安全儀表系統一、概述1.安全儀表系統(SＩS)的定義SIＳ是SafetyInstrumenteｄSystｅm的簡稱,中文的意思是安全儀表系統，,它是根據美國儀表學會(ISＡ)對安全控制系統的定義而得名的。安全儀表系統(ＳＩＳ）也稱為緊急停車系統（ESD）、安全聯鎖系統(SＩＳ)或儀表保護系統（ＩＰS）。簡要的說，安全儀表系統（ＳIS）是指能實現一個或多個安全功能的系統。安全儀表系統在石油、石油化工等領域已有較多的產品:例如Honeyｗell公司的FＳＣ（FaｉlＳafｅContrｏlSyｓtem）故障安全控制系統、德國HIＭA公司的PEＳ(ＰrogｒａmmabｌeEｌｅｃtｒｏnicSyｓｔeｍ）可編程電子系統等。安全儀表系統(SIＳ）重要涉及三大部分：傳感器部分、邏輯運算部分和最終執行元件部分。SIＳ系統具有高可靠性(Reｌｉaｂilｉty）、可用性(Ａvａilabilitｙ)和可維護性(Mａinｔａinａｂｉlity），并且在SIＳ內部出現故障或外界干擾的情況下是安全的。2.安全儀表系統(ＳIS)的分類從SIS發展歷史來看,安全儀表系統(ＳIS)經歷了繼電器系統、固態電路系統和可編程電子系統３個階段。（1）繼電器系統A.采用單元化結構,由繼電器執行邏輯，通過重新接線來重新編程。B．可靠性高，具有故障安全特性,電壓合用范圍寬，一次性投資較低,可分散于工廠各處,抗干擾能力強。C．系統龐大而復雜,靈活性差，進行功能修改或擴展不方便,無串行通信功能，無報告和文檔功能。易導致誤停車,無自診斷能力。用戶維修周期長,費用高。(2）固態電路系統A．采用模塊化結構，采用獨立固態器件，通過硬接線來構成系統,實現邏輯功能。B．結構緊湊，可進行在線測試，易于辨認故障,易于更換和維護,可進行串行通信，可配置成冗余系統。C.靈活性不夠,邏輯修改或擴展必須改變系統硬連線，大系統操作費用較高，可靠性不如繼電器系統。(3)可編程電子系統Ａ．以微解決器技術為基礎的PＬＣ,采用模塊化結構,通過微解決器和編程軟件來執行邏輯。B.強大、方便靈活的編程能力,有內部自測試和自診斷功能可進行雙重化串行通信，可配置成冗余或三重模塊冗余（TMＲ)系統,可帶操作和編程終端,可帶時序事件記錄（SEＲ)。3.安全儀表系統（SIＳ)的特點(1)ＳIS可以檢測潛在的危險故障，具有高安全性，覆蓋范圍寬的自診斷功能。（２）SIS需符合國際安全標準規定的儀表安全標準，從系統開發階段開始,要接受第三方認證機構（ＴüＶ等)的審查,取得認證資格,系統方可投入實際運營。(３)ＳＩS自診斷覆蓋率大，維修時檢查的點數非常少。診斷覆蓋率是指可在線診斷出的故障系統所有故障的百分數。(4)SIS由采用冗余邏輯表決方式的輸入單元、邏輯結構單元、輸出單元三部分組成系統，邏輯表決的應用程序修改容易，特別是可編程型ＳIS,根據工程實際規定,修改軟件即可。(5)SIS由局域網、DCＳI/F(人機接口)及開放式網絡等組成多種系統。 （6）SIS設計特別重視從傳感器到最終執行機構所組成的回路整體的安全性保證，具有I/O斷線、短路等的監測功能。二、安全儀表系統（SIS） 的組成１．ＳIS系統的組成分為傳感器部分、邏輯運算部分和最終執行器單元三部分。其結構簡圖如下:+感測器+感測器輸入回路MPU輸出回路最終元件輸入模塊控制模塊SIS系統簡圖－輸出模塊A.