第一章安全儀表系統(tǒng)

1、目錄第一章 1.1安全儀表系統(tǒng)（SIS）21.2 SIS設(shè)計(jì)應(yīng)遵循的原則181.3 普通PLC和安全PLC的區(qū)別301.4 工藝過程風(fēng)險(xiǎn)的評估和安全完整性等級的評定331.5 SIS的相關(guān)標(biāo)準(zhǔn)及認(rèn)證361.6 取得認(rèn)證的SIS產(chǎn)品381.7 邏輯運(yùn)算的基本公式42第八章 流體輸送機(jī)組的控制43第九章 控制儀表與控制系統(tǒng)故障分析及處理70中國石油和化工自動(dòng)化應(yīng)用協(xié)會(huì)王立奉2013年10月1 安全儀表系統(tǒng)（SIS）1.1安全儀表系統(tǒng)（SIS）的定義及有關(guān)概念1.1.1 SIS定義1.1.2 IEC61508/IEC61511標(biāo)準(zhǔn)的貢獻(xiàn)1.1.3安全功能1.1.4功能安全1.1.5安全儀表功能（SI

2、F）1.1.6安全完整性（SI）及安全完整性等級（SIL）1.1.7安全生命周期與功能安全管理1.1.8 SIF子系統(tǒng)的結(jié)構(gòu)約束1.2.SIS設(shè)計(jì)應(yīng)遵循的原則1.2.1 DCS與由PES構(gòu)成的SIS的主要區(qū)別1.2.2 SIS設(shè)計(jì)應(yīng)遵循的原則1.2.3 SIS的可用性及可用度1.2.4冗余容錯(cuò)1.2.5怎樣通過冗余來改善系統(tǒng)的整體SIL水平1.2.6冗余邏輯表決方法及其安全性、可用性的關(guān)系1.3.普通PLC和安全PLC的區(qū)別1.4.工藝過程風(fēng)險(xiǎn)評估及安全完整性等級（SIL）的評定1.5.SIS的相關(guān)標(biāo)準(zhǔn)及評證1.5.1 SIS的相關(guān)標(biāo)準(zhǔn)1.5.2 SIL評證1.6.取得認(rèn)證的SIS產(chǎn)品1.7.

3、邏輯運(yùn)算的基本公式 1安全儀表系統(tǒng)（SIS）的定義及有關(guān)概念1.1 SIS的定義大多石油和化工生產(chǎn)過程具有高溫、高壓、易燃、易爆、有毒等危險(xiǎn)。當(dāng)某些工藝參數(shù)超出安全極限，未及時(shí)處理或處理不當(dāng)時(shí)，便有可能造成人員傷亡、設(shè)備損壞、周邊環(huán)境污染等惡性事故。這就是說，從安全的角度出發(fā)，石油和化工生產(chǎn)過程自身存在著固有的風(fēng)險(xiǎn)。 SIS是一種經(jīng)專門機(jī)構(gòu)認(rèn)證，具有一定安全完整性等級，用于降低過程風(fēng)險(xiǎn)，使風(fēng)險(xiǎn)達(dá)到可接受水平（允許風(fēng)險(xiǎn)）的安全保護(hù)系統(tǒng)。它不僅能響應(yīng)生產(chǎn)過程因超出安全極限而帶來的風(fēng)險(xiǎn)，而且能檢測和處理自身的故障，從而按預(yù)定的條件或程序使生產(chǎn)過程處于安全狀態(tài)，以確保人員，設(shè)備及工廠周邊環(huán)境的安全。

4、SIS的定義如圖1-1所示圖1-1 SIS的定義SIS由檢測單元（如各類開關(guān)、變送器等）、控制單元和執(zhí)行單元（如電磁閥、電動(dòng)門等）組成，其核心部分是控制單元。從SIS的發(fā)展過程看，其控制單元部分經(jīng)歷了電氣繼電器（Electrical）、電子固態(tài)電路（Electronic）和可編程電子系統(tǒng)（Programmable Electronic System），即E/E/PES三個(gè)階段。 圖1-1為由PES構(gòu)成的SIS系統(tǒng)。 國際電工委員會(huì)IEC61508標(biāo)準(zhǔn)中，SIS被稱為安全相關(guān)系統(tǒng)（Safety Related System），將被控對象稱為被控設(shè)備（EUC）。 IEC61511將SIS定義為用于

5、執(zhí)行一個(gè)或多個(gè)安全儀表功能（Safety Instrumented Function，SIF）的儀表系統(tǒng)。SIS是由傳感器，邏輯控制器，以及最終元件組合而成。 IEC61511又進(jìn)一步指出，SIS可以包括、也可以不包括軟件。另外，當(dāng)操作人員的手動(dòng)操作被視為SIS的有機(jī)組成部分時(shí)，必須在安全要求規(guī)格書（Safety Requirement Specification，SRS）中對人員操作動(dòng)作的有效性和可靠性做出明確規(guī)定，并包括在SIS的績效計(jì)算中。 SIS發(fā)展的三個(gè)階段 繼電器線路：可靠性很高，成本低，但是靈活性差，擴(kuò)充系統(tǒng)、增加功能不易. 固態(tài)電路：模塊化結(jié)構(gòu)，結(jié)構(gòu)緊湊，可在線檢測。易識別故障

6、，元件互換容易，可冗余配置?？煽啃圆蝗缋^電器型，操作費(fèi)用高，靈活性不夠好。 安全PLC：以微處理器為基礎(chǔ)，有專用軟件和編程語言，編程靈活，具有強(qiáng)大的自測試、自診斷功能，冗余配置，容錯(cuò)技術(shù)，可靠性可做的很高。SIS的進(jìn)一步發(fā)展出現(xiàn)了故障安全控制系統(tǒng)；專用的緊急停車系統(tǒng)模塊化設(shè)計(jì)，完善的自檢功能，系統(tǒng)的硬件、軟件都取得相應(yīng)等級的安全標(biāo)準(zhǔn)證書，配備有專用的程序事故記錄儀，非常安全可靠，但價(jià)格也很高。1.2 IEC61508/IEC61511標(biāo)準(zhǔn)的貢獻(xiàn)IEC61508/IEC61511標(biāo)準(zhǔn)的發(fā)布，首先將儀表系統(tǒng)的各種特定的應(yīng)用，例如ESD、F&G、ITCC、BMS、HIPPS、ATP，都統(tǒng)一到

