第8章紧急停车系统 8.1紧急停车系统的定义是什么? 简答:紧急停车系统(Emergency Shut Down System,ESD),也称安全联锁系统(Safety Interlocking System,.SIS),是对石油化工等生产装置可能发生的危险或不采取措施将继 续恶化的状态进行自动响应和干预,从而保障生产安全,避免造成重大人身伤害及重大财产 损失的控制系统。 8.2试比较两类紧急停车系统的优劣。 简答:紧急停车系统按照结构来分,可分为双重化冗余和三重化冗余两种。双重化冗余 ESD系统从I/0模件到CPU、通信模件都是双重化配置的。其中一套处于工作状态,另一套 则处于热备状态三重化冗余ESD系统与双重化冗余ESD系统最大的区别是三重化冗余ESD 系统的三重化设备同时处于工作状态,因此它需要有更强大的硬件诊断功能,在检测到某一 通道的硬件有故障时,立即发出系统报警并适当地调整相应通道的选择运算方式,但系统仍 能安全地运行,所以三重化系统也被叫做“冗余容错”系统。 8.3紧急停车系统有哪些特点? 简答:1)系统的最终目标都是为了确保工艺生产的安全,保护生产设备和操作人员不受 伤害:2)开关量输入检出元件选择正常状态下闭合,线路断开等同于联锁动作,即系统为故 障安全型:3)输出电磁阀或继电器选择为正常励磁,只有当输出线路发生故障时才产生动作: 4)当无论何种原因使生产装置停车(Shutdown)时,ESD系统所控制的目标元件所处的状态 都要确保生产安全。 8.4简述ESD系统主要的通用安全标准,并进行比较。 简答:ESD系统主要的通用安全标准如下。1)DINV19250标准是德国的标准,在这个 标准中建立了一个概念:安全系统的设计等级必须符合生产过程现场的危险性等级AK1~ AK8(1~8级):2)DIN V VDE 0801标准是针对用于安全系统的计算机,来判定某种控制器 从设计、编码、程序执行到确定是否完全符合上述DINV19250的要求:3)IEC61508是国 际电工委员会制定的国际标准。该标准广泛用于确定过程、交通、医药工业等的安全周期, 本标准引用了“安全周期”(Safety Life Cycle),它不仅要求设备的完整性,同时对设 计、操作、测试和维护都有要求。本标准根据发生故障的可能性来分为4个SIL等级: 4)ANSI/ISAS84.01-1996是美国对于工业过程的安全系统所制定的标准。它沿用了 IEC61508标准并保留了DINV19250标准,ANSI/SIAS84.01-1996标准不包括SIL4这一 -1-
- 1 - 第 8 章 紧急停车系统 8.1 紧急停车系统的定义是什么? 简答:紧急停车系统 (Emergency Shut Down System,ESD),也称安全联锁系统 (Safety Interlocking System,SIS),是对石油化工等生产装置可能发生的危险或不采取措施将继 续恶化的状态进行自动响应和干预,从而保障生产安全,避免造成重大人身伤害及重大财产 损失的控制系统。 8.2 试比较两类紧急停车系统的优劣。 简答:紧急停车系统按照结构来分,可分为双重化冗余和三重化冗余两种。双重化冗余 ESD 系统从 I/O 模件到 CPU、通信模件都是双重化配置的。其中一套处于工作状态,另一套 则处于热备状态三重化冗余 ESD 系统与双重化冗余 ESD 系统最大的区别是三重化冗余 ESD 系统的三重化设备同时处于工作状态,因此它需要有更强大的硬件诊断功能,在检测到某一 通道的硬件有故障时,立即发出系统报警并适当地调整相应通道的选择运算方式,但系统仍 能安全地运行,所以三重化系统也被叫做“冗余容错”系统。 8.3 紧急停车系统有哪些特点? 简答:1)系统的最终目标都是为了确保工艺生产的安全,保护生产设备和操作人员不受 伤害;2)开关量输入检出元件选择正常状态下闭合,线路断开等同于联锁动作,即系统为故 障安全型;3)输出电磁阀或继电器选择为正常励磁,只有当输出线路发生故障时才产生动作; 4)当无论何种原因使生产装置停车(Shutdown)时,ESD 系统所控制的目标元件所处的状态 都要确保生产安全。 8.4 简述 ESD 系统主要的通用安全标准,并进行比较。 