1、SIS基本知識和選型參考1、SIS基本知識11 SIS定義SIS系統(Safety Instrumented System)，是對石油化工、電力等行業生產裝置可能發生的危險或不采取措施將繼續惡化的狀態進行及時響應和保護，使生產裝置進入一個預定義的安全停車工況，從而使危險降低到可以接受的最低程度，以保證人員、設備、生產裝置和環境的安全。它是一種安全儀表聯鎖系統，根據不同標準和應用場合，有時也稱為：緊急停車系統（Emergency Shutdown）12 SIS由來Ø 生產裝置規模的日趨擴大Ø 高溫、高壓、易燃、易爆等連續性生產裝置本身的危險Ø 大型機組、機械等重要設

2、備的保護Ø 對安全和環境的要求越來越高若發生事故將會造成人員、財產、環境等方面的重大損失和影響！因此越來越多的場合需要采用SIS系統。13 SIS應用領域SIS主要保護對象為人身、設備、財產和環境的安全，因此適用于能造成以上各項損害的場合，主要有：Ø 石油液化氣開采（平臺）、油氣輸送和儲存Ø 石油化工裝置Ø 化工裝置Ø 電力、鍋爐、核電Ø 交通、冶金、環保、汽車制造Ø 大型機械、旋轉設備各行業使用SIS的常見裝置有：油氣及煉油裝置：催化裂化、加氫精制、加氫裂化、催化重整、丙烷脫瀝青、硫磺回收、罐區消防和火災報警、變壓吸附、制

3、氫、火焰與氣體檢測、油氣輸送及存儲、油氣開采平臺等等 石化裝置：乙烯裂解、聚丙烯、高壓聚乙烯、聚氯乙烯、苯乙烯、聚苯乙烯、丙烯腈、芳烴、環己酮、PTA、丁二烯等等石化深加工裝置化工裝置：造氣、合成氨、農藥、磷肥、涂料、乙炔、乙酰、醋酸等鍋爐電力：鍋爐燃燒、汽機停機系統、核電其它：冶金、交通、汽車制造、建材、環保、造紙、大型機械、旋轉設備等領域14 SIS基本構成一般典型的SIS系統主要包括檢測部分、邏輯控制單元和最終執行部分，再配合相應的軟件組成。通常與基本過程控制系統（比如DCS系統）有通訊要求，共同組成生產裝置的過程儀表控制系統。2、SIS產品的標準和認證21 主要標準SIS產品所遵從的國

4、際標準主要有：Ø 國際電工委員會IEC61508標準 電氣 / 電子 / 可編程電子安全相關系統的功能安全 1997其中規定將過程安全所需要的安全等級劃分為4級（SIL1SIL4）；Ø 美國儀表學會ISA-S84.01標準 流程工業安全儀表系統的應用 1998稱安全系統為安全儀表系統(Safety Instrument System, SIS)， ISAS84.01與IEC61508類似，根據系統不響應安全聯鎖要求的概率（即失效率PFD）將安全等級劃分為3級（SIL1-SIL3），認為IEC61508定義的SIL4不存在于過程工業中；Ø 德國標準化委員會DIN(D

5、eutsches Institut fr Normung) V19250及 DIN V VDE0804根據估計危險的損害程度、危險區域內人員存在的可能性、短時間內防止危險發生的可能性及出現危險事故的可能性等四個風險參數將過程風險定義為8級（AK1AK8）； Ø 歐洲機器安全標準EN 954-1危險等級分為B，1，2，3，4五個等級，針對安全控制系統，按照對故障的承受能力和出現故障后安全功能的作用，對應于危險等級的五個等級，機器設備的控制系統中安全控制部分也可分為以上五個等級危險等級依次增高，等級4為最高的危險等級。Ø 等國內目前正在依據IEC61508制訂國家標準，即將頒布

6、。除此之外，一些行業有相關的ESD標準：Ø 石化行業有相關的設計導則：石油化工緊急停車及安全聯鎖系統設計導則（SHB-Z06- 1999），采用IEC的SIL概念；Ø 中國石化集團公司工程建設管理部有：石油化工安全儀表系統設計規范（SH/T3018-2003）；國家發展改革委批準石油化工安全儀表系統設計規范 SH/T3018-2003，自2004年7月1日起實施。Ø 化工行業HG/T 20511-2000標準，在化工自控設計中規定，將安全等級確定為1級、2級和3級。它們基本都將工業過程等對象依據危險性高低劃分為若干個安全度等級，實際使用中選用相應安全度等級的SIS

