在生产工艺复杂、危险性高的过程工业领域，安全一直是企业最为关注的话题。为确保企业生产过程的安全，安全仪表系统（SIS－Safety Instrumented System）已越来越多地得到重视，并广泛应用于化工，石油炼制，天然气集输净化及管道输送等不同行业的工艺生产装置，用于保护人员、设备、环境及财产安全。

本文通过安全仪表系统在过程工业领域的应用，详细介绍安全仪表系统的概念及标准、安全生命周期模式等内容。谈及安全仪表系统，就首先要了解一下与安全相关的基本概念。

为了促进和规范与安全相关的控制和保护系统的设计、制造和应用，国外一直致力于制定安全技术的相关标准。欧洲国家处于领先地位，最早的安全相关系统的标准于二十世纪七十年代诞生在德国。此后，随着仪表控制技术和控制系统可靠性技术的发展，为适应各种工业部门对安全相关系统性能要求的不断提高，有关安全相关系统的标准也不断更新和完善，目前国际上常见的基本标准有：

IEC61508Funcitional safety of electrical/electronic/programmable electronic safety related systems；

IEC61511Functional safety :Safety instrumented systems for the process industry sector；

ANSI/ISA-84.01-1996 Application of safety instrumented systems for the process industries (替代标准ANSI/ISA-84.00.01-2004）；

DIN V 19250 Programmable safety system。

德国DIN V 19250标准和美国ANSI/ ISA-84.01-1996标准是过程工业安全领域具有重要意义的早期的两个标准，尽管这两个标准已经作废，但对标准内容的了解有利于理解相关功能安全标准。

目前，IEC 61508/ IEC 61511已经转换为国家标准，GB/T 20438-2006《电气/电子/可编程电子安全相关系统的功能安全》等同采用IEC 61508，GB/T 21109-2007《过程工业领域安全仪表系统的功能安全》等同采用IEC 61511-2003。

1）IEC 61508 《电气/电子/可编程电子安全相关系统的功能安全》

该标准作为最权威的功能安全基础标准，主要用于规范行业相关标准的制定，其涵盖了功能安全各阶段所从事活动的基本要求和技术框架。

IEC 61508标准由7个部分组成，1～4部分包括标准需求（规范性要求），5～7部分包括开发过程指导和示例（资料性内容）。

IEC 61508标准的两大主题：安全功能和功能安全。为了实现功能安全的要求，建立了两大体系：技术体系和功能安全管理体系。

IEC 61508中有两个重要的概念，一个是安全完整性，一个是安全生命周期。如何保证系统安全完整性是功能安全标准对安全控制的一大贡献，它考虑了从系统的前期分析设计到后期安装调试、维护保养等各方面的相关技术/措施的采用的整体安全生命周期管理模式。

安全完整性不仅仅是由系统的设计和实现决定的，同时还取决于系统的安装、运行和维护等活动。因此，整体安全生命周期不仅覆盖安全相关系统的设计，还包括安全相关系统的规划、设计、安装、调试、运行、维护和停用等所有的主要阶段。整体安全生命周期的基本思想是与功能安全相关的所有活动都按一个有计划的、系统的方法进行管理。

2）IEC 61511 《过程工业领域安全仪表系统的功能安全》

IEC 61511是IEC发布的第一个基于IEC 61508的特定行业——过程工业领域的功能安全标准。它适用于过程工业广泛的行业领域应用，如化工、石油炼制、油气开采及储运等，核工业除外。

针对基于使用电气（E）/电子（E）/可编程电子（PE）技术的安全仪表系统，IEC 61511中规定了逻辑解算器在设计和使用过程中应采用的基本原则，以及构成安全仪表系统的传感器和最终元件所应达到的最低标准，并提出了达到这些最低标准的安全生命周期活动的方法，即对过程工业中安全仪表系统的规范、设计、安装、运行和维护的要求进行了标准化，对安全仪表系统的系统、硬件、软件提出要求。

