潘 穎，李忠軍

（1.眾一阿美科福斯特惠勒工程有限公司，上海 200235；2.贏創(chuàng)（上海）投資管理有限公司，上海 201108）

隨著工藝裝置自動(dòng)化水平的提高，從最早出現(xiàn)的簡(jiǎn)單儀表到智能儀表、總線儀表；從最初的盤裝二次顯示儀表、控制儀表到小型PLC，再到大型集散控制系統(tǒng)BPCS，直到具有功能安全完整性的安全儀表系統(tǒng)（SIS）的出現(xiàn)，儀表控制系統(tǒng)在工業(yè)生產(chǎn)中的重要性越來(lái)越顯著。

SIS在保證裝置安全生產(chǎn)中起著重要的作用，國(guó)家應(yīng)急管理部（前國(guó)家安全監(jiān)管總局）關(guān)于加強(qiáng)化工安全儀表系統(tǒng)管理的指導(dǎo)意見(jiàn)安監(jiān)總管三[2014]116號(hào)的頒布，對(duì)于石化、化工、煉油等領(lǐng)域的SIS設(shè)計(jì)提出更明確的要求。116號(hào)文中強(qiáng)調(diào)：“目前，我國(guó)安全儀表系統(tǒng)及其相關(guān)安全保護(hù)措施在設(shè)計(jì)、安裝、操作和維護(hù)管理等生命周期各階段，還存在危險(xiǎn)與風(fēng)險(xiǎn)分析不足、設(shè)計(jì)選型不當(dāng)、冗余容錯(cuò)結(jié)構(gòu)不合理、缺乏明確的檢驗(yàn)測(cè)試周期、預(yù)防性維護(hù)策略針對(duì)性不強(qiáng)等問(wèn)題[8]?！边@一系列的問(wèn)題均對(duì)安全儀表系統(tǒng)在整個(gè)生命周期中的安全功能有直接影響。本文將針對(duì)安全儀表系統(tǒng)設(shè)計(jì)過(guò)程中的幾個(gè)重要環(huán)節(jié)：HAZOP分析、SIL評(píng)估、SIS設(shè)計(jì)、SIL驗(yàn)證，從概念、方法、作用以及面臨的問(wèn)題等方面進(jìn)行詳細(xì)的闡述。

圖1 SIS的構(gòu)成Fig.1 Composition of SIS

1 術(shù)語(yǔ)

1.1 安全功能SF（Safety Function）

由SIS或其它技術(shù)的安全系統(tǒng)，或外部風(fēng)險(xiǎn)減低設(shè)施執(zhí)行的功能，用以應(yīng)對(duì)特定的危險(xiǎn)事件，使工藝過(guò)程取得或保持安全狀態(tài)[6]。

1.2 安全儀表功能SIF（Safety Instrumented Function）

具有特定的安全儀表完整性等級(jí)的安全功能，對(duì)功能安全的實(shí)現(xiàn)是不可缺少的，可以是安全儀表保護(hù)功能，也可以是安全儀表減輕抑制功能，一個(gè)基本的SIF回路由檢測(cè)元件、邏輯控制器和最終執(zhí)行元件組成[6]。

1.3 安全儀表系統(tǒng)SIS（Safety Instrumented System）

安全儀表系統(tǒng)（SIS）是用于執(zhí)行一個(gè)或多個(gè)安全儀表功能的儀表系統(tǒng)。

如圖1所示，安全儀表系統(tǒng)由一個(gè)或多個(gè)具有安全儀表功能的安全儀表功能（SIF）組成，每個(gè)SIF都具有特定安全完整等級(jí)的安全功能，對(duì)于取得功能安全是不可或缺的，它可以是安全儀表保護(hù)功能，也可以是安全儀表抑制減輕功能[6]。

1.4 安全生命周期SLC（Safety Life Cycle）

從設(shè)計(jì)開(kāi)始到安全儀表功能結(jié)束的整個(gè)時(shí)間段，一般石化化工裝置的生產(chǎn)生命周期通常為15～20年[2]。

