e t PFD 1 tD CE D CE
式4
因为λD tCE《1 ，因此对于1oo1 结构在要求时的平均失效概率为:
PFD t ( )
G
DU
DD CE
式5
2) 1oo2
此结构由两个并联的通道构成，无论哪一个通道都能处理安全功能。因此
，如果两个通道都存在危险失效，则在要求时某个安全功能失效。假设任
目前国际上常用的有关安全系统的标准如下： IEC61508标准根据安全系统满足安全要求的程度将安全系统分为4个等级即SIL1~4,SIL1 最低，SIL4等级最高。德国的TBV标准将安全等级分为8个等级即AK1~AK8，AK1最低， AK8最高。ANSI/ISA-84.1将安全系统分为3个等级即SIL1~SIL3，SIL1最低，SIL3最高。 下表是IEC61058的SIL与其他标准的安全等级之间的对照。
2)
1oo3
正常状态下，三个输入 端均为1，一旦任一端信 号为0，发生故障，通过 表决器执行命令，执行 器执行相应动作。适用 于安全性很高的场合， 但增大了安全失效发生 的机会。
3)
2oo3
正常状态下，三个输入端均为1，当其 中任两个组合信号同时为0发生故障时， 通过表决器执行命令，执行器执行相 应的动作。其安全性和可用性保持在 合理的水平，适用于安全性、可用性 均较高的场合，这个结构也是目前应 用最广泛的结构。
PFDS PFDGi PFDEF PFDGj
注：表B.2~表B.5详见标准IEC61508或GB-T20438
Page18
计算过程
低要求操作模式的结构 1）1oo1 这种结构包括一个单通道。在这种结构中当产生一个要求时，任何危险失 效就会导致一个安全功能失效。
通道
诊断
1oo1物理块图
Page19
Page14
C1 分析 C2 起点
C3 C4
P1 F1
P2
P1 F2
P2
F1 F2
DIN V
W3 W2 W1
IEC 19250
1
-
- 61511 AK1
2
1
-
SIL1 AK2
3
2
1
AK3
4
3
2
SIL2 AK4
5
4
3
SIL3 AK5
6
5
4
AK6
7
6
5
SIL4 AK7
8
7
6
AK8
HAZOP分析与确定安全度等级的原理
Page13
装置危险参数的描述及级别
危险参数 C
F P W
级别 C1 C2 C3 C4 F1 F2 P1 P2 W1 W2 W3
描述 轻度受伤 严重的永久性伤害或1人死亡 2人以上死亡 灾难性结果 极少频度到频繁 频繁到连续出现 有限的可能性 几乎不可能 非常低（＜1次/10年） 低（＜1次/年） 相对高（＞1次/年）
Page6
4. 安全仪表系统的 冗余与诊断结构
为了提高安全仪表系统的安全性与可靠性，常常利用更多的设备构成冗余结构。安全仪表 系统的冗余一般由两部分组成，一是逻辑控制器自身的冗余，二是传感器和执行器的 冗余。常见的冗余表决结构有：
Page7
1)
1oo2
正常状态下，两个输 入端均为1，一旦任 一端信号为0，发生 故障，通过表决器执 行命令，执行器执行 相应动作。适用于安 全性较高的场合。
10
IEC61508的SIL与其他标准的安全等级的对照表
TBV(AK)
ANSI/ISA 84.01
IEC61508
AK1 AK2,AK3
SIL1
SIL1
AK4 AK5,AK6
SIL2 SIL3
SIL2 SIL3
AK7,AK8
SIL4
注：IEC61508定义的SIL4适用于核工业
Page11
安全相关使用方式 ，按要求生产的频率可分为：低要求模式（≤1次/年）和高要求或连续 模式（>1次/年）。低要求模式和高要求模式SIL的目标失效量是不同的，见下表。
Page15
SIL等级的评估
要求的平均失效概率（对于低要求操作模式）
安全相关系统的安全功能在要求时的平均失效率，是通过计算和组 合提供安全功能的所有子系统在要求时的平均失效概率确定的。它可 以表示为：
PFDSYS=PFDS+PFDL+PFDFE 式中： PFDSYS—安全相关系统的安全功能在要求时的平均失效概率； PFDS—传感器子系统在要求时的平均失效概率； PFDL—逻辑子系统在要求时的平均失效概率； PFDFE—最终元件子系统在要求时的平均概率；
学习 总结 分享
安全仪表系统
马洋洋
2014.12
目录
