SIS的全稱是安全儀表系統，它對參禪裝置或設備可能發生的危險采取緊急措施，并對繼續惡化的狀態進行及時響應，使其進入一個預定義的安全停車工況，從而使危險和損失降到最低程度，保證生產設備、環境和人員安全。目前，SIS已經被廣泛應用于石化等流程工業領域，是工廠企業自動控制中的重要組成部分。

我們先來看一下SIS涉及到的一些專業術語（摘自GB/T50770-2013）：

安全儀表系統/safety instrumented system

實現一個或多個安全儀表功能的儀表系統。

過程風險/process risk

因非正常事件引起過程條件改變而產生的風險。

安全生命周期/safety lifecycle

從工程方案設計開始到所有安全儀表功能停止使用的全部時間。

安全儀表功能/safety instrumented function

為了防止、減少危險事件發生或保持過程安全狀態，用測量儀表、邏輯控制器、最終援建以及相關軟件等實現的安全保護功能或安全控制功能。

安全完整性/safety integrity

在規定的條件和時間內，安全儀表系統完成安全儀表功能的平均概率。

安全完整性等級/safety integrity level

安全功能的等級，安全完整性等級由低到高為SIL1~SIL4。

危險失效/dangerous failure

可能導致安全儀表系統處于潛在危險或喪失功能的失效。

測量儀表/sensor

SIS的組成部分，用于測量過程變量的設備。

邏輯控制器/logic solver

SIS的組成部分，用于測量過程變量的設備。

最終元件/final element

SIS的組成部分，執行邏輯控制器指令或設定的動作，使過程達到安全狀態的設備。

基本過程控制系統/basic process control system

相應過程測量以及其他相關設備、其他儀表，控制系統或操作員的輸入信號，按過程控制規律、算法、方式，產生輸出信號實現過程控制及其相關設備運行的系統。

故障安全/failsafe

安全儀表系統發生故障時，使被控制過程轉入預定安全狀態。

冗余/redundancy

采用獨立執行同一個功能的兩個或多個部件或系統，互為備用及切換。

容錯/fault tolerant

在出現故障或錯誤時，功能單元仍繼續執行規定功能的能力。

觸點/mechanical contact

由到點的金屬援建組成的機械式電氣器件，在外界因素作用下可以改變接通或斷開到點狀態。

接點/contact

在外界因素作用下可以改變接通或斷開到點狀態的電氣器件。

SIS的基本原則

SIS被定義為實現一個或多個安全儀表功能的儀表系統。SIS包括測量儀表、邏輯運算器和最終元件、關聯軟件及部件。目前，儀表保護系統IPS、安全聯鎖系統SIS（Safety Interlocking System）、緊急停車系統ESD、壓力保護系統HIPPS和火氣保護系統F&GS等都屬于安全儀表系統的范疇。

SIS在生產裝置的開車、停車、運行以及維護期間，對人員健康、裝置設備及環境提供安全保護。無論是生產裝置本身出現的故障危險，還是人為因素導致的危險以及一些不可抗拒因素引發的危險，SIS都應立即做出正確反應并給出相應的邏輯信號，使生產裝置安全聯鎖或停車，阻止危險的發生和事故的擴散，使危害減少到最小。

安全儀表系統應具備高的可靠性、可用性和可維護性。當安全儀表系統本身出現故障時仍能提供安全保護功能。

SIS的主要特點

1.一定的安全完整性等級

SIS充分考慮了系統的整體安全生命周期，提出了評估安全完整性等級（SIL）的方法，規范了為實現必要的功能安全所使用的工具與措施。SIS系統的設計與開發過程必須遵循IEC61508，并應通過獨立機構（如德國TüV）的功能安全評估和認證，取得認證證書，才能在工業現場中應用。

2.較高的可用性和可維護性

SIS系統的構成部分應充分考慮到構成單元所能達到的安全儀表功能，其采用的邏輯冗余結構構成形式，以及系統本身的單一故障是否會造成系統的誤停車等。同時，還要考慮系統帶故障運行時，是否可對故障卡件在線維護，而不需要停整個系統。

3.容錯性的多重冗余系統

SIS系統一般采用多重冗余結構以提高系統的硬件故障裕度，單一故障不會導致SIS系統安全功能喪失。如SIS系統主流的三重化結構（TMR）：它將三路隔離、并行的控制系統（每路稱為一個分電路）和廣泛的診斷集成在一個系統中，用三取二表決提供高度完善、無差錯，不會中斷控制。

4.全面的故障自診斷能力

SIS系統的安全完整性要求還包括避免失效的要求和系統故障控制的要求，同時，構成系統的各個部件均需明確故障診斷措施和失效后的行為。系統整體診斷覆蓋率一般高達90%以上。SIS系統的硬件具有高度可靠性，能承受大多數環境應力，如現場電磁干擾等，從而可以較好地應用于各種工業環境。

5.響應速度快

SIS系統的實時性很好，從輸入變化到輸出變化的響應時間一般在50～100ms，一些小型SIS系統的響應時間更短。

6.具備順序事件記錄功能

為了更好地進行事故分析與事后追憶，SIS一般具有事件順序記錄（SOE）功能，即可按時問順序記錄各個指定輸入和輸出及狀態變量的變化時間，記錄精度一般精確到毫秒級。

7.產品的功能安全設計

實現從傳感器到執行元件所組成的整個回路的安全性設計，具有輸入/輸出（I/O）短路、斷線等監測功能。

SIS與DCS等過程控制系統的區別

1.DCS用于生產過程的連續測量、常規控制（連續、順序、間歇等）、操作控制管理，保證生產裝置的平穩運行；SIS用于監視生產裝置的運行狀況，對出現異常工況迅速處理，使危害降到最低，使人員和生產裝置處于安全狀態。

