在IEC61508 中,SIS被稱為安全相關系統(tǒng)(Safety Related System),將被控對象稱為被控設備(EUC)��。
IEC61511將安全儀表系統(tǒng)SIS定義為用于執(zhí)行一個或多個安全儀表功能(Safety Instrumented Function,SIF)的儀表系統(tǒng)�����。SIS是由傳感器(如各類開關���、變送器等)����、邏輯控制器、以及最終元件(如電磁閥���、電動門等)的組合組成,如圖1所示�����。
IEC61511又進一步指出,SIS可以包括����,也可以不包括軟件。另外��,當操作人員的手動操作被視為SIS的有機組成部分時�,必須在安全規(guī)格書(Safety Requirement Specification,SRS)中對人員操作動作的有效性和可靠性做出明確規(guī)定,并包括在SIS的績效計算中����。
從SIS的發(fā)展過程看,其控制單元部分經(jīng)歷了電氣繼電器(Electrical)����、電子固態(tài)電路(Electronic)和可編程電子系統(tǒng)(Programmable Electronic System)�,即E/E/PES三個階段��。
安監(jiān)總局116號文件
國家安全監(jiān)管總局于2014年11月13日下發(fā)《國家安全監(jiān)管總局關于加強化工安全儀表系統(tǒng)管理 指導意見(安監(jiān)總管三〔2014〕116號)》
該意見涉及到了生產(chǎn)��,設計����,管理等多個方面。HAZOP分析���,SIL等級評估��,安全系統(tǒng)驗證����,老裝置安全系統(tǒng)安全等級評估�,安全系統(tǒng)改造等,這些工作將在今后幾年中越來越多�����,越來越重要���!
下圖為由PES構成的SIS
圖1 SIS的構成
SIS安全儀表系統(tǒng)
(1) SIF安全儀表功能可以是安全儀表保護功能����,也可以是安全儀表控制功能,或包含這兩者���。
(2) 需要說明的是�,這里所說的安全儀表控制功能��,是指以連續(xù)模式(Continuous Mode)操作并具有特定的SIL,用于防止危險狀態(tài)發(fā)生或者減輕其發(fā)生的后果����,與常規(guī)的PID控制功能是完全不同的概念。
(3) SIS可以包括或不包括軟件
(4) SIS的一部分也可能是人的動作
如圖2所示�����,這是一個氣液分離容器A液位控制的安全儀表功能回路圖�。對這個安全儀表功能完整的描述是:當容器液位開關達到安全聯(lián)鎖值時�,邏輯運算器(圖3)使電磁閥2斷電,則切斷進調(diào)節(jié)閥膜頭信號�����,使調(diào)節(jié)閥切斷容器A進料,這個動作要在3秒內(nèi)完成���,安全等級必須達到SIL2�����。這是一個安全儀表功能的完整描述�,而所謂的安全儀表系統(tǒng)�,則是類似一個或多個這樣的安全儀表功能的集合。
圖2 安全儀表回路圖
圖2 說明:
L液面超高-L1接點閉合-Z帶電�����。
Z1常閉接點打開�,S線圈斷電。
S電磁閥切斷�����,往調(diào)節(jié)閥膜頭的控制信號調(diào)節(jié)閥切斷工藝進料����,完成聯(lián)鎖保護作用。
K起:按鈕開關:起動聯(lián)鎖保護回路兼有復位作用��。
K停:起人工強制起動聯(lián)鎖保護作用。
K旁:旁路聯(lián)鎖保護作用�,用于開車或檢修聯(lián)鎖信號儀表。
圖3 SIS邏輯圖
大多石油和化工生產(chǎn)過程具有高溫��、高壓�、易燃、易爆����、有毒等危險。當某些工藝參數(shù)超出安全極限���,未及時處理或處理不當時��,便有可能造成人員傷亡��、設備損壞�����、周邊環(huán)境污染等惡性事故。這就是說�,從安全的角度出發(fā),石油和化工生產(chǎn)過程自身存在著固有的風險��。
總之,SIS是一種經(jīng)專門機構認證����,具有一定安全完整性水平,用于降低生產(chǎn)過程風險的儀表安全保護系統(tǒng)�����。它不僅能響應生產(chǎn)過程因超過安全極限而帶來的風險����,而且能檢測和處理自身的故障,從而按預定條件或程序使生產(chǎn)過程處于安全狀態(tài)�,以確保人員、設備及工廠周邊環(huán)境的安全����。
