隨著116文件的發(fā)布，2017年很多新舊項目上了SIS，但是關(guān)于SIS設計及應用，存在著很多問題，包括：SIS系統(tǒng)相關(guān)設備，是否都必須清度SIL認證等級？開關(guān)量如何進SIS？SIS系統(tǒng)設計的時候，網(wǎng)絡站和操作站需要分開嗎？昌暉儀表整理了資深專家的意見為大家解惑。
 
開關(guān)量能進去SIS嗎？
設計師：以前SIS的ESD系統(tǒng)，最早都是用PLC實現(xiàn)的，最適合接開關(guān)信號，不很適合于模擬信號的。后來，ESD逐漸開關(guān)和模擬信號都可以了?，F(xiàn)在看見模擬信號也比較多了。

我們都知道SIL認證按照儀表類型分為A類和B類，A類別一般指的是沒有程序軟件的機械式設備，B是有軟件技術(shù)的電子設備，如果我們整個系統(tǒng)需要SIL2，那么我們用了SIL2的B類設備(模擬量的開關(guān))，那么整個回來就是SIL2，如果用的A類SIL2(繼電器輸出)就需要計算，有可能無法達到SIL2，這種說法對嗎?
設計師：不是的，A類在相同的安全失效分數(shù)上所能達到SIL等級是比B類要高的，結(jié)構(gòu)越簡單，各種故障原因就能夠更好的被定義，比如E+H的音叉限位開關(guān)就可以做到SIL3等級(包括繼電器輸出，namur輸出等等)，浮球開關(guān)我也沒有見過有SIL認證的，大概是因為價格相對低廉，沒有做認證的必要吧，有建議用連續(xù)液位檢測來代替液位開關(guān)的，是從儀表本身回路經(jīng)常在使用，減少了回路自診斷的要求方面考慮的，實際上開關(guān)類儀表如果在生命周期內(nèi)的故障概率是要小于相對結(jié)構(gòu)復雜的智能儀表的。

我以前理解開關(guān)量比模擬量開關(guān)可靠，但是放在整個回路不是這個概念?
設計師：通過SIL認證的儀表，在故障失效率、診斷測試間隔、故障修復時間等等上都符合了對應安全完整性的要求，在整個生命周期內(nèi)滿足安全儀表的SIL要求是完全沒有問題的，規(guī)范上說的宜采用模擬量儀表，我理解也是根據(jù)國情做出的修訂，畢竟在當時的時候，國內(nèi)很多項目主要還是秉承經(jīng)驗使用的原則來選擇現(xiàn)場儀表。在沒有SIL認證的條件下，模擬量比開關(guān)量儀表還是相對更有優(yōu)勢的，當然中石化的大項目除外。

設計師：IEC 61508和IEC 61511都沒有關(guān)于用于安全回路的儀表需要認證的規(guī)定，一個老外的安全專家在技術(shù)交流的時候說過：經(jīng)過SIL認證的設備只能表明具有故障安全的功能設計，認證機構(gòu)認可過可靠性數(shù)據(jù)，但是并不能證明設備具有相應的可靠性，也不保證可靠性質(zhì)量，不保證運行過程不出問題，IEC和認證機構(gòu)也不負有任何責任！認證機構(gòu)不做任何可靠性實驗，僅僅對可靠性數(shù)據(jù)資料和功能安全相關(guān)資料做形式檢查。

已經(jīng)在運行的裝置，用的橫河DCS系統(tǒng)，現(xiàn)在業(yè)主想上SIS系統(tǒng)，而且有意向使用橫河的SIS，做成控制系統(tǒng)一個控制站的樣式，就是下面控制站，卡件分開，上層網(wǎng)絡，操作站共用。這樣符合SIS系統(tǒng)獨立性的要求嗎？需要網(wǎng)絡，操作站也分開嗎？
設計師：SIS原本是不設置操作站也不采用網(wǎng)絡結(jié)構(gòu)的，僅僅只是控制器，沒有人機接口。但是生產(chǎn)操作還是需要操作站作為報警，記錄和觀察的，國外就采取了將SIS的數(shù)據(jù)通信方式傳送到DCS操作站上的方式。近年來有的DCS制造商開發(fā)了與SIS同網(wǎng)絡、共享數(shù)據(jù)的結(jié)構(gòu)。橫河就是代表之一。

中國人更痛快：拐那么多彎兒干嘛？直接就利用SIS上的通信接口聯(lián)網(wǎng)接上SIS的操作站，玩兒得靈活得意!

