安全儀表系統(tǒng)的定義及相關(guān)概念

1. 安全儀表系統(tǒng)的定義及相關(guān)概念

1.1 安全儀表系統(tǒng)的定義

安全儀表系統(tǒng)（Safety Instrument System，SIS）是用來實現(xiàn)一個和多個安全儀表功能的控制系統(tǒng)。安全儀表系統(tǒng)的設(shè)計是為了應(yīng)對生產(chǎn)過程中本身發(fā)生的危險情況，在工藝生產(chǎn)過程或生產(chǎn)裝置中發(fā)現(xiàn)潛在的危險工況或出現(xiàn)各種危險條件，安全儀表系統(tǒng)必須按照預(yù)先設(shè)定的程序，及時輸出安全保護指令，使工藝過程或生產(chǎn)裝置回到安全狀態(tài)，以防止任何危險的發(fā)生或減輕事故后果，最終保證人員、設(shè)備和環(huán)境的安全。

1.2 安全儀表系統(tǒng)的構(gòu)成

安全儀表系統(tǒng)主要包括測量單元、邏輯控制單元和執(zhí)行單元，再配合相應(yīng)的軟件組成。通常與基本過程控制系統(tǒng)（如：DCS系統(tǒng)）有通訊要求，共同組成生產(chǎn)裝置的過程儀表控制系統(tǒng)。其故障失效率的計算方法如下：

圖4-3-1 構(gòu)成圖

1.3 安全完整性等級（safety integrity level，SIL）

安全完整性等級是一種國際通用的“標(biāo)準(zhǔn)語言”，目的是用一種簡單的方法來劃分工藝裝置中每個安全儀表回路的安全等級要求。是SIS系統(tǒng)設(shè)計中必須遵從的一個重要安全指標(biāo)。

依據(jù)IEC標(biāo)準(zhǔn)由低到高劃分為SIL1-SIL4， ISA 84.01標(biāo)準(zhǔn)劃分為SIL1-SIL3，DIN V VDE0804標(biāo)準(zhǔn)由低到高劃分為AK1-AI8，它們之間的對應(yīng)關(guān)系如下。

表4-1 安全完整性等級

1.4 安全生命周期

安全儀表系統(tǒng)的安全生命周期也是一個非常重要的概念，要保證工藝裝置的安全生產(chǎn)運行，不但要選擇合適的控制系統(tǒng)，而且對工藝過程的風(fēng)險評估、安全回路等級劃分和控制系統(tǒng)的維護管理也非常重要。

SIS系統(tǒng)的整個安全生命周期可分為分析、工程實施及操作維護3大階段。在分析階段，要辨識工藝過程的潛在危險，并對其后果和可能性進行分析，以便確定過程風(fēng)險及必要的風(fēng)險降低要求。工程實施階段主要完成SIS的工程設(shè)計、儀表選型，安全邏輯控制器的硬件配置、軟件組態(tài)以及系統(tǒng)集成，完成操作和維護人員的培訓(xùn)，完成SIS的安裝和調(diào)試，以及SIS的安全驗證。操作維護階段在整個安全生命周期中時間區(qū)間最長，包括操作和維護、修改和SIS的停用。

在SIS系統(tǒng)設(shè)計選型后，要根據(jù)可靠性數(shù)據(jù)和操作模式，對安全儀表功能的危險失效概率或危險失效頻率進行計算，評定是否滿足目標(biāo)安全儀表的功能安全要求。這是保證必要的風(fēng)險降低和功能安全儀表功能安全的重要環(huán)節(jié)。同時，在SIS運行后，日常維護、修改管理、周期性檢驗測試、功能安全審計等也是功能安全的核心工作。

