安全儀表系統(tǒng)設(shè)計(jì)必須遵守的十三大原則

安全儀表系統(tǒng)設(shè)計(jì)必須遵守的十三大原則正文目錄目錄TOC\o"1-5"\h\z正文目錄 1\o"CurrentDocument"圖表目錄 2\o"CurrentDocument"序言 2\o"CurrentDocument"1.SIS設(shè)計(jì)的可靠性原則(安全性原則) 21.1.安全系統(tǒng)體系lool/loo2結(jié)構(gòu) 4\o"CurrentDocument"1.1.1.lool 4\o"CurrentDocument"1.1.2.Ioo2 51.1.3.loolD 6\o"CurrentDocument"1.1.4.loo2D 6\o"CurrentDocument"1.2.SIS安全儀表系統(tǒng)2oo3架構(gòu)原理淺析 6\o"CurrentDocument"1.3.SIS安全儀表系統(tǒng)的2oo4D結(jié)構(gòu) 7\o"CurrentDocument"SIS設(shè)計(jì)的獨(dú)立性原則 9\o"CurrentDocument"SIS設(shè)計(jì)的標(biāo)準(zhǔn)認(rèn)證原則 9\o"CurrentDocument"故障安全原則 9\o"CurrentDocument"SIS的冗余原則 10\o"CurrentDocument"SIS的診斷與在線維護(hù)原則 10\o"CurrentDocument"維護(hù)旁路開關(guān)(M0S)設(shè)置 11\o"CurrentDocument"1.M0S作用 11\o"CurrentDocument"2.設(shè)置M0S要遵循以下原則： 11\o"CurrentDocument"鎖與復(fù)位設(shè)置 12\o"CurrentDocument"SIS邏輯控制器的應(yīng)用軟件組態(tài) 12\o"CurrentDocument"SIS的其它設(shè)計(jì)原則 12\o"CurrentDocument"SIL的最終評(píng)估 13\o"CurrentDocument"結(jié)構(gòu)約束 13\o"CurrentDocument"13.1.IEC61508中的結(jié)構(gòu)約束 13\o"CurrentDocument"13.2.IEC61511中的結(jié)構(gòu)約束 15圖表目錄TOC\o"1-5"\h\z表1SIL等級(jí)與故障幾率的相應(yīng)關(guān)系 3圖ISIS安全儀表系統(tǒng)2oo3架構(gòu)原理淺析 7表2IEC61508中對(duì)A類及B類設(shè)備的結(jié)構(gòu)約束 13表3硬件容錯(cuò)能力計(jì)算表 14表4IEC61511中為現(xiàn)場(chǎng)設(shè)備規(guī)定的最小硬件故障裕度 15表5IEC61511中為邏輯控制器規(guī)定的最小硬件故障裕度 15序言安全儀表系統(tǒng)S1S①在設(shè)計(jì)中非常重要，那么，在設(shè)計(jì)SIS的時(shí)候，我們應(yīng)該遵循哪些原則呢？本文重點(diǎn)談?wù)摿舜藛栴}，希望對(duì)設(shè)計(jì)院的伙伴能夠有所幫助！安全儀表系統(tǒng)的主要作用是在工藝生產(chǎn)過程發(fā)生危險(xiǎn)故障時(shí)將其自動(dòng)或手動(dòng)帶回到預(yù)先設(shè)計(jì)的安全狀態(tài)，以確保工藝裝置的生產(chǎn)的安全，避免重大人身傷害及重大設(shè)備損壞事故。在安全儀表系統(tǒng)的設(shè)計(jì)過程中，IEC61508,IEC61511提供了極好的國(guó)際通用技術(shù)規(guī)范和參考資料。1EC于2000年5月發(fā)布了IEC61508標(biāo)準(zhǔn)，2003年1月頒布IEC61511標(biāo)準(zhǔn)。這兩個(gè)標(biāo)準(zhǔn)有很密切的關(guān)系，1EC61508標(biāo)準(zhǔn)是綜合性基礎(chǔ)標(biāo)準(zhǔn)，主要為裝置的制造商和供應(yīng)商使用，IEC61511可以說是1EC61508的延續(xù)，主要針對(duì)具體的儀器儀表設(shè)計(jì)者和用戶使用。2006年，2007年等同采用1EC61508,IEC61511的中國(guó)國(guó)家標(biāo)準(zhǔn)GB/T20438,GB/T21109相繼發(fā)布，中國(guó)的功能安全標(biāo)準(zhǔn)開始規(guī)范我們的功能安全工作。在安全儀表系統(tǒng)的設(shè)計(jì)領(lǐng)域，通常將IEC61508與IEC61511結(jié)合使用。在安全儀表系統(tǒng)回路設(shè)計(jì)過程中，一般需要遵循下列幾點(diǎn)原則。