1.5 安全保護(hù)層SPL（Safety Protection Layer）

安全保護(hù)層也叫獨(dú)立保護(hù)層IPL（Independent Protection Layer），作為一種風(fēng)險(xiǎn)降低措施，用于防止危險(xiǎn)事件發(fā)生（降低發(fā)生頻率）或者減輕后果嚴(yán)重程度。每一層保護(hù)層都有一定的風(fēng)險(xiǎn)降低能力，層與層之間保持獨(dú)立，從內(nèi)而外，在不同的時(shí)間節(jié)點(diǎn)發(fā)揮作用，從而構(gòu)成風(fēng)險(xiǎn)降低的安全屏障[6]。

圖2 SIS內(nèi)各SIF的關(guān)系Fig.2 Relationship between the SIF in SIS

1.6 保護(hù)層分析LOPA（Layer of Protection Analysis）

保護(hù)層分析法是IEC61511推薦的過(guò)程風(fēng)險(xiǎn)分析工具之一，是通過(guò)分析危險(xiǎn)來(lái)確定是否需要SIF以及需要的SIF的安全完整性等級(jí)的一種評(píng)估分析方法[1]。

2 SIS設(shè)計(jì)、實(shí)施階段的幾個(gè)重要環(huán)節(jié)

2.1 HAZOP分析

安全儀表系統(tǒng)設(shè)計(jì)的目的是為了降低運(yùn)行裝置中存在的風(fēng)險(xiǎn)，所以首先需要對(duì)裝置進(jìn)行HAZOP（Hazard and Operability Analysis）——“危險(xiǎn)與可操作性分析”，這是起源于20世紀(jì)60年代英國(guó)帝國(guó)化學(xué)工業(yè)公司（ICI）的一種以系統(tǒng)工程為基礎(chǔ)，針對(duì)化工裝置而開(kāi)發(fā)的定性的危險(xiǎn)性分析方法，用以識(shí)別出工藝過(guò)程安全方面的危險(xiǎn)以及操作性問(wèn)題[1]。

IEC508/IEC61511和ANSI/ISA-84.01-1996等功能安全標(biāo)準(zhǔn)中并未包含風(fēng)險(xiǎn)和可操作性分析HAZOP相關(guān)的內(nèi)容，但是在安全儀表系統(tǒng)的整個(gè)生命周期中，HAZOP是至關(guān)重要的組成部分。只有充分地辨識(shí)出工藝生產(chǎn)過(guò)程中存在的風(fēng)險(xiǎn)，才能夠有針對(duì)性的設(shè)計(jì)出降低風(fēng)險(xiǎn)的措施[1]。

HAZOP整個(gè)分析過(guò)程以頭腦風(fēng)暴的形式，由HAZOP主席領(lǐng)導(dǎo)，參與人員包括記錄員、工藝專家、儀表專家、現(xiàn)場(chǎng)操作和生產(chǎn)專家等。通過(guò)對(duì)確定的工藝過(guò)程劃分節(jié)點(diǎn)，選擇合適的引導(dǎo)詞和偏差來(lái)進(jìn)行分析，發(fā)現(xiàn)潛在的風(fēng)險(xiǎn)，最終形成HAZOP分析報(bào)告，報(bào)告中會(huì)包含一個(gè)很重要的部分就是HAZOP分析記錄表，表格中記錄針對(duì)所有偏差分析的記錄，同時(shí)給出每個(gè)場(chǎng)景風(fēng)險(xiǎn)發(fā)生的頻率、人員傷亡的情況、級(jí)別定義。至此，裝置中的所有可能潛在的風(fēng)險(xiǎn)已經(jīng)被一一分析記錄下來(lái)。

2.2 SIL評(píng)估

HAZOP分析的目的是識(shí)別風(fēng)險(xiǎn)，進(jìn)而通過(guò)相應(yīng)的安全功能（SF）有效地控制風(fēng)險(xiǎn)，是一種定性的分析方法。

