石油化工安全仪表系统设计规范内容.doc

1．总则 1.1 本规范合用于新建、改扩建石油化工装置(或工厂)安全仪表系统的工程设计。石油化工厂公用工程及辅助设施等工程设计可参照执行。 1.2 安全仪表系统的工程设计必须满足石油化工装置(或工厂）安全等级的规定。 1.3 相关标准如下： IEC 61508 “Functional safety of electrical/electronic/programmable electronic safety-related systems.” IEC 61511 “Functional safety: safety instrumented systems for the process industry sector.” ANSI/ISA-84.01 Application of safety instrumented system for the process industries. DIN V 19250 Programmable safety system. IEC 61131 Programmable controller. 1.4 执行本标准时，尚应符合国家现行有关标准的规定。 2． 名词术语 下列术语合用于本规范: 2.1 危险故障 Dangerous Failure 指可以导致安全仪表系统处在危险或失去功能的故障。 2.2 安全仪表系统 Safety Instrumented System (SIS) 指能实现一个或多个安全仪表功能的系统。系统涉及传感器，逻辑运算器和最终执行元件。 2.3 安全度等级 Safety Integrity Level(SIL) 指用于描述安全仪表系统安全的等级，共4级 ， 4为最高级， 1为最低档。 2.4 最终执行元件 Final Element 指安全仪表系统的一部分，执行必要的动作，使系统达成安全状态。 2.5 逻辑功能 Logic Function 指将一个或多个输入信息转换为一个或多个输出信息的功能。 2.6 逻辑运算器 Logic Solver 指安全仪表系统或过程控制系统中完毕一个或多个逻辑功能的部件。 2.7 过程危险 Process Risk 指由过程引起的危险或由过程和过程控制系统互相干扰引起的危险。 2.8 可编程电子系统 Programmable Electronic System （PES） 指由一个或多个可编程电子设备组成，用于控制、保护或监视的系统。该系统涉及电源，中央解决单元，输入设备，数据高速通道和其它通信部件，输出设备等。 2.9 安全故障 Safe Failure 指不会导致安全仪表系统处在危险或故障状态。 2.10 过程控制系统 Process Control System(PCS) 指用于直接或间接控制过程及相关设备的控制系统，系统涉及分散控制系统（DCS）、现场总线控制系统（FCS）、可编程控制系统（PLC）等。 2.11 冗余 Redundancy 指为实现同一功能，使用多个相同功能的模块或部件。 2.12 容错 Fault Tolerant 指功能模块在出现故障时，仍能继续对的执行特定功能的能力。 2.13 表决 Voting 指系统中将每路数据进行比较和修正，用多数原则拟定结论。 例如：2OO3 （2 out of 3） 3取2 2.14 故障安全 Fail to Safe 指系统发生故障时被控制过程回到预定安全状态。 2.15 显性故障 Overt Fault 指可以显示自身存在的故障。 2.16 隐性故障 Covert Fault 指不能显示自身存在的故障。 2.17 平均故障间隔时间 Mean time between Failures(MTBF) 指相邻故障间隔的平均时间。（涉及平均失效时间和平均修复时间） 2.18 平均修复时间 Mean time to repair(MTTR) 指故障修复所需要的平均时间（涉及诊断，确认及等待时间） 2.19 平均失效时间 Mean time to failure (MTTF) 指功能单元实现规定功能失效平均时间。 2.20 可用性 Availability(A) 指系统可以使用工作时间的概率。 