安全儀表系統(tǒng)SIS是由傳感單元、邏輯控制單元、執(zhí)行機構(gòu)組成的能夠行使一項或多項安全儀表功能（SIF）的儀表系統(tǒng)。近年來，功能安全評估成為研究的熱點，而中國功能安全評估研究起步較晚，相關(guān)標準普及不高，導(dǎo)致許多企業(yè)在SIS設(shè)置上存在安全隱患。人們常認為安裝了SIS就能達到安全要求，卻忽略了SIS在結(jié)構(gòu)設(shè)置、儀表選型及軟件等方面的問題。國外對SIS的研究較早，陸續(xù)出臺了一系列相關(guān)國際和國家標準，如IEC 61508《電氣/電子/可編程電子安全系統(tǒng)的功能安全》、IEC 61511《過程工業(yè)領(lǐng)域安全儀表系統(tǒng)的功能安全要求》及ANSI/ISAS84-2004《各產(chǎn)業(yè)中安全儀表系統(tǒng)的應(yīng)用》等。

國內(nèi)于2007年引入IEC61508/61511標準，并等同轉(zhuǎn)化為GB/T20438-2006《電氣/電子/可編程電子安全系統(tǒng)的功能安全》、GB/T21109-2007《過程工業(yè)領(lǐng)域安全儀表系統(tǒng)的功能安全要求》用于指導(dǎo)國內(nèi)的SIS安全完整性評估工作。國內(nèi)許多企業(yè)的裝置建設(shè)較早，在進行SIS的設(shè)計及安裝時未能按照GB/T20438-2006及GB/T21109-2007的要求實施。目前主要的問題是有些企業(yè)聯(lián)鎖回路設(shè)置在DCS中，未設(shè)置獨立的SIS。由于DCS沒有認證要求，因而在進行SIS的功能安全評估時，缺少驗證數(shù)據(jù)，而無法進行系統(tǒng)評估。

以某甲醇低溫甲醇洗裝置的聯(lián)鎖設(shè)置情況進行說明，低溫甲醇洗是一種新型的煤化工技術(shù)，是酸性氣脫除技術(shù)的首選技術(shù)，作為目前國內(nèi)先進的煤氣凈化工藝，它對酸性氣體有較高的吸收選擇性，并且凈化程度高。甲醇為有毒液體，并且易燃，裝置中工藝氣中含有氫氣、一氧化碳、硫化氫等易燃易爆氣體，一旦泄漏將有可能引起火災(zāi)、爆炸事故，對環(huán)境造成無法挽回的損壞。我們將根據(jù)企業(yè)資料，采用保護層分析（LOPA）方法對裝置23條聯(lián)鎖回路逐條進行定級分析，分析步驟如下圖所示。

聯(lián)鎖回路統(tǒng)計見下表所列。

SIS的獨立性要求我們在LOPA分析過程中，以上分析結(jié)果均基于保護層的獨立性原則，根據(jù)IEC61511-1關(guān)于基本過程控制系統(tǒng)（BPCS）作為獨立保護層時有以下規(guī)定：當(dāng)觸發(fā)條件是BPCS保護層防控的觸發(fā)源為BPCS本身時，應(yīng)確保觸發(fā)源與BPCS保護層之間的隔離和獨立，如下圖所示。

在工程實踐中，很難達到上圖中所示的獨立性要求，因為DCS中的冗余CPU通常采用“熱備用”機制，不具備圖中控制器1和控制器2之間的獨立性，除非配置2套DCS。

因此，當(dāng)同一危險場景下，如果DCS控制故障，則設(shè)置在DCS中的相應(yīng)聯(lián)鎖就會失效。GB/T50770-2013《石油化工安全儀表系統(tǒng)設(shè)計規(guī)范》中規(guī)定了SIS設(shè)計的基本原則：SIS獨立于過程控制系統(tǒng)，獨立完成安全保護功能。

國外一些設(shè)計資料及規(guī)范中也提到在工業(yè)中將安全聯(lián)鎖系統(tǒng)與DCS分開。比如：英國健康與安全執(zhí)行委員會在《可編程電子系統(tǒng)在有關(guān)安全方面的應(yīng)用》中提到“強烈推薦提供將控制和保護分開的系統(tǒng)”；美國化學(xué)工程研究院在《化學(xué)過程的安全自動化導(dǎo)則》中提到“提供物理上和功能上的分離，并且將基本過程控制系統(tǒng)與安全聯(lián)鎖系統(tǒng)之間的邏輯運算器、I/O模件和機架區(qū)別開來”；IECTC65WG10在《電氣/電子/可編程的有關(guān)安全系統(tǒng)》概況中提到“受控設(shè)備（EUC）控制系統(tǒng)應(yīng)是獨立的，并與有關(guān)安全系統(tǒng)和減少外部危險的設(shè)備分開”；ISASP84在《用于安全應(yīng)用方面的可編程電子系統(tǒng)》中提到“用于控制的元件不能用于安全系統(tǒng)”，“某些過程可能要求多于一個安全系統(tǒng)保護層，每一個安全儀表系統(tǒng)（SIS）層必須與其他的SIS層完全分開和不相同”。美國核工業(yè)要求冗余的安全系統(tǒng)“應(yīng)是相互獨立的和物理上分開的”等法規(guī)及草案中都提到將SIS與DCS分開的意義。而如果用DCS來承擔(dān)SIS的任務(wù)，則相應(yīng)的要求水平較常規(guī)的過程控制系統(tǒng)更高、花費也更大，因而都建議將SIS與DCS硬件獨立設(shè)置。3SIS與DCS的區(qū)別SIS更關(guān)注對故障狀態(tài)的反應(yīng)速度，而DCS更關(guān)注的是過程處理。兩系統(tǒng)設(shè)計的出發(fā)點不同，SIS側(cè)重故障安全性組態(tài)，而DCS一般是非故障安全型。SIS與DCS的主要區(qū)別見下表所列。

將聯(lián)鎖設(shè)置在DCS中，不僅從硬件要求和軟件要求上無法滿足SIS的規(guī)定，在后期維護與保養(yǎng)上也區(qū)別于過程控制系統(tǒng)，GB/T21109-2001第1部分中對SIS操作與維護的要求規(guī)定：“1）應(yīng)編制安全儀表系統(tǒng)的操作和維護計劃；2）應(yīng)根據(jù)相關(guān)的安全計劃編制制訂操作和維護規(guī)程；3）應(yīng)根據(jù)相關(guān)規(guī)程進行操作和維護；4）應(yīng)就操作員所在領(lǐng)域內(nèi)的SIS功能和操作對他們進行培訓(xùn)；5）應(yīng)分析預(yù)計的和實際SIS行為之間的差異，必要時應(yīng)作修改以保持要求的安全；6）應(yīng)編寫每個SIF回路的書面檢驗測試規(guī)程，以便暴露診斷未檢測到的危險失效”。SIS修改和停用涉及的相應(yīng)信息及文檔要求，都從規(guī)定上展現(xiàn)了SIS與DCS的要求不同。