• SIS系统的定义 • SIS系统的组成 • SIS系统的特点 • 安全仪表系统的冗余 及诊断结构 • 安全行业进入规模化生产，生产装置积聚的能量越来 越大，并造成重大工业事故。印度博帕尔毒气泄漏、前苏联切尔诺贝利 核电站爆炸等震惊世界的灾难使人们前所未有的重视工业生产中的安全 问题。安全仪表系统（Safety Instrumented System，SIS）是安全相关系 统的一类，是保障生产安全的重要措施，它应在危险事件发生之前正确 地执行其安全功能，避免或减少事故的发生。
相当快的响应速度
SIS的实时性较好，一般从输入变化到输出变化的响应时间在0~50ms 左右（此处指的是逻辑运算器的响应速度，不包括现场仪表和执行机 构），一些小型SIS甚至可达到几ms的响应速度。
事件顺序记录功能
为了更好地进行事故分析与事后追忆，SIS一般具有事件顺序记录功 能，可按时间顺序记录各个指定的输入/输出及状态变量的变化时间， 记录精度一般精确到ms级。
何诊断测试仅报告发现故障.但并不改变任何输出状态或输出表决。
Page21
上面两图中包含了相关的块图，tCE值在式2中己经给出，但是现在还需
要计算系统等效停止工作时间tGE ，表示如下:
T DU ( 1 MTTR) DU MTTR
tGE
2
D
D
此结构在要求时的平均失效概率为：
式6
PFD t t T 2(1 ) ((1 ) (1 ) )
MTTR ( 1 MTTR )
G
DU
DU
D DD
SD CE GE
D DD
DU 2
式7
Page22
3)2oo2 此结构由并联的两个通道构成，因此，在发生安全功能之前两个通道都要 求安全功能。假设任何诊断测试仅报告发现故障，并不改变任何输出状态 或输出表决
Page23
上面两图包含了相关的块图，tCE的值已在式2中给出，此结构
安全完整性等级：低要求模式和高要求模式SIL的目标失效量
低要求操作 高要求或连续模式
SIL
风险降低
模式下PFD
下PFH（每小时危
（平均失效概率） 险失效概率）
1
10---100
≥10^-2至<10^-1 ≥10^-6至<10^-5
2
100--1000 ≥10^-3至<10^-2 ≥10^-7至<10^-6
1. SIS系统的定义
安全仪表系统是指能实现一个或多个安全功能的系统，英文名为Safety Instrument System，简称SIS。它是根据美国仪表学会（ISA）对安全控制系统的定义而得名的，也被 称为紧急停车系统（Emergency Shutdown Device-ESD）、安全联锁系统或仪表保护系统 （Instrument Protection System-IPS）。
Page17
—每个通道的失效率（每小时）λ（如5.0E-06）； —表决组中通道之间相互作用的共同原因失效的β系数，β和βD d）从表B.2~表B.5中的相关表中获得表决组的要求时的平均失效概率。 e）如果安全功能依赖于传感器或执行器的多个表决组，传感器或最终
元件子系统在要求时的组合平均失效概率 PFDS 或 PFDEF 已在下列 式子中给出，其中 PFDGi、PFDGj 分别为传感器与最终元件的每个表 决组在要求时的平均失效概率。
容错性的多重冗余系统 SIS一般采用多重冗余结构以提高系统的硬件故障裕度，单一故障不会导致SIS安全功 能丧失。
Page5
全面的故障自诊断能力
SIS的安全完整性要求还包括避免失效的要求和系统故障控制的要求， 构成系统的各个部件均需明确故障诊断措施和失效后的行为，系统整 体诊断覆盖率一般高达90%以上。SIS的硬件具有高度安全性，能承受 大多数环境应力，如现场电磁干扰等，从而可以较好地应用于各种工 业环境。
Page8
另一种提高安全仪表系统安全性的结构则是采用自诊断通道，即诊断通道与逻辑控制 器通道互相独立，但诊断通道连接到逻辑控制器通道上，并能够控制输出。当诊断电路检 测到逻辑控制器发生失效时，就使控制器的输出开路，导致系统发生安全失效。
目前，安全仪表系统常同时采用自诊断通道和冗余通道。国际上符合IEC61508标准并 获得TUV SIL3等级认证的安全仪表系统主要有3种主流CPU结构：
（1）冗余容错完全自诊断结构，即1oo2D结构（诊断率99%）； （2）三重化表决部分自诊断结构，即2oo3D结构（TMR,诊断率70%）； （3）CPU双重化冗余容错完全自诊断，即2oo4D结构（QMR，诊断率99.99%）。
Page9
5. 安全完整性等级
安全完整性等级（Safety Integrity Level）简称SIL，是用来描述安全仪表系统安全综合 评价的等级，指在规定的条件及时间内，安全系统成功实现所要求的安全功能的概率。 SIL等级越高，安全系统实现所要求的安全功能失败的可能性就越低。
在要求时的平均失效概率如下：