4. 安全仪表系统的特点及作用

　　4.1 安全仪表系统的特点安全仪表控制系统sis能够检测潜在的危险故障，具有高安全性。

　　安全仪表控制系统sis需符合国际安全标准规定的仪表安全标准，从系统开发阶段开始，要接受第三方认证机构的审查，取得认证资格，系统方可投入实际运行。

　　安全仪表控制系统sis自诊断覆盖率大，诊断覆盖率是指可在线诊断出的故障系统全部故障的百分数。

　　安全仪表控制系统sis由采取冗余逻辑表决方式的输入单元、逻辑结构单元、输出单元3部分组成系统，逻辑表决的应用程序修改容易，特别是可编程型SIS，根据工程实际修改软件即可。

　　SIS系统设计特别重视从传感器到最终执行机构所组成的回路整体的安全性保证，具有I/O断线、短路等的监测功能。

　　4.2 安全仪表系统与DCS系统功能区别从控制系统本身运行模式来看，DCS是“动态”系统，它始终对过程变量连续进行检测、运算和控制，对生产过程进行动态控制，确保产品的质量和产量;SIS系统是“静态”系统，正常工况时，它始终监视生产装置的运行，系统输出不变，对生产过程不产生影响，非正常工况下时，它将按照预先的设计进行逻辑运算，使生产装置安全联锁或停车。

　　从控制系统的作用来看，DCS系统用于生产过程的连续测量、常规控制(连续、顺序、间歇等)、操作控制管理，保证生产装置的平稳运行;安全仪表控制系统sis用于监视生产装置的运行状况，对出现异常工况迅速进行处理，使危害降到，使人员和生产装置处于安全状态。

　　运用安全系统规避风险和危险

　　从控制系统本身的安全可靠性来看，SIS系统比DCS系统在可靠性、可用性上要求更严格。

　　4.3 安全仪表系统的作用于地位在流程工业生产运行过程中，DCS系统、SIS系统、FGS的系统共同构成一整套完整的自动控制与安全保护系统，他们的作用相辅相成、又相对独立。

　　DCS系统作为基本过程控制系统，主要对生产指标进行实时连续的监控和调节，同时，DCS系统也对工艺风险起到了道防护和报警提示的作用;SIS系统对工艺风险起到了第二道防护作用，其结果是安全联锁停车，使工艺装置回到安全状态，避免事故的发生;FGS的作用降低事故发生后的危害程度。

　　安全仪表系统的独立保护层

　　5 安全仪表控制系统sis选型注意事项

　　随着技术的进步，为提高产能，石化工业向大型联合装置一体化控制和长周期运行方向发展，这将对装置中运行的设备以及装置的安全保护功能提出更高的要求，特别对传统的安全仪表设计理念提出挑战，在传统的安全仪表设计中人们最容易犯的错误是“或左”、

　　“或右”、“或片面”。如：

　　·为降低初期投资，不重视安全仪表系统。

　　·片面提高系统的SIL功能安全等级，疏忽了系统的可用性要求。

　　·片面要求控制器部分，疏忽了现场测量和执行部分的设计选型。

　　·片面要求安全仪表系统本身的功能，疏忽了安全生命周期其他各阶段工作的重要性，如先期的HAZOP、安全需求设计规则(SRS)和后期的操作维护管理规范。

　　·片面看重硬件，疏忽项目管理和执行，包括各阶段的审查工作和人员资质要求。

　　综上所述，为适应大型化、一体化和长周期安全稳定运行的需要，特提出以下几方面的选型设计要点，希望引起大家的重视。

　　5.1 坚持功能安全的设计理念在安全仪表系统设计过程中，始终铭记合理有效降低风险的设计理念，遵循IEC 61511独立保护层(IPL)安全规范要求，保证安全仪表系统的独立设置。

　　人们很容易混淆的概念是“只有安全仪表系统才起安全保护作用”，实际上在IEC61511标准中描述了独立保护层(IPL)的概念，在有效降低风险的计算过程中，每个安全相关的保护层都起到了一定的作用，这样才会使总的PFDavg达到要求的目标值，如果把SIS系统和DCS系统合用一套系统实现，将会出现如下风险：

　　·违反IEC61511独立保护层的规范。

　　·原来系统有效的PFDavg值将会相对增大，这样会降低系统的SIL等级。

　　·SIS系统与DCS系统合用，将会在产品设计阶段带来共同原因故障，降低了产品的SIL安全等级。

　　5.2 统筹考虑完整的安全仪表回路设计在SIS系统设计选型时，很容易只要求控制器部分的安全性，忽略了现场仪表的安全要求，实际上安全仪表系统包括了测量单元、逻辑控制单元和执行单元，安全仪表回路的SIL等级要求是指从测量到逻辑控制和控制阀执行整个回路的故障失效率。实际上，就整个安全回路来看，由于测量现场测量和执行单元故障可能导致的危险在90%以上，控制器本身故障可能导致的危险不到10%。

