sis-設計中應注意的幾個問題

1、<p>　　SIS 設計中應注意的幾個問題</p><p>　　摘要: 在SIS設計中,回路設計的基本原則; 可用性和安全性及其關注的重點.</p><p>　　關鍵詞:SIS,可用性,安全性,硬件容錯能力</p><p>　　1．什么是安全儀表系統(tǒng)(SIS)</p><p>　　根據(jù)IEC 61511的定義，安全儀表系統(tǒng)是指實現(xiàn)一

2、個或者多個安全儀表功能（Safety Instrument Function)的儀表系統(tǒng)，它通常由傳感器，邏輯運算器和執(zhí)行元件組成。</p><p>　　所謂的安全儀表功能，類似于我們傳統(tǒng)說法上的安全儀表回路。一個安全儀表功能由5個要素組成： 傳感器，邏輯運算器，執(zhí)行元件，安全完整性等級（SIL）和響應時間。</p><p>　　圖1 安全儀表回路圖</p><p>

3、;<b>　　說明：</b></p><p>　　L液面超高-L1接點閉合-Z帶電。</p><p>　　Z1常閉接點打開，S線圈斷電。</p><p>　　S電磁閥切斷，往調(diào)節(jié)閥膜頭的控制信號調(diào)節(jié)閥切斷工藝進料，完成聯(lián)鎖保護作用。</p><p>　　K起：按鈕開關：起動聯(lián)鎖保護回路兼有復位作用。</p>

4、<p>　　K介：起人工強制起動聯(lián)鎖保護作用。</p><p>　　K旁：旁路聯(lián)鎖保護作用，用于開車或檢修聯(lián)鎖信號儀表。</p><p><b>　　圖2 SIS邏輯圖</b></p><p>　　如圖1所示，這是一個容器A液位控制的安全儀表功能。對這個安全儀表功能完整的描述是：當容器液位開關達到安全聯(lián)鎖值時，邏輯運算器（圖2）使電

5、磁閥2斷電，則切斷進調(diào)節(jié)閥膜頭信號，使調(diào)節(jié)閥切斷容器A進料，這個動作要在3秒內(nèi)完成，安全等級必須達到SIL2。這是一個安全儀表功能的完整描述，而所謂的安全儀表系統(tǒng)，則是類似一個或多個這樣的安全儀表功能的集合。</p><p><b>　　2．SIS設計原則</b></p><p>　　安全儀表系統(tǒng)的主要作用是在工藝生產(chǎn)過程發(fā)生危險故障時將其自動或手動帶回到預先設計的安

6、全狀態(tài)，以確保工藝裝置的生產(chǎn)的安全，避免重大人身傷害及重大設備損壞事故。在安全儀表系統(tǒng)的設計過程中，IEC 61508，IEC 61511提供了極好的國際通用技術規(guī)范和參考資料。IEC于2000年5月發(fā)布了IEC 61508標準，2003年1月頒布IEC 61511標準。這兩個標準有很密切的關系，IEC 61508標準是綜合性基礎標準，主要為裝置的制造商和供應商使用，IEC 61511可以說是IEC 61508的延續(xù)，主要針對具體的儀器

7、儀表設計者和用戶使用。2006年，2007年等同采用IEC 61508，IEC 61511的中國國家標準 GB/T 20438，GB/T 21109相繼發(fā)布，中國的功能安全標準開始規(guī)范我們的功能安全工作。在安全儀表系統(tǒng)的設計領域，通常將IEC 61508與IEC 61511 結合使用。在安全儀表系統(tǒng)回路設計過程中，一般需要遵循下列幾點原則。</p><p>　　2．1 SIS設計的可靠性原則（安全性原則）<

8、/p><p>　　為了保證工藝裝置的生產(chǎn)安全，安全儀表系統(tǒng)必須具備與工藝過程相適應的安全完整性等級SIL（Safety Integrity Level）的可靠度。對此，IEC 61508進行了詳細的技術規(guī)定。對于安全儀表系統(tǒng)，可靠性有兩個含義，一個是安全儀表系統(tǒng)本身的工作可靠性；另一個是安全儀表系統(tǒng)對工藝過程認知和聯(lián)鎖保護的可靠性，還應有對工藝過程測量，判斷和聯(lián)鎖執(zhí)行的高可靠性。</p><p&g

9、t;　　評估安全完整性等級SIL的主要參數(shù)就是PFDavg(probability of failure on demand 平均危險故障率)，按其從高到低依次分為1~4級。在石化行業(yè)中一般涉及到的只有1，2，3級，因為SIL4級投資大，系統(tǒng)復雜，一般只用于核電行業(yè)。</p><p>　　詳細分類見表1 所示</p><p>　　表1 SIL等級與故障幾率相應關系</p>&

10、lt;p>　　IEC 61508 對安全儀表功能所屬的過程工藝定義了兩種模式：低要求(Low demand)模式和高要求(High demand)模式。而IEC 61511則稱之為要求模式和連續(xù)模式。兩種分類方式有著類似的含義，我們只分析低要求模式和高要求模式。低要求模式和高要求模式定義上的區(qū)別在于，低要求模式下，安全儀表功能每年被執(zhí)行的次數(shù)少于一次，并且每個驗證測試周期中不超過2次。而高要求模式每年安全儀表功能被執(zhí)行的次數(shù)超過一

