安全仪表系统SIS课件

安全仪表系统SIS目录：第一篇：SIS系统的相关要求第二篇：SIS系统的概念第三篇：与DCS/ESD的区别第四篇：SIS的实施步骤第五篇：相关 标准 excel标准偏差excel标准偏差函数exl标准差函数国标检验抽样标准表免费下载红头文件格式标准下载 和规范石油化工企业的特点大多石油和化工生产过程都具有高温、高压、易燃、易爆、有毒等危险。当某些工艺参数超出安全极限，未及时处理或处理不当时，便有可能造成人员伤亡、设备损坏、周边环境污染等恶性事故。这就是说，从安全的角度出发，石油和化工生产过程自身存在着固有的风险。一、充分认识加强化工安全仪表系统管理工作的重要性近年来，发达国家发生的重大化工（危险化学品）事故大都与安全仪表失效或设置不当有关。目前，我国安全仪表系统及其相关安全保护措施在设计、安装、操作和维护管理等生命周期各阶段，还存在危险与风险分析不足、设计选型不当、冗余容错结构不合理、缺乏明确的检验测试周期、预防性维护策略针对性不强等问题，规范安全仪表系统管理工作亟待加强。随着我国化工装置、危险化学品储存设施规模大型化、生产过程自动化水平逐步提高，同步加强和规范安全仪表系统管理，十分紧迫和必要。二、加强化工安全仪表系统管理的基础工作（技术、人员、标准）三、进一步加强安全仪表系统全生命周期的管理（危险分析、设计、安装、调试、维保、管理）四、高度重视其他相关仪表保护措施管理（报警管理、检验试验）五、从源头加快规范新建项目安全仪表系统管理工作从2016年1月1日起，大型和外商独资合资等具备条件的化工企业新建涉及“两重点一重大”的化工装置和危险化学品储存设施，要按照本指导意见的要求设计符合相关标准规定的安全仪表系统。从2018年1月1日起，所有新建涉及“两重点一重大”的化工装置和危险化学品储存设施要设计符合要求的安全仪表系统。其他新建化工装置、危险化学品储存设施安全仪表系统，从2020年1月1日起，应执行功能安全相关标准要求，设计符合要求的安全仪表系统。六、积极推进在役安全仪表系统评估工作涉及“两重点一重大”在役生产装置或设施的化工企业和危险化学品储存单位，要在全面开展过程危险分析（如危险与可操作性分析）基础上，通过风险分析确定安全仪表功能及其风险降低要求，并尽快评估现有安全仪表功能是否满足风险降低要求。企业应在评估基础上，制定安全仪表系统管理方案和定期检验测试 计划 项目进度计划表范例计划下载计划下载计划下载课程教学计划下载 。对于不满足要求的安全仪表功能，要制定相关维护方案和整改计划，2019年底前完成安全仪表系统评估和完善工作。其他化工装置、危险化学品储存设施，要参照本意见要求实施。安全仪表系统SIS的概念安全仪表系统英文全称：SafetyInstrumentedSystem简称：SISSIS是一种经专门机构认证、具有一定安全完整性水平、用于降低生产过程风险的仪表安全保护系统。SIS不仅能响应生产过程因超过安全极限而带来的风险，而且能 检测 工程第三方检测合同工程防雷检测合同植筋拉拔检测方案传感器技术课后答案检测机构通用要求培训 和处理自身的故障，从而按预定条件或程序使生产过程处于安全状态，以确保人员、设备及工厂周边环境的安全。安监总管三【2014】116号文件的描述：化工安全仪表系统（SIS）包括安全联锁系统、紧急停车系统和有毒有害、可燃气体及火灾检测保护系统等。安全仪表系统独立于过程控制系统（如DCS等），生产正常时处于休眠或静止状态，一旦生产装置或设施出现可能导致安全事故的情况时，能够瞬间准确动作，使生产过程安全停止运行或自动导入预定的安全状态。国际电工委员会IEC的描述：IEC61508中——SIS被称为安全相关系统（Safety Related System）,将被控对象称为被控设备（EUC）。IEC61511中——SIS定义为用于执行一个或多个安全仪表功能（Safety Instrumented Function,SIF）的仪表系统。是由传感器（如各类开关、变送器等）、逻辑控制器、以及最终元件（如电磁阀、电动门等）的组合组成。SIS属于生产过程的自动化范畴，是用于保障安全生产的一种系统，在化工装置中，SIS是保障化工装置安全运行的重要技术措施之一，是安全等级高于DCS的自动化控制系统。简单的说，当生产运行中出现可能导致事故的事件发生时，SIS会进行干预，降低事故发生的可能性。也可以说，当生产过程发生危险情况时，SIS会自动地按照预先设定的安全功能规范进行保护，以防止危险事故的发生或者减轻其后果。