淺析SIS的基本原則及主要特點(diǎn)

SIS的全稱是安全儀表系統(tǒng)，它對(duì)參禪裝置或設(shè)備可能發(fā)生的危險(xiǎn)采取緊急措施，并對(duì)繼續(xù)惡化的狀態(tài)進(jìn)行及時(shí)響應(yīng)，使其進(jìn)入一個(gè)預(yù)定義的安全停車工況，從而使危險(xiǎn)和損失降到最低程度，保證生產(chǎn)設(shè)備、環(huán)境和人員安全。目前，SIS已經(jīng)被廣泛應(yīng)用于石化等流程工業(yè)領(lǐng)域，是工廠企業(yè)自動(dòng)控制中的重要組成部分。

我們先來(lái)看一下SIS涉及到的一些專業(yè)術(shù)語(yǔ)（摘自GB/T50770-2013）：

安全儀表系統(tǒng)/safety instrumented system

實(shí)現(xiàn)一個(gè)或多個(gè)安全儀表功能的儀表系統(tǒng)。

過(guò)程風(fēng)險(xiǎn)/process risk

因非正常事件引起過(guò)程條件改變而產(chǎn)生的風(fēng)險(xiǎn)。

安全生命周期/safety lifecycle

從工程方案設(shè)計(jì)開(kāi)始到所有安全儀表功能停止使用的全部時(shí)間。

安全儀表功能/safety instrumented function

為了防止、減少危險(xiǎn)事件發(fā)生或保持過(guò)程安全狀態(tài)，用測(cè)量?jī)x表、邏輯控制器、最終援建以及相關(guān)軟件等實(shí)現(xiàn)的安全保護(hù)功能或安全控制功能。

安全完整性/safety integrity

在規(guī)定的條件和時(shí)間內(nèi)，安全儀表系統(tǒng)完成安全儀表功能的平均概率。

安全完整性等級(jí)/safety integrity level

安全功能的等級(jí)，安全完整性等級(jí)由低到高為SIL1~SIL4。

危險(xiǎn)失效/dangerous failure

可能導(dǎo)致安全儀表系統(tǒng)處于潛在危險(xiǎn)或喪失功能的失效。

測(cè)量?jī)x表/sensor

SIS的組成部分，用于測(cè)量過(guò)程變量的設(shè)備。

邏輯控制器/logic solver

SIS的組成部分，用于測(cè)量過(guò)程變量的設(shè)備。

最終元件/final element

SIS的組成部分，執(zhí)行邏輯控制器指令或設(shè)定的動(dòng)作，使過(guò)程達(dá)到安全狀態(tài)的設(shè)備。

基本過(guò)程控制系統(tǒng)/basic process control system

相應(yīng)過(guò)程測(cè)量以及其他相關(guān)設(shè)備、其他儀表，控制系統(tǒng)或操作員的輸入信號(hào)，按過(guò)程控制規(guī)律、算法、方式，產(chǎn)生輸出信號(hào)實(shí)現(xiàn)過(guò)程控制及其相關(guān)設(shè)備運(yùn)行的系統(tǒng)。

故障安全/failsafe

安全儀表系統(tǒng)發(fā)生故障時(shí)，使被控制過(guò)程轉(zhuǎn)入預(yù)定安全狀態(tài)。

冗余/redundancy

采用獨(dú)立執(zhí)行同一個(gè)功能的兩個(gè)或多個(gè)部件或系統(tǒng)，互為備用及切換。

容錯(cuò)/fault tolerant

在出現(xiàn)故障或錯(cuò)誤時(shí)，功能單元仍繼續(xù)執(zhí)行規(guī)定功能的能力。

觸點(diǎn)/mechanical contact

由到點(diǎn)的金屬援建組成的機(jī)械式電氣器件，在外界因素作用下可以改變接通或斷開(kāi)到點(diǎn)狀態(tài)。

接點(diǎn)/contact

在外界因素作用下可以改變接通或斷開(kāi)到點(diǎn)狀態(tài)的電氣器件。

SIS的基本原則

SIS被定義為實(shí)現(xiàn)一個(gè)或多個(gè)安全儀表功能的儀表系統(tǒng)。SIS包括測(cè)量?jī)x表、邏輯運(yùn)算器和最終元件、關(guān)聯(lián)軟件及部件。目前，儀表保護(hù)系統(tǒng)IPS、安全聯(lián)鎖系統(tǒng)SIS（Safety Interlocking System）、緊急停車系統(tǒng)ESD、壓力保護(hù)系統(tǒng)HIPPS和火氣保護(hù)系統(tǒng)F&GS等都屬于安全儀表系統(tǒng)的范疇。