2.21 可靠性 Reliability(R) 指系统在规定的时间间隔内发生故障的概率. 2.22 传感器 Sensor 指用于测量过程变量的单一或组合设备（例如变送器，过程开关，位置开关等） 2.23 三取二2oo3 (2 out of 3) 系统故障时性能递减方式：3-2-O 采用三取二表决方式，即三个CPU中若一个运算结果与其它两个不同，该CPU 故障，其余两个继续工作；若其余两个CPU运算结果再有不同时，则无法表达出哪一个是对的，系统停车。 2.24 二取一带自诊断 1oo2D 1 out of 2 with Diagnostic 系统故障时性能递减方式：2-1-O 当一个CPU被检测出故障时，该CPU 被切除，另一个CPU继续工作；若第二个CPU再被检测出故障时，系统停车。 2.25 双重化二取一带自诊断 2oo4D 2 out of 4 with Diagnostic 系统故障时性能递减方式：4-2-O 系统中二个控制模块各有二个CPU，同时工作又相对独立。当一个控制模块中CPU被检测出故障时，该CPU 被切除，切换到2-0工作方式；其余一个控制模块中二个CPU以1oo2D方式投入运营,若这一个控制模块中再有一个CPU被检测出故障时，系统停车。 3. 基本原则 3.1 安全仪表系统独立于过程控制系统，独立完毕安全保护功能。 3.2 安全仪表系统涉及传感器，逻辑单元和最终执行元件; 当过程达成预定条件时，安全仪表系统动作，将过程带入安全状态。 3.3 根据对过程危险性分析，人员、过程、设备及环境的保护规定及安全度等级规定拟定安全仪表系统的功能。 3.4 安全仪表系统可按照安全度等级的规定分为1，2，3级。安全等级越高，安全仪表系统的安全功能越强。 3.5 安全仪表系统应设计成故障安全型。 3.6 安全仪表系统采用经TüV认证的可编程序控制器系统。 3.7 安全仪表系统应具有硬件和软件诊断和测试功能。 3.8 安全仪表系统构成应使中间环节最少。 3.9 安全仪表系统的传感器、最终执行元件宜单独设立。 3.10 安全仪表系统应能与过程控制系统、工厂管理系统进行通信。 3.11 安全仪表系统应提供独立于逻辑单元的手动设施，直接操作最终执行元件。 3.12 安全仪表系统应设计成当能源中断又恢复后，过程不应自动再起动。 3.13 当多个单元的保护功能在一套安全仪表系统内完毕时，其共用部分应符合最高安全等级规定。 3.14 安全仪表系统的人机接口宜与过程控制系统相同。 4．传感器 4.1 传感器的独立设立原则如下： 4.1.1 1级安全仪表系统，其传感器可与过程控制系统共用； 4.2.2． 2级安全仪表系统，其传感器宜与过程控制系统分开； 4.2.3． 3级安全仪表系统，其传感器应与过程控制系统分开； 4.2 传感器的冗余设立原则如下： 4.2.1． 1级安全仪表系统，可采用单一的传感器； 4.2.2． 2级安全仪表系统，宜采用冗余的传感器； 4.2.3． 3级安全仪表系统，应采用冗余的传感器； 4.3 传感器的冗余方式选用如下： 4.3.1 当重点考虑系统的安全性时，应采用“或”逻辑结构； 4.3.2 当重点考虑系统的可用性时，应采用“与”逻辑结构； 4.3.3 当系统的安全性和可用性均需保障时，宜采用三取二逻辑结构； 4.4 安全仪表系统的传感器输出信号宜采用4~20 mA.DC, 不宜采用开关信号。 4.5 安全仪表系统和过程控制系统共用一个过程变量时,可采用二个传感器。 4.6 安全仪表系统和过程控制系统共用一个传感器时，宜采用安全仪表系统供电。 5．最终执行元件 5.1 最终执行元件可以是安全仪表系统用的切断阀，与过程控制系统共用的控制阀或电动阀等。 气动控制阀或气动切断阀均应带接受安全仪表系统控制信号的电磁阀。 5.2 阀门的独立设立原则如下: 5.2.1 1级安全仪表系统，其阀门可与过程控制系统共用，应保证安全仪表系统的动作优先过程控制系统的动作； 5.2.2 2级安全仪表系统，其阀门宜与过程控制系统分开； 5.2.3 3级安全仪表系统，其阀门应与过程控制系统分开； 5.3 阀门的冗余设立原则如下: 5.3.1 1级安全仪表系统，可采用单一的阀门； 5.3.2 2级安全仪表系统，宜采用冗余的的阀门，如采用单一的阀门，配套的电磁阀门宜冗余配置； 5.3.3 3级安全仪表系统，应采用冗余的的阀门，配套的电磁阀门宜冗余配置； 5.3.4 冗余配置的阀门，可采用一个控制阀和一个切断阀,均带电磁阀； 5.4 电磁阀的设立原则如下: 1. 