安全仪表系统设计必须遵守的十三大原则.docx

《安全仪表系统设计必须遵守的十三大原则.docx》由会员分享，可在线阅读，更多相关《安全仪表系统设计必须遵守的十三大原则.docx（14页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、平安仪表系统设计必须遵守的十三大原那么正文目录目录正文目录1图表目录2序言21. SIS设计的可靠性原那么(平安性原那么)21. 1.平安系统体系lool/loo2结构41. 1. 1. lool41. 1. 2. Ioo251. 1. 3. loolD61. 1. 4. loo2D61. 2. SIS平安仪表系统2oo3架构原理浅析62. 3. SIS平安仪表系统的2oo4D结构7SIS设计的可用性原那么83. SIS设计的独立性原那么9SIS设计的标准认证原那么94. 故障平安原贝ij9SIS的冗余原那么105. SIS的诊断与在线维护原那么10维护旁路开关(MOS)设置118. 1. M

2、0S 作用118.2.设置1405要遵循以下原那么：11联锁与复位设置129. SIS逻辑控制器的应用软件组态12SIS的其它设计原那么1210. SIL的最终评估13结构约束1313. 1. IEC 61508中的结构约束131.2. . IEC 61511中的结构约束15第1页共15页 求时；如同一个FC(失气时关)切断阀，A平安联锁动作时要求该阀门全开；另 一个B平安联锁动作时要求该阀门全关。此时就要求SIS在A平安联锁中输出 “1”使电磁阀带电阀门全开，在B平安联锁中输出“0”使电磁阀失电阀门全 关。以上的说明是通常情况下的故障平安。其实对于故障平安还应具体情况具 体分析，要确定最有可

3、能发生的故障状态，并不是一律“常闭接点，正常带 电”。6. SIS的冗余原那么为了提高平安仪表系统的SIL等级，对系统的各个单元实现冗余是必须 的。其基本原那么为：(1)传感器的冗余原那么：对于SIS的SIL1回路，可采用单一的传感器；对 于SIS的SIL2回路，宜采用“loo2D”或“2oo3”冗余的传感器；对于SIS的 SIL3的回路，应采用“2oo3”冗余的传感器。(2)SIS逻辑表决算器的冗余原那么：SIL1可采用“loolD”单逻辑单元； SIL2宜采用“loo2D”或“2oo3”冗余逻辑单元；SIL3宜采用“2oo3”或“2oo4D”冗余逻辑单元；(3)SIS控制阀的冗余设置原那么

4、：SIL1可采用单电磁阀，单SIS控制阀； SIL2宜采用冗余电磁阀，单SIS控制阀；SIL3应采用冗余电磁阀，双SIS控制 阀；SIS冗余控制阀为分别带电磁阀的两个SIS开关阀，也可为带电磁阀的1 个调节阀加1个SIS开关阀；冗余输入的SIS逻辑应当包括输入信号偏差报警 (2个变送器的信号偏差，报警设定值为5%)。7. SIS的诊断与在线维护原那么SIS应具有硬件和软件自诊断及测试功能。SIS应为每个输入工艺联锁信号 设置维护旁路开关，方便进行在线测试和维护。用于3选2表决方案的冗余传 感器不需要旁路，手动停车输入也不需要旁路。严禁对SIS输出信号设立旁路 开关。如果SIL计算说明测试周期小

5、于工艺停车周期，而对最终执行元件进行 在线测试时无法确保不影响工艺或导致误停车；那么SIS的设计应当根据需要进第10页共15页 行修改，通过提高冗余配置以延长测试周期或采用局部行程测试法，对故障关 的阀门增加手动旁通阀，对故障开的阀门增加手动截止阀等措施，以允许在线 测试SIS阀门。对于SIS联锁旁路应设置“禁止/允许”开关。SIS旁路开关的 动作应当在DCS中产生报警并予以记录。除非旁路解除，报警始终处于活动状o8.维护旁路开关(MOS)设置8. 1. MOS 作用维护旁路开关(Maintenance Override Switch, MOS)为SIS的变送器，检测 开关等现场设备的在线检修

