機械工業(yè)儀器儀表綜合技術經(jīng)濟研究所 史學玲,馮曉升

1 引言

《安全生產(chǎn)法》第二十四條規(guī)定：“生產(chǎn)經(jīng)營單位新建、改建、擴建工程項目的安全設施，必須與主體工程同時設計、同時施工、同時投入生產(chǎn)和使用。安全設施投資應當納入建設項目概算?！边@一要求一般被稱之為“三同時”制度?！叭瑫r”制度從源頭上消除各類項目可能造成傷亡和職業(yè)病的危險因素，防止事故發(fā)生，避免因安全問題造成不必要損失，是確保本質(zhì)安全的有效法律制度。

“三同時”制度中提到的安全設施包括安全與衛(wèi)生設備、個體防護措施和生產(chǎn)性輔助設施。這些設施的安全功能是消除或減輕危害因素、防止傷亡事故和職業(yè)病的發(fā)生。每種安全設施可以執(zhí)行一個或多個安全功能，每一個安全功能都能降低一定的風險。而就一個項目而言，無論這個項目是石油、化工裝置還是機械設備，采用安全設施執(zhí)行安全功能后，這套石油、化工裝置或機械設備的安全就在很大程度上依賴于安全設施能否正確執(zhí)行其安全功能。

“三同時”制度在我國實施已經(jīng)多年，對我國安全生產(chǎn)起到了極為關鍵的作用。但進一步分析歷年來發(fā)生的工業(yè)事故，會發(fā)現(xiàn)安全設施的有效性是一個急待解決的問題。

功能安全防止的是安全設施的功能失效所導致的危險，解決的是安全設施有效性問題。因此，研究建立我國功能安全保障體系，對于“三同時”制度的有效性實施具有十分重要的意義。

2 功能安全與安全完整性等級的基本概念

功能安全是2000年以后興起的一項安全工程學科，旨在防止安全設施功能失效所導致的危險。

功能安全包括技術和管理兩方面內(nèi)容，涉及石油、化工、機械、能源等多個領域，是通過提高安全設施有效性來控制與保護各類危險源，避免或減少工業(yè)事故對公眾和環(huán)境的影響，防止各類裝備尤其是成套裝置發(fā)生不可接受危險的技術。

例如，鍋爐控制系統(tǒng)是一種安全設施，其功能是當鍋爐壓力達到危險值時關閉爐火。如果這個功能失效，壓力達到危險值時爐火不能熄滅，而是持續(xù)燃燒，鍋爐就會爆炸，人員就會遇到危險。在這種情況下，安全依賴于鍋爐控制系統(tǒng)執(zhí)行正確的功能。鍋爐控制系統(tǒng)承擔了一定的風險降低能力，鍋爐容量越大、壓力越高，這套控制系統(tǒng)承擔的風險降低要求也越高。

安全設施的每一個安全功能都對應降低某一個危險事件的風險，在2000年推出的功能安全基礎標準IEC61508[1]中，把每一個安全功能降低風險的能力定義為安全完整性等級（Safety Integrity Level; 以下簡稱SIL），如果安全設施可以將風險降低一個數(shù)量級，也就是說，采用該安全設施后，原來一年發(fā)生一次事故的概率可以降為幾十年發(fā)生一次，表示該安全設施具有SIL1的能力。如果安全設施可將風險降低4個數(shù)量級，也就是說，采用該安全設施后，原來一年發(fā)生一次事故的概率可以降為幾萬年發(fā)生一次，表示該安全設施具有SIL4的能力。

引入功能安全與SIL概念后，安全設施的有效性問題可以用系統(tǒng)的、量化的方法得到解決。首先根據(jù)基礎的風險分析與保護層分析確定每一個安全設施需要承擔的風險降低要求（SIL要求），然后用系統(tǒng)性安全性分析確定該安全設施實際能夠承擔的風險降低能力（SIL能力）。安全設施每一個安全功能的SIL要求與SIL能力相比，SIL要求等于SIL能力，則表示整套裝置的安全設施配置合適；SIL能力小于SIL要求，則表示安全設施配置不合理或不安全；SIL能力大于SIL要求，則表示存在過保護現(xiàn)象，后果是資產(chǎn)浪費且可能引入新的不安全因素。功能安全分析法就是這樣采用SIL指標來確定每一個安全設施配置的有效性與安全性的。

