孫磊

[摘? ? 要]安全儀表系統(tǒng)的安全性是行業(yè)乃至國家的安全重點，諸多國內(nèi)外的研究基礎上，凸顯出安全儀表系統(tǒng)潛在的安全風險。本文介紹了安全儀表系統(tǒng)在工業(yè)4.0浪潮的發(fā)展趨勢，提出了功能安全概念，并且強調(diào)功能安全的重要性;并總結分析了安全儀表系統(tǒng)安全脆弱性的幾個方面。在分析的基礎上，本文根據(jù)國內(nèi)外安全儀表系統(tǒng)功能安全防護的研究基礎，強調(diào)切實有效的進行安全完整性評估，提出了設備全生命周期防護的理念。并簡要介紹安全完整性相關概念，風險分析的方法與思路，以及安全完整性定級和驗證的基本流程。并最終明確安全儀表系統(tǒng)的安全防護的本質(zhì)是功能安全，在全生命周期管理中融入功能安全理念，才是安全儀表系統(tǒng)的安全防護之本。

[關鍵詞]安全儀表系統(tǒng);安全防護;功能安全;安全完整性

[中圖分類號]TE36 [文獻標志碼]A [文章編號]2095–6487（2020）12–0–02

[Abstract]The safety of the safety instrumented system is the safety focus of the industry and even the country. Based on many domestic and foreign researches， the potential safety risks of the safety instrumented system are highlighted. This paper introduces the development trend of safety instrumented systems in the industry 4.0 wave， puts forward the concept of functional safety， and emphasizes the importance of functional safety; and summarizes and analyzes several aspects of safety vulnerabilities of safety instrumented systems. Based on the analysis， this paper emphasizes the practical and effective safety integrity assessment based on the research foundation of functional safety protection of safety instrumented systems at home and abroad， and puts forward the concept of equipment life cycle protection. It also briefly introduces the related concepts of safety integrity， risk analysis methods and ideas， and the basic process of safety integrity grading and verification. Finally， it is clear that the essence of the safety protection of the safety instrumented system is functional safety， and the integration of the functional safety concept into the full life cycle management is the foundation of the safety protection of the safety instrumented system.

[Keywords]safety instrumented system ; security; functional safety; safety integrity

安全是工業(yè)控制系統(tǒng)的靈魂，談到工業(yè)控制系統(tǒng)安全，安全儀表系統(tǒng)是工業(yè)控制系統(tǒng)的重要組成部分，承擔安全防護的重要職責。但國內(nèi)工業(yè)控制系統(tǒng)安全防護仍處于起步階段，功能安全概念的出現(xiàn)，從根本上闡述了工業(yè)控制系統(tǒng)安全防護的必要性及可行性[1]。

1 安全儀表系統(tǒng)與安全防護基本介紹

1.1 安全儀表系統(tǒng)現(xiàn)狀

安全儀表系統(tǒng)（Safety instrumentation System，簡稱SIS）是由電氣（Electric）、電子（Electronic）和可編程電子（Progamble E1ctronic） 技術構成的儀表化的安全系統(tǒng)。SIS由傳感器、邏輯控制最終控制元件，以及電源等支持系統(tǒng)構成，用于當工藝參數(shù)超越預定的正常工況時，將工藝過程置于安全狀態(tài)。常見的典型SIS應用包括緊急停車系統(tǒng)（Emergency Shutdown? System， ESDS）、安全停車系統(tǒng)（Safety Shutdown System， SD）以及安全聯(lián)鎖系統(tǒng)（Safety Interlock System）。在石油化工生產(chǎn)裝置生產(chǎn)正常時，SIS處于休眠或靜止狀態(tài)，生產(chǎn)裝置或設施出現(xiàn)可能導致安全事故的情況時，能夠瞬間準確動作，使生產(chǎn)過程安全停止運行或自動導入預定的安全狀態(tài)[2]。