傳感器單元采用多臺儀表或系統，將控制功能與安全聯鎖功能隔離，即傳感器分開獨立配置的原則，做到安全儀表系統與過程控制系統的實體分離。B.最終執行元件（切斷閥、電磁閥）是安全儀表系統中危險性最高的設備。C.邏輯運算單元由輸入模塊、控制模塊、診斷回路、輸出模塊４部分組成。SIＳ故障有兩種:顯性故障（安全故障)和隱性故障（危險故障)。顯性故障（如系統短路等）,由于故障出現使數據產生變化,通過比較可立即檢測出，系統自動產生矯正作用，進入安全狀態,因此顯性故障不影響系統安全性，僅影響系統可用性，故又稱為無損害故障(FailｔｏNuisance,FTN）。隱性故障（如I/Ｏ短路等),開始不影響到數據，僅能通過自動測試程序方可檢測出，它不會使正常得電的元件失電，因此又稱為危險故障(FａiltｏDaｎgｅr，FTＤ）,系統不能產生動作進入安全狀態。隱性故障影響系統的安全性，隱性故障的檢測和解決是ＳIＳ系統的重要內容。安全儀表系統的邏輯單元結構選擇見下表:邏輯單元結構IＥC６1５08SＩＬTＤINV１95２01AK２,AＫ3１，２2ＡK43,42AK４3,43AＫ5,65,63AK5,65,63AＫ５，６5,６2.SIＳ與DCS的區別SIS與DＣS在石油、石化生產過程中分別起著不同的作用，如下圖所示：滅火子系統環境滅火子系統環境火災與燃氣系統安全儀表系統（SIS）過程控制系統(DCS等)生產過程&生產裝置的安全層次生產裝置從安全角度來講,可分為3個層次:第一層為生產過程層,第二層為過程控制層，第三層為安全儀表系統停車保護層。SIS與DＣS的區別見下表：ＤCSＳISDCS用與過程連續測量、常規控制(連續、順序、間歇等）、操作控制管理,保證生產裝置平穩運營SIS用與監視生產裝置的運營狀況,對出現異常工況迅速進行解決，使故障發生的也許性降到最低，使人和裝置處在安全狀態ＤＣＳ是“動態”系統，它始終對過程變量連續進行檢測、運算和控制，對生產過程動態控制,保證產品質量和產量SIS是靜態系統，在正常工況下,它始終監視裝置的運營,系統輸出不變,對生產過程不產生影響,在異常工況下，它將按著預先設計的策略進行邏輯運算,使生產裝置安全停車ＤCS可進行故障自動顯示SＩS必須測試潛在故障ＤCS對維修時間的長短的規定不算苛刻SIS維修時間非常關鍵，弄不好導致裝置全線停車DCS可進行自動/手動切換SIS永遠不允許離線運營，否則生產裝置將失去安全保護屏障DCS系統只做一般聯鎖、泵的開停、順序等控制，安全級別規定不象ＳＩＳ那么高SIS與ＤCS相比，在可靠性、可用性上規定更嚴格,IＥC615０8，ＩＳA·S８4.01強烈推薦SIS與ＤCS硬件獨立設立３.SIＳ系統的配置方案(１)a型控制系統和聯鎖系統所有由DCS控制站完畢。過程控制信息由通信網絡傳給操作站顯示報警,操作員的操作指令由操作站通過通信網絡傳給控制站執行,這就是控制、聯鎖一體化型。(２)ｂ型控制系統信號由一組控制站完畢,報警聯鎖信號由另一組控制站完畢。兩站信息由通信網絡送到操作站,操作員的指令由操作站經通信網絡送達各個控制站執行，就是控制、聯鎖站站分開型。（3)ｃ型控制信號由DCS獨立執行。聯鎖信號由PＬC獨立執行,PＬC由獨立的編程器進行軟件編寫，重要的信息送操作臺硬燈顯示或由操作臺發出硬開關動作指令。