SIS分类
1.继电器系统 采用单元化结构，由继电器执行逻辑； 可靠性高，具有故障安全特性，电压适用范围宽，一次性投资较低； 体积大，灵活性差，进行功能修改或扩展不方便，无串行通信功能，无报告和文档 功能。 2.固态电络系统 采用模块化结构，采用独立固态器件通过硬接线来构成系统，实现逻辑功能； 结构紧凑，可进行在线测试，易于识别故障，易于更换和维护，可进行串行通信， 可配置成冗余系统； 灵活性不够，逻辑修改或扩展必须改变系统硬连线，大系统操作费用较高。 3.可编程电子系统 以微处理器技术为基础的 PLC ，采用模块化结构，通过微处理器和编程软件来执行 逻辑； 方便灵活的编程能力，有内部自测试和自诊断功能可进行双重化串行通信，可配置 成冗余或冗余容错系统，可带操作和编程终端，可带时序事件记录（SER）； SIS应采用经TUV安全认证的PLC系统。
SIS工程设计中注意的问题

I/O模件应带光/电或电磁隔离，带诊断，带电插拔；
来自现场的三取二信号应分别接到三个不同的输入卡； SIS关联现场变送器或最终执行元件应由SIS系统供电； 当现场变送器信号同时用于SIS、DCS时，应先接到SIS系统后接到 DCS系统；




I/O模件连接的传感器和最终执行元件应设计成故障安全型； SIS 不应采用现场总线通信方式；
SIS系统设计选用原则

SIS独立于过程控制系统(DCS或其他系统），独立完成安全保护功能 。 当过程达到预定条件时，SIS动作，使被控制过程转入安全状态； 根据对过程危险性及可操作性分析，人员、过程、设备及环保要求， 安全度等级确定SIS的功能等级； SIS应设计成故障安全型； SIS应采用经TUV安全认证的PLC系统； SIS应具有硬件、软件诊断和测试功能； SIS构成应使中间环节最少；
2oo4D (2 out of 4D)
4取2带诊断
安全度等级 (SIL)
Safety Integrity Level
安全度等级的初步确定



SIS的安全度等级是由构成SIS系统的三个单元的SIL来初步确定的: SIL回路= SIL传感器+ SIL逻辑单元+SIL执行机构 例如传感器为SIL2级,而SIL2每年故障概率平均值为0.01~0.001，取 中间值为0.005；逻辑单元为SIL3级，取中间值为0.0005 ；执行机构 为SIL1级，取中间值为0.05，则 PFDavg= 0.005+ 0.0005+ 0.05=0.0555， 初步确定为SIL1级。 即一个回路的安全度等级由其构成的三个单元中最低的SIL等级决定 对于传感器和执行机构，如果不能满足安全功能的SIL等级要求，可 以通过马尔可夫模型（Markov Model）计算，确定选取1OO2D、 2OO3、2OO4D等配置方案。 为使一个工艺装置达到安全目标需在IEC61508与61511及ISA S84.01 安全标准的基础上，对工艺过程进行故障分析，采用风险评估的方法 ，来确定装置及SIS系统的SIL等级要求。
看重系统的安全性时，采用“或”逻辑结构； 看重系统的可用性时，采用“与”逻辑结构； 系统的安全性和可用性均需保证时，采用 “三取二”逻辑结构；

冗余设置原则：

冗余选择原则：

传感器宜采用隔爆型的变送器（压力、差压、差压流量、差压液 位、温度），不宜采用各类开关传感器；SIS用传感器供电由SIS 系统提供.

SIS逻辑运算器设计选用


SIS逻辑运算器：继电器系统，可编程序电子系统，混合系统三种； 继电器用于I/O点较少,逻辑功能简单的场合； 可编程电子系统用于I/O点较多,逻辑功能复杂，与DCS、MES通信等 场合； 可编程电子系统可以是经TUV认证的PLC系统，也可是DCS和其他专 用系统； 独立设置原则： 1级SIS逻辑运算器宜与DCS分开； 2级SIS逻辑运算器应与DCS分开； 3级SIS逻辑运算器必须与DCS分开； 冗余设置原则： 1级SIS可采用单一的逻辑运算器； 2级SIS宜采用冗余或容错逻辑运算器 其中CPU电源单元，通信单元应冗余配置，I/O模件宜冗余配置； 3级SIS应采用冗余容错逻辑运算器； 其中CPU电源单元，通信单元，I/O模件 应冗余配置；




SIS的传感器、最终执行元件宜单独设置；
SIS应能和DCS、MES等进行通信； SIS实现多个单元保护功能时，其公用部分应符合最高安全等级要求
SIS传感器设计选用

