安全仪表SIS系统设计原则及逻辑联锁

安全仪表sis系统设计原则及逻辑联锁

文章出处：人气：发表时间：2019-3-2214:39:05

安全仪表SIS系统(Safety工nstrumentSystem)也称

安全联锁系统(SafetylnterlockSystem)或紧急停车系

统ESD(EmergencyShutdownSystem),是石油化工

装置安全生产的保护系统。随着世界范围内石油化工生产技术不断进步，石油化

工装置正朝着大型化、一体化、智能化和清洁化等方向发展，传统的石化企业生

产过程控制系统和安全仪表系统的设计理念也随之发生改变。从工厂生产操作、

管理、维护的角度出发，要求过程控制系统应具有开放性、敏捷性、易操作性和

易维护性。从安全和风险控制的角度出发，要求安全仪表系统应具有独立性、高

可靠性和高可用性。本文从工程设计和实际应用出发，讨论了安全仪表系统设计

的相关问题。

生生产石近客户（R

产

管

理

层

安全仪表sis系统

1、SIS系统设计的原则

安全仪表SIS系统设计原则必须满足工艺装置的安全运行,在发生异常情况时

发挥作用，使安全联锁系统按预定要求动作，以确保工艺装置的生产安全，避免

重大

人身伤害及重大设备损坏事故。对于安全仪表系统的设计，普遍认为工EC61

508、工EC61511和D工N1925。提供了极好的国际通用技术规范

和参考资料。其中，工EC61508是最新的、也是最主要的标准，而工EC

61511是工EC61508的延续，主要针对的是流程工业。

1.1可靠性原则为了保证工艺装置的生产安全，安全仪表系统必须具备与工

艺过程相适应的安全度等级SIL(SafetyIntegrityLeve

1)的可靠度。对此，工EC61508等标准有详细的技术规定。对于安全仪

表系统。可靠性有两个含义，一个是安全仪表系统本身的工作可靠性；另一个是

安全仪表系统对工艺过程认知和联锁保护的可靠性，还

应有对工艺过程测量、判断和联锁执行的高可靠性。评估安全度等级S工L的主

要参数就是平均危险故障率范围(PFD),按其从高到低依次分为1~4级,

在石化行业中一般涉及到的只有1、2、3级，因为S工L4级投资大，系统复

杂，一般只用于核电行业。

1.2可用性原则可用性(可用度)是指一个系统在一个给定的时间点能够正

确执行功能的概率。常用下面公式表示：A=MTBF/(MTBF+MTTR)

应用研究APPLICATIONRESEARCHCHINAINSTRU

MENTATION中阅便嚣低表式中：A为可用度；MTBF为平均故障间隔

时间；MTTR椭故障修复时问。而对于安全仪表系统对工艺过程的认知过程,

还应当重视系统的可用性，正确的判断过程事故，尽量减少装置的非正常停车,

减少开、停车造成的经济损失。

1.3独立性原则安全仪表SIS系统应独立于基本过程控制系统（BPCS、

DCS、FCS、CCS、PLC等），独立完成安全保护功能，它的传感器、

逻辑表决器和最终执行元件应单独设置。如果工艺要求同时进行联锁和控制，安

全仪表系统和BPCS应设置独立的传感器和取源点（特殊情况除外，如配置3

取2传感器，进DCS信号3取中，进安全仪表系统3取2,经过信号分配器公

用传感器）。安全仪表系统应能通过数据通信连接以只读方式与DCS通信,

禁止DCS通过该通信连接向安全仪表系统写信息；还应配置独立的通信网络,

包括独立的网络交换机、服务器、工程师站和顺序事件记录（SER）站等；另

外应采用冗余电源，由独立的双路配电回路供电并避免安全仪表系统和BPCS

的信号接线出现在同一接线箱、中间接线柜和控制柜内同时阀门不应配备手轮。

1.4故障安全原则当安全仪表系统的元件、设备、环节和能源发生故障或者

失效时，系统设计应当使工艺过程能够趋向安全运行或者安全状态，即系统设计

的故障安全性原则。能

否实现〃故障安全”取决于工艺过程及安全仪表系统的设计。例如：安全仪表系

统的传感器、逻辑表决算器和最终执行元件应为失电月E励磁联锁；用于报警/

停车的接点在正常操作过程中应当处于闭合状态，在报警停车时打开。

图1典型的安全联锁逻辑关系

1.5冗余原则为了提高安全仪表系统的SIL等级，对系统的各个单元实行

冗余是必须的。其基本原则为：

(1)传感器的冗余原则：对于s工S的S工L1回路，可采用单一的传感器;

