第一章安全儀表系統(tǒng)

1、目錄第一章 1.1安全儀表系統(tǒng)（SIS）21.2 SIS設(shè)計(jì)應(yīng)遵循的原則181.3 普通PLC和安全PLC的區(qū)別301.4 工藝過(guò)程風(fēng)險(xiǎn)的評(píng)估和安全完整性等級(jí)的評(píng)定331.5 SIS的相關(guān)標(biāo)準(zhǔn)及認(rèn)證361.6 取得認(rèn)證的SIS產(chǎn)品381.7 邏輯運(yùn)算的基本公式42第八章 流體輸送機(jī)組的控制43第九章 控制儀表與控制系統(tǒng)故障分析及處理70中國(guó)石油和化工自動(dòng)化應(yīng)用協(xié)會(huì)王立奉2013年10月1 安全儀表系統(tǒng)（SIS）1.1安全儀表系統(tǒng)（SIS）的定義及有關(guān)概念1.1.1 SIS定義1.1.2 IEC61508/IEC61511標(biāo)準(zhǔn)的貢獻(xiàn)1.1.3安全功能1.1.4功能安全1.1.5安全儀表功能（SI

2、F）1.1.6安全完整性（SI）及安全完整性等級(jí)（SIL）1.1.7安全生命周期與功能安全管理1.1.8 SIF子系統(tǒng)的結(jié)構(gòu)約束1.2.SIS設(shè)計(jì)應(yīng)遵循的原則1.2.1 DCS與由PES構(gòu)成的SIS的主要區(qū)別1.2.2 SIS設(shè)計(jì)應(yīng)遵循的原則1.2.3 SIS的可用性及可用度1.2.4冗余容錯(cuò)1.2.5怎樣通過(guò)冗余來(lái)改善系統(tǒng)的整體SIL水平1.2.6冗余邏輯表決方法及其安全性、可用性的關(guān)系1.3.普通PLC和安全PLC的區(qū)別1.4.工藝過(guò)程風(fēng)險(xiǎn)評(píng)估及安全完整性等級(jí)（SIL）的評(píng)定1.5.SIS的相關(guān)標(biāo)準(zhǔn)及評(píng)證1.5.1 SIS的相關(guān)標(biāo)準(zhǔn)1.5.2 SIL評(píng)證1.6.取得認(rèn)證的SIS產(chǎn)品1.7.

3、邏輯運(yùn)算的基本公式 1安全儀表系統(tǒng)（SIS）的定義及有關(guān)概念1.1 SIS的定義大多石油和化工生產(chǎn)過(guò)程具有高溫、高壓、易燃、易爆、有毒等危險(xiǎn)。當(dāng)某些工藝參數(shù)超出安全極限，未及時(shí)處理或處理不當(dāng)時(shí)，便有可能造成人員傷亡、設(shè)備損壞、周邊環(huán)境污染等惡性事故。這就是說(shuō)，從安全的角度出發(fā)，石油和化工生產(chǎn)過(guò)程自身存在著固有的風(fēng)險(xiǎn)。 SIS是一種經(jīng)專門機(jī)構(gòu)認(rèn)證，具有一定安全完整性等級(jí)，用于降低過(guò)程風(fēng)險(xiǎn)，使風(fēng)險(xiǎn)達(dá)到可接受水平（允許風(fēng)險(xiǎn)）的安全保護(hù)系統(tǒng)。它不僅能響應(yīng)生產(chǎn)過(guò)程因超出安全極限而帶來(lái)的風(fēng)險(xiǎn)，而且能檢測(cè)和處理自身的故障，從而按預(yù)定的條件或程序使生產(chǎn)過(guò)程處于安全狀態(tài)，以確保人員，設(shè)備及工廠周邊環(huán)境的安全。

4、SIS的定義如圖1-1所示圖1-1 SIS的定義SIS由檢測(cè)單元（如各類開(kāi)關(guān)、變送器等）、控制單元和執(zhí)行單元（如電磁閥、電動(dòng)門等）組成，其核心部分是控制單元。從SIS的發(fā)展過(guò)程看，其控制單元部分經(jīng)歷了電氣繼電器（Electrical）、電子固態(tài)電路（Electronic）和可編程電子系統(tǒng)（Programmable Electronic System），即E/E/PES三個(gè)階段。 圖1-1為由PES構(gòu)成的SIS系統(tǒng)。 國(guó)際電工委員會(huì)IEC61508標(biāo)準(zhǔn)中，SIS被稱為安全相關(guān)系統(tǒng)（Safety Related System），將被控對(duì)象稱為被控設(shè)備（EUC）。 IEC61511將SIS定義為用于

5、執(zhí)行一個(gè)或多個(gè)安全儀表功能（Safety Instrumented Function，SIF）的儀表系統(tǒng)。SIS是由傳感器，邏輯控制器，以及最終元件組合而成。 IEC61511又進(jìn)一步指出，SIS可以包括、也可以不包括軟件。另外，當(dāng)操作人員的手動(dòng)操作被視為SIS的有機(jī)組成部分時(shí)，必須在安全要求規(guī)格書（Safety Requirement Specification，SRS）中對(duì)人員操作動(dòng)作的有效性和可靠性做出明確規(guī)定，并包括在SIS的績(jī)效計(jì)算中。 SIS發(fā)展的三個(gè)階段 繼電器線路：可靠性很高，成本低，但是靈活性差，擴(kuò)充系統(tǒng)、增加功能不易. 固態(tài)電路：模塊化結(jié)構(gòu)，結(jié)構(gòu)緊湊，可在線檢測(cè)。易識(shí)別故障

6、，元件互換容易，可冗余配置?？煽啃圆蝗缋^電器型，操作費(fèi)用高，靈活性不夠好。 安全PLC：以微處理器為基礎(chǔ)，有專用軟件和編程語(yǔ)言，編程靈活，具有強(qiáng)大的自測(cè)試、自診斷功能，冗余配置，容錯(cuò)技術(shù)，可靠性可做的很高。SIS的進(jìn)一步發(fā)展出現(xiàn)了故障安全控制系統(tǒng)；專用的緊急停車系統(tǒng)模塊化設(shè)計(jì)，完善的自檢功能，系統(tǒng)的硬件、軟件都取得相應(yīng)等級(jí)的安全標(biāo)準(zhǔn)證書，配備有專用的程序事故記錄儀，非常安全可靠，但價(jià)格也很高。1.2 IEC61508/IEC61511標(biāo)準(zhǔn)的貢獻(xiàn)IEC61508/IEC61511標(biāo)準(zhǔn)的發(fā)布，首先將儀表系統(tǒng)的各種特定的應(yīng)用，例如ESD、F&G、ITCC、BMS、HIPPS、ATP，都統(tǒng)一到

