安全仪表SIS系统设计原则及逻辑联锁

安全仪表SIS系统(SafetylnstrumentSystem)也称安全联锁系统(SafetyIn

terlockSystem)或紧急停车系统ESD(EmergencyShutdownSystem),是石

油化工装置安仝生产的保护系统。随着世界范围内石油化工生产技术不断进步，石油化工装置正朝着大型化、

一体化、智能化和清洁化等方向发展，传统的石化企业生产过程控制系统和安全仪表系统的设计理念也随之发

生改变。从工厂生产操作、管理、维护的角度出发，要求过程控制系统应具有开放性、敏捷性、易操作性和易

维护性。从安全和风险控制的角度出发，要求安全仪表系统应具有独立性、高可

靠性和而可用性。本文从工程设计和实际应用出发，讨论了安全仪表系统设计的相关问题。

生

产

管

理

层

控

带J

安全仪表sis系统

1、SIS系统设计的原则

安仝仪表SIS系统设十原则必须满足工艺装置的安仝运行，在发生异党情况时发挥作用，

使安全联锁系统按预定要求动作，以确保工艺装置的生产安全，避免重大

人身伤害及重大设备损坏事故。对于安全仪表系统的设计，普遍认为IEC61508、

IEC61511和DIN19250提供了极好的国际通用技术规范

和参考资料。其中，IEC61508是最新的、也是最主要的标准，而IEC

61511是IEC61508的延续，主要针对的是流程工业。

1.1可靠性原则为了‘呆证工艺装置的生产安全，安全仪表系统必须具备与工艺过程相

适应的安全度等级SIL(SafetylntegrityLeve1)的可靠度。对此，1

EC61508等标准有详细的技术规定。对于安全仪

表系统。可靠性有两个含义，一个是安全仪表系统本身的工作可靠性；另一个是安全

仪表系统对工艺过程认知和联锁保护的可靠性，还

应有对工艺过程测量、判断和联锁执行的高可靠性,评估安全度等级SIL的主要参数

就是平均危险故障率范围(PFD),按其从高到低依次分为「4级，在石化行业中一般涉及

到的只有1、2、3级，因为SIL4级投资大，系统复杂，一般只用于核电行业。

1.2可用性原则可用性(可用度)是指一个系统在一个给定的时间点能够正确执行功能

的概率。常用下面公式表示：A=MTBF/(MTBF+MTTR)应用研究APPLICAT

IONRESEARCHCHINAINSTRUMENTATION中阅便嚣低表式中：A

为可用度；MTBF为平均故障间隔时间；MTTR椭故障修复时问。而对于安全仪表系统

对工艺过程的认知过程，丕应当重视系统的可用性，正确的判断过程事故，尽量减少装置

的非正常停车，减少开、停车造成的经济损失。

1.3独立性原则安全仪表SIS系统应独立于基本过程控制系统(BPCS、1)CS、FCS、

CCS、PLC等)，独立完成安全保护功能，它的传感器、逻辑表决器和最终执行元件应单

独设置。如果工艺要求同时进行联锁和控制，安全仪表系统和BPCS应设置独立的传感器

和取源点(特殊情况除外，如配置3取2传感器，进DCS信号3取中，进安全仪表系统3取2,

经过信号分配器公用传感器)。安全仪表系统应能通过数据通信连接以只读方式与DCS通

信，禁止DCS通过该通信连接向安全仪表系统写信息；还应配置独立的通信网络，包括独

立的网络交换机、服务器、工程师站和顺序事件记录(SER)站等；另外应采用冗余电源，

由独立的双路配电回路供电并避免安全仪表系统和BPCS的信号接线出现在同一接线箱，

中间接线柜和控制柜内；同时阀门不应配备手轮。

1.4故障安全原则当安全仪表系统的元件、设备、环节和能源发生故障或者失效时，

系统设计应当使工艺过程能够趋向安全运行或者安全状态，即系统设计的故障安全性原则。

能

否实现“故障安全”取决于工艺过程及安全仪表系统的设计。例如：安全仪表系统的

传感器、逻辑表决算器和最终执行元件应为失电月E励磁联锁；用于报警/

