(中國五環(huán)工程有限公司，湖北 武漢 430223)

近年來，隨著我國能源及化工產(chǎn)品需求的快速增長，新型煤化工、清潔能源等一批國家鼓勵類項目得到了大力扶持和發(fā)展。這些生產(chǎn)裝置及儲存設施的規(guī)模越來越大，工藝流程更加復雜，控制過程也日趨復雜，給裝置運行和人員安全造成了極大的沖擊和影響。同時，也隨著國際電工委員會標準IEC61508和IEC61511轉(zhuǎn)化為國家標準GB/T 20438(電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能)和GB/T 21109(過程工業(yè)領(lǐng)域安全儀表系統(tǒng)的功能安全)，安全儀表系統(tǒng)及其相關(guān)安全保護措施在全世界的石油、天然氣、煉油、石化和煤化工等行業(yè)得到了廣泛的應用；安全保護越來越受到關(guān)注與重視，越來越多的人認識到：安全儀表系統(tǒng)的可靠性運行是裝置安全運行的一道重要保護屏障，同步加強和規(guī)范安全儀表系統(tǒng)的設置和管理十分緊迫和必要。

1 保護及保護層(PL)

1.1 安全保護

各種生產(chǎn)過程中持續(xù)監(jiān)測出代表工藝參數(shù)和工藝設備狀態(tài)的過程信號。安全保護就是根據(jù)這些過程信號的狀態(tài)來觸發(fā)的。安全保護逐級升高的具體形式見表1。

表1 過程信號狀態(tài)和安全保護

續(xù)表

1.2 保護層

IEC 61511/ GB/T 21109中表示逐級保護的過程見圖1。

圖1 過程工廠常見的典型風險降低方法(以保護層模型為例)

保護層(Protection Layer)，是借助控制、預防或減輕以降低風險的任何獨立機制。獨立保護層(Independent Protection Layer)，是能夠阻止場景向不期望后果發(fā)展，并且獨立于場景的初始事件或其他保護層的設備、系統(tǒng)或行動。保護措施和獨立保護層是有區(qū)別的，防護措施可以是中斷初始事件發(fā)生后的事件鏈的任何設備、系統(tǒng)或行動，其有效性一般難以得到確定；而獨立保護層的有效性根據(jù)要求時失效概率(PFD)進行確定，為0和1之間的無因次數(shù)字，PFD越小，表明該保護層對某一初始事件的后果頻率削減得越多。為便于認識，加深理解，業(yè)內(nèi)人士將圖1形象化地轉(zhuǎn)化為洋蔥頭保護層模型(見圖2)。

圖2 洋蔥頭保護層模型

從上圖可以看出，儀表功能至少涉及3個保護層，分別是第2層基本過程控制系統(tǒng)(BPCS)、第3層關(guān)鍵報警和人員干預、第4層安全儀表系統(tǒng)(SIS)，還有第6層釋放后的保護措施之一，火氣系統(tǒng)。

2 安全儀表系統(tǒng)(SIS)

2.1 安全儀表系統(tǒng)(SIS)的概念

安全儀表系統(tǒng)(SIS)是Safety Instrumented System的簡稱，IEC 61511/ GB/T 21109中的術(shù)語定義為，用來實現(xiàn)一個或幾個安全儀表功能(SIFs)的儀表系統(tǒng)，可由傳感器、邏輯解算器和執(zhí)行元件的任何組合組成。換句話說，安全儀表系統(tǒng)是能夠檢測“失控”條件并自動將工藝重新置回安全狀態(tài)的儀表控制系統(tǒng)，是生產(chǎn)裝置的“最后一道防線”，且并不是基本過程控制系統(tǒng)(BPCS)。SIS系統(tǒng)包括安全聯(lián)鎖系統(tǒng)、緊急停車系統(tǒng)和有毒有害、可燃氣體及火災檢測保護系統(tǒng)等。

2.2 安全儀表系統(tǒng)(SIS)與基本過程控制系統(tǒng)(BPCS)

