2023年施工员培训安全仪表系统

安全仪表系统

一、概述

1.安全仪表系统(SIS)的定义

SIS是SafetyInstrumentedSystem肚I简称,中文的I意思是安全仪表系统”

它是根据美国仪表学会(ISA)对安全控制系统的I定义而得名的。安全仪表系

统(SIS)也称为紧急停车系统(ESD)、安全联锁系统(SIS)或仪表保护系统

(IPS)o

简要时说，安全仪表系统(SIS)是指能实现一种或多种安全功能的系统。

安全仪表系统在石油、石油化工等领域已经有较多欧I产品：例如

Honeywell企业及IFSC(FailSafeControlSystem)故障安全控制系统、德国

HIMA企业於IPES(ProgrammableElectronicSystem)可编程电子系统等。

安全仪表系统(SIS)重要包括三大部分：传感器部分、逻辑运算部分和最

终执行元件部分。

SIS系统具有高可靠性(Reliability)、可用性(Availability)和可维护

性(Maintainability),并且在SIS内部出现故障或外界干扰的I状况下是安

全欧I。

2.安全仪表系统(SIS)的I分类

从SIS发展历史来看，安全仪表系统(SIS)经历了继电器系统、固态电

路系统和可编程电子系统3个阶段。

(1)继电器系统

A.采用单元化构造，由继电器执行逻辑，通过重新接线来重新编程。

B.可靠性高，具有故障安全特性，电压合用范围宽，一次性投资较低,

可分散于工厂各处，抗干扰能力强。

C.系统庞大而复杂，灵活性差，进行功能修改或扩展不以便，无串行

通信功能，无汇报和文档功能。易导致误停车，无自诊断能力。顾客维修

周期长，费用高。

(2)固态电路系统

A.采用模块化构造，采用独立固态器件，通过硬接线来构成系统，实

现逻辑功能。

B.构造紧凑，可进行在线测试，易于识别故障，易于更换和维护，可

进行串行通信，可配置成冗余系统。

C.灵活性不够，逻辑修改或扩展必须变化系统硬连线，大系统操作费

用较高，可靠性不如继电器系统。

(3)可编程电子系统

A.以微处理器技术为基础日勺PLC,采用模块化构造，通过微处理器和

编程软件来执行逻辑。

B.强大、以便灵活的I编程能力，有内部自测试和自诊断功能可进行双

重化串行通信，可配置成冗余或三重模块冗余(TMR)系统，可带操作和

编程终端，可带时序事件记录(SER)O

3.安全仪表系统(SIS)的特点

(1)SIS可以检测潜在的危险故障，具有高安全性，覆盖范围宽的自

诊断功能。

(2)SIS需符合国际安全原则规定的仪表安全原则，从系统开发阶

段开始，要接受第三方认证机构(TiiV等)的审查，获得认证资格，系统

方可投入实际运行。

(3)SIS自诊断覆盖率大，维修时检查的点数非常少。诊断覆盖率是

指可在线诊断出的故障系统所有故障的百分数。

(4)SIS由采用冗余逻辑表决方式的输入单元、逻辑构造单元、输出

单元三部分构成系统，逻辑表决的应用程序修改轻易，尤其是可编程型SIS,

根据工程实际规定，修改软件即可。

(5)SIS由局域网、DCSI/F(人机接口)及开放式网络等构成多种系

统。

(6)SIS设计尤其重视从传感器到最终执行机构所构成的回路整体及I

安全性保证，具有I/O断线、短路等的监测功能。

二、安全仪表系统(SIS)区I构成

1.SIS系统欧I构成分为传感器部分、逻辑运算部分和最终执行器单元三

部分。其构造简图如下:

A.传感器单元采用多台仪表或系统，将控制功能与安全联锁功能隔离，

即传感器分开独立配置的原则，做到安全仪表系统与过程控制系统的实体

分离。

B.最终执行元件（切断阀、电磁阀）是安全仪表系统中危险性最高的设

备。

C.逻辑运算单元由输入模块、控制模块、诊断回路、输出模块4部分构

成。

SIS故障有两种：显性故障（安全故障）和隐性故障（危险故障）。显性

故障（如系统短路等），由于故障出现使数据产生变化，通过比较可立即检

测出，系统自动产生矫正作用，进入安全状态，因此显性故障不影响系统

安全性，仅影响系统可用性，故又称为无损害故障（FailtoNuisance,FTN）。

隐性故障（如I/O短路等），开始不影响到数据，仅能通过自动测试程序方

可检测出，它不会使正常得电区I元件失电，因此又称为危险故障（Failto

Danger,FTD）,系统不能产生动作进入安全状态。隐性故障影响系统的安

全性，隐性故障日勺检测和处理是SIS系统的重要内容。

安全仪表系统的逻辑单元构造选择见下表:

逻辑单元构造IEC61508SILTuVAKDINVI9520

loo11AK2,AK31,2

looID2AK43,4

loo22AK43,4

loo2D3AK5,65,6

2oo33AK5,65,6

2oo43AK5,65,6

2.SIS与DCS时区别

SIS与DCS在石油、石化生产过程中分别起着不一样欧I作用，如下图

所示：

生产装置的安全层次

生产装置从安全角度来讲，可分为3个层次：第一层为生产过程层，第

二层为过程控制层，第三层为安全仪表系统停车保护层。

SIS与DCS%I区别见下表:

DCSSIS

DCS用与过程持续测量、常规SIS用与监视生产装置的运行状况，

控制(持续、次序、间歇等)、对出现异常工况迅速进行处理，使故

操作控制管理，保证生产装置障发生时也许性降到最低，使人和装

平稳运行置处在安全状态

SIS是静态系统，在正常工况下，它

DCS是“动态”系统，它一直

一直监视装置的运行，系统输出不

对过程变量持续进行检测、运

变，对生产过程不产生影响，在异常

算和控制，对生产过程动态控

工况下，它将按着预先设计欧1方略进

制，保证产品质量和产量

行逻辑运算，使生产装置安全停车

DCS可进行故障自动显示SIS必须测试潜在故障

DCS对维修时间欧1长短欧1规定SIS维修时间非常关键，弄不好导致

不算苛刻装置全线停车

SIS永远不容许离线运行，否则生产

DCS可进行自动/手动切换

装置将失去安全保护屏障

DCS系统只做一般联锁、泵的SIS与DCS相比，在可靠性、可用性

开停、次序等控制，安全级别上规定更严格，IEC61508,ISA384.01

规定不象SIS那么高强烈推荐SIS与DCS硬件独立设置

3.SIS系统的配置方案

(1)a型控制系统和联锁系统所有由DCS控制站完毕。过程控制信

息由通信网络传给操作站显示报警，操作员的操作指令由操作站通过通信

网络传给控制站执行，这就是控制、联锁一体化型。

(2)b型控制系统信号由一组控制站完毕，报警联锁信号由另一组控

制站完毕。两站信息由通信网络送到操作站，操作员的指令由操作站经通

信网络送达各个控制站执行，就是控制、联锁站站分开型。

(3)c型控制信号由DCS独立执行。联锁信号由PLC独立执行，PLC

由独立的编程器进行软件编写，重要的信息送操作台硬灯显示或由操作台

发出硬开关动作指令。PLC联锁报警的非重要信号由通信接口送到通信网

络并传到操作站进行显示，部分非重要指令由操作站发出，送PLC执行，

就是DCS+PLC型。

(4)d型控制报警信号由DCS系统执行，重要的联锁信号由继电器系

统完毕。由硬开关及硬灯构成的操作台进行显示和操作，就是DCS+PLY型。

(5)e型控制信号由DCS独立完毕，联锁报警信号由三重冗余的紧急

联锁控制器ESD完毕。软件编程器独立设置，重要动作及操作指令由独立

操作台显示和发出，非重要信号和指令由通信接口经通信网络送操作站显

示和发出，就是DCS+ESD型。

总之SIS原则上应单独设置，独立与DCS和其他系统，并与DCS进行

通信；SIS应具有完善的诊断测试功能，SIS应采用经TiiV安全认证区JPLC

系统；SIS关联的检测元件、执行机构原则上单独设置；SIS中间环节应保

持至少；SIS应采用冗余或容错构造；SIS应设计成故障安全型，I/O模件

应带电磁隔离或光电隔离，每通道应互相隔离，可带电插拔；来自现场时

三取二信号应分别接到三个不一样的输入卡，当模拟量输入信号同步用于

SIS、DCS时，应先接到SIS区IAI卡，采用SIS系统对变送器进行供电。

三、工艺过程的风险评估及安全功能SIS等级确实定

1、有关欧I几种概念：

(1)安全度及安全度等级安全联锁系统在一定条件和一定期间周期

内执行指定安全功能欧I概率称为安全度。安全联锁系统的安全等级称为安

全度等级，用PED(ProbabilityofFailureonDemand)即危险概率来定义。

(2)SIL及SIL分级SIL是SafetyIntegrityLevel的简称，中文的意思

是综合安全级别也称为安全度等级。它是美国仪表学会(ISA)在S84.01

原则中对过程工业中安全仪表系统所作的分类等级，SIL分为1、2、3三级:

SIL1级每年故障危险的平均概率为0.10〜0.01之间；

SIL2级每年故障危险的平均概率为0.01-0.001之间；

SIL3级每年故障危险的平均概率为0.001-0.0001之间。

SIL等级确实认：

1级：装置也许很少发生事故。如发生事故，不会立即导致环境污染和

人员伤亡，经济损失不大。

用于本级别日勺安全仪表系统，需获得SIL1级和TUV2-3级认证，对装

置和产品起一般的保护。

2级：装置也许偶尔发生事故。如发生事故，对装置和产品有较大的影

响，并有也许导致环境污染和人员伤亡，经济损失较大。

用于本级别的安全仪表系统，需获得SIL2级和TiiV4级认证，对装置

和产品提供保护。

3级：装置也许常常发生事故。如发生事故，对装置和产品将导致严重

日勺影响，并导致严重的环境污染和人员伤亡，经济损失严重。

用于本级别欧I安全仪表系统，需获得SIL3级和TUV5-6级认证，对装

置和产品提供保护。

(3)IEC61508原则IEC61508原则是国际电工委员会(IEC)对与安

全有关的安全控制系统制定的性能安全原则，与ISA的SIL相比，除了覆

盖ISA中日勺SIL1〜3等级以外，增长了第四级原则，IECSIL4级原则每年

故障危险的平均概率为0.0001-0.00001之间。

(4)TiiV原则TuV是德国技术监督协会的I缩写。DINV,19250是TiiV

证书中评估产品的原则。TuV原则是德国莱茵认证机构对工业过程安全控

制系统所作欧I分类等级。TiiV共分为8级(AK1〜AK8),AK2/3对应于SIL1

级，AK4对应于SIL2,AK5/6对应于SIL3级，AK7对应于SIL4级，AK8

是目前最高级别的I安全原则，故障概率不小于十万分之一，目前没有与

E/E/PES安全有关的系统能满足规定，ISA和IEC尚未制定对应于AK8的

原则。

2.DINV,19250/IEC61508原则风险分析图

工艺过程的风险是以恶性事故概率及其导致的后果来衡量的I。目的安

全水平是以可接受的恶性事故概率及其导致的后果来确定的。目的安全水

平与恶性事故概率之间欧I差值就是安全功能的SIL等级，即SIS系统中采

用SIL等级的安全功能来使恶性事故概率低于目的I安全水平。DINV,19250/

IEC61508原则风险分析图如图所示。

推断危险避免

危险的参数（C）发生的频率（F）危险的可能型（P）不希望发生事故的舐军（W）

轻微的伤害（G）

/对环境无影响

/

/

/死亡］人（C?）

/周期性地

.隘（影响环境

起点W

\\死亡几人（G）

\长期地

\影邨画（以）

灾难性事件发生

RC(AK)安全等级

(DFNV19250)S1L

(IEC61508)

图10-4DINV19250/IEC61508

CT险损害程度的分类,F-风险的频率和出现风险的时跳p-避免风险发生的可能性，W-不带里出现

风龄的概率…2…，8-必须采取的最小的抑制风险级।…一没有安全要求…-没有特殊安全要求

3.综合安全级别确定

SIL等级既有三种技术来确定：定性风险评估技术，半定量风险评估

技术及定量风险评估技术。

安全功能故障率

整体安全水平（SIL）安全功能故障率

SIL420-5〜10-4

SIL3210-4〜10-3

SIL2210-3〜10-2

SIL1210-2〜10-1

DINV,19250/IEC61508原则风险分析图中，IEC61508原则安全度等

级SIL与DINV,19250最小克制风险级别AK（TiiV原则）的对应关系如

下表所示：

IEC61508ANSI/ISADINV,19250

说明

SILS84.01SILAKClass

仅对少许的财产和简朴的生产和

112、3产品进行保护

对大量的财产和复杂欧1生产和产

224品进行保护，也对生产操作人员

进行保护

对工厂的财产，全体员工的生命

335、6和整个小区的安全进行保护

防止劫难性的（例如核事故）会

4-7对整个小区形成巨大冲击的1事故

四、SIS安全仪表系统常用术语

1.故障（Failure）针对控制系统的安全而言，故障分为安全故障和严

禁故障。安全故障是指此故障不会引起生产装置劫难性事故，而严禁故障

是指故障一旦发生，会引起装置劫难性后果。

下面以紧急停车系统（ESS）为例来阐明安全故障和严禁故障的区别:

传感器继电器

(b)

(a)

安全故障示意图

传感器检测继电器传感器过程继电器

严禁故障示意图

2.可用性（运用率）（Availability）

可用性是指系统可以使用时间的I概率，用字母A表达。其体现式为:

A=平均工作时间（MTTF）/（平均工作时间（MTTF）+平均修复时间（MTTR））

下表以ESS为例，阐明系统的可用性（运用率）状况：

ESS状况装置状况

1ESS正常装置运行正常

2ESS出现安全故障装置停车

3ESS出现严禁故障装置继续运行

在第1种状况下，ESS与装置两者都处在可用状态。在第2种状况下,

ESS与装置两者都处在不可用状态。在第3种状况下，ESS处在不可使用

状态，而装置继续运行，但处在危险的可使用状态。分析上表可知：追求

高的可用性，其安全风险大，追求高的安全性，则可用性就要减少。

3.可靠性(Reliability)

