SIS是Safety Instrumented System的简称,中文的意思是安全仪表系统, 它是根据美国仪表学会(ISA)对安全控制系统的定义而得名的。安全仪表系统(SIS)包括安全联锁系统、紧急停车系统和有毒有害、可燃气体及火灾检测保护系统等。 简要的说,安全仪表系统(SIS)是指能实现一个或多个安全功能的系统。每个安全功能都能把事故发生的概率和风险降低到一个可以接受的水平。
-
SIS能够检测潜在的危险故障,具有高安全性,覆盖范围宽的自诊断功能。
-
SIS需符合国际安全标准规定的仪表安全标准,从系统开发阶段开始,要接受第三方认证机构的审查,取得认证资格,系统方可投入实际运行。
-
SIS自诊断覆盖率大,维修时检查的点数非常少。诊断覆盖率是指可在线诊断出的故障系统全部故障的百分数。
-
SIS由采取冗余逻辑表决方式的输入单元、逻辑结构单元、输出单元三部分组成系统,逻辑表决的应用程序修改容易,特别是可编程型SIS,根据工程实际,修改软件即可。
-
SIS由局域网、DCSI/F(人机接口)及开放式网络等组成多种系统。
-
SIS设计特别重视从传感器到最终执行机构所组成的回路整体的安全性保证,具有I/O断线、短路等的监测功能。
安全仪表系统(SIS)在生产装置的开车、停车阶段,运行以及维护操作期间,对人员健康、装置设备及环境提供安全保护。无论是生产装置本身出现的故障危险,还是人为因素导致的危险以及一些不可抗拒因素引发的危险,SIS系统都应立即作出正确反应并给出相应的逻辑信号,使生产装置安全联锁或停车,阻止危险的发生和事故的扩散,使危害减少到最小。SIS系统应具备高的可靠性(Reliability) 、可用性(Availability)和可维护性(Maintainability)。当SIS系统本身出现故障时仍能提供安全保护功能。
(1)安全度及安全度等级
安全联锁系统在一定条件和一定时间周期内执行指定安全功能的概率称为安全度。安全联锁系统的安全等级称为安全度等级,用PED(Probability of Failure on Demand)即危险概率来定义。
(2)SIL及SIL分级
SIL是Safety Integrity Level的简称,中文意思是综合安全级别也称为安全度等级。是美国仪表学会(ISA)在S84.01标准中对过程工业中安全仪表系统所作的分类等级,分为1、2、3三级:
SIL1级每年故障危险的平均概率为0.10~0.01之间;
SIL2级每年故障危险的平均概率为0.01~0.001之间;
SIL3级每年故障危险的平均概率为0.001~0.0001之间。
SIL等级的确认:
-
1级:装置可能很少发生事故。如发生事故,不会立即造成环境污染和人员伤亡,经济损失不大。用于本级别的安全仪表系统,需取得SIL1级和TüV2-3级认证,对装置和产品起一般的保护。
-
2级:装置可能偶尔发生事故。如发生事故,对装置和产品有较大的影响,并有可能造成环境污染和人员伤亡,经济损失较大。用于本级别的安全仪表系统,需取得SIL2级和TüV4级认证,对装置和产品提供保护。
-
3级:装置可能经常发生事故。如发生事故,对装置和产品将造成严重的影响,并造成严重的环境污染和人员伤亡,经济损失严重。用于本级别的安全仪表系统,需取得SIL3级和TüV5-6级认证,对装置和产品提供保护。
(3)IEC61508标准
IEC61508标准是国际电工委员会(IEC)对与安全相关的安全控制系统制定的性能安全标准,与ISA的SIL相比,除了覆盖ISA中的SIL1~3等级以外,增加了第四级标准,IEC SIL4级标准每年故障危险的平均概率为0.0001~0.00001之间。
