安全儀表系統(tǒng)的定義及相關(guān)概念

1. 安全儀表系統(tǒng)的定義及相關(guān)概念

1.1 安全儀表系統(tǒng)的定義

安全儀表系統(tǒng)（Safety Instrument System，SIS）是用來(lái)實(shí)現(xiàn)一個(gè)和多個(gè)安全儀表功能的控制系統(tǒng)。安全儀表系統(tǒng)的設(shè)計(jì)是為了應(yīng)對(duì)生產(chǎn)過(guò)程中本身發(fā)生的危險(xiǎn)情況，在工藝生產(chǎn)過(guò)程或生產(chǎn)裝置中發(fā)現(xiàn)潛在的危險(xiǎn)工況或出現(xiàn)各種危險(xiǎn)條件，安全儀表系統(tǒng)必須按照預(yù)先設(shè)定的程序，及時(shí)輸出安全保護(hù)指令，使工藝過(guò)程或生產(chǎn)裝置回到安全狀態(tài)，以防止任何危險(xiǎn)的發(fā)生或減輕事故后果，最終保證人員、設(shè)備和環(huán)境的安全。

1.2 安全儀表系統(tǒng)的構(gòu)成

安全儀表系統(tǒng)主要包括測(cè)量單元、邏輯控制單元和執(zhí)行單元，再配合相應(yīng)的軟件組成。通常與基本過(guò)程控制系統(tǒng)（如：DCS系統(tǒng)）有通訊要求，共同組成生產(chǎn)裝置的過(guò)程儀表控制系統(tǒng)。其故障失效率的計(jì)算方法如下：

圖4-3-1 構(gòu)成圖

1.3 安全完整性等級(jí)（safety integrity level，SIL）

安全完整性等級(jí)是一種國(guó)際通用的“標(biāo)準(zhǔn)語(yǔ)言”，目的是用一種簡(jiǎn)單的方法來(lái)劃分工藝裝置中每個(gè)安全儀表回路的安全等級(jí)要求。是SIS系統(tǒng)設(shè)計(jì)中必須遵從的一個(gè)重要安全指標(biāo)。

依據(jù)IEC標(biāo)準(zhǔn)由低到高劃分為SIL1-SIL4， ISA 84.01標(biāo)準(zhǔn)劃分為SIL1-SIL3，DIN V VDE0804標(biāo)準(zhǔn)由低到高劃分為AK1-AI8，它們之間的對(duì)應(yīng)關(guān)系如下。

表4-1 安全完整性等級(jí)

1.4 安全生命周期

安全儀表系統(tǒng)的安全生命周期也是一個(gè)非常重要的概念，要保證工藝裝置的安全生產(chǎn)運(yùn)行，不但要選擇合適的控制系統(tǒng)，而且對(duì)工藝過(guò)程的風(fēng)險(xiǎn)評(píng)估、安全回路等級(jí)劃分和控制系統(tǒng)的維護(hù)管理也非常重要。

SIS系統(tǒng)的整個(gè)安全生命周期可分為分析、工程實(shí)施及操作維護(hù)3大階段。在分析階段，要辨識(shí)工藝過(guò)程的潛在危險(xiǎn)，并對(duì)其后果和可能性進(jìn)行分析，以便確定過(guò)程風(fēng)險(xiǎn)及必要的風(fēng)險(xiǎn)降低要求。工程實(shí)施階段主要完成SIS的工程設(shè)計(jì)、儀表選型，安全邏輯控制器的硬件配置、軟件組態(tài)以及系統(tǒng)集成，完成操作和維護(hù)人員的培訓(xùn)，完成SIS的安裝和調(diào)試，以及SIS的安全驗(yàn)證。操作維護(hù)階段在整個(gè)安全生命周期中時(shí)間區(qū)間最長(zhǎng)，包括操作和維護(hù)、修改和SIS的停用。

在SIS系統(tǒng)設(shè)計(jì)選型后，要根據(jù)可靠性數(shù)據(jù)和操作模式，對(duì)安全儀表功能的危險(xiǎn)失效概率或危險(xiǎn)失效頻率進(jìn)行計(jì)算，評(píng)定是否滿足目標(biāo)安全儀表的功能安全要求。這是保證必要的風(fēng)險(xiǎn)降低和功能安全儀表功能安全的重要環(huán)節(jié)。同時(shí)，在SIS運(yùn)行后，日常維護(hù)、修改管理、周期性檢驗(yàn)測(cè)試、功能安全審計(jì)等也是功能安全的核心工作。

1.5 安全儀表系統(tǒng)相關(guān)術(shù)語(yǔ)

·安全儀表功能 （Safety Instrument Function，SIF）：具有特定SIL等級(jí)的，用于達(dá)到功能安全的安全儀表功能。

·故障（fault）：使功能單元執(zhí)行要求之功能的能力降低或失去其能力的異常狀況。

·失效（failure）：功能單元執(zhí)行一個(gè)要求功能之能力的終止。

圖4-3-2 安全生命周期工作流程圖

·危險(xiǎn)失效（dangerous failure）：使安全相關(guān)系統(tǒng)處于潛在的危險(xiǎn)或喪失功能狀態(tài)的失效。

·安全失效（safe failure）：不可能使安全相關(guān)系統(tǒng)處于潛在的危險(xiǎn)或喪失功能狀態(tài)的失效。

·容錯(cuò)（Fault Tolerance）：在出現(xiàn)故障或誤差的情況下，功能單元繼續(xù)執(zhí)行安全功能的能力。

·冗余（Redundancy）：使用多個(gè)元素和系統(tǒng)執(zhí)行同一個(gè)功能。

·表決（voting）：指冗余系統(tǒng)中用多數(shù)原則將每個(gè)支路的數(shù)據(jù)進(jìn)行比較和修正，從而最后確定結(jié)論的一種機(jī)理。