PLＣ聯鎖報警的非重要信號由通信接口送到通信網絡并傳到操作站進行顯示,部分非重要指令由操作站發出，送ＰLＣ執行,就是ＤＣS＋ＰLC型。(4)ｄ型控制報警信號由DCS系統執行,重要的聯鎖信號由繼電器系統完畢。由硬開關及硬燈組成的操作臺進行顯示和操作,就是ＤＣS+ＰLY型。（5）e型控制信號由DＣＳ獨立完畢,聯鎖報警信號由三重冗余的緊急聯鎖控制器ＥSD完畢。軟件編程器獨立設立,重要動作及操作指令由獨立操作臺顯示和發出，非重要信號和指令由通信接口經通信網絡送操作站顯示和發出,就是DCS+ESD型。總之ＳIＳ原則上應單獨設立，獨立與DCS和其他系統，并與ＤCS進行通信；SＩS應具有完善的診斷測試功能，SIS應采用經TüＶ安全認證的PLＣ系統；SＩＳ關聯的檢測元件、執行機構原則上單獨設立;ＳＩS中間環節應保持最少；SIS應采用冗余或容錯結構;ＳIS應設計成故障安全型,I/O模件應帶電磁隔離或光電隔離，每通道應互相隔離,可帶電插拔；來自現場的三取二信號應分別接到三個不同的輸入卡,當模擬量輸入信號同時用于SIS、ＤCＳ時，應先接到ＳIＳ的AI卡，采用SIS系統對變送器進行供電。三、工藝過程的風險評估及安全功能ＳIS等級的擬定1、相關的幾個概念:(1)安全度及安全度等級安全聯鎖系統在一定條件和一定期間周期內執行指定安全功能的概率稱為安全度。安全聯鎖系統的安全等級稱為安全度等級,用PED(ProbａbｉlｉｔyｏfFａilｕｒｅoｎDｅmａnd)即危險概率來定義。（2）SIＬ及ＳIL分級ＳIL是SaｆｅtyInｔegriｔyLevｅl的簡稱,中文的意思是綜合安全級別也稱為安全度等級。它是美國儀表學會(ISA)在S8４.01標準中對過程工業中安全儀表系統所作的分類等級,SＩL分為1、2、3三級：SIＬ1級每年故障危險的平均概率為0．１0～0.01之間;SIL2級每年故障危險的平均概率為0.01~０．001之間;ＳIL３級每年故障危險的平均概率為0．０01~０．0０01之間。ＳIＬ等級的確認：1級:裝置也許很少發生事故。如發生事故,不會立即導致環境污染和人員傷亡,經濟損失不大。用于本級別的安全儀表系統，需取得ＳIL1級和TüV2-3級認證,對裝置和產品起一般的保護。２級:裝置也許偶爾發生事故。如發生事故，對裝置和產品有較大的影響，并有也許導致環境污染和人員傷亡，經濟損失較大。用于本級別的安全儀表系統，需取得ＳIL2級和TüV4級認證,對裝置和產品提供保護。3級：裝置也許經常發生事故。如發生事故,對裝置和產品將導致嚴重的影響,并導致嚴重的環境污染和人員傷亡,經濟損失嚴重。用于本級別的安全儀表系統,需取得SIＬ3級和ＴüV５-６級認證,對裝置和產品提供保護。(３）IＥＣ６1508標準IEＣ６１5０8標準是國際電工委員會（ＩEＣ）對與安全相關的安全控制系統制定的性能安全標準，與ＩSA的ＳIL相比,除了覆蓋ISA中的SＩL1~3等級以外，增長了第四級標準,IＥCSＩＬ4級標準每年故障危險的平均概率為０．0001~０.00001之間。(4)TüＶ標準TüV是德國技術監督協會的縮寫。ＤＩNV，19250是TüV證書中評估產品的標準。ＴüV標準是德國萊茵認證機構對工業過程安全控制系統所作的分類等級。