劉 偉 ，蘇成利 ， 任 泓

（1. 遼寧石油化工大學(xué)， 遼寧 撫順 113001； 2. 中國寰球工程公司遼寧分公司， 遼寧 撫順 113006）

由于石化設(shè)備的經(jīng)濟(jì)規(guī)模逐漸大型化,生產(chǎn)裝置間的密集程度的逐步提高,對控制、操作及安全等方面的要求也越發(fā)嚴(yán)格。石油、石化裝置的產(chǎn)品絕大部分都屬于有毒、有腐蝕性或易燃、易爆介質(zhì),生產(chǎn)過程稍有不慎就會造成重大的事故,使生產(chǎn)、設(shè)備、人員等方面的遭受不可挽回?fù)p失。安全儀表系統(tǒng)作為保障過程工業(yè)安全必不可少的措施, 必須不斷的提高安全儀表系統(tǒng)的可靠性的來保證過程工業(yè)的安全[1]。一般來說，安全儀表系統(tǒng)的經(jīng)歷了以下幾個發(fā)展階段:氣動系統(tǒng),繼電器系統(tǒng),固態(tài)繼電器系統(tǒng)和PLC系統(tǒng)。雖然有些裝置仍然采用這些系統(tǒng),但是顯然已經(jīng)不能滿足現(xiàn)代工業(yè)的要求，因此先進(jìn)的一體化和智能化的安全儀表系統(tǒng)得到迅速的發(fā)展。

1 安全儀表系統(tǒng)

1.1 安全儀表系統(tǒng)定義

安全儀表系統(tǒng)(Safety instrumented systems, SIS)是一種自動安全保護(hù)系統(tǒng),在保障正常生產(chǎn)和人身、設(shè)備安全等方面是不可替代的,如今已發(fā)展成為工業(yè)過程自動化不可或缺的部分。安全儀表系統(tǒng)主要作用就是在裝置運(yùn)行或操作過程發(fā)生異常工況并且危及安全生產(chǎn)時,獨立及時的完成安全保護(hù)動作。辨識發(fā)生危險的程度,及時采取有效的措施,聯(lián)鎖儀表執(zhí)行相關(guān)動作,切斷與危險源的聯(lián)系,這樣可以確保事故被有效的遏制同時保護(hù)人身和設(shè)備的安全[2]。對于過程工業(yè)而言,安全儀表系統(tǒng)本身的安全性可以左右事故造成的影響,多數(shù)過程工業(yè)的安全事故都會伴隨著巨額財產(chǎn)損失和重大的人員傷亡,因此只有對過程工業(yè)安全儀表系統(tǒng)進(jìn)行實時的安全評定與評估，才能確保過程工業(yè)的安全。通過收集相關(guān)資料,證實在過程工業(yè)中,由于對安全儀表系統(tǒng)安全等級的要求不符合標(biāo)準(zhǔn)以及投產(chǎn)運(yùn)行后的項目在改造過程中對安全儀表系統(tǒng)的改建不合理或沒有及時更改安全儀表系統(tǒng)而導(dǎo)致的安全事故在所有發(fā)生的事故中所占的比例最高。如果安全儀表系統(tǒng)設(shè)計不恰當(dāng),可能出現(xiàn)兩種嚴(yán)重的后果：可能的后果之一是不應(yīng)該跳車時反而跳車,從而導(dǎo)致誤動作;另一種可能的后果是該跳車時卻不跳車,導(dǎo)致拒動作。誤動作直接使裝置停車,浪費(fèi)了時間和精力。拒動作后果不堪設(shè)想，可能導(dǎo)致嚴(yán)重甚至災(zāi)難性的事故,造成人員傷亡和巨大的經(jīng)濟(jì)損失，因而需要合理運(yùn)用安全儀表系統(tǒng)以規(guī)避風(fēng)險和危險。

