1、信号报警、安全联锁系统设计规定HG/T 20511 - 2000 条文说明1总则1. O. 2 大多数化工过程均要求信号报警、安全联锁系统采用失效安全(failsafe)的原则。所谓的失效安全是指系统或设备在特定的故障发生时转人预定义的安全状态的能力。原则上,一个系统的失效率是组成系统的各环节(如传感器、逻辑单元与最终执行元件)的失效率之和。组成系统的环节愈少,系统的失效率愈低,也即系统的可靠度愈高。因此,在信号报警、安全联锁系统中应慎重采用诸如信号隔离器、转换器、安全栅以及中间继电器等中间环节。1. O. 3 化工生产装置中的仪表与设备经常会有防腐、防尘、防水、防震、防电磁干扰以及防爆等要求
2、。2 信号报警系统2.1.3 一体化的闪光报警器可以是灯光显示单元与逻辑单元安装在一个壳体内、逻辑单元通常采用CMOS电路组成的单回路或多回路闪光报警器;也可以是以微处理器为基础的积木式信号报警系统。2. 1. 4 即使过程控制系统采用了DCS/PLC,在下列情况下,一般仍需采用独立的信号报警系统:(1 ) 对于关键的过程参数需要经常监视其状态,或某些能够引起其它参数报警的225 过程参数;(2) 装置停车或DCS/PLC失效后仍需监视的参数,如可燃性/毒性气体报警等。2.2.1 规模较小的系统一般是指50点以下的系统。2.2.2 规模较大的系统一般是指100点以下的系统。2.3.1 首出的英
3、文名称为FIRSTOUT,也称为第一原因或第一事故。2.3.2 灯光显示单元的颜色规定与国标GB2682 -81电工成套装置中的指示灯和按钮的颜色是一致的。2.4.1 在同一控制室内,为区分不同装置的信号报警,或是同一装置的不同区域,采用不同音量或音调的音响报警器能迅速地引起操作人员的注意。不同的报警功能(报警或回铃)与报警级别(重要报警或一般报警)也应考虑采用类似方法区分开来。2.5.1 不同的报警顺序需要不同数量的按钮。各按钮的功能也是不一样的,例如:(1) 确认按钮:表明操作人员确认了一个新的报警。(2) 消音按钮:消除音响声音,但不影响灯光显示方式或回铃状态。(3) 复位按钮:如报警信
4、号撤除,按下该按钮使该点恢复到正常状态。(4) 首出复位按钮:按下后,使首出信号的灯光显示与后续信号相同。(5) 试验按钮:用以检查音响和全部灯光回路是否完好。2.5.2 按钮的颜色规定与国标GB2682 -81电工成套装置中的指示灯和按钮的颜色是一致的。2.6.1 报警器的辅助输出接点通常用于将现场操作室内的报警信号再送至中央控制室内。一般情况下,控制或联锁用接点信号直接来自于现场传感器或其它仪表,但有时也用报警器的辅助输出接点。总体上讲,辅助输出接点的可靠性不如现场传感器,而且使控制或联锁容易受到报警器故障的影响。2.7.1 其它信息指报警发生的时间等。2.8.2 采用开关量传感器时,其精
5、度、量程等应满足工艺操作要求。226 3 安全联锁系统3.1 基本原则3.1.1 安全联锁不同于批量控制、顺序控制及属于过程控制范畴的工艺联锁(如泵与液位)。当过程参数越限、机械设备故障、系统自身故障或能源中断时,安全联锁系统能自动(必要时也可手动)地产生一系列预先定义的动作,使得工艺装置与操作人员处于安全状态。安全联锁系统(SIS)也称为紧急停车系统(ESD)、安全停车系统(SSD)或安全仪表系统(SIS)。3.1.2 定义一个系统的安全功能需求不属于本规定的范围。一般,安全功能包括下列方面:(1) 对于每个特定事件,过程的安全状态的定义;(2) 安全联锁系统的过程输入信号及其停车设定点;(
