SHBZ061999石油化工紧急停车及安全连锁系统设计导则.docx

1、SHBZ061999石油化工紧急停车及安全连锁系统设计导则石油化工紧急停车及安全联锁系统设计导则SHB-Z06-19991 总则 22 常用名词术语与缩写 32.1 常用名词术语 32.2 缩写 43 选用原则 43.1 独立设置原则 43.2 选择采用技术的原则 53.3 结构选用原则 53.4 故障安全型原则 63.5 中间环节最少原则 64 紧急停车及安全联锁系统工程设计的内容 64.1 可行性研究阶段 64.2 基础工程设计阶段 64.3 详细工程设计阶段 74.4 ESD及安全联锁应用软件组态、生成阶段 84.5 安装、调试、投运阶段 85 硬件配置 85.1 配置原则 85.2 用

2、户接口 85.3 过程接口 95.4 逻辑运算器 105.5 通讯接口 105.6 电源 106 现场设备 106.1 检测元件 106.2 执行元件 116.3 现场设备选用注意事项 117 软件编制 117.1 软件编制原则 117.2 软件编制的安全性要求 127.3 软件审查 127.4 软件工程文件 128 配线及接地工程要求 128.1 配线工程要求 128.2 接地工程要求 139 安装、调试、预开车验收 139.1 安装 139.2 调试 139.3 预开车验收测试（PSAT） 14附录A紧急停车及安全联锁系统规格书编制大纲 14A.1 主要内容 14A.2 功能要求 14A.

3、3 系统要求 15A.4 安全要求 15A.5 文件、服务及其它 15附录B 操作维护 15B.1 操作 15B.2 维护 15B.3 测试、检测与维修 15B.4 功能测试 16B.5 功能测试文件 16附录C 修改管理 16C.1 修改管理规定 16C.2 修改管理文件 17附录D ESD/SIS系统详细设计工作内容摘要 17D.1 一般要求 17D.2 ESD/SIS逻辑运算器 17D.3 现场设备 18D.4 接口 18D.5 电源与气源 19D.6 系统环境 19D.7 应用逻辑要求 19D.8 维护与测试设计要求 19用词说明 19总则1.1.1为保障使用化工企业的安全生产，设置恰

4、当的紧急停车及安全联锁系统，降低装置恶性事故发生的概率，减少计划外停车，避免重大人身伤害，重大设备损坏及重大经济损失的事故发生，特制定本导则。1.1.2本导则适用于石油化工装置（或工厂）紧急停车及安全联锁系统的工程设计，石油化工装置（或工厂）的辅助设施和公用工程的紧急停车及安全联锁系统工程设计也可参照执行。本导则不适用于液压与气动逻辑运算器。1.1.3紧急停车及安全联锁系统的设计，应遵循以下的原则：1.紧急停车及安全联锁系统原则上独立设置2.检测元件及执行机构原则上独立设置3.中间环节最少4.采用冗余或容错结构5.系统应是故障安全型1.1.4执行本导则时，尚应符合国家现行有关标准规范的要求1.

5、1.5引用标准1.Health and Safety Executive .Apr, 1991 Programmable Electronic Systems in Safety Related Applications2.Instrument Society of America Committee. Feb, 1996, SP84. Application of Safety Instrumented Systems for the Process Industries 3.IEC draft Publication 1508 1995. Electrical/Electronic/Pro

6、grammable Electronic Safety Related Systems4.石油化工企业仪表供电设计规定 SH 3082 19975.石油化工企业仪表供气设计规定 SH 3020 19976.石油化工企业仪表配管、配线设计规定 SH 3019 19977.石油化工企业仪表系统接地设计规定 SH 3081 19972 常用名词术语与缩写2.1 常用名词术语2.1.1装置（Device）：由安全联锁系统监视、控制或保护的石油化工单元或机械设备2.1.2危险（Hazard）：可引起人员伤害、身边损坏或环境污染等的潜在物理或化学条件。2.1.3冗余（Redundant）：有指定的独立的N

7、：1重元件，并且可以自动的检测故障，切换到后备设备上。2.1.4冗余系统（Redundant）：并行地使用多个系统部件，以提供错误检测和错误校正能力，该系统称为冗余系统。2.1.5容错（Fault Tolerant）：指有内部冗余的并性元件和集成逻辑，当硬件或软件部分故障时，能够识别故障并使故障旁路，继续正确执行指定功能的能力，或指硬件和软件发生故障的情况下，系统任然具有继续运行的能力。它往往包含三方面的功能：第一是约束故障，即限制过程或进程的动作，以防止错误在被检测出来之前继续扩大；第二是检测故障，即对信息和过程或进程动作进行动态检测；第三是故障恢复即更换或修正失效的部件。2.1.6容错系统