6、设置。由于在旁路状态下SIF的功能及其平安完整 性都是受限的。因此旁路的设计和操作管理，成为SIS工程中重要的关注点之O旁路操作本身应有报警，记录和显示；在旁路期间也应始终保持对工艺过 程状态的检测和指示。旁路操作应有明确的操作程序，并纳入到功能平安评估 和现场功能平安审计的范围之内。重要的一点，旁路设计应仅限于正常的工艺 过程操作界限之内，不能代替或用作平安防护层功能。8. 2.设置MOS要遵循以下原那么：1)当传感器被旁路时，操作人员有其它手段和措施触发该传感器对应的最 终执行元件，使工艺过程置于平安状态；2)当传感器被旁路时，操作人员有其它手段和措施监测到该传感器对应的 过程参数或状态。

7、3)当传感器被旁路时，操作人员有其它手段和措施，并有足够的响应时间 取代该传感器相关的SIF,将工艺过程置于平安状态。4JMOS不能用于屏蔽手动紧急停车按钮信号，检测压缩机工况的轴振动/ 位移信号以及报警功能等；5)MOS的启动状态应有适当的显示。旁路状态的时间不宜太长，如果对该 时间有严格的限定，可设计“时间到”报警，但是不能自动解除旁路状态。对于MooN表决机制的变送器信号，MOS逻辑设计要考虑降级模式对平安 性和可用性的影响。例如，从平安性角度，2oo3旁路后应降级loo2；而对于第11页共15页停车将造成重大经济损失的回路，2oo3旁路设计可能采用降级为2oo2o.联锁与复位设置SIS

8、的设计应保证一旦工艺过程进入平安状态，在进行手动复位前应保持 工艺过程在平安状态。最终执行元件在所有的联锁初始条件恢复到正常状态前 不得复位。带多个传感器和最终执行元件的复杂联锁回路需要在逻辑中设置一 个总联锁复位信号（按钮），当联锁初始条件恢复到正常状态之后，能用该复位 信号（按钮）对整个联锁回路进行复位。对火焰加热炉，气化炉，反响器等高危 险设备的最终执行元件，需配备一个独立的，就地手动复位装置。总联锁复位 必须在就地手动复位前先复位，就地手动复位装置的信号必须输入SIS逻辑。9 . SIS逻辑控制器的应用软件组态在SIS可编程逻辑控制器中，应用软件编程组态遵循的最重要原那么，是如 何保证

9、满足平安完整性要求。逻辑控制器的整体性能表现，在很大程度上受制 于软件的质量。我们知道，平安完整性包括硬件平安完整性和系统性平安完整 性。其中软件错误或缺陷是影响系统性平安完整性的重要因素之一。不幸的 是，我们很难对软件失效建立数学模型并对失效率进行准确预测。应用软件设计和组态应遵循模块化，低复杂性的指导原那么。按照工艺过程 特点和防护逻辑，划分为相对独立。简单的单元或层次，这将给功能测试和修 改带来极大的便利，有利于增强软件的完整性。不管设计文件采用哪种格式， 包括因果图（Cause-Effect）,功能逻辑图，流程图，文字表达等形式，都要足够 详细，确保对停车逻辑，设定值，报警，诊断以及时

10、序等的正确组态。基于 “经验使用”原那么，尽可能采用标准功能或功能块。如果需要采用；嵌套”逻 辑，应尽可能地降低嵌套层。n. sis的其它设计原那么SIS必须获得IEC 61508SIL和/或TUV AK（德）相应SIL等级的认证。鉴于 某些特殊原因，需要由SIS执行的非平安功能应在因果图上明确标明（如“非安 全功能”，“NSF” , SIL= N/A”或其它标识）并在其他SIS设计文件中指 明。非平安功能的动作，如果由SIS执行那么不得干扰或危及SIS的任何平安功第12页共15页 能。SIS系统中使用的硬件，软件和仪表必须遵守正式版本并已商业化，同时 必须获得国家有关防爆，计量，压力容器等强

