安全仪表系统安全完整性等级计算方法研究

　　前言

　　安全仪表系统(Safety Instrumented System，SIS)能够降低装置事故发生的概率，对于保障装置长周期安全稳定运行具有重要的意义，因此，称其为大型石化装置的保护神。但是，其设置的针对性、合理性和有效性方面存在问题，因此，在石化装置内开展安全仪表系统安全完整性等级(Safety IntegrityLevel，SIL)评估这项工作意义重大。

　　1 安全仪表系统

　　安全仪表系统是用仪表实现安全功能的系统，包括传感器、逻辑控制器和最终执行元件及相应软件等。图1所示为典型SIS系统的构成。

　　传感器检测过程中的异常并将之送到逻辑运算器;逻辑运算器按照设定的逻辑产生控制信号，最终执行元件得到从逻辑运算器来的控制信号并产生相应的动作，从而达到消除过程隐患的目的。

　　1.1 SIS的作用

　　监视生产过程的状态，在事故和故障状态下，能够迅速、正确的做出响应，使生产装置在安全模式下停车，避免灾难事故的发生，减少事故给设备、环境和人员造成的危害。

　　1.2 SIS和BPCS的区别

　　SIS和BPCS都属于控制系统的范畴，二者的主要区别体现在以下三个方面：

　　(1) 执行的功能不同

　　BPCS是执行常规正常生产功能的控制系统。SIS监视生产过程的状态，判断危险条件，防止风险的发生或减轻风险造成的后果。BPCS先于SIS做出反应。

　　(2) 具备不同的工作状态

　　BPCS是主动的、动态的。它用来满足生产需要，必须根据系统的设定要求和生产过程的扰动状态不断的动态运行，才能保证生产过程的连续稳定运行。一旦其运行终止，整个生产过程也随之失去控制。

　　反之，SIS则是被动的、休眠的。在BPCS正常运行的情况下，SIS一般处于静止状态，在理想状态下将一直“休眠”下去，这表明BPCS控制下的生产过程的安全稳定运行。

　　(3) 失效形式不同

　　对于BPCS来说，大部分失效是显而易见的。例如，过程工业装置的调节阀发生了故障，在需要时不能达到特定的开关状态，必定会影响正常的生产过程，这种故障会立刻显示出来。

　　由于SIS大部分时间是处于“休眠”状态的，因此很难觉察到它是否出现了存在问题或失效。鉴于此，SIS需要人为地进行周期性的离线或在线测试，有些安全系统带有内部自诊断功能。

　　2 SIL评估过程

　　当美国ANSI/ISA决定放弃ANSI/ISA-84.01-1996，转而采纳IEC61511时，引入了OSHA 1910.119的“宗亲条款”，使之成为ANSI/ISA-84.01-2004。详见ANSI/ISA-84.01-2004-1，条款1.0y。宗亲条款解决了功能安全标准从ANSI/ISA-84.01-1996向ANSI/ISA-84.01-2004过渡遇到的问题，即对于已经存在的SIS，如何满足或遵循新的标准?宗亲条款的中心含义是，对于按照以前的标准规范和工程实践设计、建造的、已经存在的SIS系统，业主或操作者应论证“设备是以安全的方式设计、维护、检验、测试，和操作”。有两个基本的评判步骤：