功能安全評估在工藝安全管理中的應用

呂永輝

(浙江醫(yī)藥股份有限公司，浙江 紹興 312000)

化工裝置中的安全儀表系統(tǒng)(SIS)與其他獨立保護層(IPL)，如基本過程控制系統(tǒng)(BPCS)、報警、安全泄壓系統(tǒng)等共同構成了裝置的安全保護系統(tǒng)。每一個保護層都能夠獨立于其他系統(tǒng)，獨自實現(xiàn)安全功能。各保護層的風險削減能力取決于其功能性、獨立性、可用性及存活能力。各保護層的設施完整性包含了可靠性、可檢測性等要求。為了合理地設置各保護層的風險削減能力，有效地保持其完整性，必須進行高質量的功能安全評估，從而使各個保護層發(fā)揮其最大作用遏制重大事故，并有效推動工藝安全管理的實施。

1 功能安全評估與管理概述

和功能安全相關的標準主要有： IEC 61508[1]，對應中國國家標準為GB/T 20438[2]，是功能安全的基礎標準，涵蓋了繼電器、固態(tài)和可編程邏輯，包括現(xiàn)場儀表。該標準適用于核工業(yè)、鐵路、醫(yī)療、家電、機械及流程工業(yè)領域，IEC 61508針對由電氣/電子/可編程電子組件構成的、起安全作用的電氣/電子/可編程電子系統(tǒng)(E/E/PE)整體安全生命周期的開發(fā)設計過程，提供一個基礎的評價方法，針對采用電氣/電子/可編程電子技術來實現(xiàn)預期功能安全設計的安全相關產品或安全相關系統(tǒng)，給出分階段、具體的、分等級的技術解決方案。IEC 61511[3]，對應中國國家標準為GB/T 21109[4]，適用于過程工業(yè)領域安全儀表系統(tǒng)的功能安全，描述了流程工業(yè)功能安全系統(tǒng)的工程設計、評估計劃、工程實施、運行管理與維護校驗的細節(jié)要求與做法。其他如GB/T 50770—2013《石油化工安全儀表系統(tǒng)設計規(guī)范》[5]主要側重于指導設計。

功能安全評估需依托相關標準開展，通過工藝危害分析充分辨識事故場景，分析初始發(fā)生概率及最嚴重后果，并根據(jù)各個保護層的設置情況，進而確定功能安全回路安全儀表功能(SIF)的安全關斷動作要求及合理的安全完整性水平，該過程被稱為安全完整性等級(SIL)定級。SIL定級后，需編制安全要求規(guī)格書(SRS)，以指導SIS整個生命周期內的設計要求、性能要求及操作要求。SIL驗算可以幫助確認系統(tǒng)的配置是否滿足安全完整性水平及SRS中的細節(jié)要求。

功能安全評估不合理可能會導致兩類問題發(fā)生： 一類是導致投資過度，管理及維護負荷重，裝置誤動作停車頻繁；另一類更嚴重的問題是SIS拒動，無法實現(xiàn)預期的功能安全保護作用，發(fā)生嚴重安全事故。

基于以上標準，功能安全生命周期的功能安全管理活動如圖1所示，各階段的管理活動是互相關聯(lián)的，需合理安排功能安全生命周期內各個環(huán)節(jié)的管理活動，使各環(huán)節(jié)的輸入輸出數(shù)據(jù)與信息有效銜接，管理上縱向保證沒有環(huán)節(jié)的缺失，橫向充分覆蓋整個功能安全系統(tǒng)，才能有效發(fā)揮功能安全作用，從根本上提高工藝安全管理水平。

圖1 功能安全生命周期的功能安全管理活動示意

SIL定級通常是以頭腦風暴會議的形式進行，參會人員主要包括： 操作、工藝、自控、電氣、HSE等多個專業(yè)的人員參加。團隊主席需嚴格遵循評估規(guī)則，引導團隊發(fā)揮各自知識和經(jīng)驗，系統(tǒng)評估每一個高后果嚴重性的初始場景。

