QSH0700-2008安全仪表系统(SIS)技术规定

ICS 75.020 P 72 Q/SH Q/SH 0700—2008 中国石化炼化工程建设 标准 excel标准偏差excel标准偏差函数exl标准差函数国标检验抽样标准表免费下载红头文件格式标准下载 安全仪表系统（SIS）技术规定 Specification for safety instrumented system （SIS） SDEP-SPT-IN2002-2008 2008-01-21 发布 2008-02-01 实施 中国石油化工集团公司 发 布 中国石油化工集团公司企业标准 编号: SDEP-SPT-IN2002-2008 修改: 1.0 安全仪表系统（SIS）技术规定 第 1 页 共 19 页 未经 SINOPEC 书面同意，本文件不得以任何方式复制和向第三方提供。 目 次 前言 ..................................................................................... 3 1 范围 ................................................................................... 4 2 规范 编程规范下载gsp规范下载钢格栅规范下载警徽规范下载建设厅规范下载 性引用文件 ......................................................................... 4 3 术语和定义 ............................................................................. 4 4 基本原则 ............................................................................... 6 5 传感器 ................................................................................. 8 5.1 传感器的独立设置原则 ................................................................. 8 5.2 传感器的冗余设置原则 ................................................................. 8 5.3 传感器的冗余方式选用 ................................................................. 8 5.4 开关量使用原则 ....................................................................... 8 5.5 变送器维护旁路的原则 ................................................................. 9 6 最终执行元件 ........................................................................... 9 6.1 总体要求 ............................................................................. 9 6.2 阀门的冗余设置原则 ................................................................... 9 6.3 电磁阀的冗余设置原则 ................................................................ 10 6.4 电动阀的配置原则 .................................................................... 10 6.5 马达起动器/电气接触器的配置原则 ..................................................... 10 6.6 最终执行元件的复位原则 .............................................................. 10 6.7 最终执行元件的在线维护和测试原则 .................................................... 10 7 逻辑单元 .............................................................................. 11 7.1 逻辑运算器 .......................................................................... 11 7.2 逻辑运算器的技术选择原则 ............................................................ 11 7.3 逻辑运算器的独立原则 ................................................................ 