管理概论
随着安全标准iec61508和更新近的对于过程工业的标准iec61511的发表，越来越多的用户开始对执行严格的危害风险评估和应用经认证的安全仪表系统（sis）感兴趣。由于用户安全知识的不断增加，他们正更加集中关注于能够自动监测和测试现场设备的安全性。用户们想要他们的安全仪表系统（siss）通过与控制系统集成，进行更少的验证测试和具备可升级的体系，来更经济地满足他们的需求。他们也在寻觅更多的性能以便修改基础过程条件的警报限制，找寻在紧急情况下进行有序停车的步骤。由于过程工业的安全标准iec61511的出台，迫使用户们将经济有效的安全措施作为首要的考虑对象。
对于安全关注的增加
现场设备的自动监测和测试
与控制系统更紧密的集成
增加的机动性和伸缩性
增加的功能性以应对不断变化的过程状态
运用工业标准操作系统
过程安全的主要发展趋剪
当前，sis故障zui主要的原因是现场设备的问题并非逻辑控制装置的问题。防护系统需要通过检查整个设计中全部现场设备的情况来了解安全回路的状况。故而，是否有能力提供从传感器到执行机构的整套集成安全方案应该是选择sis时的一个重要的考察标准。
现有的控制阀发生导杆卡死和密封故障的可能性很小。tuv认证的阀门控制器和执行机构也在市场中有售。作为一个完整的设计，sis设计应该包括限制阀门活动测试。
供应商现在为控制系统和sis提供了相似的系统，它们包括了相似的配置程序，设计语言和维护程序。这两个系统相互集成但又有充分的保护措施来防止同时瘫痪。应该选择一种逻辑控制装置灵活并且功能强大的系统。
选择一种将现场设备状态信息集成到逻辑中的系统是非常重要的。用户应该选择一种提供配置，操作和维护环境清晰集成同时又需要将安全和控制部分分离的系统。用户应该确定其选择的系统符合安全标准同时又尽可能不付出太大的代价。
*先的是降低风险
在接近工厂和机械极限的情况下操作
瞬时操作状态（开车、停车、换班、工作动力转变）
使用有害原材料
制造有害中间体
使用未经训练的员工
缺乏安全教育
增加风险的因素
风险常常被定义成一个意外事件的频率和危害性的组合。即事故发生的周期长短和事故的严重程度。制造业操作中事故及其风险的例子包括了死亡或断肢，环境影响，资本设备损坏和生产中断。对于许多生产商来说，损坏公司形象也是一个重要的风险因素。与此同时，环境意识、对于法规的关注、诉讼的威胁也在不断地增加，所以，显而易见，降低风险对于绝大多数制造商来说越来越重要。
降低制造车间内风险的*方式是设计本质安全的过程。然而，在当今的制造工业环境中，本质安全是很难达到。在哪里储存，加工或处理有毒有害物质，哪里就有风险。
既然要*消除全部的风险是不可能的，制造商就必须认同一种相对可以容忍的风险等级。在鉴定完危害后，危害和风险研究应通过考量可能性和危害性评估每个风险的情况。所在地的情况，例如人口密度，工厂内的交通网络和气象情况也应在风险评估时列入考虑事项之列。
更高的环境意识
日益增加的法规事项
安全标准的出台
维护公司形象
降低风险的驱动力
一旦危害和风险研究确定了风险的属性，就可以评定它们是否在可以接受的等级之下。带有过程警报和人为干涉设备的基础过程控制系统可以提供*层的保护来降低制造设备中的风险。当基础控制系统不能将风险降低到一个可以容忍的等级的时候，就需要动用附加的保护措施。它们包括带有硬件连锁，卸压阀和密封盘的安全仪表系统。为了有效地工作，各保护子系统应全部相互独立运作。
安全标准指导*操作
随着安全标准iec61508和更新近的对于过程工业的标准iec61511的发表，越来越多的用户开始对执行严格的危害风险评估和应用经认证的安全仪表系统感兴趣。这些标准指导我们进行*的操作，给我们提供了建议。但是这并没有免除用户们的安全责任。这些标准针对的并不仅仅是技术问题，而是包括了计划、管理和评估所有旨在提高安全性的活动，这些活动贯穿于整个系统生命周期。
iec61508
