對執(zhí)行機(jī)構(gòu)進(jìn)行在線測試時(shí)無法確保不影響工藝而導(dǎo)致誤停車，則安全儀表系統(tǒng)的設(shè)計(jì)應(yīng)當(dāng)根據(jù)需要進(jìn)行修改，通過提高冗余配置以延長測試周期或采用部分行程測試法，對事故狀態(tài)關(guān)閉的閥門增加手動旁通閥，對事故狀態(tài)開啟的閥門增加手動截止閥等措施，以允許在線測試安全儀表系統(tǒng)閥門。這些手段對于提供安全儀表系統(tǒng)的可用性都是很有幫助的。</p><p>　　2．3 SIS設(shè)計(jì)的獨(dú)立性原則</p><p>　

19、　安全儀表系統(tǒng)應(yīng)獨(dú)立于基本過程控制系統(tǒng)（BPCS，如DCS，F(xiàn)CS，CCS，PLC等），獨(dú)立完成安全保護(hù)功能。安全儀表系統(tǒng)的檢測元件，控制單元和執(zhí)行機(jī)構(gòu)應(yīng)單獨(dú)設(shè)置。如果工藝要求同時(shí)進(jìn)行聯(lián)鎖和控制的情況下，安全儀表系統(tǒng)和BPCS應(yīng)各自設(shè)置獨(dú)立的檢測元件和取源點(diǎn)（個別特殊情況除外，如配置三取二檢測元件，進(jìn)DCS信號三取中，進(jìn)安全儀表系統(tǒng)三取二，經(jīng)過信號分配器公用檢測元件）。如需要，安全儀表系統(tǒng)應(yīng)能通過數(shù)據(jù)通信連接以只讀方式與DCS通信，但禁

20、止DCS通過該通信連接向安全儀表系統(tǒng)寫信息。安全儀表系統(tǒng)應(yīng)配置獨(dú)立的通信網(wǎng)絡(luò)，包括獨(dú)立的網(wǎng)絡(luò)交換機(jī)，服務(wù)器，工程師站等。安全儀表系統(tǒng)應(yīng)采用冗余電源，由獨(dú)立的雙路配電回路供電。應(yīng)避免安全儀表系統(tǒng)和BPCS的信號接線出現(xiàn)同一接線箱，中間接線柜和控制柜內(nèi)。</p><p>　　2．4 SIS設(shè)計(jì)的標(biāo)準(zhǔn)認(rèn)證原則</p><p>　　隨著安全標(biāo)準(zhǔn)的推出以及對安全系統(tǒng)重視度的不斷提高，安全儀表系統(tǒng)的認(rèn)

21、證也變得越來越重要，系統(tǒng)的設(shè)計(jì)思想，系統(tǒng)結(jié)構(gòu)都須嚴(yán)格遵守相應(yīng)國際標(biāo)準(zhǔn)并取得權(quán)威機(jī)構(gòu)的認(rèn)證。安全儀表系統(tǒng)必須獲得IEC 61508 SIL和/或TUV AK（德）相應(yīng)SIL等級的認(rèn)證。安全儀表系統(tǒng)系統(tǒng)中使用的硬件，軟件和儀表必須遵守正式版本并已商業(yè)化，同時(shí)必須獲得國家有關(guān)防爆，計(jì)量，壓力容器等強(qiáng)制認(rèn)證。嚴(yán)禁使用任何試驗(yàn)產(chǎn)品。</p><p>　　2．5 故障安全原則</p><p>　　當(dāng)安

22、全儀表系統(tǒng)的元件，設(shè)備，環(huán)節(jié)或能源發(fā)生故障或者失效時(shí)，系統(tǒng)設(shè)計(jì)應(yīng)當(dāng)使工藝過程能夠趨向安全運(yùn)行或者安全狀態(tài)。這就是系統(tǒng)設(shè)計(jì)的故障安全行原則。能否實(shí)現(xiàn)“故障安全“取決于工藝過程及安全儀表系統(tǒng)的設(shè)計(jì)。整個SIS，包括現(xiàn)場儀表和執(zhí)行器，都應(yīng)設(shè)計(jì)成以下絕對安全形式，即：1）現(xiàn)場觸點(diǎn)應(yīng)開路報(bào)警，正常操作條件下閉合；2）現(xiàn)場執(zhí)行器聯(lián)鎖時(shí)不帶電，正常操作條件下帶電。</p><p>　　對于執(zhí)行器，如切斷閥，一般情況下SIS應(yīng)設(shè)