对于SIS的SIL2回路，宜采用"1002D"或"2003D"冗余的传

感器；对于S工S的S工L3回路，应采用〃2003"冗余的传感器。

(2)SIS逻辑表决算器的冗余原则：S工L1可采用"1。。1D"单逻辑

单元；S工L2宜采用02D"或"2003D"2010年增刊冗余逻

辑单元；S工L3应采用"2003"或"2004D"冗余逻辑单元。

(3)SIS控制阀的冗余设置原则：S工L1可采用单电磁阀、单SIS控制

阀；S工L2宜采用冗余电磁阀、单SIS控制阀；S工L3应采用冗余电磁阀、

双SIS控制阀。SIS冗余控制阀为分别带电磁阀的两个SIS开关阀，也可

为带电磁阀的1个调节阀Jj工J1个S工S开关阀。冗余输入的SIS逻辑应

当包括输入信号偏差报警（2个变送器的信号偏差，报警设定值一般为5%）。

1.6诊断与在线维护原则SIS应具有硬件和软件自诊断及测试功能。SI

S应为每个输入工艺联锁信号设置维护旁路开关,方便进行在

线测试和维护。用于3选2表决方案的冗余传感器不需要旁路，手动停车输入也

不需要旁路。严禁对SIS输出信号设立旁路开关。如果SIL计算表明测试周

期小于工艺停车周期，而对最终执行元件进行在线测试时无法确保不影响工艺或

导致误停车，则S工s的设计应当根据需要进行修改,通过提高冗余配置以延长

测试周期或采用部分行程测试法、对故障关的阀门增加手动旁通阀、对故障开的

阀门增加手动截止阀等措施，以允许在线测试SIS阀门。对于SIS联锁旁路

应设置"禁止/允许"开关。SIS旁路开关的动作应当在DCS中产生报警并

予以记录。除非旁路解除，报警始终处于活动状态。

1.7联锁与复位原则SIS的设计应保证一旦工艺过程进入安全状态，在进

行手动复位前应保持工艺过程在安全状态。最终执行元件在所有的联锁初始条件

恢复到正常状态前不得复位。带多个传感器和最终执行元件的复杂联锁回路需要

在逻辑中设置一个总联锁复位信号（按钮），当联锁初始条件恢复到正常状态之

后，能用该复位信号（按钮）对整个联锁回路进行复位。对火焰加热炉、气化炉、

反应器等高危险设备的最终执行元件，需配备一个独立的、就地手动复位装置。

总联锁复位必须在就地手动复位前先复位，就地手动复位装置的信号必须输入s

IS逻辑。

1.8其他设计原则SIS必须获得工EC61508SIL和/或TUVA

K（德）相应S工L等级的认证。鉴于某些特殊原因，需要由SIS执行的非安

全功能应在因果图上明确标明(如"非安全功中阅候嚣饭表CHINAINST

RUMENTATI0N2010年增刊APPLICATIONRESEA

RCH1应用研究能"、"NSF"、S工L="N/A"或其他标识)并在其

他SIS设计文件中指明。SIS系统中使用的硬件、软件和仪表必须遵守正式

版本并已商业化，同时必须获得国家有关防爆、计量、压力容器等强制认证。严

禁使用任何试验产品。

2、sis系统典型逻辑关系复位按钮

2.1逻辑运算关系目前在石油化工装置的安全仪表系统中，安全联锁系统的

功能是通过逻辑运算实现的，一般是在软件中采用布尔代数运算实现。一个安全

联锁功能通常包括多段逻辑运算。在实际的应用过程中，除了过程信号的原因

导致联锁结果外，还应设置一些其他相关操作手段和信号关系，以确保安全仪表

系统的可靠性和可用性。

2.2对触发联锁结果的处理根据工艺过程具体情况，安全联锁系统发生联锁

后的处理方式是不同的。对于不是随意可逆的工艺过程，当输入信号越限触发联

锁后，安全系统应设置自锁

功能以防止过程变量触发联锁后又恢复到正常范围，导致工艺过程不能按正常顺

序或意外恢复或启动，再次形成事故，对装置和人造成危险。为此，应设置人工

