安全联锁系统的可靠性及可用性分析
邵建设
邵建设先生，南京扬子石油化工设计工程有限责任公司工程师。
关键词：安全联锁系统 可靠性 可用性 双重化 三重化
安全联锁系统SIS(Safety Interlocking System) ， 也称紧急停车系统
ESD(Emergency Shut Down)，是对石油化工生产装置可能发生的危险或不采取措
施将继续恶化的状态进行响应和保护，从而保障石油化工企业的安全生产，避免
重大人身伤害及重大设备损害的仪表控制系统。在IEC(国际电工委员会)的标准
中，安全系统称为Safety Related System，它涵盖的范围非常广泛，适用于所有工
业如流程工业、核工业、航空业等；它可以由电动、气动或液动的各种元件构成；
它包含了影响安全的各种因素：如由仪表构成的自动保护系统、非仪表的其他安
全措施(工艺、设备设计改进，爆破膜等)、管理和操作人员的水平和规章制度等
都在内。
石油化工装置的安全系统是指由仪表及控制系统构成的自动保护系统，在美
国仪表学会标准ISA-S84.01 中称为安全仪表系统(Safety Instrumented System,
SIS)。SIS 主要由检测元件、逻辑运算单元、最终控制元件和它们间的连线组成，
同时包括人机界面、SIS 与过程控制系统间的通信等。
安全联锁系统能以符合安全要求的概率，在工艺过程中出现预先规定的故障
情况时，使过程处在安全状态。安全联锁系统在确保石油化工生产装置安全运行
中起重要作用，对于保障生产装置的安全运行以及设备、人员的安全是必不可少
的。
一 安全综合等级
为了规范安全系统的设置，简化和理论化系统结构中各部分的安全要求，IEC
提出了安全综合等级(Safety Integrity Level, SIL)的概念，通过对事故危险性的分析
和评价确认对安全系统性能的不同要求。根据对安全性能由低到高的要求，SIL
分为4 个等级SIL1、SIL2、SIL3 和SIL4。SIL 等级是选择、设计不同技术和结构
的安全系统的依据。
美国标准等同采用了IEC 的SIL 的概念，但在应用于流程工业的标准ISA
S84.01 中只承认SIL4 的存在，而不包括在SIL4 要求下如何实施安全系统的内容。
在IEC 标准之前，德国标准DIN V 19250 就对安全性要求的等级作出了自己
的规定，称为“安全要求等级”(Safety Requirement Classes)，符号为AK，按安
全要求从低到高分为8 个等级：AK1～AK8。
如表1 所示，列出了DIN、IEC 和ISA 3 个标准的安全要求等级对比情况。
我国目前还未制定相应的国家标准，石化行业的设计导则[(SHB-Z06-1999)
《石油化工紧急停车及安全联锁系统设计导则》]采用的是IEC 的SIL 概念，但称
为安全度等级。
在安全联锁系统的设计中，安全度等级是石油化工装置设计的依据，设计人
员应根据生产装置的安全度等级选择合适的安全系统技术和配置方式。安全度等
级可用于简化和理论化系统结构中各部分的安全要求，并使其定量化。
IEC61508 定义4 个安全度等级及每个等级的两个定量安全要求：对系统连续
操作的目标故障要求和对系统按照要求切换到安全功能的目标故障率要求，具体
指标如表2 所示。
随着安全标准的推出以及对安全系统重视度的不断提高，安全系统的认证也
变得越来越重要，安全联锁系统的设计思想、系统结构都须严格遵守相应国际标
准并取得权威机构的认证。在设置安全系统时，既要满足工业过程安全度要求，
又要保证可靠。因此，必须先要对具体的工业过程进行安全度的评价，由于目前
我国尚没有制定具体的安全等级划分的标准和设计规范，在设计中主要参照国际
上的有关标准，通用的国际标准有德国的DIN19250、DIN VDE0801；美国的ISA
