SDEP-SPT-IN2002-2008安全仪表系统(SIS)技术规定

目 次
前言 (3)
1 范围 (4)
2 规范性引用文件 (4)
3 术语和定义 (4)
4 基本原则 (6)
5 传感器 (8)
5.1 传感器的独立设置原则 (8)
5.2 传感器的冗余设置原则 (8)
5.3 传感器的冗余方式选用 (8)
5.4 开关量使用原则 (8)
5.5 变送器维护旁路的原则 (9)
6 最终执行元件 (9)
6.1 总体要求 (9)
6.2 阀门的冗余设置原则 (9)
6.3 电磁阀的冗余设置原则 (10)
6.4 电动阀的配置原则 (10)
6.5 马达起动器/电气接触器的配置原则 (10)
6.6 最终执行元件的复位原则 (10)
6.7 最终执行元件的在线维护和测试原则 (10)
7 逻辑单元 (11)
7.1 逻辑运算器 (11)
7.2 逻辑运算器的技术选择原则 (11)
7.3 逻辑运算器的独立原则 (11)
7.4 逻辑运算器的冗余原则 (12)
7.5 开车旁路原则 (12)
7.6 逻辑运算器外部的手动停车原则 (12)
7.7 输入、输出和程序变量的强制执行 (12)
8 通信接口 (12)
9 人机界面 (13)
9.1 操作站 (13)
9.2 辅助操作台 (13)
9.3 工程师站（EWS） (13)
9.4 事件顺序记录（SER）站 (13)
9.5 时间同步 (14)
10 过程接口 (14)
11 软件组态 (14)
11.1 软件组态 (14)
11.2 软件组态的安全性 (14)
11.3 软件组态的审查 (14)
11.4 软件组态文件 (14)
软件组态文件应包括： (14)
12 工程设计 (14)
12.1 基础工程设计包括如下内容： (14)
12.2 详细工程设计包括如下内容： (15)
12.3 组态、编译下载、调试投用包括如下内容： (15)
附录A (16)
附录B (17)
附录C (18)
前 言
本标准是根据《关于中国石化工程建设标准研究与编制项目启动会议纪要》（集团公司[2006]第1号）编制的。

本标准共分12章和3个附录，附录A～C均为规范性附录。

本标准主要内容有：
安全仪表系统（SIS）的设计、组态、采购、施工及检验的最低要求。

主编单位：中国石化工程建设公司
参编单位：中国石化集团洛阳石油化工工程公司
中国石化集团上海工程有限公司
中国石化集团宁波工程有限公司
中国石化集团南京设计院
主要起草人：王义峰 林融 黄步余
本标准于2008年首次发布。

1 范围
本标准规定了安全仪表系统（SIS）的设计、组态、采购、施工及检验的最低要求。

本标准适用于中国石化新建石油炼制、石油化工工程项目的安全仪表系统（SIS）的设计、采购和施工。

2 规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。

凡是注日期的引用文件，其随后所有的修改单或修订版均不适用于本标准。

凡是不注日期的引用文件，其最新版本适用于本标准。

ASME Boiler and pressure vessel code, section VIII pressure vessels, division 1 rules for
construction of pressure vessel
IEC 61511-2003/2004 Functional safety: safety instrumented systems for the process
industry sector.
IEC 61131-2000/2003 Programmable controller.
3 术语和定义
下列术语和定义适用于本标准。

3.1
安全仪表系统 safety instrumented system （SIS）
能实现一个或多个安全仪表功能的系统，包括传感器，逻辑运算器和最终执行元件。

