SIS设计必须遵守的十三大原则！

安全仪表系统的主要作用是在工艺生产过程发生危险故障时将其自动或手动带回到预先设计的安全状态，以确保工艺装置的生产的安全，避免重大人身伤害及重大设备损坏事故。在安全仪表系统的设计过程中，IEC 61508，IEC 61511提供了极好的国际通用技术规范和参考资料。IEC于2000年5月发布了IEC 61508标准，2003年1月颁布IEC 61511标准。这两个标准有很密切的关系，IEC 61508标准是综合性基础标准，主要为装置的制造商和供应商使用，IEC 61511可以说是IEC 61508的延续，主要针对具体的仪器仪表设计者和用户使用。2006年，2007年等同采用IEC61508，IEC 61511的中国国家标准 GB/T 20438，GB/T 21109相继发布，中国的功能安全标准开始规范我们的功能安全工作。在安全仪表系统的设计领域，通常将IEC 61508与IEC 61511 结合使用。在安全仪表系统回路设计过程中，一般需要遵循下列几点原则。

为了保证工艺装置的生产安全，安全仪表系统必须具备与工艺过程相适应的安全完整性等级SIL（Safety Integrity Level）的可靠度。对此，IEC 61508进行了详细的技术规定。对于安全仪表系统，可靠性有两个含义，一个是安全仪表系统本身的工作可靠性；另一个是安全仪表系统对工艺过程认知和联锁保护的可靠性，还应有对工艺过程测量，判断和联锁执行的高可靠性。

评估安全完整性等级SIL的主要参数就是PFDavg(probability of failure on demand 平均危险故障率)，按其从高到低依次分为1~4级。在石化行业中一般涉及到的只有1，2，3级，因为SIL4级投资大，系统复杂，一般只用于核电行业。

详细分类见表1 所

IEC 61508 对安全仪表功能所属的过程工艺定义了两种模式：低要求(Low demand)模式和高要求(High demand)模式。而IEC 61511则称之为要求模式和连续模式。两种分类方式有着类似的含义，我们只分析低要求模式和高要求模式。低要求模式和高要求模式定义上的区别在于，低要求模式下，安全仪表功能每年被执行的次数少于一次，并且每个验证测试周期中不超过2次。而高要求模式每年安全仪表功能被执行的次数超过一次，每个验证测试周期中执行次数超过2次。通常来讲，石化化工等行业所采用的EDS，FGS，BMS等系统，均属于低要求模式。因为正常情况下，每年安全功能被执行的次数是不会超过一次的。当然，实际的应用过程中，有可能有些工厂的SIS系统每年动作多次。那并不意味着它的工艺就是高要求模式，可能是由于不 合理的工艺设计，操作习惯等因素的影响。

那么在低要求模式和高要求模式下，SIL等级与故障几率相应的关系见表1。

可以看到，低要求模式下，SIL等级的定义是按平均每次动作发生故障的几率（PFD）来表示。石化化工行业常见的SIL3级别，代表着每次执行安全功能，发生故障的几率是10-3 到10-4。而在高要求模式下，SIL等级则以每小时发生故障的几率（PFH）来表示。SIL3级别意味着每小时发生故障的几率是10-8  到10-7。而IEC 61511的要求模式和连续模式下，SIL等级也是分别用PFD和PFH来表示，各个级别的故障几率与IEC 61508的规定相同。

提高安全仪表系统的SIL等级，对安全仪表系统回路内的各个部分实行冗余是主要的手段。总体来说，检测元件的冗余原则为：对于安全仪表系统的SIL1 回路，可采用单一的检测元件；对于安全仪表系统的SIL2回路，宜用“1oo2D”或 “2oo3”冗余的检测元件；对于安全仪表系统的SIL3回路，应采用“2oo3”冗余的检测元件。安全仪表系统控制单元的冗余原则为：SIL1 可采用“1oo1D”单控制单元；SIL2 宜采用“1oo2D”或“2oo3” 冗余控制单元；SIL3 应采用“2oo3”或 “2oo4D” 冗余控制单元。安全仪表系统执行机构的冗余设置原则为：SIL1可采用单电磁阀，单控制阀；SIL2宜采用冗余电磁阀，单控制阀；SIL3 应采用冗余电磁阀，双控制阀。安全仪表冗余控制阀可以为分别带电磁阀的两个开关阀，也可以为带电磁阀的一个调节阀和一个开关阀。

可用性（也称可用度）是指安全仪表系统在一个给定的时间点能够正确执行功能的概率。常用下面公式表示：

A=MTBF/（MTBF+MDT）

其中：

A----------可用性

MTBE----平均无故障工作时间

MDT------平均停车时间

要使系统可用度增加，就要增加平均无故障工作时间（MTBF），或减少平均停车时间（MDT）。对于安全仪表系统的设计而言，不能一味的追求系统的高可靠性，系统的可用性也需要考虑。正确的判断过程事故，可以减少装置的非正常停车，减少开，停车造成的经济损失。