工艺过程的风险是以恶性事故概率及其造成的后果来衡量的。目标安全水平是以可接受的恶性事故概率及其造成的后果来确定的。目标安全水平与恶性事故概率之间的差值就是安全功能的SIL等级,即SIS系统中采用SIL等级的安全功能来使恶性事故概率低于目标安全水平。
SIL等级现有三种技术来确定:定性风险评估技术,半定量风险评估技术及定量风险评估技术。
安全功能故障率
DIN V,19250/ IEC61508标准风险分析图中,IEC61508标准安全度等级SIL与DIN V,19250最小抑制风险级别AK(TüV标准)的对应关系如下表所示:
SIS系统的组成分为传感器部分、逻辑运算部分和最终执行器单元三部分。
其结构简图如下:
传感器单元采用多台仪表或系统,将控制功能与安全联锁功能隔离,即传感器分开独立配置的原则,做到安全仪表系统与过程控制系统的实体分离。
最终执行元件(切断阀、电磁阀)是安全仪表系统中危险性最高的设备。
逻辑运算单元由输入模块、控制模块、诊断回路、输出模块4部分组成。
SIS与DCS在石油、石化生产过程中分别起着不同的作用,如下图所示:生产装置从安全角度来讲,可分为3个层次:第一层为生产过程层,第二层为过控制层,第三层为安全仪表系统停车保护层。
SIS与DCS的区别见下表:
故障
针对控制系统的安全而言,故障分为安全故障和严禁故障。安全故障是指此故障不会引起生产装置灾难性事故,而严禁故障是指故障一旦发生,会引起装置灾难性后果。
可用性(利用率)(Availability)
可用性是指系统可以使用时间的概率,用字母A表示。其表达式为:
A=平均工作时间(MTTF)/(平均工作时间(MTTF)+平均修复时间(MTTR)
下表以ESS为例,说明系统的可用性(利用率)情况:
-
在第1种情况下,ESS与装置两者都处于可用状态。
-
在第2种情况下,ESS与装置两者都处于不可用状态。
-
在第3种情况下,ESS处于不可使用状态,而装置继续运行,但处于危险的可使用状态。
分析上表可知:追求高的可用性,其安全风险大,追求高的安全性,则可用性就要降低。
可靠性(Reliability)
可靠性是指系统在规定的时间间隔内发生故障的概率,用字母R表示。具体来讲,可靠性指的是安全联锁系统在故障危险模式下,对随机硬件或软件故障的安全度。
可靠性计算是根据故障(失效)模式来确定的。
故障模式有显性故障模式(失效-安全型模式)和隐性故障模式(失效-危险型模式)两种。显性故障模式表现为系统误动作,可靠性取决于系统硬件所包含的元器件总数,一般由MTBF表示。隐性故障模式表现为系统拒动作,可靠性取决于系统的拒动作率(PFD),一般表示为:R=1-PFD
牢固性(Integrity)
可靠性与牢固性在意义上极为相似,很难加以区分。
IEC和SP4对安全性(Safety Integrity)的定义:在规定时间和条件下,PES完成安全功能的可靠性。
IEC(WG10):硬件牢固性(Hardware Integrity):是系统安全性的组成部分,它指在危险方式下硬件的随机故障。
英国的PES:安全性(Safety Integrity):安全系统在规定的条件下或者需要它去执行的要求下,按人们的要求完成功能时所表现的特性。
从可靠性、牢固性定义中可以看出,牢固性这个术语用在安全保护系统中,而可靠性的适用范围则相对广泛。
冗余及冗余系统
冗余(Redundant)指为实现同一功能,使用多个相同功能的模块或部件并联。冗余也可定义为指定的独立的N:1重元件,且可自动地检测故障,并切换到备用设备上。
冗余系统(Redundant System)指并行使用多个系统部件,并具有故障检测和校正功能的系统称为冗余系统。