·可用性（Availability）：系統(tǒng)可以使用工作時(shí)間的概率。

·可靠性（Reliability）：系統(tǒng)在規(guī)定時(shí)間間隔內(nèi)發(fā)生故障的概率。

·風(fēng)險(xiǎn)（Risk）：發(fā)生傷害的可能性與這一傷害的嚴(yán)重性的組合。

·MTTF：平均無(wú)故障時(shí)間。

·MTTR：平均修復(fù)時(shí)間。

·MTBF：平均故障間隔時(shí)間。

2 安全儀表系統(tǒng)的分類(lèi)及應(yīng)用

目前的流程工業(yè)領(lǐng)域?qū)Π踩珒x表系統(tǒng)非常重視，大部分裝置都使用了安全PLC系統(tǒng)，只有極個(gè)別的應(yīng)用因點(diǎn)數(shù)非常少或老裝置未改造，仍然使用繼電器聯(lián)鎖邏輯保護(hù)或固態(tài)電路系統(tǒng)。但就其功能和作用而言都屬于安全儀表系統(tǒng)。

2.1 繼電器控制系統(tǒng)

繼電器控制系統(tǒng)，其邏輯功能由傳統(tǒng)的繼電器來(lái)完成的，比如控制時(shí)間，就有相應(yīng)的時(shí)間繼電器。

繼電器的控制是采用硬件接線實(shí)現(xiàn)的，利用繼電器機(jī)械觸點(diǎn)的串聯(lián)或并聯(lián)及延時(shí)繼電器的滯后動(dòng)作等組合形成控制邏輯，只能完成既定的邏輯控制，通過(guò)重新接線來(lái)重新編程。

繼電器控制系統(tǒng)在投運(yùn)較早的老裝置中使用較為普遍。一般設(shè)置輔助操作面板，其中有重要的工藝參數(shù)指示和報(bào)警、手動(dòng)停車(chē)及復(fù)位、投運(yùn)按鈕等部分，而對(duì)于大型機(jī)組等設(shè)備運(yùn)行狀況和保護(hù)，也引入主控制室顯示和報(bào)警，停車(chē)保護(hù)則一般采用設(shè)備自帶的特殊儀表系統(tǒng)來(lái)完成。

2.2 固態(tài)電路系統(tǒng)

采用模塊結(jié)構(gòu),采用獨(dú)立固態(tài)器件,通過(guò)硬接線來(lái)構(gòu)成系統(tǒng),實(shí)現(xiàn)邏輯功能，其特點(diǎn)是結(jié)構(gòu)緊湊,可進(jìn)行在線測(cè)試,易于識(shí)別故障，易于更換和維護(hù),可進(jìn)行串行通信,可配置成冗余系統(tǒng)，但靈活性不夠,邏輯修改或擴(kuò)展必須改變系統(tǒng)硬連線,大系統(tǒng)操作費(fèi)用較高,可靠性不如繼電器系統(tǒng)。

2.3 可編程邏輯控制器（PLC）

可編程邏輯控制器（ P r o g r a m m a b l e L o g i cController，PLC），它采用一類(lèi)可編程的存儲(chǔ)器，用于其內(nèi)部存儲(chǔ)程序，執(zhí)行邏輯運(yùn)算、順序控制、定時(shí)、計(jì)數(shù)與算術(shù)操作等面向用戶的指令，并通過(guò)數(shù)字或模擬式輸入/輸出控制各種類(lèi)型的機(jī)械或生產(chǎn)過(guò)程。

PLC的硬件結(jié)構(gòu)基本上與微型計(jì)算機(jī)相同，包括電源、中央處理單元（CPU）、存儲(chǔ)器、輸入輸出接口電路、功能模塊、通信模塊。其控制邏輯是以程序方式存儲(chǔ)在內(nèi)存中，要改變控制邏輯，只需改變程序即可。

隨著人們對(duì)安全認(rèn)識(shí)的提高和產(chǎn)品技術(shù)的發(fā)展，經(jīng)過(guò)認(rèn)證的安全PLC成為新建裝置中安全保護(hù)儀表系統(tǒng)的首選。通常根據(jù)其結(jié)構(gòu)形式的不同，主要有以下3種主流 CPU 結(jié)構(gòu)：

·冗余容錯(cuò)自診斷結(jié)構(gòu)，即1002D 結(jié)構(gòu)（診斷率99.99%）。

·三重化表決冗余容錯(cuò)自診斷結(jié)構(gòu)，即2003D 結(jié)構(gòu)（TMR 診斷率70%）。

·CPU 四重化冗余容錯(cuò)自診斷結(jié)構(gòu)，即2004D 結(jié)構(gòu)（QMR診斷率99.99%）。

對(duì)于這3種不同的結(jié)構(gòu)，安全系統(tǒng)的性能是不同的。

對(duì)于第一種1002D的結(jié)構(gòu)，當(dāng)?shù)谝粋€(gè)CPU被診斷出故障時(shí)，該CPU被切除，另一個(gè) CPU 繼續(xù)工作。若要應(yīng)用在AK6安全等級(jí)，根據(jù)AK6的要求，如果第一個(gè)CPU不能在其被診斷出故障后1小時(shí)內(nèi)修復(fù)，系統(tǒng)會(huì)在1小時(shí)后自動(dòng)停車(chē)以保證故障安全。