1.5 安全儀表系統(tǒng)相關(guān)術(shù)語

·安全儀表功能 （Safety Instrument Function，SIF）：具有特定SIL等級的，用于達到功能安全的安全儀表功能。

·故障（fault）：使功能單元執(zhí)行要求之功能的能力降低或失去其能力的異常狀況。

·失效（failure）：功能單元執(zhí)行一個要求功能之能力的終止。

圖4-3-2 安全生命周期工作流程圖

·危險失效（dangerous failure）：使安全相關(guān)系統(tǒng)處于潛在的危險或喪失功能狀態(tài)的失效。

·安全失效（safe failure）：不可能使安全相關(guān)系統(tǒng)處于潛在的危險或喪失功能狀態(tài)的失效。

·容錯（Fault Tolerance）：在出現(xiàn)故障或誤差的情況下，功能單元繼續(xù)執(zhí)行安全功能的能力。

·冗余（Redundancy）：使用多個元素和系統(tǒng)執(zhí)行同一個功能。

·表決（voting）：指冗余系統(tǒng)中用多數(shù)原則將每個支路的數(shù)據(jù)進行比較和修正，從而最后確定結(jié)論的一種機理。

·可用性（Availability）：系統(tǒng)可以使用工作時間的概率。

·可靠性（Reliability）：系統(tǒng)在規(guī)定時間間隔內(nèi)發(fā)生故障的概率。

·風(fēng)險（Risk）：發(fā)生傷害的可能性與這一傷害的嚴(yán)重性的組合。

·MTTF：平均無故障時間。

·MTTR：平均修復(fù)時間。

·MTBF：平均故障間隔時間。

2 安全儀表系統(tǒng)的分類及應(yīng)用

目前的流程工業(yè)領(lǐng)域?qū)Π踩珒x表系統(tǒng)非常重視，大部分裝置都使用了安全PLC系統(tǒng)，只有極個別的應(yīng)用因點數(shù)非常少或老裝置未改造，仍然使用繼電器聯(lián)鎖邏輯保護或固態(tài)電路系統(tǒng)。但就其功能和作用而言都屬于安全儀表系統(tǒng)。

2.1 繼電器控制系統(tǒng)

繼電器控制系統(tǒng)，其邏輯功能由傳統(tǒng)的繼電器來完成的，比如控制時間，就有相應(yīng)的時間繼電器。

繼電器的控制是采用硬件接線實現(xiàn)的，利用繼電器機械觸點的串聯(lián)或并聯(lián)及延時繼電器的滯后動作等組合形成控制邏輯，只能完成既定的邏輯控制，通過重新接線來重新編程。

繼電器控制系統(tǒng)在投運較早的老裝置中使用較為普遍。一般設(shè)置輔助操作面板，其中有重要的工藝參數(shù)指示和報警、手動停車及復(fù)位、投運按鈕等部分，而對于大型機組等設(shè)備運行狀況和保護，也引入主控制室顯示和報警，停車保護則一般采用設(shè)備自帶的特殊儀表系統(tǒng)來完成。

2.2 固態(tài)電路系統(tǒng)

采用模塊結(jié)構(gòu),采用獨立固態(tài)器件,通過硬接線來構(gòu)成系統(tǒng),實現(xiàn)邏輯功能，其特點是結(jié)構(gòu)緊湊,可進行在線測試,易于識別故障，易于更換和維護,可進行串行通信,可配置成冗余系統(tǒng)，但靈活性不夠,邏輯修改或擴展必須改變系統(tǒng)硬連線,大系統(tǒng)操作費用較高,可靠性不如繼電器系統(tǒng)。

2.3 可編程邏輯控制器（PLC）

可編程邏輯控制器（ P r o g r a m m a b l e L o g i cController，PLC），它采用一類可編程的存儲器，用于其內(nèi)部存儲程序，執(zhí)行邏輯運算、順序控制、定時、計數(shù)與算術(shù)操作等面向用戶的指令，并通過數(shù)字或模擬式輸入/輸出控制各種類型的機械或生產(chǎn)過程。

PLC的硬件結(jié)構(gòu)基本上與微型計算機相同，包括電源、中央處理單元（CPU）、存儲器、輸入輸出接口電路、功能模塊、通信模塊。其控制邏輯是以程序方式存儲在內(nèi)存中，要改變控制邏輯，只需改變程序即可。

隨著人們對安全認識的提高和產(chǎn)品技術(shù)的發(fā)展，經(jīng)過認證的安全PLC成為新建裝置中安全保護儀表系統(tǒng)的首選。通常根據(jù)其結(jié)構(gòu)形式的不同，主要有以下3種主流 CPU 結(jié)構(gòu)：

·冗余容錯自診斷結(jié)構(gòu)，即1002D 結(jié)構(gòu)（診斷率99.99%）。

·三重化表決冗余容錯自診斷結(jié)構(gòu)，即2003D 結(jié)構(gòu)（TMR 診斷率70%）。

·CPU 四重化冗余容錯自診斷結(jié)構(gòu)，即2004D 結(jié)構(gòu)（QMR診斷率99.99%）。

對于這3種不同的結(jié)構(gòu)，安全系統(tǒng)的性能是不同的。

對于第一種1002D的結(jié)構(gòu)，當(dāng)?shù)谝粋€CPU被診斷出故障時，該CPU被切除，另一個 CPU 繼續(xù)工作。若要應(yīng)用在AK6安全等級，根據(jù)AK6的要求，如果第一個CPU不能在其被診斷出故障后1小時內(nèi)修復(fù)，系統(tǒng)會在1小時后自動停車以保證故障安全。

