65安全仪表系统

1一、安全系统概述荆门石化侯振林2什么是FSC系统FSC－即故障安全控制系统(FailSafeControl)在过程工业中起联锁保护作用，是在传统PLC基础上发展起来的。SMS－SafetyManagementSystem安全管理系统机构Honewell工业自动化和控制公司内部的一个独立业务机构。3安全系统的定义如果工厂装置中出现事故时不采取任何措施，事故就会扩大化，导致危险发生。设计安全系统的目的就是对装置的这种情况作出反应，安全系统必须输出正确信号以阻止危险的发生或减轻事故的后果。其它通用名称:ESD紧急停车系统SIS安全联锁系统BMS锅炉管理系统F&G火灾和气体检测系统4什么是ESD系统ESD系统：即紧急停车系统,是指事故由该系统首先发现后，按照预定的甚至是固化的程序切断装置发生故障的有关部位，指挥装置采取安全有效的措施。5安全系统的产生背景6重大工业事故次数1959-631969-731979-830510152025303540451959-631969-731979-83摘自美国《石油和天然气》杂志1990年8月27日刊单位:次数7事故总损失1959-631964-681969-731974-781979-831984-8800.20.40.60.811.21.41.61959-631964-681969-731974-781979-831984-88单位:10亿美元摘自美国《石油和天然气》杂志1990年8月27日刊8安全层次各种系统的安全等级不同,ESD系统的安全等级高于DCS系统。火灾和气体监测紧急停车系统报警过程控制生产过程消防子系统或9危险是怎样减少的？风险工业过程生产过程内在的风险可接受的风险过程控制系统安全联锁系统其它10ESD与DCS的区别DCSESD动态控制静态监测，保护故障自动显示必须测试潜在故障维修时间不太关键维修时间非常关键可进行自动/手动切换不允许离线11安全系统的技术发展气动系统电磁继电器系统硬连线固态逻辑系统微处理器系统单通道双重化三重化2选12选2热备用容错系统12电磁继电器系统单元化结构继电器执行系统逻辑通过重新接线实现重新编程优点失效-安全型初始投入少可分散布置抗干扰适应多种电压不足容易误停车无故障诊断功能无串行通信功能无报告文档功能大系统很复杂能耗高,散热多平均维修时间长重新编程困难13硬连线固态逻辑系统模块化结构独立的固态装置执行逻辑通过重新接线来重新编程优点安装密度高容易分散布置低电压、易散热可用串行口通信自诊断功能不足灵活性差无报告文档大系统费用高14工作机理数字输入数字输入数字输入模拟输入模拟输入与门或门计时输出传感器输入模块逻辑模块输出模块输出输出输出15微处理器系统模块化结构微处理器/软件执行逻辑通过软件重新编程优点灵活性模块化结构安装密度最高测试与自诊断功能串行通信有报告文档不足基于软件(可靠性/保密性)同原因故障与其它设备的通信费用注：此处的不足是对一般的微处理器系统而言。16选择何种系统？气动的继电器固态逻辑微处理器单重化双重化–二选一–二选二–热备份三重化还需考虑：系统大小、预算、风险、人机界面、通信要求、测试要求，等等。17几种技术的比较继电器固态逻辑一般微处理器0102030405060708090100继电器固态逻辑一般微处理器显性故障隐性故障故障率18热备用的PLC系统处理器A输入输出智能开关处理器B现场装置19什么是容错当一个或多个元件失效后，系统按照预定的方式继续运行的能力。20容错系统-基本功能当容错系统内发生故障时,必须能检测故障指示故障消除故障的影响对系统进行维修时,必须能明确操作状态可以通过下述两种方式实现容错HIFT-硬件实现容错SIFT-软件实现容错21HIFTvsSIFTHIFT操作系统更小HIFT=40KSIFT=200KSIFT的操作系统大而复杂22专家们对于软件的意见基于软件对可编程电子系统的总体影响，TUV总是建议制造商提供尽量可靠的硬件，同时把与安全有关的软件压缩到最少。23单重化系统性能A可能性显性故障隐性故障0.010.0224双重化系统性能可靠度显性故障隐性故障AB二选一表决0.020.0004AB二选二表决0.00010.0425双重化并联冗余系统处理器A处理器B输出输出输入输入26三重化系统-基本结构处理器B输出输入处理器A输出输入处理器C输出输入27模块失效对于安全系统来讲，往往人们所关心的并不是该系统怎样运作，而是这个系统会怎样失效。安全系统主要有两种失效方式:显性故障失效-安全型显而易见造成误停车误停车带来经济损失隐性故障失效-危险型不易察觉潜在的危险极大必须通过测试才能发现28控制系统故障原因功能设计44%试开车后的改变20%组装设计15%操作及维护15%安装及试开车6%29安全标准30HSMS依据的安全标准31•DINV19250/VDEV0801(Germany)–风险的分类–安全系统的要求•各种国家标准•ISAS84.01(USA)1996–安全规则–安全生命周期•NFPA/UL1998IEC-61508–贯穿整个安全生命周期–安全计划与管理–整体安全水平–系统诊断要求–系统结构和可靠性图示•TUV-1984安全标准32IEC-61508IEC61508世界的安全伞常规故障设计与运行故障安装与代理故障操作与维护故障硬件的随机故障修改故障33设备的安全性安全设备不足:如果装置的安全性能在可接受的范围以外，厂方必须立即增加相应的安全设备，或及时地采取必要步骤来保证系统安全，否则不允许继续生产。