安全仪表系统(SIS)简介

安全仪表系统简介 浙江浙大中自集成控制股份有限公司 www.sunytech.com * 石油化工安全保护级别 1. Process 2. DCS -集散控制系统 3. Alarm Operators-操作员报警 4. SIS 安全仪表系统 5. Relief Devices 释放设备 6. Physical protection(F&G） 物理保护 7. Emergency Response 紧急响应 工艺过程 SIS系统对风险的控制 0 安全仪表系统 (Safety Instrumented System - SIS) 仪表保护系统(Instrument Protection System- IPS) 安全联锁系统 (Safety Interlocking System - SIS) 紧急停车系统 (Emergency Shut-Down System - ESD) 安全仪表系统（SIS）： 仪表系统用于实现1个或多个安全仪表功能.安全仪表系统包括传感器（SENSOR）、逻辑运算器（Logic solver) 和最终执行元件(Final element) . 安全仪表系统(SIS) ANSI/ISA-84.01 Application of Safety Instrumented Systems for the Process Industries IEC 61508 Functional Safety of electrical / electronic /programmable electronic safety-related system IEC 61511 Functional Safety Instrumented systems for the Process Industry Section DIN V 19250 Programmable Safety System IEC 61131 Programmable Controllers SH/T3018-2003 石油化工安全仪表系统 设计 领导形象设计圆作业设计ao工艺污水处理厂设计附属工程施工组织设计清扫机器人结构设计 规范 编程规范下载gsp规范下载钢格栅规范下载警徽规范下载建设厅规范下载 （中华人民 共和国石油化工行业 标准 excel标准偏差excel标准偏差函数exl标准差函数国标检验抽样标准表免费下载红头文件格式标准下载 ） SIS用标准规范 Design code for safety instrumented system in petrochemical industry SIS功能及基本要求 安全仪表系统（SIS）在生产装置的开车、停车阶段，运行扰动以及维护操作期间，对人员健康、装置设备及环境提供安全保护。无论是生产装置本身出现的故障危险，还是人为因素导致的危险以及一些不可抗拒因素引发的危险，SIS系统都应立即作出正确反应并给出相应的逻辑信号，使生产装置安全联锁或停车，阻止危险的发生和事故的扩散，使危害减少到最小。 SIS系统应具备高的可靠性（Reliability) 、可用性（Availability）和可维护性（Maintainability）。当SIS系统本身出现故障时还能保证提供安全保护功能。 SIS与DCS的区别 DCS SIS DCS用于过程连续测量、常规控制（连续、顺序、间歇等）、操作控制管理，保证生产装置平稳运行。 DCS是“动态”系统，它始终对过程变量连续进行检测、运算和控制，对生产过程动态控制，确保产品质量和产量。 DCS可进行故障自动显示 DCS对维修时间的长短的要求不算苛刻。 DCS可进行手动/自动切换 DCS系统只做一般联锁、泵的开停、顺序控制，安全级别不像SIS那么高。 SIS用于监视生产装置的运行状况，对出现异常工况迅速进行处理，使故障发生的可能性降到最低，使人和装置处于安全状态。 SIS是静态系统，在正常工况下，它始终监视装置的运行，系统输出不变，对生产过程不产生影响，在异常工况下，它将按着预先设计的策略进行逻辑运算，使生产装置安全停车。 SIS必须测试潜在故障。 SIS维修时间非常关键，弄不好造成装置安全停车。 SIS永远不允许离线运行，否则生产装置将失去安全保护屏障。 SIS与DCS相比，在可靠性，可用性上要求更严格。ISC61508，ISA.S84.01强烈推荐SIS与DCS硬件独立设置。 冗余（Redundant） 用多个相同模块或部件实现特定功能或数据处理。 