在我国，功能安全还只是一个名词概念，尽管在工业控制领域有一定的推广，但是国内生产的电气仪表产品获得功能安全认证的还很少，尤其是作为安全仪表系统核心部件的逻辑运算器，目前尚无产品获得认证，这极不利于我国的国民经济发展和国家战略安全。本文结合基础标准IEC 61508，对安全仪表系统及其产品的功能安全设计进行了初步探讨。

　　一、安全仪表系统

　　安全仪表系统SIS(Safety instrument system)是指能实现一个或多个安全功能的系统。在IEC 61508标准中，安全仪表系统和紧急停车系统ESD(emergency shutdown device)、安全联锁系统 SIS(safety interlocks system)、仪表保护系统IPSinstrumented protective system)统称为安全相关系统SRS(safety related system)。

　　安全仪表系统是一种可编程控制系统，它对生产装置或设备可能发生的危险采取紧急措施，并对继续恶化的状态进行及时响应，使其进入一个预定义的安全停车工况，从而使危险和损失降到最低程度，保证生产·设备、环境和人员安全。

　　安全仪表系统通常应用于石油、化工等过程工业领域，但作为一种高度可靠的安全保护设施，它在其他行业也有较多应用，包括核电、航空、舰船以及高速铁路等系统。

　　根据IEC 61508标准，一套完整的安全仪表系统由传感变送器、逻辑运算器和最终执行元件构成。逻辑运算器作为核心部件，负责按照设定的逻辑进行控制，在一般具体的SIS产品中，安全仪表系统指的都是其中的逻辑运算器。

　　1.1基本特征

　　相比其他工业控制系统，如DCS、PLC等，SIS具有如下基本特征。

　　①一定的安全完整性等级

　　IEC 61508作为基础标准，充分考虑了安全仪表系统的整体安全生命周期，提出了评估安全仪表系统的安全完整性等级SIL(safety integrity level)的方法，规范了为实现必要的功能安全所使用的工具与措施。安全仪表系统的设计与开发过程必须遵循IEC 61508，并应通过独立机构(如德国TUV)的功能安全评估和认证，取得认证证书，才能在工业现场中应用。

　　②容错性的多重冗余系统

　　SIS一般采用多重冗余结构，以提高系统的硬件故障裕度，单一故障不会导致SIS安全功能的丧失。

　　③全面的故障自诊断能力

　　SIS的安全完整性要求还包括避免失效的要求和系统故障控制的要求，同时，构成系统的各个部件均需明确故障诊断措施和失效后的行为。系统整体诊断覆盖率一般高达90%以上。SIS的硬件具有高度可靠性，能承受大多数环境应力，如现场电磁干扰等，从而可以较好地应用于各种工业环境。

　　④响应速度快

　　SIS的实时性较好，一般从输入变化到输出变化的响应时间在10-50ms左右(此处指的是逻辑运算器的响应速度，不包括现场仪表和执行机构)，一些小型SIS甚至可达到几毫秒的响应速度。

　　⑤事件顺序记录功能

　　为了更好地进行事故分析与事后追忆，SIS一般具有事件顺序记录SoE(sequence of events)功能，即可按时间顺序记录各个指定输入刃输出及状态变量的变化时间，记录精度一般精确到毫秒级。

　　1.2冗余结构与典型产品

　　针对目前应用的SIS系统，其结构可划分为以下3类。

　　①二重化自诊断冗余结构

　　即1oo2D 结构，其自带完善的自诊断系统，由并联的2个通道构成，任何一个通道都可以执行安全功能。典型的例子是Honeywell公司设计的FSC系统和Moore公司设计的QUADLOG系统。

　　② 三重化表决结构

　　即2oo3/TMR结构，由并联的3个通道构成，其输出信号由3个通道的输出表决后得到，兼具安全性和可靠性。典型的例子是Triconex公司设计的TRICON系统和ICS Triplex公司设计的Regent系统。

　　③四重化冗余容错完全自诊断结构

　　即2oo4D/QMR结构，在诊断过程中，4个CPU分成2对，每对由2个CPU构成loo2D结构。当其中一个CPU被诊断出故障时，则该对CPU被切除，由另一对CPU继续以1oo2D的模式进行工作，这是在loo2D基础上的一种改进。目前只有HIMA公司设计的H4lq和H5lq系统采用该结构。