恢复(Reset)按钮。当然，也有一些工艺过程的安全联锁动作是可逆的，

其安全联锁不需设置自锁功能，系统在过程恢复正常时，可自动回到正常状态。

对于自动恢复的系统，若工艺过程变化较快，可设置适当宽度的不灵敏区，消除

过程变量处在联锁值边缘时频繁触发联锁的现象。

2.3人为启动联锁和输入信号旁路开关典型安全联锁回路设有人工联锁按钮

(Manua1),用于需要人为启动联锁的场合。为装置开工过程系统投运,

对某些输入信号要设置旁路开关(ByPass)。当工艺过程变量还未达到正

常值时，暂时切断安全联锁系统的相应输入信号部分，待过程量正常后才能投运。

输入信号旁路开关有时也用于系统维护和测试过程。

sis系统安全逻辑连锁

2.4典型的安全联锁逻辑图以某压力联锁为例，一个典型的安全联锁逻辑关

系如图1所示。TR工P=lNDoRDCS报警报警器一图1典型的安全联锁

逻辑关系图1中用RS触发器组成自锁和人工恢复的逻辑正常工况电磁阀US

oV带电励磁，联锁状态时电磁阀断电。当压力超限时，首先由转换器将AI信

号转换为D工信号，超限时信号为1,DCS与声光报警器报警；然后输入信号

与旁路开关信号进行AND运算：如旁路开关未打开则为1,运算结果也为1,

再与手动开关进行。R运算，如

报警信号为1或者手动开关打开则输出为0，最后信号进入RS触发器。RS触

发器由两个与非门(或是朔E门)的输入和输出交叉连接而成，有两个输入端R

和s(又称触发信号端);R为复位端,当R有效时，Q变为0,故也称R为置

。端；s为置位端，当s有效时，Q变为1,称s为置"1"端；还有两个互补

输出端Q和e。当Q=工，e=0;反之亦然。Rs触发器的状态表如表1。当

报警信号为0即S置1端有效，S=0;R=I，此时e=1,Q=O,电滋阀

非励磁，联锁启动。当输入信号正常恢复正常时，S二工，此时若按下复位按钮，

，表触发器状态表;电磁阀为通电状态，联锁

R=O#.JQ=O1RSe=1

解除。正常状态下S与R端均为1，电磁阀状态保持不变。在信号还未恢复正常

时按低表换取更长的休眠时间节约能源，还可有效地减轻系统中启、停机对设备

的冲击，减少电动机故障率，延长使

用寿命，同时降低对电网的容量要求和无功损耗。变频器在集中供热系统中的应

用如图2所示。图2变频器在换热站中的应用2010年增刊实践证明，在集中

热行业上推广应用变频技术，一般能节电20%-60%投资回收期为1・3年，

不仅节能效果显著，而且保护功能齐全，运行平稳，为系统正常供热提供保障。

随着变频技术的不断提高和人们对其认识的不断加深，变频技术必将在集中供热

系统中有关更广阔的应用前景。参考文献1唐介电机与拖动高等教育出版社，

2003作者简介：孙慧杰，女，助理工程师，从事电气工程及其自动化设计工

作。下复位开关，即S=0,R=0,这种睛况是不被允许的。

3、sis系统回路设计

3.1检测元件的设置检测元件的可靠性直接影，向Ns工s的安全性能，为

减少现场元件故障概率装置与S1S，目关的检测仪表应主要选择流量、温度、

压力等变送器，并对检测元件进行冗余。例如，34-变送器可采用3取2表决

方式（2003）进入SIS。需注意的是，如需与DCS进行通讯，则其中1

个变送器信号通过SIS机柜内的信号分配器进入DCS,E自DCS供电的信

号分配器断电时，不影。向SIS输入信号，DCS故障不会影，NS工S。普

通开关仪表易出现触点粘合或因管线震动而打开等异常状况。与S1S卡N关的

开关仪表只限于现场防暴控制按钮，炉体上的火焰检测器开关，带S工L2认证

的音叉液位开关，接近式干接点型的阀位反馈开关；不宜选用流