鄭 威

（杭州漢德質(zhì)量認(rèn)證服務(wù)有限公司 上海分公司，上海 200072）

0 引言

隨著國際電工委員會(huì)IEC61511-2016 版標(biāo)準(zhǔn)在全世界范圍內(nèi)的不斷實(shí)踐，安全儀表系統(tǒng)（SIS）安全保護(hù)的作用越來受到加倍的重視，特別是在石油化工、煉油、天然氣以及煤化工等高風(fēng)險(xiǎn)的過程行業(yè)。全國工業(yè)過程測(cè)量控制和自動(dòng)化標(biāo)準(zhǔn)化技術(shù)委員會(huì)系統(tǒng)及功能安全分技術(shù)委員會(huì)對(duì)這一標(biāo)準(zhǔn)的轉(zhuǎn)化GB/T 21109《過程工業(yè)領(lǐng)域安全儀表系統(tǒng)的功能安全》標(biāo)準(zhǔn)已進(jìn)入委員審核階段。此前，IEC61508-2010 已經(jīng)轉(zhuǎn)化為國家標(biāo)準(zhǔn)GB/T20438-2016《電氣／電子／可編程電子安全相關(guān)系統(tǒng)的功能安全》標(biāo)準(zhǔn)。廣泛的過程行業(yè)典型事故案例分析顯示，合理的安全儀表系統(tǒng)可以避免大部分事故的發(fā)生。因此，進(jìn)行安全儀表系統(tǒng)驗(yàn)證，保證安全儀表系統(tǒng)的合理設(shè)置，在使用HAZOP、LOPA 等方法進(jìn)行風(fēng)險(xiǎn)分析、安全分配工作后，作為安全儀表系統(tǒng)生命周期的重要環(huán)節(jié)，目前越來越多的受到重視，也變得十分緊迫和必要。

1 安全生命周期

安全儀表系統(tǒng)驗(yàn)證必須是基于完整安全生命周期（SLC）的驗(yàn)證。安全生命周期從概念設(shè)計(jì)開始，直到SIS退役后才結(jié)束[1]。這里的關(guān)鍵是，必須從概念流程設(shè)計(jì)的一開始就考慮功能安全，并且必須始終貫穿在所有設(shè)計(jì)、操作和維護(hù)活動(dòng)期間。SLC 包含了安全儀表系統(tǒng)的概念、設(shè)計(jì)、操作和維護(hù)等實(shí)現(xiàn)功能安全所需的全部步驟。安全生命周期（SLC）設(shè)置的主要目的有兩個(gè)：一是明確安全儀表系統(tǒng)設(shè)計(jì)的流程，二是減少工業(yè)過程中產(chǎn)生的系統(tǒng)失效（systematic failure）。

IEC 61508 標(biāo)準(zhǔn)的安全生命周期基本劃分為3 個(gè)階段：分析和風(fēng)險(xiǎn)評(píng)估階段、實(shí)現(xiàn)階段和操作階段。

1）分析和風(fēng)險(xiǎn)評(píng)估階段的大部分活動(dòng)是按照邏輯順序安排的，在進(jìn)行危害和風(fēng)險(xiǎn)分析之后，確定系統(tǒng)的安全要求。一些安全要求是通過外部風(fēng)險(xiǎn)降低設(shè)施來滿足的，包括過程設(shè)計(jì)的修正、物理防護(hù)屏障、堤壩和應(yīng)急管理計(jì)劃等。一些安全要求是通過安全相關(guān)技術(shù)而不是SIS 來滿足的，包括安全閥、爆破盤、警報(bào)和其他特殊安全裝置。其余的安全功能則使用安全儀表化系統(tǒng)中的安全儀表功能。

2）所有維護(hù)測(cè)試和維護(hù)活動(dòng)的計(jì)劃必須在實(shí)現(xiàn)階段完成。在一定程度上，這項(xiàng)工作可以與安全儀表系統(tǒng)設(shè)計(jì)并行進(jìn)行。這個(gè)安全生命周期還表明了操作和維護(hù)職責(zé)集中于定期測(cè)試和檢查，以及修改、改造和最終退役的管理。