SIS的组成SIS是由仪表和控制设备构成的保护系统。主要包括（现场检测仪表、逻辑控制单元、现场执行装置）三部分。其中逻辑控制单元是整个控制系统的核心。SIS的组成DCS的组成与DCS系统的区别FS功能安全证书(FunctionalSafety)SIL安全完整性等级证书(SafetyIntegrityLevel)SIL认证就是基于IEC61508（GB/T20438）,IEC61511(GB/T21109),IEC61513,IEC13849-1,IEC62061,IEC61800-5-2等标准，对安全设备的安全完整性等级(SIL)或者性能等级(PL)进行评估和确认的一种第三方评估、验证和认证。功能安全认证主要涉及针对安全设备开发流程的文档管理(FSM)评估，硬件可靠性计算和评估、软件评估、环境试验、EMC电磁兼容性测试等内容。SIL安全完整性等级分4个等级，SIL4是安全完整性最高的等级（平均概率最高），SIL1是最低等级。安全完整性等级越高，应执行所要求的安全功能的概率也越高。根据安全相关系统使用方式，要求发生的频率可分为低要求操作模式（<=1次/年）和高要求或连续操作模式（>1次/年）。根据GB/T20438标准，在不同的操作模式下，安全完整性的目标失效概率和目标风险降低见下表。CNAS中国合格评定国家认可委员会标识SIL等级标识认证标准依据CNAS中国合格评定国家认可委员会COFRAC法国国家认可委员会DAkks德国认证认可委员会ANSI美国国家标准学会ACCREDIA意大利国家认可委员会SIS独立于DCSSIS比DCS安全等级高SIS比DCS有SIL认证现代石油化工的安全防护策略是：安全防护洋葱模型安全防护洋葱模型随着大型石化装置的发展，生产产品多样化，控制工程越趋复杂，安全保护越来越被重视，安全保护在石化生产过程中的表现形式是逐级上升的。生产中控制参数在正常范围内时，使用仪表系统（DCS）进行调节、控制，保证生产系统正常、稳定运行。当系统调节不及时或出现干扰，控制参数超出正常范围时，系统开始报警或联锁动作。此时需操作人员采取手动（或自动）措施使生产恢复到正常状态上。当情况进一步恶化达到临界状态时，使用安全仪表系统，即SIS系统。它将按照预先设定的程序，包括紧急放空、切断介质进出口、让动设备停止运行等措施，通过局部或整体停车方式消除危险。当事故已经出现，用安全阀、爆破膜泄压；用气体检测、火灾检测等火、气消防系统来补救和减灾，进行主动保护。当消防系统不能彻底消除事故时，使用防爆墙，采取物理防爆措施；使用围堰，限制火情和介质泄漏后扩散，进行被动保护。当物理防护也无法彻底消除灾害时，采取最后一项措施，紧急疏散、撤离。安全防护洋葱模型在公司各装置的正常生产过程中，存在着各种各样的工艺参数和工艺设备状态，这些参数和状态被仪表检测出来，就是常说的过程信号。生产中当这些参数控制在规定的范围内时，说明过程处于正常状态。超出这个范围就说明出现异常，DCS系统会以声、光、图形、文字等形式，提醒操作人员采取调节措施（对参数调整或对设备进行适当操作），或者通过预定的程序使其恢复到正常值或安全范围，这个声光图文的表现就是报警，再进一步根据预定程序的操作就是联锁。如果异常进一步扩大，为防止事故发生而采取的局部生产装置或整体生产装置停车的仪表系统，就是安全仪表系统（SIS）。它是生产过程中的一种安全保护系统，能对石油化工等企业在生产过程中可能发生的危险（超出安全限定）和不采取措施就会继续恶化的状态，进行及时地响应和保护，让其进入预定的安全停止状态，进而保证人员、设备、生产和装置的安全。区别ESD和SIS的区别紧急停车系统ESD（EmergencyShutdownDevice）ESD紧急停车系统是按照安全独立原则要求，独立于DCS集散控制系统设置的，其安全级别高于DCS。在正常情况下，ESD系统是处于静态的，不需要人为干预。作为安全保护系统，凌驾于生产过程控制之上，实时在线监测装置的安全性。只有当生产装置出现紧急情况时，不需要经过DCS系统，而直接由ESD发出保护联锁信号，对现场设备进行安全保护，避免危险扩散造成巨大损失。根据有关资料，当人在危险时刻的判断和操作往往是滞后的、不可靠的，当操作人员面临生命危险时，要在60s内作出反应，错误决策的概率高达99.9%。因此设置独立于控制系统的安全联锁是十分有必要的，这是作好安全生产的重要准则。该动则动，不该动则不动，是ESD的一个显著特点。ESD与SIS的重要区别是：SIS是安全仪表系统；ESD是紧急停车系统，ESD属于SIS的一部分。