安全仪表SIS系统设计原则及逻辑联锁

文章出处： 人气：发表时间：2019-3-22 14:39:05

  安全仪表SIS系统（ＳａｆｅｔｙＩｎｓｔｒｕｍｅｎｔＳｙｓｔｅｍ）也称安全联锁系统（ＳａｆｅｔｙＩｎｔｅｒｌｏｃｋＳｙｓｔｅｍ）或紧急停车系统ＥＳＤ（ＥｍｅｒｇｅｎｃｙＳｈｕｔｄｏｗｎＳｙｓｔｅｍ），是石油化工装置安全生产的保护系统。随着世界范围内石油化工生产技术不断进步，石油化工装置正朝着大型化、一体化、智能化和清洁化等方向发展，传统的石化企业生产过程控制系统和安全仪表系统的设计理念也随之发生改变。从工厂生产操作、管理、维护的角度出发，要求过程控制系统应具有开放性、敏捷性、易操作性和易维护性。从安全和风险控制的角度出发，要求安全仪表系统应具有独立性、高可靠性和高可用性。本文从工程设计和实际应用出发，讨论了安全仪表系统设计的相关问题。

１、SIS系统设计的原则

  安全仪表SIS系统设计原则必须满足工艺装置的安全运行，在发生异常情况时发挥作用，使安全联锁系统按预定要求动作，以确保工艺装置的生产安全，避免重大

人身伤害及重大设备损坏事故。对于安全仪表系统的设计，普遍认为ＩＥＣ６１５０８、ＩＥＣ６１５１１和ＤＩＮ１９２５０提供了极好的国际通用技术规范和参考资料。其中，ＩＥＣ６１５０８是最新的、也是最主要的标准，而ＩＥＣ６１５１１是ＩＥＣ６１５０８的延续，主要针对的是流程工业。

  １．１可靠性原则为了保证工艺装置的生产安全，安全仪表系统必须具备与工艺过程相适应的安全度等级ＳＩＬ（ＳａｆｅｔｙＩｎｔｅｇｒｉｔｙＬｅｖｅｌ）的可靠度。对此，ＩＥＣ６１５０８等标准有详细的技术规定。对于安全仪表系统。可靠性有两个含义，一个是安全仪表系统本身的工作可靠性；另一个是安全仪表系统对工艺过程认知和联锁保护的可靠性，还

应有对工艺过程测量、判断和联锁执行的高可靠性。评估安全度等级ＳＩＬ的主要参数就是平均危险故障率范围（ＰＦＤ），按其从高到低依次分为１～４级，在石化行业中一般涉及到的只有１、２、３级，因为ＳＩＬ４级投资大，系统复杂，一般只用于核电行业。

  １．２可用性原则可用性（可用度）是指一个系统在一个给定的时间点能够正确执行功能的概率。常用下面公式表示：Ａ＝ＭＴＢＦ／（ＭＴＢＦ＋ＭＴＴＲ）应用研究ＡＰＰＬＩＣＡＴＩＯＮＲＥＳＥＡＲＣＨＣＨＩＮＡＩＮＳＴＲＵＭＥＮＴＡＴＩＯＮ中阅便嚣低表式中：Ａ为可用度；ＭＴＢＦ为平均故障间隔时间；ＭＴＴＲ椭故障修复时问。而对于安全仪表系统对工艺过程的认知过程，还应当重视系统的可用性，正确的判断过程事故，尽量减少装置的非正常停车，减少开、停车造成的经济损失。

  １．３独立性原则安全仪表SIS系统应独立于基本过程控制系统（ＢＰＣＳ、ＤＣＳ、ＦＣＳ、ＣＣＳ、ＰＬＣ等），独立完成安全保护功能，它的传感器、逻辑表决器和最终执行元件应单独设置。如果工艺要求同时进行联锁和控制，安全仪表系统和ＢＰＣＳ应设置独立的传感器和取源点（特殊情况除外，如配置３取２传感器，进ＤＣＳ信号３取中，进安全仪表系统３取２，经过信号分配器公用传感器）。安全仪表系统应能通过  数据通信连接以只读方式与ＤＣＳ通信，禁止ＤＣＳ通过该通信连接向安全仪表系统写信息；还应配置独立的通信网络，包括独立的网络交换机、服务器、工程师站和顺序事件记录（ＳＥＲ）站等；另外应采用冗余电源，由独立的双路配电回路供电并避免安全仪表系统和ＢＰＣＳ的信号接线出现在同一接线箱、中间接线柜和控制柜内；同时阀门不应配备手轮。