對于第二種結(jié)構(gòu)，如美國TRICONEX公司的Tricon系統(tǒng)就是采用TMR 技術(shù)，它通過了TUV SIL3/AK6的等級認證，其CPU和I/O 卡件三重化冗余容錯設(shè)計，是基于高度穩(wěn)定的硬件基礎(chǔ)上。

對于第三種結(jié)構(gòu)，如德國HIMA公司的PES，4個CPU分成兩對，既同時工作又相互獨立。當(dāng)其中一個CPU被診斷出故障時，則該對CPU被切除，所剩一對CPU繼續(xù)以1002D的模式工作。這對獨立工作的CPU仍滿足安全等級AK6（SIL3）的要求。只有當(dāng)這對CPU其中再有一個故障時，系統(tǒng)才考慮停車。所以，此結(jié)構(gòu)對于故障修復(fù)時間沒有限制。

2.4 主要安全PLC系統(tǒng)

在國內(nèi)石化行業(yè)中應(yīng)用的SIS產(chǎn)品中，經(jīng)過TUV認證的主要有：

·Tricon、Triden，美國TRICONEX公司開發(fā)用于壓縮機綜合控制（ITCC）、緊急停車系統(tǒng)和FGS火氣報警系統(tǒng)。安全等級為AK6（SIL3）。

·FSC（Fail safe control），Honeywell公司SIS系統(tǒng)。安全等級可達AK6（SIL3）。

·德國HIMA公司的H41q和H51q系統(tǒng)，具有TUVAK1~AK6級認證。

· Prosafe-RS，橫河電機安全儀表系統(tǒng)，具有TUVAK1~6級認證。

· S I M A T I C S 7 - 4 0 0 F / F H ， 德國S I E M E N S 公司產(chǎn)品， 取得T U V 認證， 安全等級為A K 1 ~ A K 6（SIL1~SIL3）。

·Regent Trusted，美國ICS 安全系統(tǒng)。安全等級AK4~AK6（SIL2~SIL3）。

·GMR90-70，美國GE Fanuc公司系統(tǒng)。

2.5 安全儀表系統(tǒng)應(yīng)用領(lǐng)域

安全儀表系統(tǒng)用于保護各類生產(chǎn)過程中人身、設(shè)備、財產(chǎn)和環(huán)境的安全，主要應(yīng)用領(lǐng)域有：

·石油化工裝置

·化工裝置

·石油液化氣開采（平臺）、油氣輸送和存儲

·電力、鍋爐、核電

·交通、冶金、環(huán)保、汽車制造

·大型機械、旋轉(zhuǎn)設(shè)備

3.安全儀表系統(tǒng)的相關(guān)標(biāo)準(zhǔn)和認證

3.1 國外相關(guān)標(biāo)準(zhǔn)

·1984年，TUV可編程電子PES指南（指導(dǎo)手冊）。

·1989年， DIN V 19250/VDE V 0801。

DIN V 19250《控制技術(shù)：測量和控制設(shè)備應(yīng)考慮的基本安全原則》，世界上第一個過程工業(yè)安全設(shè)備分級標(biāo)準(zhǔn)AK1-8。

DIN V VDE V 0801《計算機在安全相關(guān)系統(tǒng)中的原理》，功能安全的概念也由此產(chǎn)生。提供了可編程電子系統(tǒng)能夠滿足DIN V 19250級別的方法。

·1994年，DIN V 19250/VDE V 0801。

·1996年，ANSI/ISA- 84.01-1996安全儀表系統(tǒng)在過程工業(yè)中的應(yīng)用，安全完整性等級SIL+安全生命周期SLC。

·1998年，IEC61508《電氣電子可編程電子安全相關(guān)系統(tǒng)的功能安全》于1998年發(fā)布其第1、3、4和第5部分，2000年發(fā)布其第2、6和第7部分。

·2003年，IEC61511《過程工業(yè)領(lǐng)域安全儀表系統(tǒng)的功能安全》過程工業(yè)領(lǐng)域分支標(biāo)準(zhǔn)發(fā)布。