8、（Fault Tolerant System）：具有容错结构的硬件与软件系统。2.1.7容错软件：能从故障状态恢复到正常工作状态的软件称为容错软件。故障恢复的方法可以用软件控制，也可用硬件控制。2.1.8容错技术：发现错误并纠正错误使系统继续正确运行的技术。包括错误检测和校正用的各种编码技术、冗余技术、系统恢复技术、指令复执、程序复算、备件切换、系统重新组合、检查程序、诊断程序等。2.1.9热后备（Hot backup）：有部分独立的N：1重元件和共用部件，可以自动或手动地检测故障，切换到后备设备上。2.1.10要求故障率（PFD：Probability of Failure on Deman

9、d）：安全联锁系统按要求执行指定功能的故障概率。是度量安全联锁系统按要求模式工作故障率的目标值。2.1.11安全度（SI：Safety Integrity）：安全联锁系统在一定条件一定时间周期内执行指定安全功能的概率。2.1.12安全度等级（SIL：Safety Integrity Level）：安全联锁系统的安全等级，用PFD来定义。2.1.13可用度（A：Availability）：系统可使用工作时间的概率，用百分数计算：A=MTBF/（MTBF+MDT）。2.1.14可靠性（Reliability）：安全联锁系统在故障危险模式下，对随机硬件或软件故障的安全度。2.1.15紧急停车及安全联

10、锁系统（ESD&SIS：Emergency Shutdown Safety Interlocking System）：用于监视装置（或独立单元）的操作，如果过程超出安全操作范围，可以使过程进入安全状态，确保装置（或独立单元）具有一定安全度的系统。2.1.16保护系统（Protected System）：专用于对装置中潜在的危险或不采取措施可能产生危险的事件发生响应，以减轻危险发生的后果或防止危险发生的系统。2.1.17故障安全（Fail-to-Safe（FTS）：故障时，使系统回到预定安全状态的能力。2.1.18显故障（Overt Fault）：是指能够显示故障自身存在的故障，是故障安全故障。

11、2.1.19故障安全系统（Fail-safe System）：当控制回路中的输出单元或电路发生故障时，输出是非励磁的（或无效的）系统。2.1.20隐故障（Covert Fault）：是指不对危险产生报警，并允许危险发展的故障，是故障危险故障。2.1.21正常励磁模式（Normally Energized Mode）：在正常操作条件下，线圈是励磁的，在满足停车条件时线圈时非励磁的。2.1.22正常非励磁模式（Normally Deengerized Mode）：在正常操作条件下，线圈是非励磁的，在满足停车条件时线圈是励磁的。2.1.23系统故障（Systematic Fault）：由于系统设计或

12、结构的错误以及环境条件引起的故障。2.1.24随机硬件故障（Random Hardware Failures）：由于硬件性能的下降而引起的故障。2.1.25可编程电子系统（PES：Programmable Electronic System）：基于微处理器的用于工厂控制、保护或监视，连接到检测元件和/执行元件的系统。2.1.26硬件容错（HIFT：Hardware Implement Fault Tolerant）利用专门设计的 硬件电路实现诊断测试和故障隔离。2.1.27软件容错（SIFT：Software Implement Fault Tolerant）：软件进行诊断测试和故障隔离。2.

13、1.28共模故障（Common Cause Fault）：系统内部或系统外可引起系统中多个元件故障的单个故障源。2.1.29诊断覆盖率（Diagnose Coverage）：可在线诊断出的故障占系统全部故障的百分数。2.1.30强制（Forcing）：可编程电子系统PES操作站跳过应用程序改变输入和输出状态的功能。2.1.31功能测试（Functional Testing）：周期性地检查ESD&SIS是否按照安全要求工作的测试。2.1.32一级安全度等级（SIL 1）：每年故障危险的平均概率为0.100.01即PFDavg=0.100.01。2.1.33二级安全度等级（SIL 2）：每年故障危