按照SIS的定義,下述系統(tǒng)均屬于安全儀表系統(tǒng):
安全聯(lián)鎖系統(tǒng)(Safety Interlock System—SIS)���;
安全關聯(lián)系統(tǒng)(Safety Related System—SRS)����;
儀表保護系統(tǒng)(Instrument Protective System—IPS)����;
透平壓縮機集成控制系統(tǒng)(Integrated Turbo & Compressor Control System—ITCC)���;
火災及氣體檢測系統(tǒng)(Fire and gas systems—F&G);
緊急停車系統(tǒng)(Emergency Shutdown Device—ESD)��;
燃燒管理系統(tǒng)(Burner Management System)��;
列車自動防護系統(tǒng)(ATP)
2�、SIS的相關標準及認證機構
鑒于SIS涉及到人員、設備����、環(huán)境的安全,因此各國均制定了相關的標準�、規(guī)范,使得SIS的設計�、制造、使用均有章可循�����。并有權威的認證機構對產(chǎn)品能達到的安全等級進行確認�����。這些標準�����、規(guī)范及認證機構主要有:
(1)我國石化集團制定的行業(yè)標準SHB-Z06-1999《石油化工緊急停車及安全聯(lián)鎖系統(tǒng)設計導則》����。
(2)2006年、2007年等同采用IEC61508�����、IEC61511的中國國家標準GB/T20438���、GB/T21109相繼發(fā)布���,中國的功能安全標準開始規(guī)范我國的功能安全工作。
(3)國際電工委員會1997年制定的IEC 61508/61511標準�����,對用機電設備(繼電器)����、固態(tài)電子設備����、可編程電子設備(PLC)構成的安全聯(lián)鎖系統(tǒng)的硬件����、軟件及應用作出了明確規(guī)定。
(4)美國儀表學會制定的ISA-S84.01-1996《安全儀表系統(tǒng)在過程工業(yè)中的應用》��。
(5)美國化學工程學會制定的AICHE(ccps)-1993�����,《化學過程的安全自動化導則》��。
(6)英國健康與安全執(zhí)行委員會制定的HSE PES-1987�,《可編程電子系統(tǒng)在安全領域的應用》。
(7)德國國家標準中有安全系統(tǒng)制造廠商標準-DIN V VDE 0801��、過程操作用戶標準-DIN V 19250和DIN V 19251����、燃燒管理系統(tǒng)標準-DIN VDE 0116等。
(8)德國技術監(jiān)督協(xié)會(T?V)是一個獨立的��、權威的認證機構,它按照德國國家標準(DIN)�,將ESD所達到的安全等級分為AK1~AK8,AK8安全級別最高��。其中AK4�、AK5�����、AK6為適用于石油和化學工業(yè) 取得T?V認證的SIS產(chǎn)品����。
在國內(nèi)石化行業(yè)中應用的SIS產(chǎn)品中,經(jīng)過T?V認證的主要有:
(1) Tricon��、Triden���,美國Triconex公司開發(fā)用于壓縮機綜合控制(ITCC)和緊急停車系統(tǒng)����。安全等級為AK6(SIL3)��。
(2) FSC(Fail safe control)����,由荷蘭P&F(Pepper&Fuchs)公司開發(fā)�����,1994年被Honeywell公司收購�����。安全等級AK6(SIL3)
(3) 和利時集團HiaGuard(SIS)�����,我國首套獲T?V SIL3認證的安全儀表系統(tǒng)����。
