(中國五環(huán)工程有限公司，湖北 武漢 430223)

近年來，隨著我國能源及化工產(chǎn)品需求的快速增長，新型煤化工、清潔能源等一批國家鼓勵(lì)類項(xiàng)目得到了大力扶持和發(fā)展。這些生產(chǎn)裝置及儲存設(shè)施的規(guī)模越來越大，工藝流程更加復(fù)雜，控制過程也日趨復(fù)雜，給裝置運(yùn)行和人員安全造成了極大的沖擊和影響。同時(shí)，也隨著國際電工委員會標(biāo)準(zhǔn)IEC61508和IEC61511轉(zhuǎn)化為國家標(biāo)準(zhǔn)GB/T 20438(電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能)和GB/T 21109(過程工業(yè)領(lǐng)域安全儀表系統(tǒng)的功能安全)，安全儀表系統(tǒng)及其相關(guān)安全保護(hù)措施在全世界的石油、天然氣、煉油、石化和煤化工等行業(yè)得到了廣泛的應(yīng)用；安全保護(hù)越來越受到關(guān)注與重視，越來越多的人認(rèn)識到：安全儀表系統(tǒng)的可靠性運(yùn)行是裝置安全運(yùn)行的一道重要保護(hù)屏障，同步加強(qiáng)和規(guī)范安全儀表系統(tǒng)的設(shè)置和管理十分緊迫和必要。

1 保護(hù)及保護(hù)層(PL)

1.1 安全保護(hù)

各種生產(chǎn)過程中持續(xù)監(jiān)測出代表工藝參數(shù)和工藝設(shè)備狀態(tài)的過程信號。安全保護(hù)就是根據(jù)這些過程信號的狀態(tài)來觸發(fā)的。安全保護(hù)逐級升高的具體形式見表1。

表1 過程信號狀態(tài)和安全保護(hù)

續(xù)表

1.2 保護(hù)層

IEC 61511/ GB/T 21109中表示逐級保護(hù)的過程見圖1。

圖1 過程工廠常見的典型風(fēng)險(xiǎn)降低方法(以保護(hù)層模型為例)

保護(hù)層(Protection Layer)，是借助控制、預(yù)防或減輕以降低風(fēng)險(xiǎn)的任何獨(dú)立機(jī)制。獨(dú)立保護(hù)層(Independent Protection Layer)，是能夠阻止場景向不期望后果發(fā)展，并且獨(dú)立于場景的初始事件或其他保護(hù)層的設(shè)備、系統(tǒng)或行動(dòng)。保護(hù)措施和獨(dú)立保護(hù)層是有區(qū)別的，防護(hù)措施可以是中斷初始事件發(fā)生后的事件鏈的任何設(shè)備、系統(tǒng)或行動(dòng)，其有效性一般難以得到確定；而獨(dú)立保護(hù)層的有效性根據(jù)要求時(shí)失效概率(PFD)進(jìn)行確定，為0和1之間的無因次數(shù)字，PFD越小，表明該保護(hù)層對某一初始事件的后果頻率削減得越多。為便于認(rèn)識，加深理解，業(yè)內(nèi)人士將圖1形象化地轉(zhuǎn)化為洋蔥頭保護(hù)層模型(見圖2)。

圖2 洋蔥頭保護(hù)層模型

從上圖可以看出，儀表功能至少涉及3個(gè)保護(hù)層，分別是第2層基本過程控制系統(tǒng)(BPCS)、第3層關(guān)鍵報(bào)警和人員干預(yù)、第4層安全儀表系統(tǒng)(SIS)，還有第6層釋放后的保護(hù)措施之一，火氣系統(tǒng)。

2 安全儀表系統(tǒng)(SIS)