控制阀上的电磁阀应安装在阀门定位器与执行机构之间； 2. 电磁阀放空口应有防护措施； 3. 当重点考虑系统的安全性时，冗余电磁阀宜采用串联连接； 4. 当重点考虑安系统的可用性时，冗余电磁阀宜采用并联连接； 5．电磁阀应采用长期带电型，电磁阀电源应由安全仪表系统提供。 5.5 电动阀的配置原则如下: 1. 电动阀可共用于安全仪表系统和过程控制系统，可共用电动阀。 2. 电动阀不采用冗余配置，必要时可采用冗余的接点接入电气控制回路。 6.逻辑单元 6.1 安全仪表系统的逻辑单元可由继电器系统或可编程序电子系统构成,也可由其混合构成。 6.2 逻辑单元的技术选择原则如下: 6.2.1 继电器系统 继电器系统用于输入输出点较少、逻辑功能简朴的场合。 6.2.2 可编程序电子系统 (1) 可编程序电子系统用于下列场合： 1) 输入输出点较多； 2) 逻辑功能复杂； 3) 与过程控制系统进行数据通信； (2) 可编程序电子系统可以是可编程序逻辑控制器(PLC)、分散型控制系统(DCS)或其它专用系统。 6.3 逻辑单元的独立原则如下： 6.3.1． 1级安全仪表系统，其逻辑单元宜与过程控制系统分开； 6.3.2． 2级安全仪表系统，其逻辑单元应与过程控制系统分开；； 6.3.3． 3级安全仪表系统，其逻辑单元必须与过程控制系统分开； 6.3.4 专用的控制系统(如透平机控制系统)中有保护功能和控制功能，则该系统应符合安全度等级规定。 6.4 逻辑单元的冗余原则如下： 6.4.1 1级安全仪表系统，可采用单一的逻辑单元； 6.4.2 2级安全仪表系统，宜采用冗余的逻辑单元，其中央解决单元，电源单元，通信系统等应冗余配置，输入/输出模宜冗余配置。 6.4.3 3级安全仪表系统，应采用冗余容错的逻辑单元，其中央解决单元，电源单元，，输入/输出模块及通信系统等应冗余配置； 6.4.4 专用的控制系统(如透平机控制系统)中具有安全保护功能和过程控制功能，该控制系统宜采用冗余容错的逻辑单元。 6.5 安全仪表系统应具有符合安全度等级规定的故障诊断措施。故障诊断应涉及安全仪表系统的传感器、逻辑单元和最终执行元件。 6.6 采用冗余容错的逻辑单元时，其CPU应采用同步运营方式。 7. 通信接口 7. 1 安全仪表系统应支持标准化通信协议，冗余容错通信方式。 7. 2 安全仪表系统与工程师站通信采用RS232/RS422/RS485串行通信方式。 7. 3 安全仪表系统管理网络采用工业以太网通信方式。 7. 4 安全仪表系统与过程控制系统通信采用RS232/RS422/RS485串行通信方式； 过程控制系统为主站，安全仪表系统为从站。 7. 5 安全仪表系统输入到输出事件响应时间不超过200ms. 7. 6 安全仪表系统负荷不应超过50%。 8. 人机接口 8.1 操作员站 8.1.1 操作员站采用过程控制系统操作站； 1．显示因果表或逻辑控制画面； 2．显示系统状态管理信息； 3．完毕事件时序记录，瞬时或历史报警记录。 8.1.2 操作员站设计应保证在其失效时，安全仪表系统的自动功能不会受到影响。 8.1.3 操作员站不能修改安全仪表系统的编程软件 8.2 辅助操作台 8.2.1 用于安装紧急停车按钮，开关，信号报警器等。 8.2.2 信号报警器宜采用一体化的闪光报警器，逻辑单元宜采用插卡式模件。 8.2.3 灯光显示应采用闪光、平光或熄灭表达报警顺序的不同状态。 8.2.4 红色灯光表达越限报警或紧急状态; 黄色灯光表达预报警; 绿色灯光表达运转设备或过程变量正常。 8.2.5 通常情况下,宜选择区别第一信号记忆的闪光报警器（有SOE或历史记录的情况不设立）, 信号报警顺序如表8.2.5 表8.2.5 区别第一信号的闪光报警顺序 过程状态 第一信号的灯光显示 其余灯光显示 声响 备注 正常 不亮 不亮 不响 第一信号输入 闪光 平光 响 其余信号输入 按确认按钮 闪光 平光 不响 报警信号消失 不亮 不亮 不响 运营正常 按实验按钮 亮 亮 响 实验检查 8.2.6 一般信号报警采用DCS/PLC实现,重要报警联锁点除CRT操作站上显示外，在辅助操作台上设立独立灯光显示。 