7、SIS的概念下；其次，提出了以SIL為指針，基于績效（Performance Based）的可靠性評估標(biāo)準(zhǔn)；再者，以安全生命周期（Safety Lifecycle）的架構(gòu)，規(guī)定了各階段的技術(shù)活動(dòng)和功能安全管理活動(dòng)。這樣，SIS的應(yīng)用形成了一套完整的體系，包括：設(shè)計(jì)理念和設(shè)計(jì)方法、儀表設(shè)備選型準(zhǔn)入原則（基于經(jīng)驗(yàn)使用和IEC61508符合性認(rèn)證）、系統(tǒng)硬件配置和軟件組態(tài)編程規(guī)則、系統(tǒng)集成、安裝和調(diào)試、運(yùn)行和維護(hù)，以及功能安全評估和審計(jì)等。 大體上，安全儀表系統(tǒng)的應(yīng)用和發(fā)展，圍繞著兩大主題安全功能（Safety Function）和功能安全（Functional Safety）。IEC61508/I

8、EC61511為實(shí)現(xiàn)安全儀表系統(tǒng)的功能安全，建立了兩大體系技術(shù)體系和功能安全管理體系。1.3“安全功能”IEC61508將“安全功能”定義為：為了應(yīng)對特定的危險(xiǎn)事件（如災(zāi)難性的可燃性氣體釋放），由電氣、電子、可編程電子安全相關(guān)系統(tǒng)，其他技術(shù)安全相關(guān)系統(tǒng)，或外部風(fēng)險(xiǎn)降低措施實(shí)施的功能，期望達(dá)到或保持被控設(shè)備（Equipment Under Control，EUC）處于安全狀態(tài)。上述定義表明：安全功能的執(zhí)行，并不局限于電氣或電子安全儀表系統(tǒng)，還包括其他技術(shù)（如氣動(dòng)、液動(dòng)、機(jī)械等技術(shù)）及外部風(fēng)險(xiǎn)降低措施（如儲(chǔ)罐的外部防護(hù)堤堰）。因此，研究安全功能要綜合考慮各種技術(shù)或措施的共同影響：安全功能是著眼于應(yīng)

9、對特定的危險(xiǎn)事件，也就是說，安全功能有其針對性?？梢?，安全功能是泛指各種風(fēng)險(xiǎn)降低措施執(zhí)行的功能，SIF是由SIS執(zhí)行的安全功能。1.4“功能安全” IEC61508將功能安全定義為：與EUC和EUC控制系統(tǒng)有關(guān)的、整體安全的一部分，取決于電氣、電子、可編程電子安全相關(guān)系統(tǒng)，其他技術(shù)安全相關(guān)系統(tǒng)和外部風(fēng)險(xiǎn)降低措施機(jī)制的正確施行。 IEC61511將功能安全定義為：與工藝過程和BPCS有關(guān)的、整天安全的一部分，取決于SIS（安全儀表系統(tǒng)）和其他保護(hù)層機(jī)能的正確施行。 就安全儀表系統(tǒng)而言，功能安全探討的是系統(tǒng)本身的績效問題，即SIS在實(shí)現(xiàn)其安全功能時(shí)，能夠降低風(fēng)險(xiǎn)的能力。因此，功能安全成為SIS設(shè)計(jì)

10、和運(yùn)行管理的核心問題之一。1.5安全儀表功能（SIF） SIF，即由SIS執(zhí)行的安全功能，物理結(jié)構(gòu)上由傳感器、邏輯控制器，以及最終執(zhí)行元件組成，如圖1-2所示。 不過SIF的最基本特征是“應(yīng)對特定的危險(xiǎn)事件”并實(shí)現(xiàn)必要的風(fēng)險(xiǎn)降低。圖1-2 SIF示例SIF是在過程危險(xiǎn)分析及風(fēng)險(xiǎn)評估中辨識出來的，并根據(jù)必要的風(fēng)險(xiǎn)降低要求，確定其SIL要求。因此，SIF是進(jìn)行SIL評估的基礎(chǔ)。圖1-3表示一個(gè)SIF的實(shí)例。在這個(gè)SIF中，操作人員的手動(dòng)動(dòng)作也可以成為SIF的一部分。在這種情況下，評估SIF的風(fēng)險(xiǎn)投資降低績效水平，要將人工的失效概率考慮在內(nèi)。圖1-3 包含操作員手動(dòng)動(dòng)作的SIFPAH壓力高報(bào)警；HS

11、手動(dòng)開關(guān)（或按鈕）在IEC61508/IEC61511標(biāo)準(zhǔn)中，不再使用“聯(lián)鎖一詞”，而改用“E/F/PE安全功能”或者“安全儀表功能”。 “安全連鎖”與“安全儀表功能”有大致相同的含義，不過“安全儀表功能有更明確的界定”：由SIS實(shí)現(xiàn)的安全功能。用于特定危險(xiǎn)事件的風(fēng)險(xiǎn)降低。有明確的績效或安全完整性（SIL）要求。需要注意的是，SIF在物理上由傳感器、邏輯控制器，以及最終執(zhí)行元件構(gòu)成，為什么采用“安全儀表功能”這一相對抽象的名稱呢？這是因?yàn)樵谖ｋU(xiǎn)和風(fēng)險(xiǎn)分析以及安全保護(hù)層分配階段，安全是從工藝過程的風(fēng)險(xiǎn)降低要求角度，辨識并確定需要的安全功能要求和它績效要求（安全完整性要求），此時(shí)還沒有到SIS設(shè)備

12、選型階段，也就是說，關(guān)注的是“要求”，而非如何實(shí)現(xiàn)這一“要求”。1.6安全完整性（SI）及安全完整性等級（SIL） 1.6.1安全完整性（SI）SIS執(zhí)行安全功能時(shí)的績效或可能達(dá)到的功能安全水平，采用安全完整性（Safety Integrity）來表征。安全完整性定義為：在規(guī)定的狀態(tài)和時(shí)間周期內(nèi)，SIS圓滿完成所要求的安全功能的概率。安全完整性包括硬件安全完整性（Hardware Safety Integrity），軟件安全完整性（software Safety Integrity），以及系統(tǒng)安全完整性（Systematic Safety Integrity）。硬件安全完整性用于表征在危險(xiǎn)失效

13、模式（Dangerous Failure Mode）下，隨機(jī)硬件失效（Random Hardware Failure）的可能性。隨機(jī)硬件失效是指系統(tǒng)在正常使用狀態(tài)下，在某個(gè)時(shí)間點(diǎn)，一個(gè)或多個(gè)元件隨機(jī)出現(xiàn)故障（Fault），依據(jù)硬件內(nèi)可能的降級機(jī)制（Degradation Mechanism），導(dǎo)致發(fā)生某種功能的失效。通過對系統(tǒng)的失效模式及其影響進(jìn)行分析（Failure Modes and Effects Analysis，F(xiàn)MEA），借助于有效的失效率數(shù)據(jù)，可以對硬件的安全完整性進(jìn)行評估計(jì)算，并且可以準(zhǔn)確到合理的水平。另外，可以通過采用冗余結(jié)構(gòu)（Redundant Architectures）