2.1 安全儀表系統(tǒng)(SIS)的概念

安全儀表系統(tǒng)(SIS)是Safety Instrumented System的簡稱，IEC 61511/ GB/T 21109中的術(shù)語定義為，用來實(shí)現(xiàn)一個(gè)或幾個(gè)安全儀表功能(SIFs)的儀表系統(tǒng)，可由傳感器、邏輯解算器和執(zhí)行元件的任何組合組成。換句話說，安全儀表系統(tǒng)是能夠檢測“失控”條件并自動(dòng)將工藝重新置回安全狀態(tài)的儀表控制系統(tǒng)，是生產(chǎn)裝置的“最后一道防線”，且并不是基本過程控制系統(tǒng)(BPCS)。SIS系統(tǒng)包括安全聯(lián)鎖系統(tǒng)、緊急停車系統(tǒng)和有毒有害、可燃?xì)怏w及火災(zāi)檢測保護(hù)系統(tǒng)等。

2.2 安全儀表系統(tǒng)(SIS)與基本過程控制系統(tǒng)(BPCS)

安全儀表系統(tǒng)用于監(jiān)測生產(chǎn)過程運(yùn)行狀態(tài)，判斷危險(xiǎn)或風(fēng)險(xiǎn)發(fā)生的條件，自動(dòng)或手動(dòng)執(zhí)行規(guī)定的安全儀表功能，防止或減少危險(xiǎn)事件發(fā)生，減少人員傷害或經(jīng)濟(jì)損失，減輕危險(xiǎn)事件造成的影響，保護(hù)人身和生產(chǎn)裝置安全，保護(hù)環(huán)境。

基本過程控制系統(tǒng)(BPCS)是Basic Process Control System的簡稱，也稱為過程控制系統(tǒng)，用于生產(chǎn)過程的連續(xù)測量、常規(guī)控制和操作管理。它響應(yīng)過程或操作人員的輸入信號，產(chǎn)生輸出信息，使過程以期望的方式運(yùn)行。BPCS由傳感器、邏輯解算器、過程控制器和最終執(zhí)行元件組成。

兩個(gè)系統(tǒng)的區(qū)別見表2。

表2 安全儀表系統(tǒng)(SIS)和基本過程控制系統(tǒng)(BPCS)的區(qū)別

2.3 SIS的本質(zhì)、相關(guān)標(biāo)準(zhǔn)和設(shè)計(jì)目的

安全儀表系統(tǒng)(SIS)本質(zhì)上是保護(hù)性的，是一種預(yù)防措施，它不能預(yù)防初始事件。事故之所以會發(fā)生是因?yàn)榘l(fā)生了從事故場景的初始原因開始的多重失效，這其中有的失效的可能性是“隱藏著的”(不會自我暴露出來)，而且是“危險(xiǎn)的”(出現(xiàn)就代表事故)?，F(xiàn)如今，過程設(shè)計(jì)越來越依賴工程安全措施來確保安全，而許多事故是由于缺乏工程控制措施所導(dǎo)致。因此，設(shè)計(jì)、運(yùn)行、維護(hù)安全可靠的儀表系統(tǒng)已是一個(gè)不可回避的現(xiàn)實(shí)和行業(yè)標(biāo)準(zhǔn)的明確要求。

與SIS相關(guān)的標(biāo)準(zhǔn)、規(guī)范、法規(guī)見表3。

表3 與SIS相關(guān)的標(biāo)準(zhǔn)、規(guī)范、法規(guī)

安全儀表系統(tǒng)(SIS)的設(shè)計(jì)目的是：①預(yù)防。超出預(yù)定的安全操作范圍時(shí)，自動(dòng)將工藝裝置置于安全狀態(tài)；②許可。當(dāng)允許工藝僅在許可操作條件被證實(shí)的情況下運(yùn)行；③減緩。減緩已有危險(xiǎn)狀況的后果。

3 安全完整性等級(SIL)

3.1 安全完整性等級(SIL)的概念及分類

SIL是Safety Integrity Level的簡稱，中文稱為安全完整性等級。在1998年頒布的IEC61508功能安全標(biāo)準(zhǔn)中首次提出。IEC 61511/ GB/T 21109中對其的術(shù)語定義為，用來規(guī)定分配給安全儀表系統(tǒng)的儀表安全功能的安全完整性要求的離散等級(4個(gè)等級中的1個(gè))。SIL4是安全完整性的最高級，SIL1為最低級(見表4)。