简答:ESD 系统主要的通用安全标准如下。1)DIN V 19250 标准是德国的标准,在这个 标准中建立了一个概念:安全系统的设计等级必须符合生产过程现场的危险性等级 AK1~ AK8(1~8 级);2)DIN V VDE 0801 标准是针对用于安全系统的计算机,来判定某种控制器 从设计、编码、程序执行到确定是否完全符合上述 DIN V 19250 的要求;3)IEC 61508 是国 际电工委员会制定的国际标准。该标准广泛用于确定过程、交通、医药工业等的安全周期, 本标准引用了“安全周期”(Safety Life Cycle),它不仅要求设备的完整性,同时对设 计、操作、测试和维护都有要求。本标准根据发生故障的可能性来分为 4 个 SIL 等级; 4)ANSI/ISA S84.01-1996 是美国对于工业过程的安全系统所制定的标准。它沿用了 IEC61508 标准并保留了 DIN V 19250 标准,ANSI/SIA S84.01-1996 标准不包括 SIL 4 这一
最高级别。S84委员会认为SIL4仅适用于医药、交通的保护性仪表这一层次。而对应的工 艺流程则可以在设计中融合多个层次的保护性仪表:5)Draft IEC61511第1~4部分,是 适用于工艺过程工业的安全仪表系统的国际化标准,是IEC61508的补充。 上述几种国际标准对风险的评估办法有所不同,划分等级也有所不同,但是它们之间还 是可以相互比照的。SIL等级越高,对ESD系统的技术指标(可靠性、故障率、无故障运行 时间)的要求也越高。 大多数使用安全系统的工业应用场合属于AK4~AK6级,其中一般锅炉、加热炉为4级, 石化、化工为AK5级,涉及到人身安全要求等级的场合很少,要特殊考虑。此外还有一些特 殊用途的标准,如DIN VDE O116是适用于锅炉管理应用的德国标准:EN54的第三部分是 适用于火灾检测报警系统的欧洲标准:FPAT2是美国的适用于火灾报警系统的“国家火灾 报警标准”;NFPA8501是美国的适用于单烧嘴锅炉的“单烧嘴锅炉的操作标准”等。 8.5试说明“3-2-1-0”和“3-2-0”的含义? 简答:3-2-1-0表示ESD系统有三个CPU,同时工作又相对独立。当一个CPU故障时, 该CPU被切除,切换到2-10工作方式,系统正常运行;当两个CPU故障时,这两个CPU被 切除,切换到1-O工作方式,系统正常运行:如果检测到三个CU故障,系统则停车。 3-2-0是指系统正常工作时有三个CPU正常工作。当三个CPWU中有一个运算结果与其他 两个不同时,说明该CPU出现了故障,其余两个CPU工作正常,系统也能正常工作。若其余 两个CPU的运算结果也不相同,则系统停车。 8.6安全仪表系统有哪些设计原则? 简答:1)对检测元件的要求 检测元件(传感器)分开独立设置,指采用多台检测仪表将控制功能与安全联锁功能隔 离,即安全仪表系统与过程控制系统的实体分离。传感器冗余设置,不宜采用信号分配器, 将模拟信号分别接到安全仪表系统和过程控制系统。安全仪表系统和过程控制系统共用一个 传感器时,宜采用安全仪表系统供电。 2)对最终执行元件的要求 最终执行元件(切断阀,电磁阀)是安全仪表系统中可靠性低的设备。在正常工况时过 程控制系统是动态的,主动的,控制阀动作是随控制信号的变化而变化,不会长期停留在某 一位置。因此,当符合安全度等级要求时,可采用控制阀及配套的电磁阀作为安全仪表系统 的最终执行元件。当安全度等级为3级时,可采用一台控制阀和一台切断阀串联连接作为安 全仪表系统的最终执行元件。 -2-