SIS在生產(chǎn)裝置的開(kāi)車、停車、運(yùn)行以及維護(hù)期間，對(duì)人員健康、裝置設(shè)備及環(huán)境提供安全保護(hù)。無(wú)論是生產(chǎn)裝置本身出現(xiàn)的故障危險(xiǎn)，還是人為因素導(dǎo)致的危險(xiǎn)以及一些不可抗拒因素引發(fā)的危險(xiǎn)，SIS都應(yīng)立即做出正確反應(yīng)并給出相應(yīng)的邏輯信號(hào)，使生產(chǎn)裝置安全聯(lián)鎖或停車，阻止危險(xiǎn)的發(fā)生和事故的擴(kuò)散，使危害減少到最小。

安全儀表系統(tǒng)應(yīng)具備高的可靠性、可用性和可維護(hù)性。當(dāng)安全儀表系統(tǒng)本身出現(xiàn)故障時(shí)仍能提供安全保護(hù)功能。

SIS的主要特點(diǎn)

1.一定的安全完整性等級(jí)

SIS充分考慮了系統(tǒng)的整體安全生命周期，提出了評(píng)估安全完整性等級(jí)（SIL）的方法，規(guī)范了為實(shí)現(xiàn)必要的功能安全所使用的工具與措施。SIS系統(tǒng)的設(shè)計(jì)與開(kāi)發(fā)過(guò)程必須遵循IEC61508，并應(yīng)通過(guò)獨(dú)立機(jī)構(gòu)（如德國(guó)TüV）的功能安全評(píng)估和認(rèn)證，取得認(rèn)證證書(shū)，才能在工業(yè)現(xiàn)場(chǎng)中應(yīng)用。

2.較高的可用性和可維護(hù)性

SIS系統(tǒng)的構(gòu)成部分應(yīng)充分考慮到構(gòu)成單元所能達(dá)到的安全儀表功能，其采用的邏輯冗余結(jié)構(gòu)構(gòu)成形式，以及系統(tǒng)本身的單一故障是否會(huì)造成系統(tǒng)的誤停車等。同時(shí)，還要考慮系統(tǒng)帶故障運(yùn)行時(shí)，是否可對(duì)故障卡件在線維護(hù)，而不需要停整個(gè)系統(tǒng)。

3.容錯(cuò)性的多重冗余系統(tǒng)

SIS系統(tǒng)一般采用多重冗余結(jié)構(gòu)以提高系統(tǒng)的硬件故障裕度，單一故障不會(huì)導(dǎo)致SIS系統(tǒng)安全功能喪失。如SIS系統(tǒng)主流的三重化結(jié)構(gòu)（TMR）：它將三路隔離、并行的控制系統(tǒng)（每路稱為一個(gè)分電路）和廣泛的診斷集成在一個(gè)系統(tǒng)中，用三取二表決提供高度完善、無(wú)差錯(cuò)，不會(huì)中斷控制。

4.全面的故障自診斷能力

SIS系統(tǒng)的安全完整性要求還包括避免失效的要求和系統(tǒng)故障控制的要求，同時(shí)，構(gòu)成系統(tǒng)的各個(gè)部件均需明確故障診斷措施和失效后的行為。系統(tǒng)整體診斷覆蓋率一般高達(dá)90%以上。SIS系統(tǒng)的硬件具有高度可靠性，能承受大多數(shù)環(huán)境應(yīng)力，如現(xiàn)場(chǎng)電磁干擾等，從而可以較好地應(yīng)用于各種工業(yè)環(huán)境。

5.響應(yīng)速度快

SIS系統(tǒng)的實(shí)時(shí)性很好，從輸入變化到輸出變化的響應(yīng)時(shí)間一般在50～100ms，一些小型SIS系統(tǒng)的響應(yīng)時(shí)間更短。

6.具備順序事件記錄功能

為了更好地進(jìn)行事故分析與事后追憶，SIS一般具有事件順序記錄（SOE）功能，即可按時(shí)問(wèn)順序記錄各個(gè)指定輸入和輸出及狀態(tài)變量的變化時(shí)間，記錄精度一般精確到毫秒級(jí)。

7.產(chǎn)品的功能安全設(shè)計(jì)

實(shí)現(xiàn)從傳感器到執(zhí)行元件所組成的整個(gè)回路的安全性設(shè)計(jì)，具有輸入/輸出（I/O）短路、斷線等監(jiān)測(cè)功能。

