为什么装置在有了DCS后还要上SIS？

安全仪表系统SIS是由传感单元、逻辑控制单元、执行机构组成的能够行使一项或多项安全仪表功能（SIF）的仪表系统。近年来，功能安全评估成为研究的热点，而中国功能安全评估研究起步较晚，相关标准普及不高，导致许多企业在SIS设置上存在安全隐患。人们常认为安装了SIS就能达到安全要求，却忽略了SIS在结构设置、仪表选型及软件等方面的问题。国外对SIS的研究较早，陆续出台了一系列相关国际和国家标准，如IEC 61508《电气/电子/可编程电子安全系统的功能安全》、IEC 61511《过程工业领域安全仪表系统的功能安全要求》及ANSI/ISAS84-2004《各产业中安全仪表系统的应用》等。

国内于2007年引入IEC61508/61511标准，并等同转化为GB/T20438-2006《电气/电子/可编程电子安全系统的功能安全》、GB/T21109-2007《过程工业领域安全仪表系统的功能安全要求》用于指导国内的SIS安全完整性评估工作。国内许多企业的装置建设较早，在进行SIS的设计及安装时未能按照GB/T20438-2006及GB/T21109-2007的要求实施。目前主要的问题是有些企业联锁回路设置在DCS中，未设置独立的SIS。由于DCS没有认证要求，因而在进行SIS的功能安全评估时，缺少验证数据，而无法进行系统评估。

以某甲醇低温甲醇洗装置的联锁设置情况进行说明，低温甲醇洗是一种新型的煤化工技术，是酸性气脱除技术的首选技术，作为目前国内先进的煤气净化工艺，它对酸性气体有较高的吸收选择性，并且净化程度高。甲醇为有毒液体，并且易燃，装置中工艺气中含有氢气、一氧化碳、硫化氢等易燃易爆气体，一旦泄漏将有可能引起火灾、爆炸事故，对环境造成无法挽回的损坏。我们将根据企业资料，采用保护层分析（LOPA）方法对装置23条联锁回路逐条进行定级分析，分析步骤如下图所示。

联锁回路统计见下表所列。

SIS的独立性要求我们在LOPA分析过程中，以上分析结果均基于保护层的独立性原则，根据IEC61511-1关于基本过程控制系统（BPCS）作为独立保护层时有以下规定：当触发条件是BPCS保护层防控的触发源为BPCS本身时，应确保触发源与BPCS保护层之间的隔离和独立，如下图所示。

在工程实践中，很难达到上图中所示的独立性要求，因为DCS中的冗余CPU通常采用“热备用”机制，不具备图中控制器1和控制器2之间的独立性，除非配置2套DCS。

因此，当同一危险场景下，如果DCS控制故障，则设置在DCS中的相应联锁就会失效。GB/T50770-2013《石油化工安全仪表系统设计规范》中规定了SIS设计的基本原则：SIS独立于过程控制系统，独立完成安全保护功能。

国外一些设计资料及规范中也提到在工业中将安全联锁系统与DCS分开。比如：英国健康与安全执行委员会在《可编程电子系统在有关安全方面的应用》中提到“强烈推荐提供将控制和保护分开的系统”；美国化学工程研究院在《化学过程的安全自动化导则》中提到“提供物理上和功能上的分离，并且将基本过程控制系统与安全联锁系统之间的逻辑运算器、I/O模件和机架区别开来”；IECTC65WG10在《电气/电子/可编程的有关安全系统》概况中提到“受控设备（EUC）控制系统应是独立的，并与有关安全系统和减少外部危险的设备分开”；ISASP84在《用于安全应用方面的可编程电子系统》中提到“用于控制的元件不能用于安全系统”，“某些过程可能要求多于一个安全系统保护层，每一个安全仪表系统（SIS）层必须与其他的SIS层完全分开和不相同”。美国核工业要求冗余的安全系统“应是相互独立的和物理上分开的”等法规及草案中都提到将SIS与DCS分开的意义。而如果用DCS来承担SIS的任务，则相应的要求水平较常规的过程控制系统更高、花费也更大，因而都建议将SIS与DCS硬件独立设置。3SIS与DCS的区别SIS更关注对故障状态的反应速度，而DCS更关注的是过程处理。两系统设计的出发点不同，SIS侧重故障安全性组态，而DCS一般是非故障安全型。SIS与DCS的主要区别见下表所列。

将联锁设置在DCS中，不仅从硬件要求和软件要求上无法满足SIS的规定，在后期维护与保养上也区别于过程控制系统，GB/T21109-2001第1部分中对SIS操作与维护的要求规定：“1）应编制安全仪表系统的操作和维护计划；2）应根据相关的安全计划编制制订操作和维护规程；3）应根据相关规程进行操作和维护；4）应就操作员所在领域内的SIS功能和操作对他们进行培训；5）应分析预计的和实际SIS行为之间的差异，必要时应作修改以保持要求的安全；6）应编写每个SIF回路的书面检验测试规程，以便暴露诊断未检测到的危险失效”。SIS修改和停用涉及的相应信息及文档要求，都从规定上展现了SIS与DCS的要求不同。