系统仍具有继续运行的能力。它往往包括三方面的功能:第一是约束故障,即限制过程或进程的动作,以防止在错误被检测出来之前继续扩大;第二是检测故障,即对信息和过程或进程的动作进行动态检测;第三是故障恢复即更换或修正失效的部件。(SHB – Z06 – 1999)
容错系统(Fault Tolerant System)
具有容错结构的硬件与软件系统。(SHB – Z06 – 1999)
总之,通过冗余和故障屏蔽的结合来实现容错。容错系统一定是冗余系统,冗余系统不一定是容错系统。容错系统的冗余形式有双重、三重、四重等。图8和图9、图10分别表示CPU冗余(双机热备)和三重化冗余容错系统。
图8 CPU冗余(双机热备)
图9 三重模块冗余容错系统
图10 三重信号冗余容错系统
怎样通过冗余来改善系统的整体SIL水平
(1) 当一个SIS系统的安全完整性等级要求为SIL3,而实际配置为传感器为2.2×10-3(SIL 2),逻辑解算器为1.3×10-4(SIL3)(包括I/O接口),终端执行器为2.41×10-3(SIL2),所以整个系统为SIL2不满足要求。
(2) 于是我们改变传感器的配置结构,选择1oo2冗余,其中共因失效=10%,诊断覆盖率(DC)=90%,可以算出1oo2传感器的结构的PFD=2.3×10-4,达到SIL3的水平,同理可以配置执行器为1oo2冗余结构,也可达到SIL3的要求,于是最终整体SIS系统的SIL可以达到SIL3的要求。
(3) 这个问题的解决给我们以启示,当装置引进一个SIS系统时,整体安全完整性等级不仅取决于逻辑解算器部分,而且传感器、终端执行器部分也非常关键。配置系统时,除了引进一个SIL3的安全仪表系统,譬如FSC等,还要将传感器、终端执行器一并讨论。算出SIS整体的SIL数据,定量的安全仪表系统配置任务才算完成。
冗余表决方法及其安全性、可用性的关系
可用性(A:Availability)是指系统可使用工作时间(连续运行时间)的概率,用百分数计算A值越大,可用性越好: A = MTBF/(MTBF+MTTR) 而PFD= MTTR /(MTBF+MTTR) PFD越小则安全性越好。
冗余逻辑表决方法及安全性-可用性的关系例子如下表所示。 表2 冗余逻辑的表决方法及其与安全性、可用性的关系
以上可见:
(1)隐故障(危险故障)使SIS该动而拒动,隐故障概率越高,安全性越差。 (2)显故障(安全故障)使ESD不该动而误动,显故障概率越高,可用性越差。 1oo2(二选一)安全性最好,但可用性最差;2oo2(二选二)可用性最好,但安全性最差;2oo3(三选二)可兼顾。
10、普通PLC和安全PLC的区别
普通PLC和可以作为ESD控制部分的安全PLC的主要区别是:普通PLC不是按故障安全型设计的,当系统内部元件出现短路故障时,它并不能检测到,因此其输出状态不能保证系统回到预定的安全状态。这种PLC只能用于安全度等级要求低的场合。现以输出电路为例予以说明。
图11 普通PLC DO卡示意图
普通PLC DO卡
(1) 当1、2两点短路时,来自PLC的控制信号将不起作用(失效),电磁阀将一直处于带电(励磁)状态,即需要联锁动作(电磁阀释电停车)时,由于此故障的存在而拒动,其输出不能保证处于安全停车状态。这就是违背了故障安全(Fault to Safety)的原则。
(2) 当1、2两点开路时,将导致误动作而停车,同样会带来损失。可见,这种普通PLC的DO卡输出电路的安全性和可用性都是不高的。
图12 安全性单容错DO卡示意图
安全性单容错DO卡
图12所示为一种带有安全性单容错的DO卡示意图(它是Honeywell SMS FSC-101型输出示意图)。
这里,中央处理器不仅向串联的场效应管(FET)发出控制信号,而且还接受来自场效应管的状态反馈信号,以便对其输出进行全面测试。当测得某管输出发生短路时,中央处理器即启动纠错动作,隔离相关的故障。看门狗(Watch Dog)是个多通道的计时器电路。它由中央处理器和内存等周期性地触发,如果两个触发之间的时间小于某设定值或者大于某最大值,则看门狗的输出将失效。同时看门狗还能监视内部工作电压,使之在正常的电压范围内。
普通PLC和安全PLC的区别
以上仅是DO卡上的差别。作为安全PLC,至少应具备以下几点:
(1) 满足相关安全标准规范要求,且经过权威机构认证,取得了相应安全等级证书;
(2) 在硬件和软件上采用冗余、容错措施,具有完善的测试手段,当检测到系统故障,特别是危险故障时能使系统回到安全状态;
(3) 能进行系统故障报警,指示故障原因、故障位置,便于在线维护; 能与DCS或其它设备进行通讯。
11、工艺过程风险的评估及安全度等级的评定
不同的工艺过程(生产规模、原料和产品的种类、工艺和设备的复杂程度等)对安全的要求是不同的。一个具体的工艺过程,是否需要配置SIS、配置何种等级的SIS,其前提应该是对此具体的工艺过程进行风险评估,要进行危险及可操作性分析(HAZOP),然后辨识出与此分析相应的安全仪表功能(SIF),(找到一个安全仪表连锁回路),再根据风险出现的频率和其产生的严重后果,找到一个与此SIF相应的SIL值,在确定了某个安全仪表功能的完整性等级(SIL)之后,再配置与之相适应的SIS。表1-3可以看出,若某工艺过程的所需SIF经评定后为SIL 2,则配置达到AK4的SIS即可,其响应失效率(PFD)为百分之一至千分之一之间。 (1) 应该注意的是不同安全级别的SIS,只能确保响应失效率(PFD)在一定的范围内,安全级别越高的SIS,其PFD越小,即发生事故的可能性越小,但它不能改
史上最全(SIS)安全仪表系统解析