3）操作階段，在步驟11 和步驟12 方面，可能會(huì)出現(xiàn)實(shí)現(xiàn)和操作活動(dòng)的重疊。

IEC 61511 標(biāo)準(zhǔn)的安全生命周期如圖1 所示。盡管IEC 61511 的安全生命周期看起來與IEC61508 有很大的不同，但是基本的目的是基本相同的。同樣，有明確的分析、實(shí)現(xiàn)和操作階段。

IEC 61511 的安全生命周期是專門為過程工業(yè)而設(shè)計(jì)的，因此許多要求是為過程應(yīng)用而定制的。其中，重點(diǎn)在功能安全管理，特別是在安全生命周期的結(jié)構(gòu)與規(guī)劃，以及對(duì)整個(gè)生命周期的驗(yàn)證：IEC61511 標(biāo)準(zhǔn)和IEC61508 標(biāo)準(zhǔn)的安全生命周期都強(qiáng)調(diào)對(duì)功能安全的良好管理，包括對(duì)安全生命周期的每一步實(shí)施嚴(yán)格的計(jì)劃和驗(yàn)證活動(dòng)。

2 安全儀表系統(tǒng)（SIS）的定義

安全儀表系統(tǒng)驗(yàn)證的目標(biāo)是驗(yàn)證包括全部安全儀表功能（SIF）的整個(gè)安全儀表系統(tǒng)（SIS）。

2.1 安全儀表功能（SIF）

圖1 IEC 61511安全生命周期Fig.1 IEC 61511 Safety life cycle

安全儀表功能（SIF）指具有某個(gè)特定安全完整性等級(jí)（SIL），用以達(dá)到功能安全的安全功能。它既可以是一個(gè)儀表安全保護(hù)功能，也是儀表安全控制功能。

這其中有個(gè)關(guān)鍵點(diǎn)：一般理解認(rèn)為SIF 只是特指儀表的安全保護(hù)功能，例如常見的急停。但隨著功能安全技術(shù)的不斷深入應(yīng)用，越來越多的SIF 被用于控制功能，并指定了特定的SIL 等級(jí)。同時(shí)，SIF 可能用來負(fù)責(zé)關(guān)閉、允許，甚至后果減少。舉例來說：可以作為一種主動(dòng)行動(dòng)以避免危險(xiǎn)狀況（比如說，停止一個(gè)泵的運(yùn)行），也可以指采取預(yù)防行為的功能 (比如說，阻止一個(gè)泵啟動(dòng))。

所有這些功能都有一個(gè)共同的屬性——它們都能降低風(fēng)險(xiǎn)。因此，SIF 定義的另一種常見解釋是“自動(dòng)風(fēng)險(xiǎn)降低系統(tǒng)”。通常來說，SIF 旨在通過降低潛在危險(xiǎn)的可能性來降低風(fēng)險(xiǎn)。在某些特殊情況下，SIF 將通過降低后果的嚴(yán)重性來降低風(fēng)險(xiǎn)。

2.2 安全儀表系統(tǒng)（SIS）

在SIF 基礎(chǔ)上，“實(shí)現(xiàn)一個(gè)或多個(gè)SIF 的儀表系統(tǒng)”叫做安全儀表系統(tǒng)[2]。需要說明的是：不同SIF 可能包括相同或不同的傳感單元或執(zhí)行單元。這其中，有3 個(gè)關(guān)鍵點(diǎn)：①SIS 包含任何傳感單元、邏輯單元和最終單元，也包含通訊和其他輔助設(shè)備（例如：電纜、穿線管、電源、跳線，伴熱）；②SIS 可能包含軟件；③SIS 可能包含人的行為作為SIF 的一部分。