SIL的概念適用于所有安全設施，只要它承擔的是風險降低功能，就可以用量化的方法確定其風險降低能力。但由于每一種安全設施的技術特點差別極大，針對每一種安全設施確定SIL能力是一項十分復雜的工作。

功能安全具有以下特點：

（1）功能安全將安全轉(zhuǎn)化為SIL控制。綜合事故發(fā)生可能造成的人員傷亡、財產(chǎn)損失、環(huán)境破壞的嚴重程度，國家用法律的方式明確各生產(chǎn)經(jīng)營單位的安全風險控制目標，各生產(chǎn)經(jīng)營單位將企業(yè)的安全風險控制目標分解到每一個危險源，最后轉(zhuǎn)化為每一個安全設施的功能安全。這樣就形成了一個國家-生產(chǎn)經(jīng)營單位-危險源控制的風險控制體系。

（2）功能安全從系統(tǒng)整體的安全要求出發(fā)，不但將安全責任與組織管理程序進行科學的分解，而且將構(gòu)成系統(tǒng)的結(jié)構(gòu)與諸元素的SIL進行科學分解。由這些分解的整體構(gòu)成有序的系統(tǒng)，在合理分工的基礎上進行嚴密有效的協(xié)作，通過科學的組織管理體系和安全儀表系統(tǒng)集成來實現(xiàn)安全的總體目標。

（3）功能安全是系統(tǒng)論、控制論、現(xiàn)代安全管理等學科相互滲透、交叉發(fā)展而成。功能安全方法就是應用這些學科技術來實現(xiàn)系統(tǒng)的模型化和最優(yōu)化，把定性分析和定量分析緊密結(jié)合，進行系統(tǒng)分析和系統(tǒng)設計。

3 安全相關系統(tǒng)的功能安全與SIL

安全相關系統(tǒng)（safety-related system）是“三同時”制度中提及的安全設施的一種。

安全相關系統(tǒng)包括安全控制系統(tǒng)與安全保護系統(tǒng)兩大類，其功能是檢測危險事件，當危險事件發(fā)生時，安全相關系統(tǒng)將采取適當?shù)膭幼骱痛胧?，防止被保護對象進入危險狀態(tài)，避免危及人身安全，保護財產(chǎn)不受損失。如鍋爐壓力達到一定值時爐火自動熄滅；危險化學品運輸車出事故后的社會應急保障；礦井內(nèi)有害氣體達到危險值時報警并自動進入應急狀態(tài)；當有人進入危險區(qū)域時電鋸自動停止動作……這類系統(tǒng)在不同領域有不同名稱，在石油化工領域統(tǒng)稱為安全儀表系統(tǒng)（SIS；以下稱安全相關系統(tǒng)為安全儀表系統(tǒng)）。

安全儀表系統(tǒng)通常都是綜合性的、復雜的，難以確定實際操作中的每一種失效模式，也很難測試所有可能發(fā)生的狀況，技術缺陷、硬件或軟件的偶然失效、環(huán)境、管理人員，任何一個環(huán)節(jié)都有可能導致系統(tǒng)功能失效，從而導致危險發(fā)生。因此，需要采用系統(tǒng)性方法確定其SIL能力。

為了實現(xiàn)安全儀表系統(tǒng)的功能安全，首先要對安全儀表系統(tǒng)實現(xiàn)風險控制的總體能力進行評估與控制，即要確切地了解它能做什么（執(zhí)行什么安全功能），和能多大程度地相信它（即能降低幾級風險，SIL能力是多少）。然后通過對系統(tǒng)中每一個功能單元，包括子系統(tǒng)和器件、人員、組織的功能安全進行管理與控制來實現(xiàn)SIL能力。用系統(tǒng)中每一個功能單元的可靠工作，保證整個系統(tǒng)在需要時執(zhí)行的正確功能，從而控制和防護危險。[2]

為了保證安全儀表系統(tǒng)的SIL能力，應完整考慮以下所有方面：

（1）研究方法的整體化。不僅把安全儀表系統(tǒng)看作是一個整體，而且把安全儀表系統(tǒng)的整個生命周期也看作是一個整體，以整體協(xié)調(diào)的需要來研究局部問題，并選擇優(yōu)化方案，綜合評價系統(tǒng)的效果。