3.2
安全度等级 safety integrity level（SIL）
描述安全仪表系统安全的等级。

3.3
故障安全 fail to safe
系统发生故障时被控工艺回到预定安全状态。

一般情况下，是使工艺或设备进入停机状态。

安全仪表系统的一部分执行必要的动作，使系统达到安全状态。

3.4
危险故障 dangerous failure
能够导致安全仪表系统处于危险或失去功能的故障。

（例如：对高温、高压跳车信息没有反应。

） 3.5
安全故障 safe failure
不会导致安全仪表系统处于危险或故障状态，但可能导致系统切换进入安全状态（假跳车）。

3.6
显性故障 overt fault
能够显示自身存在的故障。

一般情况下，除非使用冗余，显性故障会导致假跳车。

3.7
隐性故障 covert Fault
一般由诊断测试发现或显现的不能显示自身存在但又阻止SIS对指令作出响应的故障。

3.8
自诊断 diagnostic （D）
发生故障时，系统能自动检测出本身的故障。

3.9
过程危险 process risk
由过程引起的风险或由过程和过程控制系统相互干扰引起的风险。

3.10
传感器 sensor
用于测量过程变量的单一或组合设备（例如变送器，过程开关，位置开关等）。

3.11
可编程电子系统 programmable electronic system （PES）
由一个或多个可编程电子设备组成，用于控制、保护或监视的系统。

该系统包括电源，中央处理单元，输入设备，数据高速通道和其它通信部件，输出设备等。

3.12
逻辑运算器 logic solver
安全仪表系统或过程控制系统中完成一个或多个逻辑功能的部件。

3.13
最终执行元件 final element
安全仪表系统中执行必要的动作，使系统达到安全状态的部件。

3.14
平均故障间隔时间 mean time between failures（MTBF）
相邻故障间隔的平均时间，包括平均失效时间和平均修复时间。

3.15
平均修复时间 mean time to repair（MTTR）
故障修复所需要的平均时间，包括诊断，确认及等待时间。

3.16
平均失效时间 mean time to failure （MTTF）
功能单元实现规定功能失效平均时间。

3.17
可用性 availability（A）
指系统可以使用工作时间的概率。

3.18
可靠性 reliability（R）
指系统在规定的时间间隔内发生故障的概率.
3.19
冗余 redundancy
为实现同一功能，使用多个相同功能的模块或部件同时工作。

3.20
容错 fault tolerant
功能模块在出现故障时，仍能继续正确执行特定功能的能力。

3.21
逻辑功能 logic function
将一个或多个输入信息转换为一个或多个输出信息的功能。

3.22
N取X表决 Voting
由“N”个独立通道组成的安全仪表系统或部分安全仪表部分，其连接使其中的“X”个通道形成了安全功能的充分必要条件。

例如：2oo3 （2 out of 3） 3取2
3.23
三取二2oo3 （2 out of 3）
系统故障时性能递减方式：3-2-O
采用三取二表决方式，即三个CPU中若一个运算结果与其它两个不同，该CPU 故障，其余两个继续工作；若其余两个CPU运算结果再有不同时，则无法表示出哪一个是正确，系统停车。

3.24
二取一带自诊断 1oo2D （1 out of 2 with Diagnostic）
系统故障时性能递减方式：2-1-O
当一个CPU被检测出故障时，该CPU 被切除，另一个CPU继续工作；若第二个CPU再被检测出故障时，系统停车。

3.25
双重化二取一带自诊断 2oo4D （2 out of 4 with Diagnostic ）
系统故障时性能递减方式：4-2-0
系统中二个控制模块各有二个CPU，同时工作又相对独立。

当一个控制模块中CPU被检测出故障时，该CPU 被切除，切换到2-0工作方式；其余一个控制模块中二个CPU以1oo2D方式投入运行,若这一个控制模块中再有一个CPU被检测出故障时，系统停车。

3.26
过程控制系统 process control system （PCS）
用于直接或间接控制过程及相关设备的控制系统，系统包括分散控制系统（DCS）、现场总线控制系统（FCS）、可编程控制系统（PLC）等。

3.27
平均危险故障率 average probability of failure on demand （PFDavg）
用于描述当故障危险（Fail to Danger）时，故障发生的平均可能性。

4 基本原则
4.1 安全仪表系统应独立于过程控制系统，独立完成安全保护功能。

4.2 安全仪表系统包括传感器，逻辑单元和最终执行元件；当过程达到预定条件时，安全仪表系统应动作，将过程带入安全状态。

4.3 应根据对过程危险性分析，人员、过程、设备及环境的保护，安全度等级等要求确定安全仪表系统的功能。

4.4 安全仪表系统可按照安全度等级的要求分为1，2，3，4级（见表4.4）。

安全等级越高，安全仪表系统的安全功能越强。

炼油、石化项目不采用安全度等级4。

如果危险分析表明需要采用这种高危险等级，则：
a） 过程设计应进行相应修改，保证本身的安全性更高；
b） 增加保护层。

表4.4 安全仪表等级划分
SIL
PFD AVG R ANGE
平均危险故障率范围
A VAILABILITY
可用性
1 10-1至 10-
2 90.000%
至 99.000%
2 10-2至 10-
3 99.000%
至 99.900%
3 10-3至 10-
4 99.900%
至 99.990%
4 10-4至 10-
5 99.990%
至 99.999%
SIL-1系统的最低可用性应当为95%。