8.2.7 紧急停车按钮、开关、信号报警器等与安全仪表系统机柜用硬线连接。 8.2.8 紧急停车按钮宜采用红色,旁路开关宜采用绿色,确认按钮宜采用黑色,实验按钮宜采用白色。 8.3 工程师站 8.3 .1 工程师站应具有下述功能： 1.安全仪表系统编程组态及维护。 2. 对于安全仪表系统操作模式、程序、数据、测试、旁路及维护等进行访问的安全保护。 3. 用于安全仪表系统故障诊断，差错解决等。 8.3.2 工程师站采用台式PC机或便携式PC机。 9 过程接口 9.1 过程接口涉及输入输出卡、事件顺序输入卡、配电器、安全栅、开关、继电器等关联设备。 9.2 输入输出卡应带光电或电磁隔离，每个通道应互相隔离，带故障诊断。 9.3 若采用三取二过程信号应分别接到三个不同的输入卡。 9.4 当一个模拟信号同时用于安全仪表系统和过程控制系统时，宜采用信号分派器，将模拟信号分别接到安全仪表系统及过程控制系统。 9.5 安全仪表系统不采用现场总线通信方式。 9．6 输入输出卡相连接的传感器和最终执行元件应设计成故障安全系统。 10. 软件组态 10.1 软件组态 编程语言应符合IEEC 61131-3 工业标准。 10.2 软件组态的安全性 10.2.1 采用PROM或EPROM存储器存储应用软件，提供防止未被授权人员修改程序的功能。 10.2.2 软件应能在线修改及下装。 10.3 软件组态的审查 10.3.1 软件组态的程序应与逻辑图一致。 10.3.2 在系统投用前应对软件组态进行100%的功能测试。 10.4 软件组态文献 10.4.1 功能逻辑图 10.4.2 软件采用的重要参数及变量 10.4.3 软件程序说明，用户手册，使用说明等。 11 工程设计 11.1 可行性研究 11.1.1 根据工艺装置的安全度等级的规定，拟定安全仪表系统的级别和方案。 11.1.2 根据安全仪表系统级别的规定，拟定采用系统，一次元件及执行元件的原则。 11.1.3 编制安全仪表系统的功能说明。 11.2 基础工程设计 11.2.1 根据工艺安全功能说明或因果表，管道仪表流程图（P&ID）,拟定安全仪表系统输入/输出信号、清单，逻辑功能图。 11.2.2 编制安全仪表系统功能规格书。 11.2.3 编制安全仪表系统硬件配置图。 11.3 具体工程设计 11.3.1编制安全仪表系统技术规格书。 11.3.2 评审安全仪表系统报价书。 11.3.3 签定安全仪表系统协议及技术附件。 11.3.4 拟定软件组态所需数据，工程图纸等文献 11.4 应用软件组态、编译下载、调试投用 11.4.1 编制应用软件组态文献. 11.4.2 审查应用软件组态文献. 11.4.3 编译下装、生成，工厂验收测试（FAT）。 11.4.4 现场安装、调试，验收测试（SAT）。 附录A 安全仪表系统技术规格书编制大纲（建议） 1．范围 1．1 概述 1．2 目的 1．3 系统组成 2． 定义和缩写 2．1 定义 2．2 缩写 3．标准规范 3．1 国际、中国标准规范 3．2 工程规定 3．3 相关技术规格书 4．通用规定 4．1 系统环境 4．2 系统的可用性和可靠性 4．3 系统冗余 4．4 电源规定 4．5 接地 4．6 防雷保护 4．7 系统备件、负载和扩展规定 4．8 标准硬件和软件 5．硬件规定 5． 1系统总貌 5．2 认证 5．3 中央解决器规定 5．4 存储器 5．5 输入输出模件规定 5．6 事件顺序记录 5．7 安全网络规定 5．8 标准规定 5．9 人机接口 5．10 机柜规定 5．11 配线规定 5．12 光纤电缆规定 6． 功能规定 6．1 概述 6．2 标准规规定 6．3 事件顺序记录 6．4 系统复位 6．5 维护选择开关 6．6 操作选择开关 6．7模拟信号和报警 6．8 系统诊断规定 6．9 设备管理 6．10 控制阀测试 7． 组态规定 7．