容错（Fault Tolerant） 功能模块在出现故障或错误时，仍继续执行特定功能的能力。 安全度等级（Safety Integrity Level - SIL） 用于描述安全仪表系统安全综合评价的等级。 故障危险概率（Probability of Failing Dangerously - PFD） 能够导致安全仪表系统处于危险或失去功能的故障出现的概率。 SIS常用术语 故障安全（Failing to Safe - FTS） 安全仪表系统发生故障时，使被控制过程转入预定安全状态 可用性（Availability） 系统可以使用工作时间的概率。如系统的可用性为99.99% ，意味着在10000小时的工作将有1小时的故障中断时间。 可靠性（Reliability） 指系统在规定时间间隔(t)内发生故障的概率。如系统一年内的可靠性为99.99％意味者系统一年中工作时失败的概率为 0.01％。 SIS常用术语 表决（Voting） 用多数原则确定结果。 1oo1D (1 out of 1D) 1取1带诊断 1oo2 (1 out of 2) 2取1 1oo2D (1 out of 2D) 2取1带诊断 2oo3 (2 out of 3) 3取2 2oo4D (2 out of 4D) 4取2带诊断 SIS常用术语 安全度等级 (SIL) Safety Integrity Level SIS的安全度等级是由构成SIS系统的三个单元的SIL来初步确定的: SIL回路= SIL传感器+ SIL逻辑单元+SIL执行机构 例如传感器为SIL2级,而SIL2每年故障概率平均值为0.01~0.001，取中间值为0.005；逻辑单元为SIL3级，取中间值为0.0005 ；执行机构为SIL1级，取中间值为0.05，则 PFDavg= 0.005+ 0.0005+ 0.05=0.0555， 初步确定为SIL1级。 即一个回路的安全度等级由其构成的三个单元中最低的SIL等级决定 对于传感器和执行机构，如果不能满足安全功能的SIL等级要求，可以通过马尔可夫模型（Markov Model）计算，确定选取1OO2D、2OO3、2OO4D等配置 方案 气瓶 现场处置方案 .pdf气瓶 现场处置方案 .doc见习基地管理方案.doc关于群访事件的化解方案建筑工地扬尘治理专项方案下载 。 为使一个工艺装置达到安全目标需在IEC61508与61511及ISA S84.01安全标准的基础上，对工艺过程进行故障分析，采用风险评估的 方法 快递客服问题件处理详细方法山木方法pdf计算方法pdf华与华方法下载八字理论方法下载 ，来确定装置及SIS系统的SIL等级要求。 安全度等级的初步确定 1.继电器系统 采用单元化结构，由继电器执行逻辑； 可靠性高，具有故障安全特性，电压适用范围宽，一次性投资较低； 体积大，灵活性差，进行功能修改或扩展不方便，无串行通信功能，无报告和文档功能。 2.固态电络系统 采用模块化结构，采用独立固态器件通过硬接线来构成系统，实现逻辑功能； 结构紧凑，可进行在线测试，易于识别故障，易于更换和维护，可进行串行通信，可配置成冗余系统； 灵活性不够，逻辑修改或扩展必须改变系统硬连线，大系统操作费用较高。 3.可编程电子系统 以微处理器技术为基础的PLC，采用模块化结构，通过微处理器和编程软件来执行逻辑； 方便灵活的编程能力，有内部自测试和自诊断功能可进行双重化串行通信，可配置成冗余或冗余容错系统，可带操作和编程终端，可带时序事件记录（SER）； SIS应采用经TUV安全认证的PLC系统。 SIS分类 SIS系统设计选用原则 SIS独立于过程控制系统(DCS或其他系统），独立完成安全保护功能。 当过程达到预定条件时，SIS动作，使被控制过程转入安全状态； 根据对过程危险性及可操作性分析，人员、过程、设备及环保要求，安全度等级确定SIS的功能等级； SIS应设计成故障安全型； SIS应采用经TUV安全认证的PLC系统； SIS应具有硬件、软件诊断和测试功能； SIS构成应使中间环节最少； SIS的传感器、最终执行元件宜单独设置； SIS应能和DCS、MES等进行通信； SIS实现多个单元保护功能时，其公用部分应符合最高安全等级要求 SIS传感器设计选用 独立设置原则： 1级 SIS传感器可与DCS共用； 2级 SIS传感器宜与DCS分开； 3级 SIS传感器应与DCS分开； 冗余设置原则： 1级 SIS传感器可采用单一的传感器； 