1.2 安全防護的相關概念

工業(yè)控制系統(tǒng)安全建設的難點在于其系統(tǒng)天然存在安全脆弱性，同時其應用的環(huán)境具有特殊性，集中應用在關鍵基礎設施、重點行業(yè)上。

基于ISA/IEC62443列出的安防脆弱性包括軟件缺陷、硬件失效、安防對策降級、證書重復使用、機密信息泄露、系統(tǒng)性錯誤導致誤組態(tài)或配置。

2 安全儀表系統(tǒng)的安全防護現(xiàn)狀

2.1 國內(nèi)外安全儀表系統(tǒng)安全防護研究

國際上對安全儀表系統(tǒng)安全的研究起步早，標準多，形成了相對成熟的技術規(guī)范和標準體系，包括 ISA制定的用于制造業(yè)和控制系統(tǒng)安全標準ISA-99;國際電工委員會IEC/TC65/WG10制定的IEC61508電氣/電子/可編程電子安全相關系統(tǒng)的功能安全、IEC61511過程工業(yè)領域安全儀表系統(tǒng)的功能安全;NS/ISA-S84.01（1996）安全儀表系統(tǒng)在過程工業(yè)中的應用;AICHE-1993化學過程的安全自動化導則。

國內(nèi)從2010年逐漸制定相關國內(nèi)標準，有關部門也下發(fā)了相應的文件，例如GB50770-2013《石油化工安全儀表系統(tǒng)設計規(guī)范》、安監(jiān)總管三[2014]116號《關于加強化工安全儀表系統(tǒng)管理的指導意見》以及近年從IEC引入的功能安全相關的GB/T 20438-2017《電氣 / 電子 / 可編程電子安全相關系統(tǒng)的功能安全》、GB/T 21109-2017《過程工業(yè)領域安全儀表系統(tǒng)的功能安全》。

3 安全儀表系統(tǒng)的功能安全

3.1 功能安全相關概念

安全儀表系統(tǒng)的功能安全，包含以下相關概念：

（1）安全完整性等級（Safety Integrity Level，簡稱SIL）用來規(guī)定分配給安全儀表系統(tǒng)的安全儀表功能的安全完整性要求的離散等級（4個等級中的一個），劃分為4級（SIL1～SIL4，），SIL4是安全完整性最高的等級，SIL1是最低等級。

（2）安全儀表功能（Safety Instrumented Function，簡稱SIF）。具有某個特定SIL的，用以達到功能安全的安全功能，它既可以是一個儀表安全保護功能，也可以是一個儀表安全控制功能。

（3）安全要求規(guī)范 （safety requirement specification，簡稱SRS）包含安全儀表系統(tǒng)應執(zhí)行的儀表安全功能的所有要求的規(guī)范。