1 概述 7．2 组态服务 7．3 逻辑功能 7．4 组态系统 7．5 组态文献 8． 检查和测试 8．1 一般规定 8．2 工厂检查测试 8．3 现场检查测试 9． 项目管理和技术服务 9． 1 工程计划和管理 9．2 设计条件会 9．3 组态培训 9．4 工厂验收 9．5 包装运送 9．6 现场开箱，安装，通电和调试。 9．7 现场验收 9．8 系统投运 10．质量保证 10．1 质量保证程序 10．1 功能测试 10．2 测试范围 10．3 测试合格证书 10．4 ISO 9000质量标准 10．5 TüV 认证书 11．文献资料 11．1 工程设计文献 11．2 硬件说明书和手册 11．3 硬件合格证书 11．4 系统软件说明 11．5 组态编程文献 11．6 验收测试程序及报告 12．性能保证 12．1 硬件/软件 12．2 保修及维护 12．3 备件支持 附 I/O 清单 附安全仪表系统硬件配置图 附录B 缩写 PFD Probability of Failure on Demand 规定故障概率 PCS Process Control System 过程控制系统 PES Programmable Electronic System 可编程序电子系统 PLC Programmable Logic controller 可编程序逻辑控制器 PHA Process Hazard Analysis 过程危险分析 SIF Safety Instrumented Function 安全仪表功能 SIL Safety Integrity Level 安全度等级 SIS Safety Instrument System 安全仪表系统 MTBF Mean Time between Failures 平均故障间隔时间 MTTF Mean Time to Failure 平均故障时间 MTTR Mean Time to Repair 平均修复时间 E/E/PES Electrical/Electronic/Programmable Electronic System 电气/电子/可编程序电子系统 CPU Central Processing Unit 中央解决单元 TMR Triple Modular Redundancy 三重模件冗余 QMR Quadruple Modular Redundancy 四重模件冗余 TCP/IP Transmission Control Protocol/Internet Protocol 传输控制协议/以太网协议 DCS Distributed Control System 分散控制系统 FCS Fieldbus Control System 现场总线控制系统 FLD Function Logic Diagram 功能逻辑图 MOS Maintenance Override Switch 维护切换开关 PC Personal Computer 个人计算机 SER Sequence of events Record 事件顺序记录 TSO Tight Shut off 严密切断 ANSI America National Standard Institute 美国国家标准协会 IEC International Electrotechnical Commission 国际电工委员会 ISA Instrument Society of American 美国仪表学会 DIN Deutsch Industrial Normen (German Industrial Standard) 德国标准 FAT Factory Acceptance Testing 工厂验收测试 SAT Site Acceptance Testing 现场验收测试 HIFT Hardware Implement Failure Tolerant 硬件实现故障冗错 SIFT Software Implement Failure Tolerant 软件实现故障冗错 IEEE Institute of Electrical and Electronic Engineer 电气、电子工程师协会 