11 7.4 逻辑运算器的冗余原则 ................................................................ 12 7.5 开车旁路原则 ........................................................................ 12 7.6 逻辑运算器外部的手动停车原则 ........................................................ 12 7.7 输入、输出和程序变量的强制执行 ...................................................... 12 8 通信接口 .............................................................................. 12 9 人机界面 .............................................................................. 13 9.1 操作站 .............................................................................. 13 9.2 辅助操作台 .......................................................................... 13 9.3 工程师站（EWS） ..................................................................... 13 9.4 事件顺序记录（SER）站 ............................................................... 13 9.5 时间同步 ........................................................................... 14 10 过程接口 ............................................................................. 14 11 软件组态 ............................................................................. 14 11.1 软件组态 ........................................................................... 14 11.2 软件组态的安全性 ................................................................... 14 11.3 软件组态的审查 ..................................................................... 14 编号: SDEP-SPT-IN2002-2008 修改: 1.0 安全仪表系统（SIS）技术规定 第 2 页 共 19 页 11.4 软件组态文件 ....................................................................... 14 软件组态文件应包括： .................................................................... 14 12 工程设计 ............................................................................. 14 12.1 基础工程设计包括如下内容： ......................................................... 14 12.2 详细工程设计包括如下内容： ......................................................... 15 12.3 组态、编译下载、调试投用包括如下内容： ............................................. 15 附录 A................................................................................... 16 附录 B................................................................................... 17 附录 C................................................................................... 18 编号: SDEP-SPT-IN2002-2008 修改: 1.0 安全仪表系统（SIS）技术规定 第 3 页 共 19 页 未经 SINOPEC 书面同意，本文件不得以任何方式复制和向第三方提供。 前 言 本标准是根据《关于中国石化工程建设标准研究与编制项目启动会议纪要》（集团公司[2006]第 1 号） 编制的。 本标准共分 12 章和 3个附录，附录 A～C 均为规范性附录。 本标准主要内容有： 安全仪表系统（SIS）的设计、组态、采购、施工及检验的最低要求。 