圖3 洋蔥圖Fig.3 Onion chart

圖4 風(fēng)險(xiǎn)圖Fig.4 Risk diagram

SIL評(píng)估是在HAZOP分析的基礎(chǔ)上，一種半定量的風(fēng)險(xiǎn)分析和評(píng)估方法。通過(guò)初始事件、后果嚴(yán)重程度和發(fā)生的頻率來(lái)表征場(chǎng)景的風(fēng)險(xiǎn)，如果風(fēng)險(xiǎn)達(dá)到一定程度，需進(jìn)行對(duì)存在風(fēng)險(xiǎn)和現(xiàn)有保護(hù)措施進(jìn)行評(píng)估來(lái)確認(rèn)是否需要增加其它的保護(hù)措施，以及保護(hù)措施的安全級(jí)別。再此之前，需要首先根據(jù)企業(yè)情況確定風(fēng)險(xiǎn)矩陣，確定可接受風(fēng)險(xiǎn)。

SIL評(píng)估的方法有很多，例如：安全層矩陣、風(fēng)險(xiǎn)圖、保護(hù)層分析（LOPA）、故障樹(shù)分析（FTA）、事件樹(shù)分析（ETA），其中保護(hù)層分析（LOPA）是目前采用比較多的一種評(píng)估方法。

保護(hù)層分析（LOPA）是通過(guò)分析危險(xiǎn)來(lái)確定是否需要SIF以及需要的SIF的安全完整性等級(jí)的一種評(píng)估分析方法。采用保護(hù)層模型，如圖3所示，對(duì)需要評(píng)估的風(fēng)險(xiǎn)場(chǎng)景，分析其觸發(fā)原因及相應(yīng)的保護(hù)層，找出風(fēng)險(xiǎn)缺口，確定由SIF承擔(dān)的風(fēng)險(xiǎn)降低量值（RRF），進(jìn)而確定所需SIF的安全儀表級(jí)別SIL（Safety Instrumented Level）。

如圖4所示，向右的箭頭表示過(guò)程固有風(fēng)險(xiǎn)，向左的箭頭表示保護(hù)層及其降低風(fēng)險(xiǎn)的量級(jí)，包括BPCS、其它保護(hù)層，當(dāng)現(xiàn)有的保護(hù)層無(wú)法將風(fēng)險(xiǎn)減低到可接受范圍之內(nèi)的時(shí)候，需增加安全儀表功能。

SIF是所有安全功能（SF）中，相對(duì)比較復(fù)雜、PFD范圍可以選擇的一個(gè)保護(hù)層，IEC61511第1部分（3.2.74）中定義安全完整性等級(jí)是一種離散水平，用于規(guī)定分配到安全儀表系統(tǒng)中安全功能的安全完整性等級(jí)[1]。共分為4個(gè)等級(jí)：SIL1、SIL2、SIL3、SIL4。SIL4是最高的安全完整性等級(jí)，SIL1為最低級(jí)別的安全完整性等級(jí)[3,5]。

通過(guò)SIL評(píng)估，需要的SIF回路已經(jīng)被識(shí)別出來(lái)，并確定了相應(yīng)的安全完整性等級(jí)。至此，SIS設(shè)計(jì)目標(biāo)已經(jīng)確定。

2.3 SIS設(shè)計(jì)

SIS的設(shè)計(jì)是安全儀表功能落實(shí)的步驟，針對(duì)SIL評(píng)估中確定的SIF編寫安全要求規(guī)格書SRS（Safety Requirement Specification），規(guī)格書中針對(duì)SIS系統(tǒng)包含的所有SIF的功能性和安全完整性給出描述和規(guī)定，體現(xiàn)了HAZOP分析和LOPA的最終意圖，為SIS生命周期的后續(xù)活動(dòng)提供依據(jù)，例如SIS的設(shè)計(jì)選型、工程實(shí)施、安全完整性驗(yàn)證計(jì)算、維護(hù)、檢驗(yàn)測(cè)試等[1]。