7、SIS的概念下；其次，提出了以SIL為指針，基于績(jī)效（Performance Based）的可靠性評(píng)估標(biāo)準(zhǔn)；再者，以安全生命周期（Safety Lifecycle）的架構(gòu)，規(guī)定了各階段的技術(shù)活動(dòng)和功能安全管理活動(dòng)。這樣，SIS的應(yīng)用形成了一套完整的體系，包括：設(shè)計(jì)理念和設(shè)計(jì)方法、儀表設(shè)備選型準(zhǔn)入原則（基于經(jīng)驗(yàn)使用和IEC61508符合性認(rèn)證）、系統(tǒng)硬件配置和軟件組態(tài)編程規(guī)則、系統(tǒng)集成、安裝和調(diào)試、運(yùn)行和維護(hù)，以及功能安全評(píng)估和審計(jì)等。 大體上，安全儀表系統(tǒng)的應(yīng)用和發(fā)展，圍繞著兩大主題安全功能（Safety Function）和功能安全（Functional Safety）。IEC61508/I

8、EC61511為實(shí)現(xiàn)安全儀表系統(tǒng)的功能安全，建立了兩大體系技術(shù)體系和功能安全管理體系。1.3“安全功能”IEC61508將“安全功能”定義為：為了應(yīng)對(duì)特定的危險(xiǎn)事件（如災(zāi)難性的可燃性氣體釋放），由電氣、電子、可編程電子安全相關(guān)系統(tǒng)，其他技術(shù)安全相關(guān)系統(tǒng)，或外部風(fēng)險(xiǎn)降低措施實(shí)施的功能，期望達(dá)到或保持被控設(shè)備（Equipment Under Control，EUC）處于安全狀態(tài)。上述定義表明：安全功能的執(zhí)行，并不局限于電氣或電子安全儀表系統(tǒng)，還包括其他技術(shù)（如氣動(dòng)、液動(dòng)、機(jī)械等技術(shù)）及外部風(fēng)險(xiǎn)降低措施（如儲(chǔ)罐的外部防護(hù)堤堰）。因此，研究安全功能要綜合考慮各種技術(shù)或措施的共同影響：安全功能是著眼于應(yīng)

9、對(duì)特定的危險(xiǎn)事件，也就是說(shuō)，安全功能有其針對(duì)性?？梢?jiàn)，安全功能是泛指各種風(fēng)險(xiǎn)降低措施執(zhí)行的功能，SIF是由SIS執(zhí)行的安全功能。1.4“功能安全” IEC61508將功能安全定義為：與EUC和EUC控制系統(tǒng)有關(guān)的、整體安全的一部分，取決于電氣、電子、可編程電子安全相關(guān)系統(tǒng)，其他技術(shù)安全相關(guān)系統(tǒng)和外部風(fēng)險(xiǎn)降低措施機(jī)制的正確施行。 IEC61511將功能安全定義為：與工藝過(guò)程和BPCS有關(guān)的、整天安全的一部分，取決于SIS（安全儀表系統(tǒng)）和其他保護(hù)層機(jī)能的正確施行。 就安全儀表系統(tǒng)而言，功能安全探討的是系統(tǒng)本身的績(jī)效問(wèn)題，即SIS在實(shí)現(xiàn)其安全功能時(shí)，能夠降低風(fēng)險(xiǎn)的能力。因此，功能安全成為SIS設(shè)計(jì)

10、和運(yùn)行管理的核心問(wèn)題之一。1.5安全儀表功能（SIF） SIF，即由SIS執(zhí)行的安全功能，物理結(jié)構(gòu)上由傳感器、邏輯控制器，以及最終執(zhí)行元件組成，如圖1-2所示。 不過(guò)SIF的最基本特征是“應(yīng)對(duì)特定的危險(xiǎn)事件”并實(shí)現(xiàn)必要的風(fēng)險(xiǎn)降低。圖1-2 SIF示例SIF是在過(guò)程危險(xiǎn)分析及風(fēng)險(xiǎn)評(píng)估中辨識(shí)出來(lái)的，并根據(jù)必要的風(fēng)險(xiǎn)降低要求，確定其SIL要求。因此，SIF是進(jìn)行SIL評(píng)估的基礎(chǔ)。圖1-3表示一個(gè)SIF的實(shí)例。在這個(gè)SIF中，操作人員的手動(dòng)動(dòng)作也可以成為SIF的一部分。在這種情況下，評(píng)估SIF的風(fēng)險(xiǎn)投資降低績(jī)效水平，要將人工的失效概率考慮在內(nèi)。圖1-3 包含操作員手動(dòng)動(dòng)作的SIFPAH壓力高報(bào)警；HS

11、手動(dòng)開(kāi)關(guān)（或按鈕）在IEC61508/IEC61511標(biāo)準(zhǔn)中，不再使用“聯(lián)鎖一詞”，而改用“E/F/PE安全功能”或者“安全儀表功能”。 “安全連鎖”與“安全儀表功能”有大致相同的含義，不過(guò)“安全儀表功能有更明確的界定”：由SIS實(shí)現(xiàn)的安全功能。用于特定危險(xiǎn)事件的風(fēng)險(xiǎn)降低。有明確的績(jī)效或安全完整性（SIL）要求。需要注意的是，SIF在物理上由傳感器、邏輯控制器，以及最終執(zhí)行元件構(gòu)成，為什么采用“安全儀表功能”這一相對(duì)抽象的名稱呢？這是因?yàn)樵谖ｋU(xiǎn)和風(fēng)險(xiǎn)分析以及安全保護(hù)層分配階段，安全是從工藝過(guò)程的風(fēng)險(xiǎn)降低要求角度，辨識(shí)并確定需要的安全功能要求和它績(jī)效要求（安全完整性要求），此時(shí)還沒(méi)有到SIS設(shè)備

12、選型階段，也就是說(shuō)，關(guān)注的是“要求”，而非如何實(shí)現(xiàn)這一“要求”。1.6安全完整性（SI）及安全完整性等級(jí)（SIL） 1.6.1安全完整性（SI）SIS執(zhí)行安全功能時(shí)的績(jī)效或可能達(dá)到的功能安全水平，采用安全完整性（Safety Integrity）來(lái)表征。安全完整性定義為：在規(guī)定的狀態(tài)和時(shí)間周期內(nèi)，SIS圓滿完成所要求的安全功能的概率。安全完整性包括硬件安全完整性（Hardware Safety Integrity），軟件安全完整性（software Safety Integrity），以及系統(tǒng)安全完整性（Systematic Safety Integrity）。硬件安全完整性用于表征在危險(xiǎn)失效

13、模式（Dangerous Failure Mode）下，隨機(jī)硬件失效（Random Hardware Failure）的可能性。隨機(jī)硬件失效是指系統(tǒng)在正常使用狀態(tài)下，在某個(gè)時(shí)間點(diǎn)，一個(gè)或多個(gè)元件隨機(jī)出現(xiàn)故障（Fault），依據(jù)硬件內(nèi)可能的降級(jí)機(jī)制（Degradation Mechanism），導(dǎo)致發(fā)生某種功能的失效。通過(guò)對(duì)系統(tǒng)的失效模式及其影響進(jìn)行分析（Failure Modes and Effects Analysis，F(xiàn)MEA），借助于有效的失效率數(shù)據(jù)，可以對(duì)硬件的安全完整性進(jìn)行評(píng)估計(jì)算，并且可以準(zhǔn)確到合理的水平。另外，可以通過(guò)采用冗余結(jié)構(gòu)（Redundant Architectures）