11、次，每個驗證測試周期中執(zhí)行次數(shù)超過2次。通常來講，石化化工等行業(yè)所采用的EDS，F(xiàn)GS，BMS等系統(tǒng)，均屬于低要求模式。因為正常情況下，每年安全功能被執(zhí)行的次數(shù)是不會超過一次的。當然，實際的應用過程中，有可能有些工廠的SIS系統(tǒng)每年動作多次。那并不意味著它的工藝就是高要求模式，可能是由于不 合理的工藝設計，操作習慣等因素的影響。</p><p>　　那么在低要求模式和高要求模式下，SIL等級與故障幾率相應的關系見

12、表1。</p><p>　　可以看到，低要求模式下，SIL等級的定義是按平均每次動作發(fā)生故障的幾率（PFD）來表示。石化化工行業(yè)常見的SIL3級別，代表著每次執(zhí)行安全功能，發(fā)生故障的幾率是10-3 到10-4。而在高要求模式下，SIL等級則以每小時發(fā)生故障的幾率（PFH）來表示。SIL3級別意味著每小時發(fā)生故障的幾率是10-8 到10-7。而IEC 61511的要求模式和連續(xù)模式下，SIL等級也是分別用PFD和

13、PFH來表示，各個級別的故障幾率與IEC 61508的規(guī)定相同。</p><p>　　提高安全儀表系統(tǒng)的SIL等級，對安全儀表系統(tǒng)回路內(nèi)的各個部分實行冗余是主要的手段?？傮w來說，檢測元件的冗余原則為：對于安全儀表系統(tǒng)的SIL1 回路，可采用單一的檢測元件；對于安全儀表系統(tǒng)的SIL2回路，宜采用“1oo2D”或 “2oo3”冗余的檢測元件；對于安全儀表系統(tǒng)的SIL3回路，應采用“2oo3”冗余的檢測元件。安全儀表系

14、統(tǒng)控制單元的冗余原則為：SIL1 可采用“1oo1D”單控制單元；SIL2 宜采用“1oo2D”或“2oo3” 冗余控制單元；SIL3 應采用“2oo3”或 “2oo4D” 冗余控制單元。安全儀表系統(tǒng)執(zhí)行機構的冗余設置原則為：SIL1可采用單電磁閥，單控制閥；SIL2宜采用冗余電磁閥，單控制閥；SIL3 應采用冗余電磁閥，雙控制閥。安全儀表冗余控制閥可以為分別帶電磁閥的兩個開關閥，也可以為帶電磁閥的一個調(diào)節(jié)閥和一個開關閥。</p&

15、gt;<p>　　2．2 SIS設計的可用性原則</p><p>　　可用性（也稱可用度）是指安全儀表系統(tǒng)在一個給定的時間點能夠正確執(zhí)行功能的概率。常用下面公式表示：</p><p>　　A=MTBF/（MTBF+MDT）</p><p><b>　　其中：</b></p><p>　　A---------

16、-可用性</p><p>　　MTBE----平均無故障工作時間</p><p>　　MDT------平均停車時間</p><p>　　要使系統(tǒng)可用度增加，就要增加平均無故障工作時間（MTBF），或減少平均停車時間（MDT）。對于安全儀表系統(tǒng)的設計而言，不能一味的追求系統(tǒng)的高可靠性，系統(tǒng)的可用性也需要考慮。正確的判斷過程事故，可以減少裝置的非正常停車，減少開，停車

17、造成的經(jīng)濟損失。</p><p>　　為了提高系統(tǒng)的可用性，安全儀表系統(tǒng)應具有硬件和軟件自診斷和測試功能。安全儀表系統(tǒng)應為每個輸入工藝聯(lián)鎖信號設置維護旁路開關，方便進行在線測試和維護同時減少因安全儀表系統(tǒng)系統(tǒng)維護造成的停車。需要注意的是用于三選二表決方案的冗余檢測元件不需要旁路，手動停車輸入也不需要旁路。同時嚴禁對安全儀表系統(tǒng)輸出信號設立旁路開關，以防止誤操作而導致事故發(fā)生。如果SIL計算表明測試周期小于工藝停車

18、周期，而對執(zhí)行機構進行在線測試時無法確保不影響工藝而導致誤停車，則安全儀表系統(tǒng)的設計應當根據(jù)需要進行修改，通過提高冗余配置以延長測試周期或采用部分行程測試法，對事故狀態(tài)關閉的閥門增加手動旁通閥，對事故狀態(tài)開啟的閥門增加手動截止閥等措施，以允許在線測試安全儀表系統(tǒng)閥門。這些手段對于提供安全儀表系統(tǒng)的可用性都是很有幫助的。</p><p>　　2．3 SIS設計的獨立性原則</p><p>　