6、3) 过程的正常操作范围及其操作极限;(4) 安全联锁系统的过程输出信号及其动作;(5) 过程输入与输出之间的功能关系,包括逻辑、数学功能及需要的操作许可;(6) 励磁停车或去磁停车的选择:(7) 手动停车的设置;(8) 安全联锁系统能源中断时的动作;(9) 安全联锁系统将过程带人安全状态的响应时间;(10) 任何显性差错的响应时间;( 11) 人机接口需求;(12) 复位功能。3. 1. 3 国外的类似标准中均将过程风险或过程的安全需求进行了分级,如DINV 19250根据估计危险的损害程度、危险区域内人员存在的可能性、短时间内防止危险发生的可能性及出现危险事故的可能性等四个风险参数将过程风
7、险定义为8级(AKlAK8); IEC -61508与DINV 19250在方法上略有不同,将过程安全所需要的安全等级划分为4级(SIL1- SIlA) 0 ISA - S84. 01与IEC-61508类似,根据系统不响应安全联锁227 要求的概率(即失效率PFD)将安全等级划分为3级(SIL1- SIL3) ,认为IEC-61508定义的SIIA不存在于过程工业中。本规定参照采用了ISA- S84. 01标准,将安全等级确定为1级、2级和3级。数值愈大,安全联锁系统的安全性能要求愈高(参见附表1)。可以采用不同的方法组成安全联锁系统以满足规定安全等级的要求。系统的安全性能可以通过采用相同或
8、相异形式的硬件冗余、更频繁地测试及更完善地故障诊断等增强。对设计、操作和维护更好地控制也能够增强系统的安全性能。附表1安全联锁系统的性能要求安全等级1 2 3 安全联锁系统平均失效率10-1_10-2 10-2 _ 10-3 10-3 _ 10-4 性能要求可用度0.9 -0. 99 0.99 -0. 999 O. 999 - o. 9999 业主与设计人员一起,综合工艺与自控等专业的设计知识、操作经验以及对过程危险的检查技术等多方面知识与技能,并结合类似装置的应用经验及工程项目的技资状况等,通过进行下列的安全性分析活动,从而确定过程的安全等级是一种适宜的方法:(1) 评估危险事件发生的可能性
9、及其后果;(2) 评估除采用安全联锁系统外,其它能预防、保护及能减轻事件后果的安全措施;(3) 确认采用安全联锁系统是否合适;(4) 确定安全联锁系统需达到的安全等级;(5) 决定其它与过程安全有关的内容与设计原则。上述第4步,即确定一个过程的安全等级不属于本规定的范围,但可以通过多种方法(定性的或定量的)来实现。鉴于我国目前的实际状况,本规定推荐采用以下方法,即通过对所有事件发生的可能性与后果的严酷度及其它安全措施的有效性进行定性的评估,从而确定合适的安全等级:一1级用于事故可能很少发生,一旦发生后,不会立即造成界区内环境污染、人员伤亡及经济损失不大的情况;-2级用于事故可能偶而发生,一旦发
10、生后,不会造成界区外环境污染、人员伤亡及经济损失较大的情况;一3级用于事故可能经常发生,一旦发生后,会造成界区外环境污染、人员伤亡及经济损失严重的情况。228 上述分类方法是在除安全联锁系统外没有其它安全措施情况下定义的。如果还有其它能防止初始事件恶化的安全措施并充分考虑其有效性后,对安全联锁系统的安全需求也可能会适当降低。3.2 传感器分开指的是采用多个设备或系统将控制功能与安全联锁功能隔离,即过程控制系统与安全联锁系统的实体分隔。相异指的是采用不同的技术、设备或设计方法完成同样的功能,目的在于将共同原因差错降到最低限度。冗余指的是采用多个元件或系统完成相同的功能。通过冗余可以提高系统的安全
11、性以及容错能力。冗余可以采用相同或相异的元件实现。采用相异冗余方式时不应导致低可靠性元件的使用,从而降低了系统的安全等级。3.3 最终执行元件安全联锁阀门(一般均为切断阅)通常是整个安全联锁系统中危险故障率最高的设备。由于安全联锁系统是静态的、被动的,如果过程参数没有达到联锁设定值,系统不会产生动作,其阀门也一直保持在原有的状态。在正常生产期间很难得知阀门是否被卡住或产生其它危险故障。而过程控制系统是动态的、主动的,其控制阀的开度随着控制信号的变化而变化,一般而言不会长期停留在某一开度上,在某种意义上相当于具有自测试功能。所以当符合安全等级要求时,可以考虑采用控制阀作为安全联锁系统的最终执行元