14、設(shè)計(jì)等措施，有效提高硬件的安全完整性。軟件安全完整性用于表征可編程電子系統(tǒng)中的軟件，在規(guī)定的狀態(tài)和時(shí)間周期內(nèi)，實(shí)現(xiàn)其安全功能的可能性。系統(tǒng)性安全完整性用于表征在危險(xiǎn)失效模式下系統(tǒng)性失效。導(dǎo)致系統(tǒng)性失效發(fā)生的典型因素包括：系統(tǒng)設(shè)計(jì)錯(cuò)誤或缺陷，不當(dāng)?shù)陌惭b、調(diào)試，不當(dāng)?shù)牟僮?，缺乏維護(hù)管理，以及軟件設(shè)計(jì)漏洞和組態(tài)缺陷等。系統(tǒng)性失效在很大程度上都是人為失誤造成的，要準(zhǔn)確地計(jì)算評(píng)估其失效率非常困難，因此，IEC61508/IEC61511都強(qiáng)調(diào)在安全生命周期的架構(gòu)下，通過(guò)有效的功能安全管理，來(lái)提高系統(tǒng)性安全完整性。1.6.2安全完整性等級(jí)（SIL） 1.6.2.1隱故障與顯故障隱故障（Covert Fau

15、lt）：不對(duì)危險(xiǎn)產(chǎn)生報(bào)警，允許危險(xiǎn)發(fā)展的故障，是故障危險(xiǎn)故障（SHB-Z06-1999）。Covert Fault：Fault that can be classified as hidden，concealed，undetected，unrevealed，latent，ect.（ISA-S84-1996） 顯故障（Overt Fault）：能顯示出故障自身存在的故障，是故障安全故障（SHB-Z06-1999）。Overt Fault：Fault that can be classified as announced,detected,revealed,ect.( ISA-S84-1996)1

16、.6.2.2安全性及響應(yīng)失效率當(dāng)工藝條件達(dá)到或超過(guò)安全極限值時(shí)，SIS本應(yīng)引導(dǎo)工藝過(guò)程停車，但由于其自身存在隱故障（危險(xiǎn)故障）而不能響應(yīng)此要求，即該停車而拒停，降低了安全性。衡量安全性的指標(biāo)為響應(yīng)失效率或稱要求時(shí)故障率（PFD：Probability of Failure on Demand）。它是SIS系統(tǒng)按要求執(zhí)行指定功能的故障概率。是度量SIS系統(tǒng)按要求模式工作故障率的目標(biāo)值（SHB-Z06-1999）不同的工業(yè)過(guò)程（如生產(chǎn)規(guī)模、原料和產(chǎn)品種類、工藝和設(shè)備的復(fù)雜程度等）對(duì)安全的要求是不同的。IEC61511標(biāo)準(zhǔn)將其劃分為若干安全完整性等級(jí)（SIL：Safety Integrity Lev

17、el）。 SIL和PFD的對(duì)應(yīng)關(guān)系見(jiàn)表1-2。表1-2 SIL和PLD的對(duì)應(yīng)關(guān)系ISA-S84.01IEC 61508DIN V19520（TUV）PFDSIL1SIL1AK110-110-2AK2AK3SIL2SIL2AK410-210-3SIL3SIL3AK510-310-4AK6SIL4AK710-410-5AK81.6.2.3 SIL安全完整性等級(jí)SIL安全完整性反映了SIS執(zhí)行SIF時(shí)，在規(guī)定的狀態(tài)和時(shí)間周期內(nèi)，圓滿完成SIF的績(jī)效能力和可靠性水平。在ANSI/ISA-84.01-1996中，將安全完整性等級(jí)（SIL）定義為SIL1到SIL3共三個(gè)等級(jí)，其中SIL3最高，SIL1最低

18、。IEC61508將SIL定義為四個(gè)等級(jí)，即SIL1到SIL4。IEC51511作為IEC61508在過(guò)程工業(yè)領(lǐng)域的分支標(biāo)準(zhǔn)，保持了SIL1到SIL4的四個(gè)等級(jí)劃分，不過(guò)，除了極罕見(jiàn)的特殊應(yīng)用，在過(guò)程工業(yè)一般的應(yīng)用場(chǎng)合，SIL3是其最高級(jí)。在工程實(shí)踐中，當(dāng)過(guò)程危險(xiǎn)和風(fēng)險(xiǎn)分析確認(rèn)需要SIL3以上的安全完整性時(shí)，一般是將應(yīng)對(duì)同一危險(xiǎn)事件的其他技術(shù)安全系統(tǒng)或外部風(fēng)險(xiǎn)降低的績(jī)效提高，從而將對(duì)SIF的SIL要求降低到SIL3或以下。IEC61508/IEC61511依據(jù)不同的操作模式，用不同的技術(shù)指標(biāo)劃分SIL等級(jí)。IEC61511將安全儀表功能的操作模式劃分為：“要求操作模式”（Demand Mode

19、 of Operation）和“連續(xù)操作模式”（Continuous Mode of Operation）。安全完整性等級(jí)對(duì)要求操作模式下的失效概率要求見(jiàn)表1-1。表1-1 安全完整性等級(jí)對(duì)要求操作模式下的失效概率要求要求操作模式安全完整性等級(jí)（SIL）要求時(shí)平均失效概率（PFDavg）目標(biāo)風(fēng)險(xiǎn)降低410-5到10-4>10，000到100，000310-4到10-3>1000到10,000210-3到10-2>100到1000110-2到10-1>10到1001.7 安全生命周期與功能安全管理安全生命周期如圖1-4所示：圖1-4 SIS安全生命周期（IEC61511）

20、功能安全標(biāo)準(zhǔn)ANSI/ISA-84.01-1996、IEC61508及IEC61511,都是以安全生命周期（Safety Lifecycle，SLC）為架構(gòu)的。SLC為SIS工程從概念、設(shè)計(jì)、實(shí)施、操作、維護(hù)及系統(tǒng)改善等實(shí)踐活動(dòng)，提供了全程的行動(dòng)指南，從而保證功能安全，實(shí)現(xiàn)過(guò)程風(fēng)險(xiǎn)降低的目標(biāo)要求。采用SLC架構(gòu)，一方面明確了參與SIS工程的所有組織和人員的責(zé)任；另一方面，便于將功能安全管理的要求納入到各個(gè)階段。IEC61511將SLC定義為：從SIS工程項(xiàng)目的概念階段開(kāi)始，到所有的安全儀表功能使命終結(jié)不再使用，在其全部時(shí)間周期內(nèi)，為執(zhí)行安全儀表功能所有涉及到的必要活動(dòng)。 IEC61511的SI