對(duì)于第二種結(jié)構(gòu)，如美國(guó)TRICONEX公司的Tricon系統(tǒng)就是采用TMR 技術(shù)，它通過(guò)了TUV SIL3/AK6的等級(jí)認(rèn)證，其CPU和I/O 卡件三重化冗余容錯(cuò)設(shè)計(jì)，是基于高度穩(wěn)定的硬件基礎(chǔ)上。

對(duì)于第三種結(jié)構(gòu)，如德國(guó)HIMA公司的PES，4個(gè)CPU分成兩對(duì)，既同時(shí)工作又相互獨(dú)立。當(dāng)其中一個(gè)CPU被診斷出故障時(shí)，則該對(duì)CPU被切除，所剩一對(duì)CPU繼續(xù)以1002D的模式工作。這對(duì)獨(dú)立工作的CPU仍滿足安全等級(jí)AK6（SIL3）的要求。只有當(dāng)這對(duì)CPU其中再有一個(gè)故障時(shí)，系統(tǒng)才考慮停車(chē)。所以，此結(jié)構(gòu)對(duì)于故障修復(fù)時(shí)間沒(méi)有限制。

2.4 主要安全PLC系統(tǒng)

在國(guó)內(nèi)石化行業(yè)中應(yīng)用的SIS產(chǎn)品中，經(jīng)過(guò)TUV認(rèn)證的主要有：

·Tricon、Triden，美國(guó)TRICONEX公司開(kāi)發(fā)用于壓縮機(jī)綜合控制（ITCC）、緊急停車(chē)系統(tǒng)和FGS火氣報(bào)警系統(tǒng)。安全等級(jí)為AK6（SIL3）。

·FSC（Fail safe control），Honeywell公司SIS系統(tǒng)。安全等級(jí)可達(dá)AK6（SIL3）。

·德國(guó)HIMA公司的H41q和H51q系統(tǒng)，具有TUVAK1~AK6級(jí)認(rèn)證。

· Prosafe-RS，橫河電機(jī)安全儀表系統(tǒng)，具有TUVAK1~6級(jí)認(rèn)證。

· S I M A T I C S 7 - 4 0 0 F / F H ， 德國(guó)S I E M E N S 公司產(chǎn)品， 取得T U V 認(rèn)證， 安全等級(jí)為A K 1 ~ A K 6（SIL1~SIL3）。

·Regent Trusted，美國(guó)ICS 安全系統(tǒng)。安全等級(jí)AK4~AK6（SIL2~SIL3）。

·GMR90-70，美國(guó)GE Fanuc公司系統(tǒng)。

2.5 安全儀表系統(tǒng)應(yīng)用領(lǐng)域

安全儀表系統(tǒng)用于保護(hù)各類(lèi)生產(chǎn)過(guò)程中人身、設(shè)備、財(cái)產(chǎn)和環(huán)境的安全，主要應(yīng)用領(lǐng)域有：

·石油化工裝置

·化工裝置

·石油液化氣開(kāi)采（平臺(tái)）、油氣輸送和存儲(chǔ)

·電力、鍋爐、核電

·交通、冶金、環(huán)保、汽車(chē)制造

·大型機(jī)械、旋轉(zhuǎn)設(shè)備

3.安全儀表系統(tǒng)的相關(guān)標(biāo)準(zhǔn)和認(rèn)證

3.1 國(guó)外相關(guān)標(biāo)準(zhǔn)

·1984年，TUV可編程電子PES指南（指導(dǎo)手冊(cè)）。

·1989年， DIN V 19250/VDE V 0801。

DIN V 19250《控制技術(shù)：測(cè)量和控制設(shè)備應(yīng)考慮的基本安全原則》，世界上第一個(gè)過(guò)程工業(yè)安全設(shè)備分級(jí)標(biāo)準(zhǔn)AK1-8。

DIN V VDE V 0801《計(jì)算機(jī)在安全相關(guān)系統(tǒng)中的原理》，功能安全的概念也由此產(chǎn)生。提供了可編程電子系統(tǒng)能夠滿足DIN V 19250級(jí)別的方法。

·1994年，DIN V 19250/VDE V 0801。

·1996年，ANSI/ISA- 84.01-1996安全儀表系統(tǒng)在過(guò)程工業(yè)中的應(yīng)用，安全完整性等級(jí)SIL+安全生命周期SLC。

·1998年，IEC61508《電氣電子可編程電子安全相關(guān)系統(tǒng)的功能安全》于1998年發(fā)布其第1、3、4和第5部分，2000年發(fā)布其第2、6和第7部分。

·2003年，IEC61511《過(guò)程工業(yè)領(lǐng)域安全儀表系統(tǒng)的功能安全》過(guò)程工業(yè)領(lǐng)域分支標(biāo)準(zhǔn)發(fā)布。

·2004年，EN IEC61511（CENELEC）歐洲電氣技術(shù)標(biāo)準(zhǔn)化委員會(huì)將IEC61511接納為歐洲標(biāo)準(zhǔn)。

