《安全仪表系统》PPT课件.ppt

一、安全系统概述一、安全系统概述荆门石化 侯振林 1什么是什么是FSC系统系统FSC即故障安全控制系统(Fail Safe Control)在过程工业中起联锁保护作用，是在传统PLC基础上发展起来的。SMS Safety Management System 安全管理系统机构 Honewell工业自动化和控制公司内部的一个独立业务机构。2安全系统的定义安全系统的定义安全系统的定义安全系统的定义 如果工厂装置中出现事故时不采取任何措施，事故就会扩大化，导致危险发生。设计安全系统的目的就是对装置的这种情况作出反应，安全系统必须输出正确信号以阻止危险的发生或减轻事故的后果。其它通用名称:l ESDESD紧急停车系统紧急停车系统紧急停车系统紧急停车系统 l SIS 安全联锁系统安全联锁系统l BMS锅炉管理系统锅炉管理系统l F&G火灾和气体检测系统火灾和气体检测系统3什么是什么是ESD系统系统 ESD ESD系统：即紧急停车系统系统：即紧急停车系统,是指事故由该系是指事故由该系统首先发现后，按照预定的甚至是固化的统首先发现后，按照预定的甚至是固化的程序切断装置发程序切断装置发生故障的有关部位，指挥生故障的有关部位，指挥装置采取安全有效的措施。装置采取安全有效的措施。4 安全系统的产生背景安全系统的产生背景5重大工业事故次数重大工业事故次数重大工业事故次数重大工业事故次数摘自美国 石油和天然气杂志 1990年8月27日刊单位:次数6事故总损失事故总损失事故总损失事故总损失单位单位:10亿美元亿美元摘自美国 石油和天然气杂志 1990年8月27日刊7安全层次安全层次各种系统的安全等级不同,ESD系统的安全等级高于DCS系统。火灾和气体监测火灾和气体监测紧急停车系统紧急停车系统报报 警警过过 程程 控控 制制生生 产产 过过 程程消防子系统消防子系统或8危险是怎样减少的？风险风险工业过程工业过程工业过程工业过程 生产过程 内在的风险 可接受 的风险过程控过程控过程控过程控 制系统制系统制系统制系统安全联安全联安全联安全联 锁系统锁系统锁系统锁系统其它其它其它其它9ESD与与DCS的区别的区别 DCS ESD 动态控制动态控制 静态监测，保护静态监测，保护 故障自动显示故障自动显示 必须测试潜在故障必须测试潜在故障 维修时间不太关键维修时间不太关键 维修时间非常关键维修时间非常关键可进行自动可进行自动/手动切换手动切换 不允许离线不允许离线10安全系统的技术发展安全系统的技术发展气气 动动 系系 统统电磁继电器系统电磁继电器系统硬连线固态逻辑系统硬连线固态逻辑系统微微 处处 理理 器器 系系 统统单通道单通道双重化双重化三重化三重化2 2选选1 12 2选选2 2热备用热备用容错系统容错系统11电磁继电器系统电磁继电器系统l 单元化结构单元化结构l 继电器执行系统逻辑继电器执行系统逻辑l 通过重新接线实现重新编程通过重新接线实现重新编程 优优 点点n失效失效-安全型安全型n初始投入少初始投入少n可分散布置可分散布置n抗干扰抗干扰n适应多种电压适应多种电压 不不 足足n容易误停车容易误停车n无故障诊断功能无故障诊断功能n无串行通信功能无串行通信功能n无报告文档功能无报告文档功能n大系统很复杂大系统很复杂n能耗高能耗高,散热多散热多n平均维修时间长平均维修时间长n重新编程困难重新编程困难12硬连线固态逻辑系统硬连线固态逻辑系统l 模块化结构模块化结构l 独立的固态装置执行逻辑独立的固态装置执行逻辑l 通过重新接线来重新编程通过重新接线来重新编程 优优 点点n安装密度高安装密度高n容易分散布置容易分散布置n低电压、易散热低电压、易散热n可用串行口通信可用串行口通信n自诊断功能自诊断功能 不不 足足n灵活性差灵活性差n无报告文档无报告文档n大系统费用高大系统费用高13工作机理工作机理数字 输入数字 输入数字 输入模拟 输入模拟 输入与门或门计时输出传感器传感器 输入模块输入模块 逻辑模块逻辑模块 输出模块输出模块输出输出输出输出14微处理器系统微处理器系统l 模块化结构模块化结构l 微处理器微处理器/软件执行逻辑软件执行逻辑l 通过软件重新编程通过软件重新编程 优优 点点n灵活性灵活性n模块化结构模块化结构n安装密度最高安装密度最高n测试与自诊断功能测试与自诊断功能n串行通信串行通信n有报告文档有报告文档 不不 足足n基于软件基于软件(可靠性可靠性/保密性保密性)n同原因故障同原因故障n与其它设备的通信与其它设备的通信n费用费用注：此处的不足是对一般的注：此处的不足是对一般的 微处理器系统而言。