S84.01 及国际的IEC61508/61511。目前，工程技术人员设计选型时采用的重要依
据是德国莱茵认证机构的T 烿许可证和根据IEC61508 定义的安全完整性等级
(Safety Integrity Levels, SIL)。
根据工业过程安全度的要求，用户可以选择取得相应认证的安全联锁系统，
但种类繁多，结构也不尽相同。如何根据装置的特点，选择一个合适的安全联锁
系统已成为安全联锁系统工程设计的关键。安全联锁系统设计的目的，首先要满
足装置的安全度等级，衡量标准在于它能否达到故障概率PFD(Probability of
Failure on Demand)，即在实现系统的安全功能上，为了达到装置的安全度等级，
系统需具有高的可靠性；系统的高可靠性必然使设备停车次数增多，降低系统的
可用性。在石化装置生产中，由于生产的连续化程度极高，设备停车可能造成重
大的经济损失，这就要求系统既具有高可靠性，又有高可用性。
一个安全联锁系统由现场检测、控制及执行单元3 部分组成。控制单元是安
全联锁系统的核心部分， 它的可靠性与可用性成为评价其性能的一个重要指标。
下面以控制单元为可编程电子线路(PE)的数字量输出卡件为例，分析结构不同的
系统对安全联锁系统可靠性、可用性的影响。
二 系统的可靠性与可用性分析
根据中国石油化工集团公司设计技术中心站标准(SHB-Z06-1999)《石油化工
紧急停车及安全联锁系统设计导则》中对有关术语的定义：
可靠性(R：Reliability)：安全联锁系统在故障危险模式下，对随机硬件或软
件故障的安全度，可靠性用概率表示时称为可靠度。
可用度(A: Availability)：系统可使用工作时间的概率，用百分数计算：
A=MTBF/(MTBF+MDT)，要使系统可用度增加，就要增加平均无故障工作时间
(MTBF)，或减少平均停车时间(MDT)。
本文以按要求模式执行指定功能的故障概率分析安全系统的可靠性。根据可
靠性工程理论，故障均属于随机事件，其概率分布有一定规律，仪表故障的分布
函数F(t)为：
F(t)=1－e-λt (1)
式中λ——故障率。
在仪表串联的情况下，整个仪表系统的故障率是构成系统所有仪表的故障率
的总和，即
λ系统=λ1+λ2+λ3+⋯ (2)
任何1 台仪表故障都会引起系统发生故障，仪表可靠度R(t)为：
R(t)=1－F(t)=1－(1-e-λt)= e-λt
系统可靠度R0(t)为：
R0(t)=e－(λ1+λ2+λ3+⋯)t=e－λ1te－λ2te－λ3t⋯
即R0(t)=R1(t)R2(t)R3(t)⋯ （3）
R1(t)、R2(t)、R3(t)⋯——串联系统中各仪表的可靠度。
在仪表并联的情况下，只有并联环节的所有仪表故障才会引起系统发生故障，
并联环节的可靠度R0(t)为：
R0(t)=1－(1－R1(t))(1－R2(t))(1- R3(t))⋯ (4)
式中R1(t)、R2(t)、R3(t)——并联系统中各仪表的可靠度
系统的可用度A 为：
A=MTBF/(MTBF+MDT) (5)
三 不同系统结构安全联锁系统的可靠性与可用性分析
随着安全联锁系统技术的发展，各供应商推出不同技术特点的可编程安全系
统，系统种类较多，但都具有如下特点：
(1)块化设计，包括输入、输出、中央处理、通信、电源等模块及I/O 总线等。
(2)有完善的自检功能。当检测到系统故障尤其是危险故障时能使系统回到安
全状态。
(3)系统硬件及软件取得相应等级的安全标准证书。
(4)具有顺序事故记录功能，并可与其他系统如DCS 通信。
安全联锁系统尽管种类较多，但其基本系统结构主要为双重化结构和三重化
结构。配置一种既提供高度综合可用性又能提供高可靠性的系统是安全联锁系统
工程设计中的重点。
1. 常见的双重化系统结构
(1)具有单I/O 模块和外接看门狗的双重化可编程电子线路(PE)：该配置包括<