19、　安全儀表系統(tǒng)應獨立于基本過程控制系統(tǒng)（BPCS，如DCS，F(xiàn)CS，CCS，PLC等），獨立完成安全保護功能。安全儀表系統(tǒng)的檢測元件，控制單元和執(zhí)行機構應單獨設置。如果工藝要求同時進行聯(lián)鎖和控制的情況下，安全儀表系統(tǒng)和BPCS應各自設置獨立的檢測元件和取源點（個別特殊情況除外，如配置三取二檢測元件，進DCS信號三取中，進安全儀表系統(tǒng)三取二，經(jīng)過信號分配器公用檢測元件）。如需要，安全儀表系統(tǒng)應能通過數(shù)據(jù)通信連接以只讀方式與DCS通信，但禁

20、止DCS通過該通信連接向安全儀表系統(tǒng)寫信息。安全儀表系統(tǒng)應配置獨立的通信網(wǎng)絡，包括獨立的網(wǎng)絡交換機，服務器，工程師站等。安全儀表系統(tǒng)應采用冗余電源，由獨立的雙路配電回路供電。應避免安全儀表系統(tǒng)和BPCS的信號接線出現(xiàn)同一接線箱，中間接線柜和控制柜內(nèi)。</p><p>　　2．4 SIS設計的標準認證原則</p><p>　　隨著安全標準的推出以及對安全系統(tǒng)重視度的不斷提高，安全儀表系統(tǒng)的認

21、證也變得越來越重要，系統(tǒng)的設計思想，系統(tǒng)結構都須嚴格遵守相應國際標準并取得權威機構的認證。安全儀表系統(tǒng)必須獲得IEC 61508 SIL和/或TUV AK（德）相應SIL等級的認證。安全儀表系統(tǒng)系統(tǒng)中使用的硬件，軟件和儀表必須遵守正式版本并已商業(yè)化，同時必須獲得國家有關防爆，計量，壓力容器等強制認證。嚴禁使用任何試驗產(chǎn)品。</p><p>　　2．5 故障安全原則</p><p>　　當安

22、全儀表系統(tǒng)的元件，設備，環(huán)節(jié)或能源發(fā)生故障或者失效時，系統(tǒng)設計應當使工藝過程能夠趨向安全運行或者安全狀態(tài)。這就是系統(tǒng)設計的故障安全行原則。能否實現(xiàn)“故障安全“取決于工藝過程及安全儀表系統(tǒng)的設計。整個SIS，包括現(xiàn)場儀表和執(zhí)行器，都應設計成以下絕對安全形式，即：1）現(xiàn)場觸點應開路報警，正常操作條件下閉合；2）現(xiàn)場執(zhí)行器聯(lián)鎖時不帶電，正常操作條件下帶電。</p><p>　　對于執(zhí)行器，如切斷閥，一般情況下SIS應設

23、計成安全聯(lián)鎖動作時，切斷閥在安全的即失氣的狀態(tài)。當有多個不同的工藝回路對該切斷閥有不同動作要求時；如同一個FC（失氣時關）切斷閥，A安全聯(lián)鎖動作時要求該閥門全開；另一個B安全聯(lián)鎖動作時要求該閥門全關。此時就要求SIS在A安全聯(lián)鎖中輸出“1“使電磁閥帶電閥門全開，在B安全聯(lián)鎖中輸出”0“使電磁閥失電閥門全關。</p><p>　　以上的說明是通常情況下的故障安全。其實對于故障安全還應具體情況具體分析，要確定最有可能

24、發(fā)生的故障狀態(tài)，并不是一律“常閉接點，正常帶電“。</p><p>　　2．6 SIS的冗余原則</p><p>　　為了提高安全儀表系統(tǒng)的SIL等級，對系統(tǒng)的各個單元實現(xiàn)冗余是必須的。其基本原則為：</p><p>　　傳感器的冗余原則：對于SIS的SIL1回路，可采用單一的傳感器；對于SIS的SIL2回路，宜采用“1oo2D” 或“2oo3”冗余的傳感器；對于S

25、IS的SIL3的回路，應采用“2oo3”冗余的傳感器。</p><p>　　SIS邏輯表決算器的冗余原則：SIL1可采用“1oo1D”單邏輯單元；SIL2宜采用“1oo2D” 或“2oo3” 冗余邏輯單元；SIL3宜采用“2oo3” 或“2oo4D” 冗余邏輯單元；</p><p>　　SIS控制閥的冗余設置原則：SIL1可采用單電磁閥，單SIS控制閥；SIL2宜采用冗余電磁閥，單SIS控

26、制閥；SIL3應采用冗余電磁閥，雙SIS控制閥；</p><p>　　SIS冗余控制閥為分別帶電磁閥的兩個SIS開關閥，也可為帶電磁閥的1個調(diào)節(jié)閥加1個SIS開關閥；冗余輸入的SIS邏輯應當包括輸入信號偏差報警（2個變送器的信號偏差，報警設定值為5%）.</p><p>　　2．7 SIS的診斷與在線維護原則</p><p>　　SIS應具有硬件和軟件自診斷及測試功