  １．４故障安全原则当安全仪表系统的元件、设备、环节和能源发生故障或者失效时，系统设计应当使工艺过程能够趋向安全运行或者安全状态，即系统设计的故障安全性原则。能

否实现“故障安全”取决于工艺过程及安全仪表系统的设计。例如：安全仪表系统的传感器、逻辑表决算器和最终执行元件应为失电月Ｅ励磁联锁；用于报警／停车的接点在正常操作过程中应当处于闭合状态，在报警停车时打开。

  １．５冗余原则为了提高安全仪表系统的ＳＩＬ等级，对系统的各个单元实行冗余是必须的。其基本原则为：

（１）传感器的冗余原则：对于ＳＩＳ的ＳＩＬｌ回路，可采用单一的传感器；对于ＳＩＳ的ＳＩＬ２回路，宜采用“1００２Ｄ”或“２００３D”冗余的传感器；对于ＳＩＳ的ＳＩＬ３回路，应采用“２００３”冗余的传感器。

（２）ＳＩＳ逻辑表决算器的冗余原则：ＳＩＬｌ可采用“ｌｏｏｌＤ”单逻辑单元；ＳＩＬ２宜采用“1００２Ｄ”或“２００３D”２０１０年增刊冗余逻辑单元；ＳＩＬ３应采用“２００３”或“２００４Ｄ”冗余逻辑单元。

（３）ＳＩＳ控制阀的冗余设置原则：ＳＩＬｌ可采用单电磁阀、单ＳＩＳ控制阀；ＳＩＬ２宜采用冗余电磁阀、单ＳＩＳ控制阀；ＳＩＬ３应采用冗余电磁阀、双ＳＩＳ控制阀。ＳＩＳ冗余控制阀为分别带电磁阀的两个ＳＩＳ开关阀，也可为带电磁阀的１个调节阀ＪｊＩＪｌ个ＳＩＳ开关阀。冗余输入的ＳＩＳ逻辑应当包括输入信号偏差报警（２个变送器的信号偏差，报警设定值一般为５％）。

  １．６诊断与在线维护原则ＳＩＳ应具有硬件和软件自诊断及测试功能。ＳＩＳ应为每个输入工艺联锁信号设置维护旁路开关，方便进行在

线测试和维护。用于３选２表决方案的冗余传感器不需要旁路，手动停车输入也不需要旁路。严禁对ＳＩＳ输出信号设立旁路开关。如果ＳＩＬ计算表明测试周期小于工艺停车周期，而对最终执行元件进行在线测试时无法确保不影响工艺或导致误停车，则ＳＩｓ的设计应当根据需要进行修改，通过提高冗余配置以延长测试周期或采用部分行程测试法、对故障关的阀门增加手动旁通阀、对故障开的阀门增加手动截止阀等措施，以允许在线测试ＳＩＳ阀门。对于ＳＩＳ联锁旁路应设置“禁止／允许”开关。ＳＩＳ旁路开关的动作应当在ＤＣＳ中产生报警并予以记录。除非旁路解除，报警始终处于活动状态。

  １．７联锁与复位原则ＳＩＳ的设计应保证一旦工艺过程进入安全状态，在进行手动复位前应保持工艺过程在安全状态。最终执行元件在所有的联锁初始条件恢复到正常状态前不得复位。带多个传感器和最终执行元件的复杂联锁回路需要在逻辑中设置一个总联锁复位信号（按钮），当联锁初始条件恢复到正常状态之后，能用该复位信号（按钮）对整个联锁回路进行复位。对火焰加热炉、气化炉、反应器等高危险设备的最终执行元件，需配备一个独立的、就地手动复位装置。总联锁复位必须在就地手动复位前先复位，就地手动复位装置的信号必须输入ＳＩＳ逻辑。

