安全儀表系統設計實施過程中的幾個重要環節

潘 穎，李忠軍

（1.眾一阿美科福斯特惠勒工程有限公司，上海 200235；2.贏創（上海）投資管理有限公司，上海 201108）

隨著工藝裝置自動化水平的提高，從最早出現的簡單儀表到智能儀表、總線儀表；從最初的盤裝二次顯示儀表、控制儀表到小型PLC，再到大型集散控制系統BPCS，直到具有功能安全完整性的安全儀表系統（SIS）的出現，儀表控制系統在工業生產中的重要性越來越顯著。

SIS在保證裝置安全生產中起著重要的作用，國家應急管理部（前國家安全監管總局）關于加強化工安全儀表系統管理的指導意見安監總管三[2014]116號的頒布，對于石化、化工、煉油等領域的SIS設計提出更明確的要求。116號文中強調：“目前，我國安全儀表系統及其相關安全保護措施在設計、安裝、操作和維護管理等生命周期各階段，還存在危險與風險分析不足、設計選型不當、冗余容錯結構不合理、缺乏明確的檢驗測試周期、預防性維護策略針對性不強等問題[8]。”這一系列的問題均對安全儀表系統在整個生命周期中的安全功能有直接影響。本文將針對安全儀表系統設計過程中的幾個重要環節：HAZOP分析、SIL評估、SIS設計、SIL驗證，從概念、方法、作用以及面臨的問題等方面進行詳細的闡述。

圖1 SIS的構成Fig.1 Composition of SIS

1 術語

1.1 安全功能SF（Safety Function）

由SIS或其它技術的安全系統，或外部風險減低設施執行的功能，用以應對特定的危險事件，使工藝過程取得或保持安全狀態[6]。

1.2 安全儀表功能SIF（Safety Instrumented Function）

具有特定的安全儀表完整性等級的安全功能，對功能安全的實現是不可缺少的，可以是安全儀表保護功能，也可以是安全儀表減輕抑制功能，一個基本的SIF回路由檢測元件、邏輯控制器和最終執行元件組成[6]。

1.3 安全儀表系統SIS（Safety Instrumented System）

安全儀表系統（SIS）是用于執行一個或多個安全儀表功能的儀表系統。

如圖1所示，安全儀表系統由一個或多個具有安全儀表功能的安全儀表功能（SIF）組成，每個SIF都具有特定安全完整等級的安全功能，對于取得功能安全是不可或缺的，它可以是安全儀表保護功能，也可以是安全儀表抑制減輕功能[6]。

1.4 安全生命周期SLC（Safety Life Cycle）

從設計開始到安全儀表功能結束的整個時間段，一般石化化工裝置的生產生命周期通常為15～20年[2]。

1.5 安全保護層SPL（Safety Protection Layer）

安全保護層也叫獨立保護層IPL（Independent Protection Layer），作為一種風險降低措施，用于防止危險事件發生（降低發生頻率）或者減輕后果嚴重程度。每一層保護層都有一定的風險降低能力，層與層之間保持獨立，從內而外，在不同的時間節點發揮作用，從而構成風險降低的安全屏障[6]。

圖2 SIS內各SIF的關系Fig.2 Relationship between the SIF in SIS

1.6 保護層分析LOPA（Layer of Protection Analysis）

保護層分析法是IEC61511推薦的過程風險分析工具之一，是通過分析危險來確定是否需要SIF以及需要的SIF的安全完整性等級的一種評估分析方法[1]。

2 SIS設計、實施階段的幾個重要環節

2.1 HAZOP分析

安全儀表系統設計的目的是為了降低運行裝置中存在的風險，所以首先需要對裝置進行HAZOP（Hazard and Operability Analysis）——“危險與可操作性分析”，這是起源于20世紀60年代英國帝國化學工業公司（ICI）的一種以系統工程為基礎，針對化工裝置而開發的定性的危險性分析方法，用以識別出工藝過程安全方面的危險以及操作性問題[1]。

IEC508/IEC61511和ANSI/ISA-84.01-1996等功能安全標準中并未包含風險和可操作性分析HAZOP相關的內容，但是在安全儀表系統的整個生命周期中，HAZOP是至關重要的組成部分。只有充分地辨識出工藝生產過程中存在的風險，才能夠有針對性的設計出降低風險的措施[1]。

HAZOP整個分析過程以頭腦風暴的形式，由HAZOP主席領導，參與人員包括記錄員、工藝專家、儀表專家、現場操作和生產專家等。通過對確定的工藝過程劃分節點，選擇合適的引導詞和偏差來進行分析，發現潛在的風險，最終形成HAZOP分析報告，報告中會包含一個很重要的部分就是HAZOP分析記錄表，表格中記錄針對所有偏差分析的記錄，同時給出每個場景風險發生的頻率、人員傷亡的情況、級別定義。至此，裝置中的所有可能潛在的風險已經被一一分析記錄下來。