由电工委员会（iec）发表的安全标准iec61508可以应用在广泛的工业和应用领域，该标准主要是为供应商缩写的。iec61508由七个部分构成，起先的部分是针对特殊系统的总体安全要求，软件要求和应用指导。该标准是通用的，可以作为“standalone”标准在工厂直接使用；也可以作为工业专业标准的发展基础在标准组织中使用。这些工业专业包括了机械部门，过程部门或原子能部门。在评估一个安全系统时，建议用户选择一个经过如tuv或fm之类独立第三方认证的系统。
应当注意，独立组织的认证也应由用户安全手册进行平行的再检查。该手册是一个定义sis部件使用限制的文件。
对于好的安全系统，手册是非常薄的，带有zui少量的限制。而要注意厚的安全手册，它意味着在sis使用过程中有许多复杂之处和限制。
安全完整性等级
安全完整性定义为安全仪表系统在特定阶段的所有状态条件下顺利地执行所需的安全功能的可能性。安全完整性等级（sil）被定义为完成安全功能所需的安全完整性要求的离散等级。安全完整性等级源于风险的评估，它不是风险的度，而是系统预期可靠性或功能的度量。
注意：
需求模式：在此模式下，对于过程或其它条件做出反应措施（每年不超过一次）
连续模式：执行连续控制来维护功能性安全的功能
iec61511:过程工业的安全等级
iec61511是专门针对过程工业中的zui终用户的。该标准为所有的用户提供的安全操作方法以完成现代的sis。相比iec61508的七个部分,iec61511只有三个部分:
**部分:框架，定义，系统，硬件和软件要求
*第二部分:应用指导方针
*第三部分:关于确定所需安全完整性等级的指导
iec61511的*部分主要是规范性的，而第二和第三部分是提供资讯的。iec61511*部分中的标准构建忠于安全生命周期模型。危害和风险分析运用了保护层的概念并对于标准iec61508中提出的安全完整性等级概念做了详细的说明。*部分还罗列了当制定安全要求规范时所要注意的关键问题。诸如分离，一般起因，故障检测反应，硬件可靠性和在使用中证明等问题也都在*部分中有所阐述。
*部分还包括了软件安全要求规范，该规范针对的是以下事项，如体系结构、硬件之间的关系、安全仪表功能、安全完整性等级、软件确认计划、支持工具、测试、集成和修正。另外，该部分中有一节是有关于工厂接受性测试要求的，而另有一节罗列了安装和试车的要求。
标准的第二部分提供一整套指导方法来规范、设计、安装、运行和维护*部分中所定义的安全仪表功能和相关安全仪表系统。该部分主要借鉴了isa技术报告dtr84.0.02，该报告提供了计算安全仪表系统性能的技术指导。
标准的第三部分提供了过程危害和风险分析技术的发展方法。它提供了风险的基本概念，安全完整性和风险关系和可容忍风险的确定方法的相关信息。早先提出的安全标准ansi-isa-84将会在很大程度上依照iec61511进行更新。
标准iec61508和iec61511之间的主要差别
安全仪表系统的主要发展趋势
随着生产商越来越具备安全问题的相关知识，他们正在实行更加*的危害和风险分析以地确定他们的需求。他们将目光投向了安全以期达到降低风险的目的。他们想通过将安全和控制系统更加紧密的集成来让sis更经济地完成使命。他们也在寻求具有更多伸缩性的机动体系，可以根据过程条件修正警报极限的增强功能和可以在紧急情况下有序停车的程序。
对于安全关注的增加
sis故障zui主要的原因是现场设备的问题而并非逻辑控制装置的问题。人们在发展带有表决电路和诊断功能的逻辑控制装置的道路上已经有了很大的进步。然而，超过90%的故障起因与逻辑控制装置无关，而是传感器和执行机构造成的。
当前的保护系统需要满足检查i/o和现场设备的需求。事实上，需要将i/o构件监测结合到其整个设计中去。例如:
*传感器的确认
*环境条件监测，诸如可以导致传感器性能退化的温度和湿度
*传送器漂移
电子构件的普通故障经常是由环境条件引起的。