7、系統來加以保護，保護的對象主要為人、設備、財產、環境等的安全。依據IEC標準由低到高劃分為SIL1SIL4，ISA S84.01標準劃分為SIL1SIL3三級，認為SIL4級不存在于過程控制中，DIN V VDE0804標準由低到高劃分為AK1AK8，它們之間的對應關系為：安全度等級對比表DIN VDE0804AK1AK2AK3AK4AK5AK6AK7AK8IEC 61508SIL1SIL1SIL1SIL2SIL3SIL3SIL4SIL4ISA S84.01SIL1SIL1SIL1SIL2SIL3SIL3 數值越大，SIS系統的安全性能要求越高，具體指標見下表。安全等級SIL1234性能要求平

8、均失效度10E-110E-210E-210E-310E-310E-410E-410E-6可用度0.9-0.990.99-0.9990.999-0.99990.9999-0.99999一般用到SIS的鍋爐、石化、化工裝置為AK4AK6（SIL2SIL3）等級，AK7AK8（SIL4）用于核電等特殊場合。22 SIS產品的認證涉及產品安全認證，主要有CB、CCC、UL、FCC、CSA、TÜV及北歐四國認證等，目前針對SIS產品，使用最多并得到廣泛認可的是TÜV-GS認證，GS的參考標準是VDE和DIN(德國標準協會)標準，如果產品具有GS標志，代表該產品符合最新的歐洲和德國標準

9、。GS的含義是德語“Geprufte Sicherheit”(安全性已認證)，也有"Germany Safety" （德國安全）的意思。 德國萊茵公司技術監督公司(TÜV)是德國最大的產品安全及質量認證機構，在歐洲久享盛譽。設有該機構分公司的國家和地區可以方便地申請GS標志及其它國家的安全認證。目前市場上SIS產品也以通過TÜV認證居多，通過認證的每種產品都有達到AK1AK8安全等級的具體說明，用戶可根據過程的具體需要配置相應等級的SIS產品。標志及證書如下所示：3、SIS產品的市場狀況31 SIS產品種類目前市場上使用較多的SIS產品主要有：Ø

10、; Triconex公司的TRICON系統；Ø Honeywell公司的FSC系統； Ø HIMA公司的H41q 和H51q系統；Ø GE 公司的S90-70 GMR系統；Ø GE SafetyNet;Ø Siemens公司的S7-400FH系統；Ø Moore公司的QUADLOG系統；Ø Woodward公司的Micro Net TMR系統；Ø ICS Triplex公司的Regent系統、Trusted系統；32 中控集成的SIS產品Ø GE 90-70 GMR系統；（三重化）Ø GE Sa

11、fetyNet 系統；（SIL2）Ø HIMA H51q和H41q系統；（四重化）33 SIS應用類型目前市場上SIS應用大致有下列幾種類型：l 使用繼電器搭建或專用儀表在投運較早的老裝置中，使用較為普遍。一般設置輔助操作面板，其中有重要的工藝參數指示和報警、手動停車及復位、投運按鈕等部分，而對于大型機組等設備運行狀況和保護，也引入主控制室顯示和報警，停車保護則一般采用設備自帶的特殊儀表系統來完成。l 經過認證的SIS系統市場上的主流SIS產品都屬于經過認證的SIS產品，隨著人們對安全認識水平的提高和產品技術的發展，經過認證的SIS越來越成為新建裝置中安全保護儀表系統的首選。對于目前

12、使用越來越多的SIS系統，基本都符合IEC61508標準并可達到和獲得TÜV AK1AK6/IEC SIL1SIL3等級認證，主要有以下三種主流CPU結構：² 冗余容錯完全自診斷結構，即1002D結構（診斷率99.99）；² 三重化表決部分自診斷結構，即2003D結構（TMR 診斷率70）；² CPU四重化冗余容錯完全自診斷結構，即2004D結構（QMR 診斷率99.99）；對于這三種不同的結構，安全系統的性能是不同的。對于第一種1002D的結構，當第一個CPU被診斷出故障時，該CPU被切除，另一個CPU繼續工作。若要應用在AK6安全等級，根據AK6的要