安全儀表系統(tǒng)用于監(jiān)測生產(chǎn)過程運行狀態(tài)，判斷危險或風險發(fā)生的條件，自動或手動執(zhí)行規(guī)定的安全儀表功能，防止或減少危險事件發(fā)生，減少人員傷害或經(jīng)濟損失，減輕危險事件造成的影響，保護人身和生產(chǎn)裝置安全，保護環(huán)境。

基本過程控制系統(tǒng)(BPCS)是Basic Process Control System的簡稱，也稱為過程控制系統(tǒng)，用于生產(chǎn)過程的連續(xù)測量、常規(guī)控制和操作管理。它響應過程或操作人員的輸入信號，產(chǎn)生輸出信息，使過程以期望的方式運行。BPCS由傳感器、邏輯解算器、過程控制器和最終執(zhí)行元件組成。

兩個系統(tǒng)的區(qū)別見表2。

表2 安全儀表系統(tǒng)(SIS)和基本過程控制系統(tǒng)(BPCS)的區(qū)別

2.3 SIS的本質(zhì)、相關(guān)標準和設計目的

安全儀表系統(tǒng)(SIS)本質(zhì)上是保護性的，是一種預防措施，它不能預防初始事件。事故之所以會發(fā)生是因為發(fā)生了從事故場景的初始原因開始的多重失效，這其中有的失效的可能性是“隱藏著的”(不會自我暴露出來)，而且是“危險的”(出現(xiàn)就代表事故)?，F(xiàn)如今，過程設計越來越依賴工程安全措施來確保安全，而許多事故是由于缺乏工程控制措施所導致。因此，設計、運行、維護安全可靠的儀表系統(tǒng)已是一個不可回避的現(xiàn)實和行業(yè)標準的明確要求。

與SIS相關(guān)的標準、規(guī)范、法規(guī)見表3。

表3 與SIS相關(guān)的標準、規(guī)范、法規(guī)

安全儀表系統(tǒng)(SIS)的設計目的是：①預防。超出預定的安全操作范圍時，自動將工藝裝置置于安全狀態(tài)；②許可。當允許工藝僅在許可操作條件被證實的情況下運行；③減緩。減緩已有危險狀況的后果。

3 安全完整性等級(SIL)

3.1 安全完整性等級(SIL)的概念及分類

SIL是Safety Integrity Level的簡稱，中文稱為安全完整性等級。在1998年頒布的IEC61508功能安全標準中首次提出。IEC 61511/ GB/T 21109中對其的術(shù)語定義為，用來規(guī)定分配給安全儀表系統(tǒng)的儀表安全功能的安全完整性要求的離散等級(4個等級中的1個)。SIL4是安全完整性的最高級，SIL1為最低級(見表4)。

在高要求操作模式時，安全儀表功能(SIF)的安全完整性等級(SIL)應通過下表采用每小時危險失效頻率來衡量。

表4 安全完整性等級(高要求操作模式)

在低要求操作模式時，安全儀表功能(SIF)的安全完整性等級(SIL)應采用平均失效概率(PFD)，通過表5來衡量。

表5 安全完整性等級(低要求操作模式)

根據(jù)GB50770-2013《石油化工安全儀表系統(tǒng)設計規(guī)范》規(guī)定，石油化工工廠或裝置適用于低要求操作模式。石油化工工廠或裝置的SIL等級不應高于SIL 3級。

3.2 安全完整性等級(SIL)評估

3.2.1 SIL評估的重要性

(1)國家管理部門要求。國家安全監(jiān)管總局通過安監(jiān)總管三〔2013〕88號和安監(jiān)總管三〔2014〕116號兩次發(fā)文明確要求：企業(yè)要開展安全儀表系統(tǒng)SIL評估，根據(jù)所有安全儀表功能的功能性和完整性要求，編制安全儀表系統(tǒng)安全要求的技術(shù)文件(SRS)。

(2)保障系統(tǒng)安全。安監(jiān)總管三〔2014〕116號文，近年來發(fā)達國家發(fā)生的重大化工(危險化學品)事故大都與安全儀表失效或設置不當有關(guān)。對安全儀表系統(tǒng)進行SIL評估，是安全儀表系統(tǒng)安全生命周期工作中的一項必不可少的活動，經(jīng)過過程危險分析，根據(jù)確定的適宜的安全完整性等級，設計合理有效并符合等級要求的安全儀表系統(tǒng)，這將會極大地提高裝置的功能安全水平。

