刘 伟 ，苏成利 ， 任 泓

（1. 辽宁石油化工大学， 辽宁 抚顺 113001； 2. 中国寰球工程公司辽宁分公司， 辽宁 抚顺 113006）

由于石化设备的经济规模逐渐大型化,生产装置间的密集程度的逐步提高,对控制、操作及安全等方面的要求也越发严格。石油、石化装置的产品绝大部分都属于有毒、有腐蚀性或易燃、易爆介质,生产过程稍有不慎就会造成重大的事故,使生产、设备、人员等方面的遭受不可挽回损失。安全仪表系统作为保障过程工业安全必不可少的措施, 必须不断的提高安全仪表系统的可靠性的来保证过程工业的安全[1]。一般来说，安全仪表系统的经历了以下几个发展阶段:气动系统,继电器系统,固态继电器系统和PLC系统。虽然有些装置仍然采用这些系统,但是显然已经不能满足现代工业的要求，因此先进的一体化和智能化的安全仪表系统得到迅速的发展。

1 安全仪表系统

1.1 安全仪表系统定义

安全仪表系统(Safety instrumented systems, SIS)是一种自动安全保护系统,在保障正常生产和人身、设备安全等方面是不可替代的,如今已发展成为工业过程自动化不可或缺的部分。安全仪表系统主要作用就是在装置运行或操作过程发生异常工况并且危及安全生产时,独立及时的完成安全保护动作。辨识发生危险的程度,及时采取有效的措施,联锁仪表执行相关动作,切断与危险源的联系,这样可以确保事故被有效的遏制同时保护人身和设备的安全[2]。对于过程工业而言,安全仪表系统本身的安全性可以左右事故造成的影响,多数过程工业的安全事故都会伴随着巨额财产损失和重大的人员伤亡,因此只有对过程工业安全仪表系统进行实时的安全评定与评估，才能确保过程工业的安全。通过收集相关资料,证实在过程工业中,由于对安全仪表系统安全等级的要求不符合标准以及投产运行后的项目在改造过程中对安全仪表系统的改建不合理或没有及时更改安全仪表系统而导致的安全事故在所有发生的事故中所占的比例最高。如果安全仪表系统设计不恰当,可能出现两种严重的后果：可能的后果之一是不应该跳车时反而跳车,从而导致误动作;另一种可能的后果是该跳车时却不跳车,导致拒动作。误动作直接使装置停车,浪费了时间和精力。拒动作后果不堪设想，可能导致严重甚至灾难性的事故,造成人员伤亡和巨大的经济损失，因而需要合理运用安全仪表系统以规避风险和危险。

谈及安全仪表系统的定量分析,必须提到几个重要的指标: 平均失效概率(PFD) 、 安全完整性等级(SIL)和安全失效分数(SFF)，其中安全完整性等级的确定尤为重要，安全度等级是用来描述安全仪表系统安全综合评价的等级,指在规定的时间内、规定的条件下,安全仪表系统达到所要求的安全功能的概率[3]。每个安全仪表系统应根据装置的不同需求确定SIL，且不能掉入单独考虑逻辑控制器的误区，同时也需要足够重视安全仪表系统的其他组成部分（如检测元件、执行元件）的可靠性及可用性。比如在IEC61508标准中, 将安全仪表系统分为3个安全等级:SIL1～SIL3, SIL3最高级, SIL1最低级，一般安全度等级[4]用故障发生危险的平均概率(PFD)来描述的,且对应关系如下：

1.2 安全系统设计的基本原则

设计安全仪表系统的应满足以下要求:(1)必须在装置条件危险且未发生事故的情况下迅速做出响应;(2)假如系统没有反应,将会致使加重危险等级的安全系统及时做出响应，然后把信号及时准确的传递到现场,以避免事故的发生。传感器、最终执行元件、逻辑运算器、过程接口、人机接口、通讯接口、软件组态等部分共同构成了安全仪表系统，因此设计过程不能针对单个设备，应把系统有关设备纳入整体进行考虑。