连续模式下的安全仪表功能所需的SIL应根据IEC 61511第9.3.4条,表4的规定确定。

4.5 安全仪表系统应设计成故障安全型。

当工艺有特殊安全要求时，可设计成非故障安全型。

故障安全型应设计为非励磁停车；非故障安全型应设计为励磁停车。

4.6 安全仪表系统应具有硬件和软件诊断和测试功能。

4.7 设计应包括操作控制台内嵌SIS图形显示单元（VDU）。

4.8 安全仪表系统的传感器、最终执行元件宜单独设置。

4.9 安全仪表系统应能通过数据通信连接以只读方式与DCS实现通信。

禁止DCS通过该通信连接向SIS
写信息。

4.10 供应商应提出符合SIL等级要求的SIS网络配置方案，并通过中央控制室（CCR）的控制台（操作员或工程师工作站）的显示单元（VDU）实现完整的SIS信息交换和系统管理。

4.11 安全仪表系统宜提供独立于逻辑运算器的手动设施，直接操作最终执行元件。

尚应考虑到DCS通过画面上的安全两步对话启动SIS停车的问题。

4.12 一套安全仪表系统中，当多个单元（如：传感器、最终执行元件、PLC硬件等）共用某些设备元件时，共用部分应符合最高安全等级要求。

非共用的系统单元必须符合与其自身安全功能相匹配的SIS要求。

4.13 每套SIS系统在机柜间均应有一个可用于组态、编程和监视的人机接口。

如果SIS系统用于同一工艺装置，同一现场辅助控制室（FAR）内的不同SIS允许使用一台共用人机接口。

4.14 SIS设计应符合规定的安全度等级（SIL）。

SIS结构（传感器、逻辑运算器、最终执行元件）的冗余和表决配置（如：一取一、二取一、二取二、三取二等）够满足SIL的可用性要求。

4.15 SIS的设计应保证一旦工艺进入安全状态，进行手动复位前保持在安全状态。

4.16 鉴于某些特殊原因需要由SIS执行的非安全功能应当在因果图上明确标明（例如：“非安全功能”、“NSF”、SIL = “N/A”，或其他标识）并在其他SIS设计文件中指明。

非安全功能的动作，如果由SIS执行，不得干扰或危及SIS的任何安全功能。

4.17 SIS设计文件应根据正式发布版本的控制程序进行有效控制。

4.18 SIS系统中使用的制造商的硬件、软件和仪表必须遵守正式版本并已发布的程序。

4.19 SIS硬件、软件和仪表应当是最新的商业化型号/版本。

如果最新的型号/版本从购买订单下达之日计算还没有达到至少一年的现场成功应用记录，那么使用时需要获得业主批准。

4.21 保持安全系统完整性的环境调节设备（如：风扇、空调暖通系统、空气过滤器等）故障应当在DCS 中报警并记录。

除非业主另有规定，报警优先顺序应当设为最高级别。

4.22 安全联锁阀、手动启动器等的防火及其他类似要求应在管道仪表图（PID）上和仪表数据表（如有）明确说明。

防火要求（如果有必要）应当符合项目标准的规定。

4.23 应避免SIS和基本过程控制系统的信号出现在同一接线箱，限位开关应与输出信号（电磁阀或电动执行机构）接到同一系统中。

5 传感器
5.1 传感器的独立设置原则
5.1.1 如果工艺要求同时进行联锁和控制的情况下，联锁停车（SIS）和控制系统（DCS）应设立独立的传感器和取压点。

下列情况例外：
如果三取二表决方案中使用了冗余传感器，三个传感器都应当连接到SIS，而且其中的一个（中间一个）应当通过信号分配器将控制信号传送至过程控制系统。

传感器的故障不应导致SIS的保护动作。

DCS 故障不应影响传感器的正常操作或影响SIS正确读取信号的能力。

传感器的回路供电（以及外部电源，如果必要）应当由SIS提供，其信号由信号隔离器给DCS。

5.1.2 除以下列情况外，冗余SIS传感器应当使用独立的取压口:
a） 如果采用差压流量元件，宜为每个传感器使用独立的取压口。

但是，如果由于物理 空间原因只能设置两个取压口，则可以从两个取压口接三台变送器，但是每台变送器应使用单
独根部阀，并在PID上注明；
b） 专利商和/或容器设计要求在设备同一管嘴上的温度计套管内装不同长度的多点温度 传感器。