主编单位：中国石化工程建设公司 参编单位：中国石化集团洛阳石油化工工程公司 中国石化集团上海工程有限公司 中国石化集团宁波工程有限公司 中国石化集团南京设计院 主要起草人：王义峰 林融 黄步余 本标准于 2008 年首次发布。 编号: SDEP-SPT-IN2002-2008 修改: 1.0 安全仪表系统（SIS）技术规定 第 4 页 共 19 页 未经 SINOPEC 书面同意，本文件不得以任何方式复制和向第三方提供。 1 范围 本标准规定了安全仪表系统（SIS）的设计、组态、采购、施工及检验的最低要求。 本标准适用于中国石化新建石油炼制、石油化工工程项目的安全仪表系统（SIS）的设计、采购和施 工。 2 规范性引用文件 下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修 改单或修订版均不适用于本标准。凡是不注日期的引用文件，其最新版本适用于本标准。 ASME Boiler and pressure vessel code, section VIII pressure vessels, division 1 rules for construction of pressure vessel IEC 61511-2003/2004 Functional safety: safety instrumented systems for the process industry sector. IEC 61131-2000/2003 Programmable controller. 3 术语和定义 下列术语和定义适用于本标准。 3.1 安全仪表系统 safety instrumented system （SIS） 能实现一个或多个安全仪表功能的系统，包括传感器，逻辑运算器和最终执行元件。 3.2 安全度等级 safety integrity level（SIL） 描述安全仪表系统安全的等级。 3.3 故障安全 fail to safe 系统发生故障时被控工艺回到预定安全状态。一般情况下，是使工艺或设备进入停机状态。安全仪表 系统的一部分执行必要的动作，使系统达到安全状态。 3.4 危险故障 dangerous failure 能够导致安全仪表系统处于危险或失去功能的故障。（例如：对高温、高压跳车信息没有反应。） 3.5 安全故障 safe failure 不会导致安全仪表系统处于危险或故障状态，但可能导致系统切换进入安全状态（假跳车）。 3.6 显性故障 overt fault 能够显示自身存在的故障。一般情况下，除非使用冗余，显性故障会导致假跳车。 3.7 隐性故障 covert Fault 一般由诊断测试发现或显现的不能显示自身存在但又阻止 SIS 对指令作出响应的故障。。 3.8 自诊断 diagnostic （D） 发生故障时，系统能自动检测出本身的故障。 编号: SDEP-SPT-IN2002-2008 修改: 1.0 安全仪表系统（SIS）技术规定 第 5 页 共 19 页 未经 SINOPEC 书面同意，本文件不得以任何方式复制和向第三方提供。 3.9 过程危险 process risk 由过程引起的风险或由过程和过程控制系统相互干扰引起的风险。 3.10 传感器 sensor 用于测量过程变量的单一或组合设备（例如变送器，过程开关，位置开关等）。 3.11 可编程电子系统 programmable electronic system （PES） 由一个或多个可编程电子设备组成，用于控制、保护或监视的系统。该系统包括电源，中央处理单元， 输入设备，数据高速通道和其它通信部件，输出设备等。 3.12 逻辑运算器 logic solver 安全仪表系统或过程控制系统中完成一个或多个逻辑功能的部件。 3.13 最终执行元件 final element 安全仪表系统中执行必要的动作，使系统达到安全状态的部件。 3.14 平均故障间隔时间 mean time between failures（MTBF） 相邻故障间隔的平均时间，包括平均失效时间和平均修复时间。 3.15 平均修复时间 mean time to repair（MTTR） 故障修复所需要的平均时间，包括诊断，确认及等待时间。 3.16 平均失效时间 mean time to failure （MTTF） 功能单元实现规定功能失效平均时间。 3.17 可用性 availability（A） 指系统可以使用工作时间的概率。 3.18 可靠性 reliability（R） 指系统在规定的时间间隔内发生故障的概率. 3.19 冗余 redundancy 为实现同一功能，使用多个相同功能的模块或部件同时工作。 3.20 容错 fault tolerant 功能模块在出现故障时，仍能继续正确执行特定功能的能力。 3.21 逻辑功能 logic function 将一个或多个输入信息转换为一个或多个输出信息的功能。 3.22 N 取 X 表决 Voting 编号: SDEP-SPT-IN2002-2008 修改: 1.0 安全仪表系统（SIS）技术规定 第 6 页 共 19 页 未经 SINOPEC 书面同意，本文件不得以任何方式复制和向第三方提供。 由“N”个独立通道组成的安全仪表系统或部分安全仪表部分，其连接使其中的“X”个通道形成了安 全功能的充分必要条件。 例如：2oo3 （2 out of 3） 3 取 2 3.23 三取二 2oo3 （2 out of 3） 系统故障时性能递减方式：3-2-O 采用三取二表决方式，即三个 CPU 中若一个运算结果与其它两个不同，该 CPU 故障，其余两个继续工 作；若其余两个 CPU 运算结果再有不同时，则无法表示出哪一个是正确，系统停车。 