唐旭东

(中国石化上海石油化工股份有限公司，200540)

安全仪表系统在石化企业的应用

唐旭东

(中国石化上海石油化工股份有限公司，200540)

安全仪表系统通过硬件与软件的紧密结合，利用周密设计的既定程序，实现生产过程的安全保护控制。针对不同行业对于安全仪表系统的规范要求、设计原则和使用范围各不相同情况，介绍了该系统在石油化工企业的实际运用中总结的经验，并对其核心控制部分进行了重点阐述。

安全仪表系统 控制器 应用

安全仪表系统(Safety Instrumentation System，简称SIS系统)是一种可编程控制系统，它对生产装置或设备可能发生的危险采取紧急措施，并对继续恶化的状态进行及时响应，使其进入一个预定义的安全停车工况，从而使危险和损失降到最低程度，保证生产设备、环境和人员安全。随着社会的发展，SIS系统通常是应用于石油、化工等过程工业领域，但作为一种高度可靠的安全保护设施，也被越来越广泛地应用在其他行业中，包括核电、航空、舰船以及高速铁路等系统，是工厂企业自动控制中的重要组成部分。

1 SIS系统简介

SIS系统不同于批量控制、顺序控制及过程控制的工艺联锁，当过程变量越限、机械设备发生故障、系统本身故障或能源中断时，安全仪表系统能自动(必要时可手动)地完成预先设定的动作，使操作人员、工艺装置及环境保护带入安全状态。常见的应用有紧急停车系统(ESD)、仪表保护系统(IPS)、压力保护系统(HIPPS)和火气保护系统(FGS)等。

1.1 主要特点

(1)一定的安全完整性等级

SIS系统充分考虑了系统的整体安全生命周期，提出了评估安全完整性等级(safety integrity level，简称SIL)的方法，规范了为实现必要的功能安全所使用的工具与措施。SIS系统的设计与开发过程必须遵循IEC 61508，并应通过独立机构(如德国TUV或美国的Exida等)的功能安全评估和认证，取得认证证书，才能在工业现场中应用。

(2)较高的可用性和可维护性

SIS系统的构成部分应充分考虑到构成单元所能达到的安全仪表功能(SIF)，其采用的逻辑冗余结构构成形式(MooN)，以及系统本身的单一故障是否会造成系统的误停车等。同时，还要考虑系统带故障运行时，是否可对故障卡件在线维护,而不需要停整个系统。

(3)容错性的多重冗余系统

SIS系统一般采用多重冗余结构以提高系统的硬件故障裕度，单一故障不会导致SIS系统安全功能丧失。如SIS系统主流的三重化结构(TMR)：它将三路隔离、并行的控制系统(每路称为一个分电路)和广泛的诊断集成在一个系统中，用三取二表决提供高度完善、无差错，不会中断控制。

(4)全面的故障自诊断能力

SIS系统的安全完整性要求还包括避免失效的要求和系统故障控制的要求，同时，构成系统的各个部件均需明确故障诊断措施和失效后的行为。系统整体诊断覆盖率一般高达90%以上。SIS系统的硬件具有高度可靠性，能承受大多数环境应力，如现场电磁干扰等，从而可以较好地应用于各种工业环境。

(5)响应速度快

SIS系统的实时性很好，从输入变化到输出变化的响应时间一般在50～100 ms，一些小型SIS系统的响应时间更短。

(6)具备顺序事件记录功能

为了更好地进行事故分析与事后追忆，SIS一般具有事件顺序记录(sequence of events，SOE)功能，即可按时间顺序记录各个指定输入和输出及状态变量的变化时间，记录精度一般精确到毫秒级。

