1、什么是安全儀表系統

在IEC61508中，SIS被稱為安全相關系統（Safety Related System）,將被控對象稱為被控設備（EUC）。

IEC61511將安全儀表系統SIS定義為用于執行一個或多個安全儀表功能（Safety Instrumented Function,SIF）的儀表系統。SIS是由傳感器（如各類開關、變送器等）、邏輯控制器、以及最終元件（如電磁閥、電動門等）的組合組成,如圖1所示。

IEC61511又進一步指出，SIS可以包括，也可以不包括軟件。另外，當操作人員的手動操作被視為SIS的有機組成部分時，必須在安全規格書（Safety Requirement Specification,SRS)中對人員操作動作的有效性和可靠性做出明確規定，并包括在SIS的績效計算中。

從SIS的發展過程看，其控制單元部分經歷了電氣繼電器（Electrical）、電子固態電路（Electronic）和可編程電子系統（Programmable Electronic System），即E/E/PES三個階段。

安監總局116號文件

國家安全監管總局于2014年11月13日下發《國家安全監管總局關于加強化工安全儀表系統管理 指導意見（安監總管三〔2014〕116號）》

該意見涉及到了生產，設計，管理等多個方面。HAZOP分析，SIL等級評估，安全系統驗證，老裝置安全系統安全等級評估，安全系統改造等，這些工作將在今后幾年中越來越多，越來越重要！

下圖為由PES構成的SIS

圖1 SIS的構成

SIS安全儀表系統

(1) SIF安全儀表功能可以是安全儀表保護功能，也可以是安全儀表控制功能，或包含這兩者。

(2)需要說明的是，這里所說的安全儀表控制功能，是指以連續模式（Continuous Mode）操作并具有特定的SIL,用于防止危險狀態發生或者減輕其發生的后果，與常規的PID控制功能是完全不同的概念。

(3) SIS可以包括或不包括軟件

(4) SIS的一部分也可能是人的動作

如圖2所示，這是一個氣液分離容器A液位控制的安全儀表功能回路圖。對這個安全儀表功能完整的描述是：當容器液位開關達到安全聯鎖值時，邏輯運算器（圖3）使電磁閥2斷電，則切斷進調節閥膜頭信號，使調節閥切斷容器A進料，這個動作要在3秒內完成，安全等級必須達到SIL2。這是一個安全儀表功能的完整描述，而所謂的安全儀表系統，則是類似一個或多個這樣的安全儀表功能的集合。

圖2 安全儀表回路圖

圖2說明：

L液面超高-L1接點閉合-Z帶電。

Z1常閉接點打開，S線圈斷電。

S電磁閥切斷，往調節閥膜頭的控制信號調節閥切斷工藝進料，完成聯鎖保護作用。

K起：按鈕開關：起動聯鎖保護回路兼有復位作用。

K停：起人工強制起動聯鎖保護作用。

K旁：旁路聯鎖保護作用，用于開車或檢修聯鎖信號儀表。

圖3 SIS邏輯圖

大多石油和化工生產過程具有高溫、高壓、易燃、易爆、有毒等危險。當某些工藝參數超出安全極限，未及時處理或處理不當時，便有可能造成人員傷亡、設備損壞、周邊環境污染等惡性事故。這就是說，從安全的角度出發，石油和化工生產過程自身存在著固有的風險。

總之，SIS是一種經專門機構認證，具有一定安全完整性水平，用于降低生產過程風險的儀表安全保護系統。它不僅能響應生產過程因超過安全極限而帶來的風險，而且能檢測和處理自身的故障，從而按預定條件或程序使生產過程處于安全狀態，以確保人員、設備及工廠周邊環境的安全。

按照SIS的定義，下述系統均屬于安全儀表系統：

安全聯鎖系統（Safety Interlock System—SIS）；

安全關聯系統（Safety Related System—SRS）；

儀表保護系統（Instrument Protective System—IPS）；

透平壓縮機集成控制系統（Integrated Turbo & Compressor Control System—ITCC）；

火災及氣體檢測系統（Fire and gas systems—F&G）；

緊急停車系統（Emergency Shutdown Device—ESD）；

燃燒管理系統（Burner Management System）；

列車自動防護系統（ATP）

2、SIS的相關標準及認證機構

鑒于SIS涉及到人員、設備、環境的安全，因此各國均制定了相關的標準、規范，使得SIS的設計、制造、使用均有章可循。并有權威的認證機構對產品能達到的安全等級進行確認。這些標準、規范及認證機構主要有：