SIS包括现场仪表、逻辑控制器、执行机构三部分，这三个部分都是要安全设计的。常规的ESD系统只是SIS的逻辑控制器这部分，是联锁系统本身（主要指机房、机柜内的设备），安全等级上要求达到SIL3（或TUV6）的标准规定。目前，国内对SIS的解读和理解大多数停留在硬件上，要求“SIS三大件”的安全。而国外对SIS的规范和要求，则是在建立技术体系和管理体系。按照SIS的定义，以下的系统都属于安全仪表系统：--ATPAutomatictrainprotection列车自动防护系统我们常用的DCS系统也可以实现安全联锁保护功能，那么为什么还有要独立设置SIS或ESD系统呢？1、为降低控制功能和安全功能同时失效的概率，当DCS部分出现故障时，也不会危及安全保护系统。2、对于大型装置或旋转机械设备而言，紧急停车系统响应速度越快越好。这有利于保护设备，避免事故扩大；并有利于分辨事故原因记录（SIS道理相同）。而DCS需要处理大量过程监测信息，因此其响应速度难以作得很快。3、DCS系统是过程控制系统，是动态的，需要人工频繁的干预，这有可能引起人为误动作；而SIS或ESD是静态的，不需要人为干预，这样使用SIS或ESD可以避免人为误动作。所以，SIS或ESD系统应按照安全独立原则与DCS分开设置。总结SIS是个完整的、系统的概念。从其概念上可以看出来，SIS是更关注整体性的一个概念和一个系统。SIS的安全性是建立在整个安全机制之上的，包括安全性的控制器、安全型的仪表、安全型的执行器、安全型的软件，甚至“安全的通讯功能”。SIS的整体性概念还包括贯穿整个安全控制系统的全生命周期的规范，如初期的设计，中期的施工、调试，末期的试运行、评估、验证，以及后续的维护和安全生命周期到期限前的拆除。总之，SIS的概念很完整，也很庞大。实施步骤第1步：判断是否需要上SIS第2步：完成HAZOP 分析第3步：提报告，设计院出图第4步：采购具有认证的设备第5步:设备验收第6步:SIL 验证第7步:安装与调试第8步:SIS 管理第1步：判断是否需要上SIS根据安监总管三（2014）116号文件，凡涉及到“两重点一重大”的化工装置的危险化学品存储设施，均需要设置SIS。如果我们公司有属于这一类的危化工艺、危险品和危险源，那就没有悬念，必须要安装SIS系统。文件还说，“其他化工装置、危险化学品储存设施，要参照本意见要求实施”。也就是说，要求化工企业各类装置，同样需要进行HAZOP分析，依照分析结果判断是否需要设置SIS。第2步：完成HAZOP 分析（Hazard、Operability）根据安监总管三（2013）76号文件提出，建设单位在建设项目设计合同中应主动要求设计单位对设计进行危险与可操作性（HAZOP）审查。通过HAZOP分析后再通过LOPA分析法，我们可以确定出每个SIF回路中的安全完整性等级即SIL定级，同时生成HAZOP分析报告，如有必要生成SRS规格书（安全功能要求）。第3步：提报告，设计院出图将HAZOP分析报告反馈至有设计资质的设计院，设计院会根据HAZOP分析报告或SRS规格书，以及业主们的习惯，再加设计规范（HG/T20511、SH/T3018、GB/T50770等），设计出SIS相关资料。如PID变更、联锁逻辑图、联锁报警一览表、检测仪表数据表、调节阀/切断阀数据表、控制系统规格书等设计数据。第4步：采购具有认证的设备根据设计院图纸与HAZOP分析报告，采购具有相关资质的检测仪表、控制系统、执行器。所谓相关资质，即通过SIL认证机构鉴定出来的符合SIL1234这一类的等级，我们常用到的如变送器、温度计、液位计、雷达等、流量计等一系列的仪表。如有必要则需要厂家提供SIL定级的证书，如果没有SIL定级的证书，则需要厂家提供各类数据，如λsd、λsu、λdd、λdu等相关的数据，用于后期的SIL定级的验算。第5步：设备验收检测仪表、控制系统、执行器采购后，设备到达现场或到达相关厂家的验收工作。一般检测仪表是货到后开箱验收，业主可组织施工单位、主体责任单位单位、供货单位共同进行验收，包括外观、资料、报告、证书等。控制系统的验收，需要出厂测试验收计划（FAT）验收。执行器的验收分两种，一种是发货前至制造方验收，一种是货到现场后，开箱验收。第6步：SIL 验证根据所采购的设备数据，以及制造商提供的λsd、λsu、λdd、λdu等相关数据进行SIL定级验证，验证后的数据与GB/T50770里的安全仪表功能的完整性等级表对比。