机电仪仪表技师学习汇报总结

根据集团公司20##年培训计划，我参加了5月9日至5月30日在辽阳机电仪研修中心举办的仪表第七期技师培训班。通过本次技师培训学习，提高了自己的理论知识和操作技能，同时与相关企业的同行进行技术交流，吸取了先进的经验和技术。

学习内容主要有：1.SIMENS  PLC概述、模板规范、编程软件包介绍2.流量仪表在化工装置应用中的检修与维护3. DCS系统的基本概念、构成4.安全仪表系统5.信号报警与联锁保护系统。

一、信号报警与联锁保护系统

1信号报警与联锁保护系统

1.1信号报警与联锁保护系统概述

1.1.1信号报警与联锁保护系统的概念

在石油化工类生产过程中，为了确保生产的正常进行，防止事故的发生和扩大，促进生产过程的自动化，因而广泛地采用自动信号报警与联锁保护系统。信号报警与联锁保护系统是对生产过程进行自动监控并实现自动操纵的一种重要措施。在工艺生产过程中，存在各种各样的工艺参数及工艺设备状态，如温度、压力、流量、液(料)位、密度、浓度等工艺参数，机泵开停和故障、阀门开关和故障等工艺设备的运行状态。如果工艺参数越限或运行状态发生异常情况时，就应及时检测出来，以灯光和声响引起操作者的注意，即报警信号。使有关的设施、机构或人员及时了解到所产生的异常情况，采取相应的措施，使生产过程自动处于安全状态，以免异常情况进一步扩大，以至造成设备损坏、人员伤亡等安全事故，或者造成产品质量不合格等经济损失。

信号报警与联锁保护系统包括信号报警系统和联锁保护系统。信号报警起到自动监视的作用，报警系统本身不能直接发出动作指令。而联锁保护实质上是一种自动操纵系统，能使有关设备按照规定的条件或程序完成操作任务，达到消除异常，防止事故的目的。实际应用中的信号报警与联锁保护系统，有的只具备信号报警功能，有的只具备联锁保护功能，或有的两者都具备。

1.1.2信号报警和联锁保护系统的组成

尽管信号报警与联锁保护系统的类型较多，但通过分析各组成部分的功能不难发现，它们是由各种基本环节组成的，大致可分为:信号接受环节；光显示环节；音响环节；灯铃检查环节；消除音响及停止闪光环节；记忆环节；切换环节；互锁环节；执行环节等几种。在联锁保护系统中执行环节的作用是按照系统发出的指令完成自动保护任务，常用的执行器件有电磁阀、电动阀、气动阀、液动阀、磁力起动器等。在某些较复杂的线路中，还有延时环节，区别第一故障环节，故障优先选择环节等等。从信号报警与联锁保护系统的整体功能来看，由各环节组成系统的输入部分、输出部分和逻辑控制部分。

1、(1)发信元件  包括工艺参数或设备状态检测接点、控制盘开关、按钮、选择开关，以及操作指令等，它们起到参数检测、发布指令的作用。这些元件的通断状态也就是系统的输入信号。

2、执行元件  也叫输出元件，包括报警显示元件(灯，笛等)和操纵设备的执行元件(电磁阀、电动机启动器等)。这些元件由系统的输出信号驱动。就报警联锁系统而言，该部分只考虑到各类电磁阀等执行器件为止，广义上也应该考虑到电磁阀及其所驱动的控制阀(调节阀、切断阀等)。

3、逻辑元件  又叫中间元件，把输入与输出联系起来，是报警联锁系统的核心部分。它们根据输入信号进行逻辑运算，并向执行元件发出控制信号。逻辑元件以前多采用有触点的继电器、接触器线路和无触点的晶体管、集成电路等，近些年来则广泛采用PLC、DCS和ESD系统。

1.1.3 信号报警系统的状态

为便于分析和判断工艺生产和设备的状态，将信号报警系统在自动监视过程中所处的不同阶段，又分为以下几种基本的工作状态

1、正常状态——此时没有灯光或音响信号；

2、报警状态——当被测工艺参数偏离规定值或运行状态出现异常时，发出灯光、音响信号，以示报警；

3、确认状态——值班人员发现报警信号以后，可以按一下“确认”按钮，从而解除音响信号，保留灯光信号，所以，“确认”又称为“消音”状态。

4、复位状态——当故障排除后，报警系统恢复到正常状态，有些报警系统中，备有复位按钮。

5、试验状态——用来检查灯光和音响回路是否完好，注意只能在正常状态下才能按下“试验”按钮，在报警状态下不能进行试验，以防误判断。“试验”也称为“试灯”状态。

1.1.4 信号报警系统的分类

在石油化工生产中，我们常见的信号报警系统有下列几种类型：一般故障不闪光报警系统、一般故障闪光报警系统、能区别瞬时故障的报警系统、能区别第一故障的报警系统、延时报警系统等

1、一般事故不闪光报警系统  所谓一般故障信号报警，即是当被控变量越限时，信号装置就立即发出声光报警，一旦变量恢复正常，声光报警信号马上消失,这样的信号称一般故障信号。是最简单、最基本的报警系统，出现故障时灯亮（不闪光）并发出音响，“确认”后音响消除，仍保持灯亮。

2、一般事故闪光报警系统——又称为非瞬时故障报警系统。出现故障时灯闪光，并发出音响确认后，音响消除，灯光转平光，只有在故障排除以后，灯才熄灭。工作状态如下表所示。