·2004年，EN IEC61511（CENELEC）歐洲電氣技術(shù)標(biāo)準(zhǔn)化委員會將IEC61511接納為歐洲標(biāo)準(zhǔn)。

·2004年，ANSI/ISA- 84.00.01-2004（IEC61511Modified），完全取代了ANSI/ISA- 84.01-1996。

3.2 國內(nèi)相關(guān)標(biāo)準(zhǔn)

·1999年，SHB-Z06-1999《石油化工緊急停車及安全聯(lián)鎖系統(tǒng)設(shè)計導(dǎo)則》，采用了IEC標(biāo)準(zhǔn)中的一些理念。

·2003年，SY/T10045-2003《工業(yè)過程中安全儀表系統(tǒng)的應(yīng)用》國家經(jīng)濟。貿(mào)易委員會發(fā)布，作為天然氣行業(yè)標(biāo)準(zhǔn)。等同采用ISA- 84.01-1996。

·2004年，SH/T3012-2003《石油化工安全儀表系統(tǒng)設(shè)計規(guī)范》，國家發(fā)改委頒布實施了石油化工行業(yè)標(biāo)準(zhǔn)。

·2006年，GB/T20438.1-2006《電氣/電子/可編程電子安全相關(guān)系統(tǒng)功能安全》，等同IEC 61508， 推薦實施標(biāo)準(zhǔn)。

·2007年，GB/T21109.1-2007《過程工業(yè)領(lǐng)域安全儀表系統(tǒng)的功能安全》，等同IEC 61511， 推薦實施標(biāo)準(zhǔn)。

·2010年，系統(tǒng)及功能分技術(shù)委員會SAC/TC124/SA10正式成立。

·2013年，國家標(biāo)準(zhǔn)《油氣管道安全儀表系統(tǒng)的功能安全》草案正在修改過程中。

·2013年，國家標(biāo)準(zhǔn)，GB-T50770-2013《石油化工安全儀表系統(tǒng)設(shè)計規(guī)范》，正式發(fā)布、取代原SH/T3012-2003標(biāo)準(zhǔn)。

3.3 SIS相關(guān)認證

涉及產(chǎn)品安全認證，主要有TUV、CB、CCC、UL、FCC、CSA及北歐4國認證等，使用最多并得到廣泛認可的是TUV-GS認證，GS的參考標(biāo)準(zhǔn)是VDE和DIN（德國標(biāo)準(zhǔn)協(xié)會）標(biāo)準(zhǔn)，如果產(chǎn)品具有GS標(biāo)志，代表該產(chǎn)品符合最新的歐洲和德國標(biāo)準(zhǔn)。GS的含義是德語“Geprufte Sicherheit”（安全性已認證），也有

“Germany Safety”（德國安全）的意思。德國萊茵公司技術(shù)監(jiān)督公司（TUV）是德國最大的產(chǎn)品安全及質(zhì)量認證機構(gòu)，在歐洲久享盛譽。設(shè)有該機構(gòu)分公司的國家和地區(qū)可以方便地申請GS標(biāo)志及其他國家的安全認證。

目前市場上SIS產(chǎn)品也以通過TUV認證居多，通過認證的每種產(chǎn)品都有達到AK1-AK8 安全等級的具體說明，用戶可根據(jù)過程的具體需要配置相應(yīng)等級的SIS產(chǎn)品。

4. 安全儀表系統(tǒng)的特點及作用

4.1 安全儀表系統(tǒng)的特點

SIS能夠檢測潛在的危險故障，具有高安全性。

SIS需符合國際安全標(biāo)準(zhǔn)規(guī)定的儀表安全標(biāo)準(zhǔn)，從系統(tǒng)開發(fā)階段開始，要接受第三方認證機構(gòu)的審查，取得認證資格，系統(tǒng)方可投入實際運行。

·SIS自診斷覆蓋率大，診斷覆蓋率是指可在線診斷出的故障系統(tǒng)全部故障的百分?jǐn)?shù)。

·SIS由采取冗余邏輯表決方式的輸入單元、邏輯結(jié)構(gòu)單元、輸出單元3部分組成系統(tǒng)，邏輯表決的應(yīng)用程序修改容易，特別是可編程型SIS，根據(jù)工程實際修改軟件即可。