ＴüV共分為８級（AK1～AK8）,AＫ2／3相應于SIL1級，AK４相應于SIL2,AK5/6相應于SＩL3級，AＫ7相應于SIL4級,AK8是目前最高級別的安全標準,故障概率大于十萬分之一,目前沒有與E／E/ＰＥS安全相關的系統能滿足規定，ISA和IＥC尚未制定相應于ＡK8的標準。2.DINV,19２5０/IEC6１508標準風險分析圖工藝過程的風險是以惡性事故概率及其導致的后果來衡量的。目的安全水平是以可接受的惡性事故概率及其導致的后果來擬定的。目的安全水平與惡性事故概率之間的差值就是安全功能的SIL等級,即ＳＩS系統中采用SIL等級的安全功能來使惡性事故概率低于目的安全水平。DINV，1９２50/IＥＣ61508標準風險分析圖如圖所示。３.綜合安全級別擬定SＩＬ等級現有三種技術來擬定：定性風險評估技術,半定量風險評估技術及定量風險評估技術。安全功能故障率整體安全水平(SＩL)安全功能故障率ＳIＬ4≥1０-5~１0-4ＳIＬ3≥10-4～10-３SIL２≥1０-３～1０-2SIL1≥10-２～10-１DINV,1９250/IEC6１５０8標準風險分析圖中,IＥC61５08標準安全度等級SIL與DＩNＶ，１9２5０最小克制風險級別ＡK（ＴüＶ標準）的相應關系如下表所示：IＥC615０8SＩLANSＩ/ISAS８4.0１ＳＩLDＩNＶ，192５0AKClass說明１１2、3僅對少量的財產和簡樸的生產和產品進行保護22４對大量的財產和復雜的生產和產品進行保護，也對生產操作人員進行保護335、6對工廠的財產，全體員工的生命和整個社區的安全進行保護4-7避免劫難性的(例如核事故)會對整個社區形成巨大沖擊的事故四、SIＳ安全儀表系統常用術語1.故障（Faｉｌuｒe)針對控制系統的安全而言，故障分為安全故障和嚴禁故障。安全故障是指此故障不會引起生產裝置劫難性事故,而嚴禁故障是指故障一旦發生，會引起裝置劫難性后果。下面以緊急停車系統（ESS)為例來說明安全故障和嚴禁故障的區別:繼電器正常傳感器故障（b）繼電器正常傳感器故障（b）ESSESS的通道ESS傳感器繼電器傳感器正常ESS繼電器故障（a）安全故障示意圖傳感器檢測到異常情況ESS繼電器故障（a）ESS繼電器正常（b）傳感器過程異常傳感器沒有檢測到嚴禁故障示意圖2.可用性（運用率)(Availabiｌiｔy）可用性是指系統可以使用時間的概率,用字母A表達。其表達式為:A＝平均工作時間（ＭTTF)/(平均工作時間（MＴTF)+平均修復時間（MTTＲ)）下表以EＳS為例,說明系統的可用性（運用率)情況：ＥSＳ狀況裝置狀況1ESS正常裝置運營正常2ESＳ出現安全故障裝置停車3EＳＳ出現嚴禁故障裝置繼續運營在第1種情況下，ESＳ與裝置兩者都處在可用狀態。在第2種情況下,ESＳ與裝置兩者都處在不可用狀態。在第3種情況下,EＳＳ處在不可使用狀態，而裝置繼續運營，但處在危險的可使用狀態。分析上表可知:追求高的可用性，其安全風險大，追求高的安全性,則可用性就要減少。3．可靠性(Ｒeｌiａbiｌｉty）（１)可靠性是指系統在規定的時間間隔內發生故障的概率，用字母R表達。具體來講，可靠性指的是安全聯鎖系統在故障危險模式下,對隨機硬件或軟件故障的安全度。（2)可靠性計算是根據故障（失效）模式來擬定的。（3)故障模式有顯性故障模式（失效-安全型模式)和隱性故障模式（失效-危險型模式)兩種。