2级 SIS传感器宜采用冗余的传感器； 3级 SIS传感器应采用冗余的传感器； 冗余选择原则： 看重系统的安全性时，采用“或”逻辑结构； 看重系统的可用性时，采用“与”逻辑结构； 系统的安全性和可用性均需保证时，采用 “三取二”逻辑结构； 传感器宜采用隔爆型的变送器（压力、差压、差压流量、差压液位、温度），不宜采用各类开关传感器；SIS用传感器供电由SIS系统提供. SIS最终执行元件设计选用 最终执行元件：气动切断阀（带电磁阀）；气动控制阀（带电磁阀） 电动阀或液动阀等 独立设置原则: 1级 SIS 阀门可与DCS共用，应确保SIS优先于DCS动作； 2级SIS阀门宜于DCS分开； 3级SIS阀门宜于DCS分开； 冗余设置原则： 1级 SIS 可采用单一阀门； 2级宜采用冗余阀门；如采用单一阀门，电磁阀 宜冗余配置； 3级宜采用冗余阀门；冗余配置阀门可采用一个控制阀和一个切断阀； 电磁阀设置原则： 看重系统的安全性时，冗余电磁阀宜采用“与”逻辑连接； 看重系统的可用性时，冗余电磁阀宜采用“或”逻辑连接； 电磁阀应采用长期带电，低功耗，隔爆型； 电磁阀电源应由SIS系统提供； SIS逻辑运算器设计选用 SIS逻辑运算器：继电器系统，可编程序电子系统，混合系统三种； 继电器用于I/O点较少,逻辑功能简单的场合； 可编程电子系统用于I/O点较多,逻辑功能复杂，与DCS、MES通信等场合； 可编程电子系统可以是经TUV认证的PLC系统，也可是DCS和其他专用系统； 独立设置原则： 1级SIS逻辑运算器宜与DCS分开； 2级SIS逻辑运算器应与DCS分开； 3级SIS逻辑运算器必须与DCS分开； 冗余设置原则： 1级SIS可采用单一的逻辑运算器； 2级SIS宜采用冗余或容错逻辑运算器 其中CPU电源单元，通信单元应冗余配置，I/O模件宜冗余配置； 3级SIS应采用冗余容错逻辑运算器； 其中CPU电源单元，通信单元，I/O模件 应冗余配置； SIS工程设计中注意的问题 I/O模件应带光/电或电磁隔离，带诊断，带电插拔； 来自现场的三取二信号应分别接到三个不同的输入卡； SIS关联现场变送器或最终执行元件应由SIS系统供电； 当现场变送器信号同时用于SIS、DCS时，应先接到SIS系统后接到DCS系统； I/O模件连接的传感器和最终执行元件应设计成故障安全型； SIS 不应采用现场总线通信方式； SIS工程设计中注意的问题 SIS负荷不应超过50~60%； SIS电源应冗余配置； SIS采用等电位接地。 SIS关联的传感器及最终执行元件，在正常工况应是带电（励磁）状态；在非正常工况应是失电（非励磁）状态； SIS关联的电磁阀采用冗余配置时，有两种方式： 并联连接 可用性好； 串联连接 安全性好； SIS与DCS等系统通讯连接 设置在现场机柜室的SIS与DCS采用冗余通信方式； 设置在现场机柜室的SIS与CCR中的AMS站采用非冗余通信方式； 设置在现场机柜室的SIS与CCR中的SER站采用非冗余通信方式； 设置在现场机柜的SIS与CCR中的SIS采用冗余安全以太网通信方式；网络交换机完全冗余运行； 设置在现场机柜室的SIS与CCR中的SIS工程师站采用SIS系统总线非冗余通信方式； 在CCR辅助操作台上安装的紧急停车按钮、开关、选择器、旁路开关等用硬线接到CCR的SIS控制器，通过冗余安全以太网通信接到现场机柜室SIS控制器进行逻辑运算。 DCS与SIS的集成 IEC 61508中没有强制要求SIS系统必须独立设置，但它强烈建议DCS和SIS两种系统分离。它们之间的分离可使用同种分离或异种分离。 从目前的情况看，同种分离意味着DCS和SIS系统使用同一制造商的相同技术，譬如使用同一个DCS制造商生产的SIS。而异种分离则意味着DCS和SIS使用同一制造商或不同制造商的不同技术。同种分离有助于降低随机失效，在设计上和维护上有一些优势，因为它降低了维护错误的可能性。异种分离有利于降低系统失效率和减小共因失效。 DCS与SIS的集成 以前，工厂控制系统DCS和安全仪表系统SIS往往分别设计、分别建设，主要原因是控制系统的可靠性不足以保证安全系统的可靠性，由于近十年以来，随着3C技术的进步，DCS技术的发展，其可靠性大幅度提高，成本降低，系统的健壮性(POBUST)也达到与SIS系统相当的水平，对DCS在承担安全功能的任务的担心减少了。使得DCS与SIS的无缝集成问题成为设计者、生产制造商、终端用户共同关心的问题，并且已提到应用的议事日程上来了。