(4) HIMA PES���,HIMA是德國一家專業(yè)生產(chǎn)安全控制設備的公司��,PES (Programmable Electronic System)是可編程電子系統(tǒng)的簡稱�����,是近幾年來國內(nèi)引進較多的一種安全儀表系統(tǒng)���。主要由H41q和H51q系統(tǒng)組成�。H41q也叫小系統(tǒng)�,它分為不冗余的系統(tǒng)和冗余的系統(tǒng),不冗余系統(tǒng)型號為H41q—M����,冗余系統(tǒng)又分為高可靠系統(tǒng)H41q—H和高性能系統(tǒng)H41q—HR�����。H51q稱為模塊化的系統(tǒng)��,它也分為不冗余的系統(tǒng)和冗余的系統(tǒng)�,不冗余的系統(tǒng)型號為H51q—H和高性能系統(tǒng)H51q—HR。各種型號的PES都具有T?V AK1~6級認證��。(儀控工程網(wǎng)在線學習頻道�����,有關于HIMA公司及產(chǎn)品的介紹)
(5) Prosafe—RS����,是橫河電機安全儀表系統(tǒng)�,其特點是與CENTUMCS.3000 R3的技術融合����,即實現(xiàn)了與DSC的無縫集成。非冗余取量即可實現(xiàn)SIL3�,通過冗余取量實現(xiàn)更高的可用性。
(6) QUADLOG�,由MOORE公司開發(fā),日本橫河電機公司收購后稱prosafe plc�,其1oo2D結構安全等級達AK6 (SIL3);
(7) SIMATICS7—400F/FH��,德國SIEMENS公司產(chǎn)品����。400F和400FH分別為1個CPU和2個CPU運行fail-safe(F)用戶程序,均取得TUV認證��,安全等級為AK1~AK6(SIL1~SIL3)�;
(8) Regent Trusted,美國ICS利用宇航技術開發(fā)的安全系統(tǒng)����。安全等級AK4~AK6(SIL2~SIL3);
(9) GMR90-70����,美國GE Fanuc公司開發(fā)���。其中GMR90-70(模塊式冗余容錯)的安全等級為class 5(2oo3),class 4(1oo2)和class 5(2oo2)����;
(10) TRIGUARD SC300E, AUGUST公司開發(fā)��,1999年成為ABB集團成員之一�����,安全等級為class 5和class 6�,系統(tǒng)結構為2oo3����;
(11) DeltaV SIS是艾默生推出的T?V認證的新型整體回路概念的智能安全儀表系統(tǒng),安全等級SIL3��。
(12) Safeguard 400&300�,ABB Industry公司開發(fā),系統(tǒng)結構1oo2D�。
3����、SIS和DCS的比較
DCS與由PES構成的SIS的主要區(qū)別有:
(1) 系統(tǒng)的組成:DCS一般是由人機界面操作站�、通信總線及現(xiàn)場控制站組成;而SIS系統(tǒng)是由傳感器��、邏輯解算器和最終元件三部分組成����。及DCS不含檢測執(zhí)行部分。
(2) 實現(xiàn)功能:DCS用于過程連續(xù)測量�、常規(guī)控制(連續(xù)、順序���、間歇等)操作控制管理使生產(chǎn)過程在正常情況下運行至最佳工況�����;而SIS是超越極限安全即將工藝�����、設備轉(zhuǎn)至安全狀態(tài)����。
(3) 工作狀態(tài):DCS是主動的、動態(tài)的�,它始終對過程變量連續(xù)進行檢測、運算和控制�����,對生產(chǎn)過程動態(tài)控制確保產(chǎn)品質(zhì)量和產(chǎn)量���。而SIS系統(tǒng)是被動的����、休眠的 ��。
(4) 安全級別:DCS安全級別低��,不需要安全認證����;而SIS系統(tǒng)級別高�����,需要安全認證��。
(5) 應對失效方式:DCS系統(tǒng)大部分失效都是顯而易見的,其失效會在生產(chǎn)的動態(tài)過程中自行顯現(xiàn)����,很少存在隱性失效;SIS失效就沒那么明顯了����,因此確定這種休眠系統(tǒng)是否還能正常工作的唯一方法,就是對該系統(tǒng)進行周期性的診斷或測試�。因此安全儀表系統(tǒng)需要人為的進行周期性的離線或在線檢驗測試,而有些安全系統(tǒng)則帶有內(nèi)部自診斷�。