微处理器系统而言。15选择何种系统？选择何种系统？l气动的l继电器l固态逻辑l微处理器l单重化l双重化二选一二选二热备份l三重化还需考虑：系统大小、预算、风险、人机界面、通信要求、测试要求，等等。16几种技术的比较几种技术的比较故故障障率率17热备用热备用 的的PLC系统系统处理器处理器 A输入输出输入输出 智能开关智能开关处理器处理器 B现场装置现场装置18什么是容错什么是容错 当一个或多个元件失效后，系统按照预定的方式继续运行 的能力。19容错系统容错系统-基本功能基本功能 当容错系统内发生故障时当容错系统内发生故障时,必须能必须能n 检测故障检测故障n 指示故障指示故障n 消除故障的影响消除故障的影响 对系统进行维修时对系统进行维修时,必须能必须能n 明确操作状态明确操作状态 可以通过下述两种方式实现容错可以通过下述两种方式实现容错n HIFT-硬件实现容错硬件实现容错n S IFT-软件实现容错软件实现容错20HIFT vs SIFTHIFT 操作系统更小操作系统更小HIFT=40KSIFT=200KSIFT 的操作系统大而的操作系统大而复杂复杂 21专家们对于软件的意见专家们对于软件的意见 基于软件对可编程电子系统的总体基于软件对可编程电子系统的总体 影响，影响，TUVTUV总是建议制造商提供尽量总是建议制造商提供尽量可靠的硬件，同时把与安全有关的可靠的硬件，同时把与安全有关的 软件压缩到最少。软件压缩到最少。22单重化系统性能单重化系统性能A可能性可能性 显性故障显性故障 隐性故障隐性故障 0.010.0223双重化系统性能双重化系统性能 可靠度可靠度 显性故障显性故障 隐性故障隐性故障 AB二选一表决0.020.0004AB二选二表决0.0001 0.0424双重化并联冗余系统双重化并联冗余系统处理器处理器 A处理器处理器 B输出输出输出输出输入输入输入输入25 三重化系统三重化系统-基本结构基本结构处理器处理器 B输出输出输入输入处理器处理器 A输出输出输入输入处理器处理器 C输出输出输入输入26模块失效模块失效对于安全系统来讲，往往人们所关心的并不是该系统怎样运作，对于安全系统来讲，往往人们所关心的并不是该系统怎样运作，而是这个系统而是这个系统会怎样失效会怎样失效会怎样失效会怎样失效。安全系。安全系 统主要有两种失效方式统主要有两种失效方式:显性故障显性故障l 失效-安全型l 显而易见l 造成误停车l 误停车带来经济 损失隐性故障隐性故障l 失效-危险型l 不易察觉 l 潜在的危险极大l 必须通过测试才能发 现 27控制系统故障原因控制系统故障原因功能设计 44%试开车后的改变 20%组装设计 15%操作及维护 15%安装及试开车 6%28安全标准29 HSMS HSMS 依据的安全标准依据的安全标准依据的安全标准依据的安全标准30DIN V 19250/VDE V 0801(Germany)风险的分类风险的分类 安全系统的要求安全系统的要求各种国家标准各种国家标准ISA S84.01(USA)1996 安全规则安全规则 安全生命周期安全生命周期NFPA/UL1998IEC-61508 贯穿整个安全生命周期贯穿整个安全生命周期 安全计划与管理安全计划与管理 整体安全水平整体安全水平 系统诊断要求系统诊断要求 系统结构和可靠性图示系统结构和可靠性图示 TUV-1984安全标准安全标准31IEC-61508IEC-61508IEC 61508世界的安全伞世界的安全伞常规故障设计与运行故障安装与代理故障操作与维护故障硬件的随机故障修改故障32n设备的安全性安全设备不足安全设备不足:如果装置的安全性能在如果装置的安全性能在可接受的可接受的可接受的可接受的范围以外，厂方必须立即增加相应的范围以外，厂方必须立即增加相应的安全设备，或及时地采取必要步骤来保证系统安全，否则安全设备，或及时地采取必要步骤来保证系统安全，否则不允许不允许不允许不允许继续继续生产。