　　5.3 采用冗余容错技术，兼顾和提高安全仪表系统的可用性因为大部分流程工业，如乙烯等石化装置多是高风险易燃易爆的连续生产装置，要求安全仪表系统有很高的安全等级-SIL3。同时这类装置的生产效益，如果由于仪表系统误停车，将给生产企业带来很大的经济损失，同时由于误停车导致的装置不稳定，从而引起工艺气放火炬燃烧，会给环境带来污染。也无从谈起长周期运行。

　　比如，用1oo1D的结构也可达到SIL3等级，但可用性低，不适于高经济效益的装置。

　　5.4 保持安全等级不下降，考虑系统的在线可维护性为适应装置的长周期运行，在生产过程中必然要对系统进行必要的维护保养工作。那么，系统是否可以在线维护就显得非常重要，而且维护的方便性也非常重要，因为在维护过程中由于人为失误引起的误停车概率也是非常大的，所以，在系统在线维护时，尽可能不动外围用户接线端子是的方式。在线维护可能的工作包括以下事项：

　　控制系统部件的在线维修、更换。

　　控制系统软件的在线修改下装。

　　执行单元的在线维修、更换，选用SIL3等级的冗余安全电磁阀。

　　现场变送器选用2003表决方式，一般情况下，一个变速器达不到安全要求，两个串联时可用性降低，所以2003是的方式。

　　5.5 保持安全等级不下降，使用在线测试技术在装置的长周期运行过程中，要保证高安全等级要求的回路等级始终满足要求，就要从技术手段上采取措施，的手段就是在线回路测试。

　　比如，对SIL3等级要求的回路，在安全停车阀的设计中，由于两个以上的阀门串联设计费用很高，所以一般采用一个阀门，通过定期自动测试的原理来提高阀门的安全等级;对于测量变送器，通常采用2003的方式，这样在运行中可以拿出来其中的一个变送器进行校验测试。

　　5.6 重视整个安全生命周期内的HAZOP、设计、实施、维护规范请记住，系统故障风险不只是来自系统硬件和软件本身，还包括由于设计和管理的不完善带来的风险：

　　不重视HAZOP分析，可能把安全等级的要求降低，从而给将来长周期运行带来风险。

　　不重视HAZOP分析，漏掉了某些安全仪表功能，那么，系统再安全可靠都无济于事。

　　不重视安全需求设计，比如系统供电、接地设计，那么一旦外部原因故障，系统再安全可靠都无济于事。

　　不重视安全需求设计，比如LDPE等装置的快速响应要求，如果系统的响应时间大于过程安全时间，那么系统再安全可靠都无济于事。

　　不重视操作维护管理，比如仪表维护开关使用的确认，很容易引起人为停车或安全隐患。

　　有利于降低系统失效的概论(Systematic Failures)。

　　5.7 要有专业的团队负责整个项目的管理和实施根据IEC 61511 -1， 5.2.2 和IEC61508-1，6.2.1 中的规范要求， 从事安全生命周期各阶段工作的个人、部门和团组应该具备相应的能力、工程经验、安全知识并经过专业的培训。

　　6 安全仪表系统的设计原则

　　安全仪表回路的设计选型要从测量单元、逻辑控制单元和执行单元综合考虑，在整个选型设计过程中既要满足安全仪表功能的安全等级要求，又不要过度设计，以免过度增成本投入。所以，系统选型设计要根据工艺装置的特点和用户实际需求综合考虑。

　　以下参考国家标准，GB-T50770-2013《石油化工安全仪表系统设计规范》简要介绍一下SIS系统各单元的设计原则。

　　6.1 安全仪表系统设计的基本原则独立设置原则：一般情况下，SIS系统应独立于过程控制系统，其检测元件、 执行元件和逻辑运算器及通信部分都应单独设置。对于不能单独设置的SIS系统要确保SIS作用优先于过程控制系统。1级安全仪表控制系统sis逻辑运算器宜与DCS分开;2级安全仪表控制系统sis逻辑运算器应与DCS分开;3级安全仪表控制系统sis逻辑运算器必须与DCS分开。

　　冗余设置原则：1级SIS可采用单一的逻辑运算器;2级SIS宜采用冗余或容错逻辑运算器，其中CPU电源单元，通信单元应冗余配置，I/O模件宜冗余配置;