4、SIS設計應遵循的原則
(1) 原則上應獨立設置(含檢測和執(zhí)行單元)����;
(2) 中間環(huán)節(jié)最少;
(3) 應為故障安全型�;
(4) 采用冗余容錯結構。
5���、故障安全原則
組成SIS的各環(huán)節(jié)自身出現(xiàn)故障的概率不可能為零�����, 且供電����、供氣中斷亦可能發(fā)生。
當內(nèi)部或外部原因使SIS失效時����,被保護的對象(裝置)應按預定的順序安全停車,自動轉(zhuǎn)入安全狀態(tài)(Fault to Safety)�,這就是故障安全原則。
具體體現(xiàn):
(1) 現(xiàn)場開關儀表選用常閉接點�,工藝正常時,觸點閉合��,達到安全極限時觸點斷開���,觸發(fā)聯(lián)鎖動作�����,必要時采用“二選一”、“二選二”或“三選二”配置��。
(2) 電磁閥采用正常勵磁����,聯(lián)鎖未動作時��,電磁閥線圈帶電����,聯(lián)鎖動作時斷電��。
(3) 送往電氣配電室用以開/停電機的接點用中間繼電器隔離���,其勵磁電路應為故障安全型����。
(4) 作為控制裝置(如PLC)“故障安全”意味著當其自身出現(xiàn)故障而不是工藝或設備超過極限工作范圍時���,至少應該聯(lián)鎖動作����,以便按預定的順序安全停車(這對工藝和設備而言是安全的)���;進而應通過硬件和軟件的冗余和容錯技術����,在過程安全時間(PST-Process Safety Time)內(nèi)檢測到故障,自動執(zhí)行糾錯程序��,排除故障�����。
6��、隱故障與顯故障
隱故障(Covert Fault):不對危險產(chǎn)生報警����,允許危險發(fā)展的故障,是故障危險故障(SHB-Z06-1999)����。Covert Fault:Fault that can be classified as hidden, concealed�����,undetected�, unrevealed, latent�, ect. (ISA-S84.01-1996)
顯故障(Overt Fault):能顯示出故障自身存在的故障,是故障安全故障(SHB-Z06-1999)��。Overt Fault:Fault that can be classified as announced��, detected��, revealed��,ect.(ISA-S84.01-1996)
SIS系統(tǒng)拒動:當工藝條件達到或超過安全極限時��,SIS本應引導工藝過程停車�����,但由于其自身存在隱性故障(危險故障)�����,譬如輸出開關被誤連短路����,而不能響應此要求,即該停車而拒停���,降低了安全性��。危險失效定義為這樣一些失效���,這些失效會阻止SIS系統(tǒng)對潛在的危險工況做出反應�����。
SIS系統(tǒng)誤動:在圖4中����,當輸出開關由于某種原因處于非激勵狀態(tài)�,即使?jié)撛诘奈kU工況沒有發(fā)生,SIS也會進入一種安全失效狀態(tài)見圖5��,這種情況經(jīng)常被稱為“誤動”����。誤動可能會以許多不同方式發(fā)生。例如����,輸入電路可能會發(fā)生故障,從而使邏輯解算器誤認為是傳感器檢測到了危險工況��,而事實上并沒有這種情況發(fā)生���。邏輯解算器本身也可能出現(xiàn)運算錯誤�����,并導致輸出回路失電����,輸出回路可能出現(xiàn)開路��。SIS的許多元件失效均會導致系統(tǒng)進入安全失效狀態(tài)����。
圖4 正常運行時的正常激勵系統(tǒng)
圖5
PFS(安全故障概率):正常激勵的SIS系統(tǒng)在它的輸出非激勵時,就會處于故障狀態(tài)�����,這有一個概率����。稱為安全故障概率(PFS),或稱誤動率��。
PFD(要求時失效概率):這是一個衡量安全性的指標��,稱為要求時失效概率�����。它意味著系統(tǒng)是危險的。它不會再要求(潛在的緊急條件)發(fā)生時產(chǎn)生響應�。
SIS的功能安全