21、S SLC階段和功能安全評(píng)估節(jié)點(diǎn)如圖1-4所示。SIS的整個(gè)安全生命周期可分為分析、工程實(shí)施，以及操作維護(hù)三個(gè)大的階段。1.7.1分析階段，要辨識(shí)工藝過(guò)程的潛在危險(xiǎn)，并對(duì)其他后果和可能性進(jìn)行分析，以便確定過(guò)程風(fēng)險(xiǎn)及必要的風(fēng)險(xiǎn)降低要求。分析階段的主體是最終用戶、專利商、設(shè)計(jì)院，甚至還包括過(guò)程危險(xiǎn)分析（PHA）專業(yè)咨詢機(jī)構(gòu)。1.7.2工程實(shí)施階段的主體是設(shè)計(jì)院，SIS供貨商、安裝公司和最終用戶。SIS的供貨商要依據(jù)SRS的要求提供SIS系統(tǒng)。完成完全邏輯控制器（Logic Solver）的硬件配置、軟件組態(tài)以及系統(tǒng)集成；完成操作和維護(hù)人員的培訓(xùn)；完成SIS的安裝和現(xiàn)場(chǎng)調(diào)試，以及SIS的安全驗(yàn)證（S

22、afety Validation）。1.7.3操作運(yùn)行階段在整個(gè)安全生命周期中時(shí)間區(qū)間最長(zhǎng)，包括操作和維護(hù)、修改（變更改造），和SIS的停用。操作運(yùn)行階段的主體是最終用戶。功能安全管理貫穿于整個(gè)SLC。功能安全管理是過(guò)程安全管理（Process Safety Management，PSM）的一部分，也應(yīng)納入SIS工程項(xiàng)目管理和質(zhì)量保證體系中。功能安全管理涉及SLC各階段相關(guān)組織和人員的責(zé)任、人員的能力、活動(dòng)的計(jì)劃與控制、文檔管理等方面。典型的功能安全管理活動(dòng)包括：確認(rèn)（Verification）、驗(yàn)證（Validation）、功能安全評(píng)估（Functional Safety Assessmen

23、t）及審計(jì)（Audit）。1.8 SIF子系統(tǒng)的結(jié)構(gòu)約束所謂結(jié)構(gòu)約束，實(shí)質(zhì)上是指SIS子系統(tǒng)或設(shè)備的容錯(cuò)（Fault Tolerance）能力對(duì)所能達(dá)到的SIL水平的限制。也就是說(shuō)SIF要達(dá)到一定的安全完整性效能SIL要求，也就必須在結(jié)構(gòu)上達(dá)到一定的硬件故障裕度（Hardware Fault Tolerance HFT），要滿足一定的硬件容錯(cuò)能力，如需冗余等等。SIL石油傳感器、邏輯控制器，以及最終執(zhí)行元件組成的 ，其SIL等級(jí)除了應(yīng)符合（PFDavg）計(jì)算值外，它所能達(dá)到的最大硬件安全完整性等級(jí)，受限于這些子系統(tǒng)（傳感器、邏輯控制器、以及最終元件）相應(yīng)的最低硬件故障裕度（Hardware F

24、ault Tolerance，HFT）要求。也就是說(shuō)，不論其聲稱的可靠性多高，從硬件結(jié)構(gòu)上限制了所能達(dá)到的SIL，這就是IEC61508中提出的結(jié)構(gòu)約束（Architectural Constraints）。子系統(tǒng)的硬件故障裕度為N，表示當(dāng)該子系統(tǒng)存在N+1個(gè)故障時(shí)，將會(huì)導(dǎo)致其安全功能的喪失。在確定硬件故障裕度時(shí)，并不考慮是否有控制該故障影響的其他措施，例如診斷（不過(guò)，診斷能力影響安全失效分?jǐn)?shù)）。另外，當(dāng)另一個(gè)故障直接導(dǎo)致一個(gè)或多個(gè)后續(xù)故障時(shí)，這些后果要視為是同一個(gè)單一故障。2 SIS設(shè)計(jì)應(yīng)遵循的原則2.1 DCS與由PES構(gòu)成的SIS的主要區(qū)別DCSESD構(gòu)成不含檢測(cè)、執(zhí)行含檢測(cè)、執(zhí)行單元作

25、用（功能）使生產(chǎn)過(guò)程在正常工況乃至最佳工況下運(yùn)行超限安全停車工件動(dòng)態(tài)、連續(xù)靜態(tài)、間斷安全級(jí)別低、不需認(rèn)證高、需認(rèn)證安全儀表系統(tǒng)（SIS）與DCS系統(tǒng)的區(qū)別表現(xiàn)在：DCS系統(tǒng)的平均無(wú)故障時(shí)間（MTBF）已經(jīng)足夠強(qiáng)大，故障的平均修復(fù)時(shí)間（MTTR）已足夠小。應(yīng)該說(shuō)，DCS系統(tǒng)已具備了很高的系統(tǒng)可用性，控制、聯(lián)鎖一體化是可能的。硬件的部件層層冗余配置，系統(tǒng)的可靠性有了很大提高。但要注意的是DCS軟件的可靠性，軟件故障難以預(yù)測(cè)，其危害性 超過(guò)硬件故障。DCS可以執(zhí)行聯(lián)鎖功能，問(wèn)題是如何來(lái)滿足生產(chǎn)裝置的高安全要求。DCS系統(tǒng)主要用來(lái)進(jìn)行連續(xù)控制，它隨時(shí)都會(huì)有大量的信息。要分析處理及頻繁地進(jìn)行人工干預(yù)，這

26、樣邏輯控制單元誤觸發(fā)的概率較大。而ESD系統(tǒng)則是一個(gè)靜態(tài)系統(tǒng)，出現(xiàn)異常事件才會(huì)動(dòng)作。DCS系統(tǒng)處理信息多，通信系統(tǒng)復(fù)雜，出現(xiàn)通信系統(tǒng)故障的可能性較大。SIS系統(tǒng)動(dòng)作執(zhí)行要求快速，DCS系統(tǒng)執(zhí)行相對(duì)較慢。因此，國(guó)際上有些協(xié)會(huì)對(duì)重要的、安全性要求高的裝置則要求單獨(dú)設(shè)置ESD系統(tǒng)。重要場(chǎng)合指的是：可能危及生命安全；可能引起設(shè)備重大破壞；可能引起環(huán)境明顯污染；可能造成重大經(jīng)濟(jì)損失。對(duì)于一般性的非安全相關(guān)的工藝過(guò)程聯(lián)鎖程序，為了節(jié)省費(fèi)用，可以在DCS系統(tǒng)內(nèi)實(shí)行。對(duì)安全保護(hù)有高要求的聯(lián)鎖停車安全控制系統(tǒng)則應(yīng)獨(dú)立設(shè)置?，F(xiàn)在有不少?gòu)S商推出了專用的故障安全控制系統(tǒng)，這些系統(tǒng)特點(diǎn)如下。 故障發(fā)生后，有足夠時(shí)間進(jìn)行

