SIS系统如何选型.docx

1、SIS系统如何选型SIS系统如何选型.txt10有了执著，生命旅程上的寂寞可以铺成一片蓝天；有了执著，孤单可以演绎成一排鸿雁；有了执著，欢乐可以绽放成满圆的鲜花。 本文由xgl131贡献 doc文档可能在WAP端浏览体验不佳。建议您优先选择TXT，或下载源文件到本机查看。 SIS 基本知识和选型参考 1、SIS 基本知识 11 SIS 定义 SIS 系统(Safety Instrumented System)，是对石油化工、电力等行业生 产装置可能发生的危险或不采取措施将继续恶化的状态进行及时响应和保护， 使生产装置进入一个预定义的安全停车工况，从而使危险降低到可以接受的最 低程度，以保证人员

2、、设备、生产装置和环境的安全。 它是一种安全仪表联锁系统，根据不同标准和应用场合，有时也称为：紧急 停车系统（Emergency Shutdown） 12 SIS 由来 生产装置规模的日趋扩大 高温、高压、易燃、易爆等连续性生产装置本身的危险 大型机组、机械等重要设备的保护 对安全和环境的要求越来越高 若发生事故将会造成人员、财产、环境等方面的重大损失和影响！因此越来 越多的场合需要采用 SIS 系统。 13 SIS 应用领域 SIS 主要保护对象为人身、设备、财产和环境的安全，因此适用于能造成以 上各项损害的场合，主要有： 石油液化气开采（平台） 、油气输送和储存 石油化工装置 化工装置 电

3、力、锅炉、核电 交通、冶金、环保、汽车制造 大型机械、旋转设备 各行业使用 SIS 的常见装置有： 油气及炼油装置：催化裂化、加氢精制、加氢裂化、催化重整、丙烷脱沥青、 硫磺回收、罐区消防和火灾报警、变压吸附、制氢、火焰与气体 检测、油气输送及存储、油气开采平台等等 石化装置：乙烯裂解、聚丙烯、高压聚乙烯、聚氯乙烯、苯乙烯、聚苯乙烯、 丙烯腈、芳烃、环己酮、PTA、丁二烯等等石化深加工装置 化工装置：造气、合成氨、农药、磷肥、涂料、乙炔、乙酰、醋酸等 锅炉电力：锅炉燃烧、汽机停机系统、核电 其它：冶金、交通、汽车制造、建材、环保、造纸、大型机械、旋转设备等 领域 14 SIS 基本构成 一般典

4、型的 SIS 系统主要包括检测部分、 逻辑控制单元和最终执行部分， 再 配合相应的软件组成。通常与基本过程控制系统（比如 DCS 系统）有通讯要求， 共同组成生产装置的过程仪表控制系统。 2、SIS 产品的标准和认证 21 主要标准 SIS 产品所遵从的国际标准主要有： 国际电工委员会 IEC61508 标准 系统的功能安全 1997 其中规定将过程安全所需要的安全等级划分为 4 级（SIL1SIL4） ； 美国仪表学会 ISA-S84.01 标准 流程工业安全仪表系统的应用 1998 称安全系统为安全仪表系统(Safety Instrument System, SIS)， ISA S84.0

5、1 与 IEC61508 类似，根据系统不响应安全联锁要求的概率（即失效 率 PFD）将安全等级划分为 3 级（SIL1-SIL3） ，认为 IEC61508 定义的 SIL4 不存在于过程工业中； 德国标准化委员会 DIN(Deutsches Institut fr Normung) V19250 及 DIN V VDE0804 根据估计危险的损害程度、危险区域内人员存在的可能性、短时间内防 止危险发生的可能性及出现危险事故的可能性等四个风险参数将过程风险 定义为 8 级（AK1AK8） ； 欧洲机器安全标准 EN 954-1 危险等级分为 B，1，2，3，4 五个等级，针对安全控制系统，按