14、設(shè)計(jì)等措施，有效提高硬件的安全完整性。軟件安全完整性用于表征可編程電子系統(tǒng)中的軟件，在規(guī)定的狀態(tài)和時(shí)間周期內(nèi)，實(shí)現(xiàn)其安全功能的可能性。系統(tǒng)性安全完整性用于表征在危險(xiǎn)失效模式下系統(tǒng)性失效。導(dǎo)致系統(tǒng)性失效發(fā)生的典型因素包括：系統(tǒng)設(shè)計(jì)錯(cuò)誤或缺陷，不當(dāng)?shù)陌惭b、調(diào)試，不當(dāng)?shù)牟僮?，缺乏維護(hù)管理，以及軟件設(shè)計(jì)漏洞和組態(tài)缺陷等。系統(tǒng)性失效在很大程度上都是人為失誤造成的，要準(zhǔn)確地計(jì)算評估其失效率非常困難，因此，IEC61508/IEC61511都強(qiáng)調(diào)在安全生命周期的架構(gòu)下，通過有效的功能安全管理，來提高系統(tǒng)性安全完整性。1.6.2安全完整性等級（SIL） 1.6.2.1隱故障與顯故障隱故障（Covert Fau

15、lt）：不對危險(xiǎn)產(chǎn)生報(bào)警，允許危險(xiǎn)發(fā)展的故障，是故障危險(xiǎn)故障（SHB-Z06-1999）。Covert Fault：Fault that can be classified as hidden，concealed，undetected，unrevealed，latent，ect.（ISA-S84-1996） 顯故障（Overt Fault）：能顯示出故障自身存在的故障，是故障安全故障（SHB-Z06-1999）。Overt Fault：Fault that can be classified as announced,detected,revealed,ect.( ISA-S84-1996)1

16、.6.2.2安全性及響應(yīng)失效率當(dāng)工藝條件達(dá)到或超過安全極限值時(shí)，SIS本應(yīng)引導(dǎo)工藝過程停車，但由于其自身存在隱故障（危險(xiǎn)故障）而不能響應(yīng)此要求，即該停車而拒停，降低了安全性。衡量安全性的指標(biāo)為響應(yīng)失效率或稱要求時(shí)故障率（PFD：Probability of Failure on Demand）。它是SIS系統(tǒng)按要求執(zhí)行指定功能的故障概率。是度量SIS系統(tǒng)按要求模式工作故障率的目標(biāo)值（SHB-Z06-1999）不同的工業(yè)過程（如生產(chǎn)規(guī)模、原料和產(chǎn)品種類、工藝和設(shè)備的復(fù)雜程度等）對安全的要求是不同的。IEC61511標(biāo)準(zhǔn)將其劃分為若干安全完整性等級（SIL：Safety Integrity Lev

17、el）。 SIL和PFD的對應(yīng)關(guān)系見表1-2。表1-2 SIL和PLD的對應(yīng)關(guān)系ISA-S84.01IEC 61508DIN V19520（TUV）PFDSIL1SIL1AK110-110-2AK2AK3SIL2SIL2AK410-210-3SIL3SIL3AK510-310-4AK6SIL4AK710-410-5AK81.6.2.3 SIL安全完整性等級SIL安全完整性反映了SIS執(zhí)行SIF時(shí)，在規(guī)定的狀態(tài)和時(shí)間周期內(nèi)，圓滿完成SIF的績效能力和可靠性水平。在ANSI/ISA-84.01-1996中，將安全完整性等級（SIL）定義為SIL1到SIL3共三個(gè)等級，其中SIL3最高，SIL1最低

18、。IEC61508將SIL定義為四個(gè)等級，即SIL1到SIL4。IEC51511作為IEC61508在過程工業(yè)領(lǐng)域的分支標(biāo)準(zhǔn)，保持了SIL1到SIL4的四個(gè)等級劃分，不過，除了極罕見的特殊應(yīng)用，在過程工業(yè)一般的應(yīng)用場合，SIL3是其最高級。在工程實(shí)踐中，當(dāng)過程危險(xiǎn)和風(fēng)險(xiǎn)分析確認(rèn)需要SIL3以上的安全完整性時(shí)，一般是將應(yīng)對同一危險(xiǎn)事件的其他技術(shù)安全系統(tǒng)或外部風(fēng)險(xiǎn)降低的績效提高，從而將對SIF的SIL要求降低到SIL3或以下。IEC61508/IEC61511依據(jù)不同的操作模式，用不同的技術(shù)指標(biāo)劃分SIL等級。IEC61511將安全儀表功能的操作模式劃分為：“要求操作模式”（Demand Mode

19、 of Operation）和“連續(xù)操作模式”（Continuous Mode of Operation）。安全完整性等級對要求操作模式下的失效概率要求見表1-1。表1-1 安全完整性等級對要求操作模式下的失效概率要求要求操作模式安全完整性等級（SIL）要求時(shí)平均失效概率（PFDavg）目標(biāo)風(fēng)險(xiǎn)降低410-5到10-4>10，000到100，000310-4到10-3>1000到10,000210-3到10-2>100到1000110-2到10-1>10到1001.7 安全生命周期與功能安全管理安全生命周期如圖1-4所示：圖1-4 SIS安全生命周期（IEC61511）

20、功能安全標(biāo)準(zhǔn)ANSI/ISA-84.01-1996、IEC61508及IEC61511,都是以安全生命周期（Safety Lifecycle，SLC）為架構(gòu)的。SLC為SIS工程從概念、設(shè)計(jì)、實(shí)施、操作、維護(hù)及系統(tǒng)改善等實(shí)踐活動(dòng)，提供了全程的行動(dòng)指南，從而保證功能安全，實(shí)現(xiàn)過程風(fēng)險(xiǎn)降低的目標(biāo)要求。采用SLC架構(gòu)，一方面明確了參與SIS工程的所有組織和人員的責(zé)任；另一方面，便于將功能安全管理的要求納入到各個(gè)階段。IEC61511將SLC定義為：從SIS工程項(xiàng)目的概念階段開始，到所有的安全儀表功能使命終結(jié)不再使用，在其全部時(shí)間周期內(nèi)，為執(zhí)行安全儀表功能所有涉及到的必要活動(dòng)。 IEC61511的SI