  １．８其他设计原则ＳＩＳ必须获得ＩＥＣ６１５０８ＳＩＬ和／或ＴＵＶＡＫ（德）相应ＳＩＬ等级的认证。鉴于某些特殊原因，需要由ＳＩＳ执行的非安全功能应在因果图上明确标明（如“非安全功中阅候嚣饭表ＣＨＩＮＡＩＮＳＴＲＵＭＥＮＴＡＴＩＯＮ２０１０年增刊ＡＰＰＬＩＣＡＴＩＯＮＲＥＳＥＡＲＣＨｌ应用研究能”、“ＮＳＦ”、ＳＩＬ＝“Ｎ／Ａ”或其他标识）并在其他ＳＩＳ设计文件中指明。ＳＩＳ系统中使用的硬件、软件和仪表必须遵守正式版本并已商业化，同时必须获得国家有关防爆、计量、压力容器等强制认证。严禁使用任何试验产品。

２、sis系统典型逻辑关系复位按钮

 ２．１逻辑运算关系目前在石油化工装置的安全仪表系统中，安全联锁系统的功能是通过逻辑运算实现的，一般是在软件中采用布尔代数运算实现。一个安全联锁功能通常包括多段逻辑运算。在实际的应用过程中，除了过程信号的原因

导致联锁结果外，还应设置一些其他相关操作手段和信号关系，以确保安全仪表系统的可靠性和可用性。

  ２．２对触发联锁结果的处理根据工艺过程具体情况，安全联锁系统发生联锁后的处理方式是不同的。对于不是随意可逆的工艺过程，当输入信号越限触发联锁后，安全系统应设置自锁

功能以防止过程变量触发联锁后又恢复到正常范围，导致工艺过程不能按正常顺序或意外恢复或启动，再次形成事故，对装置和人造成危险。为此，应设置人工恢复（Ｒｅｓｅｔ）按钮。当然，也有一些工艺过程的安全联锁动作是可逆的，其安全联锁不需设置自锁功能，系统在过程恢复正常时，可自动回到正常状态。对于自动恢复的系统，若工艺过程变化较快，可设置适当宽度的不灵敏区，消除过程变量处在联锁值边缘时频繁触发联锁的现象。

  ２．３人为启动联锁和输入信号旁路开关典型安全联锁回路设有人工联锁按钮（Ｍａｎｕａｌ），用于需要人为启动联锁的场合。为装置开工过程系统投运，对某些输入信号要设置旁路开关（ＢｙＰａｓｓ）。当工艺过程变量还未达到正常值时，暂时切断安全联锁系统的相应输入信号部分，待过程量正常后才能投运。输入信号旁路开关有时也用于系统维护和测试过程。

sis系统安全逻辑连锁

  ２．４典型的安全联锁逻辑图以某压力联锁为例，一个典型的安全联锁逻辑关系如图１所示。ＴＲＩＰ＝１ＮＤｏＲＤＣＳ报警报警器一图１典型的安全联锁逻辑关系图1中用ＲＳ触发器组成自锁和人工恢复的逻辑，正常工况电磁阀ＵＳＯＶ带电励磁，联锁状态时电磁阀断电。当压力超限时，首先由转换器将ＡＩ信号转换为ＤＩ信号，超限时信号为１，ＤＣＳ与声光报警器报警；然后输入信号与旁路开关信号进行ＡＮＤ运算：如旁路开关未打开则为１，运算结果也为１，再与手动开关进行ＯＲ运算，如

报警信号为１或者手动开关打开则输出为０，最后信号进入ＲＳ触发器。ＲＳ触发器由两个与非门（或是或非门）的输入和输出交叉连接而成，有两个输入端Ｒ和ｓ（又称触发信号端）；Ｒ为复位端，当Ｒ有效时，Ｑ变为０，故也称Ｒ为置０端；ｓ为置位端，当ｓ有效时，Ｑ变为ｌ，称ｓ为置“１”端；还有两个互补输出端Ｑ和ｅ。当Ｑ＝Ｉ，ｅ＝０；反之亦然。Ｒｓ触发器的状态表如表１。当报警信号为０即Ｓ置１端有效，Ｓ＝Ｏ；Ｒ＝Ｉ，此时ｅ＝ｌ，Ｑ＝Ｏ，电磁阀非励磁，联锁启动。当输入信号正常恢复正常时，Ｓ＝Ｉ，此时若按下复位按钮，Ｒ＝Ｏ，．ＪＱ＝０，表１ＲＳ触发器状态表ｅ＝ｌ；电磁阀为通电状态，联锁解除。正常状态下Ｓ与Ｒ端均为１，电磁阀状态保持不变。在信号还未恢复正常时按低表换取更长的休眠时间节约能源，还可有效地减轻系统中启、停机对设备的冲击，减少电动机故障率，延长使