(1)我國石化集團制定的行業標準SHB-Z06-1999《石油化工緊急停車及安全聯鎖系統設計導則》。

(2)2006年、2007年等同采用IEC61508、IEC61511的中國國家標準GB/T20438、GB/T21109相繼發布，中國的功能安全標準開始規范我國的功能安全工作。

(3)國際電工委員會1997年制定的IEC 61508/61511標準，對用機電設備（繼電器）、固態電子設備、可編程電子設備（PLC）構成的安全聯鎖系統的硬件、軟件及應用作出了明確規定。

(4)美國儀表學會制定的ISA-S84.01-1996《安全儀表系統在過程工業中的應用》。

(5)美國化學工程學會制定的AICHE（ccps）-1993，《化學過程的安全自動化導則》。

(6)英國健康與安全執行委員會制定的HSE PES-1987，《可編程電子系統在安全領域的應用》。

(7)德國國家標準中有安全系統制造廠商標準-DIN V VDE 0801、過程操作用戶標準-DIN V 19250和DIN V 19251、燃燒管理系統標準-DIN VDE 0116等。

(8)德國技術監督協會（TüV）是一個獨立的、權威的認證機構，它按照德國國家標準（DIN），將ESD所達到的安全等級分為AK1～AK8，AK8安全級別最高。其中AK4、AK5、AK6為適用于石油和化學工業 取得TüV認證的SIS產品。

在國內石化行業中應用的SIS產品中，經過TüV認證的主要有：

(1) Tricon、Triden，美國Triconex公司開發用于壓縮機綜合控制（ITCC）和緊急停車系統。安全等級為AK6（SIL3）。

(2) FSC（Fail safe control），由荷蘭P&F（Pepper&Fuchs）公司開發，1994年被Honeywell公司收購。安全等級AK6（SIL3）

(3)和利時集團HiaGuard（SIS），我國首套獲TüV SIL3認證的安全儀表系統。

(4) HIMA PES，HIMA是德國一家專業生產安全控制設備的公司，PES (Programmable Electronic System)是可編程電子系統的簡稱，是近幾年來國內引進較多的一種安全儀表系統。主要由H41q和H51q系統組成。H41q也叫小系統，它分為不冗余的系統和冗余的系統，不冗余系統型號為H41q—M，冗余系統又分為高可靠系統H41q—H和高性能系統H41q—HR。H51q稱為模塊化的系統，它也分為不冗余的系統和冗余的系統，不冗余的系統型號為H51q—H和高性能系統H51q—HR。各種型號的PES都具有TüV AK1~6級認證。（儀控工程網在線學習頻道，有關于HIMA公司及產品的介紹）

(5) Prosafe—RS，是橫河電機安全儀表系統，其特點是與CENTUMCS.3000 R3的技術融合，即實現了與DSC的無縫集成。非冗余取量即可實現SIL3，通過冗余取量實現更高的可用性。

(6) QUADLOG，由MOORE公司開發，日本橫河電機公司收購后稱prosafe plc，其1oo2D結構安全等級達AK6 (SIL3)；

(7) SIMATICS7—400F/FH，德國SIEMENS公司產品。400F和400FH分別為1個CPU和2個CPU運行fail-safe（F）用戶程序，均取得TUV認證，安全等級為AK1~AK6（SIL1~SIL3）；

(8) Regent Trusted，美國ICS利用宇航技術開發的安全系統。安全等級AK4~AK6（SIL2~SIL3）；

(9) GMR90-70，美國GE Fanuc公司開發。其中GMR90-70(模塊式冗余容錯)的安全等級為class 5（2oo3），class 4（1oo2）和class 5（2oo2）；

(10) TRIGUARD SC300E，AUGUST公司開發，1999年成為ABB集團成員之一，安全等級為class 5和class 6，系統結構為2oo3；

(11) DeltaV SIS是艾默生推出的TüV認證的新型整體回路概念的智能安全儀表系統，安全等級SIL3。

(12) Safeguard 400&300，ABB Industry公司開發，系統結構1oo2D。

（篇幅有限不再一一列舉）

3、SIS和DCS的比較

DCS與由PES構成的SIS的主要區別有：

(1)系統的組成：DCS一般是由人機界面操作站、通信總線及現場控制站組成；而SIS系統是由傳感器、邏輯解算器和最終元件三部分組成。及DCS不含檢測執行部分。

(2)實現功能：DCS用于過程連續測量、常規控制（連續、順序、間歇等）操作控制管理使生產過程在正常情況下運行至最佳工況；而SIS是超越極限安全即將工藝、設備轉至安全狀態。