27、能。SIS應為每個輸入工藝聯(lián)鎖信號設置維護旁路開關，方便進行在線測試和維護。用于3選2表決方案的冗余傳感器不需要旁路，手動停車輸入也不需要旁路。嚴禁對SIS輸出信號設立旁路開關。如果SIL計算表明測試周期小于工藝停車周期，而對最終執(zhí)行元件進行在線測試時無法確保不影響工藝或?qū)е抡`停車；則SIS的設計應當根據(jù)需要進行修改，通過提高冗余配置以延長測試周期或采用部分行程測試法，對故障關的閥門增加手動旁通閥，對故障開的閥門增加手動截止閥等措施，以

28、允許在線測試SIS閥門。對于SIS聯(lián)鎖旁路應設置“禁止/允許”開關。SIS旁路開關的動作應當在DCS中產(chǎn)生報警并予以記錄。除非旁路解除，報警始終處于活動狀態(tài)。</p><p>　　2．8 維護旁路開關（MOS）設置</p><p>　　2．8．1 MOS作用</p><p>　　維護旁路開關(Maintenance Override Switch,MOS)為SIS的

29、變送器，檢測開關等現(xiàn)場設備的在線檢修設置。由于在旁路狀態(tài)下SIF的功能及其安全完整性都是受限的。因此旁路的設計和操作管理，成為SIS工程中重要的關注點之一。</p><p>　　旁路操作本身應有報警，記錄和顯示；在旁路期間也應始終保持對工藝過程狀態(tài)的檢測和指示。旁路操作應有明確的操作程序，并納入到功能安全評估和現(xiàn)場功能安全審計的范圍之內(nèi)。重要的一點，旁路設計應僅限于正常的工藝過程操作界限之內(nèi)，不能代替或用作安全防

30、護層功能。</p><p>　　2．8．2 設置 MOS要遵循以下原則：</p><p>　　1） 當傳感器被旁路時，操作人員有其它手段和措施觸發(fā)該傳感器對應的最終執(zhí)行元件，使工藝過程置于安全狀態(tài)；</p><p>　　2）當傳感器被旁路時，操作人員有其它手段和措施監(jiān)測到該傳感器對應的過程參數(shù)或狀態(tài)。</p><p>　　3）當傳感器被旁路時

31、，操作人員有其它手段和措施，并有足夠的響應時間取代該傳感器相關的SIF，將工藝過程置于安全狀態(tài)。</p><p>　　4）MOS不能用于屏蔽手動緊急停車按鈕信號，檢測壓縮機工況的軸振動/位移信號以及報警功能等；</p><p>　　5）MOS的啟動狀態(tài)應有適當?shù)娘@示。旁路狀態(tài)的時間不宜太長，如果對該時間有嚴格的限定，可設計“時間到”報警，但是不能自動解除旁路狀態(tài)。</p>&

32、lt;p>　　對于MooN表決機制的變送器信號，MOS邏輯設計要考慮降級模式對安全性和可用性的影響。例如，從安全性角度，2oo3旁路后應降級1 oo2；而對于停車將造成重大經(jīng)濟損失的回路，2oo3旁路設計可能采用降級為2oo2。</p><p>　　2．9 聯(lián)鎖與復位設置</p><p>　　SIS的設計應保證一旦工藝過程進入安全狀態(tài)，在進行手動復位前應保持工藝過程在安全狀態(tài)。最終執(zhí)

33、行元件在所有的聯(lián)鎖初始條件恢復到正常狀態(tài)前不得復位。帶多個傳感器和最終執(zhí)行元件的復雜聯(lián)鎖回路需要在邏輯中設置一個總聯(lián)鎖復位信號（按鈕），當聯(lián)鎖初始條件恢復到正常狀態(tài)之后，能用該復位信號（按鈕）對整個聯(lián)鎖回路進行復位。對火焰加熱爐，氣化爐，反應器等高危險設備的最終執(zhí)行元件，需配備一個獨立的，就地手動復位裝置?？偮?lián)鎖復位必須在就地手動復位前先復位，就地手動復位裝置的信號必須輸入SIS邏輯。</p><p>　　2．1

34、0 SIS邏輯控制器的應用軟件組態(tài)</p><p>　　在SIS 可編程邏輯控制器中，應用軟件編程組態(tài)遵循的最重要原則，是如何保證滿足安全完整性要求。邏輯控制器的整體性能表現(xiàn)，在很大程度上受制于軟件的質(zhì)量。我們知道，安全完整性包括硬件安全完整性和系統(tǒng)性安全完整性。其中軟件錯誤或缺陷是影響系統(tǒng)性安全完整性的重要因素之一。不幸的是，我們很難對軟件失效建立數(shù)學模型并對失效率進行準確預測。</p><

35、p>　　應用軟件設計和組態(tài)應遵循模塊化，低復雜性的指導原則。按照工藝過程特點和防護邏輯，劃分為相對獨立。簡單的單元或?qū)哟?，這將給功能測試和修改帶來極大的便利，有利于增強軟件的完整性。不論設計文件采用哪種格式，包括因果圖（Cause-Effect）,功能邏輯圖，流程圖，文字敘述等形式，都要足夠詳細，確保對停車邏輯，設定值，報警，診斷以及時序等的正確組態(tài)?；凇敖?jīng)驗使用”原則，盡可能采用標準功能或功能塊。如果需要采用；嵌套”邏輯，應盡