21、S SLC階段和功能安全評估節(jié)點(diǎn)如圖1-4所示。SIS的整個(gè)安全生命周期可分為分析、工程實(shí)施，以及操作維護(hù)三個(gè)大的階段。1.7.1分析階段，要辨識工藝過程的潛在危險(xiǎn)，并對其他后果和可能性進(jìn)行分析，以便確定過程風(fēng)險(xiǎn)及必要的風(fēng)險(xiǎn)降低要求。分析階段的主體是最終用戶、專利商、設(shè)計(jì)院，甚至還包括過程危險(xiǎn)分析（PHA）專業(yè)咨詢機(jī)構(gòu)。1.7.2工程實(shí)施階段的主體是設(shè)計(jì)院，SIS供貨商、安裝公司和最終用戶。SIS的供貨商要依據(jù)SRS的要求提供SIS系統(tǒng)。完成完全邏輯控制器（Logic Solver）的硬件配置、軟件組態(tài)以及系統(tǒng)集成；完成操作和維護(hù)人員的培訓(xùn)；完成SIS的安裝和現(xiàn)場調(diào)試，以及SIS的安全驗(yàn)證（S

22、afety Validation）。1.7.3操作運(yùn)行階段在整個(gè)安全生命周期中時(shí)間區(qū)間最長，包括操作和維護(hù)、修改（變更改造），和SIS的停用。操作運(yùn)行階段的主體是最終用戶。功能安全管理貫穿于整個(gè)SLC。功能安全管理是過程安全管理（Process Safety Management，PSM）的一部分，也應(yīng)納入SIS工程項(xiàng)目管理和質(zhì)量保證體系中。功能安全管理涉及SLC各階段相關(guān)組織和人員的責(zé)任、人員的能力、活動(dòng)的計(jì)劃與控制、文檔管理等方面。典型的功能安全管理活動(dòng)包括：確認(rèn)（Verification）、驗(yàn)證（Validation）、功能安全評估（Functional Safety Assessmen

23、t）及審計(jì)（Audit）。1.8 SIF子系統(tǒng)的結(jié)構(gòu)約束所謂結(jié)構(gòu)約束，實(shí)質(zhì)上是指SIS子系統(tǒng)或設(shè)備的容錯(cuò)（Fault Tolerance）能力對所能達(dá)到的SIL水平的限制。也就是說SIF要達(dá)到一定的安全完整性效能SIL要求，也就必須在結(jié)構(gòu)上達(dá)到一定的硬件故障裕度（Hardware Fault Tolerance HFT），要滿足一定的硬件容錯(cuò)能力，如需冗余等等。SIL石油傳感器、邏輯控制器，以及最終執(zhí)行元件組成的 ，其SIL等級除了應(yīng)符合（PFDavg）計(jì)算值外，它所能達(dá)到的最大硬件安全完整性等級，受限于這些子系統(tǒng)（傳感器、邏輯控制器、以及最終元件）相應(yīng)的最低硬件故障裕度（Hardware F

24、ault Tolerance，HFT）要求。也就是說，不論其聲稱的可靠性多高，從硬件結(jié)構(gòu)上限制了所能達(dá)到的SIL，這就是IEC61508中提出的結(jié)構(gòu)約束（Architectural Constraints）。子系統(tǒng)的硬件故障裕度為N，表示當(dāng)該子系統(tǒng)存在N+1個(gè)故障時(shí)，將會(huì)導(dǎo)致其安全功能的喪失。在確定硬件故障裕度時(shí)，并不考慮是否有控制該故障影響的其他措施，例如診斷（不過，診斷能力影響安全失效分?jǐn)?shù)）。另外，當(dāng)另一個(gè)故障直接導(dǎo)致一個(gè)或多個(gè)后續(xù)故障時(shí)，這些后果要視為是同一個(gè)單一故障。2 SIS設(shè)計(jì)應(yīng)遵循的原則2.1 DCS與由PES構(gòu)成的SIS的主要區(qū)別DCSESD構(gòu)成不含檢測、執(zhí)行含檢測、執(zhí)行單元作

25、用（功能）使生產(chǎn)過程在正常工況乃至最佳工況下運(yùn)行超限安全停車工件動(dòng)態(tài)、連續(xù)靜態(tài)、間斷安全級別低、不需認(rèn)證高、需認(rèn)證安全儀表系統(tǒng)（SIS）與DCS系統(tǒng)的區(qū)別表現(xiàn)在：DCS系統(tǒng)的平均無故障時(shí)間（MTBF）已經(jīng)足夠強(qiáng)大，故障的平均修復(fù)時(shí)間（MTTR）已足夠小。應(yīng)該說，DCS系統(tǒng)已具備了很高的系統(tǒng)可用性，控制、聯(lián)鎖一體化是可能的。硬件的部件層層冗余配置，系統(tǒng)的可靠性有了很大提高。但要注意的是DCS軟件的可靠性，軟件故障難以預(yù)測，其危害性 超過硬件故障。DCS可以執(zhí)行聯(lián)鎖功能，問題是如何來滿足生產(chǎn)裝置的高安全要求。DCS系統(tǒng)主要用來進(jìn)行連續(xù)控制，它隨時(shí)都會(huì)有大量的信息。要分析處理及頻繁地進(jìn)行人工干預(yù)，這

26、樣邏輯控制單元誤觸發(fā)的概率較大。而ESD系統(tǒng)則是一個(gè)靜態(tài)系統(tǒng)，出現(xiàn)異常事件才會(huì)動(dòng)作。DCS系統(tǒng)處理信息多，通信系統(tǒng)復(fù)雜，出現(xiàn)通信系統(tǒng)故障的可能性較大。SIS系統(tǒng)動(dòng)作執(zhí)行要求快速，DCS系統(tǒng)執(zhí)行相對較慢。因此，國際上有些協(xié)會(huì)對重要的、安全性要求高的裝置則要求單獨(dú)設(shè)置ESD系統(tǒng)。重要場合指的是：可能危及生命安全；可能引起設(shè)備重大破壞；可能引起環(huán)境明顯污染；可能造成重大經(jīng)濟(jì)損失。對于一般性的非安全相關(guān)的工藝過程聯(lián)鎖程序，為了節(jié)省費(fèi)用，可以在DCS系統(tǒng)內(nèi)實(shí)行。對安全保護(hù)有高要求的聯(lián)鎖停車安全控制系統(tǒng)則應(yīng)獨(dú)立設(shè)置?，F(xiàn)在有不少廠商推出了專用的故障安全控制系統(tǒng)，這些系統(tǒng)特點(diǎn)如下。 故障發(fā)生后，有足夠時(shí)間進(jìn)行