安全儀表系統(tǒng)必須在工業(yè)系統(tǒng)出現(xiàn)危險情況時正確執(zhí)行其對應的安全功能,安全儀表系統(tǒng)的這種特性被稱為功能安全�����。
功能安全實際上講的是SIS系統(tǒng)自身的安全問題���。
如圖6示安全儀表系統(tǒng)����,該系統(tǒng)由一個壓力變送器���、一個閥門和一個安全PLC組成的SIS系統(tǒng)��。
(1) 壓力變送器檢測容器內(nèi)壓力并將其變換成合適的信號傳送給安全PLC���,安全PLC判斷若壓力超過了額定值則打開閥門以降低容器內(nèi)壓力,這被稱為安全系統(tǒng)的一個安全功能���。很明顯例子中儀表安全系統(tǒng)只有一個安全功能�。如果三個設備有一個或多個失效,安全功能將失效��,即它將不能對壓力容器內(nèi)壓力進行限制�����。因此安全儀表系統(tǒng)的安全性能由傳感器��、邏輯解算器和執(zhí)行器三部分功能決定��。
(2) SIS安全功能實際上講的是讓SIS執(zhí)行什么樣的安全任務���,如何保護受控設備。
圖6 反應器的安全儀表系統(tǒng)
7����、安全性及響應失效率
(1) 當工藝條件達到或超過安全極限值時,SIS本應引導工藝過程停車���,但由于其自身存在隱故障(危險故障)而不能響應此要求��,即該停車而拒停����,降低了安全性。
(2) 衡量安全性的指標為響應失效率或稱要求的故障率(PFD:Probability of Failure on Demand)����。它是安全聯(lián)鎖系統(tǒng)按要求執(zhí)行指定功能的故障概率。是度量安全聯(lián)鎖系統(tǒng)按要求模式工作故障率的目標值(SHB-Z06-1999)�。
(3) 不同的工業(yè)過程(如生產(chǎn)規(guī)模、原料和產(chǎn)品的種類�����、工藝和設備的復雜程度等)對安全的要求是不同的�����。上述的國際標準將其劃分為若干安全完整性等級(SIL:Safety Integrity Level)�。
安全完整性等級Safety Integrity Level(SIL)
安全完整性等級(SIL)是一種離散的等級,用來規(guī)定分配給E/E/PE安全相關系統(tǒng)安全功能的安全完整性要求��。
(1) 安全完整性等級可分為4個等級�����,SIL4是安全完整性最高的等級(平均概率最高)����,SIL1是最低等級�;
(2) 安全完整性等級越高����,應執(zhí)行所要求的安全功能的概率也越高;
(3) 根據(jù)安全相關系統(tǒng)使用方式���,要求發(fā)生的頻率可分為低要求操作模式(<=1次/年)和高要求或連續(xù)操作模式(>1次/年)���。
根據(jù)GB/T 20438標準,在不同的操作模式下����,安全完整性的目標失效概率和目標風險降低見下表1-1和1-2��。
采用不同的操作模式結構有可能使用幾個安全完整性等級較低的系統(tǒng)來滿足一個較高安全完整性等級功能的需要(例如:使用一個SIL2和一個SIL1的系統(tǒng)共同來滿足一個SIL3功能的需要)��。
表1-1 安全完整性等級:要求時的失效概率
表1-2 安全完整性等級:SIF的危險失效概率
表1-3 SIL與PFD的對應關系
8����、可用性及可用度
工藝條件并未達到安全極限值,SIS不應引導工藝過程停車�,但由于其自身存在顯故障(安全故障)而導致工藝過程停車,即不該停車而誤停,降低了可用性���。
可用度(A:Availability)是指系統(tǒng)可使用工作時間的概率�,用百分數(shù)計算:
MTBF:平均故障間隔時間(Mean Time Between Failures)
MDT:平均停車時間(Mean Downtime)
MTBF:平均故障間隔時間(Mean Time Between Failure)
MTTR:平均恢復時間(Mean Time to Repair)
MTTF:平均無故障時間(Mean Time to Failure)
例如:
9�����、冗余和容錯
冗余(Redundant)
具有指定的獨立的N:1重元件�,并且可以自動地檢測故障,切換到后備設備上�。(SHB – Z06 – 1999)
