SIS-设计中应注意的几个问题.doc

1、SIS 设计中应注意的几个问题 摘要 : 在 SIS 设计中 ,回路设计的基本原则 ; 可用性和安全性及其关注的重点 . 关键词 :SIS,可用性 ,安全性 ,硬件容错能力 1什么是安全仪表系统 (SIS) 根据 IEC 61511 的定义，安全仪表系统是指实现一个或者多个安全仪表功能（ Safety Instrument Function)的仪表系统，它通常由传感器，逻辑运算器和执行元件组成。 所谓的安全仪表功能，类似于我们传统说法上的安全仪表回路。一个安全仪表功能由 5个要素组成： 传感器，逻辑运算器，执行元件，安全完整性等级（ SIL）和响应时间。 图 1 安全仪表回路图 说明： 1 L

2、 液面超高 -L1 接点闭合 -Z 带电。 2 Z1 常闭接点打开 ， S 线圈断电。 3 S 电磁阀切断 ， 往调节阀膜头的控制信号调节阀切断工艺进料，完成联锁保护作用。 4 K 起 ：按钮开关： 起动联锁保护回路兼有复位作用 。 5 K 介 ：起人工强制起动联锁保护作用。 6 K 旁 ：旁路联锁保护作用，用于开车或 检修 联锁信号 仪表 。 图 2 SIS 逻辑 图 如图 1 所示，这是一个容器 A 液位控制的安全仪表功能。对这个安全仪表功能完整的描述是：当容器 液位开关达到安全联锁值时，逻辑运算器（图 2）使电磁阀 2 断电，则切断进调节阀膜头信号，使调节阀切断容器 A 进料，这个动作要

3、在 3 秒内完成，安全等级必须达到 SIL2。这是一个安全仪表功能的完整描述，而所谓的安全仪表系统，则是类似一个或多个这样的安全仪表功能的集合。 2 SIS 设计原则 安全仪表系统的主要作用是在工艺生产过程发生危险故障时将其自动或手动带回到预先设计的安全状态，以确保工艺装置的生产的安全，避免重大人身伤害及重大设备损坏事故。在安全仪表系统的设计过程中， IEC 61508， IEC 61511 提供了极好的 国际通用技术规范和参考资料。 IEC 于 2000年 5 月发布了 IEC 61508 标准， 2003年 1 月颁布 IEC 61511 标准。这两个标准有很密切的关系， IEC 6150

4、8 标准是综合性基础标准，主要为装置的制造商和供应商使用， IEC 61511 可以说是 IEC 61508 的延续，主要针对具体的仪器仪表设计者和用户使用。 2006 年， 2007 年等同采用 IEC 61508， IEC 61511 的中国国家标准 GB/T 20438， GB/T 21109 相继发布，中国的功能安全标准开始规范我们的功能安全工作。 在安全仪表系统的设计领域，通常将 IEC 61508 与 IEC 61511 结合使用。在安全仪表系统回路设计过程中，一般需要遵循下列几点原则。 2 1 SIS 设计的可靠性原则（安全性原则） 为了保证工艺装置的 生产安全，安全仪表系统必须

5、具备与工艺过程相适应的安全完整性等级 SIL（ Safety Integrity Level） 的可靠度。对此， IEC 61508 进行了详细的技术规定。对于安全仪表系统，可靠性 有两个含义，一个是安全仪表系统本身的工作可靠性 ；另一个是安全仪表系统对工艺过程认知和联锁保护的可靠性，还应有对工艺过程测量，判断 和联锁执行的高可靠性。 评估安全完整性等级 SIL 的主要参数就是 PFDavg(probability of failure on demand 平均危险故障率 )，按其从高到低依次分为 14 级。在石化行业中一般涉及到的只有 1， 2，3 级，因为 SIL4 级投资大，系统复杂，一

6、般只用于核电行业。 详细分类见表 1 所示 表 1 SIL 等级与故障几率相应关系 SIL Low demand mode of operation average (Probability of Failure to perform its design function on Demand) High demand or continuous mode of operation (Probability of dangerous Failure per Hour) 4 10-4 99% SIL3 SIL4 SIL4 SIL3 SIL4 SIL4 为了便于区分， IEC 61508 将各种组

7、成安全仪表功能的元件分成两种 A 型和 B 型。 A 型指那些所有故障模式都被定义过，所有故障行为都被定义过，而且有充 足 的故障数据的元件。例如普通传感器，阀门等。而 B 型则相反 ，指那些故障类型没有被完整的定义，也没有足够的故障数据的元件，一般指的是含有处理器的元件，例如智能传感器，逻辑运算器等。 由表 3，我们可以看出，确定安全仪表回路各个元件的 SIL 等级，取决于 2 个参数。 1是安全失效分数， 2 是硬件故障裕度。对自动化产品来说，安全失效分数的定义为该产品的平均安全失效率加检测到的平均危险失效率与子系统总平均失效率之比。 安全失效分数 SFF= ( SD+ SU+ DD) /