如果符合要求，则认定SIS为正确的系统，如果不符合，则需要通过对所选的仪表进行重新设计（一般需要设计院出具设计变更）。设计在此时可能会考虑增加设备来满足要求，如增加变送器、增加执行器、逻辑改为二取一或三取二等方式来满足各SIF回路的正确性。第7步：安装与调试检测仪表与执行器的安装调试按常规仪表进行安装，但调试必须有独立的调试记录，控制系统的安装同样涉及到调试的，必须的调试记录及调试报告。在SIS投用前，还需要做联锁回路测试，完成后填写仪表联锁确认表。第8步：SIS 管理至此，SIS系统调试完成即可以投入使用，在投入使用以后，我们需要做的是对SIS系统进行管理。SIS的管理主要涉及管理制度建立；联锁设备的变更、投退管理；SIS设备的检验测试周期、预防性维护和维修管理等。GB/T21109对SIS实施过程FSA给出了5个阶段的建议FSA（功能安全评估）是评价所评估的各生命周期阶段，为实现整体安全所做的工作是否充分。评估者应对负责实现功能安全的工作人员所作的决定作出判断，以此来证明与通用标准和惯例相一致。过程设计范围定义事件历史需要SIF吗?应用标准危险特征后果数据库失效概率识别潜在风险后果分析识别保护层可能性分析(LOPA)为每个SIF选择RRF,目标SIL导出安全要求规格书管理当局行政命令，行业准则；组织（企业）可容忍风险标准潜在风险保护层RRF,目标SILs安全要求规格书设计其它风险降低设施NOYESGB/T21109第1阶段FSA1.2.3.4.5.6.7.风险后果危险频率过程安全信息SIF概念设计选择技术制造商安全手册应用标准制造商安全手册失效率数据库SIF概念设计选择结构SIF概念设计制定测试计划SIF概念设计可靠性/安全性计算设备选型报告H/W&S/W设计安全要求RRF,SIL实现?NOYES详细设计工厂验收测试制造商安全手册应用标准详细设计资料FAT测试报告GB/T21109第2阶段FSA13.12.11.10.9.8.GB/T21109第4阶段FSAGB/T21109第5阶段FSA变更或停用?操作&维护计划&检验测试规程SIS安装&试运行SIS安全确认网络安全审计SIS操作和维护SIS停用调试测试报告确认测试报告网络安全审计报告维护记录安全影响分析测试结果变更要求制造商安装说明确认计划安全管理准则返回到适当的生命周期阶段变更变更授权14.15.16.17.19.18.GB/T21109第3阶段FSASIS安全仪表系统相关标准我国石化集团制定的行业标准SHB-Z06-1999《石油化工紧急停车及安全联锁系统设计导则》2006年、2007年等同采用IEC61508、IEC61511的中国国家标准GB/T20438、GB/T21109相继发布，中国的功能安全标准开始规范我国的功能安全工作国际电工委员会1997年制定的IEC61508/61511标准，对用机电设备（继电器）、固态电子设备、可编程电子设备（PLC）构成的安全联锁系统的硬件、软件及应用作出了明确规定美国仪表学会制定的ISA-S84.01-1996《安全仪表系统在过程工业中的应用》美国化学工程学会制定的AICHE（ccps）-1993，《化学过程的安全自动化导则》英国健康与安全执行委员会制定的HSEPES-1987，《可编程电子系统在安全领域的应用》德国国家标准中有安全系统制造厂商标准-DINVVDE0801、过程操作用户标准-DINV19250和DINV19251、燃烧管理系统标准-DINVDE0116等德国技术监督协会（TüV）是一个独立的、权威的认证机构，它按照德国国家标准（DIN）将ESD所达到的安全等级分为AK1～AK8，AK8安全级别最高。其中AK4、AK5、AK6为适用于石油和化学工业IEC61508/IEC61511的发布，对安全控制系统在过程工业领域的应用有划时代的意义。首先，将仪表系统的各种特定应用，例如ESD安全联锁/紧急停车系统、FGS、BMS、HIPPS…都统一到SIS的概念下；其次，提出以SIL为指针，基于绩效和可靠性评估标准；再者，以生命周期的构架，规定了各阶段的技术活动和功能安全管理活动。自此SIS的应用形成了一套完整的体系，包括：设计理念和设计方法、仪表设备选型准入原则（基于经验使用和IEC61508符合性认证）、系统硬件配置和软件组态编程规则、系统集成、安装和调试、运行和维护，以及功能安全评估与审计等。