14、险的平均概率为0.010.001 即PFDavg=0.010.001。2.1.34三级安全度等级（SIL 3）：每年故障危险的平均概率为0.0010.0001即PFDavg=0.0010.0001。2.1.35四级安全度等级（SIL 4）：每年故障危险的平均概率为0.00010.00001即PFDavg=0.00010.00001。2.2 缩写PFD：要求故障概率（Probability of Failure on Demand）PFS：故障安全概率（Probability of Failure in the Safe）ESD：紧急停车（Emergency Shutdown）PE：可编程电子（

15、Programmable Electronic）PES：可编程电子系统（Programmable Electronic System）TI：测试间隔（Test Interval）MTBF：平均故障间隔时间（Mean Time Between Failures）MTTF：故障前平均时间（Mean Time to Failure）MDT：平均停车时间（Mean Downtime）MTDF：平均故障诊断时间（Mean Time to Diagnose Fault）MTTR：平均维修时间（Mean Time to Repair）MTDL：平均故障定位时间（Mean Time to Determine

16、a Fault Location）MTFR：平均更换故障部件时间（Mean Time to Replace a Faulted Component）MTRO：平均恢复操作条件时间（Mean Time to Return the System to Operable Condition）PHA：过程危险分析（Process Hazard Analysis）PCE：最终执行元件（Final Control Element）PSAT：预开车验收测试（Pre Start Acceptance Test）MOC：修改管理（Management of Change）EMI：电磁干扰（Electro Mag

17、netic Interference）RFI：无线电频率干扰（Radio Frequency Interference）3 选用原则3.1 独立设置原则3.1.1紧急停车及安全联锁系统应独立于过程控制系统，以降低控制功能和安全功能同时失效的概率，使ESD&SIS系统不依附于过程控制系统就能独立完成自动保护联锁的安全功能。3.1.2按需要配置相应的通讯接口，使过程控制系统能够监视ESD&SIS的运行状态。3.1.3原则上需要独立设置的部分有：1.检测元件2.执行元件3.逻辑运算器4.ESD/SIS与过程控制系统之间或其它设备的通讯3.1.4复杂装置的ESD/SIS宜合理地分解为若干子系统，各子系

18、统宜相对独立。各子系统宜分组设置后备手动功能。3.1.5对不可能将ESD/SIS与过程控制系统分开的特殊情况（如气体透平控制系统包括控制和安全功能），将控制和安全功能结合在同一系统中应考虑下面的因素：1.确定公用元件和软件的故障机它们对ESD&SIS性能的影响。2.在ESD/SIS与过程控制系统之间设置独立的分组后备手动功能。3.确保ESD/SIS作用优先于过程控制的作用。4.建立并保存ESD/SIS整个系统完整的修改、维护及测试文件。3.2 选择采用技术的原则3.2.1ESD/SIS可采用电气、电子或可编程电子（E/E/PE）技术，也可以采用由它们组合的混合技术方案。3.2.2继电器的选用应

19、满足下列要求：1、继电器本质上不是故障安全的，继电器的触点可能粘在一起，也可能出现弹簧不能使开关触点返回非励磁位置。因此采用继电器逻辑系统应符合下面的原则：a、确认继电器对安全应用是有效的；b、继电器有好的“故障缓行”的位置特性；c、放置继电器的环境是适当的（如完全密封）；d、触点在线圈非励磁或故障时打开；e、线圈带重力脱扣或双弹簧；f、触点用适当的材料和等级；g、安装限能负载电阻以防止触点粘接闭合；h、提供适当的触点感应负载干扰消除器；i、对低能量负载（如50伏或更低；10mA或更低）要求采用特殊的接点材料或设计（如密封触点），消除触点氧化（如负载下降）引起操作的不可靠性的触点。当用这些特殊

20、触点时，必须确定触点的故障模式，以确保构成故障安全的继电器系统。2、下列情况不可用继电器：a、高负荷周期性频繁改变状态；b、定时器或锁定功能；c、复杂的逻辑应用。3.2.3固态继电器固态继电器适用于高负荷的应用，选用时应恰当处理好非故障安全模式。3.2.4固态逻辑固态逻辑是将内部各种逻辑元件（如AND，OR，NOT）用直接接线技术连接获得的逻辑功能。一般这些系统在故障安全要求方面（如不确定的故障模式）是受限制的。对ESD&SIS的应用一般不推荐固态逻辑。当固态逻辑系统用于ESD&SIS时，通常采用PES作为诊断测试工具。3.2.5PESPES是指可编程控制器、分散控制系统控制器或专用的独立微处