SIL定級的方法有很多，如圖表法、風險矩陣法、保護層分析(LOPA)法等。在IEC 61511—2016附錄F中推薦使用LOPA分析法[6]。LOPA是一種半定量分析方法，其評估內容包括： 確定初始事件場景、事件嚴重性、事件發(fā)生的初始原因、初始原因發(fā)生的概率、辨識獨立保護層、各獨立保護層削減風險的程度，并判斷現(xiàn)有保護層是否可以將風險降低到可接受范圍內，以及判斷是否需要增設額外的保護措施及SIF回路的SIL等級。

IPL包含一組設備或管理措施，如： 過程控制、報警、其他功能安全回路、安全泄壓系統(tǒng)等。IPL應同時具備以下4個特征，缺一不可： 有效性，至少能夠避免初始事件發(fā)展為事件后果；獨立性，各保護層都應當獨立于其他保護層，不依賴其他保護層發(fā)揮安全功能；可靠性，保護層的隨機失效和系統(tǒng)性綜合失效頻率不大于1×10-1；可審核性，保護層的功能可以進行定期或在線校驗[7]。

SIL驗算采用可靠性框圖(RBD)與馬爾可夫算法進行可靠性建模。根據(jù)各功能安全回路的結構配置、操作模式信息，構建各功能安全回路的可靠性框圖。確定出各器件失效率數(shù)據(jù)λDD，λDU，λSD，λSU，結合檢驗測試周期(TI)、檢驗測試覆蓋率(CTI)、平均修復時間(MTTR)等分析計算出各功能安全回路的要求操作模式時平均失效概率(PFDavg)、平均誤動作停車時間間隔(MTTF)、安全失效分數(shù)(SFF)、硬件故障裕度(HFT)等參數(shù)，從而確定該安全功能回路滿足要求[8-11]。

2 功能安全管理中的誤區(qū)與問題

在功能安全管理的實踐活動中，存在以下幾類問題：

1)基本概念理解不足。對功能安全系統(tǒng)的基本概念理解不足導致很多片面或者錯誤的行為，如： 將DCS與SIS的功能、硬件、管理內容等不做任何區(qū)分；認為SIF回路的SIL等級為SIL2，則回路中所有的元器件都必須是經(jīng)過SIL2認證的；另外，只關心SIF回路能否可靠性關斷，不重視誤動作停車；或反之，不重視系統(tǒng)整體性能與冗余結構配置等。

2)重設計、輕評估。重設計、輕評估或不評估導致設計缺乏依據(jù)，隨意性很高。設計與實施的過程缺失了國內外相關標準中要求的多個管理環(huán)節(jié)，技術上不滿足標準要求，執(zhí)行程序上不滿足安監(jiān)總局的法規(guī)要求，無論是業(yè)主單位或設計單位相關人員將承擔很大合規(guī)性的責任。

3)重建設、輕管理。項目建設階段已經(jīng)設置SIS，但忽略了安裝調試與校驗測試多個環(huán)節(jié)的技術要求、也不重視電磁干擾(EMC)等因素對SIS可靠性的影響，并且在運行階段忽視了SIS的維護校驗與變更管理，從而導致SIS發(fā)生誤動作或拒動。更嚴重的是以SIS發(fā)生誤動作為理由，隨意進行變更，簡單地把回路停用或隨意改變設定點及延時，而不從根本上解決系統(tǒng)配置與可用性問題[9]。裝置運行期間的檢維修測試間隔及檢驗測試覆蓋率要求，應遵守SIL驗算中所使用的相關數(shù)據(jù)。應重視檢測測試間隔對SIL等級的影響，如同樣硬件與結構配置的SIF回路若采用12個月與48個月2個不同的檢測周期，其回路可靠性相差1個SIL等級。