3.24 二取一带自诊断 1oo2D （1 out of 2 with Diagnostic） 系统故障时性能递减方式：2-1-O 当一个 CPU 被检测出故障时，该 CPU 被切除，另一个 CPU 继续工作；若第二个 CPU 再被检测出故障时， 系统停车。 3.25 双重化二取一带自诊断 2oo4D （2 out of 4 with Diagnostic ） 系统故障时性能递减方式：4-2-0 系统中二个控制模块各有二个 CPU，同时工作又相对独立。当一个控制模块中 CPU 被检测出故障时， 该 CPU 被切除，切换到 2-0 工作方式；其余一个控制模块中二个 CPU 以 1oo2D 方式投入运行,若这一个控 制模块中再有一个 CPU 被检测出故障时，系统停车。 3.26 过程控制系统 process control system （PCS） 用于直接或间接控制过程及相关设备的控制系统，系统包括分散控制系统（DCS）、现场总线控制系 统（FCS）、可编程控制系统（PLC）等。 3.27 平均危险故障率 average probability of failure on demand （PFDavg） 用于描述当故障危险（Fail to Danger）时，故障发生的平均可能性。 4 基本原则 4.1 安全仪表系统应独立于过程控制系统，独立完成安全保护功能。 4.2 安全仪表系统包括传感器，逻辑单元和最终执行元件；当过程达到预定条件时，安全仪表系统应动 作，将过程带入安全状态。 4.3 应根据对过程危险性分析，人员、过程、设备及环境的保护，安全度等级等要求确定安全仪表系统 的功能。 4.4 安全仪表系统可按照安全度等级的要求分为 1，2，3，4 级（见表 4.4）。安全等级越高，安全仪表 系统的安全功能越强。炼油、石化项目不采用安全度等级 4。如果危险分析表明需要采用这种高危险等级， 则： a） 过程设计应进行相应修改，保证本身的安全性更高； b） 增加保护层。 编号: SDEP-SPT-IN2002-2008 修改: 1.0 安全仪表系统（SIS）技术规定 第 7 页 共 19 页 未经 SINOPEC 书面同意，本文件不得以任何方式复制和向第三方提供。 表 4.4 安全仪表等级划分 SIL PFDAVG RANGE 平均危险故障率范围 AVAILABILITY 可用性 1 10-1至 10-2 90.000% 至 99.000% 2 10-2 至 10-3 99.000% 至 99.900% 3 10-3 至 10-4 99.900% 至 99.990% 4 10-4 至 10-5 99.990% 至 99.999% SIL-1系统的最低可用性应当为 95%。 连续模式下的安全仪表功能所需的 SIL 应根据 IEC 61511 第 9.3.4 条,表 4 的规定确定。 4.5 安全仪表系统应设计成故障安全型。当工艺有特殊安全要求时，可设计成非故障安全型。故障安全 型应设计为非励磁停车；非故障安全型应设计为励磁停车。 4.6 安全仪表系统应具有硬件和软件诊断和测试功能。 4.7 设计应包括操作控制台内嵌 SIS 图形显示单元（VDU）。 4.8 安全仪表系统的传感器、最终执行元件宜单独设置。 4.9 安全仪表系统应能通过数据通信连接以只读方式与 DCS 实现通信。禁止 DCS 通过该通信连接向 SIS 写信息。 4.10 供应商应提出符合 SIL 等级要求的 SIS 网络配置 方案 气瓶 现场处置方案 .pdf气瓶 现场处置方案 .doc见习基地管理方案.doc关于群访事件的化解方案建筑工地扬尘治理专项方案下载 ，并通过中央控制室（CCR）的控制台（操作 员或工程师工作站）的显示单元（VDU）实现完整的 SIS 信息交换和系统管理。 4.11 安全仪表系统宜提供独立于逻辑运算器的手动设施，直接操作最终执行元件。尚应考虑到 DCS 通过 画面上的安全两步对话启动 SIS 停车的问 题 快递公司问题件快递公司问题件货款处理关于圆的周长面积重点题型关于解方程组的题及答案关于南海问题 。 4.12 一套安全仪表系统中，当多个单元（如：传感器、最终执行元件、PLC 硬件等）共用某些设备元件 时，共用部分应符合最高安全等级要求。非共用的系统单元必须符合与其自身安全功能相匹配的 SIS 要求。 4.13 每套 SIS 系统在机柜间均应有一个可用于组态、编程和监视的人机接口。如果 SIS 系统用于同一工 艺装置，同一现场辅助控制室（FAR）内的不同 SIS 允许使用一台共用人机接口。 4.14 SIS 设计应符合规定的安全度等级（SIL）。SIS 结构（传感器、逻辑运算器、最终执行元件）的冗 余和表决配置（如：一取一、二取一、二取二、三取二等）够满足 SIL 的可用性要求。 4.15 SIS 的设计应保证一旦工艺进入安全状态，进行手动复位前保持在安全状态。 4.16 鉴于某些特殊原因需要由 SIS 执行的非安全功能应当在因果图上明确标明（例如：“非安全功能”、 “NSF”、SIL = “N/A”，或其他标识）并在其他 SIS 设计文件中指明。非安全功能的动作，如果由 SIS 执 行，不得干扰或危及 SIS 的任何安全功能。 4.17 SIS 设计文件应根据正式发布版本的控制程序进行有效控制。 4.18 SIS 系统中使用的制造商的硬件、软件和仪表必须遵守正式版本并已发布的程序。 4.19 SIS 硬件、软件和仪表应当是最新的商业化型号/版本。如果最新的型号/版本从购买订单下达之日 计算还没有达到至少一年的现场成功应用记录，那么使用时需要获得业主批准。 