SIS系统管理的核心要点及几个关于SIL的误区

SIS系统管理的任务是通过加强专业技术管理，保持SIS系统设备的完好状况，保证安全生产，减少非计划停工，避免重大设备及人身伤亡事故的发生，提高公司整体经济效益。那么日常维护和管理我们应该怎么做呢？

-01-

前期管理

SIS联锁保护系统的前期管理是指规划、设计、选型、购置、安装、投运阶段的全部管理工作，是全过程管理的重要部分。为使寿命周期费用最经济、综合效率最高，必须重视前期管理工作。

对设计选型的可靠性、维修性、适用性、经济性、先进性、安全性提出要求。SIS联锁保护系统设计应符合《GB 50770-2013 石油化工安全仪表系统设计规范》。

严格进厂质量验收程序，进口设备应有必备的维修配件。设备管理部应参与SIS联锁保护系统的购置，并负责或参与技术协议的签订工作。

设备管理部应负责或参与仪表设备工程项目的竣工验收等方面的工作。竣工验收必须按设计要求及相关规范进行。要做到竣工资料齐全，工程竣工验收资料应包括：

（1）工程竣工图（包括装置整套仪表自控设计图纸及竣工图）。

（2）设计修改文件和材料代用文件。

（3）隐蔽工程资料和记录。

（4）SIS联锁保护系统安装及质量检查记录。

（5）电缆绝缘测试记录。

（6）接地电阻测试记录。

（7）仪表风和导压管等扫线、试压、试漏记录。

（8）SIS联锁保护系统和材料的产品质量合格证明。

（9）SIS联锁保护系统校准和试验记录。

（10）回路试验和系统试验记录。

（11）SIS联锁保护系统交接清单。

（12） 警、联锁系统调试记录。

（13）SIS联锁保护系统组态记录工作单。

（14）未完工程项目明细表等。

（15）SIS联锁保护系统说明书。

其中：（1）、（2）、（10）、（15）内容除档案部门外还应交给SIS联锁保护系统维护部门、SIS联锁保护系统管理部门及使用单位。

SIS联锁保护系统投用前，使用单位和/或维护单位应根据设备的特点编制相关规程，开展技术培训、事故预案演练等工作。

-02-

系统管理

由于工艺过程原因需临时停运SIS联锁保护系统，必须由工艺装置负责办理，经生产装置主任同意签字，各车间负责SIS联锁系统投切的专职人员负责实施。由于仪表原因需检修，临时停运SIS联锁保护系统，由仪表专业人员办理，经生产装置主任同意签字后方可进行作业。因以上两种原因临时停运的SIS联锁保护系统，必须限期恢复，双方作好备案。

由于工艺过程原因的由工艺装置负责办理，由于仪表原因的由仪表负责办理，仪表专业人员执票作业。生产技术部、工艺装置、设备部存档。

新增SIS联锁保护系统，需经公司设备管理部向电仪车间下达任务书和图纸、资料，由各装置设备部仪表专业负责执行。

在摘除SIS联锁保护前，必须由生产装置工艺人员制定预案并采取相应措施，并经两名及以上仪表作业人员确认，然后摘除联锁。摘除联锁后要检查确认。

仪表专业人员处理SIS联锁保护系统中的问题时，事先必须确定联锁解除方案，采取可靠措施，对程序进行修改、增删，还必须保证不影响DCS、PLC、SIS的正常运行。对于处理问题过程中涉及的检测仪表、开关、继电器、联锁程序、执行器及其附件等，必须有两人以上确认核实，并有专人监护，然后严格按照操作规程进行作业。

SIS联锁保护系统的操作开关、按钮均由车间指定人员操作。

SIS联锁保护系统所用检测元件、逻辑单元、执行元件，必须随装置、机组大检修进行检修、校验。

SIS联锁保护系统仪表、设备及附件等，必须有明显的红色联锁标记；紧急停车按钮、开关，应设防护罩。

根据储备标准和备品配件管理规定，联锁保护系统必须储备足够的备品配件，联锁保护系统的供电系统元器件、一次检测元件、逻辑单元、执行单元仪表等必须按规定的使用周期定期更新。