安全仪表系统的冗余包括两部分:逻辑单元本身的冗余;传感器和执行器的冗余。针对不同的场合,冗余的次数及实现冗余的软逻辑不同。
冗错、冗错技术及冗错系统
(1)冗错(Fault Tolerant)是指功能模块在出现故障或错误时,可以继续执行特定功能的能力。进一步讲冗错是指对失效的控制系统元件(包括软件和硬件)进行识别和补偿,并能够在继续完成指定的任务、不中断过程控制的情况下进行修复的能力。冗错是通过冗余和故障屏蔽(旁路)的结合来实现的。
(2)冗错技术是发现并纠正错误,同时使系统继续正确运行的技术,包括错误检测和校正用的各种编码技术、冗余技术、系统恢复技术、指令复轨、程序复算、备件切换、系统重新复合、检查程序、论断程序等。
(3)冗错系统是对系统中的关键部件进行冗余备份,并且通过一定的检测手段,能够在系统内的软件和硬件故障时,切换到冗余部件工作,以保证整个系统能够不因这些故障而导致处理中断。在故障修复后,又能够恢复到冗余备份状态。具备此种能力的系统即为冗错系统。
冗错系统又分为硬件冗错系统和软件冗错系统,硬件冗错系统在SIS系统中更有优势。
故障安全
故障安全是安全仪表系统在故障时按一个已知的方式进入安全状态。
故障安全是指ESD系统发生故障时,不会影响到被控过程的安全运行。ESD系统在正常工况时处于励磁(得电)状态,故障工况时应处于非励磁(失电)状态。当发生故障时,ESD系统通过保护开关将其故障部分断电,称为故障旁路或故障自保险,因而在ESD自身故障时,仍是安全的。
故障性能递减
故障性能递减指的是在SIS系统CPU发生故障时,安全等级降低的一种控制方式。故障性能递减可以根据使用的要求通过程序来设定。在CPU发生故障时,安全等级大降,但仍能保持一段时间的正常运行,此时必须在允许故障修复时间修复,否则系统将出现停车。
SIS是Safety Instrumented System的简称,中文的意思是安全仪表系统, 它是根据美国仪表学会(ISA)对安全控制系统的定义而得名的。安全仪表系统(SIS)包括安全联锁系统、紧急停车系统和有毒有害、可燃气体及火灾检测保护系统等。 简要的说,安全仪表系统(SIS)是指能实现一个或多个安全功能的系统。每个安全功能都能把事故发生的概率和风险降低到一个可以接受的水平。
-
SIS能够检测潜在的危险故障,具有高安全性,覆盖范围宽的自诊断功能。
-
SIS需符合国际安全标准规定的仪表安全标准,从系统开发阶段开始,要接受第三方认证机构的审查,取得认证资格,系统方可投入实际运行。
-
SIS自诊断覆盖率大,维修时检查的点数非常少。诊断覆盖率是指可在线诊断出的故障系统全部故障的百分数。
-
SIS由采取冗余逻辑表决方式的输入单元、逻辑结构单元、输出单元三部分组成系统,逻辑表决的应用程序修改容易,特别是可编程型SIS,根据工程实际,修改软件即可。
-
SIS由局域网、DCSI/F(人机接口)及开放式网络等组成多种系统。
-
SIS设计特别重视从传感器到最终执行机构所组成的回路整体的安全性保证,具有I/O断线、短路等的监测功能。
安全仪表系统(SIS)在生产装置的开车、停车阶段,运行以及维护操作期间,对人员健康、装置设备及环境提供安全保护。无论是生产装置本身出现的故障危险,还是人为因素导致的危险以及一些不可抗拒因素引发的危险,SIS系统都应立即作出正确反应并给出相应的逻辑信号,使生产装置安全联锁或停车,阻止危险的发生和事故的扩散,使危害减少到最小。SIS系统应具备高的可靠性(Reliability) 、可用性(Availability)和可维护性(Maintainability)。当SIS系统本身出现故障时仍能提供安全保护功能。