1.SIS設(shè)計(jì)的可靠性原則(安全性原則)為了保證工藝裝置的生產(chǎn)安全，安全儀表系統(tǒng)必須具備與工藝過程相適應(yīng)的安全完整性等級(jí)SIL(SafetyIntegrityLevel)②的可靠度。對(duì)此，IEC61508進(jìn)?SafetyInstrumentSystem?安全完整性等級(jí)(SIL)是由給定過程中的安全系統(tǒng)(SIS)實(shí)施的儀器安全功能(SIF)提供的風(fēng)險(xiǎn)降低單位程度的指標(biāo)。換言之，SIL可被視為安全功能可接受故障率的指標(biāo)。行了詳細(xì)的技術(shù)規(guī)定。對(duì)于安全儀表系統(tǒng)，可靠性有兩個(gè)含義，一個(gè)是安全儀表系統(tǒng)本身的工作可靠性；另一個(gè)是安全儀表系統(tǒng)對(duì)工藝過程認(rèn)知和聯(lián)鎖保護(hù)的可靠性，還應(yīng)有對(duì)工藝過程測(cè)量，判斷和聯(lián)鎖執(zhí)行的高可靠性。評(píng)估安全完整性等級(jí)SIL的主要參數(shù)就是PFDavgfprobabilityoffailureondemand平均危險(xiǎn)故障率)，按其從高到低依次分為1?4級(jí)。在石化行業(yè)中一般涉及到的只有1,2,3級(jí)，因?yàn)镾比4級(jí)投資大，系統(tǒng)復(fù)雜，一般只用于核電行業(yè)。詳細(xì)分類見表1所示。表1SIL等級(jí)與故障幾率的相應(yīng)關(guān)系安全低需求或平均連續(xù)運(yùn)行模式(未能根據(jù)需高要求或連續(xù)操作模式(危險(xiǎn)故障兀罡求執(zhí)行其設(shè)計(jì)功能的概率)Lowdemond小時(shí)的概率)Highdemondor性等orcontinuousmodeofoperationcontinuousmodeof級(jí)averageefprobabilityoffailuretoperformoperationfprobabilityofdangerous(SIL)itsdesignfunctionondemand)failurehour)4“OY?CIO-,210-9?<10-83210T?〈IO">10-8~<10-72“Of?<10-2210-7?<10-61210-2?<1()T>10-6-<10-51EC61508對(duì)安全儀表功能所屬的過程工藝定義了兩種模式：低要求(Lowdemand)模式和高要求(Highdemand)模式。而1EC61511則稱之為要求模式和連續(xù)模式。兩種分類方式有著類似的含義，我們只分析低要求模式和高要求模式。低要求模式和高要求模式定義上的區(qū)別在于，低要求模式下，安全儀表功能每年被執(zhí)行的次數(shù)少于一次，并且每個(gè)驗(yàn)證測(cè)試周期中不超過2次。而高要求模式每年安全儀表功能被執(zhí)行的次數(shù)超過一次，每個(gè)驗(yàn)證測(cè)試周期中執(zhí)行次數(shù)超過2次。通常來講，石化化工等行業(yè)所采用的EDS,FGS,BMS等系統(tǒng)，均屬于低要求模式。因?yàn)檎Ｇ闆r下，每年安全功能被執(zhí)行的次數(shù)是不會(huì)超過一次的。當(dāng)然，實(shí)際的應(yīng)用過程中，有可能有些工廠的SIS系統(tǒng)每年動(dòng)作多次。那并不意味著它的工藝就是高要求模式，可能是由于不合理的工藝設(shè)計(jì)，操作習(xí)慣等因素的影響。那么在低要求模式和高要求模式下，S1L等級(jí)與故障幾率相應(yīng)的關(guān)系見表可以看到，低要求模式下，S1L等級(jí)的定義是按平均每次動(dòng)作發(fā)生故障的幾率(PFD)來表示。石化化工行業(yè)常見的S1L3級(jí)別，代表著每次執(zhí)行安全功能，發(fā)生故障的幾率是10-3到IO-，而在高要求模式下，SIL等級(jí)則以每小時(shí)發(fā)生故障的幾率（PFH）來表示。S1L3級(jí)別意味著每小時(shí)發(fā)生故障的幾率是10-8到IO-。而IEC61511的要求模式和連續(xù)模式下，SIL等級(jí)也是分別用PFD和PFH來表示，各個(gè)級(jí)別的故障幾率與IEC61508的規(guī)定相同。提高安全儀表系統(tǒng)的SIL等級(jí)，對(duì)安全儀表系統(tǒng)回路內(nèi)的各個(gè)部分實(shí)行冗余是主要的手段?？傮w來說，檢測(cè)元件的冗余原則為：對(duì)于安全儀表系統(tǒng)的S1L1回路，可采用單一的檢測(cè)元件；對(duì)于安全儀表系統(tǒng)的SIL2回路，宜用“l(fā)oo2D”或“2oo3”冗余的檢測(cè)元件；對(duì)于安全儀表系統(tǒng)的SIL3回路，應(yīng)采用“2oo3”冗余的檢測(cè)元件。