談及安全儀表系統(tǒng)的定量分析,必須提到幾個重要的指標(biāo): 平均失效概率(PFD) 、 安全完整性等級(SIL)和安全失效分?jǐn)?shù)(SFF)，其中安全完整性等級的確定尤為重要，安全度等級是用來描述安全儀表系統(tǒng)安全綜合評價的等級,指在規(guī)定的時間內(nèi)、規(guī)定的條件下,安全儀表系統(tǒng)達(dá)到所要求的安全功能的概率[3]。每個安全儀表系統(tǒng)應(yīng)根據(jù)裝置的不同需求確定SIL，且不能掉入單獨考慮邏輯控制器的誤區(qū)，同時也需要足夠重視安全儀表系統(tǒng)的其他組成部分（如檢測元件、執(zhí)行元件）的可靠性及可用性。比如在IEC61508標(biāo)準(zhǔn)中, 將安全儀表系統(tǒng)分為3個安全等級:SIL1～SIL3, SIL3最高級, SIL1最低級，一般安全度等級[4]用故障發(fā)生危險的平均概率(PFD)來描述的,且對應(yīng)關(guān)系如下：

1.2 安全系統(tǒng)設(shè)計的基本原則

設(shè)計安全儀表系統(tǒng)的應(yīng)滿足以下要求:(1)必須在裝置條件危險且未發(fā)生事故的情況下迅速做出響應(yīng);(2)假如系統(tǒng)沒有反應(yīng),將會致使加重危險等級的安全系統(tǒng)及時做出響應(yīng)，然后把信號及時準(zhǔn)確的傳遞到現(xiàn)場,以避免事故的發(fā)生。傳感器、最終執(zhí)行元件、邏輯運(yùn)算器、過程接口、人機(jī)接口、通訊接口、軟件組態(tài)等部分共同構(gòu)成了安全儀表系統(tǒng)，因此設(shè)計過程不能針對單個設(shè)備，應(yīng)把系統(tǒng)有關(guān)設(shè)備納入整體進(jìn)行考慮。

設(shè)計安全儀表系統(tǒng)時應(yīng)遵守的原則:能夠獨立于其它系統(tǒng)，自主實現(xiàn)安全保護(hù)功能,應(yīng)設(shè)計成故障安全型,應(yīng)采用中間環(huán)節(jié)最少的結(jié)構(gòu),把傳感器、最終執(zhí)行元件單獨進(jìn)行設(shè)置,這樣可與管理系統(tǒng)或過程控制系統(tǒng)實時的通訊。安全儀表系統(tǒng)應(yīng)安裝與邏輯運(yùn)算器相獨立的手動裝置, 直接對執(zhí)行元件進(jìn)行操作,當(dāng)一套安全儀表系統(tǒng)同時執(zhí)行多個單元的保護(hù)功能時,其共用部分的安全等級須設(shè)計成最高級別。

1.3 可靠性和可用性是系統(tǒng)設(shè)計的重要指標(biāo)

在規(guī)定的時間間隔之內(nèi),故障發(fā)生的概率即為系統(tǒng)的可靠性。安全儀表系統(tǒng)的各個組成單元的可靠性[R1(t),R2(t),R3(t)…]的乘積構(gòu)成整個系統(tǒng)的可靠性 R0(t),即[R0(t)=R1(t)R2(t)R3(t)…]。因而只有提高各個環(huán)節(jié)的可靠性才能最終提高整個系統(tǒng)的可靠性。一般設(shè)計人員只關(guān)注安全控制系統(tǒng)的可靠性,卻很少考慮檢測元件和執(zhí)行元件的可靠性,導(dǎo)致整套安全儀表系統(tǒng)可靠性低,達(dá)不到規(guī)避受控設(shè)備風(fēng)險的要求。系統(tǒng)的可靠性至關(guān)重要，因為它決定系統(tǒng)的安全性。

系統(tǒng)可以使用工作時間的概率即為系統(tǒng)的可用性。雖然系統(tǒng)的可靠性不受可用性的影響,但是系統(tǒng)的可用性低可能會導(dǎo)致某一裝置停產(chǎn)乃至整個工廠都無法正常的運(yùn)轉(zhuǎn)。