SIS與DCS等過(guò)程控制系統(tǒng)的區(qū)別

1.DCS用于生產(chǎn)過(guò)程的連續(xù)測(cè)量、常規(guī)控制（連續(xù)、順序、間歇等）、操作控制管理，保證生產(chǎn)裝置的平穩(wěn)運(yùn)行；SIS用于監(jiān)視生產(chǎn)裝置的運(yùn)行狀況，對(duì)出現(xiàn)異常工況迅速處理，使危害降到最低，使人員和生產(chǎn)裝置處于安全狀態(tài)。

2.DCS是“動(dòng)態(tài)”系統(tǒng)，始終對(duì)過(guò)程變量連續(xù)進(jìn)行檢測(cè)、運(yùn)算和控制，對(duì)生產(chǎn)過(guò)程進(jìn)行動(dòng)態(tài)控制，確保產(chǎn)品的質(zhì)量和產(chǎn)量；SIS是“靜態(tài)”系統(tǒng)，正常工況時(shí)，始終監(jiān)視生產(chǎn)裝置的運(yùn)行，系統(tǒng)輸出不變，對(duì)生產(chǎn)過(guò)程不產(chǎn)生影響；非正常工況時(shí)，按照預(yù)先的設(shè)計(jì)進(jìn)行邏輯運(yùn)算，使生產(chǎn)裝置安全聯(lián)鎖或停車。

3.SIS比DCS安全性、可靠性、可用性要求更嚴(yán)格，因此SIS與DCS硬件理論上應(yīng)獨(dú)立設(shè)置。

SIS的設(shè)計(jì)原則

當(dāng)對(duì)儀表的安全系統(tǒng)進(jìn)行設(shè)計(jì)時(shí)，必須遵循以下幾條基本原則：

可靠性原則

系統(tǒng)的可靠性是指在一定的時(shí)間間隔內(nèi)，發(fā)生故障的概率。整個(gè)系統(tǒng)的可靠性是由組成系統(tǒng)的各單元可靠性的乘積，任何一個(gè)環(huán)節(jié)可靠性的下降都會(huì)導(dǎo)致整個(gè)系統(tǒng)可靠性的下降。人們通常對(duì)于邏輯控制系統(tǒng)的可靠性十分重視，往往忽視檢測(cè)元件和執(zhí)行元件的可靠性，使得整套安全儀表系統(tǒng)可靠性低，達(dá)不到降低受控設(shè)備風(fēng)險(xiǎn)的要求?？煽啃詻Q定系統(tǒng)的安全性。

可用性原則

可用性(可用度)是指可維修的產(chǎn)品在規(guī)定的條件下使用時(shí)，在某時(shí)刻正常工作的概率?？捎眯圆挥绊懴到y(tǒng)的安全性，但系統(tǒng)的可用性低可能會(huì)導(dǎo)致裝置或工廠無(wú)法進(jìn)行正常的生產(chǎn)。

而對(duì)于安全儀表系統(tǒng)對(duì)工藝過(guò)程的認(rèn)知過(guò)程，還應(yīng)當(dāng)重視系統(tǒng)的可用性，正確地判斷過(guò)程事故，盡量減少裝置的非正常停工，減少開(kāi)、停工造成的經(jīng)濟(jì)損失。

故障安全原則

故障安全原則是指，當(dāng)內(nèi)部或外部原因使SIS失效時(shí)，被保護(hù)的對(duì)象(裝置)應(yīng)按預(yù)定的順序安全停車，自動(dòng)轉(zhuǎn)入安全狀態(tài)。具體體現(xiàn)為：

(1)現(xiàn)場(chǎng)開(kāi)關(guān)儀表選用常閉接點(diǎn)，工藝正常時(shí)，觸點(diǎn)閉合，達(dá)到安全極限時(shí)觸點(diǎn)斷開(kāi)，觸發(fā)聯(lián)鎖動(dòng)作；

(2)電磁閥采用正常勵(lì)磁，聯(lián)鎖未動(dòng)作時(shí)，電磁閥線圈帶電，聯(lián)鎖動(dòng)作時(shí)斷電；

(3)送往電氣配電室用來(lái)開(kāi)/停電機(jī)的接點(diǎn)用中間繼電器隔離，其勵(lì)磁電路應(yīng)為故障安全型；

(4)作為控制裝置，“故障安全”意味著當(dāng)其自身出現(xiàn)故障而不是工藝或設(shè)備超過(guò)極限工作范圍時(shí)，至少應(yīng)該聯(lián)鎖動(dòng)作。以便按預(yù)定的順序安全停車(這對(duì)工藝和設(shè)備而言是安全的)，進(jìn)而通過(guò)硬件和軟件的冗余和容錯(cuò)技術(shù)，在過(guò)程安全時(shí)間內(nèi)檢測(cè)到故障，自動(dòng)執(zhí)行糾錯(cuò)程序，排除故障。