8、 ( SD+ SU+ DD+ Du) 提高安全失效分数， 就是提高产品的故障安全能力，也就是说，当产品出现故障 时，具有的使 系统以安全的方式失效的能力提高安全失效分数的办法有很多，最重要的就是提高诊断覆盖率，也就是用各种内部诊断的方式将可能导致危险失效检测出来提高诊断测试到的危险失效概率在危险失效总概率中的比例。 硬件故障裕度 HFT 和系统或者元件的结构有关。我们常见的系统或者元件设计结构有1oo1,2oo2,1oo2,2oo3,1oo3,2oo4.这种 MooN 结构指的是需要总共 N 个通道中的 M 个独立通道来实现安全功能。而硬件容错能力 HFT 的定义是，假如硬件容错能力是 X，那

9、么当出现X+1 个危险故障时，将会导致安全功能 的丧失。所以很明显，我们可以得出在 MooN 结构中，硬件容错能力的计算 HFT=N-M。如表 2 所示。 表 2 硬件容错能力计算表 结构 1oo1 2oo2 1oo2 2oo3 1oo3 2oo4 HFT 0 0 1 1 2 2 有时候，冗余的设备是为了提高过程的可用性，而不是为了提高安全性。 硬件故障裕度 (Hardware fault tolerance,HFT)是指在能够正常行使安全功能的情况下，系统结构配置能够容忍的危险失效数目。 硬件故障 裕度 有时与冗余配置容易混淆。硬件故障裕度和冗余不是一回事。 例如， 1oo3,2oo3,3o

10、o3 的设备冗余数都是 3，而它们的硬件故障裕度却分别是 2， 1， 0。有时候，冗余的设备是为了提高过程的可用性，而不是为了提高安全性。 如果某个 B 类设备具有 92%的安全失效分数，硬件故障裕度 为 0，根据表 3 可得到它满足 SIL2 的要求。但一般在实际工程中，结构约束是以另一种方式使用的。已知的是目标 SIL水平，设备类型及其安全失效分数，要确定的是硬件故障裕度。例如，某 A 类设备的 SFF为 50%，安全仪表功能的目标 SIL 水平为 2，那么根据表 2 硬件裕度为 1，所以该设备的子系统需要为 1oo2 或 2oo3 之 类的冗余配置。 2 13 2 IEC 61511 中

11、的结构约束 IEC 61511 中要求硬件故障裕度的最低水平应该是 SIL 水平的函数。这就是说以达到功能安全为目的的冗余必须与安全仪表功能的目标 SIL 水平相联系。对于现场仪器仪表和非可编程逻辑控制器，其结构 约束 如表 4 所示。 表 4 IEC 61511 中为现场设备规定的最小硬件故障裕度 SIL 最小硬件故障 裕度 SIL 最小硬件故障 裕度 1 0 3 2 2 1 4 有特殊要求（参见 IEC 61508 按照上表，为了达到 SIL2 的安全水平必须使用两个变 送器，并且这两个变送器只需其中一个动作就能够执行安全功能，即 1oo2 配置。同样，对于 SIL3 的安全水平，必须使用

12、三个变送器，配置为 1oo3. IEC 61511 中使用另一张表对可编程电子逻辑控制器的结构提出要求，如表 5 所示。 表 5 IEC 61511 中为逻辑控制器规定的最小硬件故障裕度 SIL 最小硬件故障 裕度 SFF90% 1 1 0 0 2 2 1 0 3 3 2 1 4 有特殊要求（参见 IEC 61508） 使用此表时也需要计 算安全失效分数 SFF。它的使用方法和 IEC 61508 中的结构约束是一样的。 3 典型的逻辑关系 3 1 逻辑运算关系 目前在石油化工装置的安全仪表系统中，安全联锁系统功能是通过逻辑运算实现的，一般是在软件中 采用 布尔代数运算实现。一个安全联锁功能通

13、常包括多段逻辑运算。在实际的应用过程中，除了过程信号的原因导致联锁结果外，还应设置一些其他相关操作手段和信号关系，以确保安全仪表系统的可靠性和可用性。 3 2 对触发联锁结果的处理 根据工艺过程具体情况，安全联锁系统发生联锁后的处理方式是不同的 。对于不是随意可逆的工艺过程，当输入信号越限触发联锁后，安全系统应设置自锁功能以防止过程变量触发联锁后又恢复到正常范围，导致工艺过程不能按正常顺序或意外恢复或启动，再次形成事故，对装置和人造成危险。为此，应设置人工恢复 (Reset)按钮。当然也有一些工艺过程的安全联锁动作是可逆的，其安全联锁不需设置自锁功能，系统在过程恢复正常时，可自动回到正常状态。对于自动恢复的系统，若工艺过程变化较快，可设置适当宽度的不灵敏区，消除过程变量处在联锁值边缘时频繁触发联锁的现象。 3 3 人为启动联锁和输入信号旁路开关 典 型安全联锁回路设有人工联锁按钮（ Manual），用于需要人为启动联锁的场合。 为装置开工过程系统投运，对某些输入信号要设置旁路开关（ ByPass）。当工艺过程变量还未达到正常值时，暂时切断安全联锁系统的相应输入信号部分，待过程量正常后才能投运。输入信号旁路开关有时也用于系统维护和测试过程。 3 4 典型的安全联锁逻辑图 以某压力联锁为例，一个典型的安全联锁逻辑关系如图 3 所示 .