（2）安全管理與責任體系科學化。一個安全儀表系統(tǒng)的運行存在兩個并行的過程，一個是系統(tǒng)設計、使用過程，一個是對系統(tǒng)的計劃、組織和控制的過程。要保證安全儀表系統(tǒng)的SIL能力，需要明確兩個過程中所有相關人員的職責范圍和工作目標，建立安全儀表系統(tǒng)的責任體系。

（3）各門學科的協(xié)調(diào)化。安全儀表系統(tǒng)是一個技術綜合體，它跨越許多學科，而且是填補這些學科邊界空白的邊緣學科。它不僅涉及工程學的領域，還涉及社會、經(jīng)濟和政治等領域。所以為了適當解決這些領域的問題，它要求從系統(tǒng)的總體目標出發(fā)，綜合運用各種科學技術，并使它們協(xié)調(diào)配合而達到系統(tǒng)整體的優(yōu)化。

（4）安全的相對性。功能安全將安全定義為“沒有不可接受的風險”，即用系統(tǒng)功能失效導致危險的概率來表示發(fā)生事故、造成人員傷亡或財產(chǎn)損失的危險性，如果此概率小于法律規(guī)定的限度，就是允許的。

（5）基于風險的量化技術。用數(shù)學的方法量化安全儀表系統(tǒng)的安全完整性，是功能安全控制技術的核心。用SIL級別表明最終用戶可以多大程度地相信工業(yè)過程的安全性。

（6）建立結(jié)構(gòu)與功能的數(shù)學關系。系統(tǒng)的安全完整性表現(xiàn)在系統(tǒng)內(nèi)部的硬件、軟件、通訊等諸要素之間及系統(tǒng)與外部環(huán)境之間的關系上。系統(tǒng)內(nèi)部諸要素之間的聯(lián)系為內(nèi)部聯(lián)系，表征內(nèi)部聯(lián)系的范疇，稱為結(jié)構(gòu)。系統(tǒng)與外部環(huán)境之間的聯(lián)系為外部聯(lián)系，表征這種聯(lián)系的范疇稱為功能。要素、系統(tǒng)、環(huán)境三個環(huán)節(jié)，是通過結(jié)構(gòu)和功能兩個中介的溝通而有機聯(lián)系起來的。

（7）戰(zhàn)略性安全解決方案。從安全戰(zhàn)略角度來看，不僅考慮了各獨立系統(tǒng)中所有元器件的問題，如傳感器、控制器、執(zhí)行器等，而且考慮了由所有安全儀表系統(tǒng)構(gòu)成的組合安全儀表系統(tǒng)的問題。

4 功能安全標準與國際國內(nèi)應用現(xiàn)狀

國際電工委員會（IEC）、國際標準化組織（ISO）分別開始制定功能安全相關標準，第一批制定的標準中主要涉及的是安全儀表系統(tǒng)，也就是由電氣、電子、可編程電子為技術基礎的控制與保護系統(tǒng)的功能安全，包括IEC61508、IEC61511、IEC62061等幾十個標準，涉及石油、化工、冶金、電力、機械制造、電梯、家電等多個領域。這些標準出臺后，歐盟指令、美國職業(yè)安全與衛(wèi)生管理局（OSHA1910_134）、美國環(huán)保署（EPA40CFRPart68）、英國（HSE）都將其納入安全法規(guī)范疇。

各應用領域安全儀表系統(tǒng)的功能安全標準制定后，已經(jīng)成為各領域進行安全儀表系統(tǒng)設計、安裝、維護、改造等活動的安全規(guī)范。以流程工業(yè)領域為例，當公司為了降低風險采用安全儀表系統(tǒng)，如安全儀表系統(tǒng)、緊急停車系統(tǒng)、關鍵控制等系統(tǒng)時，在設計、安裝、運行、維護直到系統(tǒng)停用的全過程都必須嚴格遵守功能安全標準（IEC61511和IEC61508），如果發(fā)現(xiàn)哪家公司在某一步驟沒有執(zhí)行標準，相關組織就會對該公司施以重罰。更嚴重的是，如果由于沒有執(zhí)行標準出現(xiàn)了事故，無所不在的律師會幫助事故受害者要求巨額賠款，而陪審團對于不執(zhí)行標準的公司是沒有同情心的。