11、制认证。严禁使用任何试验产 品。12 . SIL的最终评估当按照平安要求规格书的要求，完整了 sis设备的选型和结构设计，自然 地要回答这一问题，最终的SIF是否到达了预期的SIL要求？SIF的最终SIL评估，通常有两个必要条件：一是评定SIS子系统是否满足 了 “结构约束（ArchitecturalConsraintts要求，在 IEC61508/IEC 61511 中，结 构约束条款用最小的“硬件故障裕度”（Hardware Fault Tolerance, HFT）表 征，代表了设备或子系统在构成SIL回路时，从硬件结构上对平安完整性等级 的限制。13 .结构约束13. 1. IEC 6

12、1508中的结构约束结构约束是除PFDavg之外，在某个特定应用中使用某个设备的附加约 束。根据设备类型及其SFF（平安失效分数，也有称之为平安故障）和设备所在 子系统的HFT（硬件故障裕度，也有称之为硬件容错能力）来确定设备子系统能 够用于哪级SIL水平的平安仪表系统。IEC 61508提供了一张表，分别为设备 类型A和B的子系统定义了结构约束，如表2所示。表2 IEC 61508中对A类及B类设备的结构约束为了便于区分，IEC 61508将各种组成平安仪表功能的元件分成两种A型 和B型。A型指那些所有故障模式都被定义过，所有故障行为都被定义过，而 且有充足的故障数据的元件。例如普通传感器，

13、阀门等。而B型那么相反，指那Safe Failure Fraction (SFF)Type AType BHardware Fault Tolerance(HFT)Hardware Fault Tolerance(HFT)012012SIL1SIL2SIL3N.A.SIL1SIL260%SIL2SIL3SIL4SIL1SIL2SIL390%SIL3SIL4SIL4SIL2SIL3SIL499%SIL3SIL4SIL4SIL3SIL4SIL4第13页共15页 些故障类型没有被完整的定义，也没有足够的故障数据的元件，一般指的是含 有处理器的元件，例如智能传感器，逻辑运算器等。由表2,我们可以看出，

14、确定平安仪表回路各个元件的SIL等级，取决于 2个参数。1是平安失效分数，2是硬件故障裕度。对自动化产品来说，平安 失效分数的定义为该产品的平均平安失效率加检测到的平均危险失效率与子系 统总平均失效率之比。平安失效分数SFF=( X SD+ X SU+ 入 DD)/(入 SD+ 入 SU+ 入 DD+ 入 Du) (2)提高平安失效分数，就是提高产品的故障平安能力，也就是说，当产品出 现故障时，具有的使系统以平安的方式失效的能力提高平安失效分数的方法有 很多，最重要的就是提高诊断覆盖率，也就是用各种内部诊断的方式将可能导 致危险失效检测出来提高诊断测试到的危险失效概率在危险失效总概率中的比 例

15、。硬件故障裕度HFT和系统或者元件的结构有关。我们常见的系统或者元件 设计结构有lool, 2oo2, loo2, 2oo3, loo3, 2oo4。这种MooN结构指的是 需要总共N个通道中的M个独立通道来实现平安功能。而硬件容错能力HFT 的定义是，假如硬件容错能力是X,那么当出现X+1个危险故障时，将会导致 平安功能的丧失。所以很明显，我们可以得出在MooN结构中，硬件容错能力 的计算HFT=N-M。如表3所示。表3硬件容错能力计算表有时候，冗余的设备是为了提高过程的可用性，而不是为了提高平安性。结构lool2oo2loo22oo3loo32oo4HFT001122硬件故障裕度(Hard