27、故障檢測，發(fā)出警報(bào)，排除故障。 采用容錯(cuò)技術(shù)，將被動(dòng)故障轉(zhuǎn)為主動(dòng)故障。 采用冗余配置，實(shí)施故障隔離。 模塊化設(shè)計(jì)。 完善的自檢功能。 系統(tǒng)硬、軟件具有相應(yīng)的安全等級認(rèn)證。 配備事故記錄儀。 故障安全型設(shè)計(jì)。 能與DCS系統(tǒng)通信。2.2 SIS設(shè)計(jì)應(yīng)遵循的原則2.2.1 獨(dú)立設(shè)置原則： 邏輯單元獨(dú)立設(shè)置； 現(xiàn)場檢測單元獨(dú)立設(shè)置； 執(zhí)行元件獨(dú)立設(shè)置（專用的緊急切斷閥，不用調(diào)節(jié)切斷閥來代替）。2.2.2 中間環(huán)節(jié)最少原則。2.2.3 關(guān)鍵單元采用冗余容錯(cuò)結(jié)構(gòu)結(jié)構(gòu)配置原則： 檢測元件的二取二方式或三取二方式設(shè)置； 邏輯單元如安全PLC的CPU、過程輸入/輸出單元； 供電、通信的冗余配置。2.2.4 故

28、障安全型原則系統(tǒng)設(shè)計(jì)： 現(xiàn)場檢測元件接點(diǎn)選用常閉接點(diǎn)。工藝正常時(shí)，觸點(diǎn)閉合；達(dá)到安全極限時(shí)，觸點(diǎn)斷開，觸發(fā)聯(lián)鎖動(dòng)作。 執(zhí)行元件電磁閥正常通電方式，聯(lián)鎖動(dòng)作時(shí)斷電。 通往電氣配電室用以開/停電機(jī)的接點(diǎn)，用中間繼電器隔離，其勵(lì)磁電路應(yīng)為故障安全型。2.2.5 其他： 安全控制要求高的生產(chǎn)裝置應(yīng)選擇專門的冗余、容錯(cuò)緊急停車系統(tǒng)。 采用熱電偶，熱電阻輸入時(shí)，應(yīng)有斷線保護(hù)設(shè)計(jì)。斷線報(bào)警，避免產(chǎn)生誤動(dòng)作。 采用電磁閥應(yīng)具有高可靠性，避免誤動(dòng)作。 事故切斷閥停電時(shí)應(yīng)保持安全狀態(tài)位置。 事故切斷閥應(yīng)配回訊開關(guān)，確認(rèn)閥門位置。 根據(jù)工藝操作要求，確定切斷閥開關(guān)速度。 重要的切斷閥應(yīng)備用儲(chǔ)氣罐，以備氣源事故用。

29、在粉塵、腐蝕性、粘稠介質(zhì)場合應(yīng)選擇帶隔離的發(fā)訊開關(guān)。 切斷閥供氣管室采用塑料管，以便火災(zāi)等情況下失氣，實(shí)現(xiàn)安全功能?？傊?，故障安全原則是： 組成SIS的各環(huán)節(jié)自身出現(xiàn)故障的改良版不可能為零，且供電、供氣中斷亦可能發(fā)生。當(dāng)內(nèi)部或外部原因使SIS失效時(shí)，被保護(hù)的對象（裝置）應(yīng)按預(yù)定的順序安全停車，自動(dòng)轉(zhuǎn)入安全狀態(tài)（Fault to Safety），這就是故障安全原則。作為控制裝置（如安全PLC）“故障安全”意味著當(dāng)其自身出現(xiàn)故障而不是工藝或設(shè)備超過極限工作范圍時(shí)，至少應(yīng)該聯(lián)鎖動(dòng)作，以便按預(yù)定的順序安全停車（這對工藝和設(shè)備而言是安全的）；進(jìn)而應(yīng)通過硬件和軟件的冗余和容錯(cuò)技術(shù)，在過程安全時(shí)間（PST

30、Process Safety Time）內(nèi)檢測到故障，自動(dòng)執(zhí)行糾錯(cuò)程序，排除故障。2.2.6 系統(tǒng)軟件設(shè)計(jì)應(yīng)考慮： 輸入信號掃描速度應(yīng)快于軟件的掃描周期，否則會(huì)發(fā)生丟失信號，使系統(tǒng)穩(wěn)定性變差。 不允許相同的線圈輸出重復(fù)定義。 軟件編寫盡量短小，過長會(huì)增加系統(tǒng)的掃描時(shí)間，使系統(tǒng)的實(shí)時(shí)性變差。2.3 SIS的可用性及可用度2.3.1 可用度表達(dá)式 工藝條件并未達(dá)到安全極限值，SIS不應(yīng)引導(dǎo)工藝過程停車，但由于其自身存在顯故障（安全故障）而導(dǎo)致工藝過程停車，即不該停車而誤停車，降低了可用性。 可用度（A:Availability）是指系統(tǒng)可使用工作時(shí)間的概率，用百分?jǐn)?shù)計(jì)算：A=MTBF/(MTBF+

31、MDT)(SHB-Z06-1999) MTBF：平均故障間隔空間（Mean Time Between Failures）MDT：平均停車時(shí)間（Mean Downtime）2.3.2 MTBF（平均故障間隔時(shí)間） MTBF：平均故障間隔時(shí)間（Mean Time Between Failures）MTTR：平均恢復(fù)時(shí)間（Mean Time to Repair） MTTF：平均無故障時(shí)間（Mean Time to Failure） 例如：圖2-1 MTTF、MTTR和MTBF2.3.3 PFD計(jì)算舉例 MTTF=MTTR+MTBFPFD=MTTR/(MTBF+MTTR)已知 MTTR=24H MTB

32、F=2000H則 PFD=24/(24+2000)=0.0119所以硬件安全完整性等級達(dá)到SIL1水平2.4 冗余、容錯(cuò)冗余（Redundant）：具有指定的獨(dú)立的N:1重元件，并且可以自動(dòng)地檢測故障，切換到后備設(shè)備上。（SHB-Z06-1999）冗余系統(tǒng)（Rwdundant System）：并行地使用多個(gè)系統(tǒng)部件，以提供錯(cuò)誤檢測和錯(cuò)誤校正能力的系統(tǒng)。（SHB-Z06-1999）容錯(cuò)（Fault Tolerant）：具有內(nèi)部冗余的并行元件和集成邏輯，當(dāng)硬件或軟件部分故障時(shí)，能夠識別故障并使故障旁路，進(jìn)而繼續(xù)執(zhí)行指定的功能，或在硬件和軟件發(fā)生故障的情況下，系統(tǒng)仍具有繼續(xù)運(yùn)行的能力。它往往包括三方