由于不同領域的功能安全標準都要求使用的設備必須符合IEC61508標準，用戶的要求促使各設備制造商紛紛推出高安全等級的產(chǎn)品，一個統(tǒng)一的符合IEC61508標準的安全產(chǎn)品供應鏈和安全技術產(chǎn)業(yè)正在形成。用戶要求供應商提供經(jīng)過認證的產(chǎn)品，要求工程承包商具備經(jīng)認證的資質(zhì)，這樣，就促進了IEC61508的認證、服務、培訓、工程服務等中介機構(gòu)的發(fā)展。目前德國的TüV組織、美國的FM Global、英國的Sira認證服務公司等國際知名機構(gòu)開始了功能安全認證服務，內(nèi)容涉及產(chǎn)品認證、工廠認證、設備安裝認證與資格認證等多方面。

我國的功能安全研究工作從1999年開始。機械工業(yè)儀器儀表綜合技術經(jīng)濟研究所、全國工業(yè)過程測量與控制標準化技術委員會、全國機械安全標準化技術委員會等組織從轉(zhuǎn)化IEC61508、ISO13849等功能安全標準為中國國家標準入手，研究其關鍵技術與檢測評估方法，目前已經(jīng)建立相應的功能安全評估能力與檢測手段，并在石油、化工、機械等領域試點應用。中國合格評定認可委員會（CNAS）已經(jīng)認定了兩個從事功能安全評估的實驗室。鐵路、流程工業(yè)、機械等領域多家供應商都開始進行產(chǎn)品SIL適應性認證工作，一個功能安全產(chǎn)品產(chǎn)業(yè)鏈正在形成。

5 我們的對策

功能安全的最大作用是可以針對危險事件建立有效的控制措施，預先防止事故發(fā)生，或者在出現(xiàn)危險時知道怎樣去控制它。因此，它對我國安全生產(chǎn)與安全保障具有十分重要的意義。

我國的安全生產(chǎn)形勢依然嚴峻，原因是多方面的，但最根本的原因是系統(tǒng)方面的問題。這些系統(tǒng)上的缺陷被腐敗等問題掩蓋了，系統(tǒng)的缺陷使得我們無法整合現(xiàn)有技術與條件，有時使用再好的設備、干部工作再努力，也只能在一次次事故面前束手無策；系統(tǒng)性的缺陷導致了安全管理政出多門，市場混亂，法制環(huán)境惡劣，責任追溯困難，生產(chǎn)經(jīng)營單位為了維持正常的生產(chǎn)需要支付的各種費用大增，但安全問題并沒有確實得到解決。這已經(jīng)成為一個定式：事故發(fā)生，媒體曝光，驚動領導，嚴肅查處，停業(yè)整頓，關停一片類似企業(yè)。常常有高層領導引咎辭職，不斷見事故的處罰力度在加大，措施不可謂不嚴厲。然而，上一事故的一整套程序剛走完，下一個事故又發(fā)生了，于是這個程序又重復一遍，周而復始。頻發(fā)的事故已成為制約經(jīng)濟社會和諧發(fā)展的重要因素，嚴重損壞國家形象與對外貿(mào)易，使我國的經(jīng)濟安全遭受巨大損害。

中國實行經(jīng)濟體制改革以后，原有的工業(yè)生產(chǎn)管理體系被打破了，我國的大部分工業(yè)部被撤銷，有的成了公司，有的先是改成行業(yè)協(xié)會，后來又變成經(jīng)貿(mào)委下屬的工業(yè)局，最后成為發(fā)改委的一個處，基本上喪失了行業(yè)管理與監(jiān)督的功能。國家對工業(yè)的管理，僅限于標準與安全兩個方面。但此時新的適應市場經(jīng)濟的安全生產(chǎn)管理體系還沒有建立，落后的安全技術水平及落后的安全標準現(xiàn)狀，也不能為安全生產(chǎn)法制化管理提供足夠的技術支撐。安全生產(chǎn)在原有的路子上已經(jīng)走到了盡頭，新的用標準與法規(guī)實現(xiàn)安全的解決對策還沒有形成。