为了提高系统的可用性，安全仪表系统应具有硬件和软件自诊断和测试功能。安全仪表系统应为每个输入工艺联锁信号设置维护旁路开关，方便进行在线测试和维护同时减少因安全仪表系统系统维护造成的停车。需要注意的是用于三选二表决方案的冗余检测元件不需要旁路，手动停车输入也不需要旁路。同时严禁对安全仪表系统输出信号设立旁路开关，以防止误操作而导致事故发生。如果SIL计算表明测试周期小于工艺停车周期，而对执行机构进行在线测试时无法确保不影响工艺而导致误停车，则安全仪表系统的设计应当根据需要进行修改，通过提高冗余配置以延长测试周期或采用部分行程测试法，对事故状态关闭的阀门增加手动旁通阀，对事故状态开启的阀门增加手动截止阀等措施，以允许在线测试安全仪表系统阀门。这些手段对于提供安全仪表系统的可用性都是很有帮助的。

安全仪表系统应独立于基本过程控制系统（BPCS，如DCS，FCS，CCS，PLC等），独立完成安全保护功能。安全仪表系统的检测元件，控制单元和执行机构应单独设置。如果工艺要求同时进行联锁和控制的情况下，安全仪表系统和BPCS应各自设置独立的检测元件和取源点（个别特殊情况除外，如配置三取二检测元件，进DCS信号三取中，进安全仪表系统三取二，经过信号分配器公用检测元件）。如需要，安全仪表系统应能通过数据通信连接以只读方式与DCS通信，但禁止DCS通过该通信连接向安全仪表系统写信息。安全仪表系统应配置独立的通信网络，包括独立的网络交换机，服务器，工程师站等。安全仪表系统应采用冗余电源，由独立的双路配电回路供电。应避免安全仪表系统和BPCS的信号接线出现同一接线箱，中间接线柜和控制柜内。

随着安全标准的推出以及对安全系统重视度的不断提高，安全仪表系统的认证也变得越来越重要，系统的设计思想，系统结构都须严格遵守相应国际标准并取得权威机构的认证。安全仪表系统必须获得IEC 61508 SIL和/或TUV AK（德）相应SIL等级的认证。安全仪表系统系统中使用的硬件，软件和仪表必须遵守正式版本并已商业化，同时必须获得国家有关防爆，计量，压力容器等强制认证。严禁使用任何试验产品。

当安全仪表系统的元件，设备，环节或能源发生故障或者失效时，系统设计应当使工艺过程能够趋向安全运行或者安全状态。这就是系统设计的故障安全行原则。能否实现“故障安全“取决于工艺过程及安全仪表系统的设计。整个SIS，包括现场仪表和执行器，都应设计成以下绝对安全形式，即：

1）现场触点应开路报警，正常操作条件下闭合；

2）现场执行器联锁时不带电，正常操作条件下带电。

对于执行器，如切断阀，一般情况下SIS应设计成安全联锁动作时，切断阀在安全的即失气的状态。当有多个不同的工艺回路对该切断阀有不同动作要求时；如同一个FC（失气时关）切断阀，A安全联锁动作时要求该阀门全开；另一个B安全联锁动作时要求该阀门全关。此时就要求SIS在A安全联锁中输出“1“使电磁阀带电阀门全开，在B安全联锁中输出”0“使电磁阀失电阀门全关。

以上的说明是通常情况下的故障安全。其实对于故障安全还应具体情况具体分析，要确定最有可能发生的故障状态，并不是一律“常闭接点，正常带电“。

为了提高安全仪表系统的SIL等级，对系统的各个单元实现冗余是必须的。其基本原则为：

（1）      传感器的冗余原则：对于SIS的SIL1回路，可采用单一的传感器；对于SIS的SIL2回路，宜采用“1oo2D” 或“2oo3”冗余的传感器；对于SIS的SIL3的回路，应采用“2oo3”冗余的传感器。

（2）      SIS逻辑表决算器的冗余原则：SIL1可采用“1oo1D”单逻辑单元；SIL2宜采用“1oo2D” 或“2oo3” 冗余逻辑单元；SIL3宜采用“2oo3” 或“2oo4D” 冗余逻辑单元；

（3）      SIS控制阀的冗余设置原则：SIL1可采用单电磁阀，单SIS控制阀；SIL2宜采用冗余电磁阀，单SIS控制阀；SIL3应采用冗余电磁阀，双SIS控制阀；

  SIS冗余控制阀为分别带电磁阀的两个SIS开关阀，也可为带电磁阀的1个调节阀加1个SIS开关阀；冗余输入的SIS逻辑应当包括输入信号偏差报警（2个变送器的信号偏差，报警设定值为5%）。