16、ware fault tolerance, HFT)是指在能够正常行使平安功 能的情况下，系统结构配置能够容忍的危险失效数目。硬件故障裕度有时与冗 余配置容易混淆。硬件故障裕度和冗余不是一回事。例如，1。3, 2oo3, 3oo3的设备冗余数都是3,而它们的硬件故障裕度却分别是2, 1, Oo有时 候，冗余的设备是为了提高过程的可用性，而不是为了提高平安性。如果某个B类设备具有92%的平安失效分数，硬件故障裕度为0,根据表 2可得到它满足SIL2的要求。但一般在实际工程中，结构约束是以另一种方式 使用的。的是目标SIL水平，设备类型及其平安失效分数，要确定的是硬第14页共15页 件故障裕度。例

17、如，某A类设备的SFF为50%,平安仪表功能的目标SIL水平 为2,那么根据表3硬件裕度为1,所以该设备的子系统需要为1。2或2oo3 之类的冗余配置。13. 2. IEC 61511中的结构约束IEC 61511中要求硬件故障裕度的最低水平应该是SIL水平的函数。这就 是说以到达功能平安为目的的冗余必须与平安仪表功能的目标SIL水平相联 系。对于现场仪器仪表和非可编程逻辑控制器，其结构约束如表4所示。表4IEC61511中为现场设备规定的最小硬件故障裕度按照上表，为了到达SIL2的平安水平必须使用两个变送器，并且这两个SIL最小硬件故障裕度SIL最小硬件故障裕度1032214有特殊要求（参见

18、IEC 61508变送器只需其中一个动作就能够执行平安功能，即loo2配置。同样，对于SIL3的平安水平，必须使用三个变送器，配置为loo3。IEC61511中使用另一 张表对可编程电子逻辑控制器的结构提出要求，如表5所示。表5IEC61511中为逻辑控制器规定的最小硬件故障裕度使用此表时也需要计算平安失效分数SFFo它的使用方法和IEC 61508中 的结构约束是一样的。SIL最小硬件故障裕度SFFoSFF 为 60%至 90%SFF90%1100221033214有特殊要求（参见IEC 61508）第15页共15页图表目录表1SIL等级与故障几率的相应关系3图ISIS平安仪表系统2oo3架

19、构原理浅析7表2 IEC 61508中对A类及B类设备的结构约束13表3硬件容错能力计算表14表4IEC61511中为现场设备规定的最小硬件故障裕度15表5IEC61511中为逻辑控制器规定的最小硬件故障裕度15序言平安仪表系统SIS在设计中非常重要，那么，在设计SIS的时候，我们应 该遵循哪些原那么呢？本文重点谈论了此问题，希望对设计院的伙伴能够有所帮 助！平安仪表系统的主要作用是在工艺生产过程发生危险故障时将其自动或手 动带回到预先设计的平安状态，以确保工艺装置的生产的平安，防止重大人身 伤害及重大设备损坏事故。在平安仪表系统的设计过程中，IEC61508, IEC 61511提供了极好的

20、国际通用技术规范和参考资料。IEC于2000年5月发布 了 IEC 61508标准，2003年1月公布IEC 61511标准。这两个标准有很密切 的关系，IEC 61508标准是综合性基础标准，主要为装置的制造商和供应商使 用，IEC61511可以说是IEC61508的延续，主要针对具体的仪器仪表设计者 和用户使用。2006年，2007年等同采用IEC61508, IEC 61511的中国国家标 准GB/T20438, GB/T 21109相继发布，中国的功能平安标准开始规范我们的 功能平安工作。在平安仪表系统的设计领域，通常将IEC 61508与IEC 61511 结合使用。在平安仪表系统回