6、照对故 2/15 电气 / 电子 / 可编程电子安全相关 障的承受能力和出现故障后安全功能的作用，对应于危险等级的五个等级， 机器设备的控制系统中安全控制部分也可分为以上五个等级危险等级依次 增高，等级 4 为最高的危险等级。 国内目前正在依据 IEC61508 制订国家标准，即将颁布。除此之外，一些行 业有相关的 ESD 标准： 石化行业有相关的设计导则：石油化工紧急停车及安全联锁系统设计导 则（SHB-Z06- 1999） ，采用 IEC 的 SIL 概念； 中国石化集团公司工程建设管理部有：石油化工安全仪表系统设计规范 （SH/T3018-2003） ； 国家发展改革委批准石油化工安全仪

7、表系统设计规范 SH/T3018-2003 ，自 2004 年 7 月 1 日起实施。 化工行业 HG/T 20511-2000 标准，在化工自控设计中规定，将安全等级 确定为 1 级、2 级和 3 级。 它们基本都将工业过程等对象依据危险性高低划分为若干个安全度等级， 实 际使用中选用相应安全度等级的 SIS 系统来加以保护，保护的对象主要为人、 设备、财产、环境等的安全。依据 IEC 标准由低到高划分为 SIL1SIL4，ISA S84.01 标准划分为 SIL1SIL3 三级， 认为 SIL4 级不存在于过程控制中， DIN V VDE0804 标准由低到高划分为 AK1AK8，它们之间

8、的对应关系为： 安全度等级对比表 DIN VDE0804 AK1 SIL1 SIL1 AK2 SIL1 SIL1 AK3 SIL1 SIL1 AK4 SIL2 SIL2 AK5 SIL3 SIL3 AK6 SIL3 SIL3 AK7 SIL4 AK8 SIL4 IEC 61508 ISA S84.01 数值越大，SIS 系统的安全性能要求越高，具体指标见下表。 安全等级 SIL 性能 要求 平均失效度 可用度 1 2 3 4 10E-410E-6 10E-110E-2 10E-210E-3 10E-310E-4 0.9-0.99 0.99-0.999 0.999-0.9999 0.9999-0

9、.99999 一般用到 SIS 的锅炉、石化、化工装置为 AK4AK6（SIL2SIL3）等 级，AK7AK8（SIL4）用于核电等特殊场合。 3/15 22 SIS 产品的认证 涉及产品安全认证，主要有 CB、CCC、UL、FCC、CSA、TV 及北欧四国认证 等，目前针对 SIS 产品，使用最多并得到广泛认可的是 TV-GS 认证，GS 的参 考标准是 VDE 和 DIN(德国标准协会)标准，如果产品具有 GS 标志，代表该产品 符合最新的欧洲和德国标准。GS 的含义是德语“Geprufte Sicherheit”(安全 性已认证)，也有Germany Safety （德国安全）的意思。

10、德国莱茵公司技术 监督公司(TV)是德国最大的产品安全及质量认证机构， 在欧洲久享盛誉。 设有 该机构分公司的国家和地区可以方便地申请 GS 标志及其它国家的安全认证。 目前市场上 SIS 产品也以通过 TV 认证居多， 通过认证的每种产品都有达到 AK1AK8 安全等级的具体说明，用户可根据过程的具体需要配置相应等级的 SIS 产品。标志及证书如下所示： 3、SIS 产品的市场状况 产品种类 31 SIS 产品种类 目前市场上使用较多的 SIS 产品主要有： Triconex 公司的 TRICON 系统； Honeywell 公司的 FSC 系统； HIMA 公司的 H41q 和 H51q

