安全仪表系统(SIS)

DCS与SIS集成的解决方案
• DCS与SIS的集成一般有三种情况： 第一种情况：DCS与SIS采用不同的硬件 结构（不同的控制器）、不同的控制网 络、不同的人机界面，即前述的异种分 离。将这样不同的系统通过网关相互连 接，以便进行数据交换。两个系统使用 不同的工程组态工具。这种方式可以称 为不同控制器不同网络的集成。
• 由SIS的定义中可看到SIS的一部分也可能是人的 动作，在SIS上进行的作业如维护、操作或修改等。 因为处理SIS中的问题措施不当，也导致严重后果， 造成停产，造成巨大经济损失。 • 有报告显示：超过20%工厂事故是由SIS维护和测 试错误导致的。很多情况下，由于无法精确监控 系统状态，工厂会不断地进行SIS维护和测试。这 种不必要的维护使人为错误增多，从而导致更多 的系统故障。
DCS与SIS无缝集成应用实例
以太网
SIS 工程师站
DCS HIS 人机界面
DCS ENG 工程师站
控制网
SIS 控制器 …
安全数据到 FCS（通过位 号读取）
DCS FCS 控制器 …
DCS与SIS无缝集成解决方案
• 无缝集成是指图2系统为同一厂家的SIS、DCS控制器，即 统一的硬件结构，同一个网络，同一个人机界面，简单容 易的系统设计对于DCS系统和SIS系统不必设计成分离的 方案和通信。 DCS与SIS之间流畅的数据交换不需要任何 网关/接口单元，共同的人机界面，可以显示报警画面、 系统报警画面；SOE采集和显示FCS的时间和安全事件。 集成系统中的设备时钟同步。 • SIS是整体通过TUV SIL3认证的工业安全系统 • SIS和DCS通过控制网直接集成 • 控制网络是一个安全通信协议通过TUV认证。 • SIS提供完全彻底的全厂高安全性、高可用性和高效率的 解决方案。
解决办法
希望将AHPA6B信号增加延时，以避免该信号的 瞬间晃动对系统的干扰，并增加监控手段。捕捉 可能造成停车的原因。 第一次在线执行AHPA6B-A通道延时时，一切正 常。第二次下装其他两个通道AHPA6B-B、 AHPA6B-C时，由于将这两步同时进行操作，从 而导致2oo3发生了联锁停车。
DCS FCS
SIS系统网络（冗余）

SIS Controller DCS系统现场控制 器 SIS系统控制器
MUX
传统I/O和HART仪表 FF Field device
HART 多 路 转换器
…
Modbus 集成
• 这样做是由于DCS和SIS是两个独立的系统， 不同的网络、不同的控制器和人机界面。 原因主要是由于他们来自不同的供应商； 需要单独的系统设计，单独的物理设备组 态软件、算法逻辑组态软件、人机界面组 态软件，不同的维护方式；连接两套系统 的额外工作等。给实际工作带来很多不便， 因此无缝集成的问题就摆在了制造商、设 计和终端用户面前。
变送器部分、执行机构故障也时有发生。 原来买主控制器时不考虑变送器，1oo1方式较多， 后来发现故障率高。从提高可靠性入手，都纷纷 改成1oo2、2oo3等。而执行机构1oo1。 所做的这些改动并不是以改善整体SIL水平考虑的。 现场仪表进水、短路、意外损坏、雷电冲击。这 也导致SIS系统故障。
SIS作业不当也会造成严重后果
• 用于高压聚乙烯SIS联锁系统采用三重化容错可编程 REGENT系统。该系统采用容错型CPU设计，整个控 制系统建立在2oo3的基础上进行安全保护联锁。对于 关键的停车条件均使用三重化卡件输入。由于一线B 釜压力超高，其信号AHPA6B状态瞬间改变，分别于 96年、99年共发生五次连锁停车。从ESD系统SOE记 录看，动作时间都非常短。一线AHPA6B信号为现场 应变仪输出模拟信号，经安全栅进入控制室，再进入 DCS机柜中，转换成1-5VDC信号，转换后信号接到 报警设定器上，报警设定器的节点输出信号接到SIS 三重化输入模块上。
某大型石化装置SIS系统应用情况
• 具体到某个装置中的SIS系统，譬如：第二高压聚 乙烯装置有SIS系统为某公司的SC300E系统。此 系统自2001年投用以来已经有9年时间，期间因为 卡件、电源、通讯故障等原因造成多停车事故的 发生。具体问题如下： 1、系统自诊断报警。通过系统软件中的诊断系 统诊断，存在报警。 2、系统卡件状态指示灯异常，不能查明具体原 因。 3、系统故障报警灯报警。该报警信号由ESD系 统发出，送至辅操台报警。查找该报警信号，发 现其为系统内部点。无法查找可能导致该点报警 的原因。
表1.某大型石化装置SIS应用情况统计表
项目 序号
生产厂家
HONEYWEL L TRICONEX FSC
型号
数量
6 5
使用情况
良好 良好
1. 2.