2.3.1 功能要求

功能要求包括安全狀態(tài)的定義，工藝輸入點(diǎn)及其聯(lián)鎖關(guān)停設(shè)定點(diǎn)、工藝參數(shù)正常操作范圍，工藝輸出點(diǎn)及其動(dòng)作，輸入與輸出之間的邏輯關(guān)系，安全狀態(tài)的相應(yīng)時(shí)間要求，操作員接口要求，是否需要手動(dòng)停車、旁路、復(fù)位等[4,6]。

2.3.2 完整性要求

完整性要求是指安全回路完成相應(yīng)安全功能的能力。在SRS中應(yīng)列出的完整性要求包括每個(gè)SIF必須的SIL等級(jí)，為取得必須的SIL等級(jí)對(duì)診斷的要求，為取得相應(yīng)的SIL等級(jí)對(duì)維護(hù)和測(cè)試的要求，最大允許誤關(guān)停率的要求，對(duì)安全功能的隔離要求等。

2.3.3 SRS的內(nèi)容提綱[4,6]

1）SIF描述。

2）確定共因失效及其消除措施的要求。

3）SIF安全狀態(tài)定義。

4）當(dāng)存在多個(gè)SIF同時(shí)動(dòng)作可能產(chǎn)生額外危險(xiǎn)的情況時(shí)，要對(duì)其安全操作和安全狀態(tài)分別進(jìn)行定義。

5）預(yù)估SIF的要求源和要求率。

6）檢驗(yàn)測(cè)試時(shí)間間隔的要求。

7）安全聯(lián)鎖動(dòng)作系統(tǒng)相應(yīng)時(shí)間要求。

8）每個(gè)SIF的SIL及其操作模式（高要求操作模式、低要求操作模式、連續(xù)操作模式）。

9）工藝過(guò)程測(cè)量值的量程及其預(yù)報(bào)警和聯(lián)鎖設(shè)定值。

10）SIF輸出動(dòng)作以及最終狀態(tài)要求。

11）輸入與輸出之間的邏輯關(guān)系，包括邏輯、數(shù)學(xué)運(yùn)算、許可和旁路等。

12）手動(dòng)關(guān)停要求。

13）得電聯(lián)鎖（Energize to trip 勵(lì)磁動(dòng)作）或失電聯(lián)鎖（De-Energize to trip 去磁動(dòng)作）要求。

14）SIS啟動(dòng)、聯(lián)鎖后動(dòng)作復(fù)位、再啟動(dòng)允許（Startup Permissive）和順序等要求。

表1 SIL驗(yàn)證中牽涉的主要參數(shù)Table 1 Main parameters involved in SIL validation

15）最大允許誤關(guān)停率（Spurious Trip Rate）的要求。

16）SIS的失效模式及其失效的期望響應(yīng)要求（例如：報(bào)警、隔離、自動(dòng)關(guān)停等）。

17）SIS與其它系統(tǒng)之間的所有接口，包括和BPCS以及操作員的接口。

18）工藝裝置在不同的操作模式和操作狀態(tài)（包括試車、開(kāi)車、正常操作模式、工藝單元切換等）下，對(duì)SIF的要求。

19）應(yīng)用軟件安全要求。

20）旁路和禁止（Override/Inhibits/Bypass）及其取消操作的要求。

21）平均修復(fù)時(shí)間MTTR（Mean Time to Repair）要求。

22）應(yīng)避免的SIS輸出狀態(tài)的危險(xiǎn)組合。

23）對(duì)SIS運(yùn)行環(huán)境狀態(tài)的要求，例如：溫度、濕度、電磁干擾、接地、防爆等。

24）在主要意外發(fā)生時(shí)，SIF操作的特殊要求，例如在火災(zāi)發(fā)生時(shí)，閥門的動(dòng)作要保持多長(zhǎng)時(shí)間。