只要非安全功能的失效不会引起安全功能的危险失效，即可考虑DCS与SIS的集成使用。 Modbus 集成 在石化企业的生产装置中，目前DCS与SIS之间多采用控制器间硬连线通信方式（Modbus通信等）集成，从而将SIS数据传送到DCS系统中。如下图1所示： Modbus 集成 Modbus 集成 这样做是由于DCS和SIS是两个独立的系统，不同的网络、不同的控制器和人机界面。原因主要是由于他们来自不同的供应商；需要单独的系统设计，单独的物理设备组态软件、算法逻辑组态软件、人机界面组态软件，不同的维护方式；连接两套系统的额外工作等。给实际工作带来很多不便，因此无缝集成的问题就摆在了制造商、设计和终端用户面前。 OPC集成 面向过程控制的OLE即OPC技术已经成为系统和设备之间通讯的实质性的标准。EMRSON DeltaV SIS 通过OPC将SIS和DCS连接起来。OPC数据存取（DA）实现了实时的数据集成。采用EMRSON成熟的OPC Mirror，DeltaV SIS中的数据可方便的配置到已装在DCS 中的OPC服务器中。集成化还包括OPC报警和事件，它向特定的工厂事件记录器提供SIS预报和事件信息。 实现上述事件采集功能的理想选择是EMRSON的PlantWide Event Historian 事件记录软件，它采用SQL数据库，可采集多种来源、带时间标记的事件并集成到单个企业事件历史记录软件中。 DCS与SIS集成的解决方案 DCS与SIS的集成一般有三种情况： 第一种情况：DCS与SIS采用不同的硬件结构（不同的控制器）、不同的控制网络、不同的人机界面，即前述的异种分离。将这样不同的系统通过网关相互连接，以便进行数据交换。两个系统使用不同的工程组态工具。这种方式可以称为不同控制器不同网络的集成。 DCS与SIS集成的解决方案 第二种情况：DCS与SIS有不同的硬件结构的控制器，但采用统一的网络（统一的通信网络），使用共同的工程组态工具，工程上一个网络可加快项目的执行速度。 第三种情况：DCS与SIS使用共同的硬件即同一种控制器。同一个通信网络，同一个人机界面，即DCS和SIS在物理上集成、在逻辑上分开的无缝集成。标准DCS程序和安全SIS程序平行执行，相互独立。 DCS与SIS无缝集成应用实例 SIS 工程师站 DCS HIS 人机界面 DCS FCS 控制器 安全数据到FCS（通过位号读取） … DCS ENG 工程师站 以太网 控制网 SIS 控制器 … DCS与SIS无缝集成解决方案 无缝集成是指图2系统为同一厂家的SIS、DCS控制器，即统一的硬件结构，同一个网络，同一个人机界面，简单容易的系统设计对于DCS系统和SIS系统不必设计成分离的方案和通信。 DCS与SIS之间流畅的数据交换不需要任何网关/接口单元，共同的人机界面，可以显示报警画面、系统报警画面；SOE采集和显示FCS的时间和安全事件。集成系统中的设备时钟同步。 SIS是整体通过TUV SIL3认证的工业安全系统 SIS和DCS通过控制网直接集成 控制网络是一个安全通信协议通过TUV认证。 SIS提供完全彻底的全厂高安全性、高可用性和高效率的解决方案。 如何实现DCS与SIS的无缝集成 首先由于共同的系统结构提供了非常容易的系统设计，DCS系统和SIS系统不必设计成分离的方案和通信，DCS与SIS之间流畅的数据交换不需要任何网关/接口单元，集成系统中的设备时针同步。 其次，一套共同的通信网络可加快项目的执行，既可实现SIS安全控制器之间的数据交换，DCS也可以通过位号读取SIS系统中的数据，不需要接口单元。控制网络是一个安全通信协议通过TUV认证。DCS的HIM是控制网的时钟主站，通过标准的控制网（例如YOKOGAWA的Vnet网）功能进行时钟同步。 如何实现DCS与SIS的无缝集成 首先由于共同的系统结构提供了非常容易的系统设计，DCS系统和SIS系统不必设计成分离的方案和通信，DCS与SIS之间流畅的数据交换不需要任何网关/接口单元，集成系统中的设备时钟同步。 其次，一套共同的通信网络可加快项目的执行，既可实现SIS安全控制器之间的数据交换，DCS也可以通过位号读取SIS系统中的数据，不需要接口单元。控制网络是一个安全通信协议通过TUV认证。DCS的HMI是控制网的时钟主站，通过标准的控制网（例如YOKOGAWA的Vnet网）功能进行时钟同步。 