许多电子设备暴露在过高的湿度和温度条件下时会出现故障，所以这些条件应被密切监视。传感器的刻度也成为了sis整体的一个部分。运用例如hart和通常的基础总线等开放协议可以允许进行远程监测，诊断和确认。
1.集成的状态数据从现场设备进入逻辑控制装置
2.当输入量不可靠时，降低从现场输入/设备出来的信号质量
3.比较数字和模拟量以确定输入量的有效性
过程安全的一种集成途径
当前，高性能阀技术也正在被使用。在安全应用领域中，对阀装配状态不进行自动诊断的阀门控制器的使用使得进行现场检查的工作量增大。控制阀发生导杆卡死和密封故障的可能性很小。tuv认证的执行机构和阀门控制器现在市场中可以买到，可以测试和诊断它们的状态。作为一个完整的设计，sis设计应该包括限制阀门活动测试。
现场设备的自动监测和测试
现在可以在市场中买到经认证的智能传感器和zui终控制元件，它们能将各自的状态报告给逻辑控制装置。这就使得及时更换故障传感器或在表决策略中忽略故障传感器输出值的机会大大增加。而且，zui终控制元件的相关故障也能被更快地诊断以防止危险的情况出现。
运用智能的阀门控制器还能进行局部冲击实验。这种实验得到的诊断程序内容比人工实验要丰富得多，而且可以避免在现场进行人工实验时操作人员所冒的风险。此外，在该实验进行时，阀体不必从安全系统中移出。
标准iec61511要求sis中的所有部件都要经过离线的，*的测试;测试的间隔决定于所用的部件和所需的sil。使用这些自动测试技术，再加上已经独立校验可靠性数据的经认证的设备，使得检验测试的间隔可以大大地拉长。这将使得工厂运行的时间有所增加。
与控制系统集成但又彼此独立
许多制造公司将安全用的控制器*独立于控制与优化用的控制器。sis中所用的控制器是由专门的制造商提供的，加入了大量的诊断功能，并经过了tuv的安全认证。在以前，很难在安全和控制系统中使用*不同的系统。一些用户甚至将控制系统和sis系统委托给不同的制造商。
由不同的控制器分别执行安全和控制功能发生将有许多其他的好处。
它们包括:
*独立的故障——将控制系统和sis同时发生故障的风险降到了zui小。
*安全——防止控制系统中的变化导致任何sis系统的变化或故障
*安全控制器的不同要求——安全系统一般设计使故障发生在安全的方式条件下，而基础过程控制系统通常要追求利用率zui大化。sis还具有一些特殊性质，如丰富的诊断功能，特殊软件错误检查，受保护数据的存储和容错。
标准iec61508在这个问题上多少有不明确的地方。它强烈建议两种系统分离但又没有做强制耍求。当前，许多用户发现使用相似的系统来执行控制和安全功能有其合理性，因为这样可以减少使用不同设计程序、语言、安装要求和维护程序所带来的问题。使用不同的程序会引起认为的失误和可能的安全问题，这样的风险始终是存在的。
使用相似系统所带来的经济利益也是很明显的。其降低了对于设备使用范围和质量上的要求，所以也减少了硬件、配置、人员训练和库存方面的成本。此外，这还免除了使用不同系统时所需要的不同技术服务和支持的负担。
通用的数据镜像
增加的安全性
在工作等级上控制和安全环境的形象差别
适当的访问保护
可以显著降低集成的难度
安全系统和控制系统加强集成后的好处
当今一些控制和sis系统供应商提供了相似的系统来执行两种功能。这些系统具备了相似的人机界面，配置程序，设计语言和维护程序。关键的是要在两种系统即便彼此独立地使用了不同的软件和硬件时，也要确保它们具有共同的配置，操作和维护界面。这使用户在将两种系统进行分离以满足安全要求的同时又收获了集成运行所带来的好处。控制和安全系统彼此保特清晰的通信，但又具备足够的保护措施以避免两者同时瘫痪。
增强的机动性和伸缩性
在已安装的sis中负责危急情况控制或安全停车的部分大多数时三重化（2003）和双重化（1002d）系统。然而，sis供应商正在不断提供其它的系统，它们包括了四选二（2004d），成对冗余和clustering配置。随着供应商不断增强配置的机动性，用户可以将两个或更多的安全设计逻辑控制器放在一起以降低故障发生频率，增加利用率。