功能安全標準，作為一個系統(tǒng)解決安全問題的標準系列，全方位地展示了歐美等國一百多年工業(yè)實踐中總結(jié)的，與安全控制有關的法律基礎、標準體系、管理制度與方法措施，為我國以風險管理模式建立科學的安全生產(chǎn)組織與管理體系提供了極好的借鑒。

功能安全技術標準的出臺為我國采用與國際接軌的安全技術和管理理論，改變目前這種被動局面提供了條件。在此基礎上建立我國功能安全保障體系，對于我國在市場經(jīng)濟條件下用標準和法規(guī)規(guī)范企業(yè)安全控制行為，用市場化運作方式推動功能安全技術產(chǎn)業(yè)化進程、推動從事功能安全技術服務的中介機構(gòu)的發(fā)展，提高我國安全防護技術和管理水平、降低整套裝置及重要危險源、事故隱患點的風險，大幅度減少經(jīng)濟損失和事故死亡人數(shù)，從而達到保障國家經(jīng)濟安全的目的具有極為重要的意義。

必須建立一套完整的體系，通過實施功能安全標準戰(zhàn)略，才能使功能安全標準真正起作用。

6 我國實施功能安全標準戰(zhàn)略總體設計

我國實施功能安全標準戰(zhàn)略的總目標，是在我國石油、化工、冶金、電力、交通、煤碳、礦山等高危行業(yè)，通過安全設施有效設置與可靠工作，實現(xiàn)對危險的有效控制與防護。通過技術與管理的有效結(jié)合，預先防止事故發(fā)生，或在出現(xiàn)事故時，將損失降低到可接受的程度。同時為我國按照風險管理模式建立科學的安全生產(chǎn)的組織管理與技術保障體系打下標準、技術、管理、法律、產(chǎn)業(yè)、中介服務及市場基礎。

實施功能安全標準戰(zhàn)略的總?cè)蝿帐墙⑽覈δ馨踩Ｕ象w系。

安全設施的安全完整性涉及技術與管理兩方面眾多環(huán)節(jié)，只要一個環(huán)節(jié)出錯，系統(tǒng)都有可能出現(xiàn)危險失效，引發(fā)安全事故。因此，安全設施作為涉及人身財產(chǎn)安全的重要系統(tǒng)，在從方案提出開始，設計、安裝、使用維護直到停用的整個生命周期內(nèi)，都需要兩個體系來保障其安全的完整性：一個是技術體系，一個是組織管理體系。這兩個體系是保障功能安全的二大支柱，它們是功能安全能否實現(xiàn)的關鍵。

在組織管理和技術體系建立后，必須依靠完善的支撐環(huán)境，功能安全標準才能進入良性的運作狀態(tài)，安全才能有保障。功能安全保障的支撐要素包括法律法規(guī)、政策策略、標準體系、中介服務體系、產(chǎn)業(yè)與創(chuàng)新和國際合作等六個方面。

7 結(jié)語

等同采用功能安全基礎標準IEC61508的中國國家標準GB/T20438.1～7、等同采用流程工業(yè)領域功能安全標準IEC61511的中國國家標準GB/T21109.1～3都已經(jīng)發(fā)布并正式實施多年了，但很多用戶因為這些是推薦性標準，沒有找到應用這些標準的法律依據(jù)而處觀望態(tài)度。

安全儀表系統(tǒng)作為一種典型的安全設施，應遵照“三同時”制度的實施要求，從項目論證到設計、施工、竣工驗收都應按“三同時”的規(guī)定進行審查驗收，驗收的依據(jù)就是相關功能安全標準。

其它的安全設施，也應按功能安全的要求進行量化的風險評估及系統(tǒng)化的分析方法確定其SIL能力，保證其實現(xiàn)要求的風險降低能力，并逐步制定相關的功能安全標準體系，實施功能安全標準戰(zhàn)略。

[1]IEC61508，電氣、電子、可編程電子安全相關系統(tǒng)的功能安全[S].

[2]馮曉升.功能安全—一種保障安全的新思路[J].中國儀器儀表，2005(10)：46-56．