淺析SIS的基本原則及主要特點

SIS的全稱是安全儀表系統(tǒng)，它對參禪裝置或設(shè)備可能發(fā)生的危險采取緊急措施，并對繼續(xù)惡化的狀態(tài)進行及時響應(yīng)，使其進入一個預(yù)定義的安全停車工況，從而使危險和損失降到最低程度，保證生產(chǎn)設(shè)備、環(huán)境和人員安全。目前，SIS已經(jīng)被廣泛應(yīng)用于石化等流程工業(yè)領(lǐng)域，是工廠企業(yè)自動控制中的重要組成部分。

我們先來看一下SIS涉及到的一些專業(yè)術(shù)語（摘自GB/T50770-2013）：

安全儀表系統(tǒng)/safety instrumented system

實現(xiàn)一個或多個安全儀表功能的儀表系統(tǒng)。

過程風險/process risk

因非正常事件引起過程條件改變而產(chǎn)生的風險。

安全生命周期/safety lifecycle

從工程方案設(shè)計開始到所有安全儀表功能停止使用的全部時間。

安全儀表功能/safety instrumented function

為了防止、減少危險事件發(fā)生或保持過程安全狀態(tài)，用測量儀表、邏輯控制器、最終援建以及相關(guān)軟件等實現(xiàn)的安全保護功能或安全控制功能。

安全完整性/safety integrity

在規(guī)定的條件和時間內(nèi)，安全儀表系統(tǒng)完成安全儀表功能的平均概率。

安全完整性等級/safety integrity level

安全功能的等級，安全完整性等級由低到高為SIL1~SIL4。

危險失效/dangerous failure

可能導致安全儀表系統(tǒng)處于潛在危險或喪失功能的失效。

測量儀表/sensor

SIS的組成部分，用于測量過程變量的設(shè)備。

邏輯控制器/logic solver

SIS的組成部分，用于測量過程變量的設(shè)備。

最終元件/final element

SIS的組成部分，執(zhí)行邏輯控制器指令或設(shè)定的動作，使過程達到安全狀態(tài)的設(shè)備。

基本過程控制系統(tǒng)/basic process control system

相應(yīng)過程測量以及其他相關(guān)設(shè)備、其他儀表，控制系統(tǒng)或操作員的輸入信號，按過程控制規(guī)律、算法、方式，產(chǎn)生輸出信號實現(xiàn)過程控制及其相關(guān)設(shè)備運行的系統(tǒng)。

故障安全/failsafe

安全儀表系統(tǒng)發(fā)生故障時，使被控制過程轉(zhuǎn)入預(yù)定安全狀態(tài)。

冗余/redundancy

采用獨立執(zhí)行同一個功能的兩個或多個部件或系統(tǒng)，互為備用及切換。

容錯/fault tolerant

在出現(xiàn)故障或錯誤時，功能單元仍繼續(xù)執(zhí)行規(guī)定功能的能力。

觸點/mechanical contact

由到點的金屬援建組成的機械式電氣器件，在外界因素作用下可以改變接通或斷開到點狀態(tài)。

接點/contact

在外界因素作用下可以改變接通或斷開到點狀態(tài)的電氣器件。

SIS的基本原則

SIS被定義為實現(xiàn)一個或多個安全儀表功能的儀表系統(tǒng)。SIS包括測量儀表、邏輯運算器和最終元件、關(guān)聯(lián)軟件及部件。目前，儀表保護系統(tǒng)IPS、安全聯(lián)鎖系統(tǒng)SIS（Safety Interlocking System）、緊急停車系統(tǒng)ESD、壓力保護系統(tǒng)HIPPS和火氣保護系統(tǒng)F&GS等都屬于安全儀表系統(tǒng)的范疇。

SIS在生產(chǎn)裝置的開車、停車、運行以及維護期間，對人員健康、裝置設(shè)備及環(huán)境提供安全保護。無論是生產(chǎn)裝置本身出現(xiàn)的故障危險，還是人為因素導致的危險以及一些不可抗拒因素引發(fā)的危險，SIS都應(yīng)立即做出正確反應(yīng)并給出相應(yīng)的邏輯信號，使生產(chǎn)裝置安全聯(lián)鎖或停車，阻止危險的發(fā)生和事故的擴散，使危害減少到最小。

安全儀表系統(tǒng)應(yīng)具備高的可靠性、可用性和可維護性。當安全儀表系統(tǒng)本身出現(xiàn)故障時仍能提供安全保護功能。

SIS的主要特點

1.一定的安全完整性等級

SIS充分考慮了系統(tǒng)的整體安全生命周期，提出了評估安全完整性等級（SIL）的方法，規(guī)范了為實現(xiàn)必要的功能安全所使用的工具與措施。SIS系統(tǒng)的設(shè)計與開發(fā)過程必須遵循IEC61508，并應(yīng)通過獨立機構(gòu)（如德國TüV）的功能安全評估和認證，取得認證證書，才能在工業(yè)現(xiàn)場中應(yīng)用。