-03-

日常维护

全面检查SIS控制系统硬件的状况，将异常情况做好记录，并列入下次检修项目：

全面检查SIS控制系统软件的状况，将异常情况做好记录，并列入下次检修项目：

运行期间维护项目

检修前，应按SIS控制系统的正常停电程序停运设备，关闭电源，拔下待检修设备电源插头；

机柜检修：（1）机柜除尘，对每个需清扫的模件的机柜和插槽编 ，跳线设置作好详细，准确的记录。清扫模件，散热风扇等部件；模件检查完毕，机柜，机架和槽位清扫干净后，按照模件上的机柜和插槽编 将模件逐个装回到相应槽位中，就位必须准确无误，可靠；（2）检查SIS控制系统后备电池，电量不足应及时更换新电池；（3）模件检查内容：SIS控制系统各模件中的电子元器件应无烧痕，破损现象；元件间连接插针应无变形，磨损；对模件安装底板变形的插针进行矫正，插针断裂的底板应进行更换；检修后要求底板固定牢固，插针完整，无变形和断裂；检查SIS控制系统的所有I/O柜及中间柜的通信电缆接头，分离器和分支器等应连接良好，特别是接头内的屏蔽线须固定扎实；恢复系统，检查各I/O模件，回路接线和插件应紧固无松动，各设置开关（DIP开关）和跳线设置正确；（4）确认电缆接线正确后，恢复供电；检查风扇转向正确，各模件指示灯正常，并在显示器上确认SIS控制系统通信正常，无 警和出错信息；

工程师站、操作站检修：（1）工程师站、操作站除尘， 清扫机壳内，外部件及散热风扇。清扫后应清洁，无灰，无污渍，散热风扇转动灵活。（2）接通电源启动后，设备应无异音，异味等异常现象发生，能正常地启动并进入操作系统，自检过程无出错信息，各状态指示灯及界面显示正常；检查散热风扇转动应正常无卡涩，方向正确；显示器画面应清晰，按钮功能正常；鼠标应灵活无滞涩，响应正确；键盘的各键应反应灵敏，响应正确；（3）启动应用系统软件过程应无异常，无出错信息提示；（4）检查各操作员站、工程师站和服务站的用户权限设置，应符合管理和安全要求；

对于有防静电要求的设备，检修时必须做好防静电措施，工作人员必须带好防静电接地腕带，并尽可能不触及电路部分；拆卸的设备应放在防静电板上，吹扫用压缩空气枪应接地；

吹扫用的压缩空气须干燥无水，无油污，压力应控制在0.05MPa左右；清洁用吸尘器须有足够大的功率，以便及时吸走扬起的灰尘；设备清洗须使用专用清洗剂；

络及接口设备检修：（1）更换故障 线或光缆；检修后通信电缆应无破损，断线，光缆布线应无弯折； 线或光缆应绑扎整齐，固定良好；（2）对交换机、转发器、光端机等 络设备内、外进行清扫、检修，紧固接线；检修后设备外观应清洁无尘、无污渍，各连接线或电缆的连接应正确、无松动、无断线；各接插头完好无损，接触良好；（3）通电后，检查模件指示灯状态或通过系统诊断功能，确认通信模件状态和通信总线系统应工作正常，无异常 警。冗余总线应处于冗作工作状态，交换机、转发器、总线模件等通电后指示均应显示正常。查看每个控制系统，所有I/O通道及其通信指示均应正常；

模件电源、系统电源和机柜电源检修：清扫电源设备和风扇， 检修后设备应清洁无灰，无污渍；根据记录标记插好所有插头并确认正确后上电。

上电检查试验：

操作员站冗余切换试验：（1）对于并行工作的设备，如操作员站等，停用其中一个或一部分设备，应不影响整个计算机控制系统的正常运行；（2）对于冗余切换的设备，当通过停电或停运应用软件等手段使主运行设备停运后，从运行设备应立即切换备用设备运行状态；（3）按同样方法进行反向切换试验；（4）上述试验过程中，除发生与该试验设备相关的故障 警外，系统不得发生出错，死机或其他异常现象，故障诊断显示应正确。

主控制器和模件冗余切换试验：（1）选择下列方法进行主控制器或模件的冗余切换试验：取出主运行的主控制器或模件的保险；将主运行的主控制器或模件拔出（模件可带电插拔时）。按同样方法进行反向切换试验；（2）试验过程中，系统应能无扰动切换到备用控制器或模件运行，故障诊断显示应正确，除模件故障和冗余失去等相关 警外，系统应无任何异常发生。

通信总线冗余切换试验：（1）投切通信 络上任意节点的设备，总线通信应正常；

（2）在通信 络任意节点上轮流切断节点设备与总线间的某一通信连接线，系统应无出错、死机或其他异常现象；（3）选择下列方法，进行通信总线冗余切换试验： 切断主运行总线模件的电源；拔出主运行总线的插头； 断开主运行总线电缆或终端匹配器；（4）同样方法进行反向切换试验；（5）试验过程中，通信总线应自动切换至冗余总线运行；指示灯指示和系统工作应正常；检查系统数据不得丢失、通信不得中断、故障 警正确、诊断画面显示应与试验实际相符。