冗余系統(tǒng)(Redundant System)
并行地使用多個系統(tǒng)部件,以提供錯誤檢測和錯誤校正能力的系統(tǒng)�。(SHB – Z06 – 1999)。
容錯(Fault Tolerant)
具有內(nèi)部冗余的并行元件和集成邏輯��,當硬件或軟件部分故障時���,能夠識別故障并使故障旁路�,進而繼續(xù)執(zhí)行指定的功能����;蛟谟布蛙浖l(fā)生故障的情況下�,系統(tǒng)仍具有繼續(xù)運行的能力����。它往往包括三方面的功能:第一是約束故障����,即限制過程或進程的動作,以防止在錯誤被檢測出來之前繼續(xù)擴大;第二是檢測故障���,即對信息和過程或進程的動作進行動態(tài)檢測;第三是故障恢復即更換或修正失效的部件�����。(SHB – Z06 – 1999)
容錯系統(tǒng)(Fault Tolerant System)
具有容錯結構的硬件與軟件系統(tǒng)��。(SHB – Z06 – 1999)
總之����,通過冗余和故障屏蔽的結合來實現(xiàn)容錯��。容錯系統(tǒng)一定是冗余系統(tǒng)���,冗余系統(tǒng)不一定是容錯系統(tǒng)。容錯系統(tǒng)的冗余形式有雙重�、三重�、四重等��。圖8和圖9�����、圖10分別表示CPU冗余(雙機熱備)和三重化冗余容錯系統(tǒng)��。
圖8 CPU冗余(雙機熱備)
圖9 三重模塊冗余容錯系統(tǒng)
圖10 三重信號冗余容錯系統(tǒng)
怎樣通過冗余來改善系統(tǒng)的整體SIL水平
(1) 當一個SIS系統(tǒng)的安全完整性等級要求為SIL3����,而實際配置為傳感器為2.2?10-3(SIL 2),邏輯解算器為1.3?10-4(SIL3)(包括I/O接口)��,終端執(zhí)行器為2.41?10-3(SIL2),所以整個系統(tǒng)為SIL2不滿足要求���。
(2) 于是我們改變傳感器的配置結構��,選擇1oo2冗余����,其中共因失效=10%����,診斷覆蓋率(DC)=90%����,可以算出1oo2傳感器的結構的PFD=2.3?10-4�,達到SIL3的水平,同理可以配置執(zhí)行器為1oo2冗余結構�,也可達到SIL3的要求,于是最終整體SIS系統(tǒng)的SIL可以達到SIL3的要求�。
(3) 這個問題的解決給我們以啟示,當裝置引進一個SIS系統(tǒng)時����,整體安全完整性等級不僅取決于邏輯解算器部分,而且傳感器����、終端執(zhí)行器部分也非常關鍵。配置系統(tǒng)時��,除了引進一個SIL3的安全儀表系統(tǒng)�����,譬如FSC等��,還要將傳感器���、終端執(zhí)行器一并討論���。算出SIS整體的SIL數(shù)據(jù),定量的安全儀表系統(tǒng)配置任務才算完成�。
冗余表決方法及其安全性、可用性的關系
可用性(A:Availability)是指系統(tǒng)可使用工作時間(連續(xù)運行時間)的概率���,用百分數(shù)計算A值越大�,可用性越好:
A = MTBF/(MTBF MTTR)
而PFD= MTTR /(MTBF MTTR)
PFD越小則安全性越好��。
冗余邏輯表決方法及安全性-可用性的關系例子如下表所示�。
表2 冗余邏輯的表決方法及其與安全性、可用性的關系
以上可見:
(1)隱故障(危險故障)使SIS該動而拒動���,隱故障概率越高�,安全性越差�。
(2)顯故障(安全故障)使ESD不該動而誤動,顯故障概率越高��,可用性越差���。
1oo2(二選一)安全性最好��,但可用性最差;2oo2(二選二)可用性最好�����,但安全性最差;2oo3(三選二)可兼顧��。
10�、普通PLC和安全PLC的區(qū)別
普通PLC和可以作為ESD控制部分的安全PLC的主要區(qū)別是:普通PLC不是按故障安全型設計的,當系統(tǒng)內(nèi)部元件出現(xiàn)短路故障時��,它并不能檢測到����,因此其輸出狀態(tài)不能保證系統(tǒng)回到預定的安全狀態(tài)。這種PLC只能用于安全度等級要求低的場合��,F(xiàn)以輸出電路為例予以說明�。