5.2 传感器的冗余设置原则
5.2.1 1级安全仪表系统，可采用单一的传感器。

5.2.2 2级安全仪表系统，宜采用冗余的传感器。

5.2.3 3级安全仪表系统，应采用冗余的传感器。

5.2.4 冗余输入的SIS逻辑应当包括信号偏差报警。

5.3 传感器的冗余方式选用
5.3.1 如果重点考虑安全性（高可用性或低跳车故障率），除非经SIL计算需要不同的冗余配置，应采用二取一方案，使用两套传感器。

5.3.2 如果重点考虑可用性（低假跳车可能性），除非SIL计算需要其他冗余配置，应采用二取二方案，使用两套传感器。

5.3.3 当系统的安全性和可用性均需保障时，宜采用三取二逻辑结构。

5.4 开关量使用原则
5.4.1 所有的开关信号，包括工艺系统上的开关（如：压力开关、液位开关等）、手动开关、按钮、阀门限位开关、继电器触点或其他控制系统输出信号，均应采用干接点（无源）。

位于危险区域的触点应完全密封。

如果可能，应避免使用工艺开关。

所有的联锁跳车信号应使用变送器。

其他方案应经业主批准。

5.4.2 用于报警/停车的触点在正常操作过程中应当处于闭合状态，在报警/停车时打开。

相反动作的触点输入只能在作为SIS监视点使用。

触点动作应当在DCS系统中报警和记录。

5.4.3 用于确定设备运行状态、阀位等而没有停车功能的触点应当在需要确认的状态或位置时保持闭合，否则应当打开。

5.4.4 应使用触点闭合进行选择或启动。

瞬时闭合触点用于执行启动功能，保持闭合触点用于执行选择功能（例如：操作模式）。

5.4.5 用于复位的触点应在启动复位功能时瞬时闭合。

5.4.6 用于旁路或启动旁路功能的触点在正常操作状态下应处于打开状态，旁路时处于关闭状态。

5.4.7 用于允许功能（非停车功能）的触点在达到允许条件时应关闭，否则应打开。

5.4.8 操作方式选择（例如：操作/再生）设计时应保证在硬件或电路故障情况下不会导致不安全的状态。

应使用闭合触点选择各种操作模式。

出现不确定状态（如：双模式选择功能中的00或11）时应报警并记录。

对不确定状态所需的逻辑响应（保持在上一个模式或切换至缺省模式）应在因果图中注明。

5.4.9 冗余接点输入的SIS逻辑应包括信号偏差报警。

5.4.10 用于监控开关逻辑模拟输入的触点可视作离散信号，与其他标准离散信号一样连接到相同的电缆和接线盒中。

5.5 变送器维护旁路的原则
5.5.1 除非本文另有规定，SIS应为每个联锁工艺信号设置维护旁路开关，以便进行在线测试和维护。

用于三取二表决方案的冗余传感器可不设旁路。

手动停车输入可不设旁路。

5.5.2 旁路开关宜通过装在SIS或DCS操作站上的软开关实现，同时在SIS或DCS辅操台上，设置SIS 旁路允许/禁止硬开关。

5.5.3 旁路开关的动作应在DCS中产生报警并予以记录。

除非旁路解除，报警始终处于活动状态。

另外，SIS中的旁路报警应设计成定期重复报警模式（例如：每四个小时），直至相关旁路的解除。

5.5.4 旁路开关的动作不得导致对工艺检测和/或报警的丢失。

6 最终执行元件
6.1 总体要求
6.1.1 最终执行元件可以是安全仪表系统用的切断阀或电动阀等。

除非在控制阀外还有独立的SIS切断阀，禁止DCS和SIS系统共用控制阀。

当采用这种配置，控制阀上应使用经TUV认证的故障安全定位器，定位器通过SIS信号跳车。

6.1.2 气动控制阀或气动切断阀均应带接受安全仪表系统控制信号的电磁阀。

6.1.3 除以下列情况外，SIL级别大于等于1的阀门应使用弹簧复位型执行机构。

电磁阀失电联锁，执行器内的空气/液体通过电磁阀排出，使弹簧推动阀门至故障安全位置。

a） 特殊设计禁止使用弹簧复位执行器；
b） 使用了弹簧复位执行器，但是由于工艺方面的原因，弹簧实现的故障位置刚好与安全停车位置相反，可以使用压力容器或空气储罐使阀门在联锁时到达安全位置。