- 2 - 最高级别。S84 委员会认为 SIL 4 仅适用于医药、交通的保护性仪表这一层次。而对应的工 艺流程则可以在设计中融合多个层次的保护性仪表; 5)Draft IEC 61511 第 1~4 部分,是 适用于工艺过程工业的安全仪表系统的国际化标准,是 IEC 61508 的补充。 上述几种国际标准对风险的评估办法有所不同,划分等级也有所不同,但是它们之间还 是可以相互比照的。SIL 等级越高,对 ESD 系统的技术指标(可靠性、故障率、无故障运行 时间)的要求也越高。 大多数使用安全系统的工业应用场合属于 AK4~AK6 级,其中一般锅炉、加热炉为 4 级, 石化、化工为 AK5 级,涉及到人身安全要求等级的场合很少,要特殊考虑。此外还有一些特 殊用途的标准,如 DIN VDE 0116 是适用于锅炉管理应用的德国标准;EN 54 的第三部分是 适用于火灾检测报警系统的欧洲标准;NFPA 72 是美国的适用于火灾报警系统的“国家火灾 报警标准”;NFPA 8501 是美国的适用于单烧嘴锅炉的“单烧嘴锅炉的操作标准”等。 8.5 试说明“3-2-1-0”和“3-2-0”的含义? 简答:3-2-1-0 表示 ESD 系统有三个 CPU,同时工作又相对独立。当一个 CPU 故障时, 该 CPU 被切除,切换到 2-1-0 工作方式,系统正常运行;当两个 CPU 故障时,这两个 CPU 被 切除,切换到 1-0 工作方式,系统正常运行;如果检测到三个 CPU 故障,系统则停车。 3-2-0 是指系统正常工作时有三个 CPU 正常工作。当三个 CPU 中有一个运算结果与其他 两个不同时,说明该 CPU 出现了故障,其余两个 CPU 工作正常,系统也能正常工作。若其余 两个 CPU 的运算结果也不相同,则系统停车。 8.6 安全仪表系统有哪些设计原则? 简答:1)对检测元件的要求 检测元件(传感器)分开独立设置,指采用多台检测仪表将控制功能与安全联锁功能隔 离,即安全仪表系统与过程控制系统的实体分离。传感器冗余设置,不宜采用信号分配器, 将模拟信号分别接到安全仪表系统和过程控制系统。安全仪表系统和过程控制系统共用一个 传感器时,宜采用安全仪表系统供电。 2)对最终执行元件的要求 最终执行元件(切断阀,电磁阀)是安全仪表系统中可靠性低的设备。在正常工况时过 程控制系统是动态的,主动的,控制阀动作是随控制信号的变化而变化,不会长期停留在某 一位置。因此,当符合安全度等级要求时,可采用控制阀及配套的电磁阀作为安全仪表系统 的最终执行元件。当安全度等级为 3 级时,可采用一台控制阀和一台切断阀串联连接作为安 全仪表系统的最终执行元件
3)对ESD逻辑控制器结构选择要求 安全仪表系统故障有两种:显性故障(安全故障)和隐性故障(危险故障)。当系统出 现显性故障时,可立即检测出来,系统产生动作进入安全状态。显性故障不影响系统的安全 性,但会影响系统的可用性。当系统出现隐性故障时,只能通过自动测试程序检测出来,系 统不能产生动作进入安全状态。隐性故障影响系统的安全性,但不影响系统的可用性。因此 通过对逻辑控制器结构的选择,克服隐性故障系统安全性的影响,通常选择2003(三取二) 或者2004D(四取二,带诊断功能)结构。 8.7以HIMA ESD系统为例,说明中央处理器单元的冗余结构和工作原理。 简答:HIMA公司的H41q/H51q系统中,控制器的CPU采用四重化结构(QMR),即系统 的中央控制单元共有四个微处理器,每二个微处理器集成在一块控制单元(Control Unit, CU)模件上,再由两块同样的CU模件构成中央控制单元CU1。 工作原理是首先读取过程输入信号,再按预定的逻辑功能进行处理,然后依次输出处理 结果。一个循环扫描过程由七个骤步完成。1)周期性自检:2)数据接收:3)数据传送:4) 输入数据处理:5)输出交换比较:6)结果输出:7)结果回读 冗余的中央处理单元在每个过程循环完后都进行一次时钟同步,而通过串行通讯和有自 检功能的部分完成检测不依赖于一个过程循环。 8.8简述HIMA ESD系统工作站的功能特性,说明HIMA ESD系统的主要的I/O卡件及性 能。 简答:控制站的CPU及控制总线为四重化冗余容错结构。按4-20模式工作,同时具有 SOE(顺序事故记录)功能。4-2-0是ESD系统故障时性能递减表示方式。其工作原理是系 统中二个控制模块各有二个CPU,同时工作又相对独立。当一个控制模块中CPU被检测出故 障时,该CPU被切除,切换到2-0工作方式:其余一个控制模块中二个CPU以1oo2D方式 投入运行,若这一个控制模块中再有一个CPU被检测出故障时,系统停车。 HIMA ESD系统所配置的I/0卡件如下: 1)数字量输入模件(DI)选用F3236,通过TUV认证,安全等级SIL3/AK6。通道与 通道之间安全隔离(符合IEC61000标准),每卡16点,无源,正常时外部输入触点闭合,输 入干接点信号直接至HIMA系统机柜的接线端子。 2)数字量输出模件(D0)选用F3330,通过TUV认证,安全等级SIL3/AK6。通道与 通道之间安全隔离(符合IEC61000标准),每卡8点,每点的最大带载能力为0.5A。 -3-