安全儀表系統(tǒng)控制單元的冗余原則為：SIL1可采用“l(fā)oolD”單控制單元；S1L2宜采用“l(fā)oo2D”或“2oo3”冗余控制單元；SIL3應(yīng)采用“2oo3”或“2oo4D”冗余控制單元。安全儀表系統(tǒng)執(zhí)行機(jī)構(gòu)的冗余設(shè)置原則為：SIL1可采用單電磁閥，單控制閥；S1L2宜采用冗余電磁閥，單控制閥；SIL3應(yīng)采用冗余電磁閥，雙控制閥。安全儀表冗余控制閥可以為分別帶電磁閥的兩個(gè)開關(guān)閥，也可以為帶電磁閥的一個(gè)調(diào)節(jié)閥和一個(gè)開關(guān)閥。1.1.安全系統(tǒng)體系1001/1002結(jié)構(gòu)當(dāng)你構(gòu)建一個(gè)安全系統(tǒng)時(shí)，可以有很多方式來安排安全系統(tǒng)部件。有些安排考慮的是對(duì)成功操作有效性的最大化（可靠性或可用性）。有些安排考慮的是防止特殊失效的發(fā)生（失效安全，失效危險(xiǎn)）?？刂葡到y(tǒng)部件的不同安排可以從它們的體系結(jié)構(gòu)中看出來。這節(jié)內(nèi)容將介紹市場(chǎng)上幾款常見的可編程電子系統(tǒng)（PES）的體系結(jié)構(gòu)，了解它們的安全特性，以及在安全和關(guān)鍵控制的應(yīng)用。它們是已經(jīng)在實(shí)踐中存在的多種結(jié)構(gòu)的代表，真正現(xiàn)場(chǎng)使用的系統(tǒng)就是這些結(jié)構(gòu)的不同組合。下面的內(nèi)容將用N選X（比如2選1）的方式：XooN來介紹系統(tǒng)。在每個(gè)類型中，X代表需要執(zhí)行安全功能的通道數(shù)，而N代表整個(gè)可用的通道數(shù)。.1.1.1.1001單控制器帶有單個(gè)邏輯解算器和單個(gè)I/O代表了一個(gè)最小化的系統(tǒng)。這個(gè)系統(tǒng)沒有提供冗余，也沒有失效模式保護(hù)。電子電路可以失效安全（輸出斷電，回路開路）或失效危險(xiǎn)（輸出粘連或給電，短路）。這種安排方式是典型的非安全常規(guī)PLC系統(tǒng)結(jié)構(gòu)。安全PLC的輸入和常規(guī)PLC的輸入接法也有區(qū)別，常規(guī)PLC的輸入通常接傳感器的常開接點(diǎn)，而安全PLC的輸入通常接傳感器的常閉接點(diǎn)，用于提高輸入信號(hào)的快速性和可靠性。有些安全PLC輸入還具有"三態(tài)"功能，即"常開"、"常閉"和"斷線"三個(gè)狀態(tài)，而且通過"斷線”來診斷輸入傳感器的回路是否斷路，提高了輸入信號(hào)的可靠性。另外，有些安全PLC的輸出和常規(guī)的PLC的輸出也有區(qū)別。常規(guī)PLC輸出信號(hào)之后，就和PLC本身失去了關(guān)聯(lián)，也就是說輸出后，比如說"接通"外部繼電器，繼電器本身最后到底通沒通，PLC并不知道，這是因?yàn)闆]有外部設(shè)備的反饋所致。安全PLC具有所謂"線路檢測(cè)”功能，即周期性的對(duì)輸出回路發(fā)送短脈沖信號(hào)（毫秒級(jí)，并不讓用電器導(dǎo)通）來檢測(cè)回路是否斷線，從而提高了輸出信號(hào)的可靠性。1.1.2.Ioo2兩個(gè)控制器并行處理和連線可以把單個(gè)PLC危險(xiǎn)失效的影響降到最低。為了可靠斷開系統(tǒng)，兩個(gè)輸出電路采用串行連接，以防止任何一個(gè)控制器在危險(xiǎn)的方式下失效，造成系統(tǒng)失效危險(xiǎn)。1002結(jié)構(gòu)常用于兩個(gè)獨(dú)立邏輯解算器、并各自帶有自己獨(dú)立I/O的場(chǎng)合。系統(tǒng)提供了較低的失效可能性，但它增加了失效安全斷路的可能性。失效安全斷開率的增加，有助于提高流程系統(tǒng)的停車和機(jī)器系統(tǒng)的停機(jī)能力。這種結(jié)構(gòu)的輸入方式有兩種：一種為一個(gè)傳感器接到兩個(gè)輸入點(diǎn)上（可以使用同一個(gè)模塊的兩個(gè)點(diǎn)，也可以使用兩個(gè)模塊的兩個(gè)點(diǎn)，廠商推薦用戶最好采用不同機(jī)架上的兩個(gè)不同模塊的兩個(gè)點(diǎn)）；一種為兩個(gè)傳感器或者一個(gè)傳感器的兩個(gè)接點(diǎn)接到兩個(gè)輸入點(diǎn)，這樣可以進(jìn)一步提高輸入信號(hào)的可靠性（傳感器冗余）。結(jié)構(gòu)為兩個(gè)彼此獨(dú)立的系統(tǒng)，在輸出之前并沒有對(duì)輸入信號(hào)和運(yùn)算結(jié)果進(jìn)行表決，而有些系統(tǒng)對(duì)輸入信號(hào)和邏輯結(jié)果要進(jìn)行表決，然后輸出。1。。2系統(tǒng)的表決機(jī)制也非常特別。當(dāng)兩個(gè)輸入都為"0"或"1"信號(hào)時(shí)，自然沒有問題。