36、可能地降低嵌套層。</p><p>　　2．11 SIS的其它設計原則</p><p>　　SIS必須獲得IEC 61508 SIL和/或TUV AK（德）相應SIL等級的認證。鑒于某些特殊原因，需要由SIS執(zhí)行的非安全功能應在因果圖上明確標明（如“非安全功能”，“NSF”，SIL=“N/A” 或其它標識）并在其他SIS設計文件中指明。非安全功能的動作，如果由SIS執(zhí)行則不得干擾或危及SI

37、S的任何安全功能。SIS系統(tǒng)中使用的硬件，軟件和儀表必須遵守正式版本并已商業(yè)化， 同時必須獲得國家有關防爆，計量，壓力容器等強制認證。嚴禁使用任何試驗產(chǎn)品。</p><p>　　2．12 SIL的最終評估</p><p>　　當按照安全要求規(guī)格書的要求，完整了SIS設備的選型和結構設計，自然地要回答這一問題，最終的SIF是否達到了預期的SIL要求？</p><p>

38、　　SIF的最終SIL評估，通常有兩個必要條件：一是評定SIS子系統(tǒng)是否滿足了“結構約束(Architectural Constraints)要求，在IEC 61508/IEC 61511中，結構約束條款用最小的“硬件故障裕度”(Hardware Fault Tolerance,HFT)表征，代表了設備或子系統(tǒng)在構成SIL回路時，從硬件結構上對安全完整性等級的限制。</p><p>　　2． 13 結構約束<

39、;/p><p>　　2．13．1 IEC 61508中的結構約束</p><p>　　結構約束是除PFD avg之外，在某個特定應用中使用某個設備的附加約束。</p><p>　　根據(jù)設備類型及其SFF（安全失效分數(shù)，也有稱之為安全故障）和設備所在子系統(tǒng)的HFT(硬件故障裕度，也有稱之為硬件容錯能力）來確定設備子系統(tǒng)能夠用于哪級SIL水平的安全儀表系統(tǒng)。IEC 6150

40、8提供了一張表，分別為設備類型A和B的子系統(tǒng)定義了結構約束，如表3所示。</p><p>　　表3IEC 61508中對A類及B類設備的結構約束</p><p>　　為了便于區(qū)分，IEC 61508將各種組成安全儀表功能的元件分成兩種A型和B型。A型指那些所有故障模式都被定義過，所有故障行為都被定義過，而且有充足的故障數(shù)據(jù)的元件。例如普通傳感器，閥門等。而B型則相反，指那些故障類型沒有

41、被完整的定義，也沒有足夠的故障數(shù)據(jù)的元件，一般指的是含有處理器的元件，例如智能傳感器，邏輯運算器等。</p><p>　　由表3，我們可以看出，確定安全儀表回路各個元件的SIL等級，取決于2個參數(shù)。1是安全失效分數(shù)，2是硬件故障裕度。對自動化產(chǎn)品來說，安全失效分數(shù)的定義為該產(chǎn)品的平均安全失效率加檢測到的平均危險失效率與子系統(tǒng)總平均失效率之比。</p><p><b>　　安全失效

42、分數(shù)</b></p><p>　　SFF= (λSD+λSU+λDD) / (λSD+λSU+λDD+λDu)</p><p>　　提高安全失效分數(shù)，就是提高產(chǎn)品的故障安全能力，也就是說，當產(chǎn)品出現(xiàn)故障時，具有的使系統(tǒng)以安全的方式失效的能力提高安全失效分數(shù)的辦法有很多，最重要的就是提高診斷覆蓋率，也就是用各種內(nèi)部診斷的方式將可能導致危險失效檢測出來提高診斷測試到的危險失效概率在

43、危險失效總概率中的比例。</p><p>　　硬件故障裕度HFT和系統(tǒng)或者元件的結構有關。我們常見的系統(tǒng)或者元件設計結構有1oo1,2oo2,1oo2,2oo3,1oo3,2oo4.這種MooN結構指的是需要總共N個通道中的M個獨立通道來實現(xiàn)安全功能。而硬件容錯能力HFT的定義是，假如硬件容錯能力是X，那么當出現(xiàn)X+1個危險故障時，將會導致安全功能的喪失。所以很明顯，我們可以得出在MooN結構中，硬件容錯能力的計

44、算HFT=N-M。如表2所示。</p><p>　　表2 硬件容錯能力計算表</p><p>　　有時候，冗余的設備是為了提高過程的可用性，而不是為了提高安全性。</p><p>　　硬件故障裕度(Hardware fault tolerance,HFT)是指在能夠正常行使安全功能的情況下，系統(tǒng)結構配置能夠容忍的危險失效數(shù)目。硬件故障裕度有時與冗余配置容易混淆。硬件