·2004年，ANSI/ISA- 84.00.01-2004（IEC61511Modified），完全取代了ANSI/ISA- 84.01-1996。

3.2 國(guó)內(nèi)相關(guān)標(biāo)準(zhǔn)

·1999年，SHB-Z06-1999《石油化工緊急停車(chē)及安全聯(lián)鎖系統(tǒng)設(shè)計(jì)導(dǎo)則》，采用了IEC標(biāo)準(zhǔn)中的一些理念。

·2003年，SY/T10045-2003《工業(yè)過(guò)程中安全儀表系統(tǒng)的應(yīng)用》國(guó)家經(jīng)濟(jì)。貿(mào)易委員會(huì)發(fā)布，作為天然氣行業(yè)標(biāo)準(zhǔn)。等同采用ISA- 84.01-1996。

·2004年，SH/T3012-2003《石油化工安全儀表系統(tǒng)設(shè)計(jì)規(guī)范》，國(guó)家發(fā)改委頒布實(shí)施了石油化工行業(yè)標(biāo)準(zhǔn)。

·2006年，GB/T20438.1-2006《電氣/電子/可編程電子安全相關(guān)系統(tǒng)功能安全》，等同IEC 61508， 推薦實(shí)施標(biāo)準(zhǔn)。

·2007年，GB/T21109.1-2007《過(guò)程工業(yè)領(lǐng)域安全儀表系統(tǒng)的功能安全》，等同IEC 61511， 推薦實(shí)施標(biāo)準(zhǔn)。

·2010年，系統(tǒng)及功能分技術(shù)委員會(huì)SAC/TC124/SA10正式成立。

·2013年，國(guó)家標(biāo)準(zhǔn)《油氣管道安全儀表系統(tǒng)的功能安全》草案正在修改過(guò)程中。

·2013年，國(guó)家標(biāo)準(zhǔn)，GB-T50770-2013《石油化工安全儀表系統(tǒng)設(shè)計(jì)規(guī)范》，正式發(fā)布、取代原SH/T3012-2003標(biāo)準(zhǔn)。

3.3 SIS相關(guān)認(rèn)證

涉及產(chǎn)品安全認(rèn)證，主要有TUV、CB、CCC、UL、FCC、CSA及北歐4國(guó)認(rèn)證等，使用最多并得到廣泛認(rèn)可的是TUV-GS認(rèn)證，GS的參考標(biāo)準(zhǔn)是VDE和DIN（德國(guó)標(biāo)準(zhǔn)協(xié)會(huì)）標(biāo)準(zhǔn)，如果產(chǎn)品具有GS標(biāo)志，代表該產(chǎn)品符合最新的歐洲和德國(guó)標(biāo)準(zhǔn)。GS的含義是德語(yǔ)“Geprufte Sicherheit”（安全性已認(rèn)證），也有

“Germany Safety”（德國(guó)安全）的意思。德國(guó)萊茵公司技術(shù)監(jiān)督公司（TUV）是德國(guó)最大的產(chǎn)品安全及質(zhì)量認(rèn)證機(jī)構(gòu)，在歐洲久享盛譽(yù)。設(shè)有該機(jī)構(gòu)分公司的國(guó)家和地區(qū)可以方便地申請(qǐng)GS標(biāo)志及其他國(guó)家的安全認(rèn)證。

目前市場(chǎng)上SIS產(chǎn)品也以通過(guò)TUV認(rèn)證居多，通過(guò)認(rèn)證的每種產(chǎn)品都有達(dá)到AK1-AK8 安全等級(jí)的具體說(shuō)明，用戶可根據(jù)過(guò)程的具體需要配置相應(yīng)等級(jí)的SIS產(chǎn)品。

4. 安全儀表系統(tǒng)的特點(diǎn)及作用

4.1 安全儀表系統(tǒng)的特點(diǎn)

SIS能夠檢測(cè)潛在的危險(xiǎn)故障，具有高安全性。

SIS需符合國(guó)際安全標(biāo)準(zhǔn)規(guī)定的儀表安全標(biāo)準(zhǔn)，從系統(tǒng)開(kāi)發(fā)階段開(kāi)始，要接受第三方認(rèn)證機(jī)構(gòu)的審查，取得認(rèn)證資格，系統(tǒng)方可投入實(shí)際運(yùn)行。

·SIS自診斷覆蓋率大，診斷覆蓋率是指可在線診斷出的故障系統(tǒng)全部故障的百分?jǐn)?shù)。

·SIS由采取冗余邏輯表決方式的輸入單元、邏輯結(jié)構(gòu)單元、輸出單元3部分組成系統(tǒng)，邏輯表決的應(yīng)用程序修改容易，特別是可編程型SIS，根據(jù)工程實(shí)際修改軟件即可。

·SIS設(shè)計(jì)特別重視從傳感器到最終執(zhí)行機(jī)構(gòu)所組成的回路整體的安全性保證，具有I/O斷線、短路等的監(jiān)測(cè)功能。

