failsafe 详解SIS聊聊安全仪表系统重要的那些事~

引导语言

安全仪表系统(SIS)的全称是安全仪表系统(safety instrumented system)，它针对装置或设备可能存在的危害采取应急措施，并及时响应不断恶化的状态，使其进入预定的安全关断状态，从而最大限度地减少危害和损失，确保生产设备、环境和人员的安全。目前，SIS已广泛应用于石油化工等过程工业，是工厂企业自动控制的重要组成部分。

我们先来看看SIS涉及的一些技术术语(摘自GB/T50770-2013):

安全仪表系统

实现一个或多个安全仪表功能的仪表系统。

过程风险/过程风险

异常事件引起的工艺条件变化所产生的风险。

安全生命周期

从设计工程方案到停止所有安全仪表功能的整个时间。

安全仪表功能/安全仪表功能

通过测量仪器、逻辑控制器、最终辅助结构及相关软件等实现的安全保护功能或安全控制功能。，以防止和减少危险事件的发生或保持过程的安全状态。

安全完整性/安全完整性

安全仪表系统在特定条件和时间下完成安全仪表功能的平均概率。

安全完整性等级/安全完整性等级

安全功能级别和安全完整性级别从低到高依次为SIL1~SIL4。

危险的失败/危险的失败

可能导致潜在危险或安全仪表系统功能丧失的故障。

测量仪器/传感器

SIS的一个组件，用于测量过程变量的设备。

逻辑控制器/逻辑求解器

SIS的一个组件，用于测量过程变量的设备。

最终组件/最终元素

安全信息系统的一个组成部分，一种执行由逻辑控制器设置的指令或动作以使过程达到安全状态的设备。

基本过程控制系统/基本过程控制系统

根据过程测量和其他相关设备、其他仪表、控制系统或操作人员的输入信号，产生输出信号，实现过程控制和相关设备的操作。

故障保险

当安全仪表系统出现故障时，受控过程将转移到预定的安全状态。

冗余/冗余

独立执行相同功能的两个或多个组件或系统用于待机和切换。

容错/容错

功能部件在出现故障或错误时继续执行特定功能的能力。

接触/机械接触

由点到点金属辅助组成的机电装置，在外界因素的作用下，可以点到点地接通或关断。

联系人/联系人

一种电气设备，在外部因素的影响下可以接通或切断某一点。

安全信息系统的基本原则

安全仪表系统被定义为实现一个或多个安全仪表功能的仪表系统。SIS包括测量仪器、逻辑操作器和最终元件、相关软件和组件。目前仪表保护系统IPS、安全联锁系统sis、紧急停车系统ESD、压力保护系统HIPPS、消防及气体保护系统f & g:GS等。属于安全仪表系统的范畴。

SIS在生产设备的启动、关闭、运行和维护期间，为人员健康、设备和环境提供安全保护。无论生产装置本身的故障危险、人为因素造成的危险、某些不可抗拒因素造成的危险，SIS都应立即正确响应，并给出相应的逻辑信号，使生产装置安全联锁或停止，防止危险的发生和事故的蔓延，将危害降到最低。

安全仪表系统应具有高可靠性、可用性和可维护性。当安全仪表系统本身发生故障时，仍能提供安全保护功能。

安全信息系统的主要特点

1.一定的安全完整性等级

SIS充分考虑了系统的整个安全生命周期，提出了安全完整性等级(SIL)的评估方法，规范了实现必要功能安全所使用的工具和措施。SIS系统的设计和开发过程必须符合IEC61508，并应通过独立机构(如德国电视)的功能安全评估和认证，获得认证后才能应用于工业领域。

2.高可用性和可维护性

SIS系统的组件应充分考虑组件所能实现的安全仪表的功能，组件所采用的逻辑冗余结构形式，系统本身的单一故障是否会导致系统误停机。同时也要考虑在系统出现故障运行时，故障卡是否可以在线维护而不停机整个系统。

3.容错多冗余系统

SIS系统一般采用多重冗余结构来提高系统的硬件故障裕度，单一故障不会造成SIS系统安全功能的丧失。例如，SIS系统的主流三重结构(TMR)将三个隔离的并行控制系统(每个称为一个子电路)和广泛的诊断集成到一个系统中，并通过从三个系统中进行投票来提供高度完善、无错误和不间断的控制。

4.综合故障自诊断能力

SIS系统的安全性和完整性要求还包括避免故障和系统故障控制的要求。同时，系统的每个组件必须清楚故障诊断措施和故障后的行为。系统整体诊断覆盖率一般高达90%以上。SIS系统的硬件可靠性高，能够承受大部分环境应力，如现场电磁干扰，因此可以应用于各种工业环境。

5.响应速度快

SIS系统具有良好的实时性。从输入变化到输出变化的响应时间一般为50 ~ 100 ms，一些小型SIS系统响应时间较短。

6.具有顺序事件记录功能

为了更好的分析事故和事后回忆，SIS一般都有事件序列记录(Event Sequence Recording，SOE)功能，可以按时间顺序记录每个指定的输入输出和状态变量的变化时间，记录精度一般精确到毫秒级。