但如果出現(xiàn)一個(gè)為"0"、而一個(gè)為"1",系統(tǒng)如何表決呢？答案是：取安全的值做為表決的結(jié)果！那么何謂安全值？答窠是：要根據(jù)具體的應(yīng)用進(jìn)行設(shè)置。如果"0"為安全值，那么出現(xiàn)一個(gè)"0"和一個(gè)"1"時(shí)，就選擇"0”,相當(dāng)進(jìn)行了一次3選2的表決。下面再談?wù)勢(shì)敵龅慕泳€方式問題。一般來說也有兩種接法，被稱為：安全接法和冗余接法。所謂安全接法指得是：輸出的兩個(gè)通道進(jìn)行串聯(lián)后再接執(zhí)行器，邏輯關(guān)系為"與"，也就是說：一個(gè)通道為"0",負(fù)載就不得電，這樣可以確保系統(tǒng)的安全性。所謂冗余接法指得是：輸出的兩個(gè)通道進(jìn)行并聯(lián)后再接執(zhí)行器，邏輯關(guān)系為"或"，也就是說：一個(gè)通道為"1",負(fù)載就可以獲電，這樣可以提高系統(tǒng)的容錯(cuò)能力。至于采用哪種接線要根據(jù)應(yīng)用的要求來決定。如果是安全性系統(tǒng)，建議采用安全接法。如果是高可用性系統(tǒng)，建議采用冗余接法。1.1.3.loolD這種結(jié)構(gòu)使用一個(gè)帶有診斷能力的單一控制器通道，和第二個(gè)診斷通道利用串行連接構(gòu)成輸出回路。典型的loolD結(jié)構(gòu)。loolD的"D"意思是診斷的含義，所以被稱為一選一診斷系統(tǒng)，功能相當(dāng)于一種二選一系統(tǒng)。因?yàn)檫@種系統(tǒng)的造價(jià)相對(duì)低廉，所以這種系統(tǒng)在安全應(yīng)用中扮演了重要的角色。這種loolD結(jié)構(gòu)由一個(gè)單一邏輯解算器和一個(gè)外部的監(jiān)視時(shí)鐘而構(gòu)成，定時(shí)器的輸出與邏輯解算器的輸出進(jìn)行串聯(lián)接線。在更先進(jìn)的系統(tǒng)中，內(nèi)置診斷控制一個(gè)獨(dú)立串聯(lián)輸出，當(dāng)系統(tǒng)檢測(cè)出失效時(shí)，它會(huì)強(qiáng)制系統(tǒng)處于斷開狀態(tài)。診斷功能把檢測(cè)到的一個(gè)危險(xiǎn)失效轉(zhuǎn)變成一個(gè)安全失效。1.1.4.1OO2D1OO2D結(jié)構(gòu)包含兩個(gè)獨(dú)立的電路通道。輸出電路可以使用不同類型的雙重開關(guān)。比如固態(tài)開關(guān)提供了常規(guī)的控制器輸出，而另一個(gè)繼電器由內(nèi)部診斷控制，提供了第二個(gè)常開接點(diǎn)開關(guān)。如果在輸出通道檢測(cè)到一個(gè)潛在的危險(xiǎn)失效，繼電器觸點(diǎn)就會(huì)斷開，使輸出回路斷電，確保執(zhí)行器處于安全狀態(tài)。雙重電路通道可以使用不同類型的觸點(diǎn)實(shí)現(xiàn)loolD結(jié)構(gòu)，比如兩個(gè)常開點(diǎn)，或者一個(gè)常開點(diǎn)加一個(gè)常閉點(diǎn)等。后綴"D"反映了系統(tǒng)在每個(gè)通道中，具有更廣泛和更細(xì)致的自診斷能力。第二個(gè)停機(jī)路徑，就是由這個(gè)自診斷系統(tǒng)，運(yùn)用高級(jí)的“依據(jù)參考”的方法進(jìn)行系統(tǒng)診斷。1.2.SIS安全儀表系統(tǒng)2oo3架構(gòu)原理淺析SIS安全儀表系統(tǒng)初始狀態(tài)時(shí)全部3個(gè)通道的運(yùn)行狀態(tài)均為正常狀態(tài)。3個(gè)通道的4種模式的失效會(huì)導(dǎo)致系統(tǒng)離開初始狀態(tài)。另外，共因失效也需要考慮。對(duì)于兩個(gè)通道存在3種組合方式：AB、AC和BC,表示3組共因失效。在狀態(tài)1,一個(gè)通道出現(xiàn)檢測(cè)到的安全失效。在狀態(tài)2,一個(gè)通道出現(xiàn)未檢測(cè)到的安全失效。在狀態(tài)1和狀態(tài)2,系統(tǒng)降級(jí)為loo2結(jié)構(gòu)。在狀態(tài)3,表明一個(gè)通道出現(xiàn)檢測(cè)到的危險(xiǎn)失效。在狀態(tài)4,一個(gè)通道出現(xiàn)未檢測(cè)到的危險(xiǎn)失效。在狀態(tài)3和狀態(tài)4,系統(tǒng)降級(jí)為2oo2結(jié)構(gòu)。在1、2、3、4各狀態(tài)，系統(tǒng)尚未失效。iflh鈦件 ?DCS/PLC左母曾運(yùn)玄忤TGJW 1M作曲 OPC%erve? ? 臥腌圖1SIS安全儀表系統(tǒng)2003架構(gòu)原理淺析S1S安全儀表系統(tǒng)在狀態(tài)1和2系統(tǒng)仍處于運(yùn)行狀態(tài)，正常通道再次出現(xiàn)安全失效將使SIS安全儀表系統(tǒng)安全失效，而正常通道出現(xiàn)危險(xiǎn)失效將使系統(tǒng)又降一級(jí)。