2.2 SIL評估

HAZOP分析的目的是識別風險，進而通過相應的安全功能（SF）有效地控制風險，是一種定性的分析方法。

圖3 洋蔥圖Fig.3 Onion chart

圖4 風險圖Fig.4 Risk diagram

SIL評估是在HAZOP分析的基礎上，一種半定量的風險分析和評估方法。通過初始事件、后果嚴重程度和發生的頻率來表征場景的風險，如果風險達到一定程度，需進行對存在風險和現有保護措施進行評估來確認是否需要增加其它的保護措施，以及保護措施的安全級別。再此之前，需要首先根據企業情況確定風險矩陣，確定可接受風險。

SIL評估的方法有很多，例如：安全層矩陣、風險圖、保護層分析（LOPA）、故障樹分析（FTA）、事件樹分析（ETA），其中保護層分析（LOPA）是目前采用比較多的一種評估方法。

保護層分析（LOPA）是通過分析危險來確定是否需要SIF以及需要的SIF的安全完整性等級的一種評估分析方法。采用保護層模型，如圖3所示，對需要評估的風險場景，分析其觸發原因及相應的保護層，找出風險缺口，確定由SIF承擔的風險降低量值（RRF），進而確定所需SIF的安全儀表級別SIL（Safety Instrumented Level）。

如圖4所示，向右的箭頭表示過程固有風險，向左的箭頭表示保護層及其降低風險的量級，包括BPCS、其它保護層，當現有的保護層無法將風險減低到可接受范圍之內的時候，需增加安全儀表功能。

SIF是所有安全功能（SF）中，相對比較復雜、PFD范圍可以選擇的一個保護層，IEC61511第1部分（3.2.74）中定義安全完整性等級是一種離散水平，用于規定分配到安全儀表系統中安全功能的安全完整性等級[1]。共分為4個等級：SIL1、SIL2、SIL3、SIL4。SIL4是最高的安全完整性等級，SIL1為最低級別的安全完整性等級[3,5]。

通過SIL評估，需要的SIF回路已經被識別出來，并確定了相應的安全完整性等級。至此，SIS設計目標已經確定。

2.3 SIS設計

SIS的設計是安全儀表功能落實的步驟，針對SIL評估中確定的SIF編寫安全要求規格書SRS（Safety Requirement Specification），規格書中針對SIS系統包含的所有SIF的功能性和安全完整性給出描述和規定，體現了HAZOP分析和LOPA的最終意圖，為SIS生命周期的后續活動提供依據，例如SIS的設計選型、工程實施、安全完整性驗證計算、維護、檢驗測試等[1]。

2.3.1 功能要求

功能要求包括安全狀態的定義，工藝輸入點及其聯鎖關停設定點、工藝參數正常操作范圍，工藝輸出點及其動作，輸入與輸出之間的邏輯關系，安全狀態的相應時間要求，操作員接口要求，是否需要手動停車、旁路、復位等[4,6]。

2.3.2 完整性要求

完整性要求是指安全回路完成相應安全功能的能力。在SRS中應列出的完整性要求包括每個SIF必須的SIL等級，為取得必須的SIL等級對診斷的要求，為取得相應的SIL等級對維護和測試的要求，最大允許誤關停率的要求，對安全功能的隔離要求等。

2.3.3 SRS的內容提綱[4,6]

1）SIF描述。

2）確定共因失效及其消除措施的要求。

3）SIF安全狀態定義。

4）當存在多個SIF同時動作可能產生額外危險的情況時，要對其安全操作和安全狀態分別進行定義。

5）預估SIF的要求源和要求率。

6）檢驗測試時間間隔的要求。

7）安全聯鎖動作系統相應時間要求。

8）每個SIF的SIL及其操作模式（高要求操作模式、低要求操作模式、連續操作模式）。

9）工藝過程測量值的量程及其預報警和聯鎖設定值。

10）SIF輸出動作以及最終狀態要求。

11）輸入與輸出之間的邏輯關系，包括邏輯、數學運算、許可和旁路等。

12）手動關停要求。

13）得電聯鎖（Energize to trip 勵磁動作）或失電聯鎖（De-Energize to trip 去磁動作）要求。

14）SIS啟動、聯鎖后動作復位、再啟動允許（Startup Permissive）和順序等要求。

表1 SIL驗證中牽涉的主要參數Table 1 Main parameters involved in SIL validation

15）最大允許誤關停率（Spurious Trip Rate）的要求。

16）SIS的失效模式及其失效的期望響應要求（例如：報警、隔離、自動關停等）。

17）SIS與其它系統之間的所有接口，包括和BPCS以及操作員的接口。

18）工藝裝置在不同的操作模式和操作狀態（包括試車、開車、正常操作模式、工藝單元切換等）下，對SIF的要求。

19）應用軟件安全要求。

20）旁路和禁止（Override/Inhibits/Bypass）及其取消操作的要求。

21）平均修復時間MTTR（Mean Time to Repair）要求。

22）應避免的SIS輸出狀態的危險組合。

23）對SIS運行環境狀態的要求，例如：溫度、濕度、電磁干擾、接地、防爆等。

24）在主要意外發生時，SIF操作的特殊要求，例如在火災發生時，閥門的動作要保持多長時間。

在SRS中關于SIF的SIL有明確的定義，例如SIF-01是一個SIL1的回路，采用一選一的結構，SIL評估中得出的風險降低因子RRF要求是50；SIF-02是一個SIL的回路，采用二選一的結構，SIL評估中得出的風險降低因子RRF要求是2000。所有的這些信息將指導后續的SIS系統詳細設計工作，包括儀表選型、儀表和系統冗余結構的搭建等（本文不做詳細描述）。