4.21 保持安全系统完整性的环境调节设备（如：风扇、空调暖通系统、空气过滤器等）故障应当在 DCS 中报警并记录。除非业主另有规定，报警优先顺序应当设为最高级别。 4.22 安全联锁阀、手动启动器等的防火及其他类似要求应在管道仪表图（PID）上和仪表数据表（如有） 明确说明。防火要求（如果有必要）应当符合项目标准的规定。 4.23 应避免 SIS 和基本过程控制系统的信号出现在同一接线箱，限位开关应与输出信号（电磁阀或电动 执行机构）接到同一系统中。 编号: SDEP-SPT-IN2002-2008 修改: 1.0 安全仪表系统（SIS）技术规定 第 8 页 共 19 页 未经 SINOPEC 书面同意，本文件不得以任何方式复制和向第三方提供。 5 传感器 5.1 传感器的独立设置原则 5.1.1 如果工艺要求同时进行联锁和控制的情况下，联锁停车（SIS）和控制系统（DCS）应设立独立的 传感器和取压点。下列情况例外： 如果三取二表决方案中使用了冗余传感器，三个传感器都应当连接到 SIS，而且其中的一个（中间一 个）应当通过信号分配器将控制信号传送至过程控制系统。传感器的故障不应导致 SIS 的保护动作。DCS 故障不应影响传感器的正常操作或影响 SIS 正确读取信号的能力。传感器的回路供电（以及外部电源，如 果必要）应当由 SIS 提供，其信号由信号隔离器给 DCS。 5.1.2 除以下列情况外，冗余 SIS 传感器应当使用独立的取压口: a） 如果采用差压流量元件，宜为每个传感器使用独立的取压口。但是，如果由于物理 空间原因只能设置两个取压口，则可以从两个取压口接三台变送器，但是每台变送器应使用单 独根部阀，并在 PID 上注明； b） 专利商和/或容器设计要求在设备同一管嘴上的温度计套管内装不同长度的多点温度 传感器。 5.2 传感器的冗余设置原则 5.2.1 1 级安全仪表系统，可采用单一的传感器。 5.2.2 2 级安全仪表系统，宜采用冗余的传感器。 5.2.3 3 级安全仪表系统，应采用冗余的传感器。 5.2.4 冗余输入的 SIS逻辑应当包括信号偏差报警。 5.3 传感器的冗余方式选用 5.3.1 如果重点考虑安全性（高可用性或低跳车故障率），除非经 SIL 计算需要不同的冗余配置，应采 用二取一方案，使用两套传感器。 5.3.2 如果重点考虑可用性（低假跳车可能性），除非 SIL 计算需要其他冗余配置，应采用二取二方案， 使用两套传感器。 5.3.3 当系统的安全性和可用性均需保障时，宜采用三取二逻辑结构。 5.4 开关量使用原则 5.4.1 所有的开关信号，包括工艺系统上的开关（如：压力开关、液位开关等）、手动开关、按钮、阀 门限位开关、继电器触点或其他控制系统输出信号，均应采用干接点（无源）。位于危险区域的触点应完 全密封。如果可能，应避免使用工艺开关。所有的联锁跳车信号应使用变送器。其他方案应经业主批准。 5.4.2 用于报警/停车的触点在正常操作过程中应当处于闭合状态，在报警/停车时打开。相反动作的触 点输入只能在作为 SIS 监视点使用。触点动作应当在 DCS 系统中报警和记录。 5.4.3 用于确定设备运行状态、阀位等而没有停车功能的触点应当在需要确认的状态或位置时保持闭 合，否则应当打开。 5.4.4 应使用触点闭合进行选择或启动。瞬时闭合触点用于执行启动功能，保持闭合触点用于执行选择 功能（例如：操作模式）。 5.4.5 用于复位的触点应在启动复位功能时瞬时闭合。 5.4.6 用于旁路或启动旁路功能的触点在正常操作状态下应处于打开状态，旁路时处于关闭状态。 5.4.7 用于允许功能（非停车功能）的触点在达到允许条件时应关闭，否则应打开。 5.4.8 操作方式选择（例如：操作/再生）设计时应保证在硬件或电路故障情况下不会导致不安全的状 态。应使用闭合触点选择各种操作模式。出现不确定状态（如：双模式选择功能中的 00 或 11）时应报警 并记录。对不确定状态所需的逻辑响应（保持在上一个模式或切换至缺省模式）应在因果图中注明。 5.4.9 冗余接点输入的 SIS 逻辑应包括信号偏差报警。 编号: SDEP-SPT-IN2002-2008 修改: 1.0 安全仪表系统（SIS）技术规定 第 9 页 共 19 页 未经 SINOPEC 书面同意，本文件不得以任何方式复制和向第三方提供。 5.4.10 用于监控开关逻辑模拟输入的触点可视作离散信号，与其他标准离散信号一样连接到相同的电 缆和接线盒中。 5.5 变送器维护旁路的原则 5.5.1 除非本文另有规定，SIS 应为每个联锁工艺信号设置维护旁路开关，以便进行在线测试和维护。 用于三取二表决方案的冗余传感器可不设旁路。手动停车输入可不设旁路。 5.5.2 旁路开关宜通过装在 SIS 或 DCS 操作站上的软开关实现，同时在 SIS 或 DCS 辅操台上，设置 SIS 旁路允许/禁止硬开关。 5.5.3 旁路开关的动作应在 DCS 中产生报警并予以记录。除非旁路解除，报警始终处于活动状态。另外， SIS 中的旁路报警应设计成定期重复报警模式（例如：每四个小时），直至相关旁路的解除。 5.5.4 旁路开关的动作不得导致对工艺检测和/或报警的丢失。 6 最终执行元件 6.1 总体要求 6.1.1 最终执行元件可以是安全仪表系统用的切断阀或电动阀等。除非在控制阀外还有独立的 SIS 切断 阀，禁止 DCS 和 SIS 系统共用控制阀。当采用这种配置，控制阀上应使用经 TUV 认证的故障安全定位器， 定位器通过 SIS 信号跳车。 6.1.2 气动控制阀或气动切断阀均应带接受安全仪表系统控制信号的电磁阀。 6.1.3 除以下列情况外，SIL 级别大于等于 1的阀门应使用弹簧复位型执行机构。