安全仪表系统的发展现状及其在煤化工装置中的应用

李志锋

（鹤壁煤电股份有限公司化工分公司仪表公司）

随着我国化工行业的发展，生产工艺越来越复杂，化工装置规模逐渐大型化，生产过程逐渐连续化、自动化，因此对自动化控制水平的要求越来越高， 同时对装置和过程设备的可靠性、安全性的要求也逐步提高。 为了提升风险管控能力，使化工装置安全运行，降低安全隐患，要求建立安全仪表系统（SIS）。 SIS 的作用是一旦生产发生异常情况，可以让生产过程安全停止运行或自动进入预定的安全状态， 保护人员和设备安全，降低风险和经济损失。

1 SIS 的发展现状及趋势

SIS 是一种经专门机构认证， 具有一定安全完整性水平，用于降低生产过程风险的安全保护系统，主要由传感器、逻辑控制器和最终执行元件组成。 SIS 位于保护层结构的第4 层，如图1 所示。

最初SIS概念由国外提出并形成标准，且SIS提供商只有HIMA、TRICON 及HONEYWELL 等进口厂家。 而随着近年来国内石油化工、煤化工等危化品行业的发展，对化工生产的安全要求不断提高，SIS 的概念也被引入了国内，并不断完善发展，我国的浙大中控、和利时等厂家也推出了相应的系统，满足了市场的不同需求。从SIS 的发展过程看，其逻辑控制部分经历了继电器到固态逻辑到可编程电子系统等类型的升级换代。

图1 洋葱模型

为了更好地指导全国危化品生产企业搞好安全生产工作， 国家安监总局于2014 年11 月13 日下发了《关于加强化工安全仪表系统管理的指导意见》（安监总管三〔2014〕116 号），要求新建化工装置要经过分析评估建立独立的SIS，已运行的老装置也要在规定时间内， 在安全分析评估论证的基础上，完成SIS 改造。 在今后的安全生产工作中，SIS 的建设、使用、维护将越来越重要。

2 SIS 的基本特点

2.1 与DCS 的区别

DCS 可以看作是一个动态系统，其工作过程是一个持续的过程，在检测过程中DCS 会连续对过程变量和整个生产过程进行相关的动态运算和控制，以保证生产工作的顺利进行。

SIS 是一个静态系统， 当工况正常时，SIS 主要负责监视生产装置的运行，若输出不变，则对生产过程不产生影响； 当工况处于非正常状态时，SIS 将按照预先设定的程序执行逻辑运算，输出安全联锁或停车信号，使装置安全停车。

2.2 安全完整性等级

安全完整性是指在规定的时间和条件内，安全仪表系统完成安全仪表功能的平均概率。 安全完整性等级由低到高可分为SIL1、SIL2、SIL3、SIL4， 对应的故障危险平均概率为［0.1，0.01）、［0.01，0.001）、 ［0.001，0.0001）、 ［0.0001，0.00001），评估方法包括保护层分析法、风险矩阵法、校正的风险图法及经验法等， 设计要求应兼顾可靠性、可用性、可维护性、可追溯性和经济性，同时应防止设计不足或过度设计。

2.3 多重冗余及自诊断功能

为了保障SIS 安全功能的稳定性， 一般会设计多重冗余结构来提高整个系统的硬件故障裕度， 避免某些单一故障出现时SIS 无法正常发挥其安全功能，从而出现一系列的安全故障。 除此之外，系统的故障控制和避免失效要求也是保证SIS 安全完整性的必要条件， 而且组成安全仪表系统的每个卡件都必须明确故障诊断的措施和失效后行为， 要确保SIS 不但能够做到提前检测风险，还能够做到及时预防潜在风险，使SIS 的整体诊断覆盖率达到90%以上。 而且无论是系统硬件还是软件，都具备承受复杂环境变化的能力。

2.4 具有相关认证

SIS 需符合国际安全标准规定的仪表安全标准，从系统开发阶段开始接受第三方认证机构的审查，取得认证资格后方可投入实际运行。 涉及的产品安全认证主要有CB、TUV-GS、CCC、UL、CSA、FCC 及北欧4 国认证等，其中被广泛使用的是TUV-GS 认证。 TUV-GS 的参考标准是DIN（德国标准协会）和VDE，如果产品有TUV-GS 标志，则说明该产品符合最新的德国和欧洲标准。

3 SIS 的设计要求

3.1 逻辑控制单元

SIS 逻辑控制单元的设计要求如下：

a. CPU 的响应时间包括中央处理单元运算时间与输入/输出扫描处理时间， 一般为100～300ms；

b. CPU 的中央处理单元负荷应小于50%；

c. CPU 的内部通信负荷应小于50%，当采用以太网通信时负荷应小于20%。

独立设置原则： 一般情况下，SIS 应独立于DCS，其逻辑运算器、执行元件、检测元件和通信部分都应单独设置。 对于不能单独设置的SIS 要确保其作用优先于DCS。 需要注意的是，1 级、2级SIS 逻辑运算器应与DCS 分开，3 级SIS 逻辑运算器必须与DCS 分开。