在狀態(tài)3和4,系統(tǒng)運(yùn)行在2002配置。當(dāng)出現(xiàn)正常通道的危險(xiǎn)失效，系統(tǒng)將會(huì)危險(xiǎn)失效，而正常通道出現(xiàn)安全失效也將使系統(tǒng)又降一級(jí)。假設(shè)系統(tǒng)修理時(shí)所有的故障單元會(huì)被修復(fù)，因此，所有的修復(fù)將使系統(tǒng)回到狀態(tài)Oo3.SIS安全儀表系統(tǒng)的2oo4D結(jié)構(gòu)2oo4D系統(tǒng)是有2套獨(dú)立并行運(yùn)行的系統(tǒng)組成，通訊模塊負(fù)責(zé)其同步運(yùn)行，當(dāng)系統(tǒng)自診斷發(fā)現(xiàn)一個(gè)模塊發(fā)生故障時(shí)，CPU將強(qiáng)制其失效，確保其輸出的正確性。同時(shí)，安全輸出模塊中SMOD功能(輔助去磁方法)，確保在兩套系統(tǒng)同時(shí)故障或電源故障時(shí)，系統(tǒng)輸出一個(gè)故障安全信號(hào)。一個(gè)輸出電路實(shí)際上是通過四個(gè)輸出電路及自診斷功能實(shí)現(xiàn)的。這樣確保了系統(tǒng)的高可靠性，高安全性及高可用性。HONEYWELL,HIMA的SIS系統(tǒng)均采用了2oo4D結(jié)構(gòu)。SIS設(shè)計(jì)的可用性原則可用性(也稱可用度)是指安全儀表系統(tǒng)在一個(gè)給定的時(shí)間點(diǎn)能夠正確執(zhí)行功能的概率。常用下面公式表示：A=MTBF/(MTBF+MDT) (1)其中：A 可用性MTBE--平均無故障工作時(shí)間MDT——平均停車時(shí)間要使系統(tǒng)可用度增加，就要增加平均無故障工作時(shí)間(MTBF),或減少平均停車時(shí)間(MDT)。對(duì)于安全儀表系統(tǒng)的設(shè)計(jì)而言，不能一味的追求系統(tǒng)的高可靠性，系統(tǒng)的可用性也需要考慮。正確的判斷過程事故，可以減少裝置的非正常停車，減少開，停車造成的經(jīng)濟(jì)損失。為了提高系統(tǒng)的可用性，安全儀表系統(tǒng)應(yīng)具有硬件和軟件自診斷和測(cè)試功能。安全儀表系統(tǒng)應(yīng)為每個(gè)輸入工藝聯(lián)鎖信號(hào)設(shè)置維護(hù)旁路開關(guān)，方便進(jìn)行在線測(cè)試和維護(hù)同時(shí)減少因安全儀表系統(tǒng)系統(tǒng)維護(hù)造成的停車。需要注意的是用于三選二表決方案的冗余檢測(cè)元件不需要旁路，手動(dòng)停車輸入也不需要旁路。同時(shí)嚴(yán)禁對(duì)安全儀表系統(tǒng)輸出信號(hào)設(shè)立旁路開關(guān)，以防止誤操作而導(dǎo)致事故發(fā)生。如果SIL計(jì)算表明測(cè)試周期小于工藝停車周期，而對(duì)執(zhí)行機(jī)構(gòu)進(jìn)行在線測(cè)試時(shí)無法確保不影響工藝而導(dǎo)致誤停車，則安全儀表系統(tǒng)的設(shè)計(jì)應(yīng)當(dāng)根據(jù)需要進(jìn)行修改，通過提高冗余配置以延長(zhǎng)測(cè)試周期或采用部分行程測(cè)試法，對(duì)事故狀態(tài)關(guān)閉的閥門增加手動(dòng)旁通閥，對(duì)事故狀態(tài)開啟的閥門增加手動(dòng)截止閥等措施，以允許在線測(cè)試安全儀表系統(tǒng)閥門。這些手段對(duì)于提供安全儀表系統(tǒng)的可用性都是很有幫助的。SIS設(shè)計(jì)的獨(dú)立性原則安全儀表系統(tǒng)應(yīng)獨(dú)立于基本過程控制系統(tǒng)（BPCS,如DCS,FCS,CCS,PLC等），獨(dú)立完成安全保護(hù)功能。安全儀表系統(tǒng)的檢測(cè)元件，控制單元和執(zhí)行機(jī)構(gòu)應(yīng)單獨(dú)設(shè)置。如果工藝要求同時(shí)進(jìn)行聯(lián)鎖和控制的情況下，安全儀表系統(tǒng)和BPCS應(yīng)各自設(shè)置獨(dú)立的檢測(cè)元件和取源點(diǎn)（個(gè)別特殊情況除外，如配置三取二檢測(cè)元件，進(jìn)DCS信號(hào)三取中，進(jìn)安全儀表系統(tǒng)三取二，經(jīng)過信號(hào)分配器公用檢測(cè)元件）。如需要，安全儀表系統(tǒng)應(yīng)能通過數(shù)據(jù)通信連接以只讀方式與DCS通信，但禁止DCS通過該通信連接向安全儀表系統(tǒng)寫信息。安全儀表系統(tǒng)應(yīng)配置獨(dú)立的通信網(wǎng)絡(luò)，包括獨(dú)立的網(wǎng)絡(luò)交換機(jī)，服務(wù)器，工程師站等。