33、面的功能：第一是約束故障，即限制過程或進(jìn)程的動(dòng)作，以防止在錯(cuò)誤被檢測出來之前繼續(xù)擴(kuò)大；第二是檢測故障，即對信息和過程或進(jìn)程的動(dòng)作進(jìn)行動(dòng)態(tài)監(jiān)測；第三是故障恢復(fù)即更換或修正失效的部件。（SHB-Z06-1999）容錯(cuò)系統(tǒng)（Fault Tolerant System）：具有容錯(cuò)結(jié)構(gòu)的硬件和軟件系統(tǒng)。（SHB-Z06-1999）總之，通過冗余和故障屏蔽的結(jié)合來實(shí)現(xiàn)容錯(cuò)。容錯(cuò)系統(tǒng)一定是冗余系統(tǒng)，冗余系統(tǒng)不一定是容錯(cuò)系統(tǒng)。容錯(cuò)系統(tǒng)的冗余形式有雙重、三重、四重等。圖2-2表示CPU冗余（雙機(jī)熱備）系統(tǒng)。CPU2CPU1 開關(guān)輸入/輸出現(xiàn)場設(shè)備圖2-2 CPU冗余（雙機(jī)熱備）熱備CPU時(shí)刻處于開機(jī)狀態(tài)，同主機(jī)

34、保持同步，當(dāng)主CPU失靈時(shí)，可以隨時(shí)切換到備用CPU工作。圖2-3三重信號冗余容錯(cuò)系統(tǒng)圖信號三重冗余系統(tǒng)提供3條獨(dú)立的信號通道，并對輸出進(jìn)行3選2表決，如圖2-3所示。輸出信號由3選2表決器提供，并可在故障發(fā)生時(shí)復(fù)原為2取1表決或2取2表決結(jié)構(gòu)，比較適用于危險(xiǎn)工業(yè)的過程保護(hù)。但為了提高系統(tǒng)輸入到輸出的響應(yīng)時(shí)間，系統(tǒng)單元需要定期地協(xié)調(diào)同步。假設(shè)每個(gè)單元的響應(yīng)時(shí)間為10ms，則最壞情況下三重冗余系統(tǒng)（沒有同步）的響應(yīng)時(shí)間可能為20ms。在對數(shù)字化模擬信號進(jìn)行表決時(shí)，其響應(yīng)時(shí)間的可預(yù)測性顯得特別重要?？傊?，信號三重冗余提供了較大程度上的容錯(cuò)性能，但它對變化的系統(tǒng)顯得仍不夠靈活。圖2-4 模塊三重冗余

35、（TMR）系統(tǒng)圖模塊三重冗余（TMR）系統(tǒng)是使用3個(gè)相互隔離的并行主處理器控制系統(tǒng)，并帶有擴(kuò)展的診斷作用綜合而成的一套硬件，結(jié)構(gòu)如圖2-4所示。系統(tǒng)每掃描一次，3個(gè)主處理器均 通過3條總線與其相鄰的2個(gè)主處理器進(jìn)行通訊，達(dá)到同步。同時(shí)3條I/O總線可對其數(shù)據(jù)進(jìn)行比較，并表決出有效數(shù)據(jù)，系統(tǒng)內(nèi)的表決器選取原則為3取2.瞬態(tài)的數(shù)據(jù)錯(cuò)誤和單元的失效不會(huì)對控制系統(tǒng)造成影響。這樣，單點(diǎn)的錯(cuò)誤就不會(huì)影響控制系統(tǒng)的操作。2.5 怎樣通過冗余來改善系統(tǒng)的整體SIL水平當(dāng)一個(gè)SIS系統(tǒng)的安全完整性等級要求為SIL3，而實(shí)際配置為傳感器2.2*10-3（SIL2），邏輯解算器為1.3*10-4（SIL3）（包括I

36、/O接口），終端執(zhí)行器為2.41*10-3（SIL2），所以整個(gè)系統(tǒng)為SIL2不滿足要求。于是我們改變傳感器的配置結(jié)構(gòu)，選擇1oo2冗余，其中共因失效=10%，診斷覆蓋率（DC）90%，可以算出1oo2傳感器的結(jié)構(gòu)的PFD2.3*10-4，達(dá)到SIL3的水平，同理可以配置執(zhí)行器為1oo2冗余結(jié)構(gòu)，也可達(dá)到SIL3的要求，于是最終整體SIS系統(tǒng)的SIL可以達(dá)到SIL3的要求。這個(gè)問題的解決給我們以啟示，當(dāng)裝置引進(jìn)一個(gè)SIS系統(tǒng)時(shí)，整體安全完整性等級不僅取決于邏輯解算器部分，而且傳感器、終端執(zhí)行器部分也非常關(guān)鍵。配置系統(tǒng)時(shí)，除了引進(jìn)一個(gè)SIL3的安全儀表系統(tǒng)控制器，譬如FSC等，還要將傳感器、終端

37、執(zhí)行器一并討論。求出針對SIS系統(tǒng)的SIL等級，定量的安全儀表系統(tǒng)配置任務(wù)才算完成。2.6 冗余邏輯表決方法及其安全性、可用性的關(guān)系可用性（A:Availability）是指系統(tǒng)可使用工作時(shí)間（連續(xù)運(yùn)行時(shí)間）的概率，用百分?jǐn)?shù)計(jì)算A值越大，可用性越好：A=MTBF/(MTBF+MTTR)而PFD=MTTR/(MTBF+MTTR)PFD越小則安全性越好。冗余邏輯表決方法及安全性、可用性的關(guān)系例子如2-1表所示。以上可見：隱故障（危險(xiǎn)故障）使SIS該動(dòng)而拒動(dòng)，隱故障概率越高，安全性越差。顯故障（安全故障）使ESD不該動(dòng)而誤動(dòng)，顯故障概率越高，可用性越差。1oo2（二選一）安全性最好，但可用性最差；2

38、oo2（二選二）可用性最好，但安全性最差；2oo3（三選二）可兼顧表2-1冗余邏輯的表決方法及其與安全性、可用性的關(guān)系3 普通PLC和安全PLC的區(qū)別普通PLC和可以作為ESD控制部分的安全PLC的主要區(qū)別是：普通PLC不是按故障安全型設(shè)計(jì)的，當(dāng)系統(tǒng)內(nèi)部元件出現(xiàn)短路故障時(shí)，它并不能檢測到，因此其輸出狀態(tài)不能保證系統(tǒng)回到預(yù)定的安全狀態(tài)。這種PLC只能用于安全完整性等級要求低的場合?，F(xiàn)以輸出電路為例予以說明。圖3-1是普通PLC DO卡示意圖圖3-1普通PLC DO卡示意圖當(dāng)1、2兩點(diǎn)短路時(shí)，來自PLC的控制信號將不起作用（失效），電磁閥將一直處于帶電（勵(lì)磁）狀態(tài)，即需要聯(lián)鎖動(dòng)作（電磁閥釋電停車）