23、計(jì)成安全聯(lián)鎖動作時(shí)，切斷閥在安全的即失氣的狀態(tài)。當(dāng)有多個不同的工藝回路對該切斷閥有不同動作要求時(shí)；如同一個FC（失氣時(shí)關(guān)）切斷閥，A安全聯(lián)鎖動作時(shí)要求該閥門全開；另一個B安全聯(lián)鎖動作時(shí)要求該閥門全關(guān)。此時(shí)就要求SIS在A安全聯(lián)鎖中輸出“1“使電磁閥帶電閥門全開，在B安全聯(lián)鎖中輸出”0“使電磁閥失電閥門全關(guān)。</p><p>　　以上的說明是通常情況下的故障安全。其實(shí)對于故障安全還應(yīng)具體情況具體分析，要確定最有可能

24、發(fā)生的故障狀態(tài)，并不是一律“常閉接點(diǎn)，正常帶電“。</p><p>　　2．6 SIS的冗余原則</p><p>　　為了提高安全儀表系統(tǒng)的SIL等級，對系統(tǒng)的各個單元實(shí)現(xiàn)冗余是必須的。其基本原則為：</p><p>　　傳感器的冗余原則：對于SIS的SIL1回路，可采用單一的傳感器；對于SIS的SIL2回路，宜采用“1oo2D” 或“2oo3”冗余的傳感器；對于S

25、IS的SIL3的回路，應(yīng)采用“2oo3”冗余的傳感器。</p><p>　　SIS邏輯表決算器的冗余原則：SIL1可采用“1oo1D”單邏輯單元；SIL2宜采用“1oo2D” 或“2oo3” 冗余邏輯單元；SIL3宜采用“2oo3” 或“2oo4D” 冗余邏輯單元；</p><p>　　SIS控制閥的冗余設(shè)置原則：SIL1可采用單電磁閥，單SIS控制閥；SIL2宜采用冗余電磁閥，單SIS控

26、制閥；SIL3應(yīng)采用冗余電磁閥，雙SIS控制閥；</p><p>　　SIS冗余控制閥為分別帶電磁閥的兩個SIS開關(guān)閥，也可為帶電磁閥的1個調(diào)節(jié)閥加1個SIS開關(guān)閥；冗余輸入的SIS邏輯應(yīng)當(dāng)包括輸入信號偏差報(bào)警（2個變送器的信號偏差，報(bào)警設(shè)定值為5%）.</p><p>　　2．7 SIS的診斷與在線維護(hù)原則</p><p>　　SIS應(yīng)具有硬件和軟件自診斷及測試功

27、能。SIS應(yīng)為每個輸入工藝聯(lián)鎖信號設(shè)置維護(hù)旁路開關(guān)，方便進(jìn)行在線測試和維護(hù)。用于3選2表決方案的冗余傳感器不需要旁路，手動停車輸入也不需要旁路。嚴(yán)禁對SIS輸出信號設(shè)立旁路開關(guān)。如果SIL計(jì)算表明測試周期小于工藝停車周期，而對最終執(zhí)行元件進(jìn)行在線測試時(shí)無法確保不影響工藝或?qū)е抡`停車；則SIS的設(shè)計(jì)應(yīng)當(dāng)根據(jù)需要進(jìn)行修改，通過提高冗余配置以延長測試周期或采用部分行程測試法，對故障關(guān)的閥門增加手動旁通閥，對故障開的閥門增加手動截止閥等措施，以

28、允許在線測試SIS閥門。對于SIS聯(lián)鎖旁路應(yīng)設(shè)置“禁止/允許”開關(guān)。SIS旁路開關(guān)的動作應(yīng)當(dāng)在DCS中產(chǎn)生報(bào)警并予以記錄。除非旁路解除，報(bào)警始終處于活動狀態(tài)。</p><p>　　2．8 維護(hù)旁路開關(guān)（MOS）設(shè)置</p><p>　　2．8．1 MOS作用</p><p>　　維護(hù)旁路開關(guān)(Maintenance Override Switch,MOS)為SIS的

29、變送器，檢測開關(guān)等現(xiàn)場設(shè)備的在線檢修設(shè)置。由于在旁路狀態(tài)下SIF的功能及其安全完整性都是受限的。因此旁路的設(shè)計(jì)和操作管理，成為SIS工程中重要的關(guān)注點(diǎn)之一。</p><p>　　旁路操作本身應(yīng)有報(bào)警，記錄和顯示；在旁路期間也應(yīng)始終保持對工藝過程狀態(tài)的檢測和指示。旁路操作應(yīng)有明確的操作程序，并納入到功能安全評估和現(xiàn)場功能安全審計(jì)的范圍之內(nèi)。重要的一點(diǎn)，旁路設(shè)計(jì)應(yīng)僅限于正常的工藝過程操作界限之內(nèi)，不能代替或用作安全防