3、能区别瞬时故障的报警系统  所谓瞬时故障信号，即事故是瞬时性的，如压力变量瞬时越限，又马上恢复正常，但信号灯并不随之熄灭，需要操作人员“确认”去识别一下是否是瞬时性的故障信号，这就称区别瞬时故障信号。在生产过程中，有时会遇到工艺参数短时间越限，又往往是影响质量或安全的先兆。为了引起值班人员的注意，可选用能够区别瞬时故障的报警系统。该系统在出现故障后，灯闪光并发出音响。值班人员确认时，如果故障已消失，则灯熄灭，音响消除；如果故障仍存在，则灯转平光，音响消除，直至故障排除后灯才熄灭。工作状态如下表所示。

4、能区别第一故障的报警系统  在生产过程中，工艺上常出现这种情况：当一个工艺参数越限报警后，引起另一些工艺参数接二连三地越限报警。为了便于找到首先报警的第一个故障点，需要把首先出现的故障信号跟后来相继出现的故障信号区别开来。这时，可选用能区别第一故障的报警系统。在出现故障后灯亮，发出音响，并以灯闪光表示第一故障，灯平光表示第二故障。值班人员确认后，音响消除，灯光不变。在这类系统中，往往还设有复位按钮，以区别瞬时故障还是非瞬时故障。按下复位以后，若灯熄灭，表示该故障已消失；若灯还亮，表示相应故障仍存在。工作状态如下表所示。

5、延时报警系统——有时候，工艺上允许短时间参数越限。为避免报警系统过于频繁地报警，可采用延时报警系统。只有故障持续时间越过规定时间范围时才发出报警。

6、不一致信号报警

当阀门开闭状态或机泵等设备运停状态与控制室内手动开关指示位置不一致时，便发出声、光报警信号。

1.1.5自动信号的分类

自动信号主要有下述几种:

1、位置信号:一般用以表示被监督对象的工作状态，例如阀门的开闭;接触器的通断。

2、指令信号:把预先确定的指令从一个车间、控制室传递到其它的车间和控制室。

3、保护作用信号:用以表示某自动保护或联锁的工作状况的信息。当工艺变量不等于规定数值时发讯报警。这类信号分两种:一种叫报警信号，即被监督的变量超出其正常值，但尚未超出允许值。另一种叫事故信号，通常也叫联锁信号，即被监督变量己超出其允许值。前一种信号要求操作者引起注意，常以灯光、音响表现出来。后一种信号要求立即采取措施，常常伴随着联锁系统也起作用。

1.2 联锁保护系统

1.2.1 联锁保护的内容

    在工艺生产过程中，特别是流程工业中一个工艺参数或一台设备的运行均与许多其他的工艺参数、设备运行相关联。如一个容器的液位就与进出口的流量、进出口阀门的开关状态、进出口泵的运行相关联，若此容器是整个流程中的一个环节，还可能影响到与其有关的上下游流程。当一个工艺参数超出正常范围，或一台工艺设备处于异常工作状态时，就应该对相关的工艺参数进行调整，或对相关的工艺设备进行适当的操作，以使生产过程恢复正常。或使生产过程处于安全的状态，这就是工艺生产过程的联锁。如当容器的液位超高时，就需要减小进口流量或关闭进口阀门，必要时停进口泵。根据相应的关系改变上游的生产过程等；当容器的液位超低时，就需要减小出口流量或关闭出门阀门，必要时停出口泵，根据相应的关系改变下游的生产过程等。联锁保护系统实质上是一种自动操纵保护系统，它能使有关设备按照规定的条件或程序完成操作任务，从而达到消除异常、防止事故的目的。联锁的内容一般包括四个方面。

１．工艺联锁  由于工艺系统某变量越限(处于事故状态)，而引起联锁动作，简称"工艺联锁"。例如某公司设计的合成氨装置中，锅炉给水流量越(低)限时，自动开启备用水泵给水，实现工艺联锁。

２．机组联锁  运转设备本身或机组之间的联锁，称为"机组联锁"。例如某合成氨装置中合成气压缩机停车系统，冰机停或压缩机轴位移…等22个因素和压缩机联锁，只耍其中任何一个因素不正常，都要求停压缩机。

３．程序联锁  它能按一定的程序或时间次序对工艺设备进行自动操纵。例如某合成氨装置中，辅助锅炉引火烧嘴检查回火脱火停燃料气的联锁，就是一个典型例子。为了达到安全点火目的，在点火前必须保证锅炉膛内无可燃性气体，并对炉膛内气体压力进行检查。然后用空气进行吹除，当吹除完毕后，方可打开燃料气总管阀门，引火烧嘴点火。这样，整个程序就必须按燃料气阀门关→炉膛内气压力检查→空气吹扫→打开燃料气阀门→点火，进行联锁操纵。

４．各种泵类的启动联锁(即单机的开、停车)。这类联锁比较简单。信号报警与联锁保护装置就其构成元件不同可以分为触点式和无触点式或者是混合式。无触点式可用晶体管或磁逻辑元件构成，由于结构紧揍，使用方便，因此得到广泛应用。目前使用的系统仍以继电器组成的触点式线路居多。

５．火气系统  火气系统(FGS)是火灾及气体监测报警系统(fire & gas detection alarm system)的简称，其实就是通过专用的传感器和监仪器，提前预测出即将要发生的火灾、爆炸、中毒事故，由音响、灯光等设备发出警告提醒有关操作人员进行相关的操作，组织疏散和逃生；或者通过预先编制的联锁逻辑自动地启动相应的保护、救护装置；通过远程报警能得到及时增援，从而使得可能发生的事能在萌芽状态被发现并消除，已经发生的事故能得到及时有效的控制，使得相关人员、设备和周围环境得到有效的保护。

1.2.2联锁系统的作用

概括来讲，通过信号联锁提供符合工艺逻辑要求的启、停条件。当工艺参数越限、工艺设备故障、联锁部件失电或元件本身故障时，系统能自动或手动地将工艺操作转换到预先没定的位置，使工艺装置处于安全的生产状态中。即使事故发生也能使经济损失或危险性降到最低限度。具体包括以下五个方面的作用。