安全儀表系統(tǒng)應(yīng)采用冗余電源，由獨(dú)立的雙路配電回路供電。應(yīng)避免安全儀表系統(tǒng)和BPCS的信號(hào)接線出現(xiàn)同一接線箱，中間接線柜和控制柜內(nèi)。SIS設(shè)計(jì)的標(biāo)準(zhǔn)認(rèn)證原則隨著安全標(biāo)準(zhǔn)的推出以及對(duì)安全系統(tǒng)重視度的不斷提高，安全儀表系統(tǒng)的認(rèn)證也變得越來越重要，系統(tǒng)的設(shè)計(jì)思想，系統(tǒng)結(jié)構(gòu)都須嚴(yán)格遵守相應(yīng)國(guó)際標(biāo)準(zhǔn)并取得權(quán)威機(jī)構(gòu)的認(rèn)證。安全儀表系統(tǒng)必須獲得1EC61508SIL和/或TUVAK（德）相應(yīng)SIL等級(jí)的認(rèn)證。安全儀表系統(tǒng)中使用的硬件，軟件和儀表必須遵守正式版本并已商業(yè)化，同時(shí)必須獲得國(guó)家有關(guān)防爆，計(jì)量，壓力容器等強(qiáng)制認(rèn)證。嚴(yán)禁使用任何試驗(yàn)產(chǎn)品。故障安全原則當(dāng)安全儀表系統(tǒng)的元件，設(shè)備，環(huán)節(jié)或能源發(fā)生故障或者失效時(shí)，系統(tǒng)設(shè)計(jì)應(yīng)當(dāng)使工藝過程能夠趨向安全運(yùn)行或者安全狀態(tài)。這就是系統(tǒng)設(shè)計(jì)的故障安全行原則。能否實(shí)現(xiàn)“故障安全”取決于工藝過程及安全儀表系統(tǒng)的設(shè)計(jì)。整個(gè)SIS,包括現(xiàn)場(chǎng)儀表和執(zhí)行器，都應(yīng)設(shè)計(jì)成以下絕對(duì)安全形式，即：1）現(xiàn)場(chǎng)觸點(diǎn)應(yīng)開路報(bào)警，正常操作條件下閉合；2）現(xiàn)場(chǎng)執(zhí)行器聯(lián)鎖時(shí)不帶電，正常操作條件下帶電。對(duì)于執(zhí)行器，如切斷閥，一般情況下SIS應(yīng)設(shè)計(jì)成安全聯(lián)鎖動(dòng)作時(shí)，切斷閥在安全的即失氣的狀態(tài)。當(dāng)有多個(gè)不同的工藝回路對(duì)該切斷閥有不同動(dòng)作要求時(shí)；如同一個(gè)FC(失氣時(shí)關(guān))切斷閥，A安全聯(lián)鎖動(dòng)作時(shí)要求該閥門全開；另一個(gè)B安全聯(lián)鎖動(dòng)作時(shí)要求該閥門全關(guān)。此時(shí)就要求S1S在A安全聯(lián)鎖中輸出“1”使電磁閥帶電閥門全開，在B安全聯(lián)鎖中輸出“0”使電磁閥失電閥門全關(guān)。以上的說明是通常情況下的故障安全。其實(shí)對(duì)于故障安全還應(yīng)具體情況具體分析，要確定最有可能發(fā)生的故障狀態(tài)，并不是一律“常閉接點(diǎn)，正常帶由”SIS的冗余原則為了提高安全儀表系統(tǒng)的SIL等級(jí)，對(duì)系統(tǒng)的各個(gè)單元實(shí)現(xiàn)冗余是必須的。其基本原則為：(1)傳感器的冗余原則：對(duì)于SIS的S1L1回路，可采用單一的傳感器；對(duì)于SIS的SIL2回路，宜采用“l(fā)oo2D”或“2oo3”冗余的傳感器；對(duì)于SIS的SIL3的回路，應(yīng)采用“2oo3”冗余的傳感器。(2)SIS邏輯表決算器的冗余原則：S1L1可采用“l(fā)oolD”單邏輯單元；S1L2宜采用“l(fā)oo2D”或“2oo3”冗余邏輯單元；SIL3宜采用“2oo3”或“2oo4D”冗余邏輯單元；(3)SIS控制閥的冗余設(shè)置原則：SIL1可采用單電磁閥，單SIS控制閥；S1L2宜采用冗余電磁閥，單SIS控制閥；S1L3應(yīng)采用冗余電磁閥，雙S1S控制閥；SIS冗余控制閥為分別帶電磁閥的兩個(gè)SIS開關(guān)閥，也可為帶電磁閥的1個(gè)調(diào)節(jié)閥加I個(gè)SIS開關(guān)閥；冗余輸入的S1S邏輯應(yīng)當(dāng)包括輸入信號(hào)偏差報(bào)警(2個(gè)變送器的信號(hào)偏差，報(bào)警設(shè)定值為5%)。SIS的診斷與在線維護(hù)原則S1S應(yīng)具有硬件和軟件自診斷及測(cè)試功能。SIS應(yīng)為每個(gè)輸入工藝聯(lián)鎖信號(hào)設(shè)置維護(hù)旁路開關(guān)，方便進(jìn)行在線測(cè)試和維護(hù)。用于3選2表決方案的冗余傳感器不需要旁路，手動(dòng)停車輸入也不需要旁路。嚴(yán)禁對(duì)SIS輸出信號(hào)設(shè)立旁路開關(guān)。