30、護(hù)層功能。</p><p>　　2．8．2 設(shè)置 MOS要遵循以下原則：</p><p>　　1） 當(dāng)傳感器被旁路時(shí)，操作人員有其它手段和措施觸發(fā)該傳感器對應(yīng)的最終執(zhí)行元件，使工藝過程置于安全狀態(tài)；</p><p>　　2）當(dāng)傳感器被旁路時(shí)，操作人員有其它手段和措施監(jiān)測到該傳感器對應(yīng)的過程參數(shù)或狀態(tài)。</p><p>　　3）當(dāng)傳感器被旁路時(shí)

31、，操作人員有其它手段和措施，并有足夠的響應(yīng)時(shí)間取代該傳感器相關(guān)的SIF，將工藝過程置于安全狀態(tài)。</p><p>　　4）MOS不能用于屏蔽手動緊急停車按鈕信號，檢測壓縮機(jī)工況的軸振動/位移信號以及報(bào)警功能等；</p><p>　　5）MOS的啟動狀態(tài)應(yīng)有適當(dāng)?shù)娘@示。旁路狀態(tài)的時(shí)間不宜太長，如果對該時(shí)間有嚴(yán)格的限定，可設(shè)計(jì)“時(shí)間到”報(bào)警，但是不能自動解除旁路狀態(tài)。</p>&

32、lt;p>　　對于MooN表決機(jī)制的變送器信號，MOS邏輯設(shè)計(jì)要考慮降級模式對安全性和可用性的影響。例如，從安全性角度，2oo3旁路后應(yīng)降級1 oo2；而對于停車將造成重大經(jīng)濟(jì)損失的回路，2oo3旁路設(shè)計(jì)可能采用降級為2oo2。</p><p>　　2．9 聯(lián)鎖與復(fù)位設(shè)置</p><p>　　SIS的設(shè)計(jì)應(yīng)保證一旦工藝過程進(jìn)入安全狀態(tài)，在進(jìn)行手動復(fù)位前應(yīng)保持工藝過程在安全狀態(tài)。最終執(zhí)

33、行元件在所有的聯(lián)鎖初始條件恢復(fù)到正常狀態(tài)前不得復(fù)位。帶多個傳感器和最終執(zhí)行元件的復(fù)雜聯(lián)鎖回路需要在邏輯中設(shè)置一個總聯(lián)鎖復(fù)位信號（按鈕），當(dāng)聯(lián)鎖初始條件恢復(fù)到正常狀態(tài)之后，能用該復(fù)位信號（按鈕）對整個聯(lián)鎖回路進(jìn)行復(fù)位。對火焰加熱爐，氣化爐，反應(yīng)器等高危險(xiǎn)設(shè)備的最終執(zhí)行元件，需配備一個獨(dú)立的，就地手動復(fù)位裝置。總聯(lián)鎖復(fù)位必須在就地手動復(fù)位前先復(fù)位，就地手動復(fù)位裝置的信號必須輸入SIS邏輯。</p><p>　　2．1

34、0 SIS邏輯控制器的應(yīng)用軟件組態(tài)</p><p>　　在SIS 可編程邏輯控制器中，應(yīng)用軟件編程組態(tài)遵循的最重要原則，是如何保證滿足安全完整性要求。邏輯控制器的整體性能表現(xiàn)，在很大程度上受制于軟件的質(zhì)量。我們知道，安全完整性包括硬件安全完整性和系統(tǒng)性安全完整性。其中軟件錯誤或缺陷是影響系統(tǒng)性安全完整性的重要因素之一。不幸的是，我們很難對軟件失效建立數(shù)學(xué)模型并對失效率進(jìn)行準(zhǔn)確預(yù)測。</p><

35、p>　　應(yīng)用軟件設(shè)計(jì)和組態(tài)應(yīng)遵循模塊化，低復(fù)雜性的指導(dǎo)原則。按照工藝過程特點(diǎn)和防護(hù)邏輯，劃分為相對獨(dú)立。簡單的單元或?qū)哟?，這將給功能測試和修改帶來極大的便利，有利于增強(qiáng)軟件的完整性。不論設(shè)計(jì)文件采用哪種格式，包括因果圖（Cause-Effect）,功能邏輯圖，流程圖，文字?jǐn)⑹龅刃问?，都要足夠詳?xì)，確保對停車邏輯，設(shè)定值，報(bào)警，診斷以及時(shí)序等的正確組態(tài)?；凇敖?jīng)驗(yàn)使用”原則，盡可能采用標(biāo)準(zhǔn)功能或功能塊。如果需要采用；嵌套”邏輯，應(yīng)盡