·SIS設(shè)計特別重視從傳感器到最終執(zhí)行機構(gòu)所組成的回路整體的安全性保證，具有I/O斷線、短路等的監(jiān)測功能。

4.2 安全儀表系統(tǒng)與DCS系統(tǒng)功能區(qū)別

從控制系統(tǒng)本身運行模式來看，DCS是“動態(tài)”系統(tǒng)，它始終對過程變量連續(xù)進行檢測、運算和控制，對生產(chǎn)過程進行動態(tài)控制，確保產(chǎn)品的質(zhì)量和產(chǎn)量；SIS是“靜態(tài)”系統(tǒng)，正常工況時，它始終監(jiān)視生產(chǎn)裝置的運行，系統(tǒng)輸出不變，對生產(chǎn)過程不產(chǎn)生影響，非正常工況下時，它將按照預(yù)先的設(shè)計進行邏輯運算，使生產(chǎn)裝置安全聯(lián)鎖或停車。

從控制系統(tǒng)的作用來看，DCS用于生產(chǎn)過程的連續(xù)測量、常規(guī)控制（連續(xù)、順序、間歇等）、操作控制管理，保證生產(chǎn)裝置的平穩(wěn)運行；SIS用于監(jiān)視生產(chǎn)裝置的運行狀況，對出現(xiàn)異常工況迅速進行處理，使危害降到最低，使人員和生產(chǎn)裝置處于安全狀態(tài)。

圖4-3-3 運用安全系統(tǒng)規(guī)避風(fēng)險和危險

從控制系統(tǒng)本身的安全可靠性來看，SIS比DCS在可靠性、可用性上要求更嚴(yán)格。

4.3 安全儀表系統(tǒng)的作用于地位

在流程工業(yè)生產(chǎn)運行過程中，DCS、SIS、FGS的系統(tǒng)共同構(gòu)成一整套完整的自動控制與安全保護系統(tǒng)，他們的作用相輔相成、又相對獨立。

DCS作為基本過程控制系統(tǒng)，主要對生產(chǎn)指標(biāo)進行實時連續(xù)的監(jiān)控和調(diào)節(jié)，同時，DCS也對工藝風(fēng)險起到了第一道防護和報警提示的作用；SIS系統(tǒng)對工藝風(fēng)險起到了第二道防護作用，其結(jié)果是安全聯(lián)鎖停車，使工藝裝置回到安全狀態(tài)，避免事故的發(fā)生；FGS的作用降低事故發(fā)生后的危害程度。

圖4-3-4表示了他們之間的關(guān)系；所以IEC61508、IEC61511、ISA S84.01、GB-T50770-2013《石油化工安全儀表系統(tǒng)設(shè)計規(guī)范》等標(biāo)準(zhǔn)強烈推薦SIS與DCS硬件獨立設(shè)置。

圖4-3-4 安全儀表系統(tǒng)的獨立保護層

5 安全儀表系統(tǒng)選型注意事項

隨著技術(shù)的進步，為提高產(chǎn)能，石化工業(yè)向大型聯(lián)合裝置一體化控制和長周期運行方向發(fā)展，這將對裝置中運行的設(shè)備以及裝置的安全保護功能提出更高的要求，特別對傳統(tǒng)的安全儀表設(shè)計理念提出挑戰(zhàn)，在傳統(tǒng)的安全儀表設(shè)計中人們最容易犯的錯誤是“或左”、

“或右”、“或片面”。如：

·為降低初期投資，不重視安全儀表系統(tǒng)。

·片面提高系統(tǒng)的SIL功能安全等級，疏忽了系統(tǒng)的可用性要求。

·片面要求控制器部分，疏忽了現(xiàn)場測量和執(zhí)行部分的設(shè)計選型。

·片面要求安全儀表系統(tǒng)本身的功能，疏忽了安全生命周期其他各階段工作的重要性，如先期的HAZOP、安全需求設(shè)計規(guī)則（SRS）和后期的操作維護管理規(guī)范。

·片面看重硬件，疏忽項目管理和執(zhí)行，包括各階段的審查工作和人員資質(zhì)要求。

綜上所述，為適應(yīng)大型化、一體化和長周期安全穩(wěn)定運行的需要，特提出以下幾方面的選型設(shè)計要點，希望引起大家的重視。

5.1 堅持功能安全第一的設(shè)計理念

在安全儀表系統(tǒng)設(shè)計過程中，始終銘記合理有效降低風(fēng)險的設(shè)計理念，遵循IEC 61511獨立保護層（IPL）安全規(guī)范要求，保證安全儀表系統(tǒng)的獨立設(shè)置。