4.2 安全儀表系統(tǒng)與DCS系統(tǒng)功能區(qū)別

從控制系統(tǒng)本身運(yùn)行模式來(lái)看，DCS是“動(dòng)態(tài)”系統(tǒng)，它始終對(duì)過(guò)程變量連續(xù)進(jìn)行檢測(cè)、運(yùn)算和控制，對(duì)生產(chǎn)過(guò)程進(jìn)行動(dòng)態(tài)控制，確保產(chǎn)品的質(zhì)量和產(chǎn)量；SIS是“靜態(tài)”系統(tǒng)，正常工況時(shí)，它始終監(jiān)視生產(chǎn)裝置的運(yùn)行，系統(tǒng)輸出不變，對(duì)生產(chǎn)過(guò)程不產(chǎn)生影響，非正常工況下時(shí)，它將按照預(yù)先的設(shè)計(jì)進(jìn)行邏輯運(yùn)算，使生產(chǎn)裝置安全聯(lián)鎖或停車(chē)。

從控制系統(tǒng)的作用來(lái)看，DCS用于生產(chǎn)過(guò)程的連續(xù)測(cè)量、常規(guī)控制（連續(xù)、順序、間歇等）、操作控制管理，保證生產(chǎn)裝置的平穩(wěn)運(yùn)行；SIS用于監(jiān)視生產(chǎn)裝置的運(yùn)行狀況，對(duì)出現(xiàn)異常工況迅速進(jìn)行處理，使危害降到最低，使人員和生產(chǎn)裝置處于安全狀態(tài)。

圖4-3-3 運(yùn)用安全系統(tǒng)規(guī)避風(fēng)險(xiǎn)和危險(xiǎn)

從控制系統(tǒng)本身的安全可靠性來(lái)看，SIS比DCS在可靠性、可用性上要求更嚴(yán)格。

4.3 安全儀表系統(tǒng)的作用于地位

在流程工業(yè)生產(chǎn)運(yùn)行過(guò)程中，DCS、SIS、FGS的系統(tǒng)共同構(gòu)成一整套完整的自動(dòng)控制與安全保護(hù)系統(tǒng)，他們的作用相輔相成、又相對(duì)獨(dú)立。

DCS作為基本過(guò)程控制系統(tǒng)，主要對(duì)生產(chǎn)指標(biāo)進(jìn)行實(shí)時(shí)連續(xù)的監(jiān)控和調(diào)節(jié)，同時(shí)，DCS也對(duì)工藝風(fēng)險(xiǎn)起到了第一道防護(hù)和報(bào)警提示的作用；SIS系統(tǒng)對(duì)工藝風(fēng)險(xiǎn)起到了第二道防護(hù)作用，其結(jié)果是安全聯(lián)鎖停車(chē)，使工藝裝置回到安全狀態(tài)，避免事故的發(fā)生；FGS的作用降低事故發(fā)生后的危害程度。

圖4-3-4表示了他們之間的關(guān)系；所以IEC61508、IEC61511、ISA S84.01、GB-T50770-2013《石油化工安全儀表系統(tǒng)設(shè)計(jì)規(guī)范》等標(biāo)準(zhǔn)強(qiáng)烈推薦SIS與DCS硬件獨(dú)立設(shè)置。

圖4-3-4 安全儀表系統(tǒng)的獨(dú)立保護(hù)層

5 安全儀表系統(tǒng)選型注意事項(xiàng)

隨著技術(shù)的進(jìn)步，為提高產(chǎn)能，石化工業(yè)向大型聯(lián)合裝置一體化控制和長(zhǎng)周期運(yùn)行方向發(fā)展，這將對(duì)裝置中運(yùn)行的設(shè)備以及裝置的安全保護(hù)功能提出更高的要求，特別對(duì)傳統(tǒng)的安全儀表設(shè)計(jì)理念提出挑戰(zhàn)，在傳統(tǒng)的安全儀表設(shè)計(jì)中人們最容易犯的錯(cuò)誤是“或左”、

“或右”、“或片面”。如：

·為降低初期投資，不重視安全儀表系統(tǒng)。

·片面提高系統(tǒng)的SIL功能安全等級(jí)，疏忽了系統(tǒng)的可用性要求。

·片面要求控制器部分，疏忽了現(xiàn)場(chǎng)測(cè)量和執(zhí)行部分的設(shè)計(jì)選型。

·片面要求安全儀表系統(tǒng)本身的功能，疏忽了安全生命周期其他各階段工作的重要性，如先期的HAZOP、安全需求設(shè)計(jì)規(guī)則（SRS）和后期的操作維護(hù)管理規(guī)范。

·片面看重硬件，疏忽項(xiàng)目管理和執(zhí)行，包括各階段的審查工作和人員資質(zhì)要求。

綜上所述，為適應(yīng)大型化、一體化和長(zhǎng)周期安全穩(wěn)定運(yùn)行的需要，特提出以下幾方面的選型設(shè)計(jì)要點(diǎn)，希望引起大家的重視。

5.1 堅(jiān)持功能安全第一的設(shè)計(jì)理念

在安全儀表系統(tǒng)設(shè)計(jì)過(guò)程中，始終銘記合理有效降低風(fēng)險(xiǎn)的設(shè)計(jì)理念，遵循IEC 61511獨(dú)立保護(hù)層（IPL）安全規(guī)范要求，保證安全儀表系統(tǒng)的獨(dú)立設(shè)置。

人們很容易混淆的概念是“只有安全儀表系統(tǒng)才起安全保護(hù)作用”，實(shí)際上在IEC61511標(biāo)準(zhǔn)中描述了獨(dú)立保護(hù)層（IPL）的概念，在有效降低風(fēng)險(xiǎn)的計(jì)算過(guò)程中，每個(gè)安全相關(guān)的保護(hù)層都起到了一定的作用，這樣才會(huì)使總的PFDavg達(dá)到要求的目標(biāo)值，如果把SIS和DCS合用一套系統(tǒng)實(shí)現(xiàn)，將會(huì)出現(xiàn)如下風(fēng)險(xiǎn)：