在SRS中關(guān)于SIF的SIL有明確的定義，例如SIF-01是一個(gè)SIL1的回路，采用一選一的結(jié)構(gòu)，SIL評(píng)估中得出的風(fēng)險(xiǎn)降低因子RRF要求是50；SIF-02是一個(gè)SIL的回路，采用二選一的結(jié)構(gòu)，SIL評(píng)估中得出的風(fēng)險(xiǎn)降低因子RRF要求是2000。所有的這些信息將指導(dǎo)后續(xù)的SIS系統(tǒng)詳細(xì)設(shè)計(jì)工作，包括儀表選型、儀表和系統(tǒng)冗余結(jié)構(gòu)的搭建等（本文不做詳細(xì)描述）。

2.4 SIL驗(yàn)證

2.4.1 定義

SIL驗(yàn)證是基于IEC61508/IEC61511，針對(duì)已經(jīng)設(shè)計(jì)的SIS系統(tǒng)，通過(guò)一定的計(jì)算方法對(duì)SIS系統(tǒng)的設(shè)計(jì)進(jìn)行檢驗(yàn)，以保證SIS所有回路在整個(gè)安全生命周期中均能滿足風(fēng)險(xiǎn)分析中所需要承擔(dān)的風(fēng)險(xiǎn)降低要求。

2.4.2 SIL驗(yàn)證的作用

SIL驗(yàn)證在整個(gè)安全生命周期中具有重要的作用，前期設(shè)計(jì)中設(shè)計(jì)選型不當(dāng)、冗余容錯(cuò)結(jié)構(gòu)不合理、缺乏明確的檢驗(yàn)測(cè)試周期等問(wèn)題都可以在SIL驗(yàn)證的過(guò)程中發(fā)現(xiàn)并指導(dǎo)調(diào)整[8]。

1）通過(guò)可靠性建模檢驗(yàn)SIS系統(tǒng)的每一個(gè)安全回路的配置是否滿足設(shè)計(jì)以及與生產(chǎn)、維護(hù)兼容的要求。

2）根據(jù)驗(yàn)證結(jié)果對(duì)后續(xù)設(shè)計(jì)進(jìn)行必要的調(diào)整。

3）指導(dǎo)相關(guān)安全儀表廠商的選擇。

4）最終確保安全回路設(shè)計(jì)滿足作為獨(dú)立保護(hù)層的要求。

2.4.3 SIL驗(yàn)證中牽涉的主要參數(shù)見(jiàn)表1[4,6]

2.4.4 SIL驗(yàn)證中主要計(jì)算的幾個(gè)指標(biāo)

1）根據(jù)失效數(shù)據(jù)和可靠性模型，結(jié)合SIF定義的檢驗(yàn)測(cè)試周期，計(jì)算要求時(shí)的失效概率PFD。

2）計(jì)算安全失效分?jǐn)?shù)（SFF），結(jié)合硬件故障裕（HFT），得出結(jié)構(gòu)約束的安全完整性等級(jí)；SIF的安全完整性等級(jí)不僅僅取決于PFD值，同時(shí)也受架構(gòu)約束，只有兩者同時(shí)滿足安全完整性的要求，才意味著回路的配置滿足SIF的安全完整性要求。

3）核實(shí)安全儀表的系統(tǒng)能力SC（Systematic Capability），確認(rèn)選擇的儀表是否滿足用于該安全級(jí)別的回路。

4）還可根據(jù)企業(yè)需求，計(jì)算關(guān)鍵工藝過(guò)程的誤停車率（STR），誤停車是指由于SIS本身的故障導(dǎo)致的停車，雖然仍然會(huì)把整個(gè)過(guò)程導(dǎo)向安全位置，但也會(huì)因?yàn)橥＼嚩o企業(yè)帶來(lái)一定的經(jīng)濟(jì)損失，這也是企業(yè)關(guān)注的一個(gè)指標(biāo)。