GB/T20438.1/IEC61508-1电气/电子/可编程电子安全相关系统的功能安全第1部分：一般要求GB/T20438.2/IEC61508-2电气/电子/可编程电子安全相关系统的功能安全第2部分：电气/电子/可编程电子安全相关系统的要求GB/T20438.3/IEC61508-3电气/电子/可编程电子安全相关系统的功能安全第3部分：软件要求GB/T20438.4/IEC61508-4电气/电子/可编程电子安全相关系统的功能安全第4部分：定义和缩略语GB/T20438.5/IEC61508-5电气/电子/可编程电子安全相关系统的功能安全第5部分：确定安全完整性等级的方法示例GB/T20438.6/IEC61508-6电气/电子/可编程电子安全相关系统的功能安全第6部分：GB/T20438.2和GB/T20438.3的应用指南GB/T20438.7/IEC61508-7电气/电子/可编程电子安全相关系统的功能安全第7部分：技术和措施概述GB/T21109.1/IEC61511-1过程工业领域安全仪表系统的功能安全第1部分：框架，定义，系统，硬件和软件要求GB/T21109.2/IEC61511-2过程工业领域安全仪表系统的功能安全第2部分：GB/T21109.1的应用指南GB/T21109.3/IEC61511-3过程工业领域安全仪表系统的功能安全第3部分：确定要求的安全完整性等级的指南GB/Z29638-2013电气/电子/可编程电子安全相关系统的功能安全功能安全概念及GB/T20438系列概况《石油化工安全仪表系统设计规范》（GB50770-2013）《石油化工可燃气体和有毒气体检测报警设计规范》（GB50493-2009）《危险场所电气防爆安全规范》（AQ3009）《危险化学品重大危险源罐区安全监控设计规范》（AQ3036-2010）《液氯钢瓶充装自动化控制系统技术要求》（AQ3051-2015）《石油化工自动化仪表选型设计规范》（SHT3005-2016）《石油化工仪表管道线路设计规范》（SHT3019-2016）《石油化工仪表供气设计规范》（SHT3020-2013）《石油化工仪表及管道伴热和绝热设计规范》（SHT3126-2013）《石油化工仪表及管道隔离和吹洗设计规范》（SHT3021-2013）《石油化工仪表接地设计规范》（SHT3081-2003）《石油化工仪表安装设计规范》（SHT3104-2013）《石油化工仪表系统防雷设计规范》（SHT3164-2012）《石油化工在线分析仪系统设计规范》（SHT3174-2013）《石油化工罐区自动化系统设计规范》（SHT3184-2017）《石油化工仪表 工程施工 建筑工程施工承包1园林工程施工准备消防工程安全技术交底水电安装文明施工建筑工程施工成本控制 技术规程》（SH/T3521-2013）《石油化工仪表工程施工质量验收规范》（SH/T3551-2013）《自动化仪表工程施工及验收规范》（GB50093-2013）《石油化工建设工程项目施工过程技术文件规定》（SH/T3543-2017）《石油化工建设工程项目交工技术文件规定》（SH/T3503-2017）SIS设计原则1、可靠性原则2、可用性原则3、独立性原则4、标准认证原则5、故障安全原则1.为了保证工艺装置的生产安全，SIS必须具备与工艺过程相适应的安全完整性等级SIL的可靠度。IEC61508规定，对于SIS可靠性有两个含义，一个是SIS本身的工作可靠性；另一个是SIS对工艺过程认知和联锁保护的可靠性，还应有对工艺过程测量，判断和联锁执行的高可靠性。2.SIS应具有硬件和软件自诊断和测试功能。SIS应为每个输入工艺联锁信号设置维护旁路开关，方便进行在线测试和维护，同时减少因SIS维护造成的停车。注意：用于三选二表决方案的冗余检测元件不设旁路、手动停车输入不设旁路、输出信号不设旁路。3.SIS应独立于DCS，独立完成安全保护功能。SIS的检测元件、控制单元和执行机构应单独设置。SIS应能通过数据通信连接以只读方式与DCS通信，但禁止DCS通过该通信连接向安全仪表系统写信息。SIS应采用独立的通信网络、服务器、工程师站等。SIS应采用冗余电源，由独立的双路配电回路供电。4.SIS的设计思想、系统结构都须严格遵守相应国际标准并取得权威机构的认证。安全仪表系统必须获得IEC61508SIL和/或TUVAK相应SIL等级的认证。5.当SIS的元件、设备、环节或能源发生故障或者失效时，SIS设计应当使工艺过程能够趋向安全运行或者安全状态，这就是系统设计的故障安全行原则。包括现场仪表和执行器，都应设计成绝对安全形式，即：①现场触点应开路报警，正常操作条件下闭合；②现场执行器联锁时不带电，正常操作条件下带电。