1. 安全仪表系统的定义及相关概念

　　1.1 安全仪表系统的定义安全仪表系统(Safety Instrument System，SIS)是用来实现一个和多个安全仪表功能的控制系统。安全仪表系统的设计是为了应对生产过程中本身发生的危险情况，在工艺生产过程或生产装置中发现潜在的危险工况或出现各种危险条件，安全仪表系统必须按照预先设定的程序，及时输出安全保护指令，使工艺过程或生产装置回到安全状态，以防止任何危险的发生或减轻事故后果，最终保证人员、设备和环境的安全。

　　1.2 安全仪表系统的构成安全仪表系统主要包括测量单元、逻辑控制单元和执行单元，再配合相应的软件组成。通常与基本过程控制系统(如：DCS系统)有通讯要求，共同组成生产装置的过程仪表控制系统。其故障失效率的计算方法如下：

　　1.3 安全完整性等级(safety integrity level，SIL)安全完整性等级是一种国际通用的“标准语言”，目的是用一种简单的方法来划分工艺装置中每个安全仪表回路的安全等级要求。是sis系统设计中必须遵从的一个重要安全指标。

　　依据IEC标准由低到高划分为SIL1-SIL4， ISA 84.01标准划分为SIL1-SIL3，DIN V VDE0804标准由低到高划分为AK1-AI8，它们之间的对应关系如下。

　　安全完整性等级

　　1.4 安全生命周期安全仪表系统的安全生命周期也是一个非常重要的概念，要保证工艺装置的安全生产运行，不但要选择合适的控制系统，而且对工艺过程的风险评估、安全回路等级划分和控制系统的维护管理也非常重要。

　　SIS系统的整个安全生命周期可分为分析、工程实施及操作维护3大阶段。在分析阶段，要辨识工艺过程的潜在危险，并对其后果和可能性进行分析，以便确定过程风险及必要的风险降低要求。工程实施阶段主要完成SIS的工程设计、仪表选型，安全逻辑控制器的硬件配置、软件组态以及系统集成，完成操作和维护人员的培训，完成SIS的安装和调试，以及SIS的安全验证。操作维护阶段在整个安全生命周期中时间区间最长，包括操作和维护、修改和SIS的停用。

　　在sis系统设计选型后，要根据可靠性数据和操作模式，对安全仪表功能的危险失效概率或危险失效频率进行计算，评定是否满足目标安全仪表的功能安全要求。这是保证必要的风险降低和功能安全仪表功能安全的重要环节。同时，在SIS运行后，日常维护、修改管理、周期性检验测试、功能安全审计等也是功能安全的核心工作。

　　1.5 安全仪表系统相关术语·安全仪表功能 (Safety Instrument Function，SIF)：具有特定SIL等级的，用于达到功能安全的安全仪表功能。

　　·故障(fault)：使功能单元执行要求之功能的能力降低或失去其能力的异常状况。

　　·失效(failure)：功能单元执行一个要求功能之能力的终止。

　　安全生命周期工作流程

　　危险失效(dangerous failure)：使安全相关系统处于潜在的危险或丧失功能状态的失效。

　　安全失效(safe failure)：不可能使安全相关系统处于潜在的危险或丧失功能状态的失效。

　　容错(Fault Tolerance)：在出现故障或误差的情况下，功能单元继续执行安全功能的能力。

　　冗余(Redundancy)：使用多个元素和系统执行同一个功能。

　　表决(voting)：指冗余系统中用多数原则将每个支路的数据进行比较和修正，从而最后确定结论的一种机理。

　　可用性(Availability)：系统可以使用工作时间的概率。

　　可靠性(Reliability)：系统在规定时间间隔内发生故障的概率。

　　风险(Risk)：发生伤害的可能性与这一伤害的严重性的组合。

　　MTTF：平均时间。

　　MTTR：平均修复时间。

　　MTBF：平均故障间隔时间。

　　2 安全仪表系统的分类及应用

　　目前的流程工业领域对安全仪表系统非常重视，大部分装置都使用了安全PLC系统，只有极个别的应用因点数非常少或老装置未改造，仍然使用继电器联锁逻辑保护或固态电路系统。但就其功能和作用而言都属于安全仪表系统。

　　2.1 继电器控制系统继电器控制系统，其逻辑功能由传统的继电器来完成的，比如控制时间，就有相应的时间继电器。

　　继电器的控制是采用硬件接线实现的，利用继电器机械触点的串联或并联及延时继电器的滞后动作等组合形成控制逻辑，只能完成既定的逻辑控制，通过重新接线来重新编程。

　　继电器控制系统在投运较早的老装置中使用较为普遍。一般设置辅助操作面板，其中有重要的工艺参数指示和报警、手动停车及复位、投运按钮等部分，而对于大型机组等设备运行状况和保护，也引入主控制室显示和报警，停车保护则一般采用设备自带的特殊仪表系统来完成。

　　2.2 固态电路系统采用模块结构,采用独立固态器件,通过硬接线来构成系统,实现逻辑功能，其特点是结构紧凑,可进行在线测试,易于识别故障，易于更换和维护,可进行串行通信,可配置成冗余系统，但灵活性不够,逻辑修改或扩展必须改变系统硬连线,大系统操作费用较高,可靠性不如继电器系统。

　　2.3 可编程逻辑控制器(PLC)可编程逻辑控制器( P r o g r a m m a b l e L o g i c Controller，PLC)，它采用一类可编程的存储器，用于其内部存储程序，执行逻辑运算、顺序控制、定时、计数与算术操作等面向用户的指令，并通过数字或模拟式输入/输出控制各种类型的机械或生产过程。