(3)工作狀態：DCS是主動的、動態的，它始終對過程變量連續進行檢測、運算和控制，對生產過程動態控制確保產品質量和產量。而SIS系統是被動的、休眠的 。

(4)安全級別：DCS安全級別低，不需要安全認證；而SIS系統級別高，需要安全認證。

(5)應對失效方式：DCS系統大部分失效都是顯而易見的，其失效會在生產的動態過程中自行顯現，很少存在隱性失效；SIS失效就沒那么明顯了，因此確定這種休眠系統是否還能正常工作的唯一方法，就是對該系統進行周期性的診斷或測試。因此安全儀表系統需要人為的進行周期性的離線或在線檢驗測試，而有些安全系統則帶有內部自診斷。

4、SIS設計應遵循的原則

(1)原則上應獨立設置（含檢測和執行單元）；

(2)中間環節最少；

(3)應為故障安全型；

(4)采用冗余容錯結構。

5、故障安全原則

組成SIS的各環節自身出現故障的概率不可能為零， 且供電、供氣中斷亦可能發生。

當內部或外部原因使SIS失效時，被保護的對象（裝置）應按預定的順序安全停車，自動轉入安全狀態（Fault toSafety），這就是故障安全原則。

具體體現：

(1)現場開關儀表選用常閉接點，工藝正常時，觸點閉合，達到安全極限時觸點斷開，觸發聯鎖動作，必要時采用“二選一”、“二選二”或“三選二”配置。

(2)電磁閥采用正常勵磁，聯鎖未動作時，電磁閥線圈帶電，聯鎖動作時斷電。

(3)送往電氣配電室用以開/停電機的接點用中間繼電器隔離，其勵磁電路應為故障安全型。

(4)作為控制裝置（如PLC）“故障安全”意味著當其自身出現故障而不是工藝或設備超過極限工作范圍時，至少應該聯鎖動作，以便按預定的順序安全停車（這對工藝和設備而言是安全的）；進而應通過硬件和軟件的冗余和容錯技術，在過程安全時間（PST-Process Safety Time）內檢測到故障，自動執行糾錯程序，排除故障。

6、隱故障與顯故障

隱故障（Covert Fault）：不對危險產生報警，允許危險發展的故障，是故障危險故障（SHB-Z06-1999）。Covert Fault：Fault that can be classified as hidden，concealed，undetected，unrevealed，latent，ect.（ISA-S84.01-1996）

顯故障（Overt Fault）：能顯示出故障自身存在的故障，是故障安全故障（SHB-Z06-1999）。Overt Fault：Fault that can be classified as announced，detected，revealed，ect.（ISA-S84.01-1996）

SIS系統拒動：當工藝條件達到或超過安全極限時，SIS本應引導工藝過程停車，但由于其自身存在隱性故障（危險故障），譬如輸出開關被誤連短路，而不能響應此要求，即該停車而拒停，降低了安全性。危險失效定義為這樣一些失效，這些失效會阻止SIS系統對潛在的危險工況做出反應。

SIS系統誤動：在圖4中，當輸出開關由于某種原因處于非激勵狀態，即使潛在的危險工況沒有發生，SIS也會進入一種安全失效狀態見圖5，這種情況經常被稱為“誤動”。誤動可能會以許多不同方式發生。例如，輸入電路可能會發生故障，從而使邏輯解算器誤認為是傳感器檢測到了危險工況，而事實上并沒有這種情況發生。邏輯解算器本身也可能出現運算錯誤，并導致輸出回路失電，輸出回路可能出現開路。SIS的許多元件失效均會導致系統進入安全失效狀態。

圖4 正常運行時的正常激勵系統

圖5

PFS（安全故障概率）：正常激勵的SIS系統在它的輸出非激勵時，就會處于故障狀態，這有一個概率。稱為安全故障概率（PFS），或稱誤動率。

PFD（要求時失效概率）：這是一個衡量安全性的指標，稱為要求時失效概率。它意味著系統是危險的。它不會再要求（潛在的緊急條件）發生時產生響應。

SIS的功能安全

安全儀表系統必須在工業系統出現危險情況時正確執行其對應的安全功能，安全儀表系統的這種特性被稱為功能安全。

功能安全實際上講的是SIS系統自身的安全問題。

如圖6示安全儀表系統，該系統由一個壓力變送器、一個閥門和一個安全PLC組成的SIS系統。

(1)壓力變送器檢測容器內壓力并將其變換成合適的信號傳送給安全PLC，安全PLC判斷若壓力超過了額定值則打開閥門以降低容器內壓力，這被稱為安全系統的一個安全功能。很明顯例子中儀表安全系統只有一個安全功能。如果三個設備有一個或多個失效，安全功能將失效，即它將不能對壓力容器內壓力進行限制。因此安全儀表系統的安全性能由傳感器、邏輯解算器和執行器三部分功能決定。