冗余原则●针对逻辑控制器SIL1，宜采用冗余逻辑控制器SIL2，应采用冗余逻辑控制器SIL3，必须采用冗余逻辑控制器SIL1，可采用“1oo1D”单逻辑单元SIL2，宜采用“1oo2D”或“2oo3”冗余逻辑单元SIL3，宜采用“2oo3”或“2oo4D"冗余逻辑单元三重化冗余TMRTripleModularRedundancy是最常用的一种容错设计技术，三个模块同时执行相同的操作，以多数相同的输出作为表决系统的正确输出，通常称为三取二。三个模块中只要不同时出现两个相同的错误，就能掩蔽掉故障模块的错误，保证系统正确的输出。由于三个模块是互相独立的，两个模块同时出现错误是极小概率事件，故可以大大提高系统的可信性。●针对测量仪表SIL1，可采用单一测量仪表SIL2，宜采用冗余测量仪表SIL3，应采用冗余测量仪表SIL1，可采用单一的传感器SIL2，宜采用“1oo2D”或“2oo3”冗余的传感器SIL3，应采用“2oo3"冗余的传感器●针对最终元件SIL1，可采用单一控制阀SIL2，宜采用冗余控制阀SIL3，应采用冗余控制阀SIL1，可采用单电磁阀，单SIS控制阀SIL2，宜采用冗余电磁阀，单SIS控制阀SIL3，应采用冗余电磁阀，双SIS控制阀Theend，thankyou！SIS的发展历程在以石油/天然气开采运输、石油化工、发电、化工等为代表的过程工业领域，紧急停车系统（ESD）、燃烧器管理系统（BMS）、火灾和气体安全系统（FGS）、高完整性压力保护系统（HIPPS）等安全连锁或保护系统的应用，已经有几十年的历史。逻辑单元从最初的气动逻辑、机电继电器系统、固态逻辑、可编程控制器，到现在的安全逻辑控制器；从故障安全设计，到诊断技术的运用，技术和安全管理理念都有了长足的进步。从整个发展过程来讲，首先是工业领域提出了需求。其次，随着技术本身由简单到复杂的发展规律，功能也随之强大，系统必然变得越来越复杂。如何通过系统本身识别系统的失效状态？如何管理如此复杂的系统？这不仅要求系统首先要有高可靠性，同时一旦失效的话，必须以一种可预见的、安全的方式使被控对象达到或保持在安全状态。SIS就是沿着这样一种思路产生的。目前，安全仪表系统已经从传统的过程控制概念中脱颖而出，并与基本过程控制系统（如DCS）并驾齐驱，成为自控领域的一个重要分支。SIS法规形成过程欧美的法规启动的早，已形成体系。国内法规的后发优势明显，全面且严格，但暂不成体系。欧洲欧洲现行的法规叫《塞维索指令Ⅲ》，起源是1982年的《防止化学事故的塞维索指令（82/501/EEC）》。塞维索是意大利米兰以北15KM一个城市，在1974年和1976年发生了两起事故，一起死亡28人、一起二恶英泄漏，造成了多年持续影响，严重后果。塞维索接连发生的这两场“人祸”震惊了其他欧洲国家，特别是当时以化工为支柱产业的德国。塞维索事故的发生，直接推动了1982年欧共体（欧盟前身）颁布了针对特定行业活动重大事故灾害的82/501/EEC指令，后来通常被称为《塞维索指令》。而“塞维索企业”也成为危险企业的代名词。●1982年塞维索一号指令(SevesoⅠDirective)●1996年塞维索二号指令(SevesoⅡDirective)●2012年塞维索三号指令(SevesoⅢDirective)对比两次修订，安全管理体系是不断强化的重点。美国P+R管理思路●1992年颁布的《高危险化学品过程安全管理》（PSM）●1996年颁布的《化学品事故预防规定》（RMP）以上标准都经过多次修订，如PSM来源于1990年颁布的标准《过程危险管理》，这一标准又来源于1969年发布美国军用标准《系统安全大纲要求》。目前国际安全仪表系统SIS主要执行的IEC61511也是依照美国ISA在1996年制定的功能安全标准ISA84.00.01制定的。国内2008年，国务院出台了26号文件《国务院安委会办公室关于进一步加强危险化学品安全生产工作的指导意见》，其中第14条明确：改造提升现有企业，逐步提高安全技术水平。技术自动控制水平低的重点企业要制定技术改造计划，加大安全生产投入，完成自动化控制技术改造，通过装备集散控制和紧急停车系统，提高生产装置自动化控制水平。新建的涉及危险工艺的化工装置必须装备自动化控制系统，选用安全可靠的仪表、联锁控制系统，提高装置安全可靠性。2008年，出台安全生产行业标准AQ3013-2008，其中，5.5.2.2明确：企业应确保安全设施配备符合国家有关规定和标准，做到：在工艺装置上可能引起火灾、爆炸的部位设置超温、超压等检测仪表、声、光和/或报警安全联锁装置的设施。