27、故障檢測(cè)，發(fā)出警報(bào)，排除故障。 采用容錯(cuò)技術(shù)，將被動(dòng)故障轉(zhuǎn)為主動(dòng)故障。 采用冗余配置，實(shí)施故障隔離。 模塊化設(shè)計(jì)。 完善的自檢功能。 系統(tǒng)硬、軟件具有相應(yīng)的安全等級(jí)認(rèn)證。 配備事故記錄儀。 故障安全型設(shè)計(jì)。 能與DCS系統(tǒng)通信。2.2 SIS設(shè)計(jì)應(yīng)遵循的原則2.2.1 獨(dú)立設(shè)置原則： 邏輯單元獨(dú)立設(shè)置； 現(xiàn)場(chǎng)檢測(cè)單元獨(dú)立設(shè)置； 執(zhí)行元件獨(dú)立設(shè)置（專用的緊急切斷閥，不用調(diào)節(jié)切斷閥來(lái)代替）。2.2.2 中間環(huán)節(jié)最少原則。2.2.3 關(guān)鍵單元采用冗余容錯(cuò)結(jié)構(gòu)結(jié)構(gòu)配置原則： 檢測(cè)元件的二取二方式或三取二方式設(shè)置； 邏輯單元如安全PLC的CPU、過(guò)程輸入/輸出單元； 供電、通信的冗余配置。2.2.4 故

28、障安全型原則系統(tǒng)設(shè)計(jì)： 現(xiàn)場(chǎng)檢測(cè)元件接點(diǎn)選用常閉接點(diǎn)。工藝正常時(shí)，觸點(diǎn)閉合；達(dá)到安全極限時(shí)，觸點(diǎn)斷開(kāi)，觸發(fā)聯(lián)鎖動(dòng)作。 執(zhí)行元件電磁閥正常通電方式，聯(lián)鎖動(dòng)作時(shí)斷電。 通往電氣配電室用以開(kāi)/停電機(jī)的接點(diǎn)，用中間繼電器隔離，其勵(lì)磁電路應(yīng)為故障安全型。2.2.5 其他： 安全控制要求高的生產(chǎn)裝置應(yīng)選擇專門的冗余、容錯(cuò)緊急停車系統(tǒng)。 采用熱電偶，熱電阻輸入時(shí)，應(yīng)有斷線保護(hù)設(shè)計(jì)。斷線報(bào)警，避免產(chǎn)生誤動(dòng)作。 采用電磁閥應(yīng)具有高可靠性，避免誤動(dòng)作。 事故切斷閥停電時(shí)應(yīng)保持安全狀態(tài)位置。 事故切斷閥應(yīng)配回訊開(kāi)關(guān)，確認(rèn)閥門位置。 根據(jù)工藝操作要求，確定切斷閥開(kāi)關(guān)速度。 重要的切斷閥應(yīng)備用儲(chǔ)氣罐，以備氣源事故用。

29、在粉塵、腐蝕性、粘稠介質(zhì)場(chǎng)合應(yīng)選擇帶隔離的發(fā)訊開(kāi)關(guān)。 切斷閥供氣管室采用塑料管，以便火災(zāi)等情況下失氣，實(shí)現(xiàn)安全功能?？傊收习踩瓌t是： 組成SIS的各環(huán)節(jié)自身出現(xiàn)故障的改良版不可能為零，且供電、供氣中斷亦可能發(fā)生。當(dāng)內(nèi)部或外部原因使SIS失效時(shí)，被保護(hù)的對(duì)象（裝置）應(yīng)按預(yù)定的順序安全停車，自動(dòng)轉(zhuǎn)入安全狀態(tài)（Fault to Safety），這就是故障安全原則。作為控制裝置（如安全PLC）“故障安全”意味著當(dāng)其自身出現(xiàn)故障而不是工藝或設(shè)備超過(guò)極限工作范圍時(shí)，至少應(yīng)該聯(lián)鎖動(dòng)作，以便按預(yù)定的順序安全停車（這對(duì)工藝和設(shè)備而言是安全的）；進(jìn)而應(yīng)通過(guò)硬件和軟件的冗余和容錯(cuò)技術(shù)，在過(guò)程安全時(shí)間（PST

30、Process Safety Time）內(nèi)檢測(cè)到故障，自動(dòng)執(zhí)行糾錯(cuò)程序，排除故障。2.2.6 系統(tǒng)軟件設(shè)計(jì)應(yīng)考慮： 輸入信號(hào)掃描速度應(yīng)快于軟件的掃描周期，否則會(huì)發(fā)生丟失信號(hào)，使系統(tǒng)穩(wěn)定性變差。 不允許相同的線圈輸出重復(fù)定義。 軟件編寫盡量短小，過(guò)長(zhǎng)會(huì)增加系統(tǒng)的掃描時(shí)間，使系統(tǒng)的實(shí)時(shí)性變差。2.3 SIS的可用性及可用度2.3.1 可用度表達(dá)式 工藝條件并未達(dá)到安全極限值，SIS不應(yīng)引導(dǎo)工藝過(guò)程停車，但由于其自身存在顯故障（安全故障）而導(dǎo)致工藝過(guò)程停車，即不該停車而誤停車，降低了可用性。 可用度（A:Availability）是指系統(tǒng)可使用工作時(shí)間的概率，用百分?jǐn)?shù)計(jì)算：A=MTBF/(MTBF+

31、MDT)(SHB-Z06-1999) MTBF：平均故障間隔空間（Mean Time Between Failures）MDT：平均停車時(shí)間（Mean Downtime）2.3.2 MTBF（平均故障間隔時(shí)間） MTBF：平均故障間隔時(shí)間（Mean Time Between Failures）MTTR：平均恢復(fù)時(shí)間（Mean Time to Repair） MTTF：平均無(wú)故障時(shí)間（Mean Time to Failure） 例如：圖2-1 MTTF、MTTR和MTBF2.3.3 PFD計(jì)算舉例 MTTF=MTTR+MTBFPFD=MTTR/(MTBF+MTTR)已知 MTTR=24H MTB

32、F=2000H則 PFD=24/(24+2000)=0.0119所以硬件安全完整性等級(jí)達(dá)到SIL1水平2.4 冗余、容錯(cuò)冗余（Redundant）：具有指定的獨(dú)立的N:1重元件，并且可以自動(dòng)地檢測(cè)故障，切換到后備設(shè)備上。（SHB-Z06-1999）冗余系統(tǒng)（Rwdundant System）：并行地使用多個(gè)系統(tǒng)部件，以提供錯(cuò)誤檢測(cè)和錯(cuò)誤校正能力的系統(tǒng)。（SHB-Z06-1999）容錯(cuò)（Fault Tolerant）：具有內(nèi)部冗余的并行元件和集成邏輯，當(dāng)硬件或軟件部分故障時(shí)，能夠識(shí)別故障并使故障旁路，進(jìn)而繼續(xù)執(zhí)行指定的功能，或在硬件和軟件發(fā)生故障的情況下，系統(tǒng)仍具有繼續(xù)運(yùn)行的能力。它往往包括三方