21、理器。对下列情况，宜采用PES技术：1.有大量的输入/输出，或许多模拟信号；2.逻辑要求是复杂的，或包括计算功能的逻辑；3.要求外部数据与控制系统进行通讯；4.对不同的操作有不同的设定（跳车）点（例如批量控制，配方选择）。3.3 结构选用原则3.3.1冗余结构既适用于软件又适用于硬件。3.3.2不宜采用可靠性较低的原件构成冗余，以防降低系统的可靠性。3.3.3冗余结构可采用但不限于下面的方法：1.在知道参数间有一定的关系情况下，可以使用不同的测量方法（如压力和温度）；2.对同一变量采用不同的测量技术（如质量流量计和涡街流量计）；3.对冗余结构的每一个通道采用不同类型的可编程电子系统（PES）；

22、4.采用不同的地址（如冗余通讯介质的双路径）。3.3.4对存在共模故障（如仪表导压管的堵塞、腐蚀、电源故障等）的情况，宜采用不同技术的冗余结构。3.3.5选用ESD/SIS结构师，应确认下面的内容：1.选择励磁停车或非励磁停车设计；2.选择同类或不同类的冗余ESD/SIS检测元件，逻辑运算器和最终控制单元；3.选择冗余的能源和ESD/SIS电源；4.选择操作员接口部件（例如CRT、报警指示灯、按钮）及它们连接到ESD/SIS的方法；5.选择ESD/SIS与其它子系统（如DCS）的通信接口和它们的通信方式（如只读或读/写）；6.系统元件的故障率；7.诊断覆盖率；8.测试间隔。3.4 故障安全型原

23、则3.4.1ESD/SIS应是故障安全型的。3.4.2ESD/SIS的检测元件及最终执行元件在系统正常时应是励磁的，在系统不正常时应是非励磁的（即非励磁停车设计）。3.5 中间环节最少原则3.5.1ESD/SIS的中间环节应是最少的。4 紧急停车及安全联锁系统工程设计的内容4.1 可行性研究阶段4.1.1根据工艺装饰的安全及自动化水平的要求，选择确定采用的安全联锁系统方案，即选用继电器、固态逻辑电路或可编程电子系统。4.1.2与工艺设计人员共同讨论确定安全联锁系统的级别要求及涉及安全要求的I/O点数。4.1.3根据工艺要求的必要性及可行性确定采用何种类型的系统。4.1.4选择每个ESD/SIS

24、安全功能采用的结构，以满足工艺过程的安全要求。4.1.5共模故障当多个ESD/SIS功能组合到一个系统中时（共用逻辑或元件）潜在的共模故障将增多，应考虑编程、维护、电源、气源、保护等共模故障。4.1.6安全功能要求多个安全功能共用元件应满足在系统中最严格的安全功能要求，非共用的系统元件必须满足与他们有关的安全功能的要求。4.1.7编制说明书。4.2 基础工程设计阶段4.2.1根据可行性研究阶段确定的ESD/SIS的方案开展本阶段的工作（如果未开展可行性研究工作可与本阶段工作合并进行，并应符合4.1的要求）4.2.2以管道仪表流程图（PID）及工艺安全联锁说明为依据，确定ESD/SIS的输入、输

25、出信号种类、数量及与安全相关的其他逻辑的问题。4.2.3结合工艺装置的特点及控制要求，确定ESD/SIS所要实现的功能。4.2.4确定硬件的基本配置，画出初步的系统硬件配置图，主要内容应包括：1.操作员接口（包括显示器，含灯、按钮、指示器和开关的盘，报警器，打印机，任何这些设备的组合）；2.第一事故报警打印机；3.与DCS的接口；4.关的I/O点数。4.2.5考虑下列内容1.独立配置的内容2.采用何种冗余措施3.选择采用的技术4.选择采用的结构5.故障率与故障模式的确定6.电源及气源系统的可靠性要求7.确定共模故障源8.是否采用诊断技术9.现场设备的选择与配置10.保护技术11.接线方法12.