45、故障裕度和冗余不是一回事。例如，1oo3,2oo3,3oo3的設備冗余數(shù)都是3，而它們的硬件故障裕度卻分別是2，1，0。有時候，冗余的設備是為了提高過程的可用性，而不是為了提高安全性。</p><p>　　如果某個B類設備具有92%的安全失效分數(shù)，硬件故障裕度為0，根據(jù)表3可得到它滿足SIL2的要求。但一般在實際工程中，結構約束是以另一種方式使用的。已知的是目標SIL水平，設備類型及其安全失效分數(shù)，要確定的是硬件

46、故障裕度。例如，某A類設備的SFF為50%，安全儀表功能的目標SIL水平為2，那么根據(jù)表2硬件裕度為1，所以該設備的子系統(tǒng)需要為1oo2或2oo3之類的冗余配置。</p><p>　　2．13．2 IEC 61511中的結構約束</p><p>　　IEC 61511中要求硬件故障裕度的最低水平應該是SIL水平的函數(shù)。這就是說以達到功能安全為目的的冗余必須與安全儀表功能的目標SIL水平相聯(lián)

47、系。對于現(xiàn)場儀器儀表和非可編程邏輯控制器，其結構約束如表4所示。</p><p>　　表4 IEC 61511中為現(xiàn)場設備規(guī)定的最小硬件故障裕度</p><p>　　按照上表，為了達到SIL2的安全水平必須使用兩個變送器，并且這兩個變送器只需其中一個動作就能夠執(zhí)行安全功能，即1oo2配置。同樣，對于SIL3的安全水平，必須使用三個變送器，配置為1oo3.</p><p

48、>　　IEC 61511中使用另一張表對可編程電子邏輯控制器的結構提出要求，如表5所示。</p><p>　　表5IEC 61511中為邏輯控制器規(guī)定的最小硬件故障裕度</p><p>　　使用此表時也需要計算安全失效分數(shù)SFF。它的使用方法和IEC 61508中的結構約束是一樣的。</p><p><b>　　3 典型的邏輯關系</b&

49、gt;</p><p>　　3． 1 邏輯運算關系</p><p>　　目前在石油化工裝置的安全儀表系統(tǒng)中，安全聯(lián)鎖系統(tǒng)功能是通過邏輯運算實現(xiàn)的，一般是在軟件中采用布爾代數(shù)運算實現(xiàn)。一個安全聯(lián)鎖功能通常包括多段邏輯運算。在實際的應用過程中，除了過程信號的原因?qū)е侣?lián)鎖結果外，還應設置一些其他相關操作手段和信號關系，以確保安全儀表系統(tǒng)的可靠性和可用性。</p><p>

50、　　3． 2 對觸發(fā)聯(lián)鎖結果的處理</p><p>　　根據(jù)工藝過程具體情況，安全聯(lián)鎖系統(tǒng)發(fā)生聯(lián)鎖后的處理方式是不同的。對于不是隨意可逆的工藝過程，當輸入信號越限觸發(fā)聯(lián)鎖后，安全系統(tǒng)應設置自鎖功能以防止過程變量觸發(fā)聯(lián)鎖后又恢復到正常范圍，導致工藝過程不能按正常順序或意外恢復或啟動，再次形成事故，對裝置和人造成危險。為此，應設置人工恢復(Reset)按鈕。當然也有一些工藝過程的安全聯(lián)鎖動作是可逆的，其安全聯(lián)鎖不需設

51、置自鎖功能，系統(tǒng)在過程恢復正常時，可自動回到正常狀態(tài)。對于自動恢復的系統(tǒng)，若工藝過程變化較快，可設置適當寬度的不靈敏區(qū)，消除過程變量處在聯(lián)鎖值邊緣時頻繁觸發(fā)聯(lián)鎖的現(xiàn)象。</p><p>　　3．3 人為啟動聯(lián)鎖和輸入信號旁路開關</p><p>　　典型安全聯(lián)鎖回路設有人工聯(lián)鎖按鈕（Manual），用于需要人為啟動聯(lián)鎖的場合。</p><p>　　為裝置開工過程系統(tǒng)

52、投運，對某些輸入信號要設置旁路開關（ByPass）。當工藝過程變量還未達到正常值時，暫時切斷安全聯(lián)鎖系統(tǒng)的相應輸入信號部分，待過程量正常后才能投運。輸入信號旁路開關有時也用于系統(tǒng)維護和測試過程。</p><p>　　3．4 典型的安全聯(lián)鎖邏輯圖</p><p>　　以某壓力聯(lián)鎖為例，一個典型的安全聯(lián)鎖邏輯關系如圖3所示.</p><p>　　圖3 典型的安全聯(lián)鎖邏輯

53、關系</p><p>　　圖3中用RS觸發(fā)器組成自鎖和人工恢復的邏輯，正常工況電磁閥USOV帶電勵磁，聯(lián)鎖狀態(tài)時電磁閥斷電。</p><p>　　當壓力超限時，首先由轉換器將AI信號轉換DI信號，超限時信號為1，DCS與聲光報警器報警；然后輸入信號與旁路開關信號進行AND運算；如旁路開關未打開則為1，運算結果也為1，再與手動開關進行OR運算，如報警信號為1或者手動開關打開則輸出為0，最后信