如果S1L計(jì)算表明測(cè)試周期小于工藝停車周期，而對(duì)最終執(zhí)行元件進(jìn)行在線測(cè)試時(shí)無法確保不影響工藝或?qū)е抡`停車；則SIS的設(shè)計(jì)應(yīng)當(dāng)根據(jù)需要進(jìn)行修改，通過提高冗余配置以延長(zhǎng)測(cè)試周期或采用部分行程測(cè)試法，對(duì)故障關(guān)的閥門增加手動(dòng)旁通閥，對(duì)故障開的閥門增加手動(dòng)截止閥等措施，以允許在線測(cè)試SIS閥門。對(duì)于S1S聯(lián)鎖旁路應(yīng)設(shè)置“禁止/允許”開關(guān)。S1S旁路開關(guān)的動(dòng)作應(yīng)當(dāng)在DCS中產(chǎn)生報(bào)警并予以記錄。除非旁路解除，報(bào)警始終處于活動(dòng)狀態(tài)。維護(hù)旁路開關(guān)(MOS)設(shè)置8.1.MOS作用維護(hù)旁路開關(guān)(MaintenanceOverrideSwitch,MOS)為SIS的變送器，檢測(cè)開關(guān)等現(xiàn)場(chǎng)設(shè)備的在線檢修設(shè)置。由于在旁路狀態(tài)下SIF的功能及其安全完整性都是受限的。因此旁路的設(shè)計(jì)和操作管理，成為S1S工程中重要的關(guān)注點(diǎn)之旁路操作本身應(yīng)有報(bào)警，記錄和顯示；在旁路期間也應(yīng)始終保持對(duì)工藝過程狀態(tài)的檢測(cè)和指示。旁路操作應(yīng)有明確的操作程序，并納入到功能安全評(píng)估和現(xiàn)場(chǎng)功能安全審計(jì)的范圍之內(nèi)。重要的一點(diǎn)，旁路設(shè)計(jì)應(yīng)僅限于正常的工藝過程操作界限之內(nèi)，不能代替或用作安全防護(hù)層功能。8.2.設(shè)置MOS要遵循以下原則：1)當(dāng)傳感器被旁路時(shí)，操作人員有其它手段和措施觸發(fā)該傳感器對(duì)應(yīng)的最終執(zhí)行元件，使工藝過程置于安全狀態(tài)；2)當(dāng)傳感器被旁路時(shí)，操作人員有其它手段和措施監(jiān)測(cè)到該傳感器對(duì)應(yīng)的過程參數(shù)或狀態(tài)。3)當(dāng)傳感器被旁路時(shí)，操作人員有其它手段和措施，并有足夠的響應(yīng)時(shí)間取代該傳感器相關(guān)的S1F,將工藝過程置于安全狀態(tài)。4)MOS不能用于屏蔽手動(dòng)緊急停車按鈕信號(hào)，檢測(cè)壓縮機(jī)工況的軸振動(dòng)/位移信號(hào)以及報(bào)警功能等；5)MOS的啟動(dòng)狀態(tài)應(yīng)有適當(dāng)?shù)娘@示。旁路狀態(tài)的時(shí)間不宜太長(zhǎng)，如果對(duì)該時(shí)間有嚴(yán)格的限定，可設(shè)計(jì)“時(shí)間到”報(bào)警，但是不能自動(dòng)解除旁路狀態(tài)。對(duì)于MooN表決機(jī)制的變送器信號(hào)，MOS邏輯設(shè)計(jì)要考慮降級(jí)模式對(duì)安全性和可用性的影響。例如，從安全性角度，2oo3旁路后應(yīng)降級(jí)loo2；而對(duì)于停車將造成重大經(jīng)濟(jì)損失的回路，2oo3旁路設(shè)計(jì)可能采用降級(jí)為2oo2。聯(lián)鎖與復(fù)位設(shè)置SIS的設(shè)計(jì)應(yīng)保證一旦工藝過程進(jìn)入安全狀態(tài)，在進(jìn)行手動(dòng)復(fù)位前應(yīng)保持工藝過程在安全狀態(tài)。最終執(zhí)行元件在所有的聯(lián)鎖初始條件恢復(fù)到正常狀態(tài)前不得復(fù)位。帶多個(gè)傳感器和最終執(zhí)行元件的復(fù)雜聯(lián)鎖回路需要在邏輯中設(shè)置一個(gè)總聯(lián)鎖復(fù)位信號(hào)（按鈕），當(dāng)聯(lián)鎖初始條件恢復(fù)到正常狀態(tài)之后，能用該復(fù)位信號(hào)（按鈕）對(duì)整個(gè)聯(lián)鎖回路進(jìn)行復(fù)位。對(duì)火焰加熱爐，氣化爐，反應(yīng)器等高危險(xiǎn)設(shè)備的最終執(zhí)行元件，需配備一個(gè)獨(dú)立的，就地手動(dòng)復(fù)位裝置?？偮?lián)鎖復(fù)位必須在就地手動(dòng)復(fù)位前先復(fù)位，就地手動(dòng)復(fù)位裝置的信號(hào)必須輸入SIS邏輯。SIS邏輯控制器的應(yīng)用軟件組態(tài)在SIS可編程邏輯控制器中，應(yīng)用軟件編程組態(tài)遵循的最重要原則，是如何保證滿足安全完整性要求。邏輯控制器的整體性能表現(xiàn)，在很大程度上受制于軟件的質(zhì)量。我們知道，安全完整性包括硬件安全完整性和系統(tǒng)性安全完整性。