21、路设计过程中，一般需要遵循以下几点原那么。1. SIS设计的可靠性原贝IJ(平安性原那么)为了保证工艺装置的生产平安，平安仪表系统必须具备与工艺过程相适应 的平安完整性等级SIL(Safety Integrity Level)的可靠度。对此，IEC 61508进 Safety Instrument System平安完整性等级(SIL)是由给定过程中的平安系统(SIS)实施的仪器平安功能(SIF)提供的风险降低单位程度的指标。换言之，SIL可被视为平安功能可接受故障率的指标。第2页共15页 行了详细的技术规定。对于平安仪表系统，可靠性有两个含义，一个是平安仪 表系统本身的工作可靠性；另一个是平安

22、仪表系统对工艺过程认知和联锁保护 的可靠性，还应有对工艺过程测量，判断和联锁执行的高可靠性。评估平安完整性等级SIL的主要参数就是PFDavgfprobability of failure on demand平均危险故障率)，按其从高到低依次分为14级。在石化行业中一 般涉及到的只有1, 2, 3级，因为SIL4级投资大，系统复杂，一般只用于核 电行业。详细分类见表1所示。表1SIL等级与故障几率的相应关系平安低需求或平均连续运行模式(未能根据需高要求或连续操作模式(危险故障完整求执行其设计功能的概率)Low demond小时的概率)High demond or性等or continuous

23、mode of operationcontinuous mode of级averageefprobability of failure to performoperationfprobability of dangerous(SIL)its design function on demand)failure hour)410610-4210-9IO”3“0-410-3210-8vlo-72“0-3vlO - 2“0-710610-5IEC 61508对平安仪表功能所属的过程工艺定义了两种模式：低要求(Low demand)模式和高要求(High demand)模式。而IEC 61511那么称之

24、为要求模式和 连续模式。两种分类方式有着类似的含义，我们只分析低要求模式和高要求模 式。低要求模式和高要求模式定义上的区别在于，低要求模式下，平安仪表功 能每年被执行的次数少于一次，并且每个验证测试周期中不超过2次。而高要 求模式每年平安仪表功能被执行的次数超过一次，每个验证测试周期中执行次 数超过2次。通常来讲，石化化工等行业所采用的EDS, FGS, BMS等系统， 均属于低要求模式。因为正常情况下，每年平安功能被执行的次数是不会超过 一次的。当然，实际的应用过程中，有可能有些工厂的SIS系统每年动作多 次。那并不意味着它的工艺就是高要求模式，可能是由于不合理的工艺设计， 操作习惯等因素的

25、影响。那么在低要求模式和高要求模式下，SIL等级与故障几率相应的关系见表 lo可以看到，低要求模式下，SIL等级的定义是按平均每次动作发生故障的 几率(PFD)来表示。石化化工行业常见的SIL3级别，代表着每次执行平安功第3页共15页 能，发生故障的几率是10-3到io-、而在高要求模式下，SIL等级那么以每小时 发生故障的几率（PFH）来表示。SIL3级别意味着每小时发生故障的几率是10-8 到IO。而IEC 61511的要求模式和连续模式下，SIL等级也是分别用PFD和 PFH来表示，各个级别的故障几率与IEC 61508的规定相同。提高平安仪表系统的SIL等级，对平安仪表系统回路内的各个

26、局部实行冗 余是主要的手段。总体来说，检测元件的冗余原那么为：对于平安仪表系统的 SIL1回路，可采用单一的检测元件；对于平安仪表系统的S1L2回路，宜用 “loo2D”或“2oo3”冗余的检测元件；对于平安仪表系统的SIL3回路，应 采用“2oo3”冗余的检测元件。平安仪表系统控制单元的冗余原那么为：SIL1可 采用“loolD”单控制单元；SIL2宜采用“loo2D”或“2oo3”冗余控制单 元；SIL3应采用“2oo3”或“2oo4D”冗余控制单元。平安仪表系统执行机构 的冗余设置原那么为：SIL1可采用单电磁阀，单控制阀；SIL2宜采用冗余电磁 阀，单控制阀；SIL3应采用冗余电磁阀，