在高要求操作模式時(shí)，安全儀表功能(SIF)的安全完整性等級(SIL)應(yīng)通過下表采用每小時(shí)危險(xiǎn)失效頻率來衡量。

表4 安全完整性等級(高要求操作模式)

在低要求操作模式時(shí)，安全儀表功能(SIF)的安全完整性等級(SIL)應(yīng)采用平均失效概率(PFD)，通過表5來衡量。

表5 安全完整性等級(低要求操作模式)

根據(jù)GB50770-2013《石油化工安全儀表系統(tǒng)設(shè)計(jì)規(guī)范》規(guī)定，石油化工工廠或裝置適用于低要求操作模式。石油化工工廠或裝置的SIL等級不應(yīng)高于SIL 3級。

3.2 安全完整性等級(SIL)評估

3.2.1 SIL評估的重要性

(1)國家管理部門要求。國家安全監(jiān)管總局通過安監(jiān)總管三〔2013〕88號和安監(jiān)總管三〔2014〕116號兩次發(fā)文明確要求：企業(yè)要開展安全儀表系統(tǒng)SIL評估，根據(jù)所有安全儀表功能的功能性和完整性要求，編制安全儀表系統(tǒng)安全要求的技術(shù)文件(SRS)。

(2)保障系統(tǒng)安全。安監(jiān)總管三〔2014〕116號文，近年來發(fā)達(dá)國家發(fā)生的重大化工(危險(xiǎn)化學(xué)品)事故大都與安全儀表失效或設(shè)置不當(dāng)有關(guān)。對安全儀表系統(tǒng)進(jìn)行SIL評估，是安全儀表系統(tǒng)安全生命周期工作中的一項(xiàng)必不可少的活動(dòng)，經(jīng)過過程危險(xiǎn)分析，根據(jù)確定的適宜的安全完整性等級，設(shè)計(jì)合理有效并符合等級要求的安全儀表系統(tǒng)，這將會極大地提高裝置的功能安全水平。

(3)完善現(xiàn)有系統(tǒng)不足。通過進(jìn)行SIL評估，進(jìn)一步確定SIS系統(tǒng)(包括各檢測單元、控制單元和執(zhí)行單元)具體部位存在的缺陷，以便有針對性地改造SIS系統(tǒng)。

3.2.2 SIL和SIS的關(guān)系

SIL是在定性危害分析(如危險(xiǎn)和可操作性(HAZOP)分析)的基礎(chǔ)上，進(jìn)一步分析現(xiàn)有防護(hù)措施的有效性，從而確定安全儀表系統(tǒng)的安全完整性等級，為SIS系統(tǒng)設(shè)計(jì)提供依據(jù)。

確定的SIL是SIS 的設(shè)計(jì)前提和依據(jù)。設(shè)計(jì)合理適用的SIS，應(yīng)符合SIL的要求。

3.2.3 SIL評估時(shí)間表

只要是需要執(zhí)行功能安全相關(guān)標(biāo)準(zhǔn)要求的化工裝置和危險(xiǎn)化學(xué)品儲存設(shè)施，都需要設(shè)計(jì)符合要求的安全儀表系統(tǒng)。根據(jù)安監(jiān)總管三〔2014〕116號文規(guī)定，對化工裝置、設(shè)施的SIL評估分為三個(gè)階段進(jìn)行，對在役裝置的改造也有明確的時(shí)間節(jié)點(diǎn)(見表6)。

表6 SIL評估時(shí)間表

續(xù)表

3.2.4 SIL評估的工作內(nèi)容

SIL評估包含SIL定級和SIL驗(yàn)證兩部分工作。

3.2.5 SIL評估執(zhí)行時(shí)機(jī)

一般來說，在基礎(chǔ)設(shè)計(jì)階段進(jìn)行SIL定級，在儀表結(jié)構(gòu)設(shè)計(jì)后、確定采購前進(jìn)行SIL驗(yàn)證。

在基礎(chǔ)工程設(shè)計(jì)HAZOP分析后即可進(jìn)行SIL定級。對于設(shè)計(jì)項(xiàng)目，第1次SIL定級分析應(yīng)在基礎(chǔ)工程設(shè)計(jì)HAZOP分析完成后進(jìn)行，分析對象為基礎(chǔ)工程設(shè)計(jì)階段完成的工程設(shè)計(jì)。