13、求，如果第一個CPU不能在其被診斷出故障后1小時內修復，系統會在1小時后自動停車以保證故障安全。對于第二種結構，如美國GE公司的90-70 GMR系統就是采用TMR技術，它雖然通過了TÜV SIL3/AK6的等級認證，而其引以為榮的CPU和I/O卡件完全三重化冗余故障容錯設計，事實上是基于高度穩定的硬件基礎上的。對于第三種結構，如德國HIMA公司的PES，四個CPU分成兩對，既同時工作又相互獨立。當其中一個CPU被診斷出故障時，則該對CPU被切除，所剩一對CPU繼續以1002D的模式工作。這對獨立工作的CPU仍滿足安全等級 SIL3/AK6的要求。只有當這對CPU其中再有一個故障時，

14、系統才考慮停車。所以，此結構對于故障修復時間沒有限制。可見，2004D結構的系統更為可靠。目前HIMA公司、Triconex公司的系統在國內占有較大的市場份額，是主流SIS系統廠家代表，GE 、Honeywell、CCC公司的產品則在石化、化工行業表現不錯。 4、SIS產品的設計和選用41 SIS產品的設計和選用原則依據中國石化石油化工緊急停車及安全聯鎖系統設計導則（SHB-Z06- 1999），簡要介紹一下SIS系統的設計和選用原則：Ø 獨立設置原則：一般情況下，SIS應獨立于過程控制系統，其檢測元件、執行元件和邏輯運算器及通訊部分都應單獨設置。對于不能單獨設置的SIS系統要確保S

15、IS作用優先于過程控制系統。Ø 選擇采用技術的原則：可采用電氣、電子或可編程電子技術，也可以采用由它們組合的混合技術。Ø 結構選用原則：冗余結構既適用于軟件又適用于硬件，可選用一選一、二選一、三選二等結構，同時要考慮是勵磁停車還是非勵磁停車。Ø 故障安全型原則：SIS系統應是故障安全型的，即在系統故障時應保證過程是安全或趨于安全的狀態。Ø 中間環節最少原則：SIS的中間環節應是最少的。42 SIS系統目標客戶定位及產品介紹目標客戶定位見下圖：目標客戶客戶描述系統名稱目標客戶1中小型私有/國有石化企業；點數較少（單套200點以內）；SIS系統需達到SIL2

16、或TUV4認證。1、推薦GE SafetyNet或GE 9070 GMR系統2、HIMA H41q(用戶指定)目標客戶2大型私有/國有石化企業；相對點數較多（單套600點以內）SIS系統需達到SIL3或TUV6認證。1、推薦GE 9070 GMR系統2、HIMA H51q(用戶指定)1 GE 90-70 GMR 三重化冗余系統 GE 90-70 GMR（Genius Modular Redundancy）安全表決系統包括GMR單重化系統（1oo1D）、GMR雙重化系統（1oo2D&2oo2D）、GMR三重化系統（2oo3）等。GE 90-70 GMR三重化冗余系統是具有國際先進水平的的

17、三重化表決系統，它可以提供從輸入到CPU控制器以及輸出的各種組合，也就是說，可以根據不同的工藝要求將不同的參數按不同的配置進行處理。（1）安全功能實現的主要原理GMR三重化冗余系統最重要的特點是其具有消除任何故障的特有能力。基于三個獨立的PLC和廣泛的診斷系統，GMR三重化冗余系統通過3選2的表決來提供高可靠性和無誤差的操作。另外，GMR物理上無耦合設計和分離式結構電路保護可以從本質上消除相同模式故障的潛在可能性。 下圖是其安全功能實現的主要原理。（2）GMR系統組成GMR系統由如下幾部分組成:輸入子系統(收集來自于多個或單個傳感器的數據)、多個PLC子系統(運行相同的應用程序)和輸出子系統(

