隨著116文件的發布，2017年很多新舊項目上了SIS，但是關于SIS設計及應用，存在著很多問題，包括：SIS系統相關設備，是否都必須清度SIL認證等級？開關量如何進SIS？SIS系統設計的時候，網絡站和操作站需要分開嗎？昌暉儀表整理了資深專家的意見為大家解惑。
 
開關量能進去SIS嗎？
設計師：以前SIS的ESD系統，最早都是用PLC實現的，最適合接開關信號，不很適合于模擬信號的。后來，ESD逐漸開關和模擬信號都可以了。現在看見模擬信號也比較多了。

我們都知道SIL認證按照儀表類型分為A類和B類，A類別一般指的是沒有程序軟件的機械式設備，B是有軟件技術的電子設備，如果我們整個系統需要SIL2，那么我們用了SIL2的B類設備(模擬量的開關)，那么整個回來就是SIL2，如果用的A類SIL2(繼電器輸出)就需要計算，有可能無法達到SIL2，這種說法對嗎?
設計師：不是的，A類在相同的安全失效分數上所能達到SIL等級是比B類要高的，結構越簡單，各種故障原因就能夠更好的被定義，比如E+H的音叉限位開關就可以做到SIL3等級(包括繼電器輸出，namur輸出等等)，浮球開關我也沒有見過有SIL認證的，大概是因為價格相對低廉，沒有做認證的必要吧，有建議用連續液位檢測來代替液位開關的，是從儀表本身回路經常在使用，減少了回路自診斷的要求方面考慮的，實際上開關類儀表如果在生命周期內的故障概率是要小于相對結構復雜的智能儀表的。

我以前理解開關量比模擬量開關可靠，但是放在整個回路不是這個概念?
設計師：通過SIL認證的儀表，在故障失效率、診斷測試間隔、故障修復時間等等上都符合了對應安全完整性的要求，在整個生命周期內滿足安全儀表的SIL要求是完全沒有問題的，規范上說的宜采用模擬量儀表，我理解也是根據國情做出的修訂，畢竟在當時的時候，國內很多項目主要還是秉承經驗使用的原則來選擇現場儀表。在沒有SIL認證的條件下，模擬量比開關量儀表還是相對更有優勢的，當然中石化的大項目除外。

設計師：IEC 61508和IEC 61511都沒有關于用于安全回路的儀表需要認證的規定，一個老外的安全專家在技術交流的時候說過：經過SIL認證的設備只能表明具有故障安全的功能設計，認證機構認可過可靠性數據，但是并不能證明設備具有相應的可靠性，也不保證可靠性質量，不保證運行過程不出問題，IEC和認證機構也不負有任何責任！認證機構不做任何可靠性實驗，僅僅對可靠性數據資料和功能安全相關資料做形式檢查。

已經在運行的裝置，用的橫河DCS系統，現在業主想上SIS系統，而且有意向使用橫河的SIS，做成控制系統一個控制站的樣式，就是下面控制站，卡件分開，上層網絡，操作站共用。這樣符合SIS系統獨立性的要求嗎？需要網絡，操作站也分開嗎？
設計師：SIS原本是不設置操作站也不采用網絡結構的，僅僅只是控制器，沒有人機接口。但是生產操作還是需要操作站作為報警，記錄和觀察的，國外就采取了將SIS的數據通信方式傳送到DCS操作站上的方式。近年來有的DCS制造商開發了與SIS同網絡、共享數據的結構。橫河就是代表之一。

中國人更痛快：拐那么多彎兒干嘛？直接就利用SIS上的通信接口聯網接上SIS的操作站，玩兒得靈活得意!

話說回來，SIS和過程控制分開的“原則”是指控制器，并不是指網絡和操作站，所以您采用的方案是自然并且合理的，并不違反原則。一般地來說，SIS的人機界面沒有操作功能，也就不會影響SIS的正常運行。但是近年來國內外都有把硬件停車開關放在操作站軟件實現的做法，也是一種實際應用的進步。

開關有兩類：機械開關和電子開關。機械開關的可靠性較低，不論是否經過認證，無論是否具有SIL等級都不能提高可靠性，也不能保證不出問題。電子開關與連續測量的變送器是同一級別的產品，并不因為變送器“復雜”就比電子開關可靠。

連續測量儀表是實時工作的，有些還有診斷功能，很容易觀察到是否正常，另外聯鎖值的設定比開關位置靈活。開關儀表在平時長期不動作，不知道是否正常，所以有些規范提倡采用連續測量儀表代替開關儀表，并且很多開關儀表的價格比變送器高。近年來老外也認同中國人的做法，并反映在某些項目規定里。

求助，請大家給推薦幾個可靠的GDS廠家，根據安監總局(2014)116號文件“國家安全監管總局關于加強化工安全儀表系統管理的指導意見”中“嚴格按照相關標準設計和實施有毒有害和可燃氣體檢測保護系統，為確保其功能可靠，相關系統獨立于基本過程控制系統”的要求，理應設置獨立的可燃有毒氣體檢測系統(GS)，(一)化工安全儀表系統(SIS)包括安全聯鎖系統，緊急停車系統和有毒有害，可燃氣體及火災檢測保護系統等。當時看完自己的理解是有毒可燃系統應該是和緊急停車系統并列關系，而不是直接進緊急停車系統。國內把緊急停車系統和SIS理解為同一個東西了?
設計師：以前都是采用可燃有毒氣體檢測信號進入DCS獨立卡件的方案，116號文要求GDS采用SIS系統，這種情況可以不采用，或者用小系統。如果是EPC契約后增加的，可以要求補充費用。火災進公安消防的系統。僅僅把可燃氣體放到SIS里，這是116號文要求的。沒有人給你解讀，按照規范要求就是了，規避設計風險。選型沒有區別也沒法區別。

116文把GDS上升到SIS的高度，我覺得應該充分理解其含義，它為什么這么做?我的理解為，當裝置暫時停車，大檢修期間，局部維修或搶修等情況，裝置的控制系統，緊急停車系統可能也停電檢修，那么裝置的一部分容器內可能存有可燃有毒氣體或液態，這時可燃有毒氣監測系統要求起作用，那么就應該獨立設計，但不是讓它進SIS系統，因為SIS系統往往與DCS系統同時檢修，不能達到監控的要求! 裝置中關于可燃氣有毒氣體的聯鎖可以按照安全等級進入SIS系統，絕大部分的檢測器是沒有聯鎖要求的。
設計師：安監局可能不是這個意思！

為了提高化學品工業的安全水平，減少工藝過程異常情況下的事故，防災減災，所以把有關安全，涉及危險狀態的過程采用SIS，以期在過程控制系統失控的情況下，按照預先設定的方案自動停車。

安監局認為：SIS的可靠性比其它系統高，并且獨立設置，以此來實現可燃氣體和有毒氣體檢測報警可以實現安全預期。

安監局是不論安全等級的，可燃氣體報警本來就不是一個故障安全系統，也沒有人評估安全等級。安全儀表系統的設置原則之一是與過程控制系統分開。但獨立系統并不意味著就是安全儀表系統。不是充分必要條件。如果按照IEC 61511的說法，GDS不具備故障安全特性，也就缺少了最重晏的要素。剛才說過：SIS當檢測到過程變量超過設定值時，發生作用使過程轉移到安全的狀態或者停車。這是SIS的基本原理和作用。安監局的116號文讓一些設計人員無所適從，但作為工程師們應該具有領會精神靈活運用的本事。安監局的本意是加強設備的配備，防災減災。

推薦閱讀
SIL定級與驗證知識十問十答