冗余设置原则：1 级SIS 可以使用较为单一的逻辑运算器，2 级、3 级SIS 应分别采用冗余或容错逻辑运算器、冗余容错逻辑运算器。 除此之外，2 级SIS 的CPU 电源单元和I/O 模件为宜冗余配置，通信单元为应冗余配置；3 级SIS 的CPU电源单元、I/O 模件和通信单元均为应冗余配置。

3.2 测量单元

测量单元的设计要求如下：

a. 测量仪表包括模拟量和开关量仪表两种，通常SIS 宜采用模拟量测量仪表；

b. 测量仪表宜采用4～20mA 叠加HART 协议传输信号的智能变送器；

c. 在爆炸危险场所应采用本安型（Ex i）或隔爆型（Ex d）仪表，当选择本安型时，需采用隔离式安全栅；

d. 对于现场安装的测量仪表，其防护等级不得低于IP65；

e. SIS 的输入信号不宜使用现场总线或其他通信方式，测量仪表和取源点要独立设置。

3.3 最终执行元件

最终执行元件包括电磁阀、控制阀（调节阀、切断阀）及电机等，其中控制阀宜采用气动控制阀，不宜采用电动控制阀。

最终执行元件的设计要求如下：

a. SIS 执行元件要优先于DCS 动作，SIS 阀门应与DCS 分开设置；

b. 电磁阀宜冗余配置， 应采用长期带电方式，低功耗、隔爆型，由SIS 供电；

c. 阀门必须配置就地阀位指示，执行机构及其外部所有配件（主要包括气源、关键的电气接线及就地控制盘等）必须能承受1 093℃的高温，内部所有配件和接线能承受93℃的高温，且至少持续30min。

4 应用情况

某公司已建成年产60 万吨甲醇、年产10 万吨1，4-丁二醇、年产6 万吨聚四氢呋喃和年产3 000 吨丁二酸酐4 个项目， 其中SIS 有TCS-900 系统、TRICON 系 统、H51q 系统及S7-400FH系统等，且均满足SIL3 安全等级要求。

厂区中的煤气化装置、甲醇装置、空分装置、液氨罐区、 甲醇罐区及液化气站等是重大危险源，按照国家要求，一、二级重大危险源需配置紧急切断阀。 其中，煤气化装置、甲醇装置和空分装置均采用的是TRICON 系统， 故此次SIS 实施是在原TRICON 系统上的升级改造，通过设置储罐紧急切断阀，实现对一氧化碳变换炉、甲醇合成塔、冷冻站液氨储罐、中间及成品罐区储罐和液化气储罐的安全联锁保护。

对于1，4-丁二醇装置，在原H51q 系统的基础上，新增一套TRICON 系统和相应的就地仪表阀门，实现甲醛和储罐区的安全联锁保护。 对于聚四氢呋喃、 丁二酸酐装置， 新增一套TCS-900系统和相应的就地仪表阀门，实现相关危险化工工艺和储罐区的安全联锁保护。

对于现场仪表，主要涉及压力、液位及温度等。 其中，压力测点选用国内外主流厂家的具备SIL 认证的产品。 液位测量由于涉及储罐安全交出，宜选用贴壁式液位计，避免在压力容器上动火开孔作业， 为改造的顺利完成提供有利条件。对于温度仪表，目前国内外缺少具备相关认证资质的厂家。

目前， 可选择的国内外紧急切断阀厂家较多，但整阀具备SIL3 认证的厂家不多，需要在选购时仔细甄别。 在旧装置升级改造时，紧急切断阀由于大多牵涉重大危险源罐区，所以实现安全交出成为了一个瓶颈问题。

在设计选型时， 在满足安全性要求的同时，也要考虑可用性。 使用冗余容错措施可以减小SIS 误动作几率。 为了保证SIS 安全功能的正常实现，SIS 的定期测试和维护管理也很重要，必须做到全生命周期管理， 以有效发挥SIS 的安全保障作用。

5 结束语

在煤化工装置中，安全仪表系统的设计和运行要遵从国家标准，要基于自动化控制、设备造价等因素来实现设备装置的稳定运行，从而完成风险预警与识别工作。SIS 位于保护层模型的第4层，是通过自动化设备实现危化品企业本质安全的重要保障， 随着人们安全意识的逐渐提高，SIS的建设与可靠运行将成为今后的主流发展趋势。