TS3000. TRICON TRIDENT
3.
4. 5. 6. 7. 8.
YOKOGAWA PROSAFE-RS CP-180-00
HIMA SIEMENS MOORE ICS Triplex ABB AUGUST MOORE PES H51q-HRS APACS REGENT SC300E QUADLOG
• 裂解装置SIS系统为MOORE QUADLOG系统，用 两套，其中一套常见问题： 1.工程师站不更新。需重新启动。 2.SOE刷新不及时，需要更新数据库。 其另一套系统常见问题： 1.组态数据丢失，记录不完整。 2.I/O卡件故障，在线四年内发生过。 3.工程师站登陆慢。
某大型石化装置SIS系统应用情况
DCS与SIS集成的解决方案
第二种情况：DCS与SIS有不同的硬件结构 的控制器，但采用统一的网络（统一的通 信网络），使用共同的工程组态工具，工 程上一个网络可加快项目的执行速度。 第三种情况：DCS与SIS使用共同的硬件即 同一种控制器。同一个通信网络，同一个 人机界面，即DCS和SIS在物理上集成、在 逻辑上分开的无缝集成。标准DCS程序和安 全SIS程序平行执行，相互独立。
OPC集成
• 面向过程控制的OLE即OPC技术已经成为系统和 设备之间通讯的实质性的标准。MERSON DeltaV SIS 通过OPC将SIS和DCS连接起来。OPC数据存 取（DA）实现了实时的数据集成。采用MERSON 成熟的OPC Mirror，DeltaV SIS中的数据可方便的 配置到已装在DCS 中的OPC服务器中。集成化还 包括OPC报警和事件，它向特定的工厂事件记录 器提供SIS预报和事件信息。 • 实现上述事件采集功能的理想选择是MERSON的 PlantWide Event Historian 事件记录软件，它采用 SQL数据库，可采集多种来源、带时间标记的事 件并集成到单个企业事件历史记录软件中。
DCS与SIS的集成
• IEC 61508中没有强制要求SIS系统必须独立设置， 但它强烈建议DCS和SIS两种系统分离。它们之间 的分离可使用同种分离或异种分离。 • 从目前的情况看，同种分离意味着DCS和SIS系统 使用同一制造商的相同技术，譬如使用同一个 DCS制造商生产的SIS。而异种分离则意味着DCS 和SIS使用同一制造商或不同制造商的不同技术。 同种分离有助于降低随机失效，在设计上和维护 上有一些优势，因为它降低了维护错误的可能性。 异种分离有利于降低系统失效率和减小共因失效。
Modbus 集成
• 在石化企业的生产装置中，目前DCS与SIS 之间多采用控制器间硬连线通信方式 （Modbus通信等）集成，从而将SIS数据传 送到DCS系统中。如下图1所示：
Modbus 集成
DCS OS DCS ENG SIS ENG, SOE
DCS系统网络 （冗余） Modbus通信等
如何实现DCS与SIS的无缝集成
• 首先由于共同的系统结构提供了非常容易的系统设计， DCS系统和SIS系统不必设计成分离的方案和通信， DCS与SIS之间流畅的数据交换不需要任何网关/接口 单元，集成系统中的设备时针同步。 • 其次，一套共同的通信网络可加快项目的执行，既可 实现SIS安全控制器之间的数据交换，DCS也可以通过 位号读取SIS系统中的数据，不需要接口单元。控制网 络是一个安全通信协议通过TUV认证。DCS的HIM是 控制网的时钟主站，通过标准的控制网（例如 YOKOGAWA的Vnet网）功能进行时钟同步。
某大型石化装置SIS系统应用情况