36、可能地降低嵌套層。</p><p>　　2．11 SIS的其它設(shè)計(jì)原則</p><p>　　SIS必須獲得IEC 61508 SIL和/或TUV AK（德）相應(yīng)SIL等級的認(rèn)證。鑒于某些特殊原因，需要由SIS執(zhí)行的非安全功能應(yīng)在因果圖上明確標(biāo)明（如“非安全功能”，“NSF”，SIL=“N/A” 或其它標(biāo)識）并在其他SIS設(shè)計(jì)文件中指明。非安全功能的動作，如果由SIS執(zhí)行則不得干擾或危及SI

37、S的任何安全功能。SIS系統(tǒng)中使用的硬件，軟件和儀表必須遵守正式版本并已商業(yè)化， 同時(shí)必須獲得國家有關(guān)防爆，計(jì)量，壓力容器等強(qiáng)制認(rèn)證。嚴(yán)禁使用任何試驗(yàn)產(chǎn)品。</p><p>　　2．12 SIL的最終評估</p><p>　　當(dāng)按照安全要求規(guī)格書的要求，完整了SIS設(shè)備的選型和結(jié)構(gòu)設(shè)計(jì)，自然地要回答這一問題，最終的SIF是否達(dá)到了預(yù)期的SIL要求？</p><p>

38、　　SIF的最終SIL評估，通常有兩個必要條件：一是評定SIS子系統(tǒng)是否滿足了“結(jié)構(gòu)約束(Architectural Constraints)要求，在IEC 61508/IEC 61511中，結(jié)構(gòu)約束條款用最小的“硬件故障裕度”(Hardware Fault Tolerance,HFT)表征，代表了設(shè)備或子系統(tǒng)在構(gòu)成SIL回路時(shí)，從硬件結(jié)構(gòu)上對安全完整性等級的限制。</p><p>　　2． 13 結(jié)構(gòu)約束<

39、;/p><p>　　2．13．1 IEC 61508中的結(jié)構(gòu)約束</p><p>　　結(jié)構(gòu)約束是除PFD avg之外，在某個特定應(yīng)用中使用某個設(shè)備的附加約束。</p><p>　　根據(jù)設(shè)備類型及其SFF（安全失效分?jǐn)?shù)，也有稱之為安全故障）和設(shè)備所在子系統(tǒng)的HFT(硬件故障裕度，也有稱之為硬件容錯能力）來確定設(shè)備子系統(tǒng)能夠用于哪級SIL水平的安全儀表系統(tǒng)。IEC 6150

40、8提供了一張表，分別為設(shè)備類型A和B的子系統(tǒng)定義了結(jié)構(gòu)約束，如表3所示。</p><p>　　表3IEC 61508中對A類及B類設(shè)備的結(jié)構(gòu)約束</p><p>　　為了便于區(qū)分，IEC 61508將各種組成安全儀表功能的元件分成兩種A型和B型。A型指那些所有故障模式都被定義過，所有故障行為都被定義過，而且有充足的故障數(shù)據(jù)的元件。例如普通傳感器，閥門等。而B型則相反，指那些故障類型沒有

41、被完整的定義，也沒有足夠的故障數(shù)據(jù)的元件，一般指的是含有處理器的元件，例如智能傳感器，邏輯運(yùn)算器等。</p><p>　　由表3，我們可以看出，確定安全儀表回路各個元件的SIL等級，取決于2個參數(shù)。1是安全失效分?jǐn)?shù)，2是硬件故障裕度。對自動化產(chǎn)品來說，安全失效分?jǐn)?shù)的定義為該產(chǎn)品的平均安全失效率加檢測到的平均危險(xiǎn)失效率與子系統(tǒng)總平均失效率之比。</p><p><b>　　安全失效

42、分?jǐn)?shù)</b></p><p>　　SFF= (λSD+λSU+λDD) / (λSD+λSU+λDD+λDu)</p><p>　　提高安全失效分?jǐn)?shù)，就是提高產(chǎn)品的故障安全能力，也就是說，當(dāng)產(chǎn)品出現(xiàn)故障時(shí)，具有的使系統(tǒng)以安全的方式失效的能力提高安全失效分?jǐn)?shù)的辦法有很多，最重要的就是提高診斷覆蓋率，也就是用各種內(nèi)部診斷的方式將可能導(dǎo)致危險(xiǎn)失效檢測出來提高診斷測試到的危險(xiǎn)失效概率在

43、危險(xiǎn)失效總概率中的比例。</p><p>　　硬件故障裕度HFT和系統(tǒng)或者元件的結(jié)構(gòu)有關(guān)。我們常見的系統(tǒng)或者元件設(shè)計(jì)結(jié)構(gòu)有1oo1,2oo2,1oo2,2oo3,1oo3,2oo4.這種MooN結(jié)構(gòu)指的是需要總共N個通道中的M個獨(dú)立通道來實(shí)現(xiàn)安全功能。而硬件容錯能力HFT的定義是，假如硬件容錯能力是X，那么當(dāng)出現(xiàn)X+1個危險(xiǎn)故障時(shí)，將會導(dǎo)致安全功能的喪失。所以很明顯，我們可以得出在MooN結(jié)構(gòu)中，硬件容錯能力的計(jì)