IEC 61511对安全仪表系统的安全要求规格书（包括安全功能要求和安全完整性要求）的制定、设计和实施工程、安装、操作、维护等环节给出了明确要求，确保工艺过程处于安全状态。

采用系统化的安全生命周期方法，确保了SIS功能安全设计所有必需的活动要做且做到位，以及以合理的顺序去做。

IEC 61511中的安全生命周期模型包括三个大的阶段：分析、工程及操作运行。IEC 61511规定了5个功能安全评估，一系列活动完成并达到这几个关键节点时，完成阶段性功能评估。SIS安全生命周期阶段和功能安全评估阶段见下图。

2.1 危险和风险分析

危险和风险风险分析的总体目标，是辨识安全功能及其风险降低的绩效水平（SIL要求），确保工艺过程安全。

危险和风险分析可以采用任何行之有效的技术，辨识出在所有合理的、可预见情形（包括故障状态和误操作）下，可能发生的危险和危险事件。

在过程工业典型的工程项目中，危险和风险的初步评估应在基本工艺流程设计（初步设计）的早期进行。常用的危险分析技术和方法包括：PHA小组安全审查、过程危险的初始分析、Checklist、What if/Checklist、HAZOP、失效模式和影响分析FMEA等。风险分析技术和方法包括：FMEA、故障树分析FTA、事件树分析ETA、因果分析CCA、风险的定量评估QRA，以及LOPA等。

2.2 将安全功能分配到保护层

在确定SIS及其SIL时，首先要考虑存在的其它保护层及其提供的保护能力。如果需要SIS保护层，才确定仪表安全功能（SIF）的SIL。

在实践中，只有当采用“固有安全”设计或其它技术的系统存在问题时，才考虑安全功能部分分配给安全仪表系统。当将安全功能分配到SIF时，要确定它是要求操作模式还是连续模式。

2.3 SIS安全要求规范（SRS）

制定安全要求规范是整个SIS安全生命周期中最重要的活动之一。它为SIS的系统设计、逻辑控制器的硬件集成和软件组态、安装和调试，以及开车运行等提供工程实践准则。SIS的最终验证（SAT）应按照安全要求规范进行。

2.4 SIS的设计和工程

根据SRS，选择SIS部件或子系统，满足SRS指定的技术要求，及满足特定的验收准则要求。

SIS的设计和工程主要涉及SIS与SRS要求的符合性要求、故障检测的系统行为要求、硬件故障裕度要求、部件或子系统的一般选型要求、操作员接口要求、维护和工程接口要求、通信要求及维护或测试设计要求等内容。

2.5 SIS安装和调试

根据设计规格书和图纸要求安装SIS及调试SIS使其达到最终的安全验证条件。制定详细的安装和调试的各项活动，及步骤、措施和技术要求等。

当实际的安装与SRS要求有差异时，应进行评估，也就是对安全没有影响，相关的设计文件可升版为“竣工图”；如果对安全有负面影响，就要对安装进行相应的修改。

2.6 SIS的操作和维护

周期性的离线检验测试是SIS投入操作运行后重要的维护活动，是保持SIF持续地满足安全完整性要求的保障。

在通常情况下，绝大多数SIS设备的检验测试，安排在装置的停车大修期间进行，也就是说，设计要求的检验测试时间间隔(TI)大于等于装置的停车检验时间间隔。如果为满足PFD值计算要求，需要TI短于装置的停车检修时间间隔，就要设计该SIS设备的旁路等措施，以便不影响装置运行和所在SIF安全操作的前提下，从在线状态脱开。

2.7 SIS修改

在对SIS进行任何修改之前，应有相应的授权和控制管理步骤和程序。应对修改进行功能安全影响分析，修改活动应形成文档。

2.8 SIS停用

在对SIS进行任何停用之前，应有相应的授权并按照要求的步骤和程序进行管理控制。应对停用进行功能安全影响分析和评估，影响分析的结果，用于指导相关活动。