從某種程度上說，安全儀表系統(tǒng)的可靠性與可用性是矛盾的兩個方面。某些措施的采取可能會提高可靠性，同時也可能會導(dǎo)致可用性的下降，反之亦然?？煽啃耘c可用性是衡量一個安全儀表系統(tǒng)的重要指標(biāo)，無論是可用性低、還是可靠性低，都會提高損失或發(fā)生事故的概率。因此，在設(shè)計安全儀表系統(tǒng)時，要兼顧可用性和可靠性?？捎眯允窍到y(tǒng)的基礎(chǔ)，沒有高可用性的可靠性是不現(xiàn)實的; 可靠性是系統(tǒng)前提，可用性必須服從可靠性[5]。而在石化等行業(yè)的現(xiàn)實應(yīng)用當(dāng)中，裝置停車可能造成巨額的財產(chǎn)損失，這就要求系統(tǒng)既具有高可用性，又具有高可靠性。安全儀表系統(tǒng)的設(shè)計過程中，不是可靠性越高越好，要尋求一種最優(yōu)配置，在達(dá)到安全度等級后，配置合理的系統(tǒng)。

1.4 SIS設(shè)計時應(yīng)注意的事項

（1）SIS系統(tǒng)采用的可編程控制器及其數(shù)據(jù)網(wǎng)絡(luò)連接必須經(jīng)TUV安全認(rèn)證。

（2）SIS系統(tǒng)的機(jī)柜中需安裝中央邏輯處理器、I/O模件、內(nèi)部通信模件、電源模件等硬件設(shè)備，獨立完成工藝裝置的緊急停車和安全保護(hù)。系統(tǒng)輔助操作臺上的緊急停車手動開關(guān)信號和報警信號應(yīng)連接到SIS系統(tǒng)。此外，控制器負(fù)荷不應(yīng)超過50%。

（3）SIS系統(tǒng)與 DCS系統(tǒng)互相通信，在 DCS操作站顯示信息或發(fā)出報警信號。

（4）SIS系統(tǒng)應(yīng)具備報警事件順序記錄功能(SOE)。 SIS應(yīng)與DCS時鐘同步，以準(zhǔn)確記錄發(fā)生事故時間，方便分析事故原因。

（5）在中央控制室設(shè)有兩個重要的工作站：SOE工作站和工程師站。SOE工作站有記錄順序時間事件的功能；工程師站的任務(wù)是對SIS系統(tǒng)進(jìn)行組態(tài)、調(diào)試、下裝和維護(hù)等。SOE工作站和工程師站可相互備用，也可共用一站。

（6）SIS系統(tǒng)與其他子系統(tǒng)的連接采用硬接線的方式[6]。

SIS設(shè)計還應(yīng)合理利用冗余容錯、自診斷和在線維護(hù)等技術(shù)。總言之，在設(shè)計安全儀表系統(tǒng)時，首先要進(jìn)行風(fēng)險評估或分析;然后確定SIL等級，以確定安全儀表系統(tǒng)達(dá)到的風(fēng)險指標(biāo);最后，綜合考慮系統(tǒng)的可靠性與可用性，采用多種技術(shù)，合理配置系統(tǒng)的結(jié)構(gòu)。

2 系統(tǒng)結(jié)構(gòu)

安全儀表系統(tǒng)由一系列元件或裝置組成,是一個有機(jī)整體，邏輯控制器是系統(tǒng)中的重要的元件,現(xiàn)場檢測與執(zhí)行設(shè)備, 安全柵、輔助按鈕、信號線路、供電、開關(guān)等配套設(shè)備也是系統(tǒng)組成部分，而我們通常重點研究的是整個系統(tǒng)中的邏輯控制單元，包括控制器、I/O模塊、總線等。

2.1 系統(tǒng)構(gòu)架

SIS系統(tǒng)常采用基于三重化表決模式的分散式架構(gòu)，控制器與I/O都采用三重化結(jié)構(gòu)，主機(jī)架內(nèi)包括控制器、電源、通訊模塊等，I/O模塊三個一組固定于獨立底座上。

控制器與操作站間通過冗余 SCnetⅡ工業(yè)以太網(wǎng)通訊，控制器與I/O模塊、以及I/O模塊彼此之間通過串行 I/O BUS相連，以便連接和擴(kuò)展系統(tǒng)規(guī)模[7]。

2.2 系統(tǒng)規(guī)模

系統(tǒng)規(guī)模由I/O總線的傳輸速率決定。SIS應(yīng)用于安全控制領(lǐng)域，要求較快的響應(yīng)速度，系統(tǒng)規(guī)模一般較小。但是可以采用多重冗余技術(shù)，增加 I/O模塊，擴(kuò)展I/O點數(shù)。