44、算HFT=N-M。如表2所示。</p><p>　　表2 硬件容錯能力計(jì)算表</p><p>　　有時(shí)候，冗余的設(shè)備是為了提高過程的可用性，而不是為了提高安全性。</p><p>　　硬件故障裕度(Hardware fault tolerance,HFT)是指在能夠正常行使安全功能的情況下，系統(tǒng)結(jié)構(gòu)配置能夠容忍的危險(xiǎn)失效數(shù)目。硬件故障裕度有時(shí)與冗余配置容易混淆。硬件

45、故障裕度和冗余不是一回事。例如，1oo3,2oo3,3oo3的設(shè)備冗余數(shù)都是3，而它們的硬件故障裕度卻分別是2，1，0。有時(shí)候，冗余的設(shè)備是為了提高過程的可用性，而不是為了提高安全性。</p><p>　　如果某個B類設(shè)備具有92%的安全失效分?jǐn)?shù)，硬件故障裕度為0，根據(jù)表3可得到它滿足SIL2的要求。但一般在實(shí)際工程中，結(jié)構(gòu)約束是以另一種方式使用的。已知的是目標(biāo)SIL水平，設(shè)備類型及其安全失效分?jǐn)?shù)，要確定的是硬件

46、故障裕度。例如，某A類設(shè)備的SFF為50%，安全儀表功能的目標(biāo)SIL水平為2，那么根據(jù)表2硬件裕度為1，所以該設(shè)備的子系統(tǒng)需要為1oo2或2oo3之類的冗余配置。</p><p>　　2．13．2 IEC 61511中的結(jié)構(gòu)約束</p><p>　　IEC 61511中要求硬件故障裕度的最低水平應(yīng)該是SIL水平的函數(shù)。這就是說以達(dá)到功能安全為目的的冗余必須與安全儀表功能的目標(biāo)SIL水平相聯(lián)

47、系。對于現(xiàn)場儀器儀表和非可編程邏輯控制器，其結(jié)構(gòu)約束如表4所示。</p><p>　　表4 IEC 61511中為現(xiàn)場設(shè)備規(guī)定的最小硬件故障裕度</p><p>　　按照上表，為了達(dá)到SIL2的安全水平必須使用兩個變送器，并且這兩個變送器只需其中一個動作就能夠執(zhí)行安全功能，即1oo2配置。同樣，對于SIL3的安全水平，必須使用三個變送器，配置為1oo3.</p><p

48、>　　IEC 61511中使用另一張表對可編程電子邏輯控制器的結(jié)構(gòu)提出要求，如表5所示。</p><p>　　表5IEC 61511中為邏輯控制器規(guī)定的最小硬件故障裕度</p><p>　　使用此表時(shí)也需要計(jì)算安全失效分?jǐn)?shù)SFF。它的使用方法和IEC 61508中的結(jié)構(gòu)約束是一樣的。</p><p><b>　　3 典型的邏輯關(guān)系</b&

49、gt;</p><p>　　3． 1 邏輯運(yùn)算關(guān)系</p><p>　　目前在石油化工裝置的安全儀表系統(tǒng)中，安全聯(lián)鎖系統(tǒng)功能是通過邏輯運(yùn)算實(shí)現(xiàn)的，一般是在軟件中采用布爾代數(shù)運(yùn)算實(shí)現(xiàn)。一個安全聯(lián)鎖功能通常包括多段邏輯運(yùn)算。在實(shí)際的應(yīng)用過程中，除了過程信號的原因?qū)е侣?lián)鎖結(jié)果外，還應(yīng)設(shè)置一些其他相關(guān)操作手段和信號關(guān)系，以確保安全儀表系統(tǒng)的可靠性和可用性。</p><p>

50、　　3． 2 對觸發(fā)聯(lián)鎖結(jié)果的處理</p><p>　　根據(jù)工藝過程具體情況，安全聯(lián)鎖系統(tǒng)發(fā)生聯(lián)鎖后的處理方式是不同的。對于不是隨意可逆的工藝過程，當(dāng)輸入信號越限觸發(fā)聯(lián)鎖后，安全系統(tǒng)應(yīng)設(shè)置自鎖功能以防止過程變量觸發(fā)聯(lián)鎖后又恢復(fù)到正常范圍，導(dǎo)致工藝過程不能按正常順序或意外恢復(fù)或啟動，再次形成事故，對裝置和人造成危險(xiǎn)。為此，應(yīng)設(shè)置人工恢復(fù)(Reset)按鈕。當(dāng)然也有一些工藝過程的安全聯(lián)鎖動作是可逆的，其安全聯(lián)鎖不需設(shè)