27、双控制阀。平安仪表冗余控制阀可以 为分别带电磁阀的两个开关阀，也可以为带电磁阀的一个调节阀和一个开关 阀。1. 1.平安系统体系lool/loo2结构当你构建一个平安系统时，可以有很多方式来安排平安系统部件。有些安 排考虑的是对成功操作有效性的最大化（可靠性或可用性）。有些安排考虑的 是防止特殊失效的发生（失效平安，失效危险）。控制系统部件的不同安排可以从它们的体系结构中看出来。这节内容将介 绍市场上几款常见的可编程电子系统（PES）的体系结构，了解它们的平安特 性，以及在平安和关键控制的应用。它们是已经在实践中存在的多种结构的代 表，真正现场使用的系统就是这些结构的不同组合。下面的内容将用N

28、选X （比方2选1）的方式：XooN来介绍系统。在每 个类型中，X代表需要执行平安功能的通道数，而N代表整个可用的通道数。. 1. 1. 1. lool单控制器带有单个逻辑解算器和单个I/O代表了一个最小化的系统。这个 系统没有提供冗余，也没有失效模式保护。电子电路可以失效平安（输出断 电，回路开路）或失效危险（输出粘连或给电，短路）。这种安排方式是典型第4页共15页 的非平安常规PLC系统结构。平安PLC的输入和常规PLC的输入接法也有区别，常规PLC的输入通常 接传感器的常开接点，而平安PLC的输入通常接传感器的常闭接点，用于提高 输入信号的快速性和可靠性。有些平安PLC输入还具有“三态功

29、能，即常开 “、常闭和“断线”三个状态，而且通过“断线”来诊断输入传感器的回路是否断 路，提高了输入信号的可靠性。另外，有些平安PLC的输出和常规的PLC的输出也有区别。常规PLC输 出信号之后，就和PLC本身失去了关联，也就是说输出后，比方说“接通”外部 继电器，继电器本身最后到底通没通，PLC并不知道，这是因为没有外部设备 的反响所致。平安PLC具有所谓“线路检测”功能，即周期性的对输出回路发送 短脉冲信号（毫秒级，并不让用电器导通）来检测回路是否断线，从而提高了 输出信号的可靠性。1. 1. 2. Ioo2两个控制器并行处理和连线可以把单个PLC危险失效的影响降到最低。为了可靠断开系统，

30、两个输出电路采用串行连接，以防止任何一个控制器 在危险的方式下失效，造成系统失效危险。loo2结构常用于两个独立逻辑解算器、并各自带有自己独立I/O的场 合。系统提供了较低的失效可能性，但它增加了失效平安断路的可能性。失效 平安断开率的增加，有助于提高流程系统的停车和机器系统的停机能力。这种结构的输入方式有两种：一种为一个传感器接到两个输入点上（可以 使用同一个模块的两个点，也可以使用两个模块的两个点，厂商推荐用户最好 采用不同机架上的两个不同模块的两个点）；一种为两个传感器或者一个传感 器的两个接点接到两个输入点，这样可以进一步提高输入信号的可靠性（传感 器冗余）。结构为两个彼此独立的系统，

31、在输出之前并没有对输入信号和运算结果进 行表决，而有些系统对输入信号和逻辑结果要进行表决，然后输出。1。2系 统的表决机制也非常特别。当两个输入都为0或1信号时，自然没有问题。 但如果出现一个为0、而一个为1,系统如何表决呢？答案是：取平安的值 做为表决的结果！那么何谓平安值？答案是：要根据具体的应用进行设置。如第5页共15页 果0为平安值，那么出现一个0和一个1时，就选择0,相当进行了一次3 选2的表决。下面再谈谈输出的接线方式问题。一般来说也有两种接法，被称为：平安 接法和冗余接法。所谓平安接法指得是：输出的两个通道进行串联后再接执行 器，逻辑关系为与，也就是说：一个通道为0”,负载就不得