用寿命，同时降低对电网的容量要求和无功损耗。变频器在集中供热系统中的应用如图２所示。图２变频器在换热站中的应用２０１０年增刊实践证明，在集中热行业上推广应用变频技术，一般能节电２０％－６０％投资回收期为１－３年，不仅节能效果显著，而且保护功能齐全，运行平稳，为系统正常供热提供保障。随着变频技术的不断提高和人们对其认识的不断加深，变频技术必将在集中供热系统中有关更广阔的应用前景。参考文献１唐介．电机与拖动．高等教育出版社，２００３作者简介：孙慧杰，女，助理工程师，从事电气工程及其自动化设计工作。下复位开关，即Ｓ＝０，Ｒ＝０，这种睛况是不被允许的。

３、sis系统回路设计

  ３．１检测元件的设置检测元件的可靠性直接影，向ＮｓＩｓ的安全性能。为减少现场元件故障概率，装置与ＳｌＳ，目关的检测仪表应主要选择流量、温度、压力等变送器，并对检测元件进行冗余。例如，３４－变送器可采用３取２表决方式（２００３）进入ＳＩＳ。需注意的是，如需与ＤＣＳ进行通讯，则其中１个变送器信号通过ＳＩＳ机柜内的信号分配器进入ＤＣＳ，Ｅ自ＤＣＳ供电的信号分配器断电时，不影Ｏ向ＳＩＳ输入信号，ＤＣＳ故障不会影，ＮＳＩＳ。普通开关仪表易出现触点粘合或因管线震动而打开等异常状况。与ＳｌＳ卡Ｎ关的开关仪表只限于现场防暴控制按钮，炉体上的火焰检测器开关，带ＳＩＬ２认证的音叉液位开关，接近式干接点型的阀位反馈开关；不宜选用流量、温度与压力开关。在ＳＩＳ系统中，如检测元件采用本质安全型仪表需考虑的问题较多（例如安全栅的配置等），用隔爆式仪表比较适宜。

  ３．２逻辑运算单元及Ｉ／０卡件的设置在ＳＩＳ系统中，逻辑运算单元及Ｉ／Ｏ卡件出现故障的概率是最小的，只占所有元件故障比率的１５％。但是随着ＳＩＳ系统的不断发展，对逻辑运算单元的技术要求却不７８断提高，在现在的ＳＩＳ设计中，常要求逻辑运算单元带有自检测，容错和巡检功能，以此来提高整个系统回路的可靠性。

  ３．３执行元件的设置ＳＩＳ中执行元件选用高温绝缘耐用型线圈、长期带电型的低功耗电磁阀，相应的切断球阀和碟阀选择合适的材质，防止出现卡塞现象。马达控制中心电动机的起停信号一般采用２２０ＶＡＣ、５Ａ继电器隔离；中压电动机（６ｋＶ／１０ｋＶ）起停信号则选用大功率继电器隔离。对于关键部位的执行机构，要选择多电磁阀多执行机构的冗余设置。具体设置方法也需要注意，例如双电磁阀双执行机构的冗余方式宜采用并联结构。

  总之，安全仪表sis系统是由检测元件、各种Ｉ／０卡件、逻辑运算单元、最终执行机构或元件及其之间的信号传输关系所构成的完整系统。系统整体的可靠性和可用性与构成系统的各个环节密切相关。因此在工程设计过程中考虑

系统设计、选型、配置时，必须依据安全仪表系统的设计原则和相关标准、规范，结合工艺过程的安全要求，仔细推敲斟酌系统设计的每个细节，确保安全仪表系统在工艺过程发生危险情况时真正发挥安全保护作用。