1.信号报警。即当某一参数(如温度、压力、流量、液体、成分等)越限时，立刻发出报警，提醒有关人员进行处理。

2.调度指挥生产。在工业生产过程中，往往利用各信号间的联锁关系。实现特定工艺操作要求，尤其是生产的启动、停车过程。一方面要实现安保，另一方面起生产指挥调度作用。

3.利用信号联锁，实现生产的自动化或半自动化；

4.利用信号联锁．实现简单的顺序或程序控制。

5.对生产过程中的不正常运行状态进行监控。

1.2.3实现报警与联锁的逻辑元件

1.继电器

 目前，组成联锁系统的逻辑元件主要有两种：

一种是电气机械型继电器，由不同型式触头构成逻辑功能；另一种是电子式逻辑控制器，包括可编程序控制器、分散控制系统控制器或专用的独立微处理器等。

    从功能上看，继电器的逻辑运算功能不强。灵活性小，要增加继电器或改变触点方式都比较困难，要改变逻辑功能更困难。

从可靠性来看，由于继电器含有机械部件，存在机械磨损、弹簧松动、触头氧化、线圈发热等问题，维护工作量大，使用寿命不长．继电器从本质上来说不具有故障安全特性，因为继电器的触点有可能粘在一起，也可能出现弹簧不能使开关触点返回非励磁位置。因此，采用继电器逻辑系统应符合下面的原则。

（1）   确认继电器对安全应用是有效的。

（2）   继电器有好的“故障缓行”的位置特性。

（3）   放置继电器的环境是适当的(如完全密封)

（4）   触点在线圈非励磁或故障时打开。

（5）   线圈带重力脱扣或双弹簧。

（6）   触点用适当的材料和等级。

（7）   安装限能负载电阻以防止触点粘接闭合。

（8）   提供适当的触点感应负载干扰消除器。

（9）   对低能量负载(如50V或更低，10mA或更低)要求采用

特殊的接点材料或设计(如密封触点)，消除因氧化(如负载下降)引起操作的不可靠性的触点。当用这些特殊触点时，必须确定触点的故障模式。以确保构成故障安全的继电器系统。

    在某些情况下不可用缵电器；一是高负荷周期性频繁改变状态，二是定时器或锁定功能；三是复杂的逻辑应用。

2、电子式逻辑控制器

    电子式逻辑控制器是指可编程序控制器、分散控制系统控制器或专用的独立微处理器等。

    从功能来看，电子式逻辑控制器功能强，灵活性大。可以任意变换程序，满足实际需要。

从可靠性来看，电子式逻辑控制器采用大规模集成电路，体积小，可靠性高?有专门的过电压保护和热保护功能，平均故障间隔时间远高于继电器。

 电子式逻辑控制器(如可编程序控制器)在本书第二篇中将会有详细介绍，在下列情况下，一般宜采用电子式逻辑控制器。

    ①大量的输人／输出．或许多模拟信号。

    ②逻辑要求是复杂的，或包括计算功能的逻辑。

    ③要求外部数据与过程控制系统进行通信。

3、大型联锁逻辑控制系统

    一方面，随着生产装置规模的不断增大．潜在的危险性和危害造成的后果也在不断的增大；另一方面，国家、社会对安全的要求也越来越高。因此，近几年来，在大型石化装置中，一种新型的电子式逻辑控制系统一—安全联锁系统(ESD／SIS)得到了越来越多的应用。安全联锁系统(ESD／SIS)是一种符合IEC安全标准，并得到国际认可的检测机构认证的逻辑控制系统。在过程工业中，一般采用具有SIL2或S1L3的逻辑控制系统，大型联锁逻辑控制系统的设置一般需考虑以下几种情况。

（1）   必须根据ESD/SIS的规模及功能需求以及工序与管理的划分等因素考虑有关的硬件配置。

（2）   复杂装置和重要机组的ESD/SIS应独立于过程控制系统。

（3）   ESD/SIS不依附于过程控制系统就能独立完成自动保护联锁功能。

（4）   复杂装置的ESD／SIS可合理地分解为若干子系统，各干系统宜相对独立。

（5）   过程控制系统可监视ESD／SIS的运行状态相应的接口。

（6）   所选硬件应满足安全级别要求。

二、安全仪表系统

2.1安全仪表系统概述

2.1.1安全仪表系统的定义

   在石油、石油化工牛产中，由于其生产装置的规模向大型化、超大型化、智能化方向发展，对于操作、控制且安全的要求越来越严格。一旦出现事故，就会造成装置的全线停车，其损失是巨大的，有时甚至足灾难性的。为确保生产的正常进行，防止事故的发生和扩大，使生产过程在有可靠安全保障的前提下，实现全生产过程的自动化运行，需要广泛地采用安全仪表系统(SIS)。

    安全仪表系统(SIS)可对生产过程进行自动监测并实现安全控制，当由于各种因素使某些工艺变量(压力、温度、流量、液位等)越限或运行状态发生异常情况时，以灯光或声响引起操作者的注意，自动停车或自动控制事故阀门，使生产过程处于安全状态。这是确保产品质量、产率及设备和人身安全所必需的。 SIS是Safety　lnstrumented　System的简称，中文的意思是安全仪表系统，它是根据美国仪表学会(ISA)对安全控制系统的定义而得名的。安全仪表系统(SIS)也称为紧急停车系统(emergency shutdown system，ESD)、安全联锁系统(safety interlock system SIS)或仪表保护系统(IPS)。