4)強調硬件忽視工程人員能力。一流的裝置、一流的硬件更需要一流的工程人員能力，定級、驗算、設計、安裝、校驗等多個功能安全管理環(huán)節(jié)都對執(zhí)行人員的能力提出了要求，人員能力的不足會導致功能安全管理每個環(huán)節(jié)的執(zhí)行效果變差，經(jīng)過多個環(huán)節(jié)的傳遞放大，最終的結果必背離初衷。

5)重視SIS忽視其他IPL。不同的IPL按一定順序觸發(fā)，各自發(fā)揮其作用，與SIS共同承擔了避免初始事件發(fā)展為后果場景的風險削減任務。因此，當總風險削減任務不變時，IPL的數(shù)量變化及需求時失效概率變化將直接影響到SIF回路的完整性。IPL對SIL的影響如圖2所示。

圖2 IPL對SIL的影響示意

除了變更、人為禁用或拆除等原因導致IPL失效外，為了進一步理解影響各IPL的需求時失效概率發(fā)生變化的原因，依據(jù)IEC 60812： 2006對各IPL做系統(tǒng)FMEA失效模式及影響分析[12]，其中失效模式及代碼依據(jù)ISO 14424： 2004編制[13]，見表1所列。

3 通過功能安全評估帶動提高工藝安全管理水平的措施

針對SIS管理過程中發(fā)現(xiàn)的問題提出以下措施，以期通過功能安全評估帶動提高工藝安全管理水平。

表1 獨立保護層的失效模式及影響分析

1)加強相關人員能力培養(yǎng)與制度建設。配置專業(yè)儀表工程師進行儀表及聯(lián)鎖系統(tǒng)管理，相關人員需經(jīng)過功能安全的專業(yè)培訓；編制匯總性的功能安全管理計劃即聯(lián)鎖系統(tǒng)管理規(guī)定，將SIS生命周期內各項管理任務進一步明確，特別是所要求的輸入文件、具體任務、成果文件、執(zhí)行時機等；優(yōu)先編制SIS及各個SIL回路的SRS，在開車前對SIF回路逐一進行測試，在投產前的安全分析中進行復審；編制安全設施禁用與變更管理的實施細則，明確禁用權限。

2)完善工藝安全信息管理。應滿足IEC 61511—2016中規(guī)定的SIL等級，包含對信息完整性的要求，如： P&ID圖中報警及聯(lián)鎖應與實際情況符合，報警和聯(lián)鎖標識正確清晰；操作手冊應明確報警及聯(lián)鎖后的人員響應要求；聯(lián)鎖值和報警值一覽表清晰準確；儀表與聯(lián)鎖系統(tǒng)的關鍵文件，如管理臺賬、調試記錄表、投用率臺賬、聯(lián)鎖解除單完備；事件事故有完整記錄，并經(jīng)過事故分析，變更管理的記錄臺賬清晰。

3)積累失效數(shù)據(jù)能有效地幫助企業(yè)進行安全與可靠性管理。對SIS的誤動作、拒動作應在大事記或儀表專業(yè)專項文件中進行記錄；企業(yè)對儀表、SIS及控制閥的故障進行記錄，并對各元件的失效模式進行統(tǒng)計，通過大樣本數(shù)據(jù)的積累，指導可靠性維修、預防性維護及關鍵備件計劃，建立儀表準入制度及失效數(shù)據(jù)庫。

4)重視其他IPL的管理。認真評估工藝控制回路的設計意圖與控制邏輯，將自控回路投用率納入工藝安全管理指標；根據(jù)原國家安監(jiān)總局安監(jiān)總管三〔2014〕116 號文《關于加強化工安全儀表系統(tǒng)管理的指導意見》中關于開展報警優(yōu)化工作的內容，對控制系統(tǒng)報警實行分級管理，梳理報警設定值，實施各類報警抑制措施，減少報警泛濫；優(yōu)化報警的顯示顏色、閃爍頻率、文字提示、聲音等人機界面；明確報警響應動作要求并細化到具體步驟；對報警設置管理指標并持續(xù)優(yōu)化報警管理；依據(jù)壓力容器管理法規(guī)對安全閥等安全附件按期進行嚴格校驗，在工藝變更中特別關注安全閥等安全設施的適用性，放空與火炬系統(tǒng)的完整性；將圍堰作為儲罐的一部分進行完整性管理。