32、电，这样可以确 保系统的平安性。所谓冗余接法指得是：输出的两个通道进行并联后再接执行 器，逻辑关系为或，也就是说：一个通道为1”,负载就可以获电，这样可以 提高系统的容错能力。至于采用哪种接线要根据应用的要求来决定。如果是安 全性系统，建议采用平安接法。如果是高可用性系统，建议采用冗余接法。1. 1. 3. loolD这种结构使用一个带有诊断能力的单一控制器通道，和第二个诊断通道利 用串行连接构成输出回路。典型的loolD结构。loolD的“D意思是诊断的含 义，所以被称为一选一诊断系统，功能相当于一种二选一系统。因为这种系统 的造价相对低廉，所以这种系统在平安应用中扮演了重要的角色。这种lo

33、olD 结构由一个单一逻辑解算器和一个外部的监视时钟而构成，定时器的输出与逻 辑解算器的输出进行串联接线。在更先进的系统中，内置诊断控制一个独立串联输出，当系统检测出失效 时，它会强制系统处于断开状态。诊断功能把检测到的一个危险失效转变成一 个平安失效。2. 1. 4. 1OO2Dloo2D结构包含两个独立的电路通道。输出电路可以使用不同类型的双重 开关。比方固态开关提供了常规的控制器输出，而另一个继电器由内部诊断控 制，提供了第二个常开接点开关。如果在输出通道检测到一个潜在的危险失 效，继电器触点就会断开，使输出回路断电，确保执行器处于平安状态。双重电路通道可以使用不同类型的触点实现lool

34、D结构，比方两个常开 点，或者一个常开点加一个常闭点等。后缀“D反映了系统在每个通道中，具 有更广泛和更细致的自诊断能力。第二个停机路径，就是由这个自诊断系统， 运用高级的“依据参考的方法进行系统诊断。2.2. SIS平安仪表系统2oo3架构原理浅析第6页共15页SIS平安仪表系统初始状态时全部3个通道的运行状态均为正常状态。3 个通道的4种模式的失效会导致系统离开初始状态。另外，共因失效也需要考 虑。对于两个通道存在3种组合方式：AB、AC和BC,表示3组共因失效。在 状态1, 一个通道出现检测到的平安失效。在状态2, 一个通道出现未检测到 的平安失效。在状态1和状态2,系统降级为loo2结

35、构。在状态3,说明一个 通道出现检测到的危险失效。在状态4, 一个通道出现未检测到的危险失效。 在状态3和状态4,系统降级为2oo2结构。在1、2、3、4各状态，系统尚未 失效。T樱釉站扭蚱n站9漱忤 的较件 笈赫曾运疚性 OPC lervjjrDCS/PLC授件且皑三冗余主控用M储 PM控制器| PM执 行图1 SIS平安仪表系统2003架构原理浅析SIS平安仪表系统在状态1和2系统仍处于运行状态，正常通道再次出现 平安失效将使SIS平安仪表系统平安失效，而正常通道出现危险失效将使系统 又降一级。在状态3和4,系统运行在2002配置。当出现正常通道的危险失 效，系统将会危险失效，而正常通道出

36、现平安失效也将使系统又降一级。假设 系统修理时所有的故障单元会被修复，因此，所有的修复将使系统回到状态 OoSIS平安仪表系统的2oo4D结构第7页共15页2oo4D系统是有2套独立并行运行的系统组成，通讯模块负责其同步运 行，当系统自诊断发现一个模块发生故障时，CPU将强制其失效，确保其输出 的正确性。同时，平安输出模块中SMOD功能(辅助去磁方法)，确保在两套 系统同时故障或电源故障时，系统输出一个故障平安信号。一个输出电路实际 上是通过四个输出电路及自诊断功能实现的。这样确保了系统的高可靠性，高 平安性及高可用性。HONEYWELL, HIMA的SIS系统均采用了 2oo4D结构。3.