2.較高的可用性和可維護性

SIS系統(tǒng)的構(gòu)成部分應(yīng)充分考慮到構(gòu)成單元所能達到的安全儀表功能，其采用的邏輯冗余結(jié)構(gòu)構(gòu)成形式，以及系統(tǒng)本身的單一故障是否會造成系統(tǒng)的誤停車等。同時，還要考慮系統(tǒng)帶故障運行時，是否可對故障卡件在線維護，而不需要停整個系統(tǒng)。

3.容錯性的多重冗余系統(tǒng)

SIS系統(tǒng)一般采用多重冗余結(jié)構(gòu)以提高系統(tǒng)的硬件故障裕度，單一故障不會導致SIS系統(tǒng)安全功能喪失。如SIS系統(tǒng)主流的三重化結(jié)構(gòu)（TMR）：它將三路隔離、并行的控制系統(tǒng)（每路稱為一個分電路）和廣泛的診斷集成在一個系統(tǒng)中，用三取二表決提供高度完善、無差錯，不會中斷控制。

4.全面的故障自診斷能力

SIS系統(tǒng)的安全完整性要求還包括避免失效的要求和系統(tǒng)故障控制的要求，同時，構(gòu)成系統(tǒng)的各個部件均需明確故障診斷措施和失效后的行為。系統(tǒng)整體診斷覆蓋率一般高達90%以上。SIS系統(tǒng)的硬件具有高度可靠性，能承受大多數(shù)環(huán)境應(yīng)力，如現(xiàn)場電磁干擾等，從而可以較好地應(yīng)用于各種工業(yè)環(huán)境。

5.響應(yīng)速度快

SIS系統(tǒng)的實時性很好，從輸入變化到輸出變化的響應(yīng)時間一般在50～100ms，一些小型SIS系統(tǒng)的響應(yīng)時間更短。

6.具備順序事件記錄功能

為了更好地進行事故分析與事后追憶，SIS一般具有事件順序記錄（SOE）功能，即可按時問順序記錄各個指定輸入和輸出及狀態(tài)變量的變化時間，記錄精度一般精確到毫秒級。

7.產(chǎn)品的功能安全設(shè)計

實現(xiàn)從傳感器到執(zhí)行元件所組成的整個回路的安全性設(shè)計，具有輸入/輸出（I/O）短路、斷線等監(jiān)測功能。

SIS與DCS等過程控制系統(tǒng)的區(qū)別

1.DCS用于生產(chǎn)過程的連續(xù)測量、常規(guī)控制（連續(xù)、順序、間歇等）、操作控制管理，保證生產(chǎn)裝置的平穩(wěn)運行；SIS用于監(jiān)視生產(chǎn)裝置的運行狀況，對出現(xiàn)異常工況迅速處理，使危害降到最低，使人員和生產(chǎn)裝置處于安全狀態(tài)。

2.DCS是“動態(tài)”系統(tǒng)，始終對過程變量連續(xù)進行檢測、運算和控制，對生產(chǎn)過程進行動態(tài)控制，確保產(chǎn)品的質(zhì)量和產(chǎn)量；SIS是“靜態(tài)”系統(tǒng)，正常工況時，始終監(jiān)視生產(chǎn)裝置的運行，系統(tǒng)輸出不變，對生產(chǎn)過程不產(chǎn)生影響；非正常工況時，按照預(yù)先的設(shè)計進行邏輯運算，使生產(chǎn)裝置安全聯(lián)鎖或停車。

3.SIS比DCS安全性、可靠性、可用性要求更嚴格，因此SIS與DCS硬件理論上應(yīng)獨立設(shè)置。

SIS的設(shè)計原則

當對儀表的安全系統(tǒng)進行設(shè)計時，必須遵循以下幾條基本原則：

可靠性原則

系統(tǒng)的可靠性是指在一定的時間間隔內(nèi)，發(fā)生故障的概率。整個系統(tǒng)的可靠性是由組成系統(tǒng)的各單元可靠性的乘積，任何一個環(huán)節(jié)可靠性的下降都會導致整個系統(tǒng)可靠性的下降。人們通常對于邏輯控制系統(tǒng)的可靠性十分重視，往往忽視檢測元件和執(zhí)行元件的可靠性，使得整套安全儀表系統(tǒng)可靠性低，達不到降低受控設(shè)備風險的要求。可靠性決定系統(tǒng)的安全性。

可用性原則

可用性(可用度)是指可維修的產(chǎn)品在規(guī)定的條件下使用時，在某時刻正常工作的概率?？捎眯圆挥绊懴到y(tǒng)的安全性，但系統(tǒng)的可用性低可能會導致裝置或工廠無法進行正常的生產(chǎn)。