(7)产品的功能安全设计

实现从传感器到执行元件所组成的整个回路的安全性设计，具有输入/输出(I/O)短路、断线等监测功能。

1.2 基本功能和扩展功能

SIS系统的基本功能包括：保证生产的正常运转、事故安全联锁、安全联锁报警、联锁动作和投运显示。

SIS系统的扩展功能包括：安全联锁的预报警功能、安全联锁延时、第一事故原因区别、安全联锁系统的投入和切换、手动紧急停车、安全联锁复位。

2 SIS系统在石化装置上的实际应用

根据SIS系统组成内容可分现场和控制室两部分，现场部分主要包括测量仪表、最终元件(执行仪表)及电缆等设备，控制室部分则包含控制系统(逻辑控制器)安全栅、继电器和电源电缆等仪表设备。

2.1 现场部分实际运用

2.1.1 测量仪表

(1)冗余与独立设置要求

SIL等级是在1998年颁布的IEC 61508功能安全标准中首次提出的,它是功能安全等级的一种划分。IEC 61508将SIL划分为4级,即SIL1,SIL2,SIL3和SIL4。安全相关系统的SIL应该达到哪一级别,是由风险分析得来的,即通过分析风险后果严重程度、风险暴露时间和频率、不能避开风险的概率及不期望事件发生概率这4个因素综合得出，级别越高要求其危险失效概率越低。SIL1可采用单一测量仪表，可与过程控制系统(DCS等)共用；SIL2宜采用冗余测量仪表，宜与过程控制系统(DCS等)分开；SIL3 应采用单一测量仪表，应可与过程控制系统(DCS等)分开。

(2)冗余方式

当系统要求高安全性时，应采用“或”逻辑结构；当系统要求高可用性时，应采用“与”逻辑结构；当系统要求兼顾安全性和可用性时，宜采用“三取二”逻辑结构。

测量仪表宜采用模拟量信号，不应采用现场总线或起跳通信方式作为SIS系统的输入信号源；开关量信号，如紧急按钮等信号应为正常闭合状态；在防爆区要求采用隔爆措施或者安装本安仪表；仪表设备电气接口宜采用防爆格兰，而非防爆绕心管；温度测量建议采用套管加法兰安装方式；液位、压力测点要求带一次阀； 现场仪表设备建议采用24 V直流供电为主，测量仪表测量管线尽可能短，不应超过15 m。

2.1.2 最终元件

最终元件一般为控制阀(调节阀、切断阀、电磁阀)、电机等。

(1)独立设置

SIL1,控制阀可与过程控制系统(DCS等)共用，但应确保SIS系统控制作用优先；SIL2，控制阀宜与过程控制系统(DCS等)分开；SIL3，控制阀应可与过程控制系统(DCS等)分开。

(2)冗余设置

SIL1，可采用单一控制阀；SIL2，宜采用冗余控制阀；SIL3，应采用冗余控制阀。

冗余方式可采用一调节阀加一切断阀，或是二切断阀；在防爆区要求采用隔爆或本安仪；仪表设备电气接口宜采用防爆格兰，而非防爆绕心管；宜采用24 V直流供电、低功耗、正常带电励磁型电磁阀。

2.1.3 电缆等仪表设备

电缆优选多股绞合软心铜质屏蔽电缆；现场仪表电缆线的规格(横截面积)不宜小于1.5 mm2，一般本安信号电缆线采用1.5 mm2，隔爆信号电缆采用2.5 mm2，24V直流供电电缆等宜采用2.5 mm2；现场仪表到现场接线箱间不建议采用防爆绕心管；本安信号电缆长度单程不宜超过300 m。

供电电缆采用控制室到现场用电仪表单根直敷方式，而其他信号建议采用多心电缆从控制室到现场接线箱方式，每根多心电缆留有1或2对备用电缆，现场接线箱也应留有1或2对备用端子。

防爆区域现场接线箱必须采用满足防爆等级接线箱，建议采用增安型带防爆格兰接口、防护等级不低于IP65。

2.2 控制室部分实际运用

2.2.1 控制系统(逻辑控制器)

