李致远

（安徽省化工设计院，安徽合肥230009）

安全仪表系统（Safety Instrumented System，SIS）与安全生产紧密相关，是应用于安全领域及关键控制部分，用以避免事故或者减少事故给设备、人员和环境造成危害，从而使危险降低到最低程度的一种专用仪表系统，其主要应用于化工、高铁、核电、航空航天等高新产业领域，在响应速度、安全性、故障自诊断等方面有较高要求，是当前工业自动化领域的一种高尖端技术[1]。随着科学技术的不断发展和人们安全意识的逐步提高，特别是近年来频频发生的恶性事故更是给人们敲响了安全警钟，因而SIS系统得到了人们越来越多的关注和重视。

1 安全仪表系统及其特点

安全仪表系统由美国仪表学会（ISA）首先提出，也称为紧急停车系统（Emergency Shutdown Device，ESD）、安全联锁系统或仪表保护系统（Instrument Protection System，IPS）。

SIS系统可以监测生产过程中出现或者潜伏的危险，迅速响应发出警告信息或直接执行预定程序，立即进入操作，防止事故发生、降低事故带来的危害及其影响。它的特点是：

（1）以IEC61508作为基础标准，符合国际安全协会规定的仪表安全标准规定。

（2）覆盖面广、安全性高、有自诊断功能，能够检测并预防潜在的安全危险。

（3）具有容错性的多重冗余系统，SIS一般采用多重冗余结构以提高系统的硬件故障裕度，单一故障不会导致SIS安全功能丧失。

（4）应用程序根据实际需要容易修改，可根据实际需要对软件进行修改。

（5）自诊断覆盖率大，工人维修时需要检查的点数比较少。

（6）响应速度快，从输入变化到输出变化的响应时间一般在10～50ms左右，小型SIS的响应时间更短。

（7）可实现从传感器到执行元件所组成的整个回路的安全性设计，具有I/O短路、断线等监测功能[1]。

2 SIS系统的基本组成及系统结构

2.1 SIS系统的基本组成

安全仪表系统包括传感器、逻辑运算器和最终执行元件，即检测单元、控制单元和执行单元。

2.2 SIS系统的结构

目前SIS的主流系统结构有TMR（三重化）、2004D（四重化）两种。

（1）TMR结构：它将三路隔离、并行的控制系统（每路称为一个分电路）和广泛的诊断集成在一个系统中，用三取二表决提供高度完善、无差错、不会中断的控制，如图1所示。

TRICON、ICS、和利时均是采用TMR结构的系统。

（2）2004D结构：2004D系统由2套独立并行运行的系统组成，通讯模块负责其同步运行，当系统自诊断发现一个模块发生故障时，CPU将强制其失效，确保其输出的正确性。同时，安全输出模块中SMOD功能（辅助去磁方法），确保在两套系统同时故障或电源故障时，系统输出一个故障安全信号。一个输出电路实际上是通过四个输出电路及自诊断功能实现的。这样确保了系统的高可靠性、高安全性及高可用性。HONEYWELL、HIMA的SIS均采用了2004D结构。

3 SIS系统的发展趋势

二十世纪70年代中期以前,相关安全系统的控制设备均由电磁继电器组成,部分也采用固态集成电路构成。二十世纪80年代开始采用可编程序控制器（Programmable Logic Controller，PLC）。随着对设备安全、人身安全和环境保护的要求越来越严格,各工业企业和仪表自动化行业对过程安全功能给予了极大的关注。二十世纪80年代中期以后,伴随着微电子技术和控制系统可靠性技术的发展,专门用于有关安全系统的控制器系统、安全型PLC和安全解决方案得到迅速发展和推广[2]，出现了一些新型的安全仪表系统，如Emerson推出的PlantWeb SmartSIS智能安全仪表管理方案，ABB公司的800xA High Integrity系统，西门子推出的SIMATIC PCS7安全一体化系统等。从这些新推出的安全系统可以看出，安全仪表系统呈现出如下发展趋势：

（1）与基本过程控制系统的集成。通讯接口与通讯网络标准的统一为安全仪表控制系统与基本过程控制系统的集成带来极大的便利，对于一些要求较低、规模较小的生产过程可以采用集成的方法来减少投资，同时减少由基本过程控制系统和安全仪表系统不同的实现方式带来的问题。安全仪表系统同基本过程控制系统的集成目前主要有 3种方式：Interfaces、Integrated和Common。Interfaces方式为基本过程控制系统与安全仪表系统各自采用独立的网络和工程师站，两个系统之间通过网关进行通讯。Integrated模型中两个系统采用通用的网络连接，并共用工程师站，但两者的职能有明确的划分。Common模式为两个系统的完全整合，采用基本过程控制系统来完成安全仪表系统的功能。