TüV Technischer überwachungsverin (German body, translates to Technical inspection Agency) UPS Uninterrupted Power Supply 不间断电源 SOE Sequence of Event 事件顺序 SOV Solenoid Operated Valve 电磁阀 CCR Central Control Room 中央控制室 FOC Fibre Optic cable 光纤电缆 HART Highway Addressable Remote Transducer 高速通路寻址远程传输 HMI Human Machine Interface 人机接口 OPC Object Linked Embedding for Process Control (OLE for Process Control) 用于过程控制的对象链接与嵌入技术 本规定用词说明 本规定条文中规定执行严格限度不同的用词，说明如下： 1 表达很严格，非这样做不可的用词 正面词采用“必须”，反面词采用“严禁”。 2 表达严格，在正常情况下均这样做的用词 正面词采用“应”，反面词采用“不应或不得”。 3 表达允许稍有选择，在条件许可时一方面应这样做的用词 正面词采用“宜”，反面词采用“不宜”。 4 表达有选择，在一定条件下可以这样做的，采用“可”。 中华人民共和国行业标准 石油化工安全仪表系统设计规范 Code for the design of safety instrument system for petrochemical industry SHxxxx-2023 条文说明 1.2 安全仪表系统的工程设计涉及过程安全概念设计，危险及风险分析，拟定安全度等级（SIL），安全仪表系统功能设计，安全仪表系统技术规格书，安全仪表系统具体工程设计，安全仪表系统安装和调试，预投运检查分析，投运操作及维护程序，修改或更新等。 1.3 安全仪表系统的工程设计，除了应符合本规定外，尚应符合现行《爆炸和火灾危险场合电力装置设计规范》GB50058-92，《爆炸性气体环境用电设备》GB3836-2023（IEC-60079-1990）的有关规定。 1.4 IEC 61508 Functional safety of electrical/electronic/programmable electronic safety-related systems. 重要用于安全仪表系统制造。 IEC 61511 Functional safety：safety instrumented systems for the process industry sector. 重要用于安全仪表系统设计应用。 2.0 名词术语 重要参照IEC 61511-1 General framework, definition, system, software, hardware requirement .进行编制的。 3.1 安全仪表系统不同于批量控制、顺序控制及过程控制的工艺联锁。 当过程变量越限，机械设备故障，系统自身故障或能源中断时，安全仪表系统能自动（必要时可手动）地完毕预先设定的动作，使操作人员、工艺装置及环保带入安全状态。 安全仪表系统（SIS）也称为紧急停车系统（ESD），安全停车系统（SSD），安全联锁系统（SIS）或安全保护系统（SPS）。 3.3 对过程危险性分析，设备及环境的保护规定，安全度等级拟定不属于本规定的范围。 3.4 国外类似标准中将过程的危险或过程安全度进行了分级，如德国标准DIN V19250将过程危险定义为8级（TüV AK1∽AK8）；国际电工委员会IEC61508将过程安全度定义为4级（SIL1∽SIL4）；美国国家标准学会/美国仪表学会 ANSI/ISA-S84.01 将过程安全度定义为3级（SIL1∽SIL3）。 IEC61508定义的SIL4用于核工业中。 