在这种应用中，电磁阀应失电联锁。

压力容器和空气储罐应符合下列规定：
— 符合ASME规范第VIII章（或同等中国规范）规定；
— 供货时由供货方配备就地压力表、安全阀、截止阀和压力开关/变送器。

压力开关/变送器应进SIS监视，并在DCS系统中进行报警。

压力开关/变送器及其相关报警应当接受验证测
试并与SIS一起进行变更。

DCS报警优先顺序应设定为最高级别。

6.1.4 SIL级别大于等于1的阀门应在故障时进入预先规定的安全位置，即当仪表风，电源，液压故障时处于开或关状态。

阀门的故障位置应在管道仪表图（PID）和仪表数据表上注明。

故障保持型阀门应获得业主的批准。

6.1.5 SIL级别大于等于1的阀门不应配备手轮。

如果批准使用手轮，应在PID上注明。

6.1.6 SIS控制的最终执行元件的状态触点（例如：阀门位置限位开关、电机运行状态触点等）应进入SIS进行监控，并送DCS（通过数字通信接口）显示并历史记录。

开关阀应包括开和关双限位开关。

除位置反馈通过FF或HART通信协议在DCS中实现，作为SIS一部分进行跳车的控制阀应包括跳车位置状态的限位开关。

6.2 阀门的冗余设置原则
6.2.1 SIL1级安全仪表系统可采用单一的阀门；
6.2.2 SIL2级安全仪表系统宜采用冗余的阀门。

如经SIL计算允许，可采用单一的阀门，配套的电磁阀宜冗余配置。

另外，可使用带故障安全定位器,如5.1.1条描述的控制阀与SIS阀串联。

6.2.3 SIL3级安全仪表系统应使用冗余阀门，如果经SIL计算允许，可采用冗余的电磁阀。

6.2.4 冗余阀门可为分别带电磁阀的两个开关阀，也可为带电磁阀的一个控制阀加一只开关阀。

6.3 电磁阀的冗余设置原则
6.3.1 控制阀上的电磁阀应安装在阀门定位器与执行机构之间。

6.3.2 电磁阀的放空口应有防护措施（防虫网）。

6.3.3 当重点考虑系统的安全性时，除非SIL计算需要不同的冗余配置，可以使用两只电磁阀构成二取一配置，失电时使阀门跳车。

6.3.4 当重点考虑系统的可靠性和可用性时，除非SIL计算需要不同的冗余配置，可以使用两只电磁线圈构成二取二配置，失电时使阀门跳车。

二取二配置应当保证能够进行在线测试。

6.3.5 从SIS输出使电磁阀失电，排出执行机构中的空气/液体使阀门动作。

电磁阀的电源应当由SIS 提供。

6.4 电动阀的配置原则
6.4.1 电动阀不得用作安全系统中的最终执行元件（SIL级别大于等于1）。

对非SIL应用，电动阀可以由SIS或DCS系统进行控制，或根据因果图上注明的非安全应用由SIS或DCS系统共同控制。

在这种情况下，DCS输出的接点应为干接点（无源）。

6.4.2 电动阀不采用冗余配置，必要时可采用冗余的接点接入电气控制回路。

6.5 马达起动器/电气接触器的配置原则
6.5.1 马达起动器/电气接触器应通过中间继电器由SIS控制。

6.5.2 马达起动器/电气接触器可采用以下方法由SIS和DCS系统共用：
a） 接触器可以通过DCS和SIS上的无源（无电压）触点实现串联操作；
b） 接触器可以由中间继电器控制，该继电器的线圈由DCS和SIS上的无源（无电压）触点进行串联操作；
c） 接触器和/或中间继电器通过SIS控制，由DCS通过通讯发出命令到SIS， 但是要保证SIS逻辑优先于DCS命令；
d） 只要SIS对接触器/中间继电器的指令优先于DCS，DCS可以直接通过软连接向智能接触器发送指令。