    安全仪表系统(SIS)，用于监视生产装置或独立单元的操作，如果生产过程超出安全操作范围，可以使其进入安全状态，确保装置或独立单元具有一定的安全度。根据IEC61508标准，安全联锁系统的安全度等级分为四级。装置安全度等级的确定是很复杂的，一般需有专门的机构或人员研究确定，如DIN V 19250根据估计危险的损害程度、危险区域内人员存在的可能性、短时间内防止危险发生的可能性及出现危险事故的可能性等四个风险参数将过程风险定义为8级(AK1-AK8)。IEC 61508与DIN V 19250在方法上略有不同，将过程安全所需要的安全等级划分为4级(SIL1-SIL4)。ISA S84.01与IEC 61508类似，根据系统不响应安全联锁要求的概率(即失效率PFD)将安全等级划分为3级(SIL1一SIL3)，认为IEC 61508定义的SIL4不存在于过程工业中。安全仪表系统(SIS)不同于批量控制、顺序控制及过程控制的工艺联锁，当过程变量(温度、压力、流量、液位等)越限，机械设备故障，系统本身故障或能源中断时，安全仪表系统(SIS)能自动(必要时可手动)地完成预先设定的动作，使操作人员、工艺装置处于安全状态。

    简要地说，安全仪表系统(SIS)是指能实现一个或多个安全功能的系统。

    安全仪表系统在石油、石油化工等领域中已有较多的产品。

1、   FSC(Fail Safe　Control　System)故障安全控制系统，是P十F公司开发的系统，后被Honeywell收购，名称不变。

    2、PES(Programmable k；lectronic System)pJ编程电子系统，统制造商HIMA生产的产品。

    除了以上这些系统之外，还有一些制造商生产的安全仪表系统

Triconex公司的Tricon；

Moore Product公司的Quadlog PLC；

GE公司的GMR；

ABB August System公司的Triguard SC300E：

ICS公司的Trusted；

YOKOGAWA公司的ProSafe-PLC

安全仪表系统(SIS)主要包括三部分:传感器部分、逻辑运算部分和最终执行元件部分。

总之安全仪表系统(SIS)在开车、停车、出现工艺扰动以及正常维护操作期间，对人的健康、生产装置、环境提供安全保护。当生产装置本身出现故障危险，人为原因导致危险或不可抗拒的原因导致危险时，SIS立即作出正确处理并输出正确信号，使生产装置安全停车，阻止危险的发生或事故的扩散。

    SIS具有高可靠性(Reliability)、可用性(Availability)和可维护性（Maintainability)，并且在SIS内部出现故障或外界干扰的情况下是安全的。

    安全仪表系统(SIS)涉及的内容包括有：

（1） 过程安全概念

（2） 危险及风险分析

（3） 确定安全等级

（4） 安全仪表系统的功能

（5） 安全仪表系统的安装和调试、预投运检查

（6） 投运操作及系统维护

2.1.2安全仪表系统的分类

    20世纪60年代，在PLC和DCS出现之前，仪表安全系统(SIS)由气动、继电器系统组成。随着时间的推移，气动、继电器仪表安全系统暴露的问题越来越多，很难达到实时、安全可靠的要求。到了20世纪70年代本质故障安全技术诞生，增加了安全性、整体性的需要。20世纪90年代双重化诊断系统，TMR(三重模块冗余PLC)技术在生产过程中得到了应用。同时，由于TÜV AK6安全等级的认证，使得SIS技术在欧美石化生产过程中得到广泛应用，到目前为止SIS技术正在世界范围内应用。

    从SIS发展历史来看，安全仪表系统(SIS)经历了继电器系统、固态电路系统和可编程电子系统3个阶段。

   1、继电器系统

（1）   采用单元化结构，由继电器执行逻辑，通过重新接线来重新编程。

（2）   可靠性高，具有故障安全特性，电压适用范围宽，一次性投资较低，可分散于工厂各处，抗干扰能力强。

（3）   系统庞大而复杂，灵活性差，进行功能修改或扩展不方便，无串行通信功能，无报告和文档功能。易造成误停车，无自诊断能力。用户维修周期长，费用高。

2、 固态电路系统

（1） 采用模块化结构，采用独立固态器件，通过硬接线来构成系统，实现逻辑功能。

（2） 结构紧凑，可进行在线测试，易于识别故障，易于更换和维护，可进行串行通信配置成冗余系统。

（3） 灵活性不够，逻辑修改或扩展必须改变系统硬连线，大系统操作费用较高，可靠性不如继电器系统。

    3、可编程电子系统

    （1）以微处理器技术为基础的PLC，采用模块化结构，通过微处理器和编程软件来执行逻辑。

    （2）强大、方便灵活的编程能力，有内部自测试和自诊断功能可进行双重化串行通信，可配置成冗余或三重模块冗余(TMR)系统，可带操作和编程终端，可带时序事件记录(SER)。

2.1.3安全仪表系统的特点

    1、SIS能够检测潜在的危险故障，具有高安全性，覆盖范围宽的自诊断功能。采用自诊断技术可以保证SIS运行的可靠性，例如作为Honeywell TPS的紧急停车FSC系统，每个过程安全时间(ProcessSafeTime，PST)中有1 s或2 s用于测试I／O、内部数据总线、处理器，诊断结果送给PC机用于系统维护。

    2、SIS需符合国际安全标准规定的仪表安全标准，从系统开发阶段开始，要接受第三方认证机构(TOV等)的审查，取得认证资格，系统方可投入实际运行。在国际安全标准中推荐诸如经TaV第三方认证机构的p版现场测试及相关程序审查通过的“用户认可的安全仪表”。