33、面的功能：第一是約束故障，即限制過(guò)程或進(jìn)程的動(dòng)作，以防止在錯(cuò)誤被檢測(cè)出來(lái)之前繼續(xù)擴(kuò)大；第二是檢測(cè)故障，即對(duì)信息和過(guò)程或進(jìn)程的動(dòng)作進(jìn)行動(dòng)態(tài)監(jiān)測(cè)；第三是故障恢復(fù)即更換或修正失效的部件。（SHB-Z06-1999）容錯(cuò)系統(tǒng)（Fault Tolerant System）：具有容錯(cuò)結(jié)構(gòu)的硬件和軟件系統(tǒng)。（SHB-Z06-1999）總之，通過(guò)冗余和故障屏蔽的結(jié)合來(lái)實(shí)現(xiàn)容錯(cuò)。容錯(cuò)系統(tǒng)一定是冗余系統(tǒng)，冗余系統(tǒng)不一定是容錯(cuò)系統(tǒng)。容錯(cuò)系統(tǒng)的冗余形式有雙重、三重、四重等。圖2-2表示CPU冗余（雙機(jī)熱備）系統(tǒng)。CPU2CPU1 開(kāi)關(guān)輸入/輸出現(xiàn)場(chǎng)設(shè)備圖2-2 CPU冗余（雙機(jī)熱備）熱備CPU時(shí)刻處于開(kāi)機(jī)狀態(tài)，同主機(jī)

34、保持同步，當(dāng)主CPU失靈時(shí)，可以隨時(shí)切換到備用CPU工作。圖2-3三重信號(hào)冗余容錯(cuò)系統(tǒng)圖信號(hào)三重冗余系統(tǒng)提供3條獨(dú)立的信號(hào)通道，并對(duì)輸出進(jìn)行3選2表決，如圖2-3所示。輸出信號(hào)由3選2表決器提供，并可在故障發(fā)生時(shí)復(fù)原為2取1表決或2取2表決結(jié)構(gòu)，比較適用于危險(xiǎn)工業(yè)的過(guò)程保護(hù)。但為了提高系統(tǒng)輸入到輸出的響應(yīng)時(shí)間，系統(tǒng)單元需要定期地協(xié)調(diào)同步。假設(shè)每個(gè)單元的響應(yīng)時(shí)間為10ms，則最壞情況下三重冗余系統(tǒng)（沒(méi)有同步）的響應(yīng)時(shí)間可能為20ms。在對(duì)數(shù)字化模擬信號(hào)進(jìn)行表決時(shí)，其響應(yīng)時(shí)間的可預(yù)測(cè)性顯得特別重要。總之，信號(hào)三重冗余提供了較大程度上的容錯(cuò)性能，但它對(duì)變化的系統(tǒng)顯得仍不夠靈活。圖2-4 模塊三重冗余

35、（TMR）系統(tǒng)圖模塊三重冗余（TMR）系統(tǒng)是使用3個(gè)相互隔離的并行主處理器控制系統(tǒng)，并帶有擴(kuò)展的診斷作用綜合而成的一套硬件，結(jié)構(gòu)如圖2-4所示。系統(tǒng)每掃描一次，3個(gè)主處理器均 通過(guò)3條總線與其相鄰的2個(gè)主處理器進(jìn)行通訊，達(dá)到同步。同時(shí)3條I/O總線可對(duì)其數(shù)據(jù)進(jìn)行比較，并表決出有效數(shù)據(jù)，系統(tǒng)內(nèi)的表決器選取原則為3取2.瞬態(tài)的數(shù)據(jù)錯(cuò)誤和單元的失效不會(huì)對(duì)控制系統(tǒng)造成影響。這樣，單點(diǎn)的錯(cuò)誤就不會(huì)影響控制系統(tǒng)的操作。2.5 怎樣通過(guò)冗余來(lái)改善系統(tǒng)的整體SIL水平當(dāng)一個(gè)SIS系統(tǒng)的安全完整性等級(jí)要求為SIL3，而實(shí)際配置為傳感器2.2*10-3（SIL2），邏輯解算器為1.3*10-4（SIL3）（包括I

36、/O接口），終端執(zhí)行器為2.41*10-3（SIL2），所以整個(gè)系統(tǒng)為SIL2不滿足要求。于是我們改變傳感器的配置結(jié)構(gòu)，選擇1oo2冗余，其中共因失效=10%，診斷覆蓋率（DC）90%，可以算出1oo2傳感器的結(jié)構(gòu)的PFD2.3*10-4，達(dá)到SIL3的水平，同理可以配置執(zhí)行器為1oo2冗余結(jié)構(gòu)，也可達(dá)到SIL3的要求，于是最終整體SIS系統(tǒng)的SIL可以達(dá)到SIL3的要求。這個(gè)問(wèn)題的解決給我們以啟示，當(dāng)裝置引進(jìn)一個(gè)SIS系統(tǒng)時(shí)，整體安全完整性等級(jí)不僅取決于邏輯解算器部分，而且傳感器、終端執(zhí)行器部分也非常關(guān)鍵。配置系統(tǒng)時(shí)，除了引進(jìn)一個(gè)SIL3的安全儀表系統(tǒng)控制器，譬如FSC等，還要將傳感器、終端

37、執(zhí)行器一并討論。求出針對(duì)SIS系統(tǒng)的SIL等級(jí)，定量的安全儀表系統(tǒng)配置任務(wù)才算完成。2.6 冗余邏輯表決方法及其安全性、可用性的關(guān)系可用性（A:Availability）是指系統(tǒng)可使用工作時(shí)間（連續(xù)運(yùn)行時(shí)間）的概率，用百分?jǐn)?shù)計(jì)算A值越大，可用性越好：A=MTBF/(MTBF+MTTR)而PFD=MTTR/(MTBF+MTTR)PFD越小則安全性越好。冗余邏輯表決方法及安全性、可用性的關(guān)系例子如2-1表所示。以上可見(jiàn)：隱故障（危險(xiǎn)故障）使SIS該動(dòng)而拒動(dòng)，隱故障概率越高，安全性越差。顯故障（安全故障）使ESD不該動(dòng)而誤動(dòng)，顯故障概率越高，可用性越差。1oo2（二選一）安全性最好，但可用性最差；2

38、oo2（二選二）可用性最好，但安全性最差；2oo3（三選二）可兼顧表2-1冗余邏輯的表決方法及其與安全性、可用性的關(guān)系3 普通PLC和安全PLC的區(qū)別普通PLC和可以作為ESD控制部分的安全PLC的主要區(qū)別是：普通PLC不是按故障安全型設(shè)計(jì)的，當(dāng)系統(tǒng)內(nèi)部元件出現(xiàn)短路故障時(shí)，它并不能檢測(cè)到，因此其輸出狀態(tài)不能保證系統(tǒng)回到預(yù)定的安全狀態(tài)。這種PLC只能用于安全完整性等級(jí)要求低的場(chǎng)合?，F(xiàn)以輸出電路為例予以說(shuō)明。圖3-1是普通PLC DO卡示意圖圖3-1普通PLC DO卡示意圖當(dāng)1、2兩點(diǎn)短路時(shí)，來(lái)自PLC的控制信號(hào)將不起作用（失效），電磁閥將一直處于帶電（勵(lì)磁）狀態(tài)，即需要聯(lián)鎖動(dòng)作（電磁閥釋電停車）