顯性故障模式表現為系統誤動作，可靠性取決于系統硬件所包含的元器件總數,一般由MTBF表達。隱性故障模式表現為系統拒動作，可靠性取決于系統的拒動作率(PFD），一般表達為:Ｒ=1-PＦD４.牢固性(Ｉｎtｅgrｉｔｙ）可靠性與牢固性在意義上極為相似,很難加以區分。ＩEC和SP4對安全性(SａfetyIntegriｔy）的定義:在規定期間和條件下,PES完畢安全功能的可靠性。IEC（ＷＧ10）：硬件牢固性(ＨａrｄwareInteｇritｙ):是系統安全性的組成部分,它指在危險方式下硬件的隨機故障。英國的PES：安全性(ＳａｆeｔyIntegｒity):安全系統在規定的條件下或者需要它去執行的規定下,按人們的規定完畢功能時所表現的特性。從可靠性、牢固性定義中可以看出,牢固性這個術語用在安全保護系統中，而可靠性的合用范圍則相對廣泛。5.冗余及冗余系統冗余(Redｕｎdａnｔ)指為實現同一功能,使用多個相同功能的模塊或部件并聯。冗余也可定義為指定的獨立的N：1重元件,且可自動地檢測故障,并切換到備用設備上。冗余系統(RedundaｎtSystem)指并行使用多個系統部件，并具有邏輯結構單元邏輯結構單元執行器m次n次k次安全儀表系統的冗余組成傳感器傳感器故障檢測和校正功能的系統稱為冗余系統。安全儀表系統的冗余涉及兩部分:邏輯單元自身的冗余；傳感器和執行器的冗余。針對不同的場合，冗余的次數及實現冗余的軟邏輯不同。6．冗余邏輯表決方式(1）表決(Ｖotｉｎｇ）:指冗余系統中用多數原則將每個支路的數據進行比較和修正，從而最后擬定結論的一種機理。（２）幾種冗余邏輯表決方式1oo1Ｄ(1oｕｔof１D）１取1帶診斷1ｏo2(１outof２)2取１１ｏｏ2D(1oｕtｏf2D）2取1帶診斷２ｏo3(２ｏutoｆ３)3取22oｏ4ｄ（2ouｔoｆ4)4取2帶診斷a.二選一表決邏輯 (１oo２）ANDANDＡB?正常狀態下,Ａ、Ｂ狀態為1，只要Ａ、B任一信號為0,發生故障,表決器就命令執行器執行相應的動作。合用于安全性較高的場合。b.二選二表決邏輯 (2oo２)ORORAB?正常狀態下，Ａ、B狀態為1,只有當A、B信號同時發生故障為0時，,表決器就命令執行器執行相應的動作。合用于安全性規定一般而可用性較高的場合。其特點是：可以有效防止安全故障的發生，但系統有也許導致嚴禁故障的發生。ｃ.三選一表決邏輯（１oo3）ABABCAND?正常狀態下，A、B、Ｃ狀態為1,只有當A、B、C任一信號發生故障為０時，,表決器就命令執行器執行相應的動作。合用于安全性很高的場合，而不顧及其它情況。其特點是:它最有效的防止了嚴禁故障的發生,比1oo２方式更嚴格，但增長了安全故障發生的機會。它的安全故障發生率是單一系統的3倍。d.三選二表決邏輯(2oｏ3)AABACBCORANDANDAND 正常狀態下,A、B、C狀態為1,只有當A、B、C任兩個組合信號同時為0發生故障時，,表決器就命令執行器執行相應的動作。合用于安全性、使用性高的場合。其特點是:它克服了二重化系統不辨真偽的缺陷，其可用性和安全性保持在合理的水平。7.冗錯、冗錯技術及冗錯系統(1）冗錯(FaultToｌerａnt)是指功能模塊在出現故障或錯誤時,可以繼續執行特定功能的能力。進一步講冗錯是指對失效的控