(2) SIS安全功能實際上講的是讓SIS執行什么樣的安全任務，如何保護受控設備。

圖6 反應器的安全儀表系統

7、安全性及響應失效率

(1)當工藝條件達到或超過安全極限值時，SIS本應引導工藝過程停車，但由于其自身存在隱故障（危險故障）而不能響應此要求，即該停車而拒停，降低了安全性。

(2)衡量安全性的指標為響應失效率或稱要求的故障率（PFD：Probability of Failure on Demand）。它是安全聯鎖系統按要求執行指定功能的故障概率。是度量安全聯鎖系統按要求模式工作故障率的目標值（SHB-Z06-1999）。

(3)不同的工業過程（如生產規模、原料和產品的種類、工藝和設備的復雜程度等）對安全的要求是不同的。上述的國際標準將其劃分為若干安全完整性等級（SIL：Safety Integrity Level）。

安全完整性等級Safety Integrity Level（SIL）

安全完整性等級（SIL）是一種離散的等級，用來規定分配給E/E/PE安全相關系統安全功能的安全完整性要求。

(1)安全完整性等級可分為4個等級，SIL4是安全完整性最高的等級（平均概率最高），SIL1是最低等級；

(2)安全完整性等級越高，應執行所要求的安全功能的概率也越高；

(3)根據安全相關系統使用方式，要求發生的頻率可分為低要求操作模式（<=1次 ）和高要求或連續操作模式（="">1次/年）。

根據GB/T 20438標準，在不同的操作模式下，安全完整性的目標失效概率和目標風險降低見下表1-1和1-2。

采用不同的操作模式結構有可能使用幾個安全完整性等級較低的系統來滿足一個較高安全完整性等級功能的需要（例如：使用一個SIL2和一個SIL1的系統共同來滿足一個SIL3功能的需要）。

表1-1安全完整性等級：要求時的失效概率

表1-2安全完整性等級：SIF的危險失效概率

表1-3 SIL與PFD的對應關系

8、可用性及可用度

工藝條件并未達到安全極限值，SIS不應引導工藝過程停車，但由于其自身存在顯故障（安全故障）而導致工藝過程停車，即不該停車而誤停，降低了可用性。

可用度（A：Availability）是指系統可使用工作時間的概率，用百分數計算：

MTBF：平均故障間隔時間（Mean Time Between Failures）

MDT：平均停車時間（Mean Downtime）

MTBF：平均故障間隔時間（Mean Time Between Failure）

MTTR：平均恢復時間（Mean Time to Repair）

MTTF：平均無故障時間（Mean Time to Failure）

例如：

9、冗余和容錯

冗余(Redundant)

具有指定的獨立的N：1重元件，并且可以自動地檢測故障，切換到后備設備上。(SHB – Z06 – 1999)冗余系統(Redundant System)并行地使用多個系統部件，以提供錯誤檢測和錯誤校正能力的系統。(SHB – Z06 – 1999)。

容錯(Fault Tolerant)

具有內部冗余的并行元件和集成邏輯，當硬件或軟件部分故障時，能夠識別故障并使故障旁路，進而繼續執行指定的功能?；蛟谟布蛙浖l生故障的情況下，系統仍具有繼續運行的能力。它往往包括三方面的功能：第一是約束故障，即限制過程或進程的動作，以防止在錯誤被檢測出來之前繼續擴大;第二是檢測故障，即對信息和過程或進程的動作進行動態檢測;第三是故障恢復即更換或修正失效的部件。(SHB – Z06 – 1999)

容錯系統(Fault Tolerant System)

具有容錯結構的硬件與軟件系統。(SHB – Z06 – 1999)

總之，通過冗余和故障屏蔽的結合來實現容錯。容錯系統一定是冗余系統，冗余系統不一定是容錯系統。容錯系統的冗余形式有雙重、三重、四重等。圖8和圖9、圖10分別表示CPU冗余(雙機熱備)和三重化冗余容錯系統。