1.安全回路基本有原理

1.安全回路基本有原理

ESD（Emergency Shutdown Device）紧急停车系统按照安全独立原则要求，独立于DCS集散控制系统。在正常情况下，ESD系统处于静态，不需要人为干预。作为安全保护系统，凌驾于生产过程控制之上，实时在线监测生产装置的安全性。只有当生产装置出现紧急情况时，不需要经过DCS系统，而直接由ESD发出保护联锁信号，对现场设备进行安全保护，避免危险扩散造成巨大损失。具有关资料，当人在危险时刻的判断和操作往往是滞后的，不可靠的，当操作人员面临生命危险时，要在60s内作出反应，错误决策的概率高达99.9%。因此设置独立于控制系统的安全联锁系统是十分必要的。该动则动，不该动则不动，这是ESD系统的一个显著特点。

独立设置ESD系统有以下几方面原因：

1．降低控制功能和安全功能同时失效的概率，当DCS发生故障时也不会危及保护系统；2．对于大型装置，紧急停车系统响应速度越快越好。这有利于保护设备，避免事故扩大；

并有利于分辨事故原因记录。而DCS处理大量过程监测信息，因此其响应速度难以作的很快；

3．DCS系统是过程控制系统,是动态的,需要人工频繁的干预,这有可能引起人为误动作;而ESD是静态的,不需要人为干预,可以避免人为误动作.

SIS（Safety Instrument System）安全仪表系统应用:

例,某化工装置,分析计算结果要求SIS系统的可靠性达到SIL3安全等级,停车失效等级PFD(Probability Of Failure on Demand)为2.7E-04=0.00027.

设计SIS安全仪表系统必须从现场检测器、逻辑解算器和执行机构（最终元件）三方面考虑。目前，很多人对安全仪表系统的概念仅限于安全仪表系统的逻辑控制器部分，这是有局限性的，有悖于IEC 61508及IEC 61511对安全仪表系统的定义。完整的安全指的是在需要的时候，能发挥作用的自动保护系统。更高的安全指的是人员、环境和工厂设备都不容易受到损害。承受的风险也更低。自动安全系统不仅仅考虑紧急停车安全联锁ESD及相关I/O模件是否达到安全等级,还要考虑包括现场传感器及最终元件（马达控制，遥控阀门等）在内的整个环路。这种完整的环路可以感应到潜在的危险，并且能够采取必要的措施降低这种危险。高度完整性取决于各部分正确运行。这条完整的环路称为安全仪表功能（SIF）。任何自动安全系统都不能保证完美的完整性。但有一点是很清楚的，那就是危险程度越高，所需要安全完整性设计水平也应该越高。这种完整程度被定义为安全等级SIL。国际标准规定了4个安全等级。1级表示最低。对应每一种安全等级，都有一个最大硬件需求故障的可能性（PFD）。这种发生故障的可能性适用于整个SIF现场设备和逻辑控制装置。

1. 根据IEC61508和IEC61511标准对项目的功能安全进行评估，确定安全系统的SIL等级，符合用户提出的SIL要求。从用户考虑，若车间人少，产生故障时伤亡人数少，可认为是SIL2；若人很多，可认为 SIL4，但如果有疏散人员的通道，则SIL等级可降低。产品SIL 级别的评估，SIL1可由本厂一个工程师来完成，SIL2要由本厂某一部门来完成，SIL1与SIL2的评估人员应是独立的，不能是产品设计人员，SIL3、SIL4要由厂外独立的认证机构来完成。如果一个系统中，传感器为SIL2，其他为SIL3，那么整个系统为SIL2。

2.现场检测器

现场变送器采用三个，信号接至SCS进行模拟量三取二表决，保证取样信号的可靠性。其它现场相关一次仪表也采用三个检测元件，以实现三取二表决。

3.执行器

SIL3等级安全回路的输出信号，须通过获得SIL3等级认证输出模件直接驱动现场电磁阀，中间不可接输出继电器和保险丝，否则会因其无安全认证，造成系统安全等级下降。

4.逻辑控制器制（Logic Solver）

采用ESD系统来实现该功能，ESD系统要满足IEC要求的SIL3等级认证，并确保系统采用的每块模件有SIL3认证.独立于DCS实现装置紧急停车和联锁功能.系统采用双路供电,系统配置采用双冗余.ESD与DCS整合,使DCS能获取ESD异常和诊断信息.通常DCS操作站只能读取ESD数据,不能对其操作.输出模件直接驱动电磁阀.为了使故障影响最小化,同一联锁单元或相关设备联锁点尽可能分配在同一卡件上.对3取2输入表决联锁,三个输入点分配在不同输入卡件内.原则上ESD系统输入卡件接受正常状态闭合触点,输出卡件为正常带电输出方式,联锁时断开(DTS:De-energize To Safe).

F&G为ETS(Energize to Safe)

5.SIS系统配置,并不是可靠性越高越好,要寻求一种最优配置.达到停车失效等级PFD要求

的等级前提下,合理配置经济实用的系统.

6.总体硬件需求故障可能性是根据PFD传感器、PFD逻辑控制装置及PFD最终元件计算出

来。根据一家安全咨询公司的研究成果，达到安全等级的逻辑控制装置对硬件需求故障可能性的影响小于10%，传感器的影响小于30%，而最终元件的影响超过60%。因此，要使现场仪表的设计达到IEC61508的严格要求。这种设计使现场仪表获得更高质量及完整程度。阀门发生故障的形式包括阀座泄漏，粘合及断裂。粘合和断裂都会阻止阀门移动到安全位置。这样的故障要控制在某种安全等级上发生硬件需求故障的可能性。为了提高安全性与可用性，必须对阀门进行定期检查。在定期检查中，可以对阀门进行全进程测试与泄漏测试。如果没有安装特殊的旁路阀门，在检查过程中必须将操作过程停止。

这种测试成本可能比较高。部分进程测试（PST）是一种部分移动阀门然后进行测试的技术。通过使用压力与位置反馈传感器，这种技术可以探测到关于驱动器及阀门的许多故障。进程测试可以探测到50%到80%的危险故障。具体数值取决于阀门的类型及阀门的关闭要求。如在遥控阀门上使用部分进程测试，可降低发生硬件需求故障的可能性。

通过诊断预测故障的发生，从而降低错误停机的可能性。部分进程测试可以通过单独部分进程测试装置启动或通过管理设备软件方式启动。设备管理软件有助于提高安全等级的安全性及可用性。可以自动收集诊断信息。验证测试记录会自动生成并且保存。可以使验证测试的成本降低。能从现场设备中获取其它数据。横河公司提供的（工厂资源管理器）PRM就是用于设备管理。可以充分了解设备的当前操作及预计出现的状态。提供可视化界面，可以对智能设备提供的诊断信息进行管理。

7.ProSafe-RS SCS使用99.99999%(7个9)的Pair & Spare CPU.达到SIL3等级.ProSafe-RS

统一的人机界面可以使操作人员充分明确安全系统的信息.