安全仪表系统（Safety instrumented System），简称SIS；又称为安全联锁系统，是指专门用在关键过程系统的仪表系统，其中包括了软件及硬件。

安全仪表系统主要为工厂控制系统中报警和联锁部分，对控制系统中检测的结果实施报警动作或调节或停机控制，是工厂企业自动控制中的重要组成部分，还包括测量仪表、逻辑运算器和最终元件、关联软件及部件，目前仪表保护系统、安全联锁系统、紧急停车系统、压力保护系统和火气保护系统等都属于安全仪表系统的范畴。2003年，国际电工委员会（IEC）发布了国际标准IEC 61511，此标准是过程产业的终端用户应用安全仪表系统的指南。

安全仪表系统有七大特点：一定的安全完整性等级。较高的可用性和可维护性。故障容许度的多重冗余系统。全面的故障自诊断能力。响应速度快。具备顺序事件记录功能。产品的功能安全设计。

特点

（1）以IEC61508作为基础标准，符合国际安全协会规定的仪表的安全标准规定。（2）具有覆盖面广、安全性高、有自诊断功能，能够检测并预防潜在的危险。（3）容错性的多重冗余系统，SIS一般采用多重冗余结构以提高系统的硬件故障裕度，单一故障不会导致SIS安全功能丧失。（4）应用程序容易修改，可根据实际需要对软件进行修改。（5）自诊断覆盖率大，工人维修时需要检查的点数比较少。（6）响应速度快，从输入变化到输出变化的响应时间一般在10—50ms左右，一些小型SIS的响应时间更短。（7）可实现从传感器到执行元件所组成的整个回路的安全性设计，具有I/O短路、断线等监测功能。

基本组成

安全仪表系统包括传感器、逻辑运算器和最终执行元件，即检测单元、控制单元和执行单元。SIS系统可以监测生产过程中出现的或者潜伏的危险，发出告警信息或直接执行预定程序，立即进入操作，防止事故的发生、降低事故带来的危害及其影响。

系统结构

SIS的主流系统结构主要有TMR（三重化）、2004D（四重化）2种。

（1）TMR结构：它将三路隔离、并行的控制系统（每路称为一个分电路）和广泛的诊断集成在一个系统中，用三取二表决提供高度完善、无差错，不会中断的控制。TRICON、ICS、HollySys等均是采用TMR结构的系统。

（2）2004D结构：2004D系统是有2套独立并行运行的系统组成，通讯模块负责其同步运行，当系统自诊断发现一个模块发生故障时，CPU将强制其失效，确保其输出的正确性。同时，安全输出模块中SMOD功能（辅助去磁方法），确保在两套系统同时故障或电源故障时，系统输出一个故障安全信号。一个输出电路实际上是通过四个输出电路及自诊断功能实现的。这样确保了系统的高可靠性，高安全性及高可用性。HONEYWELL、HIMA的SIS均采用了2004D结构。

功能和要求

安全仪表系统的基本功能和要求

1. 保证生产的正常运转、事故安全联锁（控制系统CPU扫描时间一定要达到ms毫秒等级）

2. 安全联锁报警（对于一般的工艺操作参数都会有设定的报警值和联锁值）

3. 联锁动作和投运显示

安全联锁系统的附加功能

1. 安全联锁的预报警功能

2.安全联锁延时

3.第一事故原因区别

4.安全联锁系统的投入和切换

5.分级安全联锁

6.手动紧急停车

7.安全联锁复位

原则要求

1.信号报警、联锁点的设置，动作设定值及调整范围必须符合生产工艺的要求。

2.在满足安全生产的前提下，应当尽量选择线路简单、元器件数量少的方案。

3.信号报警、安全联锁设备应当安装在震动小、灰尘少、无腐蚀气体、无电磁干扰的场所。

4.信号报警、安全联锁系统可采用有触点的继电器线路，也可采用无触点式晶体管电路、DCS、PLC来构造信号报警、安全联锁系统。

5.信号报警、安全联锁系统中安装在现场的检出装置和执行器应当符合所在场所的防爆、防火要求。

6.信号报警系统供电要求与一般仪表供电等级相同。

设计原则

传感器的设计原则

独立原则

冗余准则

最终执行元件的设计原则

阀门独立原则

阀门冗余准则

电磁阀配合准则

电动机启动器配合准则

逻辑单元的设计原则

逻辑单元独立原则

逻辑单元冗余准则

通信接口的设计原则

分级

IEC-61508将过程安全所需要的安全度等级划分为4级（SIL1- SIL4，)。

ISA-S84.01根据系统不响应安全联锁要求的概率将安全度等级划分为3级（SIL1-SIL3）。

鉴于我国目前的实际情况，一般通过对所有事件发生的可能性与后果的严重程度及其他安全措施的有效性进行定性的评估，从而确定适当的安全度等级：

1级用于事故很少发生。如发生事故，对装置和产品有轻微的影响，不会立即造成环境污染和人员伤亡，经济损失不大； 2级用于事故偶尔发生。如发生事故，对装置和产品有较大影响，并有可能造成环境污染和人员伤亡，经济损失较大。

3级用于事故经常发生。如发生事故，对装置和产品将造成严重的影响，并造成严重的环境污染和人员伤亡，经济损失严重。

参考资料

TRITON: The First ICS Cyber Attack on Safety Instrument Systems.NOZOMI NETWORKS.2024-01-30

安全仪表系统的概念及其主要特点.北京康吉森自动化技术股份有限公司.2024-01-30

TUV功能安全工程师必须掌握的IEC 61511标准解读.搜狐网.2024-01-30