39、時(shí)，由于此故障的存在而拒動(dòng)，其輸出不能保證處于安全停車狀態(tài)。這就是違背了故障安全（Fault to Safety）的原則。當(dāng)1、2兩點(diǎn)開路時(shí)，將導(dǎo)致誤動(dòng)作而停車，同樣會(huì)帶來損失?？梢姡@種普通PLC的DO卡輸出電路安全性和可用性都是不高的。圖3-2所示為一種帶有安全性單容錯(cuò)的DO卡示意圖（它是Honeywell SMS FSC-101型輸出示意圖）。圖3-2 安全性單容錯(cuò)DO卡示意圖這里，中央處理器不僅向串聯(lián)的場效應(yīng)管（FET）發(fā)出控制信號，而且還接受來自場效應(yīng)管的狀態(tài)反饋信號，以便對其輸出進(jìn)行全面測試。當(dāng)測得某管輸出發(fā)生短路時(shí)，中央處理器即啟動(dòng)糾錯(cuò)動(dòng)作，隔離相關(guān)的故障?？撮T狗（Watch D

40、og）是個(gè)多通道的設(shè)計(jì)器電路。它由中央處理器和內(nèi)存等周期性觸發(fā)，如果兩個(gè)觸發(fā)之間的時(shí)間小于某設(shè)定值或者大于某最大值，則看門狗的輸出將失效。同時(shí)看門狗還能監(jiān)視內(nèi)部工作電壓，使之在正常的電壓范圍內(nèi)。以上僅是DO卡上的區(qū)別。作為安全PLC的安全邏輯控制器，至少應(yīng)具備以下幾點(diǎn)： 系統(tǒng)必須有極高的可靠性，通過冗余等措施避免整個(gè)系統(tǒng)的功能失效； 如果出現(xiàn)某種失效狀態(tài)，它必須是以可預(yù)見的、安全的方式出現(xiàn)； 它強(qiáng)調(diào)內(nèi)部診斷，通過硬件和軟件的有機(jī)結(jié)合，對檢測出系統(tǒng)的異常運(yùn)行狀態(tài)，做出針對性的處理，如報(bào)警、隔離、切除，甚至安全關(guān)停； 在系統(tǒng)研發(fā)時(shí)，采用失效模式、影響和診斷分析（Failure Modes，Effe

41、cts and Diagnostic Analysis，F(xiàn)MEDA）技術(shù)，確定系統(tǒng)中的每個(gè)部件將會(huì)出現(xiàn)怎樣的失效，以及系統(tǒng)如何檢測、應(yīng)對這些失效，保證能夠檢測出99%以上的內(nèi)部元器件潛在的危險(xiǎn)失效； 要采用一系列的專門技術(shù)確保軟件的可靠性，并保證通過其數(shù)字通信端口進(jìn)行讀寫操作的私密安全（Security）； 安全邏輯控制器與常規(guī)PLC的不同，還體現(xiàn)在必須通過第三方的權(quán)威認(rèn)證，例如，德國TÜV的認(rèn)證，以便滿足國際功能安全標(biāo)準(zhǔn)嚴(yán)格的安全和可靠性要求； 與外部第三方設(shè)備的 通信接口，應(yīng)具有強(qiáng)大的“讀寫保護(hù)”能力（防火墻）。防止數(shù)據(jù)風(fēng)暴和DOS攻擊，只允許正常的數(shù)據(jù)訪問。同時(shí)不允許 通過外部

42、通信鏈路直接訪問它的I/O卡； SOE、在線修改（On-line Modification）、人機(jī)接口（HMI）對系統(tǒng)不同層次訪問的私密性（Security）和對應(yīng)用程序更改的記錄追蹤（Audit Trail）等，都是安全系統(tǒng)設(shè)計(jì)和應(yīng)用的重要功能。4 工藝過程風(fēng)險(xiǎn)的評估和安全完整性等級的評定不同的工藝過程（生產(chǎn)規(guī)模、原料和產(chǎn)品的種類、工藝和設(shè)備的復(fù)雜程度等）對安全的要求是不同的。一個(gè)具體的工藝過程，是否需要配置SIS、配置何種等級的SIS，其前提應(yīng)該是對此具體的工藝過程進(jìn)行風(fēng)險(xiǎn)評估，要進(jìn)行危險(xiǎn)及可操作性分析（HAZOP），然后辨識出與此分析相應(yīng)的安全儀表功能（SIF），（找到一個(gè)安全儀表連鎖回

43、路），再根據(jù)風(fēng)險(xiǎn)出現(xiàn)的頻率和其產(chǎn)生的嚴(yán)重后果，找到一個(gè)與此SIF相應(yīng)的SIL值，在確定了某個(gè)安全儀表功能的完整性等級（SIL）之后，再配置與之相適應(yīng)的SIS。表1-3可以看出，若某工藝過程所需SIF經(jīng)評定后為SIF2，則配置相應(yīng)的硬件即可，其響應(yīng)失效率（PFD）為百分之一至千分之一之間。應(yīng)該注意的是不同安全級別的SIS，只能確保響應(yīng)失效率（PFD）在一定的范圍內(nèi)，安全級別越高的SIS，其PFD越小，即發(fā)生事故的可能性越小，但它不能改變事故造成的后果。因此，工藝過程安全完整性等級的評定是一項(xiàng)十分重要的工作。國際、國外標(biāo)準(zhǔn)提供了某些評定方法。下面介紹的風(fēng)險(xiǎn)矩陣（RISK MATRIX）評估方法可供