2.4 SIL驗證

2.4.1 定義

SIL驗證是基于IEC61508/IEC61511，針對已經設計的SIS系統，通過一定的計算方法對SIS系統的設計進行檢驗，以保證SIS所有回路在整個安全生命周期中均能滿足風險分析中所需要承擔的風險降低要求。

2.4.2 SIL驗證的作用

SIL驗證在整個安全生命周期中具有重要的作用，前期設計中設計選型不當、冗余容錯結構不合理、缺乏明確的檢驗測試周期等問題都可以在SIL驗證的過程中發現并指導調整[8]。

1）通過可靠性建模檢驗SIS系統的每一個安全回路的配置是否滿足設計以及與生產、維護兼容的要求。

2）根據驗證結果對后續設計進行必要的調整。

3）指導相關安全儀表廠商的選擇。

4）最終確保安全回路設計滿足作為獨立保護層的要求。

2.4.3 SIL驗證中牽涉的主要參數見表1[4,6]

2.4.4 SIL驗證中主要計算的幾個指標

1）根據失效數據和可靠性模型，結合SIF定義的檢驗測試周期，計算要求時的失效概率PFD。

2）計算安全失效分數（SFF），結合硬件故障裕（HFT），得出結構約束的安全完整性等級；SIF的安全完整性等級不僅僅取決于PFD值，同時也受架構約束，只有兩者同時滿足安全完整性的要求，才意味著回路的配置滿足SIF的安全完整性要求。

3）核實安全儀表的系統能力SC（Systematic Capability），確認選擇的儀表是否滿足用于該安全級別的回路。

4）還可根據企業需求，計算關鍵工藝過程的誤停車率（STR），誤停車是指由于SIS本身的故障導致的停車，雖然仍然會把整個過程導向安全位置，但也會因為停車而給企業帶來一定的經濟損失，這也是企業關注的一個指標。

IEC61511中提供了用于計算PFD和STR的簡單公式。

2.4.5 PFDavg簡單計算公式[4,6]

由此可見，安全性從高到低的排序為：1oo3 ＞ 1oo2 ＞2oo3 ＞ 1oo1 ＞ 2oo2。

2.4.6 STR簡單計算公式[4,6]

由此可見，可用性從高到低的排序為：2oo2 ＞ 2oo3 ＞1oo1 ＞ 1oo2 ＞ 1oo3。

2.4.7 設備安全參數的獲取途徑

SIL驗證所需設備的安全參數的可靠性直接影響SIL驗證計算的結果，進而影響SIS系統的設計準確性，目前設備的安全參數有如下幾種獲取途徑。

最可靠的也最難獲得的是終端用戶的現場安全數據，包括：

◇ 維修活動。

◇ 預防和校正性維護。

◇ 性能測試（標定）。

◇ 投訴中心等。

大數據時代，隨著智能化工廠的普及，安全數據的積累將更容易實現，隨著SIS管理體系的完善，期望未來現場安全數據將會成為獲取安全數據的主要來源進而取代第三方的認證，這些來自現場的真實的故障率數據更真實可靠。

1）當然這對于中小型工廠來說存在很大的困難，記錄的數據量不足以支撐計算失效概率，但也并不是無解的，可以考慮通過專門的組織來統一收集、整理，當然這要建立在安全儀表系統的管理體系已經標準化的基礎之上，各家企業儀表管理和數據采集的流程都是標準化的，也許這還需要一個漫長的發展過程。

2）其次，第三方評估（例如由TUV、Exida等）機構頒發的認證證書，這也是目前最多被采用的一種方式。

3）第三，工業數據庫或文獻。

4）第四，設備供貨商給出的數據（Package廠商），例如鼓風機廠家，提供鼓風機的同時也會成套提供儀表設備和小型的控制系統，同種類型的儀表隨著設備有大量的使用，具備大量收集數據的基礎。

3 結束語

安全儀表系統是工藝生產過程中至關重要的安全保護措施，以上各環節的落實可以確保其在設計、實施階段滿足相應的功能安全及其完全完整性的要求，為進入生產階段的SIL保持提供基礎。

安全儀表系統提出的是全生命周期的概念，無論是本文提及的前期的設計實施，還是后期的現場管理，每一個環節的落實都是不可或缺的，都必須嚴謹對待，這樣才能真正實現其安全功能。