(3)完善現(xiàn)有系統(tǒng)不足。通過進行SIL評估，進一步確定SIS系統(tǒng)(包括各檢測單元、控制單元和執(zhí)行單元)具體部位存在的缺陷，以便有針對性地改造SIS系統(tǒng)。

3.2.2 SIL和SIS的關(guān)系

SIL是在定性危害分析(如危險和可操作性(HAZOP)分析)的基礎(chǔ)上，進一步分析現(xiàn)有防護措施的有效性，從而確定安全儀表系統(tǒng)的安全完整性等級，為SIS系統(tǒng)設計提供依據(jù)。

確定的SIL是SIS 的設計前提和依據(jù)。設計合理適用的SIS，應符合SIL的要求。

3.2.3 SIL評估時間表

只要是需要執(zhí)行功能安全相關(guān)標準要求的化工裝置和危險化學品儲存設施，都需要設計符合要求的安全儀表系統(tǒng)。根據(jù)安監(jiān)總管三〔2014〕116號文規(guī)定，對化工裝置、設施的SIL評估分為三個階段進行，對在役裝置的改造也有明確的時間節(jié)點(見表6)。

表6 SIL評估時間表

續(xù)表

3.2.4 SIL評估的工作內(nèi)容

SIL評估包含SIL定級和SIL驗證兩部分工作。

3.2.5 SIL評估執(zhí)行時機

一般來說，在基礎(chǔ)設計階段進行SIL定級，在儀表結(jié)構(gòu)設計后、確定采購前進行SIL驗證。

在基礎(chǔ)工程設計HAZOP分析后即可進行SIL定級。對于設計項目，第1次SIL定級分析應在基礎(chǔ)工程設計HAZOP分析完成后進行，分析對象為基礎(chǔ)工程設計階段完成的工程設計。

第2次SIL定級分析應在詳細工程設計階段完成，分析對象包括詳細工程設計階段對基礎(chǔ)工程設計的修改部分，以及成套設備供貨商提供的工藝流程；除了成套設備外，如果詳細工程設計和基礎(chǔ)工程設計的內(nèi)容基本一致，SIL定級分析可以只進行一次。

未進行基礎(chǔ)工程設計而直接進行詳細工程設計的項目，應在詳細工程設計早期開展SIL分析。

3.3 安全完整性等級(SIL)定級

3.3.1 SIL定級方法及選擇

確定安全儀表系統(tǒng)所要求的安全完整性等級的方法很多，如定性、半定性、半定量等，IEC61511附錄B～F提供了5種方法，包括：①半定量法(IEC61511附錄B)；②安全層矩陣法(IEC61511附錄C)；③半定性法：校正的風險圖法(IEC61511附錄D)；④定性法：風險圖法(IEC61511附錄E)；⑤保護層分析法(LOPA)(IEC61511附錄F)。

采用哪種SIL定級方法，取決于許多因素，其中主要包括：①工藝過程的復雜程度；②國家及管理部門的現(xiàn)行標準；③風險特性和降低風險的方法；④操作人員的經(jīng)驗和技能；⑤相關(guān)風險參數(shù)的可用信息。在一些工藝過程的分析應用中，可以使用不止一種方法。例如，首先，使用定性方法確定所有SIFs要求的SIL；然后，對于那些用該方法分配了SIL3及以上的SIF，還應考慮再使用定量方法進一步細化，以便更精確地理解所要求的安全完整性。

3.3.2 保護層分析法LOPA

保護層分析法(LOPA)是一種半定量的分析方法，它采用初始事件概率、后果嚴重性等級和獨立保護層失效概率來分析風險場景，是近年來國際上廣泛應用且行之有效的一種安全設計與管理技術(shù)。LOPA提供了一種一致的方法，用來評估定性危害分析過程提出的建議，幫助技術(shù)人員設計具有適當?shù)燃壍膽毕到y(tǒng)。LOPA雖然不是一個完全的定量風險評估方法，但它是一種適合評估事故場景保護層價值的簡化方法。