设计安全仪表系统时应遵守的原则:能够独立于其它系统，自主实现安全保护功能,应设计成故障安全型,应采用中间环节最少的结构,把传感器、最终执行元件单独进行设置,这样可与管理系统或过程控制系统实时的通讯。安全仪表系统应安装与逻辑运算器相独立的手动装置, 直接对执行元件进行操作,当一套安全仪表系统同时执行多个单元的保护功能时,其共用部分的安全等级须设计成最高级别。

1.3 可靠性和可用性是系统设计的重要指标

在规定的时间间隔之内,故障发生的概率即为系统的可靠性。安全仪表系统的各个组成单元的可靠性[R1(t),R2(t),R3(t)…]的乘积构成整个系统的可靠性 R0(t),即[R0(t)=R1(t)R2(t)R3(t)…]。因而只有提高各个环节的可靠性才能最终提高整个系统的可靠性。一般设计人员只关注安全控制系统的可靠性,却很少考虑检测元件和执行元件的可靠性,导致整套安全仪表系统可靠性低,达不到规避受控设备风险的要求。系统的可靠性至关重要，因为它决定系统的安全性。

系统可以使用工作时间的概率即为系统的可用性。虽然系统的可靠性不受可用性的影响,但是系统的可用性低可能会导致某一装置停产乃至整个工厂都无法正常的运转。

从某种程度上说，安全仪表系统的可靠性与可用性是矛盾的两个方面。某些措施的采取可能会提高可靠性，同时也可能会导致可用性的下降，反之亦然。可靠性与可用性是衡量一个安全仪表系统的重要指标，无论是可用性低、还是可靠性低，都会提高损失或发生事故的概率。因此，在设计安全仪表系统时，要兼顾可用性和可靠性。可用性是系统的基础，没有高可用性的可靠性是不现实的; 可靠性是系统前提，可用性必须服从可靠性[5]。而在石化等行业的现实应用当中，装置停车可能造成巨额的财产损失，这就要求系统既具有高可用性，又具有高可靠性。安全仪表系统的设计过程中，不是可靠性越高越好，要寻求一种最优配置，在达到安全度等级后，配置合理的系统。

1.4 SIS设计时应注意的事项

（1）SIS系统采用的可编程控制器及其数据网络连接必须经TUV安全认证。

（2）SIS系统的机柜中需安装中央逻辑处理器、I/O模件、内部通信模件、电源模件等硬件设备，独立完成工艺装置的紧急停车和安全保护。系统辅助操作台上的紧急停车手动开关信号和报警信号应连接到SIS系统。此外，控制器负荷不应超过50%。

（3）SIS系统与 DCS系统互相通信，在 DCS操作站显示信息或发出报警信号。

（4）SIS系统应具备报警事件顺序记录功能(SOE)。 SIS应与DCS时钟同步，以准确记录发生事故时间，方便分析事故原因。

（5）在中央控制室设有两个重要的工作站：SOE工作站和工程师站。SOE工作站有记录顺序时间事件的功能；工程师站的任务是对SIS系统进行组态、调试、下装和维护等。SOE工作站和工程师站可相互备用，也可共用一站。

（6）SIS系统与其他子系统的连接采用硬接线的方式[6]。

SIS设计还应合理利用冗余容错、自诊断和在线维护等技术。总言之，在设计安全仪表系统时，首先要进行风险评估或分析;然后确定SIL等级，以确定安全仪表系统达到的风险指标;最后，综合考虑系统的可靠性与可用性，采用多种技术，合理配置系统的结构。

2 系统结构

安全仪表系统由一系列元件或装置组成,是一个有机整体，逻辑控制器是系统中的重要的元件,现场检测与执行设备, 安全栅、辅助按钮、信号线路、供电、开关等配套设备也是系统组成部分，而我们通常重点研究的是整个系统中的逻辑控制单元，包括控制器、I/O模块、总线等。