    3、SIS自诊断覆盖率大，维修时检查的点数非常少。诊断覆盖率是指可在线诊断出的故障系统全部故障的百分数。

    4、SIS由采取冗余逻辑表决方式的输入单元，逻辑结构单元，输出单元三部分组成系统，逻辑表决的应用程序修改容易，特别是可编程型SIS，根据其工程实际要求，修改软件即可。

    5、SIS由局域网、DCSI／F(人机接口)及开放时网络等组成多种系统。

    6、SIS设计特别重视从传感器到最终执行机构所组成的回路整体的安全性保证，I／O断线、短路等的监测功能。

2.2安全仪表系统(SIS)的组成

2.2.1系统的组成

    随着计算机技术、控制技术、通信技术的发展，安全仪表系统的设备配置也不断更新换代，由简单到复杂，由低级到高级。但不管怎么变化其基本组成大致可分为三部分：传感器单元，逻辑运算单元，最终执行器单元。详见图2-6-1所示。

图2-6-1  SIS系统结构简图

    1、传感器单元采用多台仪表或系统，将控制功能与安全联锁功能隔离，即传感器分开独立配置的原则，做到安全仪表系统与过程控制系统的实体分离。

    2、最终执行元件(切断阀，电磁阀)是安全仪表系统中危险性最高的设备。由于安全仪表系统在正常工况时是静态的、被动的，系统输出不变，最终执行元件一直保持在原有的状态，很难确认最终执行元件是否有危险故障。在正常工况时，过程控制系统是动态的，主动的，控制阀动作随控制信号的变化而变化，不会长期停留在某一位置，因此要选择符合安全度等级要求的控制阀及配套的电磁阀作为安全仪表系统的最终执行元件。例如当安全等级为3级时，可采用一台控制阀和一台切断阀串联连接作为安全仪表系统的最终执行元件。

   3、逻辑运算单元由输入模块、控制模块、诊断回路、输出模块4部分组成。依据逻辑运算单元自动进行周期性故障诊断，基于自诊断测试的安全仪表系统，系统具有特殊的硬件设计，借助于安全性诊断测试技术保证安全性。逻辑运算单元可以实现在线诊断SIS的故障。如表2-6-1所列安全仪表系统的逻辑单元结构选择表。SIS故障有两种：显性故障(安全故障)和隐性故障(危险性故障)。显性故障(如系统断路等)，由于故障出现使数据产生变化，通过比较可立即检测出，系统自动产生矫正作用，进入安全状态。显性故障不影响系统安全性，仅影响系统可用性，又称为无损害故障(Fail to Nuisance，FTN)。隐性故障(如I／O短路等)，开始不影响到数据，仅能通过自动测试程序方可检测出，它不会使正常得电的元件失电，又称为危险故障(Fail to Danger，FTD)，系统不能产生动作进入安全状态。隐性故障影响系统的安全性，隐性故障的检测和处理是SIS系统的重要内容。

    表2-6-1  安全仪表系统的逻辑单元结构选择表

2.2.2  SIS与DCS的区别

安全仪表系统(SIS)与分散控制系统(DCS)在石油、石化生产过程中分别起着不同的作用如图2—6-2所示。

图2-6-2 生产装置的安全层次

       生产装置从安全角度来讲，可分为3个层次，参见图2-6-2。第一层为生产过程层；第二层为过程控制层；第三层为安全仪表系统停车保护层。

    生产装置在最初的工程设计、设备选型及安装阶段，都对过程和设备的安全性进行了考虑，因此装置本身就构成了安全的第一道防线。

采用控制系统对过程进行连续动态控制，使装置在设定值下平稳运行，不但生产出各合格产品，而且将装置的风险又降低了一个等级，是安全的第二道防线。

    在过程之上，要设置一套安全仪表系统，对过程进行监测和保护，把发生恶性事故的可能性降到最低，最大限度地保护生产装置和人身安全，避免恶性事故的发生，构成了生产装置最稳固、最关键的最后一道防线。因此控制系统与安全仪表系统，在生产过程中所起的作用是截然不同的。SIS和DCS是两种功能上不同的系统，详见表

表2-6-2  DCS与SIS的区别

2.2.3 SIS系统的配置方案

    SIS系统发展到今天，经历了由低级到高级，由简单的继电器系统，到以微处理器为主的安全仪表系统，由单回路的联锁系统到三重化冗余带高级自诊断的系统。目前安全仪表系统的设备配置及软件功能，能够实现更复杂的联锁逻辑，提供更高的可靠性、可用性，满足生产装置对安全运行的要求。

我国石油、石油化工生产过程中使用DCS系统已有20多年的历史，经历了用DCS系统实现SIS功能，即用DCS实现控制与安全联锁功能到DCS与SIS分别独立设置的阶段。如图2-6-3所示实现控制和联锁的五种形式。

1、a型  控制系统和联锁系统全部由DCS控制站完成。过程控制信息由通信网络传给操作站显示报警，操作员的操作指令由操作站通过通信网络传给控制站执行，这就是控制、联锁一体化形式。

2、b型  控制系统信号由一组控制站完成，报警联锁信号由另一组控制站完成。两站信息由通信网络送到操作站，操作员指令由操作站经通信网络送达各个控制站执行，就是控制、联锁站站分开型。

3、c型  控制信号由DCS独立执行。联锁信号由PLC独立执行，PLC由独立的编程器进行软件编写，重要的信息送操作台硬灯显示或由操作台发出硬开关动作指令。PLC联锁报警的非重要信号由通信接口送到通信网络并传到操作站进行显示，部分非重要指令由操作站发出，送PLC执行，就是DCS+PLC型。