18、控制公共輸出負載)。模塊和PLC 間及各PLC間的通訊由Genius 冗余總線提供。為滿足寬領域關鍵控制的需要，各子系統可設計為由冗余的和非冗余的開關模擬設備恰當的混合而成。如上圖所示，CPU和輸入模塊可按單重化、雙重化、三重化配置，輸出可以按單模塊、I型、T型、H型配置。（3）GE 90-70 GMR系統特點90-70 GMR表決系統的特點：l 容錯功能（Fault Tolerant） l 失敗安全（Fail Safe） l 高等級自檢及診斷檢測l 支持中央控制和分布控制系統l 應用靈活性，可組態逐點冗余使之可以根據指定的應用要求配置自己的硬件系統。Genius I/O加速系統的開車進程，不

19、須長距離拉線。l 消除保險，減低了平均修復時間（MTTR） l 故障識別到點級，進一步降低了平均修復時間（MTTR）l GMR是一個"高可靠性"和"高可用性"的系統。l 基于20ms的掃描時間。l 支持三選二、二選二、二選一以及單機系統配置。（4）GE 90-70 GMR表決系統配置：9070 GMR控制器是由9070 PLC CPU(CPU788、CPU789和CPM790)以及相關的電源、機架、通訊等模塊構成。如果系統配置是雙重化或三重化的，所選用CPU必須是相同型號。每一個CPU需要13個總線控制器。l GMR CPU： IC697CPU788 (

20、80386DX,512KMEM,325點I/O) IC697CPU789 (80386DX,512KMEM,12KI/O)IC697CPU790 (80486DX2,1M MEM,12K I/O) l CPU內存（788/789）：IC697MEM735l 90-70總線控制器：IC697BEM731 (90-70系列Genius總線控制模塊) IC697CMM692 (90-70系列以太網總線控制模塊)l 電源：IC697PWR711（AC120V/240V, DC125V, 100W）IC697PWR724（DC24V/48V, 90W）l 機架：IC697CHS750 （5槽，后板面安裝

21、） IC697CHS751 （5槽，前板面安裝）IC697CHS790 （9槽，后板面安裝） IC697CHS791 （9槽，前板面安裝）l GMR軟件：IC641SWP745l 編程軟件：IC640HWP706GMR系統支持Genius模塊、Field control I/O和VersaMax I/O各類子系統。下面列出部分Genius I/O模塊：IC660BBD020：24/48VDC Source I/O模塊16路IC660BBD021：24/48VDC Sink I/O模塊16路IC660BBD022：24VDC Source I/O模塊16路IC660BBD023：24VDC Si

22、nk I/O模塊16路IC660BBD024：12/24VDC Source I/O模塊32路IC660BBD025：5/12/24VDC Sink I/O模塊32路IC660BBD101：115VAC 低漏電 I/O模塊8路IC660BBD110：115VAC 輸入模塊16路IC660BBR100：16路常閉繼電器輸出模塊IC660BBR101：16路常開繼電器輸出模塊IC660BBA020：24/48VDC 4模擬輸入/2模擬輸出IC660BBA024：24/48VDC 4電流模擬輸入/2模擬輸出IC660BBA025：24/48VDC 6模擬電流源輸出IC660BBA026：24/48V

23、DC 6模擬電流源輸入IC660BBA021：24/48VDC 6通道RTD輸入IC660BBA023：24/48VDC 6通道熱電偶輸入上位機軟件采用CIMPLICITY HMI ，它是一個功能強大的，易于使用的監督和控制軟件。具有 GE Fanuc 廣泛的經驗，真正的客戶 / 服務器體系結構，基于 Microsoft Windows NT（2000）環境的多任務，多用戶操作系統。（5） GE SafetyNet Proficy SafetyNet 是 GE Fanuc 智能平臺目前提供的主要技術之一，是一種經濟、高效的功能安全系統，能夠滿足當今緊急停車、火氣和鍋爐管理等方面的安全要求。Pr

24、oficy SafetyNet 已通過德國萊茵技術監督協會（TÜV Rheinland）認證，適用于SIL 2 安全功能。該技術融入了最新的設計工藝，符合 IEC 61508 和 IEC 61511 標準的要求。SafetyNet關鍵特性：Ø 可用性更高SafetyNet 具有冗余控制器、電源和網絡，提高了 SIL 2 安全系統的可用性，并可降低誤停車概率。Ø 經過安全認證的點對點通信SafetyNet P2P 是功能強大且安全的通信協議，滿足輸入輸出位于不同節點時的SIL 2安全功能要求。Ø HART® 性能智能 HART 現場儀表，實現了新