2010年，国家安监局在出台186号文件第11条，进一步明确了这一要求：大力提高工艺自动化控制与安全仪表水平。新建大型和危险程度高的化工装置，在设计阶段要进行仪表系统安全完整性等级评估，选用安全可靠的仪表、联锁控制系统，提高装置安全可靠性。工艺技术自动控制水平低的重点危险化学品企业要制定技术改造计划，尽快完成自动化控制技术改造，通过装备基本控制系统和安全仪表系统，提高生产装置本质安全化水平。2009年，国家安监总局116号文件2013年，国家安监总局3号文件两次明确了危险化工工艺目录和每种工艺对应的安全联锁回路的要求。2011年12月1日，安监总局令第40号实施《危险化学品重大危险源监督管理暂行规定》，及安监总局令第79号修正要求：一级或者二级重大危险源的化工生产装置，装备紧急停车系统。涉及毒性气体、液化气体、剧毒液体的一级或者二级重大危险源，配备独立的安全仪表系统（SIS）。从2013年—2015年，连续三年出台了三个重要文件2013年，安监总管三〔2013〕88号-关于加强化工过程安全管理的指导意见2014年，安监总管三〔2014〕116号-国家安全监管总局关于加强化工安全仪表系统管理的指导意见2015年，安监总管三〔2015〕113号-化工（危险化学品）企业安全检查重点指导目录这三份文件基本明确了中国对安全仪表系统的监管要求。2016年，国办发〔2016〕88号《国务院办公厅关于印发危险化学品安全综合治理方案的 通知 关于发布提成方案的通知关于xx通知关于成立公司筹建组的通知关于红头文件的使用公开通知关于计发全勤奖的通知 》要求：涉及“两重点一重大”的化工装置必须装备安全仪表系统。经以上文件要求汇总：涉及“两重点一重大”的化工装置必须要设安全仪表系统（SIS），达到“总局第40号令”要求的重大危险源，要设独立的安全仪表系统，其他装置应进行SIL分级和评估之后，决定是否要上独立的安全仪表系统。SIS安全仪表系统的几个重要概念两个非常容易混淆的概念：“安全功能”和“功能安全”1、安全功能IEC61508中“安全功能”的定义为：为了应对特定的危险事件（如灾难性的可燃性气体释放），由电气、电子、可编程电子安全相关系统，其他技术安全相关系统，或外部风险降低措施实施的功能，期望达到或保持被控设备（EquipmentUnderControl，EUC）处于安全状态。这个定义说明：第一，安全功能的执行，并不局限于电气或电子安全仪表系统，还包括其他技术（如气动、液动、机械等技术）及外部风险降低措施（如储罐的外部防护堤堰），在研究安全功能时要综合考虑各种技术或措施的共同影响；第二，安全功能是主要用于应对特定的危险事件，也就是说，有其特定性。因此，安全功能是泛指各种风险降低措施执行的功能，SIF是由SIS执行的安全功能。两个非常容易混淆的概念：“安全功能”和“功能安全”2、功能安全IEC61511将“功能安全”定义为：与工艺过程和BPCS有关的、整体安全的一部分，取决于SIS和其他保护层机能的正确施行。IEC61508将“功能安全”定义为：与EUC和EUC控制系统有关的、整体安全的一部分，取决于电气、电子、可编程电子安全相关系统，其他技术安全相关系统和外部风险降低措施机制的正确施行。也就是说，就安全仪表系统而言，功能安全关注的是系统本身的绩效问题，也就是SIS在实现其安全功能时，能够降低风险的能力。因此，功能安全是SIS设计和运行管理的核心问题之一。3、过程危害分析过程危害分析（PHA）是一项OSHA指令，用于辨识生产过程中存在的安全问题和风险，并制定相应的纠正措施以应对特定的安全问题。同时，在安全系统出现故障时可以预先制定备选的紧急措施。PHA须由具备特专业知识的、多元化团队完成。PHA方法包括假设分析，危害和可操作性研究(HAZOP)，失效模式和影响分析(FEMA)以及故障树分析等。4、SIS系统的安全性SIS系统的安全性是指在其保护的任一场景有潜在危险发生时，SIS系统能保证生产过程处于安全状态的能力。因SIS系统自身的故障无法使生产过程处于安全状态的概率越低，其安全性越高。SIS系统自身的故障类型主要分为两种：（1）安全故障当安全故障发生时，无论生产过程是否有潜在危险发生，SIS系统均可保证生产过程处于安全状态，这种故障称为安全故障。（2）危险故障当危险故障发生时，SIS系统即丧失了能使生产过程处于安全状态的能力。这种故障称为危险故障。换言之，SIS系统内发生危险故障的概率越低，其安全性越高。