11、系统； GE 公司的 S90-70 GMR 系统； GE SafetyNet; Siemens 公司的 S7-400FH 系统； Moore 公司的 QUADLOG 系统； Woodward 公司的 Micro Net TMR 系统； ICS Triplex 公司的 Regent 系统、Trusted 系统； 中控集成的 32 中控集成的 SIS 产品 GE 90-70 GMR 系统； （三重化） GE SafetyNet 系统； （SIL2） HIMA H51q 和 H41q 系统； （四重化） 4/15 33 SIS 应用类型 目前市场上 SIS 应用大致有下列几种类型： 使用继电器搭建或

12、专用仪表 在投运较早的老装置中，使用较为普遍。一般设置辅助操作面板，其中有重 要的工艺参数指示和报警、手动停车及复位、投运按钮等部分，而对于大型机 组等设备运行状况和保护，也引入主控制室显示和报警，停车保护则一般采用 设备自带的特殊仪表系统来完成。 经过认证的 SIS 系统 市场上的主流 SIS 产品都属于经过认证的 SIS 产品， 随着人们对安全认识水 平的提高和产品技术的发展，经过认证的 SIS 越来越成为新建装置中安全保护 仪表系统的首选。 对于目前使用越来越多的 SIS 系统，基本都符合 IEC61508 标准并可达到和 获得 TV AK1AK6/IEC SIL1SIL3 等级认证，主

13、要有以下三种主流 CPU 结构： 冗余容错完全自诊断结构，即 1002D 结构（诊断率 99.99） ； 三重化表决部分自诊断结构，即 2003D 结构（TMR 诊断率 70） ； CPU 四重化冗余容错完全自诊断结构，即 2004D 结构（QMR 诊断率 99.99） ； 对于这三种不同的结构，安全系统的性能是不同的。 对于第一种 1002D 的结构，当第一个 CPU 被诊断出故障时，该 CPU 被切除， 另一个 CPU 继续工作。若要应用在 AK6 安全等级，根据 AK6 的要求，如果第一 个 CPU 不能在其被诊断出故障后 1 小时内修复，系统会在 1 小时后自动停车以 保证故障安全。

14、对于第二种结构，如美国 GE 公司的 90-70 GMR 系统就是采用 TMR 技术，它 虽然通过了 TV SIL3/AK6 的等级认证，而其引以为荣的 CPU 和 I/O 卡件完全 三重化冗余故障容错设计，事实上是基于高度稳定的硬件基础上的。 对于第三种结构，如德国 HIMA 公司的 PES，四个 CPU 分成两对，既同时工 作又相互独立。当其中一个 CPU 被诊断出故障时，则该对 CPU 被切除，所剩一 对 CPU 继续以 1002D 的模式工作。这对独立工作的 CPU 仍满足安全等级 SIL3/AK6 的要求。只有当这对 CPU 其中再有一个故障时，系统才考虑停车。所 以，此结构对于故障

15、修复时间没有限制。可见，2004D 结构的系统更为可靠。 5/15 目前 HIMA 公司、Triconex 公司的系统在国内占有较大的市场份额，是主流 SIS 系统厂家代表，GE 、Honeywell、CCC 公司的产品则在石化、化工行业表现 不错。 4、SIS 产品的设计和选用 41 SIS 产品的设计和选用原则 依据中国石化 石油化工紧急停车及安全联锁系统设计导则 （SHB-Z06- 1999） ， 简要介绍一下 SIS 系统的设计和选用原则： 独立设置原则：一般情况下，SIS 应独立于过程控制系统，其检测元件、 执行元件和逻辑运算器及通讯部分都应单独设置。对于不能单独设置的 SIS 系统

16、要确保 SIS 作用优先于过程控制系统。 选择采用技术的原则：可采用电气、电子或可编程电子技术，也可以采 用由它们组合的混合技术。 结构选用原则：冗余结构既适用于软件又适用于硬件，可选用一选一、 二选一、三选二等结构，同时要考虑是励磁停车还是非励磁停车。 故障安全型原则：SIS 系统应是故障安全型的，即在系统故障时应保证 过程是安全或趋于安全的状态。 中间环节最少原则：SIS 的中间环节应是最少的。 系统目标客户定位及产品介绍 42 SIS 系统目标客户定位及产品介绍 目标客户定位见下图： 目标客户 客户描述 中小型私有/国有石化企业； 目标客户 1 点数较少（单套 200 点以内） ； 系统