人們很容易混淆的概念是“只有安全儀表系統(tǒng)才起安全保護作用”，實際上在IEC61511標(biāo)準(zhǔn)中描述了獨立保護層（IPL）的概念，在有效降低風(fēng)險的計算過程中，每個安全相關(guān)的保護層都起到了一定的作用，這樣才會使總的PFDavg達到要求的目標(biāo)值，如果把SIS和DCS合用一套系統(tǒng)實現(xiàn)，將會出現(xiàn)如下風(fēng)險：

·違反IEC61511獨立保護層的規(guī)范。

·原來系統(tǒng)有效的PFDavg值將會相對增大，這樣會降低系統(tǒng)的SIL等級。

·SIS與DCS合用，將會在產(chǎn)品設(shè)計階段帶來共同原因故障，降低了產(chǎn)品的SIL安全等級。

5.2 統(tǒng)籌考慮完整的安全儀表回路設(shè)計

在SIS系統(tǒng)設(shè)計選型時，很容易只要求控制器部分的安全性，忽略了現(xiàn)場儀表的安全要求，實際上安全儀表系統(tǒng)包括了測量單元、邏輯控制單元和執(zhí)行單元，安全儀表回路的SIL等級要求是指從測量到邏輯控制和控制閥執(zhí)行整個回路的故障失效率。實際上，就整個安全回路來看，由于測量現(xiàn)場測量和執(zhí)行單元故障可能導(dǎo)致的危險在90%以上，控制器本身故障可能導(dǎo)致的危險不到10%。

5.3 采用冗余容錯技術(shù)，兼顧和提高安全儀表系統(tǒng)的可用性

因為大部分流程工業(yè)，如乙烯等石化裝置多是高風(fēng)險易燃易爆的連續(xù)生產(chǎn)裝置，要求安全儀表系統(tǒng)有很高的安全等級-SIL3。同時這類裝置的生產(chǎn)效益極高，如果由于儀表系統(tǒng)誤停車，將給生產(chǎn)企業(yè)帶來很大的經(jīng)濟損失，同時由于誤停車導(dǎo)致的裝置不穩(wěn)定，從而引起工藝氣放火炬燃燒，會給環(huán)境帶來污染。也無從談起長周期運行。

比如，用1oo1D的結(jié)構(gòu)也可達到SIL3等級，但可用性低，不適于高經(jīng)濟效益的裝置。

圖4-3-5

5.4 保持安全等級不下降，考慮系統(tǒng)的在線可維護性

為適應(yīng)裝置的長周期運行，在生產(chǎn)過程中必然要對系統(tǒng)進行必要的維護保養(yǎng)工作。那么，系統(tǒng)是否可以在線維護就顯得非常重要，而且維護的方便性也非常重要，因為在維護過程中由于人為失誤引起的誤停車概率也是非常大的，所以，在系統(tǒng)在線維護時，盡可能不動外圍用戶接線端子是最安全的方式。在線維護可能的工作包括以下事項：

·控制系統(tǒng)部件的在線維修、更換。

·控制系統(tǒng)軟件的在線修改下裝。

·執(zhí)行單元的在線維修、更換，選用SIL3等級的冗余安全電磁閥。

·現(xiàn)場變送器選用2003表決方式，一般情況下，一個變速器達不到安全要求，兩個串聯(lián)時可用性降低，所以2003是最適合的方式。

5.5 保持安全等級不下降，使用在線測試技術(shù)

在裝置的長周期運行過程中，要保證高安全等級要求的回路等級始終滿足要求，就要從技術(shù)手段上采取措施，最常用的手段就是在線回路測試。

比如，對SIL3等級要求的回路，在安全停車閥的設(shè)計中，由于兩個以上的閥門串聯(lián)設(shè)計費用很高，所以一般采用一個閥門，通過定期自動測試的原理來提高閥門的安全等級；對于測量變送器，通常采用2003的方式，這樣在運行中可以拿出來其中的一個變送器進行校驗測試。