2.DCS是“動態”系統，始終對過程變量連續進行檢測、運算和控制，對生產過程進行動態控制，確保產品的質量和產量；SIS是“靜態”系統，正常工況時，始終監視生產裝置的運行，系統輸出不變，對生產過程不產生影響；非正常工況時，按照預先的設計進行邏輯運算，使生產裝置安全聯鎖或停車。

3.SIS比DCS安全性、可靠性、可用性要求更嚴格，因此SIS與DCS硬件理論上應獨立設置。

SIS的設計原則

當對儀表的安全系統進行設計時，必須遵循以下幾條基本原則：

可靠性原則

系統的可靠性是指在一定的時間間隔內，發生故障的概率。整個系統的可靠性是由組成系統的各單元可靠性的乘積，任何一個環節可靠性的下降都會導致整個系統可靠性的下降。人們通常對于邏輯控制系統的可靠性十分重視，往往忽視檢測元件和執行元件的可靠性，使得整套安全儀表系統可靠性低，達不到降低受控設備風險的要求。可靠性決定系統的安全性。

可用性原則

可用性(可用度)是指可維修的產品在規定的條件下使用時，在某時刻正常工作的概率。可用性不影響系統的安全性，但系統的可用性低可能會導致裝置或工廠無法進行正常的生產。

而對于安全儀表系統對工藝過程的認知過程，還應當重視系統的可用性，正確地判斷過程事故，盡量減少裝置的非正常停工，減少開、停工造成的經濟損失。

故障安全原則

故障安全原則是指，當內部或外部原因使SIS失效時，被保護的對象(裝置)應按預定的順序安全停車，自動轉入安全狀態。具體體現為：

(1)現場開關儀表選用常閉接點，工藝正常時，觸點閉合，達到安全極限時觸點斷開，觸發聯鎖動作；

(2)電磁閥采用正常勵磁，聯鎖未動作時，電磁閥線圈帶電，聯鎖動作時斷電；

(3)送往電氣配電室用來開/停電機的接點用中間繼電器隔離，其勵磁電路應為故障安全型；

(4)作為控制裝置，“故障安全”意味著當其自身出現故障而不是工藝或設備超過極限工作范圍時，至少應該聯鎖動作。以便按預定的順序安全停車(這對工藝和設備而言是安全的)，進而通過硬件和軟件的冗余和容錯技術，在過程安全時間內檢測到故障，自動執行糾錯程序，排除故障。

過程適應原則

安全儀表系統的設置必須根據工藝過程的運行規律，為工藝過程在正常運行和非正常運行時服務。正常時安全儀表系統不能影響過程運行，在工藝過程發生危險情況時安全儀表系統要發揮作用，保證工藝裝置的安全。這就是系統設計的過程適應原則。

獨立設置原則

所謂獨立設置原則，是指整個SIS系統應獨立于過程控制系統(如DCS)，以降低控制功能和安全功能同時失效的概率，使其不依附于過程控制系統就能獨立完成自動保護聯鎖的安全功能。要求獨立設置的單元應當有檢測元件、執行元件、邏輯運算元件、通訊設備。復雜的SIS應該合理分解為多個子系統，各個子系統應該相對獨立，且分組設置后備手動功能。

中間環節最少原則

SIS的中間環節應該是最少的。一個回路中儀表越多可靠性越差，典型情況是本安回路的應用。因此可盡量采用隔爆型儀表，減少由于安全柵而產生的故障源，減少誤停車。

冗余原則

針對測量儀表，SIL1級安全儀表功能，可采用單一測量儀表；SIL2級安全儀表功能，宜采用冗余測量儀表；SIL3級安全儀表功能，應采用冗余測量儀表；當要求高安全性時，應采用“或”邏輯結構；當要求高可用性時，應采用“與”邏輯結構；當安全性和可用性均需保障時，應宜采用“三取二”邏輯結構。

針對最終元件，SIL1級安全儀表功能，可采用單一控制閥；SIL2級安全儀表功能，宜采用冗余控制閥；SIL3級安全儀表功能，應采用冗余控制閥；可采用1臺調節閥和1臺切斷閥，也可采用2臺切斷閥。控制閥的冗余設置并不表示冗余設置就對應安全完整性等級。不能冗余配置控制閥的場合，采用單一控制閥，但配套的電磁閥宜冗余配置。安全儀表系統的電磁閥應優先選用耐高溫絕緣線圈，長期帶電型，隔爆型。在工藝過程正常運行時，電磁閥應勵磁（帶電）；在工藝過程非正常運行時，電磁閥非勵磁（失電）。

針對邏輯控制器，SIL1級安全儀表功能，宜采用冗余邏輯控制器；SIL2級安全儀表功能，應采用冗余邏輯控制器；SIL3級安全儀表功能，必須采用冗余邏輯控制器。

安全儀表系統與基本過程控制系統通信接口應冗余配置， 冗余通信接口應有診斷功能。