SIS应具有硬件和软件自诊断及测试功能。SIS应为每个输入工艺联锁信号设置维护旁路开关，方便进行在线测试和维护。用于3选2表决方案的冗余传感器不需要旁路，手动停车输入也不需要旁路。严禁对SIS输出信号设立旁路开关。如果SIL计算表明测试周期小于工艺停车周期，而对最终执行元件进行在线测试时无法确保不影响工艺或导致误停车；则SIS的设计应当根据需要进行修改，通过提高冗余配置以延长测试周期或采用部分行程测试法，对故障关的阀门增加手动旁通阀，对故障开的阀门增加手动截止阀等措施，以允许在线测试SIS阀门。对于SIS联锁旁路应设置“禁止/允许”开关。SIS旁路开关的动作应当在DCS中产生报警并予以记录。除非旁路解除，报警始终处于活动状态。

1 、MOS作用

维护旁路开关(Maintenance Override Switch,MOS)为SIS的变送器，检测开关等现场设备的在线检修设置。由于在旁路状态下SIF的功能及其安全完整性都是受限的。因此旁路的设计和操作管理，成为SIS工程中重要的关注点之一。

旁路操作本身应有报警，记录和显示；在旁路期间也应始终保持对工艺过程状态的检测和指示。旁路操作应有明确的操作程序，并纳入到功能安全评估和现场功能安全审计的范围之内。重要的一点，旁路设计应仅限于正常的工艺过程操作界限之内，不能代替或用作安全防护层功能。

2 、设置 MOS要遵循以下原则：

1） 当传感器被旁路时，操作人员有其它手段和措施触发该传感器对应的最终执行元件，使工艺过程置于安全状态；

2）当传感器被旁路时，操作人员有其它手段和措施监测到该传感器对应的过程参数或状态。

3）当传感器被旁路时，操作人员有其它手段和措施，并有足够的响应时间取代该传感器相关的SIF，将工艺过程置于安全状态。

4）MOS不能用于屏蔽手动紧急停车按钮信号，检测压缩机工况的轴振动/位移信号以及报警功能等；

5）MOS的启动状态应有适当的显示。旁路状态的时间不宜太长，如果对该时间有严格的限定，可设计“时间到”报警，但是不能自动解除旁路状态。

对于MooN表决机制的变送器信号，MOS逻辑设计要考虑降级模式对安全性和可用性的影响。例如，从安全性角度，2oo3旁路后应降级1 oo2；而对于停车将造成重大经济损失的回路，2oo3旁路设计可能采用降级为2oo2。

SIS的设计应保证一旦工艺过程进入安全状态，在进行手动复位前应保持工艺过程在安全状态。最终执行元件在所有的联锁初始条件恢复到正常状态前不得复位。带多个传感器和最终执行元件的复杂联锁回路需要在逻辑中设置一个总联锁复位信号（按钮），当联锁初始条件恢复到正常状态之后，能用该复位信号（按钮）对整个联锁回路进行复位。对火焰加热炉，气化炉，反应器等高危险设备的最终执行元件，需配备一个独立的，就地手动复位装置。总联锁复位必须在就地手动复位前先复位，就地手动复位装置的信号必须输入SIS逻辑。

在SIS 可编程逻辑控制器中，应用软件编程组态遵循的最重要原则，是如何保证满足安全完整性要求。逻辑控制器的整体性能表现，在很大程度上受制于软件的质量。我们知道，安全完整性包括硬件安全完整性和系统性安全完整性。其中软件错误或缺陷是影响系统性安全完整性的重要因素之一。不幸的是，我们很难对软件失效建立数学模型并对失效率进行准确预测。

应用软件设计和组态应遵循模块化，低复杂性的指导原则。按照工艺过程特点和防护逻辑，划分为相对独立。简单的单元或层次，这将给功能测试和修改带来极大的便利，有利于增强软件的完整性。不论设计文件采用哪种格式，包括因果图（Cause-Effect）,功能逻辑图，流程图，文字叙述等形式，都要足够详细，确保对停车逻辑，设定值，报警，诊断以及时序等的正确组态。基于“经验使用”原则，尽可能采用标准功能或功能块。如果需要采用；嵌套”逻辑，应尽可能地降低嵌套层。

SIS必须获得IEC 61508SIL和/或TUV AK（德）相应SIL等级的认证。鉴于某些特殊原因，需要由SIS执行的非安全功能应在因果图上明确标明（如“非安全功能”，“NSF”，SIL=“N/A” 或其它标识）并在其他SIS设计文件中指明。非安全功能的动作，如果由SIS执行则不得干扰或危及SIS的任何安全功能。SIS系统中使用的硬件，软件和仪表必须遵守正式版本并已商业化， 同时必须获得国家有关防爆，计量，压力容器等强制认证。严禁使用任何试验产品。