5.6 重視整個安全生命周期內(nèi)的HAZOP、設(shè)計、實施、維護規(guī)范

請記住，系統(tǒng)故障風(fēng)險不只是來自系統(tǒng)硬件和軟件本身，還包括由于設(shè)計和管理的不完善帶來的風(fēng)險：

·不重視HAZOP分析，可能把安全等級的要求降低，從而給將來長周期運行帶來風(fēng)險。

·不重視HAZOP分析，漏掉了某些安全儀表功能，那么，系統(tǒng)再安全可靠都無濟于事。

·不重視安全需求設(shè)計，比如系統(tǒng)供電、接地設(shè)計，那么一旦外部原因故障，系統(tǒng)再安全可靠都無濟于事。

·不重視安全需求設(shè)計，比如LDPE等裝置的快速響應(yīng)要求，如果系統(tǒng)的響應(yīng)時間大于過程安全時間，那么系統(tǒng)再安全可靠都無濟于事。

·不重視操作維護管理，比如儀表維護開關(guān)使用的確認，很容易引起人為停車或安全隱患。

·有利于降低系統(tǒng)失效的概論（ S y s t e m a t i cFailures）。

5.7 要有專業(yè)的團隊負責(zé)整個項目的管理和實施

根據(jù)IEC 61511 -1， 5.2.2 和IEC61508-1，6.2.1 中的規(guī)范要求， 從事安全生命周期各階段工作的個人、部門和團組應(yīng)該具備相應(yīng)的能力、工程經(jīng)驗、安全知識并經(jīng)過專業(yè)的培訓(xùn)。

6 安全儀表系統(tǒng)的設(shè)計原則

安全儀表回路的設(shè)計選型要從測量單元、邏輯控制單元和執(zhí)行單元綜合考慮，在整個選型設(shè)計過程中既要滿足安全儀表功能的安全等級要求，又不要過度設(shè)計，以免過度增成本投入。所以，系統(tǒng)選型設(shè)計要根據(jù)工藝裝置的特點和用戶實際需求綜合考慮。

以下參考最新國家標(biāo)準(zhǔn)，GB-T50770-2013《石油化工安全儀表系統(tǒng)設(shè)計規(guī)范》簡要介紹一下SIS各單元的設(shè)計原則。

6.1 安全儀表系統(tǒng)設(shè)計的基本原則

·獨立設(shè)置原則：一般情況下，SIS應(yīng)獨立于過程控制系統(tǒng)，其檢測元件、 執(zhí)行元件和邏輯運算器及通信部分都應(yīng)單獨設(shè)置。對于不能單獨設(shè)置的SIS系統(tǒng)要確保SIS作用優(yōu)先于過程控制系統(tǒng)。1級SIS邏輯運算器宜與DCS分開；2級SIS邏輯運算器應(yīng)與DCS分開；3級SIS邏輯運算器必須與DCS分開。

·冗余設(shè)置原則：1級SIS可采用單一的邏輯運算器；2級SIS宜采用冗余或容錯邏輯運算器，其中CPU電源單元，通信單元應(yīng)冗余配置，I/O模件宜冗余配置；

3級SIS應(yīng)采用冗余容錯邏輯運算器；其中CPU電源單元，通信單元，I/O模件應(yīng)冗余配置。

·結(jié)構(gòu)選用原則：冗余結(jié)構(gòu)既適用于軟件又適用于硬件，可選用一選一、 二選一、三選二等結(jié)構(gòu)，同時要考慮是勵磁停車還是非勵磁停車。

·選擇采用技術(shù)的原則：可采用電氣、電子或可編程電子技術(shù)，也可以采用由它們組合的混合技術(shù)。

·故障安全型原則：SIS 系統(tǒng)應(yīng)是故障安全型的，即在系統(tǒng)故障時應(yīng)保證過程是安全或趨于安全的狀態(tài)。

·中間環(huán)節(jié)最少原則：SIS的中間環(huán)節(jié)應(yīng)是最少的。

6.2 測量儀表的選型

·測量儀表是安全儀表系統(tǒng)的組成部分。測量儀表包括模擬量和開關(guān)量測量儀表兩種。安全儀表系統(tǒng)宜采用模擬量測量儀表。

·測量儀表宜采用4~20mA疊加HART傳輸信號的智能變送器。

·在爆炸危險場所， 測量儀表應(yīng)采用隔爆型（Ex d）或本安型（Ex i）；當(dāng)采用本安型時，應(yīng)采用隔離式安全柵。

·現(xiàn)場安裝的測量儀表，防護等級應(yīng)不低于IP65。

·測量儀表不應(yīng)采用現(xiàn)場總線或其他通信方式作為安全儀表系統(tǒng)的輸入信號。

·測量儀表及取源點宜獨立設(shè)置。

6.3 邏輯控制器的選型

·邏輯控制器是安全儀表系統(tǒng)的組成部分。邏輯控制器應(yīng)由可編程電子系統(tǒng)或繼電器系統(tǒng)構(gòu)成,也可混合構(gòu)成。