其中軟件錯(cuò)誤或缺陷是影響系統(tǒng)性安全完整性的重要因素之一。不幸的是，我們很難對(duì)軟件失效建立數(shù)學(xué)模型并對(duì)失效率進(jìn)行準(zhǔn)確預(yù)測(cè)。應(yīng)用軟件設(shè)計(jì)和組態(tài)應(yīng)遵循模塊化，低復(fù)雜性的指導(dǎo)原則。按照工藝過程特點(diǎn)和防護(hù)邏輯，劃分為相對(duì)獨(dú)立。簡(jiǎn)單的單元或?qū)哟?，這將給功能測(cè)試和修改帶來極大的便利，有利于增強(qiáng)軟件的完整性。不論設(shè)計(jì)文件采用哪種格式，包括因果圖（Cause-Effect）,功能邏輯圖，流程圖，文字?jǐn)⑹龅刃问?，都要足夠詳?xì)，確保對(duì)停車邏輯，設(shè)定值，報(bào)警，診斷以及時(shí)序等的正確組態(tài)?；凇敖?jīng)驗(yàn)使用”原則，盡可能采用標(biāo)準(zhǔn)功能或功能塊。如果需要采用；嵌套”邏輯，應(yīng)盡可能地降低嵌套層。SIS的其它設(shè)計(jì)原則S1S必須獲得1EC61508S1L和/或TUVAK（德）相應(yīng)S1L等級(jí)的認(rèn)證。鑒于某些特殊原因，需要由S1S執(zhí)行的非安全功能應(yīng)在因果圖上明確標(biāo)明（如“非安全功能”，“NSF"，SIL="N/A”或其它標(biāo)識(shí)）并在其他SIS設(shè)計(jì)文件中指明。非安全功能的動(dòng)作，如果由S1S執(zhí)行則不得干擾或危及S1S的任何安全功能。SIS系統(tǒng)中使用的硬件，軟件和儀表必須遵守正式版本并已商業(yè)化，同時(shí)必須獲得國(guó)家有關(guān)防爆，計(jì)量，壓力容器等強(qiáng)制認(rèn)證。嚴(yán)禁使用任何試驗(yàn)產(chǎn)品。SIL的最終評(píng)估當(dāng)按照安全要求規(guī)格書的要求，完整了sis設(shè)備的選型和結(jié)構(gòu)設(shè)計(jì)，自然地要回答這一問題，最終的S1F是否達(dá)到了預(yù)期的S1L要求？S1F的最終SIL評(píng)估，通常有兩個(gè)必要條件：一是評(píng)定S1S子系統(tǒng)是否滿足了''結(jié)構(gòu)約束(ArchitecturalConsraintts)要求，在IEC61508/1EC61511中，結(jié)構(gòu)約束條款用最小的“硬件故障裕度”(HardwareFaultTolerance,HFT)表征，代表了設(shè)備或子系統(tǒng)在構(gòu)成SIL回路時(shí)，從硬件結(jié)構(gòu)上對(duì)安全完整性等級(jí)的限制。結(jié)構(gòu)約束13.1.IEC61508中的結(jié)構(gòu)約束結(jié)構(gòu)約束是除PFDavg之外，在某個(gè)特定應(yīng)用中使用某個(gè)設(shè)備的附加約束。根據(jù)設(shè)備類型及其SFF(安全失效分?jǐn)?shù)，也有稱之為安全故障)和設(shè)備所在子系統(tǒng)的HFT(硬件故障裕度，也有稱之為硬件容錯(cuò)能力)來確定設(shè)備子系統(tǒng)能夠用于哪級(jí)SIL水平的安全儀表系統(tǒng)。IEC61508提供了一張表，分別為設(shè)備類型A和B的子系統(tǒng)定義了結(jié)構(gòu)約束，如表2所示。表2IEC61508中對(duì)A類及B類設(shè)備的結(jié)構(gòu)約束SafeFailureFraction(SFF)TypeATypeBHardwareFaultTolerancefHFT)HardwareFaultTolerancefHFT)012012<>SIL1S1L2S比3N.A.SIL1SIL260%<>SIL2SIL3SIL4SIL1SIL2SIL390%<>SIL3SIL4SIL4SIL2SIL3SIL4>99%SIL3SIL4S比4SIL3SIL4SIL4為了便于區(qū)分，IEC61508將各種組成安全儀表功能的元件分成兩種A型和B型。A型指那些所有故障模式都被定義過，所有故障行為都被定義過，而且有充足的故障數(shù)據(jù)的元件。例如普通傳感器，閥門等。而B型則相反，指那些故障類型沒有被完整的定義，也沒有足夠的故障數(shù)據(jù)的元件，一般指的是含有處理器的元件，例如智能傳感器，邏輯運(yùn)算器等。由表2,我們可以看出，確定安全儀表回路各個(gè)元件的S1L等級(jí)，取決于2個(gè)參數(shù)。1是安全失效分?jǐn)?shù)，2是硬件故障裕度。對(duì)自動(dòng)化產(chǎn)品來說，安全失效分?jǐn)?shù)的定義為該產(chǎn)品的平均安全失效率加檢測(cè)到的平均危險(xiǎn)失效率與子系統(tǒng)總平均失效率之比。安全失效分?jǐn)?shù)SFF=(XSD+X