51、置自鎖功能，系統(tǒng)在過程恢復(fù)正常時(shí)，可自動回到正常狀態(tài)。對于自動恢復(fù)的系統(tǒng)，若工藝過程變化較快，可設(shè)置適當(dāng)寬度的不靈敏區(qū)，消除過程變量處在聯(lián)鎖值邊緣時(shí)頻繁觸發(fā)聯(lián)鎖的現(xiàn)象。</p><p>　　3．3 人為啟動聯(lián)鎖和輸入信號旁路開關(guān)</p><p>　　典型安全聯(lián)鎖回路設(shè)有人工聯(lián)鎖按鈕（Manual），用于需要人為啟動聯(lián)鎖的場合。</p><p>　　為裝置開工過程系統(tǒng)

52、投運(yùn)，對某些輸入信號要設(shè)置旁路開關(guān)（ByPass）。當(dāng)工藝過程變量還未達(dá)到正常值時(shí)，暫時(shí)切斷安全聯(lián)鎖系統(tǒng)的相應(yīng)輸入信號部分，待過程量正常后才能投運(yùn)。輸入信號旁路開關(guān)有時(shí)也用于系統(tǒng)維護(hù)和測試過程。</p><p>　　3．4 典型的安全聯(lián)鎖邏輯圖</p><p>　　以某壓力聯(lián)鎖為例，一個典型的安全聯(lián)鎖邏輯關(guān)系如圖3所示.</p><p>　　圖3 典型的安全聯(lián)鎖邏輯

53、關(guān)系</p><p>　　圖3中用RS觸發(fā)器組成自鎖和人工恢復(fù)的邏輯，正常工況電磁閥USOV帶電勵磁，聯(lián)鎖狀態(tài)時(shí)電磁閥斷電。</p><p>　　當(dāng)壓力超限時(shí)，首先由轉(zhuǎn)換器將AI信號轉(zhuǎn)換DI信號，超限時(shí)信號為1，DCS與聲光報(bào)警器報(bào)警；然后輸入信號與旁路開關(guān)信號進(jìn)行AND運(yùn)算；如旁路開關(guān)未打開則為1，運(yùn)算結(jié)果也為1，再與手動開關(guān)進(jìn)行OR運(yùn)算，如報(bào)警信號為1或者手動開關(guān)打開則輸出為0，最后信

54、號進(jìn)入RS觸發(fā)器。RS觸發(fā)器由兩個與非門（或是或非門）的輸入和輸出交叉連接而成，有兩個輸入端R和S（又稱觸發(fā)信號端）；R為復(fù)位端，當(dāng)R有效時(shí)，Q變0，故也稱R為置0端；S為置位端，當(dāng)S有效時(shí)，Q變?yōu)?，稱S為置“1”端；還有兩個互補(bǔ)輸出端Q和Q。當(dāng)Q=1，Q=0；反之亦然。RS觸發(fā)器的狀態(tài)如表2。</p><p>　　當(dāng)報(bào)警信號為0即S置1端有效，S=0，R=1，此時(shí)Q=1，Q=0，電磁閥非勵磁，聯(lián)鎖啟動。當(dāng)輸入

55、信號正?；謴?fù)正常時(shí)，S=1，此時(shí)若按下復(fù)位按鈕，R=0，則Q=0，</p><p>　　表2 RS 觸發(fā)器狀態(tài)表</p><p>　　Q=1，電磁閥為通電狀態(tài)，聯(lián)鎖解除。正常狀態(tài)下S與R端均為1，電磁閥狀態(tài)保持不變。在信號還未恢復(fù)正常時(shí)按下復(fù)位開關(guān)，即S=0，R=0，這種情況是不被允許的。</p><p><b>　　4．SIS回路設(shè)計(jì)</b&g

56、t;</p><p>　　4.1檢測元件的設(shè)置</p><p>　　檢測元件的可靠性直接影響到安全儀表系統(tǒng)的安全性能。為減少現(xiàn)場檢測元件故障概率，首先應(yīng)選擇技術(shù)過硬且知名度較高的供貨廠商，一些著名的儀表品牌都已經(jīng)推出了具有安全等級認(rèn)證的變送器產(chǎn)品，這些產(chǎn)品已獲的IEC 61508 SIL和/或TUV AK（德）相應(yīng)SIL等級的認(rèn)證。使得部分檢測元件產(chǎn)品的安全等級有了明確的認(rèn)定。其次，由于應(yīng)