7.产品的功能安全设计

实现了从传感器到执行器整个回路的安全设计，并具有I/O短路和断线的监控功能。

安全仪表系统与集散控制系统及其他过程控制系统的区别

1.DCS用于连续测量、常规控制(连续、顺序、间歇等)。)和生产过程的运行控制管理，确保生产装置的平稳运行；SIS用于监控生产装置的运行状态，快速处理异常工况，将危害降到最低，保持人员和生产装置处于安全状态。

2.DCS是一个“动态”系统，持续检测、计算和控制过程变量，动态控制生产过程，保证产品质量和产量；SIS是一个“静态”系统。正常工况下，生产装置的运行始终受到监控，系统输出保持不变，对生产过程没有影响；出现异常工况时，按照预先设计进行逻辑操作，使生产装置安全联锁或停止。

3.SIS对安全性、可靠性和可用性的要求比DCS更严格，所以理论上SIS和DCS硬件应该独立设置。

SIS的设计原则

设计仪器安全系统时，必须遵循以下基本原则:

可靠性原则

系统可靠性是指一定时间间隔内发生故障的概率。整个系统的可靠性是系统各单元可靠性的产物，任何一个环节的可靠性下降都会导致整个系统的可靠性下降。人们通常非常重视逻辑控制系统的可靠性，往往忽视了检测元件和执行元件的可靠性，使得整个安全仪表系统的可靠性较低，不能满足降低受控设备风险的要求。可靠性决定了系统的安全性。

可用性原则

可用性(Availability)是指可修复产品在特定条件下使用时，在一定时间内能够正常工作的概率。可用性不影响系统的安全性，但系统的低可用性可能会导致设备或工厂的正常生产。

至于安全仪表系统对工艺过程的认知过程，也要注意系统的可用性，正确判断工艺事故，尽量减少装置的非正常停车，减少因开停车造成的经济损失。

故障安全原则

防故障原理是指当SIS由于内部或外部原因发生故障时，被保护对象(装置)应按照预定顺序安全停止，并自动转入安全状态。具体体现如下:

(1)现场开关仪表选用常闭触点。当过程正常时，触点闭合，当达到安全极限时，触点断开，触发联锁动作；

(2)电磁阀采用正常励磁。联锁不动作时，电磁阀线圈带电，联锁动作时，断电；

(3)送至配电室启动/停止电机的触点应由中间继电器隔离，励磁电路应具有故障保护功能；

(4)作为控制装置，“防故障”是指当自身发生故障，但过程或设备超出极限工作范围时，至少应联锁。从而按照预定的顺序安全停止(对工艺和设备都是安全的)，然后通过硬件和软件的冗余和容错技术，在工艺安全时间内检测出故障，并自动执行纠错程序排除故障。

过程适应原则

根据工艺运行规律，安全仪表系统的设置必须服务于工艺的正常运行和异常运行。正常情况下，安全仪表系统不能影响过程的运行，当过程中出现危险情况时，安全仪表系统应起到保证过程装置安全的作用。这就是系统设计的过程适配原则。

独立设置原则

所谓独立设置原则，是指整个SIS系统应独立于过程控制系统(如DCS)，以降低控制功能和安全功能同时失效的概率，使其能够独立完成自动保护联锁的安全功能，而不依附于过程控制系统。要求独立设置的单元应有检测元件、执行元件、逻辑运算元件和通讯设备。复杂的SIS要合理分解成多个子系统，每个子系统要相对独立，备份手动功能要分组设置。

最小中间环节原则

SIS的中间环节应该最少。电路中的仪器越多，可靠性越差。典型案例是本质安全电路的应用。所以可以尽量使用隔爆型仪表，减少安全栅造成的故障源，减少误停车。

冗余原则

对于测量仪表和SIL1安全仪表功能，可以使用单个测量仪表；SIL2安全仪表功能，应采用冗余测量仪表；SIL3级的安全仪表功能应使用冗余测量仪表。当需要高安全性时，应采用或逻辑结构。当需要高可用性时，应采用“与”逻辑结构。在安全性和可用性都有保证的情况下，应该采用“三选二”的逻辑结构。

对于最终部件，SIL1安全仪表功能，可以使用单个控制阀；SIL2级安全仪表功能应采用冗余控制阀。SIL3级安全仪表功能应采用冗余控制阀。可以使用一个调节阀和一个切断阀，也可以使用两个切断阀。控制阀的冗余设置并不意味着冗余设置对应于安全完整性等级。当控制阀不能冗余配置时，应采用单个控制阀，但配套的电磁阀应冗余配置。安全仪表系统的电磁阀应为耐高温绝缘线圈、长寿命型和隔爆型。过程正常运行时，电磁阀应励磁(充电)；过程异常时，电磁阀不励磁(断电)。

对于逻辑控制器和SIL1安全仪表功能，应采用冗余逻辑控制器。SIL2级安全仪表功能应采用冗余逻辑控制器。SIL3级的安全仪表功能必须使用冗余逻辑控制器。

安全仪表系统与基本过程控制系统之间的通信接口应冗余配置，冗余通信接口应具有诊断功能。