本文以康吉森sis系统/TRICON sis系统为例，主要介绍了设置sis系统和紧急停车系统ESD系统的目的和作用，对主要的控制器冗余结构进行了重点描述，并结合PTA装置的应用，叙述了ESD系统硬件、软件组态，介绍了主要的控制方案。

   sis系统，又称安全仪表系统，主要为工厂控制系统中报警和联锁部分，对控制系统中检测的结果实施报警动作或调节或停机控制。

1. 保证生产的正常运转、事故安全联锁； 　　

2. 安全联锁报警；　　

3. 联锁动作和投运显示。

  紧急停车系统esd，是按照安全独立原则要求，独立于DCS集散控制系统，其安全级别高于DCS系统。在正常情况下，紧急停车系统esd是处于静态的，不需要人为干预。作为安全保护系统，于生产过程控制之上，实时在线监测装置的安全性。只有当生产装置出现紧急情况时，不需要经过DCS系统，而直接由ESD发出保护联锁信号，对现场设备进行安全保护，避免危险扩散造成巨大损失。想了解更多sis系统和esd系统，请参阅《简析sis系统与紧急停车系统esd异同》。

一、sis系统/紧急停车系统esd的类型和特点

〉当工艺过程某些变量发生异常时， 由控制系统指令工艺过程紧急地安全地停止生产，以免造成巨大财产损失和人员伤亡事故。

〉装置在运行过程中， 安全仪表系统时刻监视工艺过程的状态， 判断危险条件， 并在危险出现时适当动作， 以防止危险的发生。

  sis系统/紧急停车系统esd的类型

〉紧急停车系统按照结构来分，可分为双重化冗余和三重化冗余两种。

  sis系统/紧急停车系统esd的特点

(1）系统的最终目标都是为了确保工艺生产的安全，保护生产设备和操作人员不受伤害。

(2）开关量输入检出元件选择正常状态下闭合，线路断开等同于联锁动作，即系统为故障安全型。

(3）输出电磁阅或继电器选择为正常励磁，只有当输出线路发生故障时才产生动作。

(4）当无论何种原因使生产装置停车（Shutdown）时，ESD系统所控制的目标元件所处的状态都要确保生产安全。

二、安全仪表sis系统的常用指标

1. 平均故障间隔时间

平均故障间隔时间指各次故障间隔时间t i的平均值， 即各段连续工作时间的乎均千直。 即

MTBF是一个经过多次采样检测， 长期统计后求出的平均数值。

2.平均故障修复时间

平均故障修复时间是指设备或系统经过维修， 恢复功能并技入正常运行所需要的平均时间， 即

MTTR也是一个统计佳， 它远小于MTBF。 MTBF越大， MTTR越小的系统可靠性越高。

3.平均失效时间

平均失效时间（MTTF）走指大宗相同部件（或系统）中该部件（或系统）期望友生故障的时间。

4.可用性

可用性（A）走一个概率， 指系统在任何情况下都可使用的工作期， 用百分数计算。 即

5.可靠性

可靠性（则是在规定时间间隔（t）内发生故障听概率。） 即

6.容错性

容错（Fault Tolerance）是指对失效的控制系统元件进行认识和补偿， 并允许在继续完成分自己的任务、 不中断过程的情况下进行修复的能力，容错是通过冗余和故障屏蔽的结合末实现。

7.表决性

表决（Voting）是指系统中用多数原则将每个支路的数据进行比较和修正的一种机理。 如1 00 2 (1 OUT OF 2）表示2取1表决，2oo2 (2 OUT OF 2）表示2取2表决，2oo3 (2 OUT OF 3）表示3取2表决等。

8.故障安全性

故障安全是指ESD系统发生故障时， 被控过程能做到安全停车。正常工况时处于励磁状态， 故障工况时处于非励磁状态。

9.安全完整性级别/sil定级

安全完整性级别（Safety Integrity Level, SIL）是指定性分析ESD系统故障对生产装置和周罔的人员的伤害程度。 根据IEC61508标准划分为4级。SILl级适用于财产和产品的一般保护j SIL2级适用于主要财产和产品保护， 有可能迄成人身伤害i SIL3级适用于保护人员；SIL4级适用于灾难性伤害。

三、安全仪表sis系统应用场合

1 . 对检测元件的要求

〉检测元件（传感器）分开独立设置， 指采用多台检测仪表将控制功能与安全联锁功能隔离， 即安全仪表系统与过程控制系统的实体分离。

〉传感器冗余设置， 指采用多台仪表完成相同的功能， 通过冗余提高系统的安全性。 不宜采用信号分配器，将模拟信号分别接到安全仪表系统和过程控制系统。 安全仪表系统和过程控制系统共用一个传感器时，宜采用安全仪表系统供电。

2. 对最终执行元件的要求

〉最终执行元件（切断间， 电磁阀）是安全仪表系统中可靠性低的设备。 由于安全仪表系统在正常工况时是静态的，被动的，系统输出不变，最终执行元件一直保持在原有的状态， 很难确认最终执行元件是否有危险故障。

〉在正常工况时过程控制系统是动态的， 主动的， 控制阀动作是随控制信号的变化而变化， 不会长期停留在某一位置。 因此， 当符合安全度等级要求时，可采用控制阀及配套的电磁阀作为安全仪表系统的最终执行元件。

3 .对ESD这辑控制器结构选择要求

〉安全仪表系统故障有两种：显性故障（安全故障）和隐性故障（危险故障）。

〉当系统出现显性故障时，可立即检测出来，系统产生动作进入安全状态。

〉当系统出现隐性故障时，只能通过自动测试程序检测出来，系统不能产生动作进入安全状态。

〉因此通过对这辑控制器结构的选择， 克服隐性故障系统安全性的影响，通常选择2oo3（二取二）或者2oo4D（四取二， 带诊断功能）结构。