　　3级SIS系统应采用冗余容错逻辑运算器;其中CPU电源单元，通信单元，I/O模件应冗余配置。

　　结构选用原则：冗余结构既适用于软件又适用于硬件，可选用一选一、 二选一、三选二等结构，同时要考虑是励磁停车还是非励磁停车。

　　选择采用技术的原则：可采用电气、电子或可编程电子技术，也可以采用由它们组合的混合技术。

　　故障安全型原则：sis系统应是故障安全型的，即在系统故障时应保证过程是安全或趋于安全的状态。

　　中间环节最少原则：SIS系统的中间环节应是最少的。

　　6.2 测量仪表的选型测量仪表是安全仪表系统的组成部分。测量仪表包括模拟量和开关量测量仪表两种。安全仪表系统宜采用模拟量测量仪表。

　　测量仪表宜采用4~20mA叠加HART传输信号的智能变送器。

　　在爆炸危险场所， 测量仪表应采用隔爆型(Ex d)或本安型(Ex i);当采用本安型时，应采用隔离式安全栅。

　　现场安装的测量仪表，防护等级应不低于IP65。

　　测量仪表不应采用现场总线或其他通信方式作为安全仪表系统的输入信号。

　　测量仪表及取源点宜独立设置。

　　6.3 逻辑控制器的选型逻辑控制器是安全仪表系统的组成部分。逻辑控制器应由可编程电子系统或继电器系统构成,也可混合构成。

　　逻辑控制器应采用国家机构功能安全认证的可编程电子系统。

　　对于输入输出点数较少、逻辑功能简单的场合，逻辑控制器可采用继电器系统。

　　逻辑控制器的响应时间包括输入输出扫描处理时间与处理单元运算时间，一般为100～300ms。

　　逻辑控制器的处理单元负荷不应超过50%。

　　逻辑控制器的内部通信负荷不应超过50%，采用以太网的通信负荷不应超过20%。

　　6.4 最终元件的选型最终元件是安全仪表系统的组成部分。最终元件包括控制阀(调节阀、切断阀)、电磁阀、电机等。

　　安全仪表系统的最终元件宜采用气动控制阀，不宜采用电动控制阀。

　　7 安全仪表系统发展现状及趋势

　　安全仪表系统的发展就控制系统本身的类型来看，经历了继电器=固态逻辑=单PLC= 冗余PLC=安全认证系统等类型的升级换代。目前大部分新建的有安全SIL等级要求的工艺生产装置都使用了经过安全认证的PLC系统。对SIL 3等级的回路，如需要中间继电器，该继电器一般也要求有安全认证。

　　安全仪表系统的应用领域也越来越广，从国际和国内来看，人们对安全和环保的认识不断提高，所以对安全保护相关设备的要求也不断提高。目前，安全仪表系统在油气开采、油气运输、各种石油化工装置、电力、锅炉、核电、交通、冶金、环保、汽车制造、大型机械等工业领域都是必须配置的系统。

　　安全仪表系统就其功能设置的要求也越来也严格，比如，早期的安全联锁系统可能会用DCS系统来实现部分联锁回路功能，随着IEC等国际标准在国内的应用推广，人们从理论层面对安全标准的认识和理解提高一大步，另一方面，人们从以往装置事故中的惨痛教训引出经验，安全仪表系统不但要上，而且应把安全仪表系统和DCS系统从软硬件功能上独立设置。

　　安全仪表控制系统sis就其功能范围及名词定义上也不断地规范, 以下是我们经常遇到的有关安全仪表系统功能的各种名称解释。

　　安全仪表系统(Safety Instrument System—SIS)。

　　仪表保护系统(Instrument Protective System—IPS)。

　　透平压缩机集成控制系统(Integrated Turbo &Compressor Control System—ITCC)。

　　火灾及气体检测系统(Fire and Gas System—FGS)。

　　紧急停车系统(Emergency Shutdown Device—ESD)。

　　燃烧管理系统(Burner Management System—BMS)。

　　高完整性压力保护系统(High Integrity Pressure Protection System,HIPPS)。

　　就目前安全仪表的名词解释中，sis系统应该是目前最标准的一种说法，从发展趋势的角度可以看出，SIS系统名词的应用实际上是对安全仪表系统相关工作内容或范畴要求的更加全面系统，从只重视安全仪表系统控制器本身的性能，转变为重视安全生命周期全过程中各阶段的工作，从工艺装置的HAZOP、安全仪表回路的设计、安装、调试及操作维护等方面的工作都非常重要。