而對于安全儀表系統(tǒng)對工藝過程的認知過程，還應(yīng)當重視系統(tǒng)的可用性，正確地判斷過程事故，盡量減少裝置的非正常停工，減少開、停工造成的經(jīng)濟損失。

故障安全原則

故障安全原則是指，當內(nèi)部或外部原因使SIS失效時，被保護的對象(裝置)應(yīng)按預(yù)定的順序安全停車，自動轉(zhuǎn)入安全狀態(tài)。具體體現(xiàn)為：

(1)現(xiàn)場開關(guān)儀表選用常閉接點，工藝正常時，觸點閉合，達到安全極限時觸點斷開，觸發(fā)聯(lián)鎖動作；

(2)電磁閥采用正常勵磁，聯(lián)鎖未動作時，電磁閥線圈帶電，聯(lián)鎖動作時斷電；

(3)送往電氣配電室用來開/停電機的接點用中間繼電器隔離，其勵磁電路應(yīng)為故障安全型；

(4)作為控制裝置，“故障安全”意味著當其自身出現(xiàn)故障而不是工藝或設(shè)備超過極限工作范圍時，至少應(yīng)該聯(lián)鎖動作。以便按預(yù)定的順序安全停車(這對工藝和設(shè)備而言是安全的)，進而通過硬件和軟件的冗余和容錯技術(shù)，在過程安全時間內(nèi)檢測到故障，自動執(zhí)行糾錯程序，排除故障。

過程適應(yīng)原則

安全儀表系統(tǒng)的設(shè)置必須根據(jù)工藝過程的運行規(guī)律，為工藝過程在正常運行和非正常運行時服務(wù)。正常時安全儀表系統(tǒng)不能影響過程運行，在工藝過程發(fā)生危險情況時安全儀表系統(tǒng)要發(fā)揮作用，保證工藝裝置的安全。這就是系統(tǒng)設(shè)計的過程適應(yīng)原則。

獨立設(shè)置原則

所謂獨立設(shè)置原則，是指整個SIS系統(tǒng)應(yīng)獨立于過程控制系統(tǒng)(如DCS)，以降低控制功能和安全功能同時失效的概率，使其不依附于過程控制系統(tǒng)就能獨立完成自動保護聯(lián)鎖的安全功能。要求獨立設(shè)置的單元應(yīng)當有檢測元件、執(zhí)行元件、邏輯運算元件、通訊設(shè)備。復雜的SIS應(yīng)該合理分解為多個子系統(tǒng)，各個子系統(tǒng)應(yīng)該相對獨立，且分組設(shè)置后備手動功能。

中間環(huán)節(jié)最少原則

SIS的中間環(huán)節(jié)應(yīng)該是最少的。一個回路中儀表越多可靠性越差，典型情況是本安回路的應(yīng)用。因此可盡量采用隔爆型儀表，減少由于安全柵而產(chǎn)生的故障源，減少誤停車。

冗余原則

針對測量儀表，SIL1級安全儀表功能，可采用單一測量儀表；SIL2級安全儀表功能，宜采用冗余測量儀表；SIL3級安全儀表功能，應(yīng)采用冗余測量儀表；當要求高安全性時，應(yīng)采用“或”邏輯結(jié)構(gòu)；當要求高可用性時，應(yīng)采用“與”邏輯結(jié)構(gòu)；當安全性和可用性均需保障時，應(yīng)宜采用“三取二”邏輯結(jié)構(gòu)。

針對最終元件，SIL1級安全儀表功能，可采用單一控制閥；SIL2級安全儀表功能，宜采用冗余控制閥；SIL3級安全儀表功能，應(yīng)采用冗余控制閥；可采用1臺調(diào)節(jié)閥和1臺切斷閥，也可采用2臺切斷閥?？刂崎y的冗余設(shè)置并不表示冗余設(shè)置就對應(yīng)安全完整性等級。不能冗余配置控制閥的場合，采用單一控制閥，但配套的電磁閥宜冗余配置。安全儀表系統(tǒng)的電磁閥應(yīng)優(yōu)先選用耐高溫絕緣線圈，長期帶電型，隔爆型。在工藝過程正常運行時，電磁閥應(yīng)勵磁（帶電）；在工藝過程非正常運行時，電磁閥非勵磁（失電）。

針對邏輯控制器，SIL1級安全儀表功能，宜采用冗余邏輯控制器；SIL2級安全儀表功能，應(yīng)采用冗余邏輯控制器；SIL3級安全儀表功能，必須采用冗余邏輯控制器。

安全儀表系統(tǒng)與基本過程控制系統(tǒng)通信接口應(yīng)冗余配置， 冗余通信接口應(yīng)有診斷功能。