（2）安全仪表系统向智能化方向发展。智能安全仪表系统采用智能型传感器和数字阀门定位器，传感器、数字阀门同逻辑控制器之间采用数字通讯。智能型终端设备不仅可以检测过程变量、接受控制信号，同时还可以提供包括关于设备自身、相关设备甚至周围过程的信息，供逻辑控制器的安全决策使用。数字通讯网络使信息可以进行双向流动，在传递控制信号的同时，也可以传递逻辑控制器对终端设备的组态或标定数据。智能型的逻辑控制器能够对现场设备的数据进行备份、归档和分析，也可以对设备和诊断数据进行分析，以鉴别出现的问题，并提供一些更正建议。

（3）具备更高的过程可用性及更低的维护成本。作为一个系统，本身也存在出现故障的可能性，但是未来的安全仪表系统将借助自身的故障诊断系统在线监视设备及过程状态，并同时能够向操作人员发出包括可能或适当应对措施在内的警报，从而提高系统的可用率。智能安全仪表系统的诊断功能还可以通过避免派遣维护技工去现场进行例行设备检查达到节省成本的目的。同时安全仪表系统自动实施的部分行程测试也可以减少停车，节约成本。

4 SIS系统在化工企业液氨及甲醇存储设施上的设计实例

4.1 SIS系统的设计必要性

根据《危险化学品重大危险源辨识》（GB18218-2009）及《危险化学品重大危险源监督管理暂行规定》（国家安全生产监督管理总局令第40号）中的《危险化学品重大危险源分级方法》进行辨识，厂区内液氨储罐区及甲醇储罐区均构成危险化学品二级重大危险源。根据《危险化学品重大危险源监督管理暂行规定》（国家安全生产监督管理总局令第40号）（2011）的要求，须对安徽某大型化工企业已建液氨及甲醇储罐区进行安全仪表系统改造。

4.2 原有的储罐区概况

根据“安全可靠、经济实用、控制水平先进、自动化水平高、管理灵活、操作方便”的原则，结合该企业工艺要求及生产操作特点，采用两套集散控制系统（DCS），分别对液氨储罐区和甲醇储罐区涉及到的温度、压力、流量、液位等参数进行检测，并实现相应的指示、记录、报警及联锁功能。

（1）液氨储罐区由4个100m3卧式储罐组成，液氨储罐承接上游氨合成系统液氨的存储，并向外及各生产工序输送液氨等功能。储罐均配置远传热电阻温度计、现场压力表和远传压力表，现场都有磁翻板液位计，储罐进、出料管上均配置紧急切断阀，可以在DCS上远程控制开关。

（2）甲醇储罐区负责该公司甲醇的存储，承接上游生产车间甲醇的存储以及向外输送甲醇等功能。罐区1个30000m3甲醇储罐及汽车装卸泵和装船泵是罐区的主要设备。储罐配置两套远传液位计、一套远传热电阻温度计，储罐进、出料管上均配置紧急切断阀，可以在DCS上远程控制开关。

4.3 本项目SIS系统基本要求

（1）安全仪表系统由测量仪表、逻辑控制器和最终元件等组成。安全仪表系统的功能根据过程危险及可操作性分析，人员、过程、设备及环境的安全保护以及安全完整性等级等要求确定。

（2）安全仪表系统可实现一个或多个安全仪表功能，多个安全仪表功能可使用同一个安全仪表系统。当多个安全仪表功能在同一个安全仪表系统内实现时，系统内的共用部分符合各功能中最高安全完整性等级要求。安全仪表系统应独立于基本过程控制系统（项目已有的DCS），并应独立完成安全仪表功能。安全仪表系统与基本过程控制系统之间采用Modbus通讯或其它通讯的方式进行连接，将两套系统中的数据进行相互传递，详见图2。

（3）安全仪表系统不应介入或取代基本过程控制系统的工作；基本过程控制系统不应介入安全仪表系统的运行或逻辑运算。

（4）安全仪表系统设计成故障安全型。当安全仪表系统内部产生故障时，安全仪表系统能按设计预定方式，将过程转入安全状态。

（5）安全仪表系统应具有硬件和软件自诊断和测试功能，具有顺序事件（SOE）记录和报警功能[3]。

（6）逻辑控制器的中央处理单元、输入输出单元、通信单元及电源单元等采用冗余技术。

（7）安全仪表系统的接地采用等电位连接方式。

（8）安全仪表系统的硬件、操作系统及编程软件采用正式发布版本。

（9）按照石油化工安全仪表设计规定的要求，SIS系统的控制器、电源、通讯及IO要求冗余配置，控制器及其连接传感器及执行机构需满足SIL认证。

（10）机柜内所用的信号分配器及继电器需满足SIL认证。

（11）紧急停车按钮、重要的信号报警分别安装对应罐区控制室的辅助操作台上，采用硬接线与安全仪表系统（SIS）连接，信号报警器应具有区别第一报警功能。

4.4 安全完整性等级（SIL）确定

根据《石油化工安全仪表系统设计规范》（GB/T 50770-2013），安全完整性等级为SIL1～SIL4共4级，石油化工工厂或装置的安全完整性等级最高为SIL3级。SIL等级越高，安全仪表功能失效的概率越低。

