有一种观点认为，根据GB/T50770-2013，SIL1的联锁可以在DCS中实现，SIL2及以上的联锁必须在SIS中实现。

笔者的观点如下。问题讨论中的观点可能是基于GB/T50770-2013，8.2条款。

GB/T 50770-2013石油化工安全仪表系统设计规范原文：
8.2 逻辑控制器的独立设置
8. 2.1 SIL1级安全仪表功能，逻辑控制器宜与基本过程控制系统分开。
8. 2.2 SIL2级安全仪表功能，逻辑控制器应与基本过程控制系统分开。
8. 2.3 SIL3级安全仪表功能，逻辑控制器应与基本过程控制系统分开。

其实，根据GB/T50770-2013，8.2条款，并不能得出“SIL1的联锁可以在DCS中实现，SIL2及以上的联锁必须在SIS中实现”。

根据8.2.1，SIL1级安全仪表功能，并没有要求逻辑控制器一定与基本过程控制系统分开，但是，如果不分开，不是采用DCS，而应采用SIS。这一点，可以从GB/T 50770-2013的5.0.10和条文说明2.1.19得到印证。

GB/T 50770-2013相关条款摘录：
5.0.8 安全仪表系统应独立于基本过程控制系统，并应独立完成安全仪表功能。
5.0.9 安全仪表系统不应介入或取代基本过程控制系统的工作。
5.0.10 基本过程控制系统不应介入安全仪表系统的运行或逻辑运算。
条文说明，2.1.19 基本过程控制系统不应执行SIL1、SIL2、SIL3的安全仪表功能。

GB/T 50770-2013存在的问题
8. 2.1 SIL1级安全仪表功能，逻辑控制器宜与基本过程控制系统分开。
5.0.8 安全仪表系统应独立于基本过程控制系统，并应独立完成安全仪表功能。
5.0.9 安全仪表系统不应介入或取代基本过程控制系统的工作。

以上，8.2.1和5.0.8、5.0.9是矛盾的。

为此，GB/T50770-2013(局部修订)进行了如下修改：
8.2.1 SIL1级安全仪表功能，逻辑控制器应与基本过程控制系统分开。
5.0.8 安全仪表系统应独立于基本过程控制系统，并应独立完成安全仪表功能。
5.0.9 当安全仪表系统与基本过程控制系统或其他控制系统有共用设备时，安全仪表系统应具有优先权，基本过程控制系统或其他控制系统的失效或指令不应影响安全仪表系统的功能安全，不应降低安全仪表功能的目标安全完整性等级。
5.0.10基本过程控制系统不应执行SIL1、SIL2、SIL3级的安全仪表功能。

GB/T21109.1-2022过程工业领域安全仪表系统的功能安全第1部分：框架、定义、系统、硬件和应用编程要求
9.3 基本过程控制系统作为保护层的要求
9.3.2 BPCS保护层声明的风险降低应≤10。
9.3.3 如果BPCS声明风险降低大于10，则应按IEC61511中的要求对BPCS进行设计和管理。

笔者观点，如果DCS按IEC61511中的要求对BPCS进行设计和管理，也就相当于事实意义上的SIS了。

总结，笔者观点，不论根据GB/T50770-2013，还是GB/T50770-2013(局部修订)，SIL1、SL2及以上的联锁应在SIS中实现，均不应在DCS中实现。

作者：范咏峰

◆
◆
◆