12、件。3.4 逻辑单元3.4.2 逻辑单元的技术选择1 继电器系统一般由机电一体化继电器(包括时间继电器)组成,通常只能处理开关量信号。当输入信号为模拟量时,需采用报警设定器等仪表将其转换为开关量信号(达到联锁设定值时动作)。即使继电器系统经过适宜的选型与设计,由于其接点易于粘结,且弹簧也很难保证接点正确动作,因此不宜用于要求失效安全场合。229 采用断电器系统时一般应考虑、下列原则:(1) 当失电或失效时继电器触点应断开;(2) 线圈可重力脱扣或采用双弹簧结构;(3) 触点采用合适的材料和额定等级;(4) 线路中设有限流设施(如熔断器); (5) 线路中设有限压设施(如浪涌抑制器)。固态逻辑线
13、路系统一般由功能单一的模块以硬接线方式组成。与以典型的计算机系统相比,没有中央处理单元,不需要软件支持,因而通道间相互影响较小,响应速度也较快。但由于其模糊的失效模式,故需要有效的故障诊断措施才能用于安全联锁系统。3 可编程序电子系统已愈来愈多地用作安全联锁系统。但由于传统意义上的DCS/PLC因其失效率与故障诊断措施等方面的原因,常常难以满足安全等级的要求。在工程实践中,一种比较简便却安全有效的方法是采用经过安全认证的可编程序电子系统。3.4.5 一般地讲,安全联锁系统有两种失效方式:安全失效和危险失效。安全失效即当系统产生显性故障时将触发安全联锁系统动作,导致误停车;危险失效则为当系统内存
14、在隐性故障时将导致系统在需要时不能产生动作。故障诊断即对安全联锁系统周期性地进行测试,以检测出可能存在的隐性故障。测试间隔时间与故障诊断出后系统的动作应根据过程的安全需求而定。不同的单元也可能需要不同的测试间隔时间。任何形式的安全联锁系统都应进行完全彻底的故障诊断。对于逻辑单元而言,继电器系统和大多数固态逻辑线路系统都需采用手动测试方式;可编程序电子系统则根据其类型采用于动或自动测试方式。3.4.6 故障诊断措施有时可能无法检测出系统故障(如系统缺陷,即BUG)。因此需采用一些预防性措施,如使用成熟的、商品化的并经过同类型现场运行验证的正版软件。3.5 通讯接口3.5.1 通讯指安全联锁系统与
15、过程控制系统之间的信息(过程信息和/或操作指令)传输。本规定中所列通讯方式可单独或混合采用,也可选择冗余方式。不论采用何种通讯方式,均应经过仔细地检查与安全分析,以确保信息传输的时效性与可靠性。1 在硬接线通讯中,应重点检查关联设备输入/输出硬件的可靠性。2 在网络通讯中,常采用对安全联锁系统进行只读通讯或带写保护的读/写通230 讯。3.5.2 操作员接口指的是操作员与安全联锁系统之间信息通讯的媒介,如CRT指示灯、按钮、蜂鸣器及报警器等。1 安全联锁系统中与安全等级有关的状态信息包括:(1) 顺序过程;(2) 指示安全联锁系统的保护动作已发生;(3) 指示保护动作被旁路;(4) 指示诸如表决逻辑降级和/或差错处理已发生等自动动作;(5) 传感器与最终执行元件的状态;(6) 影响安全功能的能源已丢失;(7) 比较诊断的结果;(8) 保证安全联锁系统正常运行的空调设备故障。3.5.3 维护/工程师接口指的是安全联锁系统的编程、测试和维护的设施。231 责任编辑王玉玫版权所有翻印必究中华人民共和国行业标准化工自控设计规定(二)HG/T 20509 - 20515 -2000 食编辑全国化工工程建设标准编辑中心(原化工部工程建设标准编辑中心)(北京和平里北街化工大院3号楼)邮政编码:1013 印刷秦皇岛市晨欣彩色印刷有限责任公司2001年6月