17、名称 1、推荐 GE SafetyNet 或 GE 9070 GMR 系统 SIS 系统需达到 SIL2 或 TUV4 认证。 2、HIMA H41q(用户指定) 大型私有/国有石化企业； 1、推荐 GE 9070 GMR 系统 目标客户 2 相对点数较多（单套 600 点以内） 2、HIMA H51q(用户指定) SIS 系统需达到 SIL3 或 TUV6 认证。 901 GE 90-70 GMR 三重化冗余系统 GE 90-70 GMR（Genius Modular Redundancy）安全表决系统包括 GMR 单重 6/15 化系统（1oo1D） 、GMR 双重化系统（1oo2D&2o

18、o2D） 、GMR 三重化系统（2oo3）等。 GE 90-70 GMR 三重化冗余系统是具有国际先进水平的的三重化表决系统， 它可以提供从输入到 CPU 控制器以及输出的各种组合，也就是说，可以根据不 同的工艺要求将不同的参数按不同的配置进行处理。 （1）安全功能实现的主要原理 GMR 三重化冗余系统最重要的特点是其具有消除任何故障的特有能力。 基于 三个独立的 PLC 和广泛的诊断系统，GMR 三重化冗余系统通过 3 选 2 的表决来 提供高可靠性和无误差的操作。另外，GMR 物理上无耦合设计和分离式结构电 路保护可以从本质上消除相同模式故障的潜在可能性。 下图是其安全功能实现的主要原理。

19、 （2）GMR 系统组成 GMR 系统由如下几部分组成:输入子系统(收集来自于多个或单个传感器的 数据)、多个 PLC 子系统(运行相同的应用程序)和输出子系统(控制公共输出负 载)。 模块和 PLC 间及各 PLC 间的通讯由 Genius 冗余总线提供。 为满足宽领域 7/15 关键控制的需要，各子系统可设计为由冗余的和非冗余的开关模拟设备恰当的 混合而成。 如上图所示，CPU 和输入模块可按单重化、双重化、三重化配置，输出可 以按单模块、I 型、T 型、H 型配置。 90（3）GE 90-70 GMR 系统特点 90-70 GMR 表决系统的特点： 容错功能（Fault Tolerant

20、） 失败安全（Fail Safe） 高等级自检及诊断检测 支持中央控制和分布控制系统 8/15 应用灵活性，可组态逐点冗余使之可以根据指定的应用要求配置自己的 硬件系统。Genius I/O 加速系统的开车进程，不须长距离拉线。 消除保险，减低了平均修复时间（MTTR） 故障识别到点级，进一步降低了平均修复时间（MTTR） GMR 是一个高可靠性和高可用性的系统。 基于 20ms 的扫描时间。 支持三选二、二选二、二选一以及单机系统配置。 90表决系统配置： （4）GE 90-70 GMR 表决系统配置： 9070 GMR 控制器是由 9070 PLC CPU(CPU788、CPU789 和

21、CPM790)以及相 关的电源、机架、通讯等模块构成。如果系统配置是双重化或三重化的，所选 用 CPU 必须是相同型号。每一个CPU 需要 13 个总线控制器。 GMR CPU： IC697CPU788 (80386DX,512KMEM,325 点 I/O) IC697CPU789 (80386DX,512KMEM,12KI/O) IC697CPU790 (80486DX2,1M MEM,12K I/O) CPU 内存（788/789） ：IC697MEM735 90-70 总线控制器：IC697BEM731 (90-70 系列 Genius 总线控制模块) IC697CMM692 (90-7