話說回來，SIS和過程控制分開的“原則”是指控制器，并不是指網(wǎng)絡和操作站，所以您采用的方案是自然并且合理的，并不違反原則。一般地來說，SIS的人機界面沒有操作功能，也就不會影響SIS的正常運行。但是近年來國內(nèi)外都有把硬件停車開關(guān)放在操作站軟件實現(xiàn)的做法，也是一種實際應用的進步。

開關(guān)有兩類：機械開關(guān)和電子開關(guān)。機械開關(guān)的可靠性較低，不論是否經(jīng)過認證，無論是否具有SIL等級都不能提高可靠性，也不能保證不出問題。電子開關(guān)與連續(xù)測量的變送器是同一級別的產(chǎn)品，并不因為變送器“復雜”就比電子開關(guān)可靠。

連續(xù)測量儀表是實時工作的，有些還有診斷功能，很容易觀察到是否正常，另外聯(lián)鎖值的設定比開關(guān)位置靈活。開關(guān)儀表在平時長期不動作，不知道是否正常，所以有些規(guī)范提倡采用連續(xù)測量儀表代替開關(guān)儀表，并且很多開關(guān)儀表的價格比變送器高。近年來老外也認同中國人的做法，并反映在某些項目規(guī)定里。

求助，請大家給推薦幾個可靠的GDS廠家，根據(jù)安監(jiān)總局(2014)116號文件“國家安全監(jiān)管總局關(guān)于加強化工安全儀表系統(tǒng)管理的指導意見”中“嚴格按照相關(guān)標準設計和實施有毒有害和可燃氣體檢測保護系統(tǒng)，為確保其功能可靠，相關(guān)系統(tǒng)獨立于基本過程控制系統(tǒng)”的要求，理應設置獨立的可燃有毒氣體檢測系統(tǒng)(GS)，(一)化工安全儀表系統(tǒng)(SIS)包括安全聯(lián)鎖系統(tǒng)，緊急停車系統(tǒng)和有毒有害，可燃氣體及火災檢測保護系統(tǒng)等。當時看完自己的理解是有毒可燃系統(tǒng)應該是和緊急停車系統(tǒng)并列關(guān)系，而不是直接進緊急停車系統(tǒng)。國內(nèi)把緊急停車系統(tǒng)和SIS理解為同一個東西了?
設計師：以前都是采用可燃有毒氣體檢測信號進入DCS獨立卡件的方案，116號文要求GDS采用SIS系統(tǒng)，這種情況可以不采用，或者用小系統(tǒng)。如果是EPC契約后增加的，可以要求補充費用?；馂倪M公安消防的系統(tǒng)。僅僅把可燃氣體放到SIS里，這是116號文要求的。沒有人給你解讀，按照規(guī)范要求就是了，規(guī)避設計風險。選型沒有區(qū)別也沒法區(qū)別。

116文把GDS上升到SIS的高度，我覺得應該充分理解其含義，它為什么這么做?我的理解為，當裝置暫時停車，大檢修期間，局部維修或搶修等情況，裝置的控制系統(tǒng)，緊急停車系統(tǒng)可能也停電檢修，那么裝置的一部分容器內(nèi)可能存有可燃有毒氣體或液態(tài)，這時可燃有毒氣監(jiān)測系統(tǒng)要求起作用，那么就應該獨立設計，但不是讓它進SIS系統(tǒng)，因為SIS系統(tǒng)往往與DCS系統(tǒng)同時檢修，不能達到監(jiān)控的要求! 裝置中關(guān)于可燃氣有毒氣體的聯(lián)鎖可以按照安全等級進入SIS系統(tǒng)，絕大部分的檢測器是沒有聯(lián)鎖要求的。
設計師：安監(jiān)局可能不是這個意思！

為了提高化學品工業(yè)的安全水平，減少工藝過程異常情況下的事故，防災減災，所以把有關(guān)安全，涉及危險狀態(tài)的過程采用SIS，以期在過程控制系統(tǒng)失控的情況下，按照預先設定的方案自動停車。

安監(jiān)局認為：SIS的可靠性比其它系統(tǒng)高，并且獨立設置，以此來實現(xiàn)可燃氣體和有毒氣體檢測報警可以實現(xiàn)安全預期。

安監(jiān)局是不論安全等級的，可燃氣體報警本來就不是一個故障安全系統(tǒng)，也沒有人評估安全等級。安全儀表系統(tǒng)的設置原則之一是與過程控制系統(tǒng)分開。但獨立系統(tǒng)并不意味著就是安全儀表系統(tǒng)。不是充分必要條件。如果按照IEC 61511的說法，GDS不具備故障安全特性，也就缺少了最重晏的要素。剛才說過：SIS當檢測到過程變量超過設定值時，發(fā)生作用使過程轉(zhuǎn)移到安全的狀態(tài)或者停車。這是SIS的基本原理和作用。安監(jiān)局的116號文讓一些設計人員無所適從，但作為工程師們應該具有領(lǐng)會精神靈活運用的本事。安監(jiān)局的本意是加強設備的配備，防災減災。

推薦閱讀
SIL定級與驗證知識十問十答