质量保证:对于建造中的新装置和设备，厂方应保证所采用的安全设备适合于该装置的生产过程。34控制系统和安全保护系统应分开可编程电子系统(1987)英国健康与安全执行委员会运作中设备控制系统保护系统35所有4级工业过程应采取分离措施安全功能-安全关联系统(1995)国际电子技术委员会(适用于工业安全控制系统应用的一个国际标准)应尽可能使安全关联功能及非安全关联功能分离。36安全系统的传感器、安全逻辑应与过程控制系统的分离工业过程中安全系统的应用(1996)国际测量与控制协会，SP84安全系统(SIS)的传感器应从基本过程控制系统(BPCS)的传感器中分离出来。安全逻辑应从基本过程控制系统中分离出来。过程控制系统和安全系统功能的分离减少了控制和安全功能同时故障的可能性，从而了避免由于控制系统中的疏漏造成对安全系统功能的影响。37过程控制系统和安全系统的传感器、执行器、逻辑部分、I/O模块以及机柜等，都应在物理上和功能上加以分离化工过程自动化安全指南(1993)美国化学工程师学会-化学工业过程安全中心一般情况下，安全系统的逻辑部分应与基本过程控制系统中类似部分分离出来，而且，安全系统的输入传感器和控制部分也应独立于过程控制系统中的类似部分。对于基本过程控制系统和安全系统的传感器、执行器、逻辑部分、I/O模块以及机柜等等，都应在物理上和功能上加以区分（分离）....38海上石油两层完全独立的安全保护系统海上石油平台安全系统的分析、设计、安装及测试(1994第五版)美国石油协会除了运用于正常操作的控制设备以外，还应提供两层完全独立的安全保护系统。39安全逻辑系统不应与其它逻辑系统混合高炉爆炸/爆聚的防护,1995国家防火协会8502标准燃炉管理中，安全逻辑系统不应与其它逻辑系统相结合。40核工业要求冗余的安全系统在地理上分开核电站安全系统标准(1980)IEEE,603-1980标准美国核工业要求具有冗余的安全系统，它们之间彼此独立，并且在地物理上完全分开。安全系统的设计应达到如下要求，即：其他系统的故障及其造成的影响并不会妨碍安全系统的功能和运作。41定性分析与选择安全系统风险的定义和风险的降低手段定性分析过程其它定性分析方法-叠代法定性分析的特点和局限性42风险的定义风险-衡量危害发生的可能性和严重性的尺度。也就是说，危害是否会发生，如果发生，则发生的频繁程度及后果。43风险的降低工程中固有的风险风险允许的风险ESDDCS工程设计生产过程44定性分析:频率描述词等级单个总体发生的频率5经常可能经常发生连续不断4可能3偶尔21不可能在寿命期内将发生几次在寿命期内有时会发生极少可能很少会发生不多,但可能可认为不会发生很少会发生经常发生将发生几次45定性分析:严重性等级描述词事故发生后的影响人身环境产品或设备5灾难性死亡损失$150万4极严重伤残损失仅限于现场损失$50-150万3严重医学治疗损失$10-50万2轻微急救治疗1极微无伤亡无危害损失$2500危害波及现场以外损失$2500-10万现场危害无法立即控制可立即控制现场危害46定性分析:总体风险严重性频率54321543212520151052016128415129631086425432147定性分析:风险级别及相应的安全系统等级8-18风险的定型风险的等级应选的技术和结构单重化PLC或继电器等级19-25带自测试功能的冗余处理器或硬连线的固态逻辑人工测试的双重化PLC或硬连线固态系统高中等级1-7低48定性分析：三维示意图频率严重性其它安全层次的影响232231232322222212149定性分析--叠代法W3W2W1CaCbCcCdFaFbFaFbPaPbPaPaPaPbPbPbX1X2X3X4X5X6a1234baa1122334FbFaa=无特殊安全需要b=单联锁系统不行后果Ca轻微危害Cb严重危害，有伤亡Cc有一些伤亡Cd许多伤亡频率Fa极少频繁发生Fb经常持续发生避免可能性Pa有时可以Pb几乎不可能发生几率W1非常轻微W2轻微W3相对较高50定性分析不能解决的问题就品质性能来说,那一个系统“最好”?哪一个具有最小的误停车率?哪一个能提供最好的安全性能?传感器单重化双重化三重化单重化双重化三重化单重化双重化三重化逻辑单重化单重化单重化双重化双重化双重化三重化三重化三重化诊断覆盖率99.9%99%90%99%90%80%99%90%80%同原因故障无无无0.1%1%10%0.1%1%10%输出单重化双重化双重化单重化双重化双重化单重化单重化单重化测试间隔每个月每个季度每年每个月每个季度每年每个月每个季度每年51定性分析总的特点优点：简单容易理解人力、物力投入少缺点：可能受主客观因素影响，产生错误的结论难以标准化容易变为对公司以前做出的政策或决定的一种置疑52定性分析的局限性通过定性研究可以提供选择安全系统的方法，但是它不能证明一个安全系统是否达到某一给定的等级，也无法计算事故发生的概率。---摘自ISASP8453安全设计流程过程总体设计危险分析/风险评估非安全联锁系统的保护层是否需要安全联锁系统？不确定设计目标Yes选择适当技术选择系统结构确定测试原则可靠性评估是否满足性能指标？是系统生产否