39、時(shí)，由于此故障的存在而拒動(dòng)，其輸出不能保證處于安全停車狀態(tài)。這就是違背了故障安全（Fault to Safety）的原則。當(dāng)1、2兩點(diǎn)開(kāi)路時(shí)，將導(dǎo)致誤動(dòng)作而停車，同樣會(huì)帶來(lái)?yè)p失?？梢?jiàn)，這種普通PLC的DO卡輸出電路安全性和可用性都是不高的。圖3-2所示為一種帶有安全性單容錯(cuò)的DO卡示意圖（它是Honeywell SMS FSC-101型輸出示意圖）。圖3-2 安全性單容錯(cuò)DO卡示意圖這里，中央處理器不僅向串聯(lián)的場(chǎng)效應(yīng)管（FET）發(fā)出控制信號(hào)，而且還接受來(lái)自場(chǎng)效應(yīng)管的狀態(tài)反饋信號(hào)，以便對(duì)其輸出進(jìn)行全面測(cè)試。當(dāng)測(cè)得某管輸出發(fā)生短路時(shí)，中央處理器即啟動(dòng)糾錯(cuò)動(dòng)作，隔離相關(guān)的故障。看門狗（Watch D

40、og）是個(gè)多通道的設(shè)計(jì)器電路。它由中央處理器和內(nèi)存等周期性觸發(fā)，如果兩個(gè)觸發(fā)之間的時(shí)間小于某設(shè)定值或者大于某最大值，則看門狗的輸出將失效。同時(shí)看門狗還能監(jiān)視內(nèi)部工作電壓，使之在正常的電壓范圍內(nèi)。以上僅是DO卡上的區(qū)別。作為安全PLC的安全邏輯控制器，至少應(yīng)具備以下幾點(diǎn)： 系統(tǒng)必須有極高的可靠性，通過(guò)冗余等措施避免整個(gè)系統(tǒng)的功能失效； 如果出現(xiàn)某種失效狀態(tài)，它必須是以可預(yù)見(jiàn)的、安全的方式出現(xiàn)； 它強(qiáng)調(diào)內(nèi)部診斷，通過(guò)硬件和軟件的有機(jī)結(jié)合，對(duì)檢測(cè)出系統(tǒng)的異常運(yùn)行狀態(tài)，做出針對(duì)性的處理，如報(bào)警、隔離、切除，甚至安全關(guān)停； 在系統(tǒng)研發(fā)時(shí)，采用失效模式、影響和診斷分析（Failure Modes，Effe

41、cts and Diagnostic Analysis，F(xiàn)MEDA）技術(shù)，確定系統(tǒng)中的每個(gè)部件將會(huì)出現(xiàn)怎樣的失效，以及系統(tǒng)如何檢測(cè)、應(yīng)對(duì)這些失效，保證能夠檢測(cè)出99%以上的內(nèi)部元器件潛在的危險(xiǎn)失效； 要采用一系列的專門技術(shù)確保軟件的可靠性，并保證通過(guò)其數(shù)字通信端口進(jìn)行讀寫操作的私密安全（Security）； 安全邏輯控制器與常規(guī)PLC的不同，還體現(xiàn)在必須通過(guò)第三方的權(quán)威認(rèn)證，例如，德國(guó)TÜV的認(rèn)證，以便滿足國(guó)際功能安全標(biāo)準(zhǔn)嚴(yán)格的安全和可靠性要求； 與外部第三方設(shè)備的 通信接口，應(yīng)具有強(qiáng)大的“讀寫保護(hù)”能力（防火墻）。防止數(shù)據(jù)風(fēng)暴和DOS攻擊，只允許正常的數(shù)據(jù)訪問(wèn)。同時(shí)不允許 通過(guò)外部

42、通信鏈路直接訪問(wèn)它的I/O卡； SOE、在線修改（On-line Modification）、人機(jī)接口（HMI）對(duì)系統(tǒng)不同層次訪問(wèn)的私密性（Security）和對(duì)應(yīng)用程序更改的記錄追蹤（Audit Trail）等，都是安全系統(tǒng)設(shè)計(jì)和應(yīng)用的重要功能。4 工藝過(guò)程風(fēng)險(xiǎn)的評(píng)估和安全完整性等級(jí)的評(píng)定不同的工藝過(guò)程（生產(chǎn)規(guī)模、原料和產(chǎn)品的種類、工藝和設(shè)備的復(fù)雜程度等）對(duì)安全的要求是不同的。一個(gè)具體的工藝過(guò)程，是否需要配置SIS、配置何種等級(jí)的SIS，其前提應(yīng)該是對(duì)此具體的工藝過(guò)程進(jìn)行風(fēng)險(xiǎn)評(píng)估，要進(jìn)行危險(xiǎn)及可操作性分析（HAZOP），然后辨識(shí)出與此分析相應(yīng)的安全儀表功能（SIF），（找到一個(gè)安全儀表連鎖回

43、路），再根據(jù)風(fēng)險(xiǎn)出現(xiàn)的頻率和其產(chǎn)生的嚴(yán)重后果，找到一個(gè)與此SIF相應(yīng)的SIL值，在確定了某個(gè)安全儀表功能的完整性等級(jí)（SIL）之后，再配置與之相適應(yīng)的SIS。表1-3可以看出，若某工藝過(guò)程所需SIF經(jīng)評(píng)定后為SIF2，則配置相應(yīng)的硬件即可，其響應(yīng)失效率（PFD）為百分之一至千分之一之間。應(yīng)該注意的是不同安全級(jí)別的SIS，只能確保響應(yīng)失效率（PFD）在一定的范圍內(nèi)，安全級(jí)別越高的SIS，其PFD越小，即發(fā)生事故的可能性越小，但它不能改變事故造成的后果。因此，工藝過(guò)程安全完整性等級(jí)的評(píng)定是一項(xiàng)十分重要的工作。國(guó)際、國(guó)外標(biāo)準(zhǔn)提供了某些評(píng)定方法。下面介紹的風(fēng)險(xiǎn)矩陣（RISK MATRIX）評(píng)估方法可供

44、參考。這種方法以工藝過(guò)程事故出現(xiàn)的頻率（可能性）及其危害程度（嚴(yán)重性）為風(fēng)險(xiǎn)評(píng)估的指標(biāo)，并對(duì)頻率和危害程度人為量化為若干級(jí)，作出矩陣表（見(jiàn)表4-1）。以此確定工藝過(guò)程安全完整性等級(jí)。表4-1中頻率分級(jí)年限（多少年出現(xiàn)一次）。表4-1 風(fēng)險(xiǎn)矩陣SIL評(píng)估是在HAZOP分析的基礎(chǔ)上，確定SIS的安全功能和合理的SIL指標(biāo)，以實(shí)現(xiàn)安全和成本的最佳平衡。不同的SIL等級(jí)，為用戶單位的管理、人員配備、操作規(guī)程和維護(hù)周期等提出不同的要求。SIL選擇的定性的方法有風(fēng)險(xiǎn)矩陣和風(fēng)險(xiǎn)圖，定量方法則有故障樹，LOPA等。本文 主要介紹風(fēng)險(xiǎn)矩陣法。其方法如下：1）根據(jù)國(guó)際慣例及企業(yè)相關(guān)標(biāo)準(zhǔn)確定過(guò)程可接受風(fēng)險(xiǎn)；2）根據(jù)