2.1 系统构架

SIS系统常采用基于三重化表决模式的分散式架构，控制器与I/O都采用三重化结构，主机架内包括控制器、电源、通讯模块等，I/O模块三个一组固定于独立底座上。

控制器与操作站间通过冗余 SCnetⅡ工业以太网通讯，控制器与I/O模块、以及I/O模块彼此之间通过串行 I/O BUS相连，以便连接和扩展系统规模[7]。

2.2 系统规模

系统规模由I/O总线的传输速率决定。SIS应用于安全控制领域，要求较快的响应速度，系统规模一般较小。但是可以采用多重冗余技术，增加 I/O模块，扩展I/O点数。

3 简述两款主流安全仪表系统的应用

3.1 康吉森系统（consen）

国内安全控制领域应用较为广泛的TRICON系统是康吉森公司的产品。TRICON采用三重化容错技术(TMR)，除了常规的ESD，TRICON在透平机组控制 Turbomachinery control方面业务拓展得也很快。在TRICON成功的基础上，康吉森公司又推出了面向较小规模应用场合的 Trident，同样也获得TUV的 SIL3级认证，该系列产品运算速度更快，也更为灵活。

3.2 黑马系统（HIMA）

HIMA系统是德国的一家公司的产品，在安全控制领域历史悠久，目前该公司的CPU四重化技术(QMR，即四取二技术)在该领域被广泛地认可，甚至有的系统的安全等级达到 SIL4。在PES(Programmable Electronic Systems)领域，产品主要有两个系列:H4lq/H51q和HIMatrix，前者应用于过程控制Process Applications。涉及的领域有化工、石油、石化、制药、造纸等，一般系统规模庞大:后者应用于 Factory Applications，包括机械制造、汽车等，多数系统规模小，基于安全以太网，响应速度特别快，也极为灵活。

表1对两款产品进行综合比较，列出两种产品的主要的性能指标，供设计安全仪表系统时参考。

4 结束语

（1）安全仪表系统能有效为过程工业降低风险，提高安全性，因此得到越来越多的关注，安全仪表系统的主要目的是提高工业生产过程的可靠性与安全性,使整个工业生产过程安全平稳的运行。

（2）安全仪表系统的设计包含的多个方面,只有过程工业中多个专业的设计人员的紧密合作才能圆满的完成。安全仪表系统的设计时应进行HAZOP分析,然后采用定性或定量的分析和评估方法来确定实际安全仪表系统的安全完整性水平,从而达到整个安全仪表系统的基本要求。但是由于应用方法不同，确定的安全完整性水平可能有差异,这就需要设计者灵活的分析具体的情况，确定合适的安全完整性水平分析方法。

（3）随着技术的不断更新完善使得安全仪表系统的成本大大的降低，其功能亦越来越强大,设计也变得更为便捷，应用将更为广泛。安全仪表系统将为过程工业的安全生产提供更可靠的保障。

表1 两种安全仪表系统产品综合性能比较Table 1 The performance comparison of two kinds of safety instrument system product

［1］ 工业生产过程中安全仪表系统的应用 SY/T10045 2003[S].2003.

［2］ 阳宪惠,郭海涛.安全仪表系统的功能安全[M].北京:清华大学出版社,2007.

［3］ IEC61508-1:1998《电气/电子/可编程电子安全相关系统的功能安全 第1部分：一般要求》[S].

［4］ 杨蓓,刘一笑.风险和可操作性研究与安全仪表安全度等级的确定[J].石油化工自动化,2006(5):1-3.

［5］ 石油化工安全仪表系统设计规范SH/T 3108 2003[S]. 2003.

［6］ IEC61511 (2003) ,Functional safety - Safety instrumented systems for the process industry sector-Part 1-3[S].

［7］王红望.安全仪表系统的实施及应用[J].石油化工自动化,2009,45(1):72-74.