电磁阀失电联锁，执 行器内的空气/液体通过电磁阀排出，使弹簧推动阀门至故障安全位置。 a） 特殊设计禁止使用弹簧复位执行器； b） 使用了弹簧复位执行器，但是由于工艺方面的原因，弹簧实现的故障位置刚好与安全停车位置相 反，可以使用压力容器或空气储罐使阀门在联锁时到达安全位置。在这种应用中，电磁阀应失电 联锁。 压力容器和空气储罐应符合下列规定： — 符合 ASME 规范第 VIII 章（或同等中国规范）规定； — 供货时由供货方配备就地压力表、安全阀、截止阀和压力开关/变送器。压力开关/变送器 应进 SIS 监视，并在 DCS 系统中进行报警。压力开关/变送器及其相关报警应当接受验证测 试并与 SIS 一起进行变更。DCS 报警优先顺序应设定为最高级别。 6.1.4 SIL 级别大于等于 1的阀门应在故障时进入预先规定的安全位置，即当仪表风，电源，液压故障 时处于开或关状态。阀门的故障位置应在管道仪表图（PID）和仪表数据表上注明。故障保持型阀门应获 得业主的批准。 6.1.5 SIL 级别大于等于 1的阀门不应配备手轮。如果批准使用手轮，应在 PID 上注明。 6.1.6 SIS 控制的最终执行元件的状态触点（例如：阀门位置限位开关、电机运行状态触点等）应进入 SIS 进行监控，并送 DCS（通过数字通信接口）显示并历史记录。开关阀应包括开和关双限位开关。除位 置反馈通过 FF 或 HART 通信协议在 DCS 中实现，作为 SIS 一部分进行跳车的控制阀应包括跳车位置状态的 限位开关。 6.2 阀门的冗余设置原则 6.2.1 SIL1 级安全仪表系统可采用单一的阀门； 6.2.2 SIL2 级安全仪表系统宜采用冗余的阀门。如经 SIL 计算允许，可采用单一的阀门，配套的电磁阀 宜冗余配置。另外，可使用带故障安全定位器,如 5.1.1 条描述的控制阀与 SIS 阀串联。 6.2.3 SIL3 级安全仪表系统应使用冗余阀门，如果经 SIL 计算允许，可采用冗余的电磁阀。 6.2.4 冗余阀门可为分别带电磁阀的两个开关阀，也可为带电磁阀的一个控制阀加一只开关阀。 编号: SDEP-SPT-IN2002-2008 修改: 1.0 安全仪表系统（SIS）技术规定 第 10 页 共 19 页 未经 SINOPEC 书面同意，本文件不得以任何方式复制和向第三方提供。 6.3 电磁阀的冗余设置原则 6.3.1 控制阀上的电磁阀应安装在阀门定位器与执行机构之间。 6.3.2 电磁阀的放空口应有防护措施（防虫网）。 6.3.3 当重点考虑系统的安全性时，除非 SIL 计算需要不同的冗余配置，可以使用两只电磁阀构成二取 一配置，失电时使阀门跳车。 6.3.4 当重点考虑系统的可靠性和可用性时，除非 SIL 计算需要不同的冗余配置，可以使用两只电磁线 圈构成二取二配置，失电时使阀门跳车。二取二配置应当保证能够进行在线测试。 6.3.5 从 SIS 输出使电磁阀失电，排出执行机构中的空气/液体使阀门动作。电磁阀的电源应当由 SIS 提供。 6.4 电动阀的配置原则 6.4.1 电动阀不得用作安全系统中的最终执行元件（SIL 级别大于等于 1）。对非 SIL 应用，电动阀可 以由 SIS 或 DCS 系统进行控制，或根据因果图上注明的非安全应用由 SIS 或 DCS 系统共同控制。在这种情 况下，DCS 输出的接点应为干接点（无源）。 6.4.2 电动阀不采用冗余配置，必要时可采用冗余的接点接入电气控制回路。 6.5 马达起动器/电气接触器的配置原则 6.5.1 马达起动器/电气接触器应通过中间继电器由 SIS 控制。 6.5.2 马达起动器/电气接触器可采用以下 方法 快递客服问题件处理详细方法山木方法pdf计算方法pdf华与华方法下载八字理论方法下载 由 SIS 和 DCS 系统共用： a） 接触器可以通过 DCS 和 SIS 上的无源（无电压）触点实现串联操作； b） 接触器可以由中间继电器控制，该继电器的线圈由 DCS 和 SIS 上的无源（无电压）触点进行串 联操作； c） 接触器和/或中间继电器通过 SIS 控制，由 DCS 通过通讯发出命令到 SIS， 但是要保证 SIS 逻辑 优先于 DCS 命令； d） 只要 SIS 对接触器/中间继电器的指令优先于 DCS，DCS 可以直接通过软连接向智能接触器发送 指令。 6.6 最终执行元件的复位原则 6.6.1 当工艺安全要求时，最终执行元件应配备一个独立的就地手动复位装置。 6.6.2 带多个传感器和最终执行元件的复杂联锁回路应在逻辑中设置一个总联锁复位装置，该信号从操 作台上的 SIS 显示单元输出。 6.6.3 由操作员手动启动，没有过程信号自启动的联锁可不设总联锁复位装置。 6.6.4 最终执行元件在所有的联锁初始条件恢复到正常状态之前不得复位。总联锁复位必须在就地手动 复位前启动。 6.6.5 气动/液压阀门的就地手动复位应采用专用就地复位开关,，信号引入 SIS 逻辑。如果业主批准， 电磁阀可以使用机械式复位。 6.6.6 对不能远程启动的电气设备（如：电加热器、电动泵/阀门等）的就地手动复位应为就地启动按 钮，否则应设置专用开关。 6.6.7 在有些工艺应用中，逻辑和最终执行元件可能都需要自动复位。例如：可能需要打开阀门向反应 器喷注急冷液，当注入一定量后又需要关闭阀门。在这种情况下，只要管道仪表图（PID）和因果图上注 明，复位逻辑和最终执行元件手动复位可在设计中省略。 6.6.8 在有些工艺应用中，如干燥剂再生顺序控制，逻辑需要阀门自动打开/关闭时只要管道仪表图 （PID）和因果图上注明，复位逻辑和最终执行元件手动复位则可在设计中省略。 