SIS是Safety Instrumented System的简称,中文的意思是安全仪表系统, 它是根据美国仪表学会(ISA)对安全控制系统的定义而得名的。安全仪表系统(SIS)包括安全联锁系统、紧急停车系统和有毒有害、可燃气体及火灾检测保护系统等。简要的说，安全仪表系统(SIS)是指能实现一个或多个安全功能的系统。每个安全功能都能把事故发生的概率和风险降低到一个可以接受的水平。

配置示意图

安全仪表系统的分级

SIL分级 

SIL是Safety Integrity Level的简称，中文意思是综合安全级别也称为安全度等级。是美国仪表学会（ISA）在S84.01标准中对过程工业中安全仪表系统所作的分类等级，分为1、2、3三级：

SIL1级每年故障危险的平均概率为0.10～0.01之间；

SIL2级每年故障危险的平均概率为0.01～0.001之间；

SIL3级每年故障危险的平均概率为0.001～0.0001之间

SIL等级的确认 

1级：装置可能很少发生事故。如发生事故，不会立即造成环境污染和人员伤亡，经济损失不大。用于本级别的安全仪表系统，需取得SIL1级和TüV2-3级认证，对装置和产品起一般的保护。

2级：装置可能偶尔发生事故。如发生事故，对装置和产品有较大的影响，并有可能造成环境污染和人员伤亡，经济损失较大。用于本级别的安全仪表系统，需取得SIL2级和TüV4级认证，对装置和产品提供保护。

3级：装置可能经常发生事故。如发生事故，对装置和产品将造成严重的影响，并造成严重的环境污染和人员伤亡，经济损失严重。用于本级别的安全仪表系统，需取得SIL3级和TüV5-6级认证，对装置和产品提供保护。

安全仪表系统的组成

SIS系统的组成分为传感器部分、逻辑运算部分和最终执行器单元三部分。

传感器单元采用多台仪表或系统，将控制功能与安全联锁功能隔离，即传感器分开独立配置的原则，做到安全仪表系统与过程控制系统的实体分离。

最终执行元件（切断阀、电磁阀）是安全仪表系统中危险性最高的设备。

逻辑运算单元由输入模块、控制模块、诊断回路、输出模块4部分组成。

安全仪表系统的选型设计

设计的原则

SIS原则上应单独设置，独立与DCS和其他系统，并与DCS进行通信；

SIS应具有完善的诊断测试功能，SIS应采用经安全认证的控制器；

SIS关联的检测元件、执行机构原则上单独设置；

SIS中间环节应保持最少；

SIS应采用冗余或容错结构；

SIS应设计成故障安全型，I/O模件应带电磁隔离或光电隔离，每通道应相互隔离，可带电插拔；

来自现场的三取二信号应分别接到三个不同的输入卡；

当现场变送器信号同时用于SIS、DCS时，应先接到SIS系统后接到DCS系统；

采用SIS系统对变送器进行供电；

负荷不应超过50%；

电源应冗余配置；

采用等电位接地。

传感器及执行元件，正常工况应是带电（励磁）；非正常工况应是失电（非励磁）；

电磁阀冗余配置时，有两种连接方式：

    并联连接 -- 可用性好；

    串联连接 -- 安全性好。

SIS传感器设计选用

独立设置原则：     

                   1级  SIS传感器可与DCS共用；

                   2级  SIS传感器宜与DCS分开；

                   3级  SIS传感器应与DCS分开；

冗余设置原则：     

                   1级  SIS传感器可采用单一的传感器；

                   2级  SIS传感器宜采用冗余的传感器； 

                   3级  SIS传感器应采用冗余的传感器；

冗余选择原则:　　　

保证系统的安全性时，采用“或”逻辑结构；保证系统的可用性时，采用“与”逻辑结构；当系统的安全性和可用性均需保证时，采用“三取二”逻辑结构；传感器宜采用隔爆型的变送器（压力、差压、差压流量、差压液位、温度），不宜采用开关型传感器；传感器由SIS系统供电。

SIS逻辑运算器设计选用

SIS逻辑运算器：继电器系统，可编程序电子系统，混合系统三种；

继电器用于I/O点较少,逻辑功能简单的场合；

可编程电子系统用于I/O点较多,逻辑功能复杂，与DCS、MES通信等场合；

可编程电子系统可以是经TUV认证的PLC系统，也可是DCS和其他专用系统；

独立设置原则：  1级SIS逻辑运算器宜与DCS分开；

2级SIS逻辑运算器应与DCS分开；  

3级SIS逻辑运算器必须与DCS分开；

冗余设置原则：  

                1级SIS可采用单一的逻辑运算器；

                2级SIS宜采用冗余或容错逻辑运算器；

                3级SIS应采用冗余容错逻辑运算器；

SIS执行元件设计选用

执行元件：气动切断阀（带电磁阀），气动控制阀（带电磁阀），电  动阀或液动阀等。 

独立设置原则: 1级 SIS 阀门可与DCS共用，应确保SIS优先于DCS动作；

              2级SIS阀门宜于DCS分开；

              3级SIS阀门宜于DCS分开；

冗余设置原则：1级 SIS 可采用单一阀门；

              2级宜采用冗余阀门；如采用单一阀门，电磁阀宜冗余配置；

              3级宜采用冗余阀门；可采用一个控制阀和一个切断阀；

电磁阀设置原则：电磁阀应采用长期带电，低功耗，隔爆型；由SIS系统供电。

SIS与DCS的区别

SIS与DCS在石油、石化生产过程中分别起着不同的作用，如下图所示：生产装置从安全角度来讲，可分为3个层次：第一层为生产过程层，第二层为过程控制层，第三层为安全仪表系统停车保护层。

SIS系统的配置方案

上位机：

工程师兼操作员站、工业组态软件、报表打印机、UPS电源、联网设备

安全控制器：

GE PAC8000、西门子S7-400FH

现场安全仪表：

压力变送器、气体检测（有毒或可燃）、温度变送器、阀门、泵、ESD按钮

辅助操作盘：

指示灯、启停按钮、ESD按钮、旁路开关

供电部分：

SIS系统的供电分系统供电、安全控制器供电、现场仪表供电。系统供电主要是220VAC，要求由两路供电实现，一路是市电进入到UPS，由UPS供电（要求高的SIS系统，UPS系统要冗余配置），另外一路是业主方提供的发电机供电，两路供电经过冗余电源开关，同时对内供电；

安全控制器供电主要是由安全控制器厂家提供的开关电源，开关电源要冗余配置，两路交流220VAC进，一路直流电输出（一般有5VDC、12VDC等直流输出）；

现场仪表供电主要是由安全控制器厂家或其它厂家提供的开关电源，开关电源冗余配置，两路交流220VAC进，一路直流电输出（一般24VDC等直流输出）；

上位机部分：

SIS系统的上位机部分主要作用是监控安全控制器的运行、现场安全仪表的运行、记录安全仪表的历史数据及开关输入变化记录（又叫SOE），具备报表打印及参数设置等功能，对SIS系统的作用是非决定性的，出现异常时，不由上位机发出指令，即使没有上位机也不影响SIS系统安全控制。所以对计算机、工业组态软件等配置要求不高。

安全控制器部分：

SIS系统的安全控制器配置必须要符合安全等级的设计要求，如果设计要求安全等级要达到SIL2，那么安全控制器的所有设备必须取得SIL2的认证，否则就不能采用。目前国内的大部分SIS设计的安全等级要求都是SIL2以上，所以所配的安全控制器除了要取得认证，同时控制器的CPU、通讯模块、电源模块等要采取冗余配置、I/O模块要采用安全型的。