IEC61511中提供了用于計(jì)算PFD和STR的簡(jiǎn)單公式。

2.4.5 PFDavg簡(jiǎn)單計(jì)算公式[4,6]

由此可見(jiàn)，安全性從高到低的排序?yàn)椋?oo3 ＞ 1oo2 ＞2oo3 ＞ 1oo1 ＞ 2oo2。

2.4.6 STR簡(jiǎn)單計(jì)算公式[4,6]

由此可見(jiàn)，可用性從高到低的排序?yàn)椋?oo2 ＞ 2oo3 ＞1oo1 ＞ 1oo2 ＞ 1oo3。

2.4.7 設(shè)備安全參數(shù)的獲取途徑

SIL驗(yàn)證所需設(shè)備的安全參數(shù)的可靠性直接影響SIL驗(yàn)證計(jì)算的結(jié)果，進(jìn)而影響SIS系統(tǒng)的設(shè)計(jì)準(zhǔn)確性，目前設(shè)備的安全參數(shù)有如下幾種獲取途徑。

最可靠的也最難獲得的是終端用戶的現(xiàn)場(chǎng)安全數(shù)據(jù)，包括：

◇ 維修活動(dòng)。

◇ 預(yù)防和校正性維護(hù)。

◇ 性能測(cè)試（標(biāo)定）。

◇ 投訴中心等。

大數(shù)據(jù)時(shí)代，隨著智能化工廠的普及，安全數(shù)據(jù)的積累將更容易實(shí)現(xiàn)，隨著SIS管理體系的完善，期望未來(lái)現(xiàn)場(chǎng)安全數(shù)據(jù)將會(huì)成為獲取安全數(shù)據(jù)的主要來(lái)源進(jìn)而取代第三方的認(rèn)證，這些來(lái)自現(xiàn)場(chǎng)的真實(shí)的故障率數(shù)據(jù)更真實(shí)可靠。

1）當(dāng)然這對(duì)于中小型工廠來(lái)說(shuō)存在很大的困難，記錄的數(shù)據(jù)量不足以支撐計(jì)算失效概率，但也并不是無(wú)解的，可以考慮通過(guò)專門的組織來(lái)統(tǒng)一收集、整理，當(dāng)然這要建立在安全儀表系統(tǒng)的管理體系已經(jīng)標(biāo)準(zhǔn)化的基礎(chǔ)之上，各家企業(yè)儀表管理和數(shù)據(jù)采集的流程都是標(biāo)準(zhǔn)化的，也許這還需要一個(gè)漫長(zhǎng)的發(fā)展過(guò)程。

2）其次，第三方評(píng)估（例如由TUV、Exida等）機(jī)構(gòu)頒發(fā)的認(rèn)證證書，這也是目前最多被采用的一種方式。

3）第三，工業(yè)數(shù)據(jù)庫(kù)或文獻(xiàn)。

4）第四，設(shè)備供貨商給出的數(shù)據(jù)（Package廠商），例如鼓風(fēng)機(jī)廠家，提供鼓風(fēng)機(jī)的同時(shí)也會(huì)成套提供儀表設(shè)備和小型的控制系統(tǒng)，同種類型的儀表隨著設(shè)備有大量的使用，具備大量收集數(shù)據(jù)的基礎(chǔ)。

3 結(jié)束語(yǔ)

安全儀表系統(tǒng)是工藝生產(chǎn)過(guò)程中至關(guān)重要的安全保護(hù)措施，以上各環(huán)節(jié)的落實(shí)可以確保其在設(shè)計(jì)、實(shí)施階段滿足相應(yīng)的功能安全及其完全完整性的要求，為進(jìn)入生產(chǎn)階段的SIL保持提供基礎(chǔ)。

安全儀表系統(tǒng)提出的是全生命周期的概念，無(wú)論是本文提及的前期的設(shè)計(jì)實(shí)施，還是后期的現(xiàn)場(chǎng)管理，每一個(gè)環(huán)節(jié)的落實(shí)都是不可或缺的，都必須嚴(yán)謹(jǐn)對(duì)待，這樣才能真正實(shí)現(xiàn)其安全功能。