第2次SIL定級分析應(yīng)在詳細(xì)工程設(shè)計(jì)階段完成，分析對象包括詳細(xì)工程設(shè)計(jì)階段對基礎(chǔ)工程設(shè)計(jì)的修改部分，以及成套設(shè)備供貨商提供的工藝流程；除了成套設(shè)備外，如果詳細(xì)工程設(shè)計(jì)和基礎(chǔ)工程設(shè)計(jì)的內(nèi)容基本一致，SIL定級分析可以只進(jìn)行一次。

未進(jìn)行基礎(chǔ)工程設(shè)計(jì)而直接進(jìn)行詳細(xì)工程設(shè)計(jì)的項(xiàng)目，應(yīng)在詳細(xì)工程設(shè)計(jì)早期開展SIL分析。

3.3 安全完整性等級(SIL)定級

3.3.1 SIL定級方法及選擇

確定安全儀表系統(tǒng)所要求的安全完整性等級的方法很多，如定性、半定性、半定量等，IEC61511附錄B～F提供了5種方法，包括：①半定量法(IEC61511附錄B)；②安全層矩陣法(IEC61511附錄C)；③半定性法：校正的風(fēng)險(xiǎn)圖法(IEC61511附錄D)；④定性法：風(fēng)險(xiǎn)圖法(IEC61511附錄E)；⑤保護(hù)層分析法(LOPA)(IEC61511附錄F)。

采用哪種SIL定級方法，取決于許多因素，其中主要包括：①工藝過程的復(fù)雜程度；②國家及管理部門的現(xiàn)行標(biāo)準(zhǔn)；③風(fēng)險(xiǎn)特性和降低風(fēng)險(xiǎn)的方法；④操作人員的經(jīng)驗(yàn)和技能；⑤相關(guān)風(fēng)險(xiǎn)參數(shù)的可用信息。在一些工藝過程的分析應(yīng)用中，可以使用不止一種方法。例如，首先，使用定性方法確定所有SIFs要求的SIL；然后，對于那些用該方法分配了SIL3及以上的SIF，還應(yīng)考慮再使用定量方法進(jìn)一步細(xì)化，以便更精確地理解所要求的安全完整性。

3.3.2 保護(hù)層分析法LOPA

保護(hù)層分析法(LOPA)是一種半定量的分析方法，它采用初始事件概率、后果嚴(yán)重性等級和獨(dú)立保護(hù)層失效概率來分析風(fēng)險(xiǎn)場景，是近年來國際上廣泛應(yīng)用且行之有效的一種安全設(shè)計(jì)與管理技術(shù)。LOPA提供了一種一致的方法，用來評估定性危害分析過程提出的建議，幫助技術(shù)人員設(shè)計(jì)具有適當(dāng)?shù)燃壍膽?yīng)急系統(tǒng)。LOPA雖然不是一個(gè)完全的定量風(fēng)險(xiǎn)評估方法，但它是一種適合評估事故場景保護(hù)層價(jià)值的簡化方法。

3.4 安全完整性等級(SIL)驗(yàn)證

按照安全儀表系統(tǒng)安全生命周期工作流程的要求，分配給每個(gè)安全儀表功能(SIFs)的安全完整性等級(SIL)，都要在獲取各組件要求時(shí)的失效概率(PFD)數(shù)據(jù)基礎(chǔ)上，根據(jù)現(xiàn)有的配置等進(jìn)行驗(yàn)算，以確認(rèn)現(xiàn)有配置是否達(dá)到所需的SIL等級要求。在SIL驗(yàn)證過程中，評估小組經(jīng)過基礎(chǔ)數(shù)據(jù)確認(rèn)、結(jié)構(gòu)框架輸入、測試周期及輸入因子確認(rèn)等程序后，通過軟件計(jì)算，得出結(jié)果，并形成SIL等級驗(yàn)證報(bào)告，對不滿足SIL等級要求的SIF，提出整改建議。