22、0 系列以太网总线控制模块) 电源：IC697PWR711（AC120V/240V, DC125V, 100W） IC697PWR724（DC24V/48V, 90W） 机架：IC697CHS750 （5 槽，后板面安装） IC697CHS751 IC697CHS791 （5 槽，前板面安装） （9 槽，前板面安装） IC697CHS790 （9 槽，后板面安装） GMR 软件：IC641SWP745 编程软件：IC640HWP706 GMR 系统支持 Genius 模块、Field control I/O 和 VersaMax I/O 各类子系 9/15 统。 下面列出部分 Genius I

23、/O 模块： IC660BBD020：24/48VDC Source I/O 模块 16 路 IC660BBD021：24/48VDC Sink I/O 模块 16 路 IC660BBD022：24VDC Source I/O 模块 16 路 IC660BBD023：24VDC Sink I/O 模块 16 路 IC660BBD024：12/24VDC Source I/O 模块 32 路 IC660BBD025：5/12/24VDC Sink I/O 模块 32 路 IC660BBD101：115VAC 低漏电 I/O 模块 8 路 IC660BBD110：115VAC 输入模块 16 路

24、IC660BBR100：16 路常闭继电器输出模块 IC660BBR101：16 路常开继电器输出模块 IC660BBA020：24/48VDC 4 模拟输入/2 模拟输出 IC660BBA024：24/48VDC 4 电流模拟输入/2 模拟输出 IC660BBA025：24/48VDC 6 模拟电流源输出 IC660BBA026：24/48VDC 6 模拟电流源输入 IC660BBA021：24/48VDC 6 通道 RTD 输入 IC660BBA023：24/48VDC 6 通道热电偶输入 上位机软件采用 CIMPLICITY HMI ，它是一个功能强大的，易于使用的 监督和控制软件。具有

25、 GE Fanuc 广泛的经验，真正的客户 / 服务器体系 结构，基于 Microsoft Windows NT（2000）环境的多任务，多用户操作系 统。 （5） GE SafetyNet ） Proficy SafetyNet 是 GE Fanuc 智能平台目前提供的主要技术之一，是 一种经济、高效的功能安全系统，能够满足当今紧急停车、火气和锅炉管理等 方面的安全要求。Proficy SafetyNet 已通过德国莱茵技术监督协会（TV Rheinland）认证，适用于SIL 2 安全功能。该技术融入了最新的设计工艺，符 合 IEC 61508 和 IEC 61511 标准的要求。 10/

26、15 SafetyNet关键特性： 可用性更高 SafetyNet 具有冗余控制器、电源和网络，提高了 SIL 2 安全系统的可用 性，并可降低误停车概率。 经过安全认证的点对点通信 SafetyNet P2P 是功能强大且安全的通信协议，满足输入输出位于不同节 点时的SIL 2安全功能要求。 HART? 性能 智能 HART 现场仪表，实现了新的控制和安全策略以及维护方式， SafetyNet能提供所有这些强大的功能。 常开和常闭 SafetyNet 数字量输出通道经过认证，能用于常开和常闭应用，并且每个 通道都能进行单独配置。 安全手册 SafetyNet 安全手册简单明了，正如用户所期待

27、的一样。 快速应用程序开发 通过使用结构文本 （ST） 梯形图 、 （LD） 功能块图 、 （FBD） 等编程语言， SafetyNet Workbench 能够开发 SIL 2 安全应用程序。 安全和访问控制 SafetyNet 安全措施包括有密码保护的用户帐户，为授权计算机创建的 受信任主机列表（Trusted Host Table），关键切换位号(Key Switch Tag)可 以锁定或允许改变和强制功能，同时还有利用控制器密码防止未授权的访问。 确认和验证软件 SafetyNet Workbench 配备的工具能够对应用程序的改动进行测试和监 控。 SafetyNet 逻辑静态分析工