6.6 最终执行元件的复位原则
6.6.1 当工艺安全要求时，最终执行元件应配备一个独立的就地手动复位装置。

6.6.2 带多个传感器和最终执行元件的复杂联锁回路应在逻辑中设置一个总联锁复位装置，该信号从操作台上的SIS显示单元输出。

6.6.3 由操作员手动启动，没有过程信号自启动的联锁可不设总联锁复位装置。

6.6.4 最终执行元件在所有的联锁初始条件恢复到正常状态之前不得复位。

总联锁复位必须在就地手动复位前启动。

6.6.5 气动/液压阀门的就地手动复位应采用专用就地复位开关,，信号引入SIS逻辑。

如果业主批准，电磁阀可以使用机械式复位。

6.6.6 对不能远程启动的电气设备（如：电加热器、电动泵/阀门等）的就地手动复位应为就地启动按钮，否则应设置专用开关。

6.6.7 在有些工艺应用中，逻辑和最终执行元件可能都需要自动复位。

例如：可能需要打开阀门向反应器喷注急冷液，当注入一定量后又需要关闭阀门。

在这种情况下，只要管道仪表图（PID）和因果图上注明，复位逻辑和最终执行元件手动复位可在设计中省略。

6.6.8 在有些工艺应用中，如干燥剂再生顺序控制，逻辑需要阀门自动打开/关闭时只要管道仪表图（PID）和因果图上注明，复位逻辑和最终执行元件手动复位则可在设计中省略。

6.7 最终执行元件的在线维护和测试原则
6.7.1 如果SIL计算表明测试周期小于工艺停车周期，而最终执行元件在线测试时无法确保不影响工艺或导致停车， SIS的设计则应当根据需要进行修改，延长测试周期和/或允许在线测试。

6.7.2 延长验证测试周期和/或允许在线测试而对阀门进行的修改可包括：
a） 增加部分行程测试；
b） 对故障关的阀门，增加手动旁路阀（见下注）；
c） 对故障开的阀门，增加手动截止阀（见下注）；
d） 在联锁控制阀的同时联锁SIS阀，以增加可用性。

例如：在裂解炉中，同时联锁燃料气系统中的SIS阀门和流量控制阀（两台独立的阀门）；
e） 提供双截止、排放SIS阀。

注： 故障关阀门的旁路阀应当配备与SIS连接的关限位开关。

截止阀或故障开阀门上的阀门应当分别配备与SIS连接的开限位开关。

如果旁路阀“没有关闭”或某截止阀“没有打开”，SIS应当通
过SIS/DCS通信启动DCS中该设备的报警。

SIS的旁路/截止阀报警逻辑应当设计成定期反复报警（例如：每四个小时），直至相关的旁路阀关闭或截止阀打开。

6.7.3 在设计中，为延长验证测试周期和/或允许在线测试，SIS输出到马达/加热器触点的信号应采用冗余配置，可以对其中的某个信号单独进行在线测试。

使用的中间继电器应拥有机械连接的触点和就地状态指示（例如：继电器上的指示器或由继电器触点控制的指示灯）。

6.7.4 安全停车阀上的每台旁路/截止阀应安装铭牌，但禁止使用胶粘。

字样如下：
CAUTION注意
THIS VALVE TO BE USED ONLY FOR
CHECKING PROTECTIVE SYSTEMS
本阀门仅用于测试保护系统
6.7.5 测试每个SIS最终执行元件的指令应从与SIS相连的操作站，或SIS机柜上的按钮或开关发出。

