安全仪表系统的功能安全设计

　　引言

　　2000年,IEC 61508.1-7《电气/电子/可编程电子安全相关系统的功能安全》 标准的颁布标志着功能安全作为独立的安全学科进入实际应用阶段。在国外，尤其是欧盟，对功能安全的研究已较为深入，且取得安全认证的产品越来越多，范围也在逐步扩大。

　　在我国，功能安全还只是一个名词概念，尽管在工业控制领域有一定的推广，但是国内生产的电气仪表产品获得功能安全认证的还很少，尤其是作为安全仪表系统核心部件的逻辑运算器，目前尚无产品获得认证，这极不利于我国的国民经济发展和国家战略安全。本文结合基础标准IEC 61508，对安全仪表系统及其产品的功能安全设计进行了初步探讨。

　　一、安全仪表系统

　　安全仪表系统SIS(Safety instrument system)是指能实现一个或多个安全功能的系统。在IEC 61508标准中，安全仪表系统和紧急停车系统ESD(emergency shutdown device)、安全联锁系统 SIS(safety interlocks system)、仪表保护系统IPSinstrumented protective system)统称为安全相关系统SRS(safety related system)。

　　安全仪表系统是一种可编程控制系统，它对生产装置或设备可能发生的危险采取紧急措施，并对继续恶化的状态进行及时响应，使其进入一个预定义的安全停车工况，从而使危险和损失降到最低程度，保证生产·设备、环境和人员安全。

　　安全仪表系统通常应用于石油、化工等过程工业领域，但作为一种高度可靠的安全保护设施，它在其他行业也有较多应用，包括核电、航空、舰船以及高速铁路等系统。

　　根据IEC 61508标准，一套完整的安全仪表系统由传感变送器、逻辑运算器和最终执行元件构成。逻辑运算器作为核心部件，负责按照设定的逻辑进行控制，在一般具体的SIS产品中，安全仪表系统指的都是其中的逻辑运算器。

　　1.1基本特征

　　相比其他工业控制系统，如DCS、PLC等，SIS具有如下基本特征。

　　①一定的安全完整性等级

　　IEC 61508作为基础标准，充分考虑了安全仪表系统的整体安全生命周期，提出了评估安全仪表系统的安全完整性等级SIL(safety integrity level)的方法，规范了为实现必要的功能安全所使用的工具与措施。安全仪表系统的设计与开发过程必须遵循IEC 61508，并应通过独立机构(如德国TUV或美国的exida等)的功能安全评估和认证，取得认证证书，才能在工业现场中应用。

　　②容错性的多重冗余系统

　　SIS一般采用多重冗余结构，以提高系统的硬件故障裕度，单一故障不会导致SIS安全功能的丧失。

　　③全面的故障自诊断能力