模件、系统或机柜供电冗余切换试验：（1）模件、控制系统及机柜的冗余供电系统，应逐一进行冗余切换试验：切断工作电源回路，检查备用供电须自动投入；对于冗余供电系统，切断任一路供电；按同样方法进行反向切换试验；（2）上述试验过程中，控制系统应工作正常，中间数据及累计数据不得丢失，故障诊断显示应正确，系统不得发生出错、死机或其他异常现象。

模拟量输入（AI）通道测试：用相应的标准信 源，在测点相应的端子上分别输入量程的0、25%、50%、75%、100%信 ，在操作员站或工程师站读取该测点的显示值，确保测量设备及测量回路能正常工作。

脉冲量输入（PI）信 测试： 用标准频率信 源，在测点相应的端子上分别输入量程的10%，25%，50%，75%，100%信 ，在操作员站或工程师站读取该测点的显示值，确保测量设备及测量回路能正常工作。

模拟量输出（AO）信 测试：通过操作员站（或工程师站，或手操器），分别按量程的0，25%，50%，75%，100%设置各点的输出值，确保自保设备动作正常。

开关量输入（DI）信 测试：通过短接/断开无源接点或加入/去除电平信 分别改变各输入点的状态，在操作员站或工程师站（手操器）上检查各输入点的状态变化，确保正确无误。

开关量输出（DO）信 测试

-04-

档案管理

设备管理部必须定期组织仪表、电气、机械等专业人员会同生产装置认真复查、审定各装置SIS联锁保护系统的相关技术资料，建立健全SIS联锁保护系统的技术档案。

关于SIL的几个误区

1

安全仪表系统只有定级，没有验算

安全仪表系统的定级是简单的再没法简单的事儿，但是看 告总会有一些让人哭笑不得的错误。暂且不表，说说验算这事儿，其实在管理规范的省市，定级和验算早已完成，验算不合格的也整改完成，但是还有部分小地方，只定级不验算，原因是116 文上没出现“验算”两个字，过于教条。116 文上的“评估”就是定级+验算。没验算你怎么说明你的SIS是合格的呢。

2

关于定级和验算资质问题

有些企业错误的认为SIL定级和验算只能是设计单位做，其实据我所知 ，有做SIL定级和验算能力的设计单位还真不多，像国内顶级的设计院，例如SEI,有专门的这个专业，他们几乎全部取TUV功能安全工程师，还有北京康吉森，几乎全员取证。 相反，绝大部分设计单位没有取得这种资质，验算 告附个设计资质，怎么不附个结婚证呢？另外提一句，不是所有写着“功能安全工程师”证的纸都是有用的。一般 SIL定级和验算是第三方机构或者一些安全机构，只要取得TUV功能安全工程师资质就可以。相同，HAZOP分析也一样。

3

验算过于依赖软件

现在的验算 告过于依赖一些软件，目前全球最权威的软件是exida.但是exida的数据库一定对吗，其实也不竟然，具体原因我前面帖子说过。另外，决定一个系统可靠性和可用性的关键因素并不是你用什么仪表用什么阀门，而是仪表的搭配，这些都是软件中不可能有的，全部用SIL3的仪表和切断阀，回路可能是SIL0。

4

过于追求安全等级

安全的等级是搭配出来的，并不是用的仪表是SIL2，回路一定是SIL2,这是基础性概念错误，就像有些定级，觉得工艺越危险，那SIL等级就越高，完全错误。很危险的工艺，只要有足够的独立保护层，完全可以是SIL0。不是很危险的工艺，没有保护层，也可能是SIL2.相同SIL的验算也一样。 对一个安全仪表系统来说，细节是关键，核心的地方是电源和接地，这两个地方可以导致整个系统的瘫痪或者装置的飞车。比如安全仪表系统接地错误，这个小小的失误，可能会导致整个系统毁灭。还谈什么安全等级。这都是安全仪表系统定级和验算所要体现出来的。

5

可用性和可靠性的设计

可用性和可靠性是一对矛盾的概念，但是在验算中必须明确给出这个数据来，可靠性再高，没有可用性也不是一个合格的回路。 在SIL验算中必须给出PFDavg和MTTFs，只有这两个值都合格了，才是一个合格的回路。SIL等级再高，MTTFs过低也没有用，毕竟，我们买SIS系统是用的，而不是供起来看的。

声明