6.7 最终执行元件的在线维护和测试原则 6.7.1 如果 SIL 计算表明测试周期小于工艺停车周期，而最终执行元件在线测试时无法确保不影响工艺 或导致停车， SIS 的设计则应当根据需要进行修改，延长测试周期和/或允许在线测试。 编号: SDEP-SPT-IN2002-2008 修改: 1.0 安全仪表系统（SIS）技术规定 第 11 页 共 19 页 未经 SINOPEC 书面同意，本文件不得以任何方式复制和向第三方提供。 6.7.2 延长验证测试周期和/或允许在线测试而对阀门进行的修改可包括： a） 增加部分行程测试； b） 对故障关的阀门，增加手动旁路阀（见下注）； c） 对故障开的阀门，增加手动截止阀（见下注）； d） 在联锁控制阀的同时联锁 SIS 阀，以增加可用性。例如：在裂解炉中，同时联锁燃料气系统中 的 SIS 阀门和流量控制阀（两台独立的阀门）； e） 提供双截止、排放 SIS 阀。 注： 故障关阀门的旁路阀应当配备与 SIS 连接的关限位开关。截止阀或故障开阀门上的阀门应当分别 配备与 SIS 连接的开限位开关。如果旁路阀“没有关闭”或某截止阀“没有打开”，SIS 应当通 过 SIS/DCS 通信启动 DCS 中该设备的报警。SIS 的旁路/截止阀报警逻辑应当设计成定期反复报警 （例如：每四个小时），直至相关的旁路阀关闭或截止阀打开。 6.7.3 在设计中，为延长验证测试周期和/或允许在线测试，SIS 输出到马达/加热器触点的信号应采用 冗余配置，可以对其中的某个信号单独进行在线测试。使用的中间继电器应拥有机械连接的触点和就地状 态指示（例如：继电器上的指示器或由继电器触点控制的指示灯）。 6.7.4 安全停车阀上的每台旁路/截止阀应安装铭牌，但禁止使用胶粘。字样如下： CAUTION注意 THIS VALVE TO BE USED ONLY FOR CHECKING PROTECTIVE SYSTEMS 本阀门仅用于测试保护系统 6.7.5 测试每个 SIS 最终执行元件的指令应从与 SIS 相连的操作站，或 SIS 机柜上的按钮或开关发出。 如使用了冗余 SIS 输出，且最终执行元件在不引起工艺波动或导致停车的前提下无法进行在线测试，则可 从面板上对每个输出进行测试。 6.7.6 禁止对输出信号设立旁路开关。 7 逻辑单元 7.1 逻辑运算器 安全仪表系统的逻辑运算器可由继电器系统或可编程序电子系统构成,也可由其混合构成。 7.2 逻辑运算器的技术选择原则 7.2.1 继电器系统用于输入输出点较少、逻辑功能简单的场合。用基于继电器的 SIS 代替可编程电子系 统应经业主批准。 7.2.2 可编程序电子系统可以是可编程序逻辑控制器（PLC）,但 PLC 作为 SIS 使用必须有 IEC 61508 SIL/ TUV AK 认证。 7.2.3 可编程序电子系统可用于下列场合： a） 输入输出点较多； b） 逻辑功能复杂； c） 与过程控制系统进行数据通信。 7.3 逻辑运算器的独立原则 7.3.1 逻辑运算器应与过程控制系统分开； 编号: SDEP-SPT-IN2002-2008 修改: 1.0 安全仪表系统（SIS）技术规定 第 12 页 共 19 页 未经 SINOPEC 书面同意，本文件不得以任何方式复制和向第三方提供。 7.3.2 对非独立的工艺单元，如果达到了下列条件，允许不同的 SIS 共用相同的逻辑运算器： a） 系统为独立的系统，一个机柜内可以安装多套系统； b） 机柜设计能保证每套系统的接线、保险和端子分离，设备明确标明所属系统。各系 统标识清楚，端子板上可以使用端子分隔板隔离每套系统的信号； c） 不同的 SIS 配备不同的输入/输出卡。 7.4 逻辑运算器的冗余原则 7.4.1 SIL1 级安全仪表系统可采用单一的逻辑运算器。 7.4.2 SIL2 级安全仪表系统宜采用冗余或容错的逻辑运算器，其中央处理单元，电源单元，通信系统等 应冗余配置，输入/输出模块宜冗余配置。 7.4.3 SIL3 级安全仪表系统：应采用冗余或容错的逻辑运算器，其中央处理单元，电源单元，输入/输 出模块及通信系统等应冗余容错配置。 7.4.4 如果同一可编程电子系统（PES）逻辑运算器中安装了一套以上的 SIS，逻辑运算器应为冗余或 容错配置。 7.5 开车旁路原则 7.5.1 SIS 应允许在工厂开车时不需从 SIS 工作站中强制执行 SIS 输入、输出或程序变量。 7.5.2 在工厂开车前或过程中处于不正常状态的输入可能需要开车优先顺序（旁路）（例如：泵出口流 量低）。如果需要开车旁路，应当对 SIS 逻辑设计进行审查，确定该旁路功能在一定条件下是否能够自动 启动（不需要操作员动作）且不会危及工厂安全（即如果所有的泵确定停车[x]秒后就会自动启动相关排 放总管上的低流量跳车旁路）。开车旁路功能，包括旁路时间应当在管道仪表图（PID）和因果图上注明。 7.5.3 如果有必要，手动开车旁路开关应在 SIS 逻辑运算器操作控制台中组态成软开关或作为硬开关安 装在 DCS 控制台上。SIS（或如果有授权，DCS）组态的软开车旁路开关应包括限制接触的安全措施（如： 安全密码），以防止未经授权的启动。控制台上的硬件启动旁路开关当为钥匙开关型，以防止未经授权的 启动。这两种开关都应设置临时的 SIS 逻辑动作，在一定的时间后或在一定的时间范围内待旁路跳车点恢 复到正常状态（非跳车条件）后解除旁路条件。 7.5.4 应对 SIS 逻辑设计进行审查，确定旁路功能在一定条件下是否能够自动投用（不需要操作员通过 手动开车旁路开关动作）而不会危及工厂安全。 例 1：所有的泵确定停车[x]秒后就会自动启动相关排放总管上的低流量跳车旁路。 例 2：动设备上的启动按钮会使相关排放总管上的采用 SIS 逻辑的低流量开车旁路在一 定的时间后解除旁路条件。 