4、d型  控制报警信号由DCS系统执行，重要的联锁信号由继电器系统完成。由硬开关及硬灯组成的操作台进行显示和操作，就是DCS+PLY型。

5、e型  控制信号由DCS独立完成，联锁报警信号由三重化冗余的紧急联锁控制器ESD完成。软

  图2-6-3  实现控制和联锁的五种形式

件编程器独立设置，重要动作及操作指令由独立操作台显示和发出，非重要信号和指令由通信接口经通信网络送操作站显示和发出，就是DCS+ESD型。

    总之SIS原则上应单独设置，独立于DCS和其他系统，并与DCS进行通信；SIS应具有完善的诊断测试功能，其中包括硬件(CPU、I/O通信电源等)和软件(操作系统、用户编程逻辑等)，SIS应采用经TÜV安全认证的PLC系统；SIS关联的检测元件，执行机构原则上单独设置；SIS中间环节应保持最少；SIS应采用冗余或容错结构，如CPU、通信、电源等单元；SIS应设计成故障安全型，I/O模件应带电磁隔离或光电隔离，每通道应相互隔离，可带电插拔；来自现场的三取二信号应分别接到三个不同的输入卡，当模拟量输入信号同时用于SIS、DCS时，应先接到SIS的AI卡，采用SIS系统对变送器进行供电。

2.3安全等级划分

2.3.1安全等级确定标准

目前，在石油、石油化工工业装置的设备和工艺过程设计中，越来越注重安全装置的安全性。通常在装置中，工艺过程的目标安全水平是由国家标准、条例、政策法规和环保要求的或根据国际标准来确定。

近年来，国际上通用的两大安全标准是1996年美国仪表协会ISA通过和颁布的ANSI/ISA S84.01—1996标准和1997年国际电工委员会IEC通过和颁布的IEC61508/61511标准。这两大安全标准的主要目的是用于确定工艺过程所要求的安全功能，建立它们的SIL等级以及在SIS中实现其安全功能来满足工艺过程所要求的安全水平。

1、安全度与安全度等级  

安全联锁系统在一定条件一定时间周期内执行指定安全功能的概率称为安全度。

安全联锁系统的安全等级称为安全度等级，用PED(Probability Failuren Demand)即故障危险概率来定义。

2、SIL及SIL分级

 SIL是Safety Integrity Level的简称，中文的意思是综合安全级别也称为安全度等级。它是美国仪表学会ISA在S84.01标准中对过程工业中安全仪表系统所作的分类等级，SIL分为1、2、3三级：

    SILl级每年故障危险的平均概率为0.10—0.01之间；

    SII2级每年故障危险的平均概率为0.01～0.001之间；

    SIL3级每年故障危险的平均概率为0.001—0.0001之间。

 ISA S84.01标准中安全度等级的确定：

1级：装置可能很少发生事故。如发生事故，对装置和产品有轻微的影响，不会立即造成环境污染和人员伤亡，经济损失不大。

用于本级装置的安全仪表系统，需取得SILl级和TüV2—3级认证，对装置和产品起一般的保护。

2级：装置可能偶尔发生事故。如发生事故，对装置和产品有较大的影响，并有可能造成环境污染和人员伤亡，经济损失较大。

用于本级装置的安全仪表系统，需取得SIL2级和TüV4级认证，对装置和产品提供保护。

3级：装置可能经常发生事故。如发生事故，对装置和产品将造成严重的影响，并造成严重的环境污染和人员伤亡，经济损失严重。

用于本级装置的安全仪表系统，需取得SIL3级和TüV5—6级认证，对装置和产品提供保护。

我们国家参照ISA-S84.01标准，将安全等级确定为1级、2级和3级。数值愈大，安全联锁系统的安全性能要求愈高。可以采用不同的方法组成安全联锁系统以满足规定安全等级的要求。系统的安全性能可以通过采用相同或相异形式的硬件冗余、更频繁地测试及更完善地故障诊断等来增强。对设计、操作和维护更好地控制也能够增强系统的安全性能。需综合工艺与自控等专业的设计知识、操作经验以及对过程危险的检查技术等多方面知识与技能，并结合类似装置的应用经验及工程项目的投资状况等，通过进行下列的安全性分析活动，从而确定过程的安全等级
  (1) 评估危险事件发生的可能性及其后果;
  (2) 评估除采用安全联锁系统外，其它能预防、保护及能减轻事件后果的安全措施;
  (3) 确认采用安全联锁系统是否合适;
  (4) 确定安全联锁系统需达到的安全等级;
  (5) 决定其它与过程安全有关的内容与设计原则。
    确定一个过程的安全等级可以通过多种方法(定性的或定量的)来实现。鉴于我国目前的实际状况，通过对所有事件发生的可能性与后果的严酷度及其它安全措施的有效性进行定性的评估并参照国际标准，从而确定合适的安全等级。

3、IEC61508标准 

IEC 61508标准是国际电工委员会(IEC)对与安全相关的控制系统制定的性能安全标准，与ISA的SIL相比，除了覆盖ISA中的SILl～3级以外，增加了第4级标准，IEC SIL4级标准每年故障危险的平均概率为0.0001一0.0000l之间。

4、 TÜV标准

    TÜV是德国技术监督协会的缩写。DIN V 19250是TÜV证书中评定产品的标准。TÜV标准是德国莱茵认证机构对工业过程安全控制系统所作的分类等级。

TÜV共分为8级(AKl～AK8)，AK2/3对应于SIL 1级，AK4对应于SIL2，AK5/6对应于SIL3，AK7对应于SIL4，AK8是目前最高级别的安全标准，故障概率大于十万分之一，

目前没有与E/E/PES(Electrical/Electronic/programmable Electronic System:电气/电子/可编程电子系统)安全相关的系统能满足要求，ISA和IEC尚未制定相应于AK8的标准。