(1)安全度及安全度等级
安全联锁系统在一定条件和一定时间周期内执行指定安全功能的概率称为安全度。安全联锁系统的安全等级称为安全度等级,用PED(Probability of Failure on Demand)即危险概率来定义。
(2)SIL及SIL分级
SIL是Safety Integrity Level的简称,中文意思是综合安全级别也称为安全度等级。是美国仪表学会(ISA)在S84.01标准中对过程工业中安全仪表系统所作的分类等级,分为1、2、3三级:
SIL1级每年故障危险的平均概率为0.10~0.01之间;
SIL2级每年故障危险的平均概率为0.01~0.001之间;
SIL3级每年故障危险的平均概率为0.001~0.0001之间。
SIL等级的确认:
-
1级:装置可能很少发生事故。如发生事故,不会立即造成环境污染和人员伤亡,经济损失不大。用于本级别的安全仪表系统,需取得SIL1级和TüV2-3级认证,对装置和产品起一般的保护。
-
2级:装置可能偶尔发生事故。如发生事故,对装置和产品有较大的影响,并有可能造成环境污染和人员伤亡,经济损失较大。用于本级别的安全仪表系统,需取得SIL2级和TüV4级认证,对装置和产品提供保护。
-
3级:装置可能经常发生事故。如发生事故,对装置和产品将造成严重的影响,并造成严重的环境污染和人员伤亡,经济损失严重。用于本级别的安全仪表系统,需取得SIL3级和TüV5-6级认证,对装置和产品提供保护。
(3)IEC61508标准
IEC61508标准是国际电工委员会(IEC)对与安全相关的安全控制系统制定的性能安全标准,与ISA的SIL相比,除了覆盖ISA中的SIL1~3等级以外,增加了第四级标准,IEC SIL4级标准每年故障危险的平均概率为0.0001~0.00001之间。
工艺过程的风险是以恶性事故概率及其造成的后果来衡量的。目标安全水平是以可接受的恶性事故概率及其造成的后果来确定的。目标安全水平与恶性事故概率之间的差值就是安全功能的SIL等级,即SIS系统中采用SIL等级的安全功能来使恶性事故概率低于目标安全水平。
SIL等级现有三种技术来确定:定性风险评估技术,半定量风险评估技术及定量风险评估技术。
安全功能故障率
DIN V,19250/ IEC61508标准风险分析图中,IEC61508标准安全度等级SIL与DIN V,19250最小抑制风险级别AK(TüV标准)的对应关系如下表所示:
SIS系统的组成分为传感器部分、逻辑运算部分和最终执行器单元三部分。
其结构简图如下:
传感器单元采用多台仪表或系统,将控制功能与安全联锁功能隔离,即传感器分开独立配置的原则,做到安全仪表系统与过程控制系统的实体分离。
最终执行元件(切断阀、电磁阀)是安全仪表系统中危险性最高的设备。
逻辑运算单元由输入模块、控制模块、诊断回路、输出模块4部分组成。
SIS与DCS在石油、石化生产过程中分别起着不同的作用,如下图所示:生产装置从安全角度来讲,可分为3个层次:第一层为生产过程层,第二层为过控制层,第三层为安全仪表系统停车保护层。
SIS与DCS的区别见下表:
故障
针对控制系统的安全而言,故障分为安全故障和严禁故障。安全故障是指此故障不会引起生产装置灾难性事故,而严禁故障是指故障一旦发生,会引起装置灾难性后果。
可用性(利用率)(Availability)
可用性是指系统可以使用时间的概率,用字母A表示。其表达式为:
A=平均工作时间(MTTF)/(平均工作时间(MTTF)+平均修复时间(MTTR)
下表以ESS为例,说明系统的可用性(利用率)情况:
-
在第1种情况下,ESS与装置两者都处于可用状态。
-