26、建立文档的内容13.功能测试间隔要求4.2.6编制ESD/SIS系统规格书4.3 详细工程设计阶段4.3.1参照ESD/SIS规格书编制大纲的要求，根据基础过程设计确定的紧急停车及安全联锁的方案开展本阶段的工作，编制紧急停车及安全联锁系统规格书，发出正式的询价书，一般至少向三个ESD/SIS的供方询价。4.3.2ESD/SIS供方的报价书至少要包括下面内容：1.报价说明2.硬件配置清单及其功能说明3.可靠性数据（包括MTBE、MTTR等数据及计算方法）4.可靠性技术结构及其相应的安全论证的等级和证书5.对询价书中的安全要求的实现方法（软、硬件）6.系统硬件的分项价格7.应用软件由用户组态的分类

27、价格8.产品的投运业绩4.3.3ESD/SIS系统报价书的评审，应包括以下内容1.ESD/SIS的各种功能是否满足询价书的安全功能要求2.ESD/SIS的硬件配置数量是否符合询价书的要求3.ESD/SIS的安全质量指标（可靠性、MTBF、MTTR等）是否先进4.硬件配置是否满足询价的冗余或三重化的要求5.软件是否标准化、模块化，是否经过实践6.价格比较4.3.4配合采购部门进行ESD/SIS系统的合同谈判，合同技术附件可按照ESD/SIS技术规格书的要求进行，并清楚地讨论以下几个问题：1.供货范围2.ESD/SIS系统的软件组态谁负责3.修订的ESD/SIS系统规格书可作为合同附件之一4.3.

28、5与最终用户共同确定ESD/SIS系统选型及供货方，参加签定ESD/SIS系统供货合同、硬件清单、软件清单、备品备件及易损材料清单、初步的进度表。4.3.6合同签定后4 6周，可召开设计条件会议。由供货方向用户提供控制室ESD/SIS系统的安装、供电、接地、空调等设计条件，并列出双方资料交付的时间表。4.3.7准备组态所需的基础数据、图纸等设计文件：数据表，逻辑图或说明，逻辑监控画面，第一事故报警打印要求，报表，重要工艺数据的存储要求。4.4 ESD及安全联锁应用软件组态、生成阶段4.4.1供方组态1.向供方提交应用软件组态所需的设计文件，参加有关工程会议，向供方作设计交底；2.检查供方的系统

29、配置、应用软件组态、生成的结果是否满足设计要求。4.4.2用户与供方合作组态方式，组态的具体工作由用户完成，供方负责组态文件审查和生成指导及确认工作。4.4.3组态生成。4.5 安装、调试、投运阶段4.5.1设计人员才加配合安装调试及投运工作。5 硬件配置5.1 配置原则5.1.1根据ESD/SIS的规模及功能需求以及工序与管理的划分等因素考虑有关的硬件配置5.1.2复杂装置和重要机组的ESD/SIS应独立于过程控制系统5.1.3ESD/SIS不依附于过程控制系统就能独立完成自动保护联锁功能。5.1.4复杂装置的ESD/SIS可合理的分解为若干子系统，各子系统宜相对独立5.1.5过程控制系统可

30、监视ESD及SIS的运行状态（按需要配置相应的接口）5.1.6所选硬件应满足安全级别要求，并参照下列原则选用1.小于40个输入输出点不含运算功能的ESD/SIS，宜选用继电器系统2.大于40个小于100个输入输出点不含运算功能的ESD/SIS，宜选用固态继电器系统3.大于40个小于100个输入输出点含运算功能的ESD/SIS，宜选用小型可编程电子系统4.大于100个输入输出点的ESD/SIS，宜选用小型可编程电子系统5.2 用户接口5.2.1操作员接口操作员接口用于操作员和ESD/SIS之间的信息通讯（包括：显示器，含灯、按钮、指示器和开关的盘，报警器打印机，任何这些设备的组合）1、显示器a、

31、显示器可同时有安全和过程控制功能。过程控制系统或其他的计算机控制系统，通过正常的操作员显示，为ESD/SIS提供唯一的操作员接口。b、在紧急条件下，操作员和ESD/SIS之间数据更新和刷新的通信速率应满足安全响应的要求c、对于有关ESD/SIS的显示应清楚地按避免使操作员在紧急状态下混淆的多义性或潜在性标识。d、操作员应易于访问与安全有关的显示，尽可能有单个的键盘锁或触屏锁提供显示等级e、给操作员在一幅显示画面中有足够的信息，快速地传送关键信息，同时应提供用在非有关安全的显示相同的访问方法、常规报警和显示部件。f、ESD/SIS的显示应注意下列问题1)用颜色、闪光指示器和适宜的数据显示指导操作的重要信息2)减少混淆的可能性3)信息必须是清楚的、不易混乱的g、操作员接口和相关的系统（如DCS