如何实现DCS与SIS的无缝集成 再次，在操作上，由于有共同的操作和监控平台，便于实施有效的操作，DCS的HMI操作站提供集成的操作平台，可显示控制组、趋势、流程图、报警和历史信息窗口的集成显示，SIS位号和DCS信号可以同时处理，不需要特别的组态。DCS数据和SIS数据可以显示在同一个窗口中。 再次，一套人机界面。可在HMI上通过位号读取DCS和SIS的数据，控制数据和安全数据在相同的窗口中；DCS和SIS系统状态和信息、过程报警和事件信息可以显示在同一窗口中一个人机界面而提高操作效率。 DCS与SIS无缝集成解决方案 紧急情况时的操作环境：在紧急情况发生时，操作人员可以很快得到所需要的信息，迅速而准确地作出判断，并立即采取行动。 紧急停车后的故障原因分析环境：SIS的SOE功能为事故的原因分析，提供了有力的手段。SIS的SOE功能的时间分辨率为1毫秒。例如，设备停车时，一般是过程控制器先检测到过程报警，然后安全控制器记录SOE，SIS可以将这两种过程合并在一起，将安全系统的报警和过程控制器的报警合并显示，将有助于事故原因的分析。DCS和SIS的时钟可以实现同步。 维护作业时的操作环境：控制系统和安全仪表系统在统一的人机界面下进行维护作业有助于防止误操作。例如，对将要维护的设备切换到旁路，然后进行维护防止误操作，SIS的维护信息也可以在DCS的操作员站上显示。 DCS与SIS集成解决方案的比较 方案 工作 DCS与SIS的无缝集成 DCS与SIS集成现状 比 较 系统设计 统一系统设计及机柜设计，一套无缝集成的方案 DCS和SIS分离的设计方案 无缝集成将更节省时间和人力，系统的总体性能更优。 人机界面 集成的人机界面可以同时显示来自DCS和SIS的信息 DCS和SIS分离的人机界面 无缝集成可以加快系统的实施并节省人力。在装置开车和日后的运行过程中提高操作人员的操作效率，减少误操作的发生。集成的报警和事件记录便于故障分析。 系统通讯连接 一套控制网络 不同的控制网络、只能通过Modbus通讯等实现实时数据的通讯。 集成现状方案要额外增加连接两套系统的工作量，也不便于日后的维护，而且只能在DCS上看到实时数据，无法看到SIS的系统诊断信息、报警信息、SOE信息。DCS和SIS之间无法时钟同步。无缝集成方案可以完全解决以上问题，而不需要花费额外的人力和时间。 系统维护 统一的维护规程 DCS和SIS两套不同的维护规程 无缝集成方案将更加节省维护成本并提高维护效率。 DCS与SIS无缝集成解决方案 近十年来，DCS与SIS集成的实例应用已有相当业绩，例如，德国PROFIBUS协会（PNO）在1999年初，在PROFIBUS的基础上，提出了PORFI safe安全应用接口标准，使安全系统与控制系统通信和集成成为可能。目前，已有包括石油化工在内的3000多套系统应用。其优点是： （1）PROFI safe和PROFIBUS标准功能的系统可以共存、 连接和通信； （2）大幅度降低电缆成本和设备成本； DCS与SIS无缝集成解决方案 （3）设备诊断和状态监视变得简单； （4）减轻了维护人员和设计人员的技术负担； （5）备品备件还可减少。由于现场总线技术也通过了 SIL认证，故安全系统也可和现场安全仪表产品、 现场总线（HART、Foundation field bus）、DCS 产品、工厂仪表设备资产资源管理系统（AMS、PRM）集成，使用统一的人机界面和工作站，功能大大增强。 YOKOGAWA Prosafe-RS安全控制器可以使DCS控制系统和SIS安全仪表控制系统无缝集成在一起（CENTUM CS3000与Prosafe-RS无缝集成），使操作人员全面掌握DCS和SIS的信息，也有广泛应用。 SIS 设计应用举例 SIS系统网络原理图(Safety peer-to-peer net) SIS系统网络原理图(远程I/O-Remote I/O) Remote I/O Switching Hub EWS SOE ODC CCR FAR SIS01 DCS AMS Net AMS Server Redundant ModBus Comm Hardware connection by splitek Redundant Ethernet Net Elco calde SIS console SIS02 注：在CCR内，每个SIS系统对应一个三重光纤连接的Remote I/O系统。 Triple F.O 系统网络 浙江浙大中自集成控制股份有限公司 www.sunytech.com *