28、具 该静态分析工具对控制策略中的结构性错误进行检测，尽量减少应用程序 问题，降低出错风险，缩短软件开发时间。 SafetyNet 逻辑比较工具 Workbench 中的比较工具能够用于比较新的控制策略和之前的策略，从而 11/15 大大减少检查工作和安全应用测试。 控制器更改控制日志 Workbench 保留一份更改控制日志， 记录了对 SafetyNet 控制器和模块作 出的所有改动。 维护超弛功能 SafetyNet 的维护超弛功能能够暂时停止安全功能的正常操作，以便进行 维护，也能够迫使系统关闭，或者在关闭系统后使其重启。 系统硬件结构见下图： 2 HIMA H41q/H51q HIMA

29、 公司的 H41q 和 H51q 系统做简要介绍并说明具体配置： 1998 年 HIMA 公司推出了 CPU 四重化结构（QMR）的安全控制系统 H41q 和 H51q，使安全控制技术又有了重大性突破，首次实现了安全控制系统无故障修 复时间限制，该技术是目前世界上安全控制领域中最为先进和可靠的。 H41q 和 H51q 为 CPU 四重化结构（QMR） ，即系统的中央单元共有 4 个微处理 器，每两个微处理器集成在一块 CU 模件上，再由两块同样的 CU 模件构成中央 控制单元。一块 CU 模件已经构成 1oo2D 结构，而 HIMA 的 1oo2D 结构产品就可 以满足 AK6/SIL3 的

30、安全标准。采用双 1oo2D 结构，即 2oo4D 结构的目的是为 12/15 用户提供最大的实用性（可用性） ，其容错功能使系统中任何一个部件发生故 障，均不影响系统的正常运行。 系统的基本扫描周期为 5ms（非冗余结构）/25 ms（冗余结构） ，SOE 分辨率 为 ms 级， 系统的 SOE 功能可对系统本身的故障或导致联锁停车的各种事件进行 记录。 HIMA PES(Programmable Electronic System)主要由 H41q 和 H51q 系列组 成，两个系列均基于相同的硬件和软件，可以处理所有的数字和模拟量输入输 出信号。 H41q 系列是一个紧凑型系统，它的所有

31、的部件，例如中央单元、接口、通 讯模块、配电系统以及输入输出模块均安放在一个 5 单元高的 19 英寸机架上。 H41q 系列工作系统所需的部件列于下表中： 系统 要求等级 CU（中央模件）数量型号 CM(协处理器）数量型号 CoM数量型号（快速以太网） CoM数量型号（profibus-DP） 电源数量型号 I/O总线数量 最大的I/O模件数 组件编号 H41q-MS AK1-6 1xF8652E 1xF8621A 1xF8627 1xF8626 2xF7130A 1 13 B4235 H41q-HS AK1-6 2xF8652E (2x)1xF8621A (2x)1xF8627 (2x)1

32、xF8626 2xF7130A 1 13 B4237-1 H41q-HRS AK1-6 2xF8652E (2x)1xF8621A (2x)1xF8627 (2x)1xF8626 2xF7130A 2 76 B4237-2 H51q 系列采用标准模块化结构，由一个中央机架（每个 5 单元高，容 纳了中央单元、接口、通讯模块、监视和电源）和最多 16 个相应的输入 输出子机架（每个 4 单元高）构成。 H51q 系列工作系统所需的部件列于下表中： 系统 要求等级 CU（中央模件）数量型号 H51q-MS AK1-6 1xF8650E 13/15 H51q-HS AK1-6 2xF8650E H51q-HRS AK1-6 2xF8650E CM(协处理器）数量型号 CoM数量型号（快速以太网） CoM数量型号（profibus-DP） 电源数量型号 5V监视 后备电池 I/O总线数量 最大的I/O模件数 3xF8621A 5xF8627 5xF8626 2x（3xF7126A） CU 监视模件CU 1 (2x)3xF8621A (2x)5xF8627 (2x)5xF8626 3xF7126A CU 监视模件CU 1 (2x)3xF8621A (2x)5