·違反IEC61511獨(dú)立保護(hù)層的規(guī)范。

·原來(lái)系統(tǒng)有效的PFDavg值將會(huì)相對(duì)增大，這樣會(huì)降低系統(tǒng)的SIL等級(jí)。

·SIS與DCS合用，將會(huì)在產(chǎn)品設(shè)計(jì)階段帶來(lái)共同原因故障，降低了產(chǎn)品的SIL安全等級(jí)。

5.2 統(tǒng)籌考慮完整的安全儀表回路設(shè)計(jì)

在SIS系統(tǒng)設(shè)計(jì)選型時(shí)，很容易只要求控制器部分的安全性，忽略了現(xiàn)場(chǎng)儀表的安全要求，實(shí)際上安全儀表系統(tǒng)包括了測(cè)量單元、邏輯控制單元和執(zhí)行單元，安全儀表回路的SIL等級(jí)要求是指從測(cè)量到邏輯控制和控制閥執(zhí)行整個(gè)回路的故障失效率。實(shí)際上，就整個(gè)安全回路來(lái)看，由于測(cè)量現(xiàn)場(chǎng)測(cè)量和執(zhí)行單元故障可能導(dǎo)致的危險(xiǎn)在90%以上，控制器本身故障可能導(dǎo)致的危險(xiǎn)不到10%。

5.3 采用冗余容錯(cuò)技術(shù)，兼顧和提高安全儀表系統(tǒng)的可用性

因?yàn)榇蟛糠至鞒坦I(yè)，如乙烯等石化裝置多是高風(fēng)險(xiǎn)易燃易爆的連續(xù)生產(chǎn)裝置，要求安全儀表系統(tǒng)有很高的安全等級(jí)-SIL3。同時(shí)這類(lèi)裝置的生產(chǎn)效益極高，如果由于儀表系統(tǒng)誤停車(chē)，將給生產(chǎn)企業(yè)帶來(lái)很大的經(jīng)濟(jì)損失，同時(shí)由于誤停車(chē)導(dǎo)致的裝置不穩(wěn)定，從而引起工藝氣放火炬燃燒，會(huì)給環(huán)境帶來(lái)污染。也無(wú)從談起長(zhǎng)周期運(yùn)行。

比如，用1oo1D的結(jié)構(gòu)也可達(dá)到SIL3等級(jí)，但可用性低，不適于高經(jīng)濟(jì)效益的裝置。

圖4-3-5

5.4 保持安全等級(jí)不下降，考慮系統(tǒng)的在線可維護(hù)性

為適應(yīng)裝置的長(zhǎng)周期運(yùn)行，在生產(chǎn)過(guò)程中必然要對(duì)系統(tǒng)進(jìn)行必要的維護(hù)保養(yǎng)工作。那么，系統(tǒng)是否可以在線維護(hù)就顯得非常重要，而且維護(hù)的方便性也非常重要，因?yàn)樵诰S護(hù)過(guò)程中由于人為失誤引起的誤停車(chē)概率也是非常大的，所以，在系統(tǒng)在線維護(hù)時(shí)，盡可能不動(dòng)外圍用戶接線端子是最安全的方式。在線維護(hù)可能的工作包括以下事項(xiàng)：

·控制系統(tǒng)部件的在線維修、更換。

·控制系統(tǒng)軟件的在線修改下裝。

·執(zhí)行單元的在線維修、更換，選用SIL3等級(jí)的冗余安全電磁閥。

·現(xiàn)場(chǎng)變送器選用2003表決方式，一般情況下，一個(gè)變速器達(dá)不到安全要求，兩個(gè)串聯(lián)時(shí)可用性降低，所以2003是最適合的方式。

5.5 保持安全等級(jí)不下降，使用在線測(cè)試技術(shù)

在裝置的長(zhǎng)周期運(yùn)行過(guò)程中，要保證高安全等級(jí)要求的回路等級(jí)始終滿足要求，就要從技術(shù)手段上采取措施，最常用的手段就是在線回路測(cè)試。

比如，對(duì)SIL3等級(jí)要求的回路，在安全停車(chē)閥的設(shè)計(jì)中，由于兩個(gè)以上的閥門(mén)串聯(lián)設(shè)計(jì)費(fèi)用很高，所以一般采用一個(gè)閥門(mén)，通過(guò)定期自動(dòng)測(cè)試的原理來(lái)提高閥門(mén)的安全等級(jí)；對(duì)于測(cè)量變送器，通常采用2003的方式，這樣在運(yùn)行中可以拿出來(lái)其中的一個(gè)變送器進(jìn)行校驗(yàn)測(cè)試。

5.6 重視整個(gè)安全生命周期內(nèi)的HAZOP、設(shè)計(jì)、實(shí)施、維護(hù)規(guī)范

請(qǐng)記住，系統(tǒng)故障風(fēng)險(xiǎn)不只是來(lái)自系統(tǒng)硬件和軟件本身，還包括由于設(shè)計(jì)和管理的不完善帶來(lái)的風(fēng)險(xiǎn)：