　　PLC的硬件结构基本上与微型计算机相同，包括电源、处理单元(CPU)、存储器、输入输出接口电路、功能模块、通信模块。其控制逻辑是以程序方式存储在内存中，要改变控制逻辑，只需改变程序即可。

　　随着人们对安全认识的提高和产品技术的发展，经过认证的安全PLC成为新建装置中安全保护仪表系统的。通常根据其结构形式的不同，主要有以下3种主流 CPU 结构：

　　冗余容错自诊断结构，即1002D 结构(诊断率99.99%)。

　　三重化表决冗余容错自诊断结构，即2003D 结构(TMR 诊断率70%)。

　　CPU 四重化冗余容错自诊断结构，即2004D 结构(QMR诊断率99.99%)。

　　对于这3种不同的结构，安全系统的性能是不同的。

　　对于种1002D的结构，当个CPU被诊断出故障时，该CPU被切除，另一个 CPU 继续工作。若要应用在AK6安全等级，根据AK6的要求，如果个CPU不能在其被诊断出故障后1小时内修复，系统会在1小时后自动停车以保证故障安全。

　　对于第二种结构，如美国TRICONEX公司的Tricon系统就是采用TMR 技术，它通过了TUV SIL3/AK6的等级认证，其CPU和I/O 卡件三重化冗余容错设计，是基于高度稳定的硬件基础上。

　　对于第三种结构，如德国HIMA公司的PES，4个CPU分成两对，既同时工作又相互独立。当其中一个CPU被诊断出故障时，则该对CPU被切除，所剩一对CPU继续以1002D的模式工作。这对独立工作的CPU仍满足安全等级AK6(SIL3)的要求。只有当这对CPU其中再有一个故障时，系统才考虑停车。所以，此结构对于故障修复时间没有限制。

　　2.4 主要安全PLC系统在国内石化行业中应用的SIS产品中，经过TUV认证的主要有：

　　Tricon、Triden，美国TRICONEX公司开发用于压缩机综合控制(ITCC)、紧急停车系统和FGS火气报警系统。安全等级为AK6(SIL3)。

　　FSC(Fail safe control)，Honeywell公司sis系统。安全等级可达AK6(SIL3)。

　　德国HIMA公司的H41q和H51q系统，具有TUVAK1~AK6级认证。

　　Prosafe-RS，横河电机安全仪表系统，具有TUVAK1~6级认证。

　　S I M A T I C S 7 - 4 0 0 F / F H ， 德国S I E M E N S 公司产品， 取得T U V 认证， 安全等级为A K 1 ~ A K 6(SIL1~SIL3)。

　　Regent Trusted，美国ICS 安全系统。安全等级AK4~AK6(SIL2~SIL3)。

　　GMR90-70，美国GE Fanuc公司系统。

　　2.5 安全仪表系统应用领域安全仪表系统用于保护各类生产过程中人身、设备、财产和环境的安全，主要应用领域有：

　　石油化工装置

　　化工装置

　　石油液化气开采(平台)、油气输送和存储

　　电力、锅炉、核电

　　交通、冶金、环保、汽车制造

　　大型机械、旋转设备

　　3.安全仪表系统的相关标准和认证

　　3.1 国外相关标准1984年，TUV可编程电子PES指南(指导手册)。

　　1989年， DIN V 19250/VDE V 0801。

　　DIN V 19250《控制技术：测量和控制设备应考虑的基本安全原则》，一个过程工业安全设备分级标准AK1-8。

　　DIN V VDE V 0801《计算机在安全相关系统中的原理》，功能安全的概念也由此产生。提供了可编程电子系统能够满足DIN V 19250级别的方法。

　　1994年，DIN V 19250/VDE V 0801。

　　1996年，ANSI/ISA- 84.01-1996安全仪表系统在过程工业中的应用，安全完整性等级SIL+安全生命周期SLC。

　　1998年，IEC61508《电气\电子\可编程电子安全相关系统的功能安全》于1998年发布其第1、3、4和第5部分，2000年发布其第2、6和第7部分。

　　2003年，IEC61511《过程工业领域安全仪表系统的功能安全》过程工业领域分支标准发布。

　　2004年，EN IEC61511(CENELEC)欧洲电气技术标准化委员会将IEC61511接纳为欧洲标准。

　　2004年，ANSI/ISA- 84.00.01-2004(IEC61511Modified)，取代了ANSI/ISA- 84.01-1996。

　　3.2 国内相关标准1999年，SHB-Z06-1999《石油化工紧急停车及安全联锁系统设计导则》，采用了IEC标准中的一些理念。

　　2003年，SY/T10045-2003《工业过程中安全仪表系统的应用》国家经济。贸易委员会发布，作为天然气行业标准。等同采用ISA- 84.01-1996。

　　2004年，SH/T3012-2003《石油化工安全仪表系统设计规范》，国家颁布实施了石油化工行业标准。

　　2006年，GB/T20438.1-2006《电气/电子/可编程电子安全相关系统功能安全》，等同IEC 61508， 推荐实施标准。

　　2007年，GB/T21109.1-2007《过程工业领域安全仪表系统的功能安全》，等同IEC 61511， 推荐实施标准。

　　2010年，系统及功能分技术委员会SAC/TC124/SA10正式成立。

　　2013年，国家标准《油气管道安全仪表系统的功能安全》草案正在修改过程中。

　　2013年，国家标准，GB-T50770-2013《石油化工安全仪表系统设计规范》，正式发布、取代原SH/T3012-2003标准。