57、用在安全儀表系統(tǒng)內(nèi)的普通開關(guān)類儀表都是長期不會動作，一旦動作則要求快速響應(yīng)，但由于觸點(diǎn)粘合或因管線震動等異常狀況可能導(dǎo)致不動作或者誤動作，所以選擇開關(guān)類儀表時(shí)要慎重考慮。同時(shí)，在安全儀表系統(tǒng)中，如檢測元件采用本質(zhì)安全型儀表需考慮的問題較多，例如需要配置安全柵，增加了一個可能產(chǎn)生故障的環(huán)節(jié)造成SIL等級下降等，所以采用隔爆式儀表比較適宜。再次，進(jìn)行多種結(jié)構(gòu)形式的冗余也是提高可靠性的必要手段，世界上著名的安全儀表制造商均推出了不同結(jié)構(gòu)的系統(tǒng)

58、，有非冗余的，冗余的，冗余容錯的，三重化結(jié)構(gòu)（TMR），四重化結(jié)構(gòu)（QMR）等，原則上說只要是經(jīng)過相關(guān)標(biāo)準(zhǔn)的認(rèn)證且符合系統(tǒng)的安全完整性等級要求就可以采用，需要注意的是冗余的安全儀表系統(tǒng)檢測元件宜當(dāng)包括輸入信號偏差報(bào)警（2個變送器的信號偏</p><p>　　4．2 邏輯設(shè)計(jì)單元及I/O卡件的設(shè)置</p><p>　　在SIS系統(tǒng)中，邏輯運(yùn)算單元及I/O卡件出現(xiàn)故障的概率是最小的，只占所有元

59、件故障比率的15%，但是隨著SIS系統(tǒng)的不斷發(fā)展，對邏輯運(yùn)算單元的技術(shù)要求卻不斷提高，在現(xiàn)在的SIS設(shè)計(jì)中，常要求邏輯運(yùn)算單元帶有自檢測，容錯和巡檢功能，以此來提高整個系統(tǒng)回路的可靠性。</p><p>　　4．3執(zhí)行元件的設(shè)置</p><p>　　SIS中執(zhí)行元件選用高溫絕緣耐用型線圈，長期帶電型的低功耗電磁閥，相應(yīng)的切斷球閥和蝶閥選擇合適的材質(zhì)，防止出現(xiàn)卡塞現(xiàn)象。馬達(dá)控制中心電動機(jī)的起

60、停信號一般采用220VAC，5A繼電器隔離；中壓電動機(jī)（6KV/10KV）起停信號則選用大功率繼電器隔離。</p><p>　　對于關(guān)鍵部位的執(zhí)行機(jī)構(gòu)，要選擇多電磁閥多執(zhí)行機(jī)構(gòu)的冗余設(shè)置。具體設(shè)置方法也需要注意，例如雙電磁閥雙執(zhí)行機(jī)構(gòu)的冗余方式宜采用并聯(lián)結(jié)構(gòu)。</p><p>　　安全儀表系統(tǒng)是檢測元件，各種I/O卡件，控制單元和執(zhí)行機(jī)構(gòu)或元件以及它們之間的信號傳輸關(guān)系所構(gòu)成的完整系統(tǒng)，系

61、統(tǒng)整體的可靠性和可用性與構(gòu)成系統(tǒng)的各個環(huán)節(jié)密切相關(guān)。因此在工程設(shè)計(jì)過程中考慮系統(tǒng)設(shè)計(jì)，選型，配置時(shí)，必須依據(jù)安全儀表系統(tǒng)的設(shè)計(jì)原則和相關(guān)標(biāo)準(zhǔn)，規(guī)范，結(jié)合工藝過程的安全要求，仔細(xì)推敲斟酌系統(tǒng)設(shè)計(jì)的每個細(xì)節(jié)，確保安全儀表系統(tǒng)在工藝過程發(fā)生危險(xiǎn)情況時(shí)真正發(fā)揮安全保護(hù)作用。</p><p>　　5 安全儀表系統(tǒng)SIS的可用性</p><p>　　在MooN結(jié)構(gòu)中，1oo2 和2oo3的硬件故障裕度

62、都是1，1oo3 和2oo4的硬件故障裕度都是2。從容錯的能力的角度看，1oo3 和2oo4容錯能力是相同的。那么他們之間的差別在哪里？怎么判斷什么時(shí)候采用1oo3,什么時(shí)候采用2oo4？,我們看圖4和圖5。</p><p>　　圖4 1oo3結(jié)構(gòu)</p><p>　　圖5 2oo4結(jié)構(gòu)</p><p>　　圖4和圖5中的閥門都是泄放閥，也就是平時(shí)是閉合，緊急情