针对变化的安全需求和利用率要求的可变的控制器配置
每一个模块只关注少量的控制回路
对于大型应用问题可使用多个控制器
组成安全系统机动性和伸缩性的元素
安全控制器变得越来越具有伸缩性。由于限制了每一个控制器内所包含的i/o数量，控制器的尺寸变小了。但是许多控制器一起工作还是可以完成非常大型的应用问题。这对于用户来说是个实惠，因为他们再也不必去购置在许多应用中不必使用的巨型而又昂贵的系统。
应对不断变化的过程状态
在检测到危险条件时，sis状态为设备提供了一个简单的先后次序（通常不依靠回路）,来使过程有序地停车。当基础过程系统在警报条件下对一个单元进行停车时，将设备停车功能加入sis可以导致风险的显著降低。sis中丰富的功能模块还可以控制过程独立启动等级的执行,这在批量控制系统中表现得很典型。
标准iec61511要求所有流通旁路和正常工作的阻碍都要显示在警报/事件日志上,这样便于对其进行严格管理。
在的sis中为达到标准中的要求，提供了这类功能。这保证了所要求的等级可以根据问题回路中的sil耍求来自动设定，而不再需要任何其他的配置就可以显示起作用的旁路和工作的阻碍情况。
要寻求一个具有经认证的丰富内置功能的sis，还有另外一个原因。英国hse（健康，安全与环境局）的一项研究发现85%的sis故障与工程有关，大约60%的故障在sis安装之前就已经被植入其中了。因此，显而易见地，就如iec61511中所提及的那样，sis应具有强大的功能来尽量简单地达到zui安全的操作并据此配置系统。经认证的丰富功能模块可以使得以上的这些目标更容易达到。
opsys工业标准运用的加强
sis逻辑控制装置中是否使用了高可靠性的操作系统（opsys），对其性能有着至关重要的影响。事实上，sis中的操作系统都必须进行认证以确保达到与sis所保护回路的sil等级相同高的安全程度等级。同时，降低维护成本的需要和现代过程技术的利用率情况，决定了在安全仪表系统的逻辑控制装置中使用经济的标准化、模块化操作系统成为了一种需求。一个经第三方认证的经济的，标准化，模块化opsys将给sis供应商和用户带来巨大的利益。
在使用中证明
经过*的测试
准确的现场故障通告和纠正系统
在sis中使用工业标准操作系统所带来的好处
给zui终用户们的建议
*将iec61511作为您的安全执行标准。
*实施严格的基于标准的危害和风险分析来确定您工厂的正确保护等级。
*在危害和风险分析的基础上，选择一种满足您所有风险管理要求的经认证的安全仪表系统。
*选择一种能够与您的基础控制系统紧密集成的安全仪表系统,但同时其又要可以满足所要求的独立程度。
*选择一种能够提供从传感器到执行机构的整套集成安全方案的系统。
*持续监测现场设备的状态，在适当的地方进行自动测试。
*选择一种可以机动配置的系统，以便可以灵活地进行位置调度和伸缩组合。
*选择一种带有经认证的丰富功能模块的系统，以便在实行逻辑运算时可以计入现场设备状态，便于设计和配置。
*对于安全应用问题，经认证的标准化，模块化操作系统对于整个系统来讲非常重要。
*选择一个系统，其可以通过对于全回路使用自动检验测试和改良的诊断功能来达到安全和利用率的同时zui大化。
谨防厚的安全手册。选择限制少的系统。
工业缩写词参考：
ansi美国国家标准协会
bpcs基础过程控制系统
dcs分布式控制系统
esd紧急停车（系统）
fm工厂共同体
hart高速可设地址远程传感器
hazop危害性和可操作性
hmi人机界面
hse健康，安全和环境局
iec电子技术委员会
opsys高可靠性操作系统
osha职业安全和健康管理局
plc可设计逻辑控制器
psm过程安全管理
sil安全完整性等级
sis安全仪表系统
tmr三倍模块冗余
tuvtechnischeruberwachungsverein（技术检查协会）