45、用戶單位相關(guān)要求確定風(fēng)險(xiǎn)矩陣的兩大參數(shù)：后果嚴(yán)重性和要求率，并將其定量描述在工作組會(huì)議上進(jìn)行討論，以取得來(lái)自現(xiàn)場(chǎng)和各方專家的一致認(rèn)同；3）結(jié)合可接受風(fēng)險(xiǎn)，根據(jù)國(guó)際標(biāo)準(zhǔn)IEC61511確定兩大參數(shù)（后果嚴(yán)重性和要求率）的各種組合所對(duì)應(yīng)的SIL，建立用戶單位認(rèn)可的風(fēng)險(xiǎn)評(píng)價(jià)矩陣表；4）根據(jù)HAZOP分析結(jié)果辨識(shí)出需要由安全儀表系統(tǒng)實(shí)現(xiàn)的安全儀表功能；5）選取一個(gè)待分析的安全儀表功能；6）根據(jù)現(xiàn)場(chǎng)調(diào)研、現(xiàn)場(chǎng)人員經(jīng)驗(yàn)及用戶單位相關(guān)的安全評(píng)價(jià)資料估算該安全儀表功能要求的動(dòng)作率及拒動(dòng)后果嚴(yán)重性；7）依據(jù)風(fēng)險(xiǎn)評(píng)價(jià)矩陣表選定該儀表功能所需達(dá)到的PIL（人身安全完整性等級(jí)）、AIL（經(jīng)濟(jì)安全完整性等級(jí)）、EIL（

46、環(huán)境安全完整性等級(jí)）、RIL（聲譽(yù)安全網(wǎng)整形等級(jí)），并確定該系統(tǒng)必須達(dá)到的綜合的安全完整性等級(jí)（SIL）；8）進(jìn)入下一個(gè)安全儀表功能的SIL分析；9）系統(tǒng)最終的SIL值應(yīng)選擇PIL、AIL、EIL、RIL中最高值，作為最終SIL指標(biāo)。5 SIS的相關(guān)標(biāo)準(zhǔn)及認(rèn)證5.1 SIS的相關(guān)標(biāo)準(zhǔn) 鑒于SIS涉及到人員、設(shè)備、環(huán)境的安全、因此各國(guó)均制定了相關(guān)的標(biāo)準(zhǔn)、規(guī)范，使得SIS的設(shè)計(jì)、制造、使用均有章可循。并有權(quán)威的認(rèn)證機(jī)構(gòu)對(duì)產(chǎn)品能達(dá)到的安全等級(jí)進(jìn)行確認(rèn)。這些標(biāo)準(zhǔn)、規(guī)范及認(rèn)證機(jī)構(gòu)主要有： 我國(guó)石化集團(tuán)制定的行業(yè)標(biāo)準(zhǔn)SHB-Z06-1999 石油化工緊急停車及安全聯(lián)鎖系統(tǒng)設(shè)計(jì)導(dǎo)則。 GB/T-50770-

47、2013 “石油化工安全儀表系統(tǒng)設(shè)計(jì)規(guī)范” GB/T-20438.1-7-2006 等同于采用IEC61508國(guó)際標(biāo)準(zhǔn)，即電氣/電子/可編程電子安全相關(guān)系統(tǒng)功能安全標(biāo)準(zhǔn) GB/T-21109.1-3-2007 等同于采用IEC61511國(guó)際標(biāo)準(zhǔn)過(guò)程工業(yè)領(lǐng)域安全儀表系統(tǒng)功能安全標(biāo)準(zhǔn) IEC61508電氣/電子可編程電子安全相關(guān)系統(tǒng)的功能安全標(biāo)準(zhǔn) IEC61511過(guò)程工業(yè)領(lǐng)域安全儀表系統(tǒng)的功能安全標(biāo)準(zhǔn) 美國(guó)儀表學(xué)會(huì)制定的ISA-S84.01-1996 安全儀表系統(tǒng)在過(guò)程工業(yè)中的應(yīng)用 美國(guó)化學(xué)工程學(xué)會(huì)制定的AICHE（ccps）-1993，化學(xué)過(guò)程的安全自動(dòng)化導(dǎo)則 英國(guó)健康與安全執(zhí)委會(huì)制定的HSE

48、PES-1987，可編程電子系統(tǒng)在安全領(lǐng)域的應(yīng)用 德國(guó)國(guó)家標(biāo)準(zhǔn)中有安全系統(tǒng)制造廠商標(biāo)準(zhǔn)-DIN V VDE 0801、過(guò)程操作用戶標(biāo)準(zhǔn)-DIN V 19250和DIN V 19251、燃燒管理系統(tǒng)標(biāo)準(zhǔn)-DIN VDE 0116等德國(guó)技術(shù)監(jiān)督協(xié)會(huì)（TÜV）是一個(gè)獨(dú)立的、權(quán)威的認(rèn)證機(jī)構(gòu)，它按照德國(guó)國(guó)家標(biāo)準(zhǔn)（DIN），將ESD所達(dá)到的安全等級(jí)分為AK1AK8，AK8安全級(jí)別最高。其中AK4、AK5、AK6為適用于石油和化學(xué)工業(yè)應(yīng)用所要求的等級(jí)。5.2 SIL認(rèn)證SIL認(rèn)證就是基于IEC61508，IEC61511，IEC61513，IEC13849-1，IEC62061，IEC61800-5-2等標(biāo)準(zhǔn)，對(duì)安全設(shè)備的安全完整性等級(jí)（SIL或者性能等級(jí)（PL）進(jìn)行評(píng)估和確認(rèn)的一種第三方評(píng)估、驗(yàn)證和認(rèn)證。功能安全認(rèn)證主要涉及針對(duì)安全設(shè)備開(kāi)發(fā)流程的文檔管理（FSM）評(píng)估，硬件可靠性計(jì)算和評(píng)估、軟件評(píng)估、環(huán)境試驗(yàn)、EMC電磁兼容性測(cè)試等內(nèi)容。SIL認(rèn)證一共分4個(gè)等級(jí)SIL1、SIL2、SIL3、SIL4,包括對(duì)產(chǎn)品和對(duì)系統(tǒng)兩個(gè)層次。其中，以SIL4的要求最高。6 取得認(rèn)證的SIS產(chǎn)品 ABB產(chǎn)品August CS 386/CS-300E， TÜV Ak6認(rèn)證，2003結(jié)構(gòu)方式，掃描速度10ms。Safeguard 1400 滿足SIL3，AK5/AK6采用1002D結(jié)構(gòu)方式