5SHY3545L0010/3BHB013088R0001为什么装置在有了DCS后还要上SIS？

下面我们来进行真实的案例分析

以某甲醇低温甲醇洗装置的联锁设置情况进行说明，低温甲醇洗是一种新型的煤化工技术，是酸性气脱除技术的首选技术，作为目前国内先进的煤气净化工艺，它对酸性气体有较高的吸收选择性，并且净化程度高。甲醇为有毒液体，并且易燃，装置中工艺气中含有氢气、一氧化碳、硫化氢等易燃易爆气体，一旦泄漏将有可能引起火灾、爆炸事故，对环境造成无法挽回的损坏。我们将根据企业资料，采用保护层分析(LOPA)方法对装置23条联锁回路逐条进行定级分析，分析步骤如下图所示。

联锁回路统计见下表所列。

SIS的独立性要求我们在LOPA分析过程中，以上分析结果均基于保护层的独立性原则，根据IEC61511-1关于基本过程控制系统(BPCS)作为独立保护层时有以下规定：当触发条件是BPCS保护层防控的触发源为BPCS本身时，应确保触发源与BPCS保护层之间的隔离和独立，如下图所示。

在工程实践中，很难达到上图中所示的独立性要求，因为DCS中的冗余CPU通常采用“热备用”机制，不具备图中控制器1和控制器2之间的独立性，除非配置2套DCS。

因此，当同一危险场景下，如果DCS控制故障，则设置在DCS中的相应联锁就会失效。GB/T50770-2013《石油化工安全仪表系统设计规范》中规定了SIS设计的基本原则：SIS独立于过程控制系统，独立完成安全保护功能。

国外一些设计资料及规范中也提到在工业中将安全联锁系统与DCS分开。比如：英国健康与安全执行委员会在《可编程电子系统在有关安全方面的应用》中提到“强烈推荐提供将控制和保护分开的系统”;美国化学工程研究院在《化学过程的安全自动化导则》中提到“提供物理上和功能上的分离，并且将基本过程控制系统与安全联锁系统之间的逻辑运算器、I/O模件和机架区别开来”;IECTC65WG10在《电气/电子/可编程的有关安全系统》概况中提到“受控设备(EUC)控制系统应是独立的，并与有关安全系统和减少外部危险的设备分开”;ISASP84在《用于安全应用方面的可编程电子系统》中提到“用于控制的元件不能用于安全系统”，“某些过程可能要求多于一个安全系统保护层，每一个安全仪表系统(SIS)层必须与其他的SIS层完全分开和不相同”。美国核工业要求冗余的安全系统“应是相互独立的和物理上分开的”等法规及草案中都提到将SIS与DCS分开的意义。而如果用DCS来承担SIS的任务，则相应的要求水平较常规的过程控制系统更高、花费也更大，因而都建议将SIS与DCS硬件独立设置。3SIS与DCS的区别SIS更关注对故障状态的反应速度，而DCS更关注的是过程处理。两系统设计的出发点不同，SIS侧重故障安全性组态，而DCS一般是非故障安全型。SIS与DCS的主要区别见下表所列。