5、SIS系统的可用性SIS系统的可用性是指SIS系统在冗余架构的前提下，发生故障时，冗余系统在保证具备安全功能的同时,仍能保证生产过程不中断的能力。提高SIS系统的高可用性或高容错能力不能以降低SIS系统的安全性作为代价，不具有安全性的高可用性是没有意义的。SIS系统的可用性应符合以下三个条件：（1）SIS系统是冗余架构的。（2）SIS系统故障时，冗余系统具备预先定义的功能。（3）SIS系统故障时，不中断正常的工艺过程。功能安全功能安全是SIS设计和运行管理的核心问题之一李玉明中国石化安全工程研究院过程安全研究所副所长国家安监总局第五届国家安全生产专家安监总局116号文的主要起草人从安监总局116号文主要起草人的角度，解读功能安全实践的一些热点问题。●功能安全是一个交叉学科。　　国内很多化工企业之所以执行116号文困难较多，对SIL评估和SIS全生命周期管理有畏难情绪，很大程度上是缺少功能安全相关知识。现实中，工艺和控制等专业界面清晰，各负其责。但功能安全是安全工程与控制工程深度交叉的，需要一个懂工艺过程、懂仪表控制、安全工程和风险管理的团队。　　法国有个大学专业，讲授可靠性、自动控制理论、数理统计等，法国BV必维国际检验集团多名功能安全专家是这个专业出来的。　　2014年8月，教育部和安监总局联合下发《关于加强化工安全人才培养工作的指导意见》，强调复合型人才的培养，要求增加过程安全及过程自动化等内容。　　功能安全是过程安全绕不过的。随着功能安全在铁路、道路车辆等行业广泛应用，功能安全之前认为小众，现在或将来会是一个普遍接受的大众概念。●SIL评估只是功能安全要求的第一步　　2014年3月，总局就开会研究功能安全的推广应用。更早的像40号令、两重点一重大相关文件等都都是指令性要求。116号文是基于风险的，科学合理的明确SIS要求，分析、设计施工和操作维护按照全生命周期管理，符合国际标准和良好工程实践。　　中石化2013年下发SIL评估管理规定，2017年开始作为安全大检查一项内容。　　SIL评估只是功能安全要求的第一步，当然也是技术性比较强的一步。相关制度、技术规范、企业风险标准的建立和完善，风险识别与控制、全生命周期管理落实等等还有很多路要走。●谁来评判SIL评估好与坏？　　用户评判（可以聘请用户认可的专家），不懂怎么办？116号文的首要要求就是培训和人才的培养。现在很多企业正在开展评估活动，在项目、实践中学习是最好的，要充分利用好这些项目执行过程，积极参与其中。大家理解了就会自觉运用，懂了就会有所敬畏，也就不会出现随意选用设备，随意把1oo2改成2oo2等现象。　　新生事物推进起来有难度，不太理解，正常。任何东西都是这样，越走越好，越用越熟练，需要时间。相信不远将来就会成为一种自觉行动或常态。●关于116号文的时间节点　　这个时间节点是安监总局要求增设的，之前76号文、88号文都没有时间节点。2013年总局组织开展化学品冶金等行业领域安全对标研究，制定了三个阶段目标。力争2020年实现化学品领域安全标准全面达到国际先进水平。SIS就是对标IEC61508&IEC61511（GB/T20438&21109）,当时确定2019年底恰好与对标研究要求基本一致。当然，有些建议的落实需要在合适的时间完成，个人认为通过与监管部门沟通，并制定必要的技术与管理措施控制风险是可行的。　　中石化内部近几年下发了很多文件和制度，组织了很多专门的培训，目的都是为了规范SIS相关安全控制措施，促进功能安全技术与全生命周期管理。以前查设备、查仪表、查隐患，多是查查螺丝，接头接管等表面的，现在逐渐是深层次的功能安全问题。对应116号文，中石化目标2018年完成剩余装置的50%，2019年完成50%。●116号文推广过程中的常见问题　　国内90年代就开始推广应用SIL产品，推得特别快，硬件好推，问题是软件（理念）没跟上，只关心逻辑控制器，传感器、执行机构等没有考虑，回路、系统的思想没有建立起来。SIL是对整个安全回路而言，单台产品没有意义。　　国内的SIS相关标准，编写的也很早，2000年就开始写，现在相关标准非常多，石化链上中下游都有。但是不进行SIL评估就无法正确实施。　　提起SIL认证容易指向TUV，是因为先入为主，其实还有许多其他实力公司都在做这样的认证。　　标准中并未规定一定要采用认证的产品。只不过认证产品会为用户或设计人员提供更多的方便而已。有的认证产品也需要时间检验。　　116号文的方向是引导相关人员关注并理解IEC61511（GB/T21109），但是现在看得人少，完全理解的人更少。