停车的接点在正常操作过程中应当处于闭合状态，在报警停车时打开。

ffll典型的安全联锁逻辑关系

1.5冗余原则为了提高安全仪表系统的SIL等级.对系统的各个单元实行冗余是必须

的。其基本原则为：

(1)传感器的冗余原则：对于SIS的SIL1回路，可采用单一的传感器；对于SIS

的SIL2回路，宜采用“1002D”或“2003D”冗余的传

感器；对于SIS的SIL3回路，应采用“2003”冗余的传感涔。

(2)SIS逻辑表决算器的冗余原则：SIL1可采用“1。。1D”单逻辑单元；SIL

2宜采用“1002D”或“2003D”2010年增刊冗余逻辑单元；SIL3应采用“20

03"或"2004D”冗余逻辑单元。

(3)SIS控制阀的冗余设置原则：SIL1可采用单电磁阀、单SIS控制阀；SIL2

宜采用冗余电磁阀、单SIS控制阀；SIL3应采用冗余电磁阀、双SIS控制阀。SIS

冗余控制阀为分别带电磁阀的两个SIS开关阀，也可为带电磁阀的1个调节阀JjIJ1个

SIS开关阀。冗余输入的SIS逻辑应当包括输入信号偏差报警(2个变送器的信号偏差，

报警设定值一般为5%)。

1.6诊断与在线维护原则SIS应具有硬件和软件自诊断及测试功能。SIS应为每个

输入工艺联锁信号设置维护旁路开关，方便进行在

线测试和维护。用于3选2表决方案的冗余传感器不需要旁路，手动停车输入也不需要

旁路。严禁对SIS输出信号设立旁路开关。如果SIL计算表明测试周期小于工艺停立周

期，而对最终执行元件进行在线测试时无法确保不影响工艺或导致误停车，贝九Is的设计

应当根据需要进行修改，通过提高冗余配置以延长测试周期或采用部分行程测试法、对故

障关的阀门增加手动旁通阀、对故障开的阀门增加手动戒止阀等措施，以允许在线测试SI

S阀门。对于SIS联锁旁路应设置“禁止/允许”开关。SIS旁路开关的动作应当在DC

S中产生报警并予以记录。除非旁路解除，报警始终处于活动状态。

1.7联锁与复位原则SIS的设计应保证一旦工艺过程进入安全状态，在进行手动复位

前应保持工艺过程在安全状态。最终执行元件在所有的联锁初始条件恢复到正常状态前不

得复位。带多个传感器和最终执行元件的复杂联锁回路需要在逻辑中设置一个总联锁复位

信号(按钮)，当联锁初始条件恢复到正常状态之后，能用该复位信号(按钮)对整个联锁回

路进行复位。对火焰加热炉、气化炉、反应器等高危险设备的最终执行元件，需配备一个

独立的、就地手动品位装置差总联锁第位必须在就地手动.复位前先第位.就地手动更住装

置的信号必须输入S

IS逻辑。

1.8其他设计原则SIS必须获得IEC61508SIL和/或TUVAK（德）相应SI

L等级的认证。鉴于某些特殊原因，需要由SIS执行的非安全功能应在因果图上明确标明（

如“非安仝功中阅候嚣饭表CHINAINSTRUMENTATI0N2010年增刊AP

PLICATIONRESEA

RCH1应用研究能"、“NSF"、SIL="N/A”或其他标识）并在其他SIS设计

文件中指明。SIS系统中使用的硬件、软件和仪表必须遵守正式版本并已商业化，同时必

须获得国家有关防爆、计量、压力容器等强制认证。严

禁使用任何试验产品。

2、sis系统典型逻辑关系复位按钮

2.I逻辑运算关系目前在石油化_L装置的安全仪表系统中，安全联锁系统的功能是通

过逻辑运算实现的，一般是在软件中采用布尔代数运算实现。一个安全联锁功能通常包括

多段逻辑运算。在实际的应用过程中，除了过程信号的原因导致联锁结果外，还应设置一

些其他相关操作手段和信号关系，以确保安全仪表系统的可靠性和可用性。

2.2对触发联锁结果的处理根据工艺过程具体情况，安全联锁系统发生联锁后的处理

方式是不同的。对于不是随意可逆的工艺过程，当输入信号越限触发联锁后，安全系统应

设置自锁