独立设置原则：
1级 SIS传感器可与DCS共用； 2级 SIS传感器宜与DCS分开； 3级 SIS传感器应与DCS分开； 1级 SIS传感器可采用单一的传感器； 2级 SIS传感器宜采用冗余的传感器； 3级 SIS传感器应采用冗余的传感器；
SIS
SIS用于监视生产装置的运行状况，对出 现异常工况迅速进行处理，使故障发生的 可能性降到最低，使人和装置处于安全状 态。 SIS是静态系统，在正常工况下，它始终 监视装置的运行，系统输出不变，对生产 过程不产生影响，在异常工况下，它将按 着预先设计的策略进行逻辑运算，使生产 装置安全停车。 SIS必须测试潜在故障。 SIS维修时间非常关键，弄不好造成装置 安全停车。 SIS永远不允许离线运行，否则生产装置 将失去安全保护屏障。 SIS与DCS相比，在可靠性，可用性上要 求更严格。ISC61508，ISA.S84.01强烈推 荐SIS与DCS硬件独立设置。
SIS与DCS的区别
DCS
DCS用于过程连续测量、常规 控制（连续、顺序、间歇等）、 操作控制管理，保证生产装置平 稳运行。 DCS是“动态”系统，它始终 对过程变量连续进行检测、运算 和控制，对生产过程动态控制， 确保产品质量和产量。 DCS可进行故障自动显示 DCS对维修时间的长短的要求 不算苛刻。 DCS可进行手动/自动切换 DCS系统只做一般联锁、泵的 开停、顺序控制，安全级别不像 SIS那么高。
SIS常用术语

冗余（Redundant）
用多个相同模块或部件实现特定功能或数据处理。

容错（Fault Tolerant）
功能模块在出现故障或错误时，仍继续执行特定功能的能力
。

安全度等级（Safety Integrity Level - SIL）
用于描述安全仪表系统安全综合评价的等级。

故障危险概率（Probability of Failing Dangerously - PFD）

可靠性（Reliability）
指系统在规定时间间隔(t)内发生故障的概率。如系统一年内的可 靠性为99.99％意味者系统一年中工作时失败的概率为 0.01％。
SIS常果。
1oo1D (1 out of 1D) 1oo2 (1 out of 2) 1oo2D (1 out of 2D) 2oo3 (2 out of 3) 1取1带诊断 2取1 2取1带诊断 3取2
能够导致安全仪表系统处于危险或失去功能的故障出现的概 率。
SIS常用术语

故障安全（Failing to Safe - FTS）
安全仪表系统发生故障时，使被控制过程转入预定安全状态

可用性（Availability）
系统可以使用工作时间的概率。如系统的可用性为99.99% ，
意味着在10000小时的工作将有1小时的故障中断时间。
SIS最终执行元件设计选用

最终执行元件：气动切断阀（带电磁阀）；气动控制阀（带电磁阀）
电动阀或液动阀等

独立设置原则: 1级 SIS 阀门可与DCS共用，应确保SIS优先于DCS动作；
2级SIS阀门宜于DCS分开； 3级SIS阀门宜于DCS分开；

冗余设置原则： 1级 SIS 可采用单一阀门； 2级宜采用冗余阀门；如采用单一阀门，电磁阀 宜冗余配置； 3级宜采用冗余阀门；冗余配置阀门可采用一个控制阀和一个切断阀； 电磁阀设置原则： 看重系统的安全性时，冗余电磁阀宜采用“与”逻辑连接； 看重系统的可用性时，冗余电磁阀宜采用“或”逻辑连接； 电磁阀应采用长期带电，低功耗，隔爆型； 电磁阀电源应由SIS系统提供；

冗余通信方式；
论是生产装置本身出现的故障危险，还是人为因素导致的危险以及 一些不可抗拒因素引发的危险， SIS 系统都应立即作出正确反应并
给出相应的逻辑信号，使生产装置安全联锁或停车，阻止危险的发
生和事故的扩散，使危害减少到最小。

SIS 系 统 应 具 备 高 的 可 靠 性 （ Reliability) 、 可 用 性 （ Availability）和可维护性（Maintainability ）。当SIS系统本身 出现故障时还能保证提供安全保护功能。
SIS系统对风险的控制
0
机械安全保护层
SIL
安全仪表系统（SIS）
报警系统/操作
工艺控制系统 工艺设备
HAZOP
安全仪表系统(SIS)

安全仪表系统 (Safety Instrumented System - SIS) 仪表保护系统(Instrument Protection System- IPS) 安全联锁系统 (Safety Interlocking System - SIS) 紧急停车系统 (Emergency Shut-Down System - ESD) 安全仪表系统（SIS）： 仪表系统用于实现1个或多个安全仪表功能.安全仪 表系统包括传感器（SENSOR）、逻辑运算器（Logic solver) 和最终执行元件(Final element) .

SIS工程设计中注意的问题

SIS负荷不应超过50~60%；
SIS电源应冗余配置； SIS采用等电位接地。 SIS关联的传感器及最终执行元件，在正常工况应是带电（励磁）状 态；在非正常工况应是失电（非励磁）状态；