2.3.2各标准风险分析对照关系

工艺过程的风险是以恶性事故概率及其造成的后果来衡量的。同样，目标安全水平是以可接受的恶性事故概率及其造成的后果来确定的。我们讨论的每一种恶性事故过程，引入SIS只能降低恶性事故发生的频率，而不能改变其造成的后果。目标安全水平与恶性事故概率之间的差值就是安全功能的SIL等级，即SIS系统中采用SIL等级的安全功能来使恶性事故概率低于目标安全水平。DIN V 19250/IEC 61508标准风险分析对照如表2-6-3所示

表2-6-3  各种标准规范有关安全度等级划分对照表

  表注：AKl：无特殊安全要求

AK8：E/E/PES已满足不了要求(E/E/PES IS NOT SUFFICIENT)

E/E/PES(Electrical/Electronic/programm-able Electronic System：电气/电子/可编程电子系统)。

2.3.3 SIS安全仪表系统常用术语

1、故障(Failure)

  针对控制系统的安全而言，我们把故障分成安全故障和严禁故障。安全故障意即此故障不会引起生产装置发生灾难性事故。严禁故障是指一旦发生故障，会引起装置灾难性后果。

在此以紧急停车系统(ESS)为例来说明安全故障和严禁故障的区别。

图2-6-4为ESS的一个典型通道，该图从传感器一继电器一ESS工作正常。

图2-6-4 ESS通道

图2-6-5为安全故障示例。在图2-6-5 (a)中，传感器处于正常状态，而继电器则由于触点粘死等故障而引起ESS动作造成停工。在图4-2(b)中，生产装置正常，传感器本身故障发生停车信号，ESS执行命令使装置停工。

图2-6-5 安全故障示意图

图2-6-6为严禁故障示例。在图图2-6-6 (a)中，传感器工作正常检测到了装置的异常情况，但继电器出现故障而对此没有相应的反应，ESS不动作。在图4-3 (b)中，生产装置处于危险状态，传感器却照常输出假性正常信号，造成ESS不动作。这两种情况都能给生产带来严重后果，为严禁发生的故障。

                                        图2-6-6   严禁故障示意图

2、可用性(利用率)(Availability)

 可用性是指系统可以使用时间的概率，用字母A表示。

 从定义里看出，故障状态和停车检修显然不在可用状态。根据定义，其表达式为

如表所示，它以ESS为例，说明了系统的可用性(利用率)情况。在第(1)种情况下，ESS与装置

表2-6-2

两者都处于可用状态。在第(2)种情况下，ESS与装置都在不可用状态。在第(3)种情况下，ESS不在可使用状态，而工厂则继续运行，处于危险的可使用状态。分析表2-6-2可知：追求高的可用性，其安全风险大，追求高的安全性，则可用性就要降低。

3．可靠性(Reliability)

    可靠性是指系统在规定的时间间隔内发生故障的概率，用字母R表示。

    较为具体地解释，可靠性指的是安全联锁系统在故障危险模式下，对随机硬件或软件故障的安全度。可靠性计算是根据故障(失效)模式来确定的，故障模式有显性故障模式(失效—安全型模式)和隐性故障模式(失效—危险型模式)两种。显性故障模式表现为系统误动作，可靠性取决于系统硬件所包含的元器件总数，一般由MTBF表示。隐性故障模式表现为系统拒动作，可靠性取决于系统的拒动作率(PFD)，一般表示为：

    R＝1一PFD

4、牢固性(Integrity)

    在有了可靠性(Reliability)概念后，IEC等又引入了牢固性(Integrity)，它也经常出现在IEC的标准中。可靠性与牢固性在意义上极为相似，很难加以区分。

    IEC和SP84对安全性(Safety　Integrity)的定义：在规定的时间和条件下，PES完成安全功能的可靠性。

    IEC(WGl0)：硬件牢固性(Hardware　Integrity)：是系统安全性的组成部分，它指在危险方式下硬件的随机故障。

    英国的PES：安全性(Safety　Integrity)：安全系统在规定的条件下或者在需要它去执行的要求下，按人们的要求完成功能时所表现的特性。

    从可靠性、牢固性定义中可以看出，安全性这个术语用在安全保护系统中，而可靠性的适用范围则相对广泛。

5、冗余及冗余系统

    冗余(Redundant)指为实现同一功能，使用多个相同功能的模件或部件并联。冗余也可定义为指定的独立的N︰l重元件，且可自动地检测故障，并切换到备用设备上。

冗余系统(Redundant　System)指并行使用多个系统部件，并具有故障检测和校正功能的系统称为冗余系统。

                        

对于采用微处理器(MPU)逻辑单元的安全仪表系统(SIS)，其冗余的选择是基于可靠性、安全性的要求来配置的。安全仪表系统的冗余由两部分组成，如图2-6-7所示，其一是逻辑结构单元本身的冗余，其二是传感器和执行器的冗余，这只是硬件配置，不仅如此，还要考虑冗余部件之间的软件逻辑关系。针对不同的

                           

 图2-6-7 安全仪表系统的冗余组成

场合，冗余的次数及实现冗余的软逻辑不同。现在美国和欧洲已有相当多的标准来规范冗余的配置，我国有关方面也正在制定相关的行业标准(石油化工安全仪表系统设计规范)来规范冗余的配置。

6、冗余逻辑表决方式

    表决(Voting)　指冗余系统中用多数原则将每个支路的数据进行比较和修正，从而最后确定结论的一种机理。

    例如：

    　　loolD(1 out　of　lD)    1取1带诊断

    loo2(1 out of 2)        2取1

    ]oo2D(1 out of 2D)     　4取l带诊断

    2oo3(2 out of 3)       　3取2

    2oo4D(2 out Of 4D)     4取2带诊断

    在选择了冗余后，对冗余表决逻辑则根据情况编制相应的软件程序。

(1)二选一表决逻辑loo2方式

loo2方式是“与”逻辑 即AB=1。正常状态下，A、B状态为1，只要A、B任一信号为0，发生故障，通过表决器执行命令，执行器执行相应动作。适用于安全性较高的场合。