功能以防止过程变量触发联锁后又恢复到正常范围，导致工艺过程不能按正常顺序或

意外恢复或启动，再次形成事故，对装置和人造成危险。为此，应设置人工恢复（Rese

t）按钮。当然，也有一些工艺过程的安全联锁动作是可逆的，其安全联锁不需设置自锁功

能，系统在过程恢复正常时，可自动1口1到正常状态。对于自动恢复的系统，若工艺过程变

化较快，可设置适当宽度的不灵敏区，消除过程变量处在联锁值边缘时频繁触发联锁的现

象。

2.3人为启动联锁和谕入信号旁路开关典型安全联锁|口I路设有人工联锁按钮（Man

ua1）,用于需要人为启动联锁的场合。为装置开工过程系统投运，对某些输入信号要设

置旁路开关（ByPass；o当工艺过程变量还未达到正常值时，暂时切断安全联锁系统的

相应输入信号部分，待过程量正常后才能投运。输入信号旁路开关有时也用于系统维护和

测试过程。

sis系统安全逻辑连锁

2.4典型的安全联锁逻辑图以某压力联锁为例，一个典型的安全联锁逻辑关系如图1所

示vTRIP=】ND。RDCS报警报警器一图1典型的安全联锁逻辑关系图1中用RS触发

器组成自锁和人工恢复的逻辑，正常工况电磁阀US0V带电励磁，联锁状态时电磁阀断电。

当压力超限时，首先由转换器将AI信号转换为DI信号，超限时信号为1,DCS与声光报

警器报警；然后输入信号与旁路开关信号进行AND运算：如旁路开关未打开则为1,运算结

果也为1，再与手动开关注行0R运算，如

报警信号为1或者手动开关打开则输出为0,最后信号进入RS触发器。RS触发器日两

个与非门（或是或非门）的输入和输出交叉连接而成，有两个输入端R和s（又称触发信号端）；

K为复位端，当K有效时，Q变为0,故也称K为置0端；s为置位端，当s有效时，Q变为1,称s

为置“1”端；还有两个互补输出端Q和e。当Q=I,e=0；反之亦然。Rs触发器的状态表

如表1。当报警信号为0即S置1端有效，S=0；R=I,此时。=1,Q=0,电磁阀非励磁，联

锁启动。当输入信号正常诙复正常时，S=I,此时若按下复位按钮，R=0,.JQ=0,表1

RS触发器状态表e=l；电磁阀为通电状态，联锁解除。正常状态下S与R端均为1,电磁阀

状态保持不变。在信号还未恢复正常时按低表换取更长的休眠时间节约能源，还可有效地

减轻系统中启、停机对设备的冲击，减少电动机故障率，延长使用寿命，同时降低对电网

的容量要求和无功损耗。变频器在集中供热系统中的应用如图2所示。图2变频器在换热站

中的应用2010年增刊实践证明，在集中热行业上推广应用变频技术，一般能节电20%

-60%投资回收期为1―3年，不仅节能效果显著，而且保护功能齐全，运行平稳，为系统

正常供热提供保障。随着变频技术的不断提高和人们对其认识的不断加深，变频技术必将

在集中供热系统中有关更广阔的应用前景。参考文献1唐介.电机与拖动.高等教育出版社,

2003作者简介：孙慧杰，女，助埋:L程师，从事电气工程及其自动化设计_L作。卜复位

开关，即S=0,R=0,这种睛况是不被允许的。

3、sis系统回路设计

3.1检测元件的设置睑测元件的可靠性直接影，向NsIs的安全性能。为减少现场元

件故障概率，装置与S1S,目关的检测仪表应主要选择流量、温度、压力等变送器，并对

检测元件进行冗余。例如.34—变送器可采用3取2表决方式(2003)进入SIS。需注意

的是，如需与DCS进行通讯，则其中1个变送器信号通过SIS机柜内的信号分配器进入D

CS,E自I)CS供电的信号分配器断电时，不影()向SIS输入信号，I)CS故障不会影，NS

ISo普通开关仪表易出现触点粘合或因管线震动而打开等异常状况。与S1S卡N关的开关

仪表只限于现场防暴控制按钮，炉体上的火焰检测器开关，带SIL2认证的音叉液位开关,

接近式干接点型的阀位反馈开关；不宜选用流量、温度与压力开关。在SIS系统中，如检

测元件采用本质安全型仪表需考虑的