7.5.5 开车旁路条件的执行应在 DCS 中报警和记录。旁路解除前应保持报警状态。 7.5.6 执行开车旁路不得导致对工艺检测和/或报警的丢失。 7.5.7 最终执行元件应在开车旁路启动的条件下打旁路。 7.6 逻辑运算器外部的手动停车原则 应按 IEC 61511 标准要求 SIS 设计在逻辑运算器之外设置独立的手动措施启动 SIS 最终执行元件。 7.7 输入、输出和程序变量的强制执行 7.7.1 除非操作程序和安全程序允许，禁止在 SIS 继续使用的前提下从 SIS 工作站上强制执行 SIS 输入、 输出或程序变量（禁用使其保持在开、关或某一固定值）。此类操作程序和安全程序由业主负责编制。 7.7.2 任何强制执行应启动公共报警，并在 DCS 中增加强制执行计数。强制执行计数应在强制事件解除 后减少。除非所有的强制事件均被解决，均应保持公共报警状态。 8 通信接口 编号: SDEP-SPT-IN2002-2008 修改: 1.0 安全仪表系统（SIS）技术规定 第 13 页 共 19 页 未经 SINOPEC 书面同意，本文件不得以任何方式复制和向第三方提供。 8.1 安全仪表系统与工程师站通信应采用 RS232，RS422/RS485 串行通信方式、TCP/IP 工业以太网通信方 式或 ProfiBus-DP。 8.2 安全仪表系统管理网络应采用 TCP/IP 工业以太网通信方式。 8.3 安全仪表系统与过程控制系统通信应采用 RS232，RS422/RS485 串行通信方式、TCP/IP 工业以太网通 信方式或 ProfiBus-DP。 8.4 过程控制系统为主站，安全仪表系统为从站。SIS 与 DCS 的通信接口应为双向冗余的 RJ45 OPC、 RS-485MODBUS RTU 或 ProfiBus-DP。 8.5 安全仪表系统负荷不应超过 50%。 9 人机界面 9.1 操作站 9.1.1 可以采用 DCS 操作站作为 SIS 系统的人机界面。 9.1.2 SIS 工程师/操作员站和 SIS/DCS 通信连接的设计应保证其中的任何一个或所有单元的故障、连通 或断开均不会危及 SIS 的操作，或不利于 SIS 使工艺进入安全状态的能力。 9.1.3 操作站不得修改安全仪表系统的编程软件。 9.1.4 每个工艺联锁应当配置预报警，手动启动除外，表明如果不采取措施，工艺参数将达到联锁状态。 预报警应在 DCS 中有报警显示。 9.2 辅助操作台 9.2.1 安装紧急停车按钮、开关、信号报警器等应符合工艺装置的要求。 9.2.2 信号报警器的使用应有所限制，因为所有的报警都在 DCS 中。 9.2.3 灯光显示应采用闪光、平光或熄灭表示报警顺序的不同状态。 9.2.4 应采用红色灯光表示越限报警或紧急状态；黄色灯光表示预报警；绿色灯光表示运转设备或过程 变量正常。 9.2.5 宜选择区别第一信号记忆的闪光报警器（有顺序事件记录或历史记录的情况可不设置）,信号报 警顺序如表 1所示； 表 9.2.5 区别第一信号的闪光报警顺序 过程状态 第一信号的灯光显示 其余灯光显示 声响 备注 正常 不亮 不亮 不响 第一信号输入 闪光 平光 响 其余信号输入 按确认按钮 闪光 平光 不响 报警信号消失 不亮 不亮 不响 运行正常 按试验按钮 亮 亮 响 试验检查 9.2.6 一般信号报警采用 DCS/PLC 实现,重要报警除操作站上显示外，在辅助操作台上设置灯光显示。 9.2.7 紧急停车按钮、开关、信号报警器等与安全仪表系统应用硬线连接；与 SIS 相连的操作员紧急停 车开关应使用单独触点（打开跳车）作为开关量输入。对 SIL-3 级系统，应采用三取二停车表决配置，使 用三冗余开关输入。 9.2.8 紧急停车按钮宜采用红色,旁路开关宜采用黄色,确认按钮宜采用黑色,试验按钮宜采用白色。 9.3 工程师站（EWS） 9.3.1 工程师站应完成安全仪表系统编程组态及维护； 9.3.2 对安装于操作控制台的工程师/操作员站的基本要求应与 DCS 操作站相同。 9.4 事件顺序记录（SER）站 编号: SDEP-SPT-IN2002-2008 修改: 1.0 安全仪表系统（SIS）技术规定 第 14 页 共 19 页 未经 SINOPEC 书面同意，本文件不得以任何方式复制和向第三方提供。 SIS 系统应具有事件顺序记录（SER）功能，该功能可以帮助用户： a） 辨识工艺过程联锁停车的原因； b） 确定消除联锁的动作； c） 建立预防性维护的执行程序。 SIS 系统的 SER 站功能可以集成到工程师站（EWS）内。 9.5 时间同步 DCS、SIS、FGS、CCS、MMS 和 PLC 等控制系统应采用网络时间通信协议（Network Time Protocol-NTP）。 NTP 应使用标准的世界时间坐标（Universal time coordinated-UTC），UTC 应通过 1个连接到 DCS 网络 的 GPS 服务器以确保 DCS、SIS、FGS、CCS、MMS 和 PLC 等控制系统的时间同步。 SIS 系统应具有同 DCS 进行时间同步的硬件和软件。 10 过程接口 10.1 过程接口包括输入输出卡、事件顺序输入卡、配电器、安全栅、开关、继电器等关联设备。 10.2 输入输出卡应带光电或电磁隔离，每个通道应互相隔离，带故障诊断。 10.3 与二取一、二取二、三取二表决系统相关的传感器应连接到不同的输入模块上。相关的输入模块可 安装在同一机架内。 10.4 安全仪表系统不应采用现场总线通信方式。 10.5 输入输出卡相连接的传感器和最终执行元件应设计成故障安全型。 10.6