附表1 各种标准规范有关安全度等级划分对照表 IEC61508 SIL ANSI/ISA S84.01 SIL TüV AK DIN V19250 1 1 AK2,AK3 1,2 2 2 AK4 3,4 3 3 AK5,6 5,6 4 - AK7,8 7,8 附表2 安全仪表的性能规定（规定低的操作模式） 安全度等级 平均故障率 可用度 1 10-1∽10-2 90.00∽99.00% 2 10-2∽10-3 99.00∽99.90% 3 10-3∽10-4 99.90∽99.99% 附表3 安全仪表的性能规定（规定高或连续操作模式） 安全度等级 平均故障率 可用度 1 10-5∽10-6 99.999000∽99.9999000% 2 10-6∽10-7 99.999900∽99.9999900% 3 10-8∽10-9 99.9999900∽99.9999990% 安全度等级的拟定 -1级：装置也许很少发生事故。如发生事故，对装置和产品有轻微的影响，不会立即导致环境污染和人员伤亡，经济损失不大。 用于本级装置的安全仪表系统，需取得SIL-1级和TüV2-3级认证，对装置和产品起一般的保护。 -2级：装置也许偶尔发生事故。如发生事故，对装置和产品有较大的影响，并有也许导致环境污染和人员伤亡，经济损失较大。 用于本级装置的安全仪表系统，需取得SIL-2级和TüV4级认证，对装置和产品提供保护。 -3级：装置也许经常发生事故。如发生事故，对装置和产品严重将导致严重的影响，并导致严重的环境污染和人员伤亡，经济损失严重。 用于本级装置的安全仪表系统，需取得SIL-3级和TüV5-6级认证，对装置和产品提供保护。 4．传感器 4.1 传感器分开独立设立，指采用多台仪表或系统将控制功能与安全联锁功能隔离，即安全仪表系统与过程控制系统的实体分离。 4.2 传感器冗余设立，指采用多台仪表或系统完毕相同的功能，通过冗余提高系统的安全性或容错能力。 5. 最终执行元件 最终执行元件（切断阀，电磁阀）是安全仪表系统中危险最高的设备。由于安全仪表系统在正常工况时是静态的，被动的。系统输出不变，最终执行元件一直保持在原有的状态，很难确认最终执行元件是否有危险故障；在正常工况时过程控制系统是动态的，积极的，控制阀动作是随控制信号的变化而变化，不会长期停留在某一位置；因此，当符合安全度等级规定，可采用控制阀及配套的电磁阀作为安全仪表系统的最终执行元件；当安全等级为3级时，可采用一台控制阀和一台切断阀串联连接作为安全仪表系统的最终执行元件。 6. 逻辑单元 6.2 继电器系统通常只能解决开关量信号，不宜用于规定故障安全场合。 。 6.2.2 安全仪表系统故障有两种：显性故障（安全故障）和隐性故障（危险故障），当系统出现显性故障时，通过比较可立即检测出，系统产生动作进入安全状态。显性故障不影响系统的安全性，影响系统的可用性。当系统出现隐性故障时，只能通过自动测试程序检测出，系统不能产生动作进入安全状态。显性故障影响系统的安全性，不影响系统的可用性。 安全仪表系统应自动进行周期性的故障诊断。 6.4 安全仪表系统的逻辑单元结构选择（建议） 附安全仪表系统的逻辑单元结构选择表（建议） 逻辑单元结构 IEC61508 SIL TüV AK DIN V19250 1oo1 1 AK2,AK3 1,2 1oo1D 2 AK4 3,4 1oo2 2 AK4 3,4 1oo2D 3 AK5,6 5,6 2oo3 3 AK5,6 5,6 2oo4D 3 AK5,6 5,6 7. 通信 7.1 通信是指安全仪表系统内部，安全仪表系统与过程控制系统之间，安全仪表系统与工厂管理系统之间的信息传输。 通常采用对安全仪表系统进行只读通信或带写保护的读/写通信。 8．人机接口 8.1 操作员站是操作员与安全仪表系统之间信息通信的媒介，显示安全仪表系统有关状态信息。 8.2 辅助操作台是操作员与安全仪表系统之间通信的的媒介。辅助操作台安装紧急停车按钮，开关及信号报警器等。 8.3 工程师站是维护工程师进行软件组态，编程、下装、测试诊断等的设备。 9．过程接口 9.3 当安全性为重点时，宜采用二取一配置；当可用性为重点时，宜采用二取二配置；当安全性和可用性均应保证时，宜采用三取二配置。 9.6 安全仪表系统宜采用4~20 mA .DC 模拟信号，不采用现场总线、HART或其它串行通信信号。