（4）安全完整性，安全儀表系統(tǒng)在規(guī)定時段內(nèi)、在規(guī)定條件下滿足執(zhí)行要求的儀表安全功能的平均概率。

3.2 有效開展功能安全評估工作

安全儀表系統(tǒng)功能安全評估工作的目的：一是為了確保滿足功能安全目的所必需的管理活動是否有效;二是評估安全儀表系統(tǒng)是否達到了要求的SIL。

評估的前期準備工作主要是資料的準備，包括HAZOP分析報告、風險可接受標準、其他資料（同HAZOP分析）;儀表規(guī)格書、聯(lián)鎖邏輯圖等。評估人員的配備，包括評估小組組長、記錄員、其他成員（經(jīng)過培訓的有豐富經(jīng)驗的各專業(yè)人員及相關專家）[3]。評估工作首先應對生產(chǎn)裝置進行過程危害分析（PHA），常用的方法有事故（事件）樹分析、故障假設分析和危險與可操作性分析方法（HAZOP），目前比較常用的是HAZOP[4]。在過程危害分析（PHA）的基礎上進行SIF辨識及SIL確定，這里需要運用保護層分析（LOPA），保護層分析（LOPA）是半定量的工藝危害分析方法之一，先分析未采取獨立保護層之前的風險水平，通過參照一定的風險容許準則，再評估各種獨立保護層將風險降低的程度，其基本特點是基于事故場景進行風險研究。通過對HAZOP的細化和完善，從HAZOP的結果數(shù)據(jù)開始，通過文檔化引發(fā)原因和預防或減輕危險的保護層計算每個識別的危險。通過LOPA對確認的事故場景開展保護層分析，確認是否需要安全儀表功能SIF及SIL等級[5-6]。在對安全儀表功能SIF確定相應的SIL等級之后，需要進行SIL驗證，包括SIS配置是否滿足標準規(guī)范需求;按生命周期管理，有相應的安全要求規(guī)范及文檔;SIF回路要求時的平均失效概（PFDavg）、硬件故障裕度（HFT）和平均失效時間（MTTF）等是否滿足SIL等級要求[7]。SIL驗證中的重要環(huán)節(jié)為失效概率（PFD）的計算，目前常用的方法為馬爾可夫模型，同時需要包含在用安全儀表系統(tǒng)等設備的數(shù)據(jù)庫[8]。

完成SIL驗證后對于偏差較大的問題，特別是與安全要求規(guī)范偏差大的內(nèi)容要進行修改完善，對日常管理中的不足進行糾正，最終根據(jù)SIL定級和SIL驗證的結果，編制安全要求規(guī)格書，主要包含：項目概況、驗證程序、驗證清單、驗證結論、建議等，用于指導后期的設備維護工作。

3.3 安全管理

在安全儀表系統(tǒng)功能安全概念中，全生命周期管理始終貫穿始終，不同于以往設備管理的概念，安全生命周期管理包含包括了系統(tǒng)的概念、范圍定義、風險分析、安全分配要求、計劃編制、設計與實現(xiàn)、安裝試運行、操作維護修改、停用等。管理對象包括SIF回路 各階段的工作、信息、硬件、軟件、文檔全生命周期各階段的人員、部門、組織和其他單位。管理內(nèi)容包括人員管理、工作管理、資產(chǎn)管理、變更管理、信息管理、文檔管理、風險管理、維護管理。

4 結束語

安全儀表系統(tǒng)作為工業(yè)控制系統(tǒng)中的重要組成部分，其安全防護不可能一蹴而就，必須根據(jù)從設計源頭、運行維護、變更、停用等全生命周期的各個環(huán)節(jié)做到本質(zhì)安全，進而在安全性和適用性之間得以平衡。本文綜述了安全儀表系統(tǒng)安全防護的現(xiàn)狀，提出了切實的安全儀表的安全防護思路，希望為企業(yè)進行安全防護工作提供一些參考。

參考文獻

[1] 陶海. 工控系統(tǒng)安全防護問題對策研究[J]. 現(xiàn)代工業(yè)經(jīng)濟和信息化， 2017，7（19）：54-55.

[2] 陳立飛. 在役石化裝置安全儀表系統(tǒng)SIL驗證方法及日常管理的探討[J]. 石油化工自動化， 2019， 55（6）：1-5.

[3] 王若青， 孫成龍. 工藝過程危害分析在工程上的推廣應用[J]. 石油化工安全環(huán)保技術， 2010（5）：37-41.

[4] 方向榮， 莊力健， 袁文彬. 石化裝置安全聯(lián)鎖系統(tǒng)（SIS）常用評估方法探討[J]. 廣州化工， 2010（1）：199-201.

[5] 薛明. 淺議石化裝置SIS系統(tǒng)安全等級的提高[J]. 河南化工， 2017（6）：11.

[6] 靳江紅， 吳宗之， 胡玢. 對功能安全基礎標準IEC61508的研究[J]. 中國安全生產(chǎn)科學技術， 2009， 5（2）：71-75.

[7] 李佳嘉. 貫穿于全生命周期的功能安全[J]. 自動化儀表， 2006， 27（s1）：21-24.

[8] 劉建侯. 儀表型安全系統(tǒng)功能安全評估的應用研究[C].第七屆工業(yè)儀表與自動化學術會議論文集， 2006.