在這里重點(diǎn)強(qiáng)調(diào)人員作為安全儀表功能的部分。操作層面上，許多人從不認(rèn)為人是安全儀表功能的一部分。實(shí)踐來說，在違反正常流程操作條件采取行動(dòng)時(shí)，操作員通常從警報(bào)中對(duì)這些違規(guī)行為做出反應(yīng)。因此，操作員的動(dòng)作通常被認(rèn)為是報(bào)警保護(hù)層的一部分，而不是SIS 的一部分。因此，操作員動(dòng)作的SIL 確定通常不完成。然而，IEC61511-2016 中的說明指出：“當(dāng)人為操作是SIS 的一部分時(shí)，操作人員操作的可用性和可靠性必須在SRS 中指定，并包括在SIS 的性能計(jì)算中?！边@意味著SIF 的廣義定義包括了人的行為。

3 安全儀表系統(tǒng)驗(yàn)證流程

安全儀表系統(tǒng)驗(yàn)證流程必須包含下列步驟：

1）概念設(shè)計(jì)

過程安全儀表功能的概念設(shè)計(jì)過程始于安全需求規(guī)范（SRS）。SRS 是一份非常重要的文件。它是包含安全儀表功能（SIF）的所有功能要求和相關(guān)SIL 等級(jí)的規(guī)范。按照IEC61511-2016 標(biāo)準(zhǔn)，應(yīng)包括SIS 一般要求、SIF 一般要求、SIF 特定要求等共計(jì)29 個(gè)詳細(xì)要求。這其中，一份和每一個(gè)SIF 有關(guān)的，已通過設(shè)備識(shí)別方法識(shí)別的工廠輸入輸出設(shè)備的列表、周期性測(cè)試執(zhí)行等兩個(gè)要求是新增的。作為安全儀表系統(tǒng)驗(yàn)證的結(jié)果，SRS 的全部要求必須被驗(yàn)證。

2）儀表設(shè)備選擇

必須謹(jǐn)慎選擇用于安全儀表功能的設(shè)備。儀表必須能夠完全執(zhí)行功能要求，所有的設(shè)備都必須經(jīng)過驗(yàn)證，這樣最終用戶才能完全確信該儀表能夠在預(yù)期的應(yīng)用中正常工作。儀器中使用的材料必須與工藝材料兼容，工藝環(huán)境條件不得超過儀表額定值；必須對(duì)儀表的功能安全要求進(jìn)行評(píng)估；所有的論證決策都必須記錄為項(xiàng)目記錄的一部分；必須特別注意公用系統(tǒng)，例如：電力供應(yīng)、氣源供應(yīng)、布線方法。

3）冗余

選定儀表設(shè)備后，設(shè)計(jì)過程的下一步是決定使用多個(gè)儀表來實(shí)現(xiàn)冗余。冗余配置的目的是提供持續(xù)的系統(tǒng)操作，即使一個(gè)或多個(gè)特定的儀表可能出現(xiàn)失效，一些冗余架構(gòu)提供了對(duì)它的容錯(cuò)能力。其中，一些冗余架構(gòu)提供了對(duì)危險(xiǎn)失效的容錯(cuò)能力，而另一些架構(gòu)則提供了對(duì)多種失效模式的容錯(cuò)能力。各種冗余體系結(jié)構(gòu)需要被嚴(yán)格驗(yàn)證使用。

4）需求模式的確認(rèn)

提供安全儀表功能的儀表設(shè)備的有3 種操作模式：連續(xù)需求模式、高需求模式和低需求模式。之所以定義這3種模式，是因?yàn)镾IF 可根據(jù)模式不同來量化評(píng)分。不同模式本質(zhì)上的區(qū)別是由于危險(xiǎn)狀態(tài)（需求）和診斷測(cè)試之間的關(guān)系。必須知道對(duì)應(yīng)的時(shí)間間隔，以確定自動(dòng)診斷測(cè)試和周期驗(yàn)證測(cè)試的設(shè)計(jì)合理性。