3.4 安全完整性等級(SIL)驗證

按照安全儀表系統(tǒng)安全生命周期工作流程的要求，分配給每個安全儀表功能(SIFs)的安全完整性等級(SIL)，都要在獲取各組件要求時的失效概率(PFD)數(shù)據(jù)基礎(chǔ)上，根據(jù)現(xiàn)有的配置等進行驗算，以確認現(xiàn)有配置是否達到所需的SIL等級要求。在SIL驗證過程中，評估小組經(jīng)過基礎(chǔ)數(shù)據(jù)確認、結(jié)構(gòu)框架輸入、測試周期及輸入因子確認等程序后，通過軟件計算，得出結(jié)果，并形成SIL等級驗證報告，對不滿足SIL等級要求的SIF，提出整改建議。

SIL驗證需要各儀表失效統(tǒng)計數(shù)據(jù)，包括傳感器、變送器、邏輯單元、安全柵、電磁閥、閥門等。SIL驗證需要考慮的因素主要有：①組件選擇——設備可用性、設備安全性(經(jīng)使用驗證、按標準制造)、設備技術(shù)適宜性；②容錯——使用多臺設備，表決結(jié)構(gòu)降低失效概率，SIL等級要求不同程度的容錯；③功能測試周期——提高測試頻率可使失效概率下降；④共因失效；⑤診斷覆蓋率——內(nèi)置診斷或自診斷。

4 關(guān)于功能安全認證

4.1 認證現(xiàn)狀

功能安全認證，在國內(nèi)還是個較新的概念，因是對硬件或個人的資質(zhì)和能力的一種公開的認可，受到多方熱捧。一般來說，獲得相應的認證，對于產(chǎn)品集成商來說，表明其產(chǎn)品和系統(tǒng)通過了相應的測試或?qū)彶?，滿足相應標準的安全要求；對于個人來說，表明他具備了按照IEC相關(guān)標準進行開發(fā)、集成和使用安全相關(guān)系統(tǒng)的知識和專業(yè)技術(shù)，他所參與的安全項目在安全性和標準的符合性上更能得到用戶認可。

基于以上的認識，國外公司及一些獨立機構(gòu)先后開展了安全儀表領(lǐng)域的認證，如TUV認證等。但在我國，國家和行業(yè)尚沒有相關(guān)的認證體系，有關(guān)部門和單位(如中國化學品安全協(xié)會等)正加快制修訂化工安全儀表系統(tǒng)技術(shù)標準體系，組織制定符合我國化工行業(yè)企業(yè)安全發(fā)展現(xiàn)狀的功能安全相關(guān)技術(shù)標準及應用指南，推動形成并完善符合中國國情的功能安全認證體制機制。

4.2 TUV認證

德國技術(shù)監(jiān)督協(xié)會功能安全工程師(TUV FSEng)認證，是由國際著名認證機構(gòu)德國技術(shù)監(jiān)督協(xié)會—萊茵技術(shù)監(jiān)督服務有限公司自動化、軟件和信息技術(shù)部推出的，具有功能安全工程師認證證書，意味著被認證人具備了執(zhí)行(包括設計、研發(fā)、集成、安裝、維護等)安全儀表系統(tǒng)全生命周期各階段工作的資格和能力。TUV 標志在歐洲乃至全球受到生產(chǎn)廠商和各國認證機構(gòu)的廣泛認可。

5 結(jié)語

安全完整性等級評估是保證安全儀表系統(tǒng)設計的重要依據(jù)，其合理準確與否直接關(guān)系到安全儀表系統(tǒng)是否能夠避免事故的發(fā)生，或減輕事故的后果危害。本文重點厘清了安全完整性等級評估和安全儀表系統(tǒng)的關(guān)系，對定級和驗證兩個層面的工作內(nèi)容進行了界定，設計和評估人員可根據(jù)文中概念的解讀靈活選擇合適的定級方法，收集和整理基礎(chǔ)數(shù)據(jù)，綜合考慮驗證涉及的因素。