安全仪表系统的低要求操作模式是指安全仪表系统动作频率不大于每年一次。通常石油化工工厂和装置的安全仪表系统工作于低要求操作模式。安全仪表功能的安全完整性等级见表1[4]。

表1 SIS系统在重大危险源存储设施上的设计及应用

本项目在进行工艺危险及可操作分析（HAZOP）及保护层分析（LOPA）后，确定SIS系统采用完全的三重化架构（即控制器、输入模块和输出模块都为三重化TMR）来独立完成装置的安全联锁功能。SIS系统、所有进出SIS系统的测量仪表及最终元件要求符合SIL2标准认证的安全等级要求。然后根据设备厂商反馈的参数，采用马尔科夫（Markov）模型及SIL验证软件工具，验证仪表安全回路的安全完整性等级能否满足实际要求。

4.5 安全联锁方案

（1）液氨储罐区SIS设计方案。原有罐区内四台储罐的温度远传仪表，更换成具有SIL2等级的一体化温度变送器，信号分别通过一入两出的信号分配器分成两路，一路进DCS系统，一路进SIS系统。当温度达高限时，DCS系统报警。当温度达高高限时，SIS系统执行以下联锁动作：停上游的氨合成系统；关闭上游氨分离器高压放氨切断阀。

罐区内四储罐上各新增一台具有SIL2等级的压力变送器（四储罐上原各有一台进DCS系统的压力变送器），压力信号进SIS系统。当压力达高限时，DCS系统报警。当压力达高高限时，SIS系统执行以下联锁动作：停上游的氨合成系统；关闭上游氨分离器高压放氨切断阀。当压力达低限时，DCS系统报警。当压力达低低限时，SIS系统执行以下联锁动作：关闭储罐液氨出口紧急切断阀；关闭液氨装车总管紧急切断阀。

罐区内四储罐上各新增一台具有SIL2等级的差压液位变送器（四储罐上原各有一台进DCS系统的液位变送器），液位信号进SIS系统。当液位达高限时，DCS系统报警。当液位达高高限时，SIS系统执行以下联锁动作：停上游的氨合成系统；关闭上游氨分高压放氨切断阀。当液位达低限时，DCS系统报警。当液位达低低限时，SIS系统执行以下联锁动作：关闭储罐液氨出口紧急切断阀；关闭液氨装车总管紧急切断阀。

在氨合成系统总管上设置一台具有SIL2等级的压力变送器，压力信号分别通过一入两出的信号分配器分成两路，一路进DCS系统，一路进SIS系统。当压力达高限时，DCS系统报警。当压力达高高限时，SIS系统执行以下联锁动作：停上游的氨合成系统；关闭上游氨分高压放氨切断阀。

原有氨合成系统总管上设置了一台紧急切断阀，当紧急切断阀关闭时，阀位信号进入SIS系统，SIS系统报警并紧急关闭1#～4#液氨储罐进口支管紧急切断阀。

当按下液氨控制室紧急停车按钮或SIS系统故障或失电时，SIS系统报警并执行以下动作：停上游的氨合成系统；关闭上游氨分离器高压放氨切断阀；关闭1#～4#储罐液氨出口支管紧急切断阀；关闭液氨装车总管紧急切断阀。

（2）甲醇储罐区SIS设计方案。利用甲醇储罐原有的差压液位信号，分别通过一入两出的信号分配器分成两路，一路进DCS系统，一路进SIS系统（储罐上原有两台进DCS系统的液位变送器）。当液位达高限时，DCS系统报警。当液位达高高限时，SIS系统执行下列动作：甲醇系统停车；关闭甲醇储罐进口切断阀；停汽车装卸泵。当液位达低限时，DCS系统报警。当液位达低低限时，SIS系统执行下列动作：关闭甲醇储罐出口切断阀；停汽车装卸泵；停装船泵。

当按下甲醇控制室紧急停车按钮或SIS系统故障或失电时，SIS系统报警并执行下列动作：甲醇系统停车；关闭甲醇储罐进口切断阀；关闭甲醇储罐出口切断阀；停汽车装卸泵；停装船泵。

5 总结

安全仪表系统作为现代过程工业降低风险和保障安全的有效方法正得到越来越多的重视[5]。在系统设计选型时，不能只要求控制器部分的安全性而忽略现场仪表的安全要求。在设计过程中，既要重视系统的可用性要求，又不能忽视现场测量和执行部分的设计选型；既要重视安全仪表系统本身的功能设计，又不能疏忽安全生命周期其它各阶段工作的重要性。

[1]IEC 61508-5 Function safety of electrical/electronic/programmable electronic safety related system[S].1982:21-22.

[2]李胜利，卢金芳.石油化工装置安全仪表系统的设计[J].石油化工自动化，2007（2）：18－22.

[3]刘齐忠，林融.石油化工安全仪表系统的设计及实例探讨[J].石油化工自动化，2010（5）：1-6.

[4]GB/T 50770-2013，石油化工安全仪表系统设计规范[S].

[5]洪小红.安全仪表系统在石油炼化系统中的应用[J].中小企业管理与科技，2009（5）：269-269.□