安全儀表系統SIS是由傳感單元、邏輯控制單元、執行機構組成的能夠行使一項或多項安全儀表功能（SIF）的儀表系統。近年來(lái)，功能安全評估成為研究的熱點(diǎn)，而中國功能安全評估研究起步較晚，相關(guān)標準普及不高，導致許多企業(yè)在SIS設置上存在安全隱患。人們常認為安裝了SIS就能達到安全要求，卻忽略了SIS在結構設置、儀表選型及軟件等方面的問(wèn)題。國外對SIS的研究較早，陸續出臺了一系列相關(guān)國際和國家標準，如IEC 61508《電氣/電子/可編程電子安全系統的功能安全》、IEC 61511《過(guò)程工業(yè)領(lǐng)域安全儀表系統的功能安全要求》及ANSI/ISAS84-2004《各產(chǎn)業(yè)中安全儀表系統的應用》等。

國內于2007年引入IEC61508/61511標準，并等同轉化為GB/T20438-2006《電氣/電子/可編程電子安全系統的功能安全》、GB/T21109-2007《過(guò)程工業(yè)領(lǐng)域安全儀表系統的功能安全要求》用于指導國內的SIS安全完整性評估工作。國內許多企業(yè)的裝置建設較早，在進(jìn)行SIS的設計及安裝時(shí)未能按照GB/T20438-2006及GB/T21109-2007的要求實(shí)施。目前主要的問(wèn)題是有些企業(yè)聯(lián)鎖回路設置在DCS中，未設置獨立的SIS。由于DCS沒(méi)有認證要求，因而在進(jìn)行SIS的功能安全評估時(shí)，缺少驗證數據，而無(wú)法進(jìn)行系統評估。

以某甲醇低溫甲醇洗裝置的聯(lián)鎖設置情況進(jìn)行說(shuō)明，低溫甲醇洗是一種新型的煤化工技術(shù)，是酸性氣脫除技術(shù)的首選技術(shù)，作為目前國內先進(jìn)的煤氣凈化工藝，它對酸性氣體有較高的吸收選擇性，并且凈化程度高。甲醇為有毒液體，并且易燃，裝置中工藝氣中含有氫氣、一氧化碳、硫化氫等易燃易爆氣體，一旦泄漏將有可能引起火災、爆炸事故，對環(huán)境造成無(wú)法挽回的損壞。我們將根據企業(yè)資料，采用保護層分析（LOPA）方法對裝置23條聯(lián)鎖回路逐條進(jìn)行定級分析，分析步驟如下圖所示。

聯(lián)鎖回路統計見(jiàn)下表所列。

SIS的獨立性要求我們在LOPA分析過(guò)程中，以上分析結果均基于保護層的獨立性原則，根據IEC61511-1關(guān)于基本過(guò)程控制系統（BPCS）作為獨立保護層時(shí)有以下規定：當觸發(fā)條件是BPCS保護層防控的觸發(fā)源為BPCS本身時(shí)，應確保觸發(fā)源與BPCS保護層之間的隔離和獨立，如下圖所示。

在工程實(shí)踐中，很難達到上圖中所示的獨立性要求，因為DCS中的冗余CPU通常采用“熱備用”機制，不具備圖中控制器1和控制器2之間的獨立性，除非配置2套DCS。

因此，當同一危險場(chǎng)景下，如果DCS控制故障，則設置在DCS中的相應聯(lián)鎖就會(huì )失效。GB/T50770-2013《石油化工安全儀表系統設計規范》中規定了SIS設計的基本原則：SIS獨立于過(guò)程控制系統，獨立完成安全保護功能。

國外一些設計資料及規范中也提到在工業(yè)中將安全聯(lián)鎖系統與DCS分開(kāi)。比如：英國健康與安全執行委員會(huì )在《可編程電子系統在有關(guān)安全方面的應用》中提到“強烈推薦提供將控制和保護分開(kāi)的系統”；美國化學(xué)工程研究院在《化學(xué)過(guò)程的安全自動(dòng)化導則》中提到“提供物理上和功能上的分離，并且將基本過(guò)程控制系統與安全聯(lián)鎖系統之間的邏輯運算器、I/O模件和機架區別開(kāi)來(lái)”；IECTC65WG10在《電氣/電子/可編程的有關(guān)安全系統》概況中提到“受控設備（EUC）控制系統應是獨立的，并與有關(guān)安全系統和減少外部危險的設備分開(kāi)”；ISASP84在《用于安全應用方面的可編程電子系統》中提到“用于控制的元件不能用于安全系統”，“某些過(guò)程可能要求多于一個(gè)安全系統保護層，每一個(gè)安全儀表系統（SIS）層必須與其他的SIS層完全分開(kāi)和不相同”。美國核工業(yè)要求冗余的安全系統“應是相互獨立的和物理上分開(kāi)的”等法規及草案中都提到將SIS與DCS分開(kāi)的意義。而如果用DCS來(lái)承擔SIS的任務(wù)，則相應的要求水平較常規的過(guò)程控制系統更高、花費也更大，因而都建議將SIS與DCS硬件獨立設置。3SIS與DCS的區別SIS更關(guān)注對故障狀態(tài)的反應速度，而DCS更關(guān)注的是過(guò)程處理。兩系統設計的出發(fā)點(diǎn)不同，SIS側重故障安全性組態(tài)，而DCS一般是非故障安全型。SIS與DCS的主要區別見(jiàn)下表所列。

將聯(lián)鎖設置在DCS中，不僅從硬件要求和軟件要求上無(wú)法滿(mǎn)足SIS的規定，在后期維護與保養上也區別于過(guò)程控制系統，GB/T21109-2001第1部分中對SIS操作與維護的要求規定：“1）應編制安全儀表系統的操作和維護計劃；2）應根據相關(guān)的安全計劃編制制訂操作和維護規程；3）應根據相關(guān)規程進(jìn)行操作和維護；4）應就操作員所在領(lǐng)域內的SIS功能和操作對他們進(jìn)行培訓；5）應分析預計的和實(shí)際SIS行為之間的差異，必要時(shí)應作修改以保持要求的安全；6）應編寫(xiě)每個(gè)SIF回路的書(shū)面檢驗測試規程，以便暴露診斷未檢測到的危險失效”。SIS修改和停用涉及的相應信息及文檔要求，都從規定上展現了SIS與DCS的要求不同。