5）可靠性和安全性度量計(jì)算

在完成以上步驟之后，可以使用簡(jiǎn)化方程、故障樹、馬爾科夫模型或其他方法進(jìn)行量化計(jì)算。

6）SIF 識(shí)別

計(jì)算過程的第一步是正確識(shí)別每個(gè)安全儀表功能所需的設(shè)備。所有與特定SIF 相關(guān)的設(shè)備都必須歸類為“主要”設(shè)備和“輔助”設(shè)備?！爸饕痹O(shè)備用于提供必要的防護(hù)，以抵御識(shí)別出的危害，而“輔助”設(shè)備則提供有用的功能，但不用于抵御危害。這種分類很重要，因?yàn)橐髸r(shí)平均失效概率（PFDavg）分析和安全失效分?jǐn)?shù)（SFF）分析中只包含主要設(shè)備。

7）驗(yàn)證架構(gòu)約束

IEC61511-2016 標(biāo)準(zhǔn)要求了不同需求模式下最低水平的“硬件容錯(cuò)”作為對(duì)應(yīng)SIL 級(jí)別的要求。這意味著，為了實(shí)現(xiàn)安全功能，必須根據(jù)SIF 的SIL 級(jí)別目標(biāo)進(jìn)行冗余。

4 失效數(shù)據(jù)的獲取

安全儀表系統(tǒng)驗(yàn)證中，最重要的是SIL 驗(yàn)算，也就是每個(gè)SIF 的PFD/PFH 計(jì)算。然而，這一計(jì)算依賴于失效數(shù)據(jù)的準(zhǔn)確獲取。

行業(yè)失效數(shù)據(jù)庫可以提供失效數(shù)據(jù)信息。雖然這些失效數(shù)據(jù)不是特定于產(chǎn)品的，但它幫助設(shè)計(jì)人員識(shí)別設(shè)計(jì)中的問題[3]。最流行的失效數(shù)據(jù)庫之一是OREDA 數(shù)據(jù)庫，OREDA 是“離岸可靠性數(shù)據(jù)”的縮寫，介紹了多種工藝設(shè)備的統(tǒng)計(jì)分析，許多工程師將其作為失效率數(shù)據(jù)的來源來執(zhí)行安全驗(yàn)證計(jì)算。對(duì)于所有做數(shù)據(jù)分析的人來說，這是一個(gè)極好的參考。

失效率的其它來源渠道還包括：制造商FMEDA 分析、制造商現(xiàn)場(chǎng)失效研究、公司產(chǎn)品失效記錄或其他來源獲得的失效率，結(jié)果與行業(yè)失效數(shù)據(jù)庫描述不同。一般來說，越不具體的數(shù)據(jù)會(huì)被證明越是保守的。

近年來，行業(yè)失效數(shù)據(jù)庫開始包括系統(tǒng)失效，這自然導(dǎo)致這些來源的數(shù)字很高，一般來說，來自行業(yè)數(shù)據(jù)庫源的失效率數(shù)字明顯與FMEDA 報(bào)告的應(yīng)該比較接近。一些分析機(jī)構(gòu)編制了綜合失效數(shù)據(jù)的書籍和電子數(shù)據(jù)庫。這些信息經(jīng)過格式化，將失效率作為失效模式的函數(shù)，提供了產(chǎn)品更多的附加信息，這有利于安全儀表系統(tǒng)的驗(yàn)證。

5 結(jié)束語

安全儀表系統(tǒng)驗(yàn)證是安全儀表系統(tǒng)安全生命周期的重要環(huán)節(jié)，是對(duì)安全儀表系統(tǒng)實(shí)現(xiàn)的驗(yàn)證，是對(duì)早期風(fēng)險(xiǎn)分析結(jié)果、安全功能分配合理性的回應(yīng)。最終用戶、設(shè)計(jì)院和系統(tǒng)集成商只有互相配合，參照IEC61511-2016 等國際標(biāo)準(zhǔn)和規(guī)范設(shè)計(jì)要求進(jìn)行安全儀表系統(tǒng)驗(yàn)證，才能有效地降低風(fēng)險(xiǎn)。只有完成了安全儀表系統(tǒng)驗(yàn)證，安全的閉環(huán)才是完整的。