- 3 - 3)对 ESD 逻辑控制器结构选择要求 安全仪表系统故障有两种:显性故障(安全故障)和隐性故障(危险故障)。当系统出 现显性故障时,可立即检测出来,系统产生动作进入安全状态。显性故障不影响系统的安全 性,但会影响系统的可用性。当系统出现隐性故障时,只能通过自动测试程序检测出来,系 统不能产生动作进入安全状态。隐性故障影响系统的安全性,但不影响系统的可用性。因此 通过对逻辑控制器结构的选择,克服隐性故障系统安全性的影响,通常选择 2OO3(三取二) 或者 2OO4D(四取二,带诊断功能)结构。 8.7 以 HIMA ESD 系统为例,说明中央处理器单元的冗余结构和工作原理。 简答:HIMA 公司的 H41q/H51q 系统中,控制器的 CPU 采用四重化结构(QMR),即系统 的中央控制单元共有四个微处理器,每二个微处理器集成在一块控制单元(Control Unit, CU)模件上,再由两块同样的 CU 模件构成中央控制单元 CU1。 工作原理是首先读取过程输入信号,再按预定的逻辑功能进行处理,然后依次输出处理 结果。一个循环扫描过程由七个骤步完成。1)周期性自检;2)数据接收;3)数据传送;4) 输入数据处理;5)输出交换比较;6)结果输出; 7)结果回读 冗余的中央处理单元在每个过程循环完后都进行一次时钟同步,而通过串行通讯和有自 检功能的部分完成检测不依赖于一个过程循环。 8.8 简述 HIMA ESD 系统工作站的功能特性,说明 HIMA ESD 系统的主要的 I/O 卡件及性 能。 简答:控制站的 CPU 及控制总线为四重化冗余容错结构。按 4-2-0 模式工作,同时具有 SOE(顺序事故记录)功能。4-2-0 是 ESD 系统故障时性能递减表示方式。其工作原理是系 统中二个控制模块各有二个 CPU,同时工作又相对独立。当一个控制模块中 CPU 被检测出故 障时,该 CPU 被切除,切换到 2-0 工作方式;其余一个控制模块中二个 CPU 以 1oo2D 方式 投入运行,若这一个控制模块中再有一个 CPU 被检测出故障时,系统停车。 HIMA ESD 系统所配置的 I/O 卡件如下: 1) 数字量输入模件(DI) 选用 F3236,通过 TÜV 认证,安全等级 SIL3/AK6。通道与 通道之间安全隔离(符合 IEC61000 标准),每卡 16 点,无源,正常时外部输入触点闭合,输 入干接点信号直接至 HIMA 系统机柜的接线端子。 2) 数字量输出模件(DO) 选用 F3330,通过 TÜV 认证,安全等级 SIL3/AK6。通道与 通道之间安全隔离(符合 IEC61000 标准),每卡 8 点,每点的最大带载能力为 0.5A
3)模拟量输入模件(AI)选用F6217,通过TUV认证,安全等级SIL3/AK6。通道与 通道之间安全隔离(符合IEC61000标准),每卡8点,通过配置不同的电缆插头可以接收有 源或无源的420mADC或15VDC标准信号。 4)模拟量输出模件(A0)选用F6706,通过TUV认证,安全等级SIL3/AK6。通道与 通道之间安全隔离(符合IEC61000标准),每卡2点,可输出420mADC信号,DCS显示。 -4-
- 4 - 3) 模拟量输入模件(AI) 选用 F6217,通过 TÜV 认证,安全等级 SIL3/AK6。通道与 通道之间安全隔离(符合 IEC61000 标准),每卡 8 点,通过配置不同的电缆插头可以接收有 源或无源的 4~20mADC 或 1~5VDC 标准信号。 4) 模拟量输出模件(AO) 选用 F6706,通过 TÜV 认证,安全等级 SIL3/AK6。通道与 通道之间安全隔离(符合 IEC61000 标准),每卡 2 点,可输出 4~20mADC 信号,DCS 显示