也就是说，许多最终用户指定使用达到SIL3等级的逻辑解算 器，而对于传感器和终端设备如何配置缺乏考虑，这样就 导致了仅使用一个SIL3的逻辑解算器是无法保证整体SIS 系统成为一个SIL3系统。 • 因为SIS系统的安全完整性水平SIL，是由构成SIS系统的 三个单元的SIL来确定的：即SIL装置= SIL传感器+SIL逻 辑解算器+SIL执行机构，例如传感器为SIL2级，而SIL2其 PFD值为0.01~0.001，取中间值为0.005；逻辑解算单元为 SIL3级，PFD取中间值为0.0005；执行机构为SIL1级， PFD取中间值为0.05。则 PFDavg装置=0.005+0.0005+0.05=0.0555
某大型石化装置SIS系统应用情况
• 初步确定为SIL1级。则整个装置的安全完 整性水平SIL由其构成的三个单元中最低的 SIL等级决定。尽管逻辑解算器为SIL3，但 整体SIS系统SIL等级仅为SIL1. 这就是目前石化企业生产装置中在使用SIS 系统时，存在的主要问题。
某大型石化装置SIS系统应用情况
现场运行表明： 24套SIS系统总的来看操作简单、组态方便且维护 量小、故障率低，提高了装置的安全水平，取得 了良好的经济效益和社会效益； SIS主控制器故障率较低，CPU死机造成的危害不 多见； 输入输出卡的故障率较高。DI、DO卡诊断模块、 电源卡时有故障发生。
某大型石化装置SIS系统应用情况
DCS与SIS的集成
• 以前，工厂控制系统DCS和安全仪表系统SIS 往往分别设计、分别建设，主要原因是控制系 统的可靠性不足以保证安全系统的可靠性，由 于近十年以来，随着3C技术的进步，DCS技术 的发展，其可靠性大幅度提高，成本降低，系 统的健壮性(POBUST)也达到与SIS系统相当的 水平，对DCS在承担安全功能的任务的担心减 少了。使得DCS与SIS的无缝集成问题成为设 计者、生产制造商、终端用户共同关心的问题， 并且已提到应用的议事日程上来了。只要非安 全功能的失效不会引起安全功能的危险失效， 即可考虑DCS与SIS的集成使用。
安全仪表系统（SIS）在 石化装置上的应用
燕山石化 王立奉
某大型石化装置SIS系统应用情况
• 某大型炼油乙烯一体化石化联合装置 ： 年处理原油1200万吨/年。 乙烯产量80万吨/年 共计使用SIS系统24套 分别应用于催化，加氢，裂解及高、低聚 乙烯，聚丙烯，苯酚，丙酮，动力等工艺 过程。详见表1。
某大型石化装置SIS系统应用情况
4、没有联锁摘挂的旁路按钮，每次联锁摘挂的 时候都是通过修改内部PLC梯形图采用在线下装 的方式，使操作具有一定的风险性和不及时性。 5、断电恢复后系统电源模块故障。（发生过多 起） 6、此系统的备件订货非常困难，价格非常昂贵 且需要很长的订货周期，维护费用很高。
某大型石化装置SIS系统应用情况
3
2 1 1 1 5
良好
良好 良好 良好 良好 良好
某大型石化装置SIS系统应用情况
从表1中看出： 由于该石化装置建设较早，所以用的SIS系统牌号多， 几经变革，从时间跨度上看，现有装置较早的系统 1998年投用，最近投用的也已到2007年。 由于SIS品类多、每种SIS系统尽管采用的技术有相近 之处，但对用户来说技术的学习难度大，备件种类繁 多，系统的更新换代迫在眉睫。 在SIS选用上，由于国际标准IEC 61508/61511、国家 标准GB/T 21109.1-2007出台较晚，国内也只有SHB206-1999《石油化工紧急停车及安全联锁系统设计导 则》，用于指导设计、施工和运行。因此在选用SIS时 只强调控制器达到AK5、AK6或达到SIL3这样的安全 标准就可以了。没有提供一个SIS系统整体设计（包括 输入输出部分）的解决方案。