3 簡述兩款主流安全儀表系統(tǒng)的應(yīng)用

3.1 康吉森系統(tǒng)（consen）

國內(nèi)安全控制領(lǐng)域應(yīng)用較為廣泛的TRICON系統(tǒng)是康吉森公司的產(chǎn)品。TRICON采用三重化容錯技術(shù)(TMR)，除了常規(guī)的ESD，TRICON在透平機(jī)組控制 Turbomachinery control方面業(yè)務(wù)拓展得也很快。在TRICON成功的基礎(chǔ)上，康吉森公司又推出了面向較小規(guī)模應(yīng)用場合的 Trident，同樣也獲得TUV的 SIL3級認(rèn)證，該系列產(chǎn)品運(yùn)算速度更快，也更為靈活。

3.2 黑馬系統(tǒng)（HIMA）

HIMA系統(tǒng)是德國的一家公司的產(chǎn)品，在安全控制領(lǐng)域歷史悠久，目前該公司的CPU四重化技術(shù)(QMR，即四取二技術(shù))在該領(lǐng)域被廣泛地認(rèn)可，甚至有的系統(tǒng)的安全等級達(dá)到 SIL4。在PES(Programmable Electronic Systems)領(lǐng)域，產(chǎn)品主要有兩個系列:H4lq/H51q和HIMatrix，前者應(yīng)用于過程控制Process Applications。涉及的領(lǐng)域有化工、石油、石化、制藥、造紙等，一般系統(tǒng)規(guī)模龐大:后者應(yīng)用于 Factory Applications，包括機(jī)械制造、汽車等，多數(shù)系統(tǒng)規(guī)模小，基于安全以太網(wǎng)，響應(yīng)速度特別快，也極為靈活。

表1對兩款產(chǎn)品進(jìn)行綜合比較，列出兩種產(chǎn)品的主要的性能指標(biāo)，供設(shè)計安全儀表系統(tǒng)時參考。

4 結(jié)束語

（1）安全儀表系統(tǒng)能有效為過程工業(yè)降低風(fēng)險，提高安全性，因此得到越來越多的關(guān)注，安全儀表系統(tǒng)的主要目的是提高工業(yè)生產(chǎn)過程的可靠性與安全性,使整個工業(yè)生產(chǎn)過程安全平穩(wěn)的運(yùn)行。

（2）安全儀表系統(tǒng)的設(shè)計包含的多個方面,只有過程工業(yè)中多個專業(yè)的設(shè)計人員的緊密合作才能圓滿的完成。安全儀表系統(tǒng)的設(shè)計時應(yīng)進(jìn)行HAZOP分析,然后采用定性或定量的分析和評估方法來確定實際安全儀表系統(tǒng)的安全完整性水平,從而達(dá)到整個安全儀表系統(tǒng)的基本要求。但是由于應(yīng)用方法不同，確定的安全完整性水平可能有差異,這就需要設(shè)計者靈活的分析具體的情況，確定合適的安全完整性水平分析方法。

（3）隨著技術(shù)的不斷更新完善使得安全儀表系統(tǒng)的成本大大的降低，其功能亦越來越強(qiáng)大,設(shè)計也變得更為便捷，應(yīng)用將更為廣泛。安全儀表系統(tǒng)將為過程工業(yè)的安全生產(chǎn)提供更可靠的保障。

表1 兩種安全儀表系統(tǒng)產(chǎn)品綜合性能比較Table 1 The performance comparison of two kinds of safety instrument system product

［1］ 工業(yè)生產(chǎn)過程中安全儀表系統(tǒng)的應(yīng)用 SY/T10045 2003[S].2003.

［2］ 陽憲惠,郭海濤.安全儀表系統(tǒng)的功能安全[M].北京:清華大學(xué)出版社,2007.

［3］ IEC61508-1:1998《電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全 第1部分：一般要求》[S].

［4］ 楊蓓,劉一笑.風(fēng)險和可操作性研究與安全儀表安全度等級的確定[J].石油化工自動化,2006(5):1-3.

［5］ 石油化工安全儀表系統(tǒng)設(shè)計規(guī)范SH/T 3108 2003[S]. 2003.

［6］ IEC61511 (2003) ,Functional safety - Safety instrumented systems for the process industry sector-Part 1-3[S].

［7］王紅望.安全儀表系統(tǒng)的實施及應(yīng)用[J].石油化工自動化,2009,45(1):72-74.