37、SIS设计的可用性原那么可用性(也称可用度)是指平安仪表系统在一个给定的时间点能够正确执行 功能的概率。常用下面公式表示：A=MTBF/(MTBF+MDT) (1)其中：A可用性MTBE-平均无故障工作时间MDT平均停车时间要使系统可用度增加，就要增加平均无故障工作时间(MTBF),或减少平均 停车时间(MDT)。对于平安仪表系统的设计而言，不能一味的追求系统的高可 靠性，系统的可用性也需要考虑。正确的判断过程事故，可以减少装置的非正 常停车，减少开，停车造成的经济损失。为了提高系统的可用性，平安仪表系统应具有硬件和软件自诊断和测试功 能。平安仪表系统应为每个输入工艺联锁信号设置维护旁路开关，

38、方便进行在 线测试和维护同时减少因平安仪表系统系统维护造成的停车。需要注意的是用 于三选二表决方案的冗余检测元件不需要旁路，手动停车输入也不需要旁路。 同时严禁对平安仪表系统输出信号设立旁路开关，以防止误操作而导致事故发 生。如果SIL计算说明测试周期小于工艺停车周期，而对执行机构进行在线测 试时无法确保不影响工艺而导致误停车，那么平安仪表系统的设计应当根据需要 进行修改，通过提高冗余配置以延长测试周期或采用局部行程测试法，对事故 状态关闭的阀门增加手动旁通阀，对事故状态开启的阀门增加手动截止阀等措 施，以允许在线测试平安仪表系统阀门。这些手段对于提供平安仪表系统的可 用性都是很有帮助的。第8

39、页共15页SIS设计的独立性原那么平安仪表系统应独立于基本过程控制系统（BPCS,如DCS, FCS, CCS, PLC等），独立完成平安保护功能。平安仪表系统的检测元件，控制单元和执行 机构应单独设置。如果工艺要求同时进行联锁和控制的情况下，平安仪表系统 和BPCS应各自设置独立的检测元件和取源点（个别特殊情况除外，如配置三取 二检测元件，进DCS信号三取中，进平安仪表系统三取二，经过信号分配器公 用检测元件）。如需要，平安仪表系统应能通过数据通信连接以只读方式与DCS 通信，但禁止DCS通过该通信连接向平安仪表系统写信息。平安仪表系统应配 置独立的通信网络，包括独立的网络交换机，服务器，工

40、程师站等。平安仪表 系统应采用冗余电源，由独立的双路配电回路供电。应防止平安仪表系统和 BPCS的信号接线出现同一接线箱，中间接线柜和控制柜内。4. SIS设计的标准认证原那么随着平安标准的推出以及对平安系统重视度的不断提高，平安仪表系统的 认证也变得越来越重要，系统的设计思想，系统结构都须严格遵守相应国际标 准并取得权威机构的认证。平安仪表系统必须获得IEC 61508 SIL和/或TUV AK（德）相应SIL等级的认证。平安仪表系统中使用的硬件，软件和仪表必须遵 守正式版本并已商业化，同时必须获得国家有关防爆，计量，压力容器等强制 认证。严禁使用任何试验产品。5. 故障平安原那么当平安仪表系统的元件，设备，环节或能源发生故障或者失效时，系统设 计应当使工艺过程能够趋向平安运行或者平安状态。这就是系统设计的故障安 全行原那么。能否实现“故障平安”取决于工艺过程及平安仪表系统的设计。整 个SIS,包括现场仪表和执行器，都应设计成以下绝对平安形式，即：1）现场触点应开路报警，正常操作条件下闭合；2）现场执行器联锁时不带电，正常操作条件下带电。对于执行器，如切断阀，一般情况下SIS应设计成平安联锁动作时，切断 阀在平安的即失气的状态。当有多个不同的工艺回路对该切断阀有不同动作要第9页共15页