作为整个安全仪表系统的核心部分， SIS系统逻辑控制器应独立设置，不与过程控制系统(DCS等)共用；其中央处理器应采用三重化(TMR)或四重化(QMR)结构，而I/O卡件可根据SIL等级不同而选择是否冗余；在选择逻辑控制器时应选择中央处理器、I/O卡件、电源模块、通信模块等能独立分割，并可在线更换而不影响逻辑控制器正常运行的产品。

逻辑控制器宜采用经过如德国的TUV认证机构认证的可编程逻辑控制器(PLC)，要求响应时间为100～300 ms；中央处理器负荷不应超过50%；内部通信负荷不应超50%，采用以太网通信的负荷不应超20%；具有毫秒级的事件按顺序记录功能，并能自动转存，仅受硬盘容量限制。

每套SIS系统应有20%的裕量空间用于安装I/O卡件，且每个卡笼应至少有1对空槽位。控制器负荷能力包括扩展部分。全部I/O卡件输入电路应带电磁隔离或光电隔离，通道应为隔离型。I/O卡件的通道数可兼顾安全性、可靠性、易维护性和经济性等要求进行配置，但禁止使用混合型卡件。

SIS系统应设计成故障触发联锁动作后，故障恢复正常时，过程不应自动再起动。对于不允许自动回复的联锁逻辑，逻辑程序中必须设置输出自锁功能，即在输出环节使用双稳态触发器。

SIS系统联锁逻辑中设计旁路时，原则上仅在输入信号入口设置，旁路不应屏蔽报警功能；旁路开关或按钮动作应设置状态报警指示，并进入SOE中。紧急停车开关或按钮不得设有旁路功能。

报警或联锁值宜采用内存变量形式而非固定数值，但修改必须规定权限。

SIS系统与DCS等其他系统通信时，只能从SIS传输到DCS，或是DCS读SIS信息，而禁止DCS等系统采用通信方式来写或修改SIS系统相关信息。

2.2.2 操作站

SIS系统可配置工程师站、操作站和辅助操作站，应有SOE站，可与工程师站共用。辅助操作上灯、开关、按钮等配置功能形式必须统一。操作站SIS系统可单独设置，也可利用DCS的操作站，但必须保证操作站故障失效时，SIS系统的逻辑处理功能不应受到影响。操作站应能用于相关监控画面的显示、过程信号报警和联锁动作报警的显示和记录，也可用于报警确认、联锁复位、以及软旁路开关操作等，软旁路开关应加键锁或口令保护。

辅助操作站的声光报警功能常见做法为：当发生联锁时，辅助操作台上对应的报警指示灯会闪烁，同时蜂鸣器会发出报警声音；当操作工按下确认按钮时，灯光、报警声音消失；当联锁解除时，按下复位按钮，灯灭，如联锁未解除，则按下复位按钮无效。信号报警灯的功能宜采用SIS系统的软逻辑实现，不宜采用一体化的闪光报警器。报警灯颜色设置为一般故障报警采用黄色、联锁报警采用红色，正常运行状态采用绿色。紧急停车按钮宜采用红色，停车复位按钮宜采用绿色，旁路开关宜采用黄色。

2.2.3 供电

逻辑控制器供电应采用来自不同源的双路供电，系统所需24 V直流电路应独立配置。24 V直流供电包括逻辑控制器自身，安全栅、继电器等。在这强调必须是冗余的配置，冗余方式可采用1+1或是N+1的方式，同时在线路上设计要求做到具备故障报警输出功能和方便在线更换电源的条件。

2.2.4 中间端子柜

中间端子柜是SIS系统现场仪表与逻辑控制器间信号进出的“集散地”，虽并不是系统必须配置，但根据经验，增加中间端子柜是很有必要的。

配置中间端子柜信号时要求做到：(1)SIS系统信号与DCS等过程控制系统信号独立分开；(2)隔爆、本安信号分隔，三线制、二线制信号分隔；(3)对于同一工艺过程或同一现场监控设备的I/O点相对集中。