(1)可靠性是指系统在规定的I时间间隔内发生故障区I概率，用字母R

表达。详细来讲，可靠性指的是安全联锁系统在故障危险模式下，对随机

硬件或软件故障的安全度。

(2)可靠性计算是根据故障(失效)模式来确定的。

(3)故障模式有显性故障模式(失效-安全型模式)和隐性故障模式(失

效-危险型模式)两种。显性故障模式体现为系统误动作，可靠性取决于系

统硬件所包括的元器件总数，一般由MTBF表达。隐性故障模式体现为系

统拒动作，可靠性取决于系统的I拒动作率(PFD),一般表达为：

R=1-PFD

4.牢固性(Integrity)

可靠性与牢固性在意义上极为相似，很难加以辨别。

IEC和SP4对安全性(SafetyIntegrity)欧I定义：在规定期间和条件下,

PES完毕安全功能的可靠性。

IEC(WG10)：硬件牢固性(HardwareIntegrity)：是系统安全性欧I构

成部分，它指在危险方式下硬件的随机故障。

英国的IPES：安全性(SafetyIntegrity)：安全系统在规定的I条件下或者

需要它去执行的规定下，按人们的规定完毕功能时所体现的特性。

从可靠性、牢固性定义中可以看出，牢固性这个术语用在安全保护系

统中，而可靠性的合用范围则相对广泛。

5.冗余及冗余系统

冗余(Redundant)指为实现同一功能，使用多种相似功能日勺模块或部

件并联。冗余也可定义为指定的独立欧IN：1重元件，且可自动地检测故障,

并切换到备用设备上。

冗余系统(RedundantSystem)指并行使用多种系统部件，并具有

，逻辑构造单元

传

执

感

行

器

器

m次3k次

n次

安全仪表系统的冗余构成

故障检测和校正功能欧I系统称为冗余系统。

安全仪表系统的冗余包括两部分：逻辑单元自身的冗余；传感器和执

行器欧I冗余。针对不一样欧I场所，冗余的次数及实现冗余的软逻辑不一样。

6.冗余逻辑表决方式

(1)表决(Voting)：指冗余系统中用多数原则将每个支路欧I数据进行比

较和修正，从而最终确定结论的一种机理。

(2)几种冗余逻辑表决方式

取带诊断

100ID(1outofID)11

1oo2(1outof2)2取1

取带诊断

1002D(1outof2D)21

取

2OO3(2outof3)32

取带诊断

2004d(2outof4)42

a.二选一表决逻辑（I。。2）

A，

AND

B

正常状态下，A、B状态为1,只要A、B任一信号为0,发生故

障，表决器就命令执行器执行对应的动作。合用于安全性较高的场所。

b.二选二表决逻辑（2。。2）

A------►

0R______

B------»

正常状态下，A、B状态为1,只有当A、B信号同步发生故

障为0时，，表决器就命令执行器执行对应日勺动作。合用于安全性规定一般

而可用性较高的场所。

其特点是：可以有效防止安全故障的发生，但系统有也许导致严禁故

障的发生。

c.三选一表决逻辑（1。。3）

A

AND------

B

C

正常状态下，A、B、C状态为1,只有当A、B、C任一信号发生故

障为0时，，表决器就命令执行器执行对应日勺动作。合用于安全性很高的场

所，而不顾及其他状况。

其特点是：它最有效的防止了严禁故障欧I发生，比1。。2方式更严格，

但增长了安全故障发生的机会。它的安全故障发生率是单一系统的3倍。

d.三选二表决逻辑（2。。3）

A

B

A

C

B

C

正常状态下，A、B、C状态为1,只有当A、B、C任两个组合信号

同步为。发生故障时，，表决器就命令执行器执行对应的动作。合用于安全

性、使用性高欧I场所。

其特点是：它克服了二重化系统不辨真伪的缺陷，其可用性和安全性

保持在合理日勺水平。

7.冗错、冗错技术及冗错系统

(1)冗错(FaultTolerant)是指功能模块在出现故障或错误时，可

以继续执行特定功能的能力。深入讲冗错是指对失效的控制系统元件(包

括软件和硬件)进行识别和赔偿，并可以在继续完毕指定的任务、不中断

过程控制的状况下进行修复欧I能力。冗错是通过冗余和故障屏蔽(旁路)

欧I结合来实现的。

(2)冗错技术是发现并纠正错误，同步使系统继续对的I运行的技术,

包括错误检测和校正用的多种编码技术、冗余技术、系统恢复技