圖11 普通PLC DO卡示意圖
普通PLC DO卡
(1) 當1、2兩點短路時�,來自PLC的控制信號將不起作用(失效),電磁閥將一直處于帶電(勵磁)狀態(tài)��,即需要聯(lián)鎖動作(電磁閥釋電停車)時�,由于此故障的存在而拒動,其輸出不能保證處于安全停車狀態(tài)。這就是違背了故障安全(Fault to Safety)的原則�。
(2) 當1����、2兩點開路時,將導致誤動作而停車�����,同樣會帶來損失�。可見����,這種普通PLC的DO卡輸出電路的安全性和可用性都是不高的。
圖12 安全性單容錯DO卡示意圖
安全性單容錯DO卡
圖12所示為一種帶有安全性單容錯的DO卡示意圖(它是Honeywell SMS FSC-101型輸出示意圖)���。
這里���,中央處理器不僅向串聯(lián)的場效應管(FET)發(fā)出控制信號,而且還接受來自場效應管的狀態(tài)反饋信號����,以便對其輸出進行全面測試。當測得某管輸出發(fā)生短路時,中央處理器即啟動糾錯動作�����,隔離相關的故障�。看門狗(Watch Dog)是個多通道的計時器電路��。它由中央處理器和內(nèi)存等周期性地觸發(fā)�����,如果兩個觸發(fā)之間的時間小于某設定值或者大于某最大值����,則看門狗的輸出將失效。同時看門狗還能監(jiān)視內(nèi)部工作電壓���,使之在正常的電壓范圍內(nèi)���。
普通PLC和安全PLC的區(qū)別
以上僅是DO卡上的差別。作為安全PLC�,至少應具備以下幾點:
(1) 滿足相關安全標準規(guī)范要求,且經(jīng)過權威機構認證����,取得了相應安全等級證書;
(2) 在硬件和軟件上采用冗余��、容錯措施�,具有完善的測試手段����,當檢測到系統(tǒng)故障��,特別是危險故障時能使系統(tǒng)回到安全狀態(tài);
(3) 能進行系統(tǒng)故障報警�,指示故障原因、故障位置���,便于在線維護;
能與DCS或其它設備進行通訊���。
11、工藝過程風險的評估及安全度等級的評定
不同的工藝過程(生產(chǎn)規(guī)模���、原料和產(chǎn)品的種類��、工藝和設備的復雜程度等)對安全的要求是不同的�。一個具體的工藝過程�����,是否需要配置SIS、配置何種等級的SIS�,其前提應該是對此具體的工藝過程進行風險評估,要進行危險及可操作性分析(HAZOP)���,然后辨識出與此分析相應的安全儀表功能(SIF),(找到一個安全儀表連鎖回路)��,再根據(jù)風險出現(xiàn)的頻率和其產(chǎn)生的嚴重后果��,找到一個與此SIF相應的SIL值����,在確定了某個安全儀表功能的完整性等級(SIL)之后����,再配置與之相適應的SIS。表1-3可以看出���,若某工藝過程的所需SIF經(jīng)評定后為SIL 2���,則配置達到AK4的SIS即可,其響應失效率(PFD)為百分之一至千分之一之間��。
(1) 應該注意的是不同安全級別的SIS,只能確保響應失效率(PFD)在一定的范圍內(nèi)��,安全級別越高的SIS����,其PFD越小,即發(fā)生事故的可能性越小�����,但它不能改變事故造成的后果���。因此,工藝過程安全完整性等級的評定是一項十分重要的工作���。但目前我國尚無如何評定安全完整性等級的標準和規(guī)范���。國際、國外標準中提供了某些評定方法����。下面介紹的風險矩陣(RISK MATRIX)評估方法可供參考。
(2) 這種方法以工藝過程事故出現(xiàn)的頻率(可能性)及其危害程度(嚴重性)為風險評估的指標��,并對頻率和危害程度人為量化為若干級,作出矩陣表(見表3)����。以此確定工藝過程度安全完整性等級。
表3 風險矩陣
風險矩陣
(1)表3中頻率分級的年限(多少年出現(xiàn)一次)考慮了采用DCS進行監(jiān)視��、控制以及正常操作規(guī)程等對于降低事故出現(xiàn)頻率的貢獻�����,但不考慮ESD的存在�。
(2)表3中危害程度從經(jīng)濟損失、人身傷害和環(huán)境危害三個方面予以量化�。如表4所示。