·不重視HAZOP分析，可能把安全等級(jí)的要求降低，從而給將來(lái)長(zhǎng)周期運(yùn)行帶來(lái)風(fēng)險(xiǎn)。

·不重視HAZOP分析，漏掉了某些安全儀表功能，那么，系統(tǒng)再安全可靠都無(wú)濟(jì)于事。

·不重視安全需求設(shè)計(jì)，比如系統(tǒng)供電、接地設(shè)計(jì)，那么一旦外部原因故障，系統(tǒng)再安全可靠都無(wú)濟(jì)于事。

·不重視安全需求設(shè)計(jì)，比如LDPE等裝置的快速響應(yīng)要求，如果系統(tǒng)的響應(yīng)時(shí)間大于過(guò)程安全時(shí)間，那么系統(tǒng)再安全可靠都無(wú)濟(jì)于事。

·不重視操作維護(hù)管理，比如儀表維護(hù)開(kāi)關(guān)使用的確認(rèn)，很容易引起人為停車(chē)或安全隱患。

·有利于降低系統(tǒng)失效的概論（ S y s t e m a t i cFailures）。

5.7 要有專(zhuān)業(yè)的團(tuán)隊(duì)負(fù)責(zé)整個(gè)項(xiàng)目的管理和實(shí)施

根據(jù)IEC 61511 -1， 5.2.2 和IEC61508-1，6.2.1 中的規(guī)范要求， 從事安全生命周期各階段工作的個(gè)人、部門(mén)和團(tuán)組應(yīng)該具備相應(yīng)的能力、工程經(jīng)驗(yàn)、安全知識(shí)并經(jīng)過(guò)專(zhuān)業(yè)的培訓(xùn)。

6 安全儀表系統(tǒng)的設(shè)計(jì)原則

安全儀表回路的設(shè)計(jì)選型要從測(cè)量單元、邏輯控制單元和執(zhí)行單元綜合考慮，在整個(gè)選型設(shè)計(jì)過(guò)程中既要滿足安全儀表功能的安全等級(jí)要求，又不要過(guò)度設(shè)計(jì)，以免過(guò)度增成本投入。所以，系統(tǒng)選型設(shè)計(jì)要根據(jù)工藝裝置的特點(diǎn)和用戶實(shí)際需求綜合考慮。

以下參考最新國(guó)家標(biāo)準(zhǔn)，GB-T50770-2013《石油化工安全儀表系統(tǒng)設(shè)計(jì)規(guī)范》簡(jiǎn)要介紹一下SIS各單元的設(shè)計(jì)原則。

6.1 安全儀表系統(tǒng)設(shè)計(jì)的基本原則

·獨(dú)立設(shè)置原則：一般情況下，SIS應(yīng)獨(dú)立于過(guò)程控制系統(tǒng)，其檢測(cè)元件、 執(zhí)行元件和邏輯運(yùn)算器及通信部分都應(yīng)單獨(dú)設(shè)置。對(duì)于不能單獨(dú)設(shè)置的SIS系統(tǒng)要確保SIS作用優(yōu)先于過(guò)程控制系統(tǒng)。1級(jí)SIS邏輯運(yùn)算器宜與DCS分開(kāi)；2級(jí)SIS邏輯運(yùn)算器應(yīng)與DCS分開(kāi)；3級(jí)SIS邏輯運(yùn)算器必須與DCS分開(kāi)。

·冗余設(shè)置原則：1級(jí)SIS可采用單一的邏輯運(yùn)算器；2級(jí)SIS宜采用冗余或容錯(cuò)邏輯運(yùn)算器，其中CPU電源單元，通信單元應(yīng)冗余配置，I/O模件宜冗余配置；

3級(jí)SIS應(yīng)采用冗余容錯(cuò)邏輯運(yùn)算器；其中CPU電源單元，通信單元，I/O模件應(yīng)冗余配置。

·結(jié)構(gòu)選用原則：冗余結(jié)構(gòu)既適用于軟件又適用于硬件，可選用一選一、 二選一、三選二等結(jié)構(gòu)，同時(shí)要考慮是勵(lì)磁停車(chē)還是非勵(lì)磁停車(chē)。

·選擇采用技術(shù)的原則：可采用電氣、電子或可編程電子技術(shù)，也可以采用由它們組合的混合技術(shù)。

·故障安全型原則：SIS 系統(tǒng)應(yīng)是故障安全型的，即在系統(tǒng)故障時(shí)應(yīng)保證過(guò)程是安全或趨于安全的狀態(tài)。

·中間環(huán)節(jié)最少原則：SIS的中間環(huán)節(jié)應(yīng)是最少的。

6.2 測(cè)量?jī)x表的選型

·測(cè)量?jī)x表是安全儀表系統(tǒng)的組成部分。測(cè)量?jī)x表包括模擬量和開(kāi)關(guān)量測(cè)量?jī)x表兩種。安全儀表系統(tǒng)宜采用模擬量測(cè)量?jī)x表。

·測(cè)量?jī)x表宜采用4~20mA疊加HART傳輸信號(hào)的智能變送器。

·在爆炸危險(xiǎn)場(chǎng)所， 測(cè)量?jī)x表應(yīng)采用隔爆型（Ex d）或本安型（Ex i）；當(dāng)采用本安型時(shí)，應(yīng)采用隔離式安全柵。