在第2种情况下,ESS与装置两者都处于不可用状态。
-
在第3种情况下,ESS处于不可使用状态,而装置继续运行,但处于危险的可使用状态。
分析上表可知:追求高的可用性,其安全风险大,追求高的安全性,则可用性就要降低。
可靠性(Reliability)
可靠性是指系统在规定的时间间隔内发生故障的概率,用字母R表示。具体来讲,可靠性指的是安全联锁系统在故障危险模式下,对随机硬件或软件故障的安全度。
可靠性计算是根据故障(失效)模式来确定的。
故障模式有显性故障模式(失效-安全型模式)和隐性故障模式(失效-危险型模式)两种。显性故障模式表现为系统误动作,可靠性取决于系统硬件所包含的元器件总数,一般由MTBF表示。隐性故障模式表现为系统拒动作,可靠性取决于系统的拒动作率(PFD),一般表示为:R=1-PFD
牢固性(Integrity)
可靠性与牢固性在意义上极为相似,很难加以区分。
IEC和SP4对安全性(Safety Integrity)的定义:在规定时间和条件下,PES完成安全功能的可靠性。
IEC(WG10):硬件牢固性(Hardware Integrity):是系统安全性的组成部分,它指在危险方式下硬件的随机故障。
英国的PES:安全性(Safety Integrity):安全系统在规定的条件下或者需要它去执行的要求下,按人们的要求完成功能时所表现的特性。
从可靠性、牢固性定义中可以看出,牢固性这个术语用在安全保护系统中,而可靠性的适用范围则相对广泛。
冗余及冗余系统
冗余(Redundant)指为实现同一功能,使用多个相同功能的模块或部件并联。冗余也可定义为指定的独立的N:1重元件,且可自动地检测故障,并切换到备用设备上。
冗余系统(Redundant System)指并行使用多个系统部件,并具有故障检测和校正功能的系统称为冗余系统。
安全仪表系统的冗余包括两部分:逻辑单元本身的冗余;传感器和执行器的冗余。针对不同的场合,冗余的次数及实现冗余的软逻辑不同。
冗错、冗错技术及冗错系统
(1)冗错(Fault Tolerant)是指功能模块在出现故障或错误时,可以继续执行特定功能的能力。进一步讲冗错是指对失效的控制系统元件(包括软件和硬件)进行识别和补偿,并能够在继续完成指定的任务、不中断过程控制的情况下进行修复的能力。冗错是通过冗余和故障屏蔽(旁路)的结合来实现的。
(2)冗错技术是发现并纠正错误,同时使系统继续正确运行的技术,包括错误检测和校正用的各种编码技术、冗余技术、系统恢复技术、指令复轨、程序复算、备件切换、系统重新复合、检查程序、论断程序等。
(3)冗错系统是对系统中的关键部件进行冗余备份,并且通过一定的检测手段,能够在系统内的软件和硬件故障时,切换到冗余部件工作,以保证整个系统能够不因这些故障而导致处理中断。在故障修复后,又能够恢复到冗余备份状态。具备此种能力的系统即为冗错系统。
冗错系统又分为硬件冗错系统和软件冗错系统,硬件冗错系统在SIS系统中更有优势。
故障安全
故障安全是安全仪表系统在故障时按一个已知的方式进入安全状态。
故障安全是指ESD系统发生故障时,不会影响到被控过程的安全运行。ESD系统在正常工况时处于励磁(得电)状态,故障工况时应处于非励磁(失电)状态。当发生故障时,ESD系统通过保护开关将其故障部分断电,称为故障旁路或故障自保险,因而在ESD自身故障时,仍是安全的。
故障性能递减
故障性能递减指的是在SIS系统CPU发生故障时,安全等级降低的一种控制方式。故障性能递减可以根据使用的要求通过程序来设定。在CPU发生故障时,安全等级大降,但仍能保持一段时间的正常运行,此时必须在允许故障修复时间修复,否则系统将出现停车。