54、號進入RS觸發(fā)器。RS觸發(fā)器由兩個與非門（或是或非門）的輸入和輸出交叉連接而成，有兩個輸入端R和S（又稱觸發(fā)信號端）；R為復位端，當R有效時，Q變0，故也稱R為置0端；S為置位端，當S有效時，Q變?yōu)?，稱S為置“1”端；還有兩個互補輸出端Q和Q。當Q=1，Q=0；反之亦然。RS觸發(fā)器的狀態(tài)如表2。</p><p>　　當報警信號為0即S置1端有效，S=0，R=1，此時Q=1，Q=0，電磁閥非勵磁，聯(lián)鎖啟動。當輸入

55、信號正?；謴驼r，S=1，此時若按下復位按鈕，R=0，則Q=0，</p><p>　　表2 RS 觸發(fā)器狀態(tài)表</p><p>　　Q=1，電磁閥為通電狀態(tài)，聯(lián)鎖解除。正常狀態(tài)下S與R端均為1，電磁閥狀態(tài)保持不變。在信號還未恢復正常時按下復位開關，即S=0，R=0，這種情況是不被允許的。</p><p><b>　　4．SIS回路設計</b&g

56、t;</p><p>　　4.1檢測元件的設置</p><p>　　檢測元件的可靠性直接影響到安全儀表系統(tǒng)的安全性能。為減少現(xiàn)場檢測元件故障概率，首先應選擇技術過硬且知名度較高的供貨廠商，一些著名的儀表品牌都已經(jīng)推出了具有安全等級認證的變送器產(chǎn)品，這些產(chǎn)品已獲的IEC 61508 SIL和/或TUV AK（德）相應SIL等級的認證。使得部分檢測元件產(chǎn)品的安全等級有了明確的認定。其次，由于應

57、用在安全儀表系統(tǒng)內(nèi)的普通開關類儀表都是長期不會動作，一旦動作則要求快速響應，但由于觸點粘合或因管線震動等異常狀況可能導致不動作或者誤動作，所以選擇開關類儀表時要慎重考慮。同時，在安全儀表系統(tǒng)中，如檢測元件采用本質(zhì)安全型儀表需考慮的問題較多，例如需要配置安全柵，增加了一個可能產(chǎn)生故障的環(huán)節(jié)造成SIL等級下降等，所以采用隔爆式儀表比較適宜。再次，進行多種結構形式的冗余也是提高可靠性的必要手段，世界上著名的安全儀表制造商均推出了不同結構的系統(tǒng)

58、，有非冗余的，冗余的，冗余容錯的，三重化結構（TMR），四重化結構（QMR）等，原則上說只要是經(jīng)過相關標準的認證且符合系統(tǒng)的安全完整性等級要求就可以采用，需要注意的是冗余的安全儀表系統(tǒng)檢測元件宜當包括輸入信號偏差報警（2個變送器的信號偏</p><p>　　4．2 邏輯設計單元及I/O卡件的設置</p><p>　　在SIS系統(tǒng)中，邏輯運算單元及I/O卡件出現(xiàn)故障的概率是最小的，只占所有元

59、件故障比率的15%，但是隨著SIS系統(tǒng)的不斷發(fā)展，對邏輯運算單元的技術要求卻不斷提高，在現(xiàn)在的SIS設計中，常要求邏輯運算單元帶有自檢測，容錯和巡檢功能，以此來提高整個系統(tǒng)回路的可靠性。</p><p>　　4．3執(zhí)行元件的設置</p><p>　　SIS中執(zhí)行元件選用高溫絕緣耐用型線圈，長期帶電型的低功耗電磁閥，相應的切斷球閥和蝶閥選擇合適的材質(zhì)，防止出現(xiàn)卡塞現(xiàn)象。馬達控制中心電動機的起

60、停信號一般采用220VAC，5A繼電器隔離；中壓電動機（6KV/10KV）起停信號則選用大功率繼電器隔離。</p><p>　　對于關鍵部位的執(zhí)行機構，要選擇多電磁閥多執(zhí)行機構的冗余設置。具體設置方法也需要注意，例如雙電磁閥雙執(zhí)行機構的冗余方式宜采用并聯(lián)結構。</p><p>　　安全儀表系統(tǒng)是檢測元件，各種I/O卡件，控制單元和執(zhí)行機構或元件以及它們之間的信號傳輸關系所構成的完整系統(tǒng)，系

61、統(tǒng)整體的可靠性和可用性與構成系統(tǒng)的各個環(huán)節(jié)密切相關。因此在工程設計過程中考慮系統(tǒng)設計，選型，配置時，必須依據(jù)安全儀表系統(tǒng)的設計原則和相關標準，規(guī)范，結合工藝過程的安全要求，仔細推敲斟酌系統(tǒng)設計的每個細節(jié)，確保安全儀表系統(tǒng)在工藝過程發(fā)生危險情況時真正發(fā)揮安全保護作用。</p><p>　　5 安全儀表系統(tǒng)SIS的可用性</p><p>　　在MooN結構中，1oo2 和2oo3的硬件故障裕度