·現(xiàn)場(chǎng)安裝的測(cè)量?jī)x表，防護(hù)等級(jí)應(yīng)不低于IP65。

·測(cè)量?jī)x表不應(yīng)采用現(xiàn)場(chǎng)總線或其他通信方式作為安全儀表系統(tǒng)的輸入信號(hào)。

·測(cè)量?jī)x表及取源點(diǎn)宜獨(dú)立設(shè)置。

6.3 邏輯控制器的選型

·邏輯控制器是安全儀表系統(tǒng)的組成部分。邏輯控制器應(yīng)由可編程電子系統(tǒng)或繼電器系統(tǒng)構(gòu)成,也可混合構(gòu)成。

·邏輯控制器應(yīng)采用國(guó)家權(quán)威機(jī)構(gòu)功能安全認(rèn)證的可編程電子系統(tǒng)。

·對(duì)于輸入輸出點(diǎn)數(shù)較少、邏輯功能簡(jiǎn)單的場(chǎng)合，邏輯控制器可采用繼電器系統(tǒng)。

·邏輯控制器的響應(yīng)時(shí)間包括輸入輸出掃描處理時(shí)間與中央處理單元運(yùn)算時(shí)間，一般為100～300ms。

·邏輯控制器的中央處理單元負(fù)荷不應(yīng)超過(guò)50%。

·邏輯控制器的內(nèi)部通信負(fù)荷不應(yīng)超過(guò)50%，采用以太網(wǎng)的通信負(fù)荷不應(yīng)超過(guò)20%。

6.4 最終元件的選型

·最終元件是安全儀表系統(tǒng)的組成部分。最終元件包括控制閥（調(diào)節(jié)閥、切斷閥）、電磁閥、電機(jī)等。

·安全儀表系統(tǒng)的最終元件宜采用氣動(dòng)控制閥，不宜采用電動(dòng)控制閥。

7 安全儀表系統(tǒng)發(fā)展現(xiàn)狀及趨勢(shì)

安全儀表系統(tǒng)的發(fā)展就控制系統(tǒng)本身的類(lèi)型來(lái)看，經(jīng)歷了繼電器=PLC=新建的有安全SIL等級(jí)要求的工藝生產(chǎn)裝置都使用了經(jīng)過(guò)安全認(rèn)證的PLC系統(tǒng)。對(duì)SIL 3等級(jí)的回路，如需要中間繼電器，該繼電器一般也要求有安全認(rèn)證。

安全儀表系統(tǒng)的應(yīng)用領(lǐng)域也越來(lái)越廣，從國(guó)際和國(guó)內(nèi)來(lái)看，人們對(duì)安全和環(huán)保的認(rèn)識(shí)不斷提高，所以對(duì)安全保護(hù)相關(guān)設(shè)備的要求也不斷提高。目前，安全儀表系統(tǒng)在油氣開(kāi)采、油氣運(yùn)輸、各種石油化工裝置、電力、鍋爐、核電、交通、冶金、環(huán)保、汽車(chē)制造、大型機(jī)械等工業(yè)領(lǐng)域都是必須配置的系統(tǒng)。

安全儀表系統(tǒng)就其功能設(shè)置的要求也越來(lái)也嚴(yán)格，比如，早期的安全聯(lián)鎖系統(tǒng)可能會(huì)用DCS系統(tǒng)來(lái)實(shí)現(xiàn)部分聯(lián)鎖回路功能，隨著IEC等國(guó)際標(biāo)準(zhǔn)在國(guó)內(nèi)的應(yīng)用推廣，人們從理論層面對(duì)安全標(biāo)準(zhǔn)的認(rèn)識(shí)和理解提高一大步，另一方面，人們從以往裝置事故中的慘痛教訓(xùn)引出經(jīng)驗(yàn)，安全儀表系統(tǒng)不但要上，而且應(yīng)把安全儀表系統(tǒng)和DCS系統(tǒng)從軟硬件功能上獨(dú)立設(shè)置。

安全儀表系統(tǒng)就其功能范圍及名詞定義上也不斷地規(guī)范, 以下是我們經(jīng)常遇到的有關(guān)安全儀表系統(tǒng)功能的各種名稱(chēng)解釋。

·安全儀表系統(tǒng)（Safety Instrument System—SIS）。

·儀表保護(hù)系統(tǒng)（Instrument Protective System—IPS）。

·透平壓縮機(jī)集成控制系統(tǒng)（Integrated Turbo &Compressor Control System—ITCC）。

·火災(zāi)及氣體檢測(cè)系統(tǒng)（Fire and Gas System—FGS）。

·緊急停車(chē)系統(tǒng)（Emergency Shutdown Device—ESD）。

·燃燒管理系統(tǒng)（Burner Management System—BMS）。

·高完整性壓力保護(hù)系統(tǒng)（High Integrity PressureProtection System,HIPPS）。

就目前安全儀表的名詞解釋中，SIS應(yīng)該是目前最標(biāo)準(zhǔn)的一種說(shuō)法，從發(fā)展趨勢(shì)的角度可以看出，SIS名詞的應(yīng)用實(shí)際上是對(duì)安全儀表系統(tǒng)相關(guān)工作內(nèi)容或范疇要求的更加全面系統(tǒng)，從只重視安全儀表系統(tǒng)控制器本身的性能，轉(zhuǎn)變?yōu)橹匾暟踩芷谌^(guò)程中各階段的工作，從工藝裝置的HAZOP、安全儀表回路的設(shè)計(jì)、安裝、調(diào)試及操作維護(hù)等方面的工作都非常重要。