過(guò)程適應(yīng)原則

安全儀表系統(tǒng)的設(shè)置必須根據(jù)工藝過(guò)程的運(yùn)行規(guī)律，為工藝過(guò)程在正常運(yùn)行和非正常運(yùn)行時(shí)服務(wù)。正常時(shí)安全儀表系統(tǒng)不能影響過(guò)程運(yùn)行，在工藝過(guò)程發(fā)生危險(xiǎn)情況時(shí)安全儀表系統(tǒng)要發(fā)揮作用，保證工藝裝置的安全。這就是系統(tǒng)設(shè)計(jì)的過(guò)程適應(yīng)原則。

獨(dú)立設(shè)置原則

所謂獨(dú)立設(shè)置原則，是指整個(gè)SIS系統(tǒng)應(yīng)獨(dú)立于過(guò)程控制系統(tǒng)(如DCS)，以降低控制功能和安全功能同時(shí)失效的概率，使其不依附于過(guò)程控制系統(tǒng)就能獨(dú)立完成自動(dòng)保護(hù)聯(lián)鎖的安全功能。要求獨(dú)立設(shè)置的單元應(yīng)當(dāng)有檢測(cè)元件、執(zhí)行元件、邏輯運(yùn)算元件、通訊設(shè)備。復(fù)雜的SIS應(yīng)該合理分解為多個(gè)子系統(tǒng)，各個(gè)子系統(tǒng)應(yīng)該相對(duì)獨(dú)立，且分組設(shè)置后備手動(dòng)功能。

中間環(huán)節(jié)最少原則

SIS的中間環(huán)節(jié)應(yīng)該是最少的。一個(gè)回路中儀表越多可靠性越差，典型情況是本安回路的應(yīng)用。因此可盡量采用隔爆型儀表，減少由于安全柵而產(chǎn)生的故障源，減少誤停車。

冗余原則

針對(duì)測(cè)量?jī)x表，SIL1級(jí)安全儀表功能，可采用單一測(cè)量?jī)x表；SIL2級(jí)安全儀表功能，宜采用冗余測(cè)量?jī)x表；SIL3級(jí)安全儀表功能，應(yīng)采用冗余測(cè)量?jī)x表；當(dāng)要求高安全性時(shí)，應(yīng)采用“或”邏輯結(jié)構(gòu)；當(dāng)要求高可用性時(shí)，應(yīng)采用“與”邏輯結(jié)構(gòu)；當(dāng)安全性和可用性均需保障時(shí)，應(yīng)宜采用“三取二”邏輯結(jié)構(gòu)。

針對(duì)最終元件，SIL1級(jí)安全儀表功能，可采用單一控制閥；SIL2級(jí)安全儀表功能，宜采用冗余控制閥；SIL3級(jí)安全儀表功能，應(yīng)采用冗余控制閥；可采用1臺(tái)調(diào)節(jié)閥和1臺(tái)切斷閥，也可采用2臺(tái)切斷閥?？刂崎y的冗余設(shè)置并不表示冗余設(shè)置就對(duì)應(yīng)安全完整性等級(jí)。不能冗余配置控制閥的場(chǎng)合，采用單一控制閥，但配套的電磁閥宜冗余配置。安全儀表系統(tǒng)的電磁閥應(yīng)優(yōu)先選用耐高溫絕緣線圈，長(zhǎng)期帶電型，隔爆型。在工藝過(guò)程正常運(yùn)行時(shí)，電磁閥應(yīng)勵(lì)磁（帶電）；在工藝過(guò)程非正常運(yùn)行時(shí)，電磁閥非勵(lì)磁（失電）。

針對(duì)邏輯控制器，SIL1級(jí)安全儀表功能，宜采用冗余邏輯控制器；SIL2級(jí)安全儀表功能，應(yīng)采用冗余邏輯控制器；SIL3級(jí)安全儀表功能，必須采用冗余邏輯控制器。

安全儀表系統(tǒng)與基本過(guò)程控制系統(tǒng)通信接口應(yīng)冗余配置， 冗余通信接口應(yīng)有診斷功能。