62、都是1，1oo3 和2oo4的硬件故障裕度都是2。從容錯的能力的角度看，1oo3 和2oo4容錯能力是相同的。那么他們之間的差別在哪里？怎么判斷什么時候采用1oo3,什么時候采用2oo4？,我們看圖4和圖5。</p><p>　　圖4 1oo3結構</p><p>　　圖5 2oo4結構</p><p>　　圖4和圖5中的閥門都是泄放閥，也就是平時是閉合，緊急情

63、況下開啟。圖4表示的是1oo3結構，圖5表示的是2oo4結構。我們可以看到在圖4中，任何兩個閥門，比如B和C發(fā)生危險故障，即想開啟的時候發(fā)現(xiàn)開不起來，只要A仍然正常工作，系統(tǒng)仍然是安全的，安全功能可以通過A執(zhí)行。這表明圖4中的1oo3結構可以容納2個危險故障，其硬件容錯能力為2。圖5中也是類似，4個閥門中任意2個閥門發(fā)生危險故障，比如A，C無法開啟了。只要B，D仍然正常工作，安全功能也仍然能夠?qū)崿F(xiàn)。所以圖5中的2oo4結構硬件容錯能力也

64、是為2。</p><p>　　所以這兩種結構的硬件容錯能力是一樣的。從安全性來說，1oo3和2oo4是一樣的。那么他們的區(qū)別在于可用性。前文我們說過，故障分安全故障和危險故障，或者稱之為顯性故障和隱性故障。硬件故障裕度HFT指的是容納危險故障的能力。HFT與安全性有著直接的聯(lián)系。那么可用性事實上是跟系統(tǒng)容納安全故障的能力有著直接的聯(lián)系，我們可以稱之為Safe Failure Tolerance(SFT).<

65、/p><p>　　同樣我們分析圖4和圖5。圖4中1oo3結構，假如任意一個閥出現(xiàn)安全故障，比如A安全功能直接被執(zhí)行了，也就是A泄放閥直接打開，那么很明顯會馬上造成現(xiàn)場停車。而圖5中2oo4結構下，假如其中一個閥比如A出現(xiàn)安全故障，A打開了，由于BDC都還是關閉的。我們可以看到，系統(tǒng)的安全功能并不會馬上被執(zhí)行。但是如果再出現(xiàn)一個安全故障，比如D也打開了，那么系統(tǒng)的安全功能肯定被執(zhí)行了。系統(tǒng)停車。所以我們說在1oo3的結

66、構下面，系統(tǒng)對安全故障的容納能力SFT是0。而在2oo4結構下，系統(tǒng)對安全故障的容納能力是1。</p><p>　　通過對其他MooN系統(tǒng)的分析，我們也可以得出這樣的結論：系統(tǒng)安全故障容納能力SFT=M-1。如表3所示。</p><p>　　表3 系統(tǒng)安全故障容納能力計算表</p><p>　　從表3我們也可以看出，在硬件故障裕度HFT相同的情況下，要提供可用性，意

67、味著要增加更多的通道，也就是要增加更多的成本。</p><p>　　從上述分析我們可以了解到，安全性和可用性，都取決于系統(tǒng)或者元件的結構設計。安全性高并不意味著可用性一定高。而可用性高，同樣也不意味著安全性一定高。想要設計出科學的SIS系統(tǒng)結構，必須在了解應用需求的基礎上，合理的平衡安全性和可用性，這樣才有可能以最低的成本，滿足最大化的安全性和可用性要求。</p><p>　　關于邏輯控制

68、中微處理器時冗余方式有以下四種.</p><p><b>　　并聯(lián)冗余；</b></p><p>　　此種系統(tǒng)工作方式為：兩個處理器同步運行（即按同一個時鐘）執(zhí)行同一個應用程序，根據(jù)得到的結果（輸出數(shù)據(jù)等）相互比較，判斷系統(tǒng)的狀態(tài)（正常？異常？）</p><p>　　比較結果不同要知道誰故障了很困難。為此，這種系統(tǒng)發(fā)生故障系統(tǒng)只能故障安全停車。

69、</p><p>　　圖1 dual/ 雙重化系統(tǒng)（并聯(lián)冗余）</p><p><b>　　雙工系統(tǒng)：</b></p><p>　　此種系統(tǒng)為待機冗余，即高可用性的雙機熱備系統(tǒng)。主MPU1每隔一定時間告訴備用MPU2：“I’am alive”.我還活著。當主MPU1故障不送信息了， stand by MPU2立即啟動，繼續(xù)維持工作。</

70、p><p>　　圖2 duplex/ 雙工系統(tǒng)</p><p><b>　　雙雙工系統(tǒng)：</b></p><p>　　此系統(tǒng)為雙雙工系統(tǒng)。MPU1中的兩個MPU經(jīng)比較和圖1一樣。如果出了問題，那另一組還照常工作，但要4個MPU。</p><p>　　圖3 biduplex system</p><p&g