(2)二选二表决逻辑2oo2方式 

2oo2方式是“或”逻辑 即A+B=1。正常状态下，A、B状态为l，只有当A、B信号同时发生故障为0时，表决器才命令执行器执行相应动作。适用于安全性要求一般，而可使用性较高的场合。

2oo2选择能有效防止安全故障的发生，从而大大提高系统的可使用性，这是从另一角度出发选择的冗余表决逻辑，但系统极有可能造成严禁故障的发生。因此，从安全的角度讲，2oo2方式是不可选的，德国TüV标准，禁止2oo2方式使用在ESS系统上。

通过对以上二重化表决逻辑的分析可以看出，loo2和2oo2都有缺陷，当出现A、B两个状态相异时，究竟哪个是正确、哪个错误呢?

（3）三选一表决逻辑loo3方式

    loo3方方式是“与”逻辑 即ABC=1。正常情况下，A、B、C状态为l，只要A、B、C任一信号为0，发生故障，表决器就命令执行器执行相应的联锁动作。适用于安全性很高的场命，而不顾及其他情况。

    三选一loo3方式表决逻辑出自高度安全的角度，它最有效地防止了严禁故障的发生，比loo2方式更严格，但增大了安全故障发生的机会。它的安全故障发生率是单一系统的3倍。

(4)三选二表决逻辑2oo3方式  2oo3方式是既“与”逻辑又“或”逻辑，即AB+AC+BC=1。正常情况下，A、B、C状态为l，当A、B、C中任两个组合信号同时为0，发生故障时，表决器就命令执行器执行相应的联锁动作。适用于安全性、使用性高的环境场合。

三选二2oo3表决逻辑是比较合理的选择，它能克服二重化系统不辨真伪的缺陷，任一通道不管发生什么故障，系统通过表决后照常工作，其安全性和可用性保持在合理的水平。

7、容错、容错技术及容错系统

（1）   容错(Fault　Tolerant)是指功能模块在出现故障或错误时的能力。

可以继续执行特定功能

  进一步讲容错是指对失效的控制系统元件(包括硬件和软件)进行识别和补偿，并能够在继续完成指定的任务、不中断过程控制的情况下进行修复的能力。容错是通过冗余和故障屏蔽(旁路)的结合来实现的。

（2）     容错技术是发现并纠正错误，同时使系统继续正确运行的技术，包括错误检测和校正用的各种编码技术、冗余技术、系统恢复技术、指令复轨、程序复算、备件切换、系统重新复合、检查程序、论断程序等。

（3）  容错系统是对系统中的关键部件进行冗余备份，并且通过一定的检测手段；能够在系统中的软件和硬件故障时，切换到冗余部件工作，以保证整个系统能够不因这些故障而导致处理中断。在故障修复后，又能够恢复到冗余备份状态。具备此种能力的系统即为容错系统。容错系统又分为硬件容错系统和软件容错系统，硬件容错系统在SIS系统中更有优势。

8、故障安全

故障安全是安全仪表系统在故障时按一个已知的预定方式进入安全状态。

故障安全是指ESD系统发生故障时，不会影响到被控过程的安全运行。ESD系统在正常工况时处于励磁(得电)状态，故障工况时应处于非励磁(失电)状态。当发生故障时，ESD系统通过保护开关将其故障部分断电，称为故障旁路或故障自保险，因而在ESD自身故障时，仍然是安全的。

具体地说在设计安全停车系统时，有下列两种不同的安全概念。

（1）   故障安全停车：在出现一个或多个故障时，安全仪表系统立即动作一个预定义的停车工况。

（2）     故障连续工作：尽管有故障出现，安全仪表系统仍然按设计的控制策略继续工作，并不使装置停车。对应于上述两种情况的ESD系统分别称为故障—安全(Fail-Safe)型系统和容错(Fault-Tolerant)型系统。

9、故障性能递减

故障性能递减指的是在SIS系统CPU发生故障时，安全等级降低的一种控制方式。故障性能递减可以根据使用的要求通过程序来设定。loo2D取一带自诊断方式即系统故障时性能递减方式为2-l-0。表示当第一个CPU被诊断出故障时，该CPU被切除，另一个CPU继续工作，当第二个CPU再被诊断出故障时，系统停车。

采取3取2表决方式，即3个CPU中若有一个运算结果与其他两个不同，即表示该CPU故障，然后切除，其他两个CPU则继续工作，当其他两个CPU运算结果不同时，则无法表决出哪一个正确，系统停车。

在双重化2取1带自诊断2oo4D，系统故障时，递减方式4-2-0，系统中两个控制模块各有两个CPU，同时工作，又相对独立，当一个控制模块中CPU被检测出故障时，该CPU被切出，切换到2-0工作方式:其余一个控制模块中两个CPU以loo2D方式投入运行，若这一控制模块中再有一个CPU被检测出故障时，系统停车。

总之在出现CPU故障时，安全等级大降，但仍能保持一段时间的正常运行，此时必须在允许故障修复时间修复，否则系统将出现停车。如3—2一0方式允许的最大修复时间为1500小时。对于不同的系统，不同的安全等级故障修复时间不同。

10、相 异

就是 采用不同的技术、设备或设计方法完成同样的功能，目的在于将共同原因差错降到最低限度。

通过对以上理论的系统学习解决了我在以往工作中的模糊概念，掌握了更多的知识，我要把所学到的知识运用到实际工作中去，为炼油厂的发展多做贡献。

20##-6-4