EPA功能安全技术.docVIP

EPA功能安全技术——EPASafety 发表于：2010年08月06日 14:24??? 浏览人数：576 1??????? 在工业系统中，由于危险的化学品或气体的泄露，许多工艺过程，尤其是化学或油/气工业中的工艺过程的操作都涉及到内在的风险。`针对危险事件，为了保持被控设备的安全状态，根据安全系统或者外部风险降低设施构造的功能称为安全功能，运行安全功能的系统称为功能安全系统。 传统意义上，安全保护指的是额外的系统或设备用于保护在危险生产区域的工作人员免受伤害或死亡。然而今天，安全解决措施已经不仅仅是保证人生安全，并且生产厂商需要不断提升生产装置的运行性能，以便实现公司的利益最大化。 安全仪表系统（Safety Instrumented System，SIS）是指由传感器、逻辑处理器和在发生特殊情况时自动使生产过程维持安全状态的终端元件构成的系统。安全仪表系统（SIS）经过专门设计，通过减少已知的紧急事件发生的可能性或其严重性，来保护人员、设备以及环境。 一个工厂的安全防护是由多层不同的部分组成的，下图简要地表示了这种安全防护结构。安全仪表系统是在防护层与减灾层中，在工艺过程发生事故的情况下，可减少事故发生的概率和所造成的后果，从而减少工艺过程的危险程度。 图 1工艺装置安全保护层示意 随着IEC61508、IEC61511和ISA-84等功能安全国际标准的正式发布，生产厂商和用户越来越关注生产装置的功能安全要求，纷纷对危险和风险进行严格的分析，并开发、验证和应用已经经过功能安全认证的安全仪表系统（SIS）。 ? 安全完整性等级是评估功能安全设备安全性的重要指标，其概念是在规定的条件下、规定的时间内，安全系统成功实现所要求的安全功能的概率。 安全系统的安全完整性等级越高，安全系统实现所要求的安全功能失败的可能性就越低。在确定安全完整性过程中，应包括所有导致非安全状态的因素（随机的硬件失效和系统失效），例如硬件失效，软件导致的失效以及由电气干扰引起的失效，这些失效的类型，尤其是硬件失效可用测量方法来定量，如在危险模式中的失效率，或按规定操作的安全防护系统失效的概率，但是，系统的安全完整性也取决于许多因素，这些因素无法精确定量仅可定性考虑。 安全完整性等级的概念是一种离散的水平（四种可能水平之一），用于规定分配给电气/电子/电气系统（E/E/PE）安全系统的安全功能的安全完整性要求，在这里安全完整性等级4是最高的，安全完整性等级1是最低的。安全完整性等级来源于对风险的评估，它是系统或功能预期的可靠性，而不是风险的测量。 表 3安全完整性等级要求 安全完整性等级(SIL) 要求模式下的故障概率 连续模式下的故障概率 1 10-2 to 10-1 10-6 to 10-5 2 10-3 to 10-2 10-7 to 10-6 3 10-4 to 10-3 10-8 to 10-7 4 10-5 to 10-4 10-9 to 10-8 注：要求模式：行为作为过程或其它条件的响应来执行 (每年不超过一次). 连续模式：实现连续控制，以保持功能安全。 2??????? 基于EPA的功能安全通讯需求 EPA数据在使用黑色通道进行数据传输的过程中，由于诸如电磁干扰等情况，可能导致数据在传输的过程中产生如下错误： 1、? 数据可能因为总线共享、传输介质的差错或数据的相互干扰而被破坏。 2、? 因为差错、故障或相互干扰，未被更新的数据在一个错误的时间点上被重发。 3、? 因为差错、故障或相互干扰，数据没有被接收或被承认。 4、? 由于故障或相互干扰，一个未知或不希望的源实体可能插入一个不期望的消息。这个消息附加到期望的数据流当中，并且由于它们没有期望的源，所以该故障不能被归入到数据重传或乱序故障中。 5、? 因为差错、故障或干扰，事先定义的顺序（如自然数、时间参考等）产生错误。 6、? 由于故障或干扰，由一个有效的源实体产生的非安全数据插入到安全通信中，从而使该数据被作为安全数据使用。用于安全相关应用的通信系统可以使用附加的校验来检测伪装。 7、? 消息可能会因为超出允许的接收时间而延迟，如因为传输介质的差错、传输线路的阻塞、相互干扰或者消息在总线上的共享等。 上述错误将导致安全风险。为了保证EPA系统在核电、石化等高危险场合的正常应用，需要将控制系统失效的概率达到所需的SIL等级以下，防止由于正确功能的丧失或者损坏造成的严重灾难。 结合IEC61508安全功能的定义，如图所示，可以将安全功能可以分解为为传感器、安全通信链路、可编程电子设备、安全通信链路和执行器几个部分。通信系统主要指安全通信链路，执行安全数据的传输。通常，根据系统的SIL等级所要求的残余故障失效概率，对功能安全通信的要求是不能消耗