63、況下開啟。圖4表示的是1oo3結(jié)構(gòu)，圖5表示的是2oo4結(jié)構(gòu)。我們可以看到在圖4中，任何兩個閥門，比如B和C發(fā)生危險(xiǎn)故障，即想開啟的時(shí)候發(fā)現(xiàn)開不起來，只要A仍然正常工作，系統(tǒng)仍然是安全的，安全功能可以通過A執(zhí)行。這表明圖4中的1oo3結(jié)構(gòu)可以容納2個危險(xiǎn)故障，其硬件容錯能力為2。圖5中也是類似，4個閥門中任意2個閥門發(fā)生危險(xiǎn)故障，比如A，C無法開啟了。只要B，D仍然正常工作，安全功能也仍然能夠?qū)崿F(xiàn)。所以圖5中的2oo4結(jié)構(gòu)硬件容錯能力也

64、是為2。</p><p>　　所以這兩種結(jié)構(gòu)的硬件容錯能力是一樣的。從安全性來說，1oo3和2oo4是一樣的。那么他們的區(qū)別在于可用性。前文我們說過，故障分安全故障和危險(xiǎn)故障，或者稱之為顯性故障和隱性故障。硬件故障裕度HFT指的是容納危險(xiǎn)故障的能力。HFT與安全性有著直接的聯(lián)系。那么可用性事實(shí)上是跟系統(tǒng)容納安全故障的能力有著直接的聯(lián)系，我們可以稱之為Safe Failure Tolerance(SFT).<

65、/p><p>　　同樣我們分析圖4和圖5。圖4中1oo3結(jié)構(gòu)，假如任意一個閥出現(xiàn)安全故障，比如A安全功能直接被執(zhí)行了，也就是A泄放閥直接打開，那么很明顯會馬上造成現(xiàn)場停車。而圖5中2oo4結(jié)構(gòu)下，假如其中一個閥比如A出現(xiàn)安全故障，A打開了，由于BDC都還是關(guān)閉的。我們可以看到，系統(tǒng)的安全功能并不會馬上被執(zhí)行。但是如果再出現(xiàn)一個安全故障，比如D也打開了，那么系統(tǒng)的安全功能肯定被執(zhí)行了。系統(tǒng)停車。所以我們說在1oo3的結(jié)

66、構(gòu)下面，系統(tǒng)對安全故障的容納能力SFT是0。而在2oo4結(jié)構(gòu)下，系統(tǒng)對安全故障的容納能力是1。</p><p>　　通過對其他MooN系統(tǒng)的分析，我們也可以得出這樣的結(jié)論：系統(tǒng)安全故障容納能力SFT=M-1。如表3所示。</p><p>　　表3 系統(tǒng)安全故障容納能力計(jì)算表</p><p>　　從表3我們也可以看出，在硬件故障裕度HFT相同的情況下，要提供可用性，意

67、味著要增加更多的通道，也就是要增加更多的成本。</p><p>　　從上述分析我們可以了解到，安全性和可用性，都取決于系統(tǒng)或者元件的結(jié)構(gòu)設(shè)計(jì)。安全性高并不意味著可用性一定高。而可用性高，同樣也不意味著安全性一定高。想要設(shè)計(jì)出科學(xué)的SIS系統(tǒng)結(jié)構(gòu)，必須在了解應(yīng)用需求的基礎(chǔ)上，合理的平衡安全性和可用性，這樣才有可能以最低的成本，滿足最大化的安全性和可用性要求。</p><p>　　關(guān)于邏輯控制

68、中微處理器時(shí)冗余方式有以下四種.</p><p><b>　　并聯(lián)冗余；</b></p><p>　　此種系統(tǒng)工作方式為：兩個處理器同步運(yùn)行（即按同一個時(shí)鐘）執(zhí)行同一個應(yīng)用程序，根據(jù)得到的結(jié)果（輸出數(shù)據(jù)等）相互比較，判斷系統(tǒng)的狀態(tài)（正常？異常？）</p><p>　　比較結(jié)果不同要知道誰故障了很困難。為此，這種系統(tǒng)發(fā)生故障系統(tǒng)只能故障安全停車。

69、</p><p>　　圖1 dual/ 雙重化系統(tǒng)（并聯(lián)冗余）</p><p><b>　　雙工系統(tǒng)：</b></p><p>　　此種系統(tǒng)為待機(jī)冗余，即高可用性的雙機(jī)熱備系統(tǒng)。主MPU1每隔一定時(shí)間告訴備用MPU2：“I’am alive”.我還活著。當(dāng)主MPU1故障不送信息了， stand by MPU2立即啟動，繼續(xù)維持工作。</

70、p><p>　　圖2 duplex/ 雙工系統(tǒng)</p><p><b>　　雙雙工系統(tǒng)：</b></p><p>　　此系統(tǒng)為雙雙工系統(tǒng)。MPU1中的兩個MPU經(jīng)比較和圖1一樣。如果出了問題，那另一組還照常工作，但要4個MPU。</p><p>　　圖3 biduplex system</p><p&g