·邏輯控制器應(yīng)采用國家權(quán)威機構(gòu)功能安全認證的可編程電子系統(tǒng)。

·對于輸入輸出點數(shù)較少、邏輯功能簡單的場合，邏輯控制器可采用繼電器系統(tǒng)。

·邏輯控制器的響應(yīng)時間包括輸入輸出掃描處理時間與中央處理單元運算時間，一般為100～300ms。

·邏輯控制器的中央處理單元負荷不應(yīng)超過50%。

·邏輯控制器的內(nèi)部通信負荷不應(yīng)超過50%，采用以太網(wǎng)的通信負荷不應(yīng)超過20%。

6.4 最終元件的選型

·最終元件是安全儀表系統(tǒng)的組成部分。最終元件包括控制閥（調(diào)節(jié)閥、切斷閥）、電磁閥、電機等。

·安全儀表系統(tǒng)的最終元件宜采用氣動控制閥，不宜采用電動控制閥。

7 安全儀表系統(tǒng)發(fā)展現(xiàn)狀及趨勢

安全儀表系統(tǒng)的發(fā)展就控制系統(tǒng)本身的類型來看，經(jīng)歷了繼電器=PLC=新建的有安全SIL等級要求的工藝生產(chǎn)裝置都使用了經(jīng)過安全認證的PLC系統(tǒng)。對SIL 3等級的回路，如需要中間繼電器，該繼電器一般也要求有安全認證。

安全儀表系統(tǒng)的應(yīng)用領(lǐng)域也越來越廣，從國際和國內(nèi)來看，人們對安全和環(huán)保的認識不斷提高，所以對安全保護相關(guān)設(shè)備的要求也不斷提高。目前，安全儀表系統(tǒng)在油氣開采、油氣運輸、各種石油化工裝置、電力、鍋爐、核電、交通、冶金、環(huán)保、汽車制造、大型機械等工業(yè)領(lǐng)域都是必須配置的系統(tǒng)。

安全儀表系統(tǒng)就其功能設(shè)置的要求也越來也嚴(yán)格，比如，早期的安全聯(lián)鎖系統(tǒng)可能會用DCS系統(tǒng)來實現(xiàn)部分聯(lián)鎖回路功能，隨著IEC等國際標(biāo)準(zhǔn)在國內(nèi)的應(yīng)用推廣，人們從理論層面對安全標(biāo)準(zhǔn)的認識和理解提高一大步，另一方面，人們從以往裝置事故中的慘痛教訓(xùn)引出經(jīng)驗，安全儀表系統(tǒng)不但要上，而且應(yīng)把安全儀表系統(tǒng)和DCS系統(tǒng)從軟硬件功能上獨立設(shè)置。

安全儀表系統(tǒng)就其功能范圍及名詞定義上也不斷地規(guī)范, 以下是我們經(jīng)常遇到的有關(guān)安全儀表系統(tǒng)功能的各種名稱解釋。

·安全儀表系統(tǒng)（Safety Instrument System—SIS）。

·儀表保護系統(tǒng)（Instrument Protective System—IPS）。

·透平壓縮機集成控制系統(tǒng)（Integrated Turbo &Compressor Control System—ITCC）。

·火災(zāi)及氣體檢測系統(tǒng)（Fire and Gas System—FGS）。

·緊急停車系統(tǒng)（Emergency Shutdown Device—ESD）。

·燃燒管理系統(tǒng)（Burner Management System—BMS）。

·高完整性壓力保護系統(tǒng)（High Integrity PressureProtection System,HIPPS）。

就目前安全儀表的名詞解釋中，SIS應(yīng)該是目前最標(biāo)準(zhǔn)的一種說法，從發(fā)展趨勢的角度可以看出，SIS名詞的應(yīng)用實際上是對安全儀表系統(tǒng)相關(guān)工作內(nèi)容或范疇要求的更加全面系統(tǒng)，從只重視安全儀表系統(tǒng)控制器本身的性能，轉(zhuǎn)變?yōu)橹匾暟踩芷谌^程中各階段的工作，從工藝裝置的HAZOP、安全儀表回路的設(shè)計、安裝、調(diào)試及操作維護等方面的工作都非常重要。