5)建立SIS與IPL的管理指標，見表2所列。管理指標可以參考圖2，分為不同級別進行設置，并考慮不同的關注點。關注點應包含： 獨立性、功能性、可用性、可靠性、可檢測性、數(shù)據(jù)安全與授權、變更管理共七個方面。

a)獨立性。獨立性是SIF與IPL的重要特征，是在功能、物理、人員上都應做到獨立性，不依賴其他保護層發(fā)揮功能，避免控制、聯(lián)鎖、報警等共用執(zhí)行元件，避免共因失效。如保護同一場景的不同SIF，應使用同樣的檢測元件，在進入不同卡件安裝時避免布置在同一接線槽等。操作人員與定期儀表校驗的人員應盡量獨立，避免慣性思維導致檢驗測試時漏檢。

表2 SIS與IPL的管理指標

b)功能性。功能性就是SIF與IPL在需求時的風險削減能力，特別是當發(fā)生工藝變更、SIF與IPL變更時，應特別關注是否依然能夠具備要求的風險削減能力。

c)可用性。SIF回路的可用性即誤動作停車，往往容易被忽略。在實際生產中過度保護易導致頻繁停車，而開停車階段事故發(fā)生概率最高。在IEC61511： 2016中，可用性與可靠性指標被同時提出。不同冗余配置時的可靠性關系如圖3所示。

圖3 最佳冗余設置示意

d)可靠性。實際生產中獨立保護層如控制回路、報警、SIF、安全閥等可能被旁路或摘除，SIF回路所承擔的風險任務會相應增加，導致不滿足要求。因此，IPL摘除應設置管理權限，并在摘除期間采取臨時性的管理措施， 如： 當某一關鍵控制回路由自動改為手動后，該保護層失效，可能采取的臨時措施包括： 現(xiàn)場巡檢的頻率增加或人員在現(xiàn)場值守；將相關報警的級別提高；操作程序內明確手動操作的詳細步驟、時間、工藝參數(shù)；提前進行SIF回路功能測試等。

e)可檢測性。SIF與獨立保護層都應該針對其失效模式進行定期的校驗測試。可測試性體現(xiàn)在測試計劃與測試記錄中，包含： 測試周期、覆蓋率、測試人員能力與資質、測試設備要求、不符合項處理等。在線檢測，如： 關斷閥門的部分行程測試功能可以提高測試頻率，提供有預測性的維護數(shù)據(jù)、延長閥門全行程測試周期、減少旁路設置。

6)進行周期性的功能安全審計與評估。在IEC 61511： 2016中明確要求在役裝置的SIS與IPL應定期進行功能安全分析/審核，推薦周期不長于5 a。這是一個階段性的審核與驗算，需考慮過去1個周期內的所有變更、事故事件，并由獨立方實施。

4 結束語

作為管控重大工藝安全事件的關鍵安全設施，SIS必須與其他IPL作為一個整體進行管理，做到： 人員技能有保障，制度完整可實施；功能安全評估，充分辨識與評估風險場景，合理分配各個保護層的分線削減任務；系統(tǒng)配置兼顧可靠性與可用性；重視聯(lián)鎖系統(tǒng)也重視其他保護層；新建設施的設計優(yōu)化、實施質量有保證；在役設施的校驗計劃合理、執(zhí)行有保證；建立指導性的管理指標，定期進行階段性管理審核。通過功能安全系統(tǒng)的各項管理活動，將工藝安全管理的諸多要素， 如： 工藝安全信息、工藝危害分析、變更管理、操作程序、投產前安全分析、機械完整性、培訓等有機串聯(lián)起來，真正提高工藝安全管理水平，有效控制重大事故的發(fā)生。