生产。质量保证质量保证:对于建造中的新装置和设备，厂方应对于建造中的新装置和设备，厂方应保证保证保证保证所采用的安全设备所采用的安全设备适合适合适合适合于该于该装置的生产过程。装置的生产过程。33控制系统和安全保护系统应分开控制系统和安全保护系统应分开可编程电子系统(1987)英国健康与安全执行委员会运作中设备控制系统保护系统34所有所有4级工业过程应采取分离措施级工业过程应采取分离措施安全功能-安全关联系统(1995)国际电子技术委员会(适用于工业安全控制系统应用的一个国际标准)应尽可能使安全关联功能及非安全关联功能分离。35安全系统的传感器、安全逻辑安全系统的传感器、安全逻辑应与过程控制系统应与过程控制系统 的分离的分离工业过程中安全系统的应用(1996)国际测量与控制协会，SP84安全系统(SIS)的传感器应从基本过程控制系统(BPCS)的传感 器中分离出来。安全逻辑应从基本过程控制系统中分离出来。过程控制系统和安全系统功能的分离减少了控制和安全 功能同时故障的可能性，从而了避免由于控制系统中的 疏漏造成对安全系统功能的影响。36过程控制系统和安全系统的传感器、过程控制系统和安全系统的传感器、执行器、执行器、逻辑部分、逻辑部分、I/O模块以及机柜等，模块以及机柜等，都应在物理上和功能都应在物理上和功能 上加以分离上加以分离化工过程自动化安全指南(1993)美国化学工程师学会-化学工业过程安全中心一般情况下，安全系统的逻辑部分应与基本过程控制系 统中类似部分分离出来，而且，安全系统的输入传感器 和控制部分也应独立于过程控制系统中的类似部分。对于基本过程控制系统和安全系统的传感器、执行器、逻辑部分、I/O模块以及机柜等等，都应在物理上和功能 上加以区分（分离）.37海上石油海上石油两层完全独立的安全保护系统两层完全独立的安全保护系统 海上石油平台安全系统的分析、设计、安装及测试(1994第五版)美国石油协会美国石油协会 除了运用于正常操作的控制设备以 外，还应提供两层完全独立的安全保护系统。38安全逻辑系统不应与其它逻辑系统混合安全逻辑系统不应与其它逻辑系统混合 高炉爆炸/爆聚的防护,1995 国家防火协会8502标准 燃炉管理中，安全逻辑系统不应与其它逻辑系统相结合。39核工业要求冗余的安全系统在地理上分开核工业要求冗余的安全系统在地理上分开核电站安全系统标准核电站安全系统标准(1980)(1980)IEEE,603-1980IEEE,603-1980标准标准标准标准美国核工业要求具有冗余的安全系统，它们之间彼此美国核工业要求具有冗余的安全系统，它们之间彼此 独立，独立，并且在地物理上完全分开。并且在地物理上完全分开。安全系统的设计应达到如下要求，即：其他系统的故障及其造成的影响并不会妨碍安全系统的功能和运作。40 定性分析与选择安全系统定性分析与选择安全系统定性分析与选择安全系统定性分析与选择安全系统n 风险的定义和风险的降低手段风险的定义和风险的降低手段n 定性分析过程定性分析过程n 其它定性分析方法其它定性分析方法-叠代法叠代法n 定性分析的特点和局限性定性分析的特点和局限性41风险的定义风险的定义风险的定义风险的定义风险风险风险风险-衡量危害发生的可能性和严重性的尺度。衡量危害发生的可能性和严重性的尺度。也就是说，危害是否会发生，如果发生，则发生的频也就是说，危害是否会发生，如果发生，则发生的频繁程度及后果。繁程度及后果。