SIL驗(yàn)證需要各儀表失效統(tǒng)計(jì)數(shù)據(jù)，包括傳感器、變送器、邏輯單元、安全柵、電磁閥、閥門等。SIL驗(yàn)證需要考慮的因素主要有：①組件選擇——設(shè)備可用性、設(shè)備安全性(經(jīng)使用驗(yàn)證、按標(biāo)準(zhǔn)制造)、設(shè)備技術(shù)適宜性；②容錯(cuò)——使用多臺設(shè)備，表決結(jié)構(gòu)降低失效概率，SIL等級要求不同程度的容錯(cuò)；③功能測試周期——提高測試頻率可使失效概率下降；④共因失效；⑤診斷覆蓋率——內(nèi)置診斷或自診斷。

4 關(guān)于功能安全認(rèn)證

4.1 認(rèn)證現(xiàn)狀

功能安全認(rèn)證，在國內(nèi)還是個(gè)較新的概念，因是對硬件或個(gè)人的資質(zhì)和能力的一種公開的認(rèn)可，受到多方熱捧。一般來說，獲得相應(yīng)的認(rèn)證，對于產(chǎn)品集成商來說，表明其產(chǎn)品和系統(tǒng)通過了相應(yīng)的測試或?qū)彶?，滿足相應(yīng)標(biāo)準(zhǔn)的安全要求；對于個(gè)人來說，表明他具備了按照IEC相關(guān)標(biāo)準(zhǔn)進(jìn)行開發(fā)、集成和使用安全相關(guān)系統(tǒng)的知識和專業(yè)技術(shù)，他所參與的安全項(xiàng)目在安全性和標(biāo)準(zhǔn)的符合性上更能得到用戶認(rèn)可。

基于以上的認(rèn)識，國外公司及一些獨(dú)立機(jī)構(gòu)先后開展了安全儀表領(lǐng)域的認(rèn)證，如TUV認(rèn)證等。但在我國，國家和行業(yè)尚沒有相關(guān)的認(rèn)證體系，有關(guān)部門和單位(如中國化學(xué)品安全協(xié)會等)正加快制修訂化工安全儀表系統(tǒng)技術(shù)標(biāo)準(zhǔn)體系，組織制定符合我國化工行業(yè)企業(yè)安全發(fā)展現(xiàn)狀的功能安全相關(guān)技術(shù)標(biāo)準(zhǔn)及應(yīng)用指南，推動(dòng)形成并完善符合中國國情的功能安全認(rèn)證體制機(jī)制。

4.2 TUV認(rèn)證

德國技術(shù)監(jiān)督協(xié)會功能安全工程師(TUV FSEng)認(rèn)證，是由國際著名認(rèn)證機(jī)構(gòu)德國技術(shù)監(jiān)督協(xié)會—萊茵技術(shù)監(jiān)督服務(wù)有限公司自動(dòng)化、軟件和信息技術(shù)部推出的，具有功能安全工程師認(rèn)證證書，意味著被認(rèn)證人具備了執(zhí)行(包括設(shè)計(jì)、研發(fā)、集成、安裝、維護(hù)等)安全儀表系統(tǒng)全生命周期各階段工作的資格和能力。TUV 標(biāo)志在歐洲乃至全球受到生產(chǎn)廠商和各國認(rèn)證機(jī)構(gòu)的廣泛認(rèn)可。

5 結(jié)語

安全完整性等級評估是保證安全儀表系統(tǒng)設(shè)計(jì)的重要依據(jù)，其合理準(zhǔn)確與否直接關(guān)系到安全儀表系統(tǒng)是否能夠避免事故的發(fā)生，或減輕事故的后果危害。本文重點(diǎn)厘清了安全完整性等級評估和安全儀表系統(tǒng)的關(guān)系，對定級和驗(yàn)證兩個(gè)層面的工作內(nèi)容進(jìn)行了界定，設(shè)計(jì)和評估人員可根據(jù)文中概念的解讀靈活選擇合適的定級方法，收集和整理基礎(chǔ)數(shù)據(jù)，綜合考慮驗(yàn)證涉及的因素。