44、參考。這種方法以工藝過程事故出現(xiàn)的頻率（可能性）及其危害程度（嚴(yán)重性）為風(fēng)險(xiǎn)評估的指標(biāo)，并對頻率和危害程度人為量化為若干級，作出矩陣表（見表4-1）。以此確定工藝過程安全完整性等級。表4-1中頻率分級年限（多少年出現(xiàn)一次）。表4-1 風(fēng)險(xiǎn)矩陣SIL評估是在HAZOP分析的基礎(chǔ)上，確定SIS的安全功能和合理的SIL指標(biāo)，以實(shí)現(xiàn)安全和成本的最佳平衡。不同的SIL等級，為用戶單位的管理、人員配備、操作規(guī)程和維護(hù)周期等提出不同的要求。SIL選擇的定性的方法有風(fēng)險(xiǎn)矩陣和風(fēng)險(xiǎn)圖，定量方法則有故障樹，LOPA等。本文 主要介紹風(fēng)險(xiǎn)矩陣法。其方法如下：1）根據(jù)國際慣例及企業(yè)相關(guān)標(biāo)準(zhǔn)確定過程可接受風(fēng)險(xiǎn)；2）根據(jù)

45、用戶單位相關(guān)要求確定風(fēng)險(xiǎn)矩陣的兩大參數(shù)：后果嚴(yán)重性和要求率，并將其定量描述在工作組會(huì)議上進(jìn)行討論，以取得來自現(xiàn)場和各方專家的一致認(rèn)同；3）結(jié)合可接受風(fēng)險(xiǎn)，根據(jù)國際標(biāo)準(zhǔn)IEC61511確定兩大參數(shù)（后果嚴(yán)重性和要求率）的各種組合所對應(yīng)的SIL，建立用戶單位認(rèn)可的風(fēng)險(xiǎn)評價(jià)矩陣表；4）根據(jù)HAZOP分析結(jié)果辨識出需要由安全儀表系統(tǒng)實(shí)現(xiàn)的安全儀表功能；5）選取一個(gè)待分析的安全儀表功能；6）根據(jù)現(xiàn)場調(diào)研、現(xiàn)場人員經(jīng)驗(yàn)及用戶單位相關(guān)的安全評價(jià)資料估算該安全儀表功能要求的動(dòng)作率及拒動(dòng)后果嚴(yán)重性；7）依據(jù)風(fēng)險(xiǎn)評價(jià)矩陣表選定該儀表功能所需達(dá)到的PIL（人身安全完整性等級）、AIL（經(jīng)濟(jì)安全完整性等級）、EIL（

46、環(huán)境安全完整性等級）、RIL（聲譽(yù)安全網(wǎng)整形等級），并確定該系統(tǒng)必須達(dá)到的綜合的安全完整性等級（SIL）；8）進(jìn)入下一個(gè)安全儀表功能的SIL分析；9）系統(tǒng)最終的SIL值應(yīng)選擇PIL、AIL、EIL、RIL中最高值，作為最終SIL指標(biāo)。5 SIS的相關(guān)標(biāo)準(zhǔn)及認(rèn)證5.1 SIS的相關(guān)標(biāo)準(zhǔn) 鑒于SIS涉及到人員、設(shè)備、環(huán)境的安全、因此各國均制定了相關(guān)的標(biāo)準(zhǔn)、規(guī)范，使得SIS的設(shè)計(jì)、制造、使用均有章可循。并有權(quán)威的認(rèn)證機(jī)構(gòu)對產(chǎn)品能達(dá)到的安全等級進(jìn)行確認(rèn)。這些標(biāo)準(zhǔn)、規(guī)范及認(rèn)證機(jī)構(gòu)主要有： 我國石化集團(tuán)制定的行業(yè)標(biāo)準(zhǔn)SHB-Z06-1999 石油化工緊急停車及安全聯(lián)鎖系統(tǒng)設(shè)計(jì)導(dǎo)則。 GB/T-50770-

47、2013 “石油化工安全儀表系統(tǒng)設(shè)計(jì)規(guī)范” GB/T-20438.1-7-2006 等同于采用IEC61508國際標(biāo)準(zhǔn)，即電氣/電子/可編程電子安全相關(guān)系統(tǒng)功能安全標(biāo)準(zhǔn) GB/T-21109.1-3-2007 等同于采用IEC61511國際標(biāo)準(zhǔn)過程工業(yè)領(lǐng)域安全儀表系統(tǒng)功能安全標(biāo)準(zhǔn) IEC61508電氣/電子可編程電子安全相關(guān)系統(tǒng)的功能安全標(biāo)準(zhǔn) IEC61511過程工業(yè)領(lǐng)域安全儀表系統(tǒng)的功能安全標(biāo)準(zhǔn) 美國儀表學(xué)會(huì)制定的ISA-S84.01-1996 安全儀表系統(tǒng)在過程工業(yè)中的應(yīng)用 美國化學(xué)工程學(xué)會(huì)制定的AICHE（ccps）-1993，化學(xué)過程的安全自動(dòng)化導(dǎo)則 英國健康與安全執(zhí)委會(huì)制定的HSE

48、PES-1987，可編程電子系統(tǒng)在安全領(lǐng)域的應(yīng)用 德國國家標(biāo)準(zhǔn)中有安全系統(tǒng)制造廠商標(biāo)準(zhǔn)-DIN V VDE 0801、過程操作用戶標(biāo)準(zhǔn)-DIN V 19250和DIN V 19251、燃燒管理系統(tǒng)標(biāo)準(zhǔn)-DIN VDE 0116等德國技術(shù)監(jiān)督協(xié)會(huì)（TÜV）是一個(gè)獨(dú)立的、權(quán)威的認(rèn)證機(jī)構(gòu)，它按照德國國家標(biāo)準(zhǔn)（DIN），將ESD所達(dá)到的安全等級分為AK1AK8，AK8安全級別最高。其中AK4、AK5、AK6為適用于石油和化學(xué)工業(yè)應(yīng)用所要求的等級。5.2 SIL認(rèn)證SIL認(rèn)證就是基于IEC61508，IEC61511，IEC61513，IEC13849-1，IEC62061，IEC61800-5-2等標(biāo)準(zhǔn)，對安全設(shè)備的安全完整性等級（SIL或者性能等級（PL）進(jìn)行評估和確認(rèn)的一種第三方評估、驗(yàn)證和認(rèn)證。功能安全認(rèn)證主要涉及針對安全設(shè)備開發(fā)流程的文檔管理（FSM）評估，硬件可靠性計(jì)算和評估、軟件評估、環(huán)境試驗(yàn)、EMC電磁兼容性測試等內(nèi)容。SIL認(rèn)證一共分4個(gè)等級SIL1、SIL2、SIL3、SIL4,包括對產(chǎn)品和對系統(tǒng)兩個(gè)層次。其中，以SIL4的要求最高。6 取得認(rèn)證的SIS產(chǎn)品 ABB產(chǎn)品August CS 386/CS-300E， TÜV Ak6認(rèn)證，2003結(jié)構(gòu)方式，掃描速度10ms。Safeguard 1400 滿足SIL3，AK5/AK6采用1002D結(jié)構(gòu)方式