对于电磁阀接线可直接在继电器柜内进行连接，也可采用中间端子柜转接。如是使用中间端子柜的，建议此类供电端子采用带指示灯的闸刀型接线端子。

2.2.5 安全栅柜

SIS系统的安全栅柜要求独立设置，最低要求与DCS等系统安全栅分不同柜面布置。安全栅柜的24 V直流供电应每个柜独立配置，不宜采用跨柜供电方式，可采用端子板或导轨供电，也可采用单独供电方式，但供电方式必须确保不能因某个回路短路引起整个安全栅柜的供电跳闸。安全栅柜中的安全栅数量和排布方式必须满足供电、散热及易维护的条件，不宜采用模拟量信号安全栅的报警设定值触发信号作为SIS系统输入。

2.2.6 继电器柜

继电器一般用于供电、信号隔离(保护)和转接的用途。无论何种用途都需供电，所以继电器供电方式很重要，要做到确保不能因某个回路故障引起整个继电器柜的供电跳闸。同样继电器触点容量的选择也同样重要，太大或太小都会对整个回路正常不良影响。

常闭触点和常开触点选择必须首先满足故障安全型要求，同时也要兼顾某些特殊设备的功能要求。如高压电机的联锁控制信号和状态运行信号。

继电器柜中继电器数量、排布方式必须满足供电、散热及易维护的条件。

2.2.7 电缆

控制室内电缆线规格不宜小于1.0 mm2，特别是机柜间跨线，很多SIS系统商沿用国外厂家规格要求选用0.7 mm2电缆，在这特别提出不适用。

3 结语

随着石化企业大型化、规模化和一体化的发展趋势，在安全仪表系统上首先要考虑定位问题，处于不同的定位，就会有不同的配置，以达到不同的目标。考虑系统定位，就要从系统规模和系统架构两方面着手，从大方向上明确定位。对于系统规模而言，需要考虑的因素包括：安全、可用及环保等关联性(最高的SIL等级)，I/O点数，工艺流程和设备关联性；对于系统架构而言，需要考虑的因素包括第三方系统的关联方式、数据传输安全和有效性、系统扩容可能性。

中国科学院1,4-环己烷二甲醇工艺技术工业化应用

中国科学院大连化学物理研究所(简称大连化物所)在1,4-环己烷二甲醇(CHDM )生产技术上打破国际垄断，采用该技术建成的我国第一套10 kt/a级CHDM 装置已投产，产品达到国际先进水平。

大连化物所经过3年工业化研究，开发出10 kt/a级工业化的专利专有技术和高性能对苯二甲酸二甲酯两段加氢合成CHDM 催化剂。2012年，大连化物所与凯凌(张家港)化工有限公司合作开始20 kt/a CHDM 工业装置的建设，2014年4 月该装置成功试生产了近1 kt产品，其产品经国外20 多个厂家试用，均能满足其对原料的要求。随后，大连化物所继续对其工业装置进行优化升级，攻克了CHDM 产品在日本高档汽车工程塑料等产品中的应用难点，截止到2015年3月，该技术生产的产品质量完全达到了日本客户的特殊质量要求。

(中国石化有机原料科技情报中心站供稿)

New Development Trend for Global Ethylene Industry

Tang Xudong

(SINOPECShanghaiPetrochemicalCo.,Ltd. 200540)

The safety instrument system is used for safety control of production process though close association of hardware and software and by using of meticulously designed programs. In view of the different specification requirements, designing principles and applying regions of safety instrument system from different industries, the experience of this system in application of petrochemical enterprises was introduced, with emphasis on the core control part.

safety instrument system, controller, application

2015-03-18。

唐旭东，男，1982年出生，2005年毕业于江苏工业学院计算机科学与技术专业，工程师，现就职于中国石化上海石油化工股份有限公司总经理办公室，从事秘书工作。

1674-1099 (2015)02-0043-04

TH86

A