25、的控制和安全策略以及維護方式，SafetyNet能提供所有這些強大的功能。Ø 常開和常閉SafetyNet 數字量輸出通道經過認證，能用于常開和常閉應用，并且每個通道都能進行單獨配置。Ø 安全手冊SafetyNet 安全手冊簡單明了，正如用戶所期待的一樣。Ø 快速應用程序開發通過使用結構文本（ST）、梯形圖（LD）、功能塊圖（FBD）等編程語言，SafetyNet Workbench 能夠開發 SIL 2 安全應用程序。Ø 安全和訪問控制SafetyNet 安全措施包括有密碼保護的用戶帳戶，為授權計算機創建的受信任主機列表（Trusted Host Ta

26、ble），關鍵切換位號(Key Switch Tag)可以鎖定或允許改變和強制功能，同時還有利用控制器密碼防止未授權的訪問。Ø 確認和驗證軟件SafetyNet Workbench 配備的工具能夠對應用程序的改動進行測試和監控。Ø SafetyNet 邏輯靜態分析工具該靜態分析工具對控制策略中的結構性錯誤進行檢測，盡量減少應用程序問題，降低出錯風險，縮短軟件開發時間。Ø SafetyNet 邏輯比較工具Workbench 中的比較工具能夠用于比較新的控制策略和之前的策略，從而大大減少檢查工作和安全應用測試。Ø 控制器更改控制日志Workbench 保留一

27、份更改控制日志，記錄了對 SafetyNet 控制器和模塊作出的所有改動。Ø 維護超弛功能SafetyNet 的維護超弛功能能夠暫時停止安全功能的正常操作，以便進行維護，也能夠迫使系統關閉，或者在關閉系統后使其重啟。系統硬件結構見下圖：2 HIMA H41q/H51q HIMA公司的H41q和H51q系統做簡要介紹并說明具體配置：1998年HIMA公司推出了CPU四重化結構（QMR）的安全控制系統H41q 和H51q，使安全控制技術又有了重大性突破，首次實現了安全控制系統無故障修復時間限制，該技術是目前世界上安全控制領域中最為先進和可靠的。H41q和H51q為CPU四重化結構（QMR

28、），即系統的中央單元共有4個微處理器，每兩個微處理器集成在一塊CU模件上，再由兩塊同樣的CU模件構成中央控制單元。一塊CU模件已經構成1oo2D結構，而HIMA的1oo2D結構產品就可以滿足AK6/SIL3的安全標準。采用雙1oo2D結構，即2oo4D結構的目的是為用戶提供最大的實用性（可用性），其容錯功能使系統中任何一個部件發生故障，均不影響系統的正常運行。系統的基本掃描周期為5ms（非冗余結構）/25 ms（冗余結構），SOE分辨率為ms級，系統的SOE功能可對系統本身的故障或導致聯鎖停車的各種事件進行記錄。HIMA PES(Programmable Electronic System)主

29、要由H41q 和H51q系列組成，兩個系列均基于相同的硬件和軟件，可以處理所有的數字和模擬量輸入輸出信號。H41q系列是一個緊湊型系統，它的所有的部件，例如中央單元、接口、通訊模塊、配電系統以及輸入輸出模塊均安放在一個5單元高的19英寸機架上。H41q系列工作系統所需的部件列于下表中：系統H41q-MSH41q-HSH41q-HRS要求等級AK1-6AK1-6AK1-6CU（中央模件）數量型號1xF8652E2xF8652E2xF8652ECM(協處理器）數量型號1xF8621A(2x)1xF8621A(2x)1xF8621ACoM數量型號（快速以太網）1xF8627(2x)1xF8627(2x)1xF8627CoM數量型號（profibus-DP）1xF8626(2x)1xF8626(2x)1xF8626電源數量型號2xF7130A2xF7130A2xF7130AI/O總線數量112最大的I/O模件數131376組件編號B4235B4237-1B4237-2H51q系列采用標準模塊化結構，由一個中央機架（每個5單元高，容納了中央單元、接口、通訊模塊、監視和電源）和最多16個相應的輸入輸出子機架（每個4單元高）構成。H51q系列工作系統所需的部件列于下表中：系統H51q-MSH51q-