42风险的降低风险的降低风险的降低风险的降低工程中工程中固有的风险固有的风险风风 险险允许的风险允许的风险ESDDCS工程设计工程设计生生 产产 过过 程程43定性分析定性分析定性分析定性分析:频率频率频率频率描述词描述词等等级级 单单 个个 总总 体体 发生的频率发生的频率 5 5 经常经常 可能经常发生可能经常发生 连续不断连续不断4 4 可能可能 3 3 偶尔偶尔2 2 1 1 不可能不可能 在寿命期内将在寿命期内将 发生几次发生几次 在寿命期内在寿命期内 有时会发生有时会发生极少极少可能可能 很少会发生很少会发生 不多不多,但可能但可能 可认为不会发生可认为不会发生 很少会发生很少会发生 经常发生经常发生 将发生几次将发生几次44定性分析定性分析定性分析定性分析:严重性严重性严重性严重性等等级级描述词描述词事故发生后的影响事故发生后的影响 人人 身身 环环 境境 产品或设备产品或设备 5 5 灾难性灾难性 死亡死亡 损失损失$150$150万万 4 4 极严重极严重 伤残伤残 损失仅限于现场损失仅限于现场 损失损失$50-150$50-150万万 3 3 严重严重 医学治疗医学治疗 损失损失$10-50$10-50万万 2 2 轻微轻微 急救治疗急救治疗 1 1 极微极微 无伤亡无伤亡 无危害无危害 损失损失$2500$2500 危害波及危害波及现场以外现场以外损失损失$2500-10$2500-10万万现场危害现场危害无法立即控制无法立即控制可立即控制可立即控制现场危害现场危害45定性分析定性分析定性分析定性分析:总体风险总体风险总体风险总体风险严重性严重性频率频率 5432154321 25 20 15 10 5 20 16 12 8 4 15 12 9 6 3 10 8 6 4 2 5 4 3 2 146定性分析定性分析定性分析定性分析:风险级别及相应的安全系统风险级别及相应的安全系统风险级别及相应的安全系统风险级别及相应的安全系统 等级等级 8-18 8-18风险的定型风险的定型 风险的等级风险的等级 应选的技术和结构应选的技术和结构单重化单重化 PLC PLC或继电器或继电器等级等级19-2519-25 带自测试功能的冗余处理器带自测试功能的冗余处理器 或硬连线的固态逻辑或硬连线的固态逻辑 人工测试的双重化人工测试的双重化 PLC PLC 或硬连线固态系统或硬连线固态系统高中等级等级 1-7 1-7低47 定性分析：三维示意图定性分析：三维示意图定性分析：三维示意图定性分析：三维示意图频频 率率严重性严重性严重性严重性其它安全其它安全其它安全其它安全层次的影响层次的影响层次的影响层次的影响232231232322222212148定性分析定性分析定性分析定性分析-叠代法叠代法叠代法叠代法W3W2W1CaCbCcCdFaFbFaFbPaPbPaPaPaPbPbPbX1X2X3X4X5X6a1234baa1122334FbFaa=无特殊安全需要b=单联锁系统不行49定性分析不能解决的问题定性分析不能解决的问题定性分析不能解决的问题定性分析不能解决的问题就品质性能来说就品质性能来说,那一个系统那一个系统“最好最好”?”?哪一个具有最小的误停哪一个具有最小的误停车率车率?哪一个能提供最好的安全性能哪一个能提供最好的安全性能?传感器传感器单重化双重化三重化单重化双重化三重化单重化双重化三重化逻辑逻辑单重化单重化单重化双重化双重化双重化三重化三重化三重化诊断覆盖率诊断覆盖率99.9%99%90%99%90%80%99%90%80%同原因故障同原因故障无无无0.1%1%10%0.1%1%10%输出输出单重化双重化双重化单重化双重化双重化单重化单重化单重化测试间隔测试间隔每个月每个季度每年每个月每个季度每年每个月每个季度每年50定性分析总的特点定性分析总的特点定性分析总的特点定性分析总的特点 优点：优点：优点：优点：n简单n容易理解n人力、物力投入少 缺点：缺点：缺点：缺点：n可能受主客观因素影响，产生错误的结论n难以标准化n容易变为对公司以前做出的政策或决定的一种置疑51定性分析的局限性定性分析的局限性定性分析的局限性定性分析的局限性 通过定性研究可以提供选择安全系统的方法，但是它不能证明一个安全系统是否达到某一给定的等级，也无法计算事故发生的概率。-摘自 ISA SP8452安全设计流程过程总体设计过程总体设计危险分析危险分析/风险评估风险评估非安全联锁系统非安全联锁系统的保护层的保护层是否需要安全是否需要安全 联锁系统？联锁系统？不不确定设计目标确定设计目标YesYes选择适当技术选择适当技术选择系统结构选择系统结构确定测试原则确定测试原则可靠性评估可靠性评估是否满足性能是否满足性能 指标？指标？是是系统生产系统生产否否53