当按照安全要求规格书的要求，完整了SIS设备的选型和结构设计，自然地要回答这一问题，最终的SIF是否达到了预期的SIL要求？

SIF的最终SIL评估，通常有两个必要条件：一是评定SIS子系统是否满足了“结构约束(ArchitecturalConsraintts)要求，在IEC61508/IEC 61511中，结构约束条款用最小的“硬件故障裕度”(Hardware Fault Tolerance,HFT)表征，代表了设备或子系统在构成SIL回路时，从硬件结构上对安全完整性等级的限制。

1、 IEC 61508中的结构约束

结构约束是除PFD avg之外，在某个特定应用中使用某个设备的附加约束。

根据设备类型及其SFF（安全失效分数，也有称之为安全故障）和设备所在子系统的HFT(硬件故障裕度，也有称之为硬件容错能力）来确定设备子系统能够用于哪级SIL水平的安全仪表系统。IEC 61508提供了一张表，分别为设备类型A和B的子系统定义了结构约束，如表3所示。

表3        IEC 61508中对A类及B类设备的结构约束

 为了便于区分，IEC 61508将各种组成安全仪表功能的元件分成两种A型和B型。A型指那些所有故障模式都被定义过，所有故障行为都被定义过，而且有充足的故障数据的元件。例如普通传感器，阀门等。而B型则相反，指那些故障类型没有被完整的定义，也没有足够的故障数据的元件，一般指的是含有处理器的元件，例如智能传感器，逻辑运算器等。

由表3，我们可以看出，确定安全仪表回路各个元件的SIL等级，取决于2个参数。1是安全失效分数，2是硬件故障裕度。对自动化产品来说，安全失效分数的定义为该产品的平均安全失效率加检测到的平均危险失效率与子系统总平均失效率之比。

 安全失效分数

SFF=(λSD+λSU+λDD) / (λSD+λSU+λDD+λDu)

 提高安全失效分数，就是提高产品的故障安全能力，也就是说，当产品出现故障时，具有的使系统以安全的方式失效的能力提高安全失效分数的办法有很多，最重要的就是提高诊断覆盖率，也就是用各种内部诊断的方式将可能导致危险失效检测出来提高诊断测试到的危险失效概率在危险失效总概率中的比例。

 硬件故障裕度HFT和系统或者元件的结构有关。我们常见的系统或者元件设计结构有1oo1,2oo2,1oo2,2oo3,1oo3,2oo4.这种MooN结构指的是需要总共N个通道中的M个独立通道来实现安全功能。而硬件容错能力HFT的定义是，假如硬件容错能力是X，那么当出现X+1个危险故障时，将会导致安全功能的丧失。所以很明显，我们可以得出在MooN结构中，硬件容错能力的计算HFT=N-M。如表2所示。

表2 硬件容错能力计算表

 有时候，冗余的设备是为了提高过程的可用性，而不是为了提高安全性。

硬件故障裕度(Hardware fault tolerance,HFT)是指在能够正常行使安全功能的情况下，系统结构配置能够容忍的危险失效数目。硬件故障裕度有时与冗余配置容易混淆。硬件故障裕度和冗余不是一回事。例如，1oo3,2oo3,3oo3的设备冗余数都是3，而它们的硬件故障裕度却分别是2，1，0。有时候，冗余的设备是为了提高过程的可用性，而不是为了提高安全性。

如果某个B类设备具有92%的安全失效分数，硬件故障裕度为0，根据表3可得到它满足SIL2的要求。但一般在实际工程中，结构约束是以另一种方式使用的。已知的是目标SIL水平，设备类型及其安全失效分数，要确定的是硬件故障裕度。例如，某A类设备的SFF为50%，安全仪表功能的目标SIL水平为2，那么根据表2硬件裕度为1，所以该设备的子系统需要为1oo2或2oo3之类的冗余配置。

2 、IEC 61511中的结构约束

IEC 61511中要求硬件故障裕度的最低水平应该是SIL水平的函数。这就是说以达到功能安全为目的的冗余必须与安全仪表功能的目标SIL水平相联系。对于现场仪器仪表和非可编程逻辑控制器，其结构约束如表4所示。

表4       IEC 61511中为现场设备规定的最小硬件故障裕度

按照上表，为了达到SIL2的安全水平必须使用两个变送器，并且这两个变送器只需其中一个动作就能够执行安全功能，即1oo2配置。同样，对于SIL3的安全水平，必须使用三个变送器，配置为1oo3。IEC 61511中使用另一张表对可编程电子逻辑控制器的结构提出要求，如表5所示。

表5        IEC 61511中为逻辑控制器规定的最小硬件故障裕度

使用此表时也需要计算安全失效分数SFF。它的使用方法和IEC 61508中的结构约束是一样的。