如使用了冗余SIS输出，且最终执行元件在不引起工艺波动或导致停车的前提下无法进行在线测试，则可从面板上对每个输出进行测试。

6.7.6 禁止对输出信号设立旁路开关。

7 逻辑单元
7.1 逻辑运算器
安全仪表系统的逻辑运算器可由继电器系统或可编程序电子系统构成,也可由其混合构成。

7.2 逻辑运算器的技术选择原则
7.2.1 继电器系统用于输入输出点较少、逻辑功能简单的场合。

用基于继电器的SIS代替可编程电子系统应经业主批准。

7.2.2 可编程序电子系统可以是可编程序逻辑控制器（PLC）,但PLC作为SIS使用必须有IEC 61508 SIL/ TUV AK认证。

7.2.3 可编程序电子系统可用于下列场合：
a） 输入输出点较多；
b） 逻辑功能复杂；
c） 与过程控制系统进行数据通信。

7.3 逻辑运算器的独立原则
7.3.1 逻辑运算器应与过程控制系统分开；
7.3.2 对非独立的工艺单元，如果达到了下列条件，允许不同的SIS共用相同的逻辑运算器：
a） 系统为独立的系统，一个机柜内可以安装多套系统；
b） 机柜设计能保证每套系统的接线、保险和端子分离，设备明确标明所属系统。

各系 统标识清楚，端子板上可以使用端子分隔板隔离每套系统的信号；
c） 不同的SIS配备不同的输入/输出卡。

7.4 逻辑运算器的冗余原则
7.4.1 SIL1级安全仪表系统可采用单一的逻辑运算器。

7.4.2 SIL2级安全仪表系统宜采用冗余或容错的逻辑运算器，其中央处理单元，电源单元，通信系统等应冗余配置，输入/输出模块宜冗余配置。

7.4.3 SIL3级安全仪表系统：应采用冗余或容错的逻辑运算器，其中央处理单元，电源单元，输入/输出模块及通信系统等应冗余容错配置。

7.4.4 如果同一可编程电子系统（PES）逻辑运算器中安装了一套以上的SIS，逻辑运算器应为冗余或容错配置。

7.5 开车旁路原则
7.5.1 SIS应允许在工厂开车时不需从SIS工作站中强制执行SIS输入、输出或程序变量。

7.5.2 在工厂开车前或过程中处于不正常状态的输入可能需要开车优先顺序（旁路）（例如：泵出口流量低）。

如果需要开车旁路，应当对SIS逻辑设计进行审查，确定该旁路功能在一定条件下是否能够自动启动（不需要操作员动作）且不会危及工厂安全（即如果所有的泵确定停车[x]秒后就会自动启动相关排放总管上的低流量跳车旁路）。

开车旁路功能，包括旁路时间应当在管道仪表图（PID）和因果图上注明。

7.5.3 如果有必要，手动开车旁路开关应在SIS逻辑运算器操作控制台中组态成软开关或作为硬开关安装在DCS控制台上。

SIS（或如果有授权，DCS）组态的软开车旁路开关应包括限制接触的安全措施（如：安全密码），以防止未经授权的启动。

控制台上的硬件启动旁路开关当为钥匙开关型，以防止未经授权的启动。

这两种开关都应设置临时的SIS逻辑动作，在一定的时间后或在一定的时间范围内待旁路跳车点恢复到正常状态（非跳车条件）后解除旁路条件。

7.5.4 应对SIS逻辑设计进行审查，确定旁路功能在一定条件下是否能够自动投用（不需要操作员通过手动开车旁路开关动作）而不会危及工厂安全。

例1：所有的泵确定停车[x]秒后就会自动启动相关排放总管上的低流量跳车旁路。

例2：动设备上的启动按钮会使相关排放总管上的采用SIS逻辑的低流量开车旁路在一 定的时间后解除旁路条件。

7.5.5 开车旁路条件的执行应在DCS中报警和记录。

旁路解除前应保持报警状态。

7.5.6 执行开车旁路不得导致对工艺检测和/或报警的丢失。

7.5.7 最终执行元件应在开车旁路启动的条件下打旁路。

7.6 逻辑运算器外部的手动停车原则
应按IEC 61511标准要求SIS设计在逻辑运算器之外设置独立的手动措施启动SIS最终执行元件。

7.7 输入、输出和程序变量的强制执行
7.7.1 除非操作程序和安全程序允许，禁止在SIS继续使用的前提下从SIS工作站上强制执行SIS输入、输出或程序变量（禁用使其保持在开、关或某一固定值）。

此类操作程序和安全程序由业主负责编制。

7.7.2 任何